OptiX OSN 500设备的网络安全管理

 

    本文介绍的是OptiX OSN 500设备的网络安全管理，网管和网元之间，以及网络中数据的安全传送，是网管有效管理网元的前提。网管和网元之间的通信支持ACL协议和SSL协议。

OptiX OSN 500设备ACL协议

   通过设置ACL（Access Control List）规则，可以对接收的IP报文进行过滤，从而达到控制网络数据流量、防范恶意攻击的目的。

    根据系统安全程度要求，可以设置不同的ACL规则：基本ACL规则和高级ACL规则。

    1、基本ACL规则：对于安全级别要求较低的网元，可以设置基本ACL规则，只对IP报文的源地址进行校验。

    2、高级ACL规则：对于安全级别要求很高的网元，可以设置高级ACL规则，网元会对接收的IP报文进行源宿地址、源宿端口以及协议类型进行详细的校验。

    在高级ACL规则和基本ACL规则同时存在的情况下，系统优先按照高级ACL规则进行校验。

    同时，可以对ACL规则进行如下操作：

    查询ACL规则。

    修改ACL规则。

    删除ACL规则。

OptiX OSN 500设备SSL协议

    通过SSL（Security Socket Layer）协议，可以保证数据的完整性和安全性。

    OptiX OSN 500设备预置加密的SSL证书，网管可以采用预置SSL证书与设备建立安全连接，

    确保用户通过安全管道访问网元。在用户加载了SSL证书后，设备会切换到用户证书。

    如果用户加载的证书是未加密的，设备会上报“SSL_CERT_NOENC”告警。 

OptiX OSN 500设备Security FTP

    Security FTP（简称SFTP）位于SSH（secure shell）连接层，基于SSH提供的加密和认证等基础服务，扩展了对FTP安全性的支持，是一种安全的文件传输协议。

    1、安全性方面，FTP采用明文传输，且只支持密码认证，协议安全机制薄弱；SFTP采用密文传输，除支持密码认证外，还专门设计了密钥认证，密钥认证能够提供比密码认证更高的安全性。

    2、传输效率方面，SFTP的采用了加解方式，理论上传输效率低于FTP，但由于SFTP特有的协议优化设计等原因，往往出现SFTP传输效率高于FTP的情况。

    3、支持业务范围，例如包加载、数据库上下载、日志文件上载，单文件上下载等。网元只提供SFTP客户端功能，不能作为SFTP服务端，同时，SFTP基于TCP连接，要求网元SSH服务器IP可达，因此SFTP业务只能部署在网关网元上。