OptiX OSN 500设备的网络安全管理
本文介绍的是OptiX OSN 500设备的网络安全管理,网管和网元之间,以及网络中数据的安全传送,是网管有效管理网元的前提。网管和网元之间的通信支持ACL协议和SSL协议。
OptiX OSN 500设备ACL协议
通过设置ACL(Access Control List)规则,可以对接收的IP报文进行过滤,从而达到控制网络数据流量、防范恶意攻击的目的。
根据系统安全程度要求,可以设置不同的ACL规则:基本ACL规则和高级ACL规则。
1、基本ACL规则:对于安全级别要求较低的网元,可以设置基本ACL规则,只对IP报文的源地址进行校验。
2、高级ACL规则:对于安全级别要求很高的网元,可以设置高级ACL规则,网元会对接收的IP报文进行源宿地址、源宿端口以及协议类型进行详细的校验。
在高级ACL规则和基本ACL规则同时存在的情况下,系统优先按照高级ACL规则进行校验。
同时,可以对ACL规则进行如下操作:
查询ACL规则。
修改ACL规则。
删除ACL规则。
OptiX OSN 500设备SSL协议
通过SSL(Security Socket Layer)协议,可以保证数据的完整性和安全性。
OptiX OSN 500设备预置加密的SSL证书,网管可以采用预置SSL证书与设备建立安全连接,
确保用户通过安全管道访问网元。在用户加载了SSL证书后,设备会切换到用户证书。
如果用户加载的证书是未加密的,设备会上报“SSL_CERT_NOENC”告警。
OptiX OSN 500设备Security FTP
Security FTP(简称SFTP)位于SSH(secure shell)连接层,基于SSH提供的加密和认证等基础服务,扩展了对FTP安全性的支持,是一种安全的文件传输协议。
1、安全性方面,FTP采用明文传输,且只支持密码认证,协议安全机制薄弱;SFTP采用密文传输,除支持密码认证外,还专门设计了密钥认证,密钥认证能够提供比密码认证更高的安全性。
2、传输效率方面,SFTP的采用了加解方式,理论上传输效率低于FTP,但由于SFTP特有的协议优化设计等原因,往往出现SFTP传输效率高于FTP的情况。
3、支持业务范围,例如包加载、数据库上下载、日志文件上载,单文件上下载等。网元只提供SFTP客户端功能,不能作为SFTP服务端,同时,SFTP基于TCP连接,要求网元SSH服务器IP可达,因此SFTP业务只能部署在网关网元上。