OptiX OSN 500設備的網絡安全管理

 

    本文介紹的是OptiX OSN 500設備的網絡安全管理，網管和網元之間，以及網絡中數據的安全傳送，是網管有效管理網元的前提。網管和網元之間的通信支持ACL協議和SSL協議。

OptiX OSN 500設備ACL協議

   通過設置ACL（Access Control List）規則，可以對接收的IP報文進行過濾，從而達到控制網絡數據流量、防范惡意攻擊的目的。

    根據系統安全程度要求，可以設置不同的ACL規則：基本ACL規則和高級ACL規則。

    1、基本ACL規則：對于安全級別要求較低的網元，可以設置基本ACL規則，只對IP報文的源地址進行校驗。

    2、高級ACL規則：對于安全級別要求很高的網元，可以設置高級ACL規則，網元會對接收的IP報文進行源宿地址、源宿端口以及協議類型進行詳細的校驗。

    在高級ACL規則和基本ACL規則同時存在的情況下，系統優先按照高級ACL規則進行校驗。

    同時，可以對ACL規則進行如下操作：

    查詢ACL規則。

    修改ACL規則。

    刪除ACL規則。

OptiX OSN 500設備SSL協議

    通過SSL（Security Socket Layer）協議，可以保證數據的完整性和安全性。

    OptiX OSN 500設備預置加密的SSL證書，網管可以采用預置SSL證書與設備建立安全連接，

    確保用戶通過安全管道訪問網元。在用戶加載了SSL證書后，設備會切換到用戶證書。

    如果用戶加載的證書是未加密的，設備會上報“SSL_CERT_NOENC”告警。 

OptiX OSN 500設備Security FTP

    Security FTP（簡稱SFTP）位于SSH（secure shell）連接層，基于SSH提供的加密和認證等基礎服務，擴展了對FTP安全性的支持，是一種安全的文件傳輸協議。

    1、安全性方面，FTP采用明文傳輸，且只支持密碼認證，協議安全機制薄弱；SFTP采用密文傳輸，除支持密碼認證外，還專門設計了密鑰認證，密鑰認證能夠提供比密碼認證更高的安全性。

    2、傳輸效率方面，SFTP的采用了加解方式，理論上傳輸效率低于FTP，但由于SFTP特有的協議優化設計等原因，往往出現SFTP傳輸效率高于FTP的情況。

    3、支持業務范圍，例如包加載、數據庫上下載、日志文件上載，單文件上下載等。網元只提供SFTP客戶端功能，不能作為SFTP服務端，同時，SFTP基于TCP連接，要求網元SSH服務器IP可達，因此SFTP業務只能部署在網關網元上。