所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S V800R010C10SPC500 特性描述 - 基础配置 01

本文档是NE20E-S V800R010C10SPC500 特性描述 - 基础配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SSH应用

SSH应用

支持Stelnet协议

STelnet基于SSH2协议,客户端和服务器之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器。如图所示,

图3-9 SSH支持Stelnet协议

图3-9所示,

  • 设备支持STelnet客户端、STelnet服务器功能

    为了方便用户的使用,设备不仅提供STelnet服务器功能,同时也可以做为STelnet客户端访问其他STelnet服务器。

  • 支持使能/去使能STelnet服务器功能(默认关闭)

    在不需要STelnet服务器情况下可以将其去使能,该功能在全局模式下配置。

支持SFTP协议

SFTP是基于SSH2的安全协议。SSH2支持的认证方式为:密码认证、RSA认证、password-rsa认证、DSA认证、password-dsa认证、ECC认证、password-ecc认证。合法用户通过客户端登录时,输入正确的用户名以及对应的密码和私钥,通过服务器的验证。此时用户可以像使用FTP一样使用,实现对网络文件的远程传输管理,而系统会对用户的数据采用协商出来的会话密钥对数据加密。

攻击者没有正确的私钥和密码,无法通过服务器的认证。并且攻击者无法获得其他用户和服务器之间的会话密钥,因此后续服务器和指定客户端的通讯报文只有指定客户端和服务器才能解密。即使攻击者窃听到通讯报文,也不能解密,实现了网络数据传输的安全性。

  • 支持SFTP客户端、SFTP服务器功能

    为了方便用户的使用,设备不仅提供SFTP服务器功能,也可以做为SFTP客户端访问其他SFTP服务器

  • 支持使能/去使能SFTP服务器功能(默认关闭)

    在不需要SFTP服务器情况下可以将其去使能,该功能在全局模式下配置。

  • 支持对应用户的SFTP访问默认目录设定

    对于不同的用户,服务器允许访问的文件目录不同。用户只能访问SFTP服务设定目录,因此通过对应用户的SFTP访问默认目录设定实现不同用户文件隔离。

  • 支持客户端与服务器之间通过透明文件系统进行的运转。即对于所有的文件操作来说,一个标准的文件系统可以用来访问远端板子上的文件。

  • 支持NETCONF文件传输操作,文件传输成功或失败时提供确认机制。

图3-10 SSH支持SFTP协议

支持SCP协议

SCP是基于SSH2的安全协议。SSH2支持的认证方式为:密码认证、RSA认证、password-rsa认证、DSA认证、password-dsa认证、ECC认证、password-ecc认证。合法用户通过客户端登录时,输入正确的用户名以及对应的密码和私钥。通过服务器的验证后,用户可以实现对网络文件的远程传输管理,而系统会对用户的数据采用协商出来的会话密钥对数据加密。

攻击者没有正确的私钥和密码,无法通过服务器的认证。并且攻击者无法获得其他用户和服务器之间的会话密钥,因此后续服务器和指定客户端的通讯报文只有指定客户端和服务器才能解密。即使攻击者窃听到通讯报文,也不能解密,实现了网络数据传输的安全性。

  • 支持SCP客户端、服务器功能

    为了方便用户的使用,设备既支持SCP客户端功能,同时也支持SCP服务器功能。即设备既可以作为SCP服务器也可以作为SCP客户端接入SCP服务器。

  • 支持使能/去使能SCP服务器功能(默认关闭)。

    在不需要SCP服务器情况下,可以将其去使能。该功能在全局模式下配置。

  • 支持客户端与服务器之间通过透明文件系统进行的运转。即对于所有的文件操作来说,一个标准的文件系统可以用来访问远端单板上的文件。
  • 支持文件目录中多文件的递归传输。

    例如,文件目录directory下包含多个文件以及子目录,SCP可实现将整个directory目录下的文件进行传输,并保持原有的文件目录格式。

图3-11 SCP组网图

私网访问

HUAWEI NE20E-S支持STelnet客户端、SFTP客户端、SNETCONF客户端,因此可以建立基于VPN的Socket连接,在公网设备实现如下访问:

  • STelnet客户端访问私网SSH服务器

  • SFTP客户端访问私网SSH服务器

  • SNETCONF客户端访问私网SSH服务器

图3-12 SSH支持私网访问

SSH服务器支持其他端口访问

SSH协议的标准侦听端口号为22,如果攻击者不断访问标准端口,将致带宽和服务器性能的下降,导致其他正常用户无法访问。

通过设定SSH服务器端的侦听端口号为其他端口号,攻击者不知道SSH侦听端口号的更改,仍然发送标准端口号22的Socket连接,SSH服务器检测发现请求连接端口号不是侦听的端口号,就不建立Socket连接。

图3-13是一个通过其他端口访问SSH服务器的组网应用。

图3-13 SSH服务器支持其他端口访问

只有合法的用户采用SSH服务器设定的非标准侦听端口才能建立Socket连接,进行SSH协议的版本号协商、算法协商及会话密钥生成、认证、会话请求、会话阶段等过程。

SSH服务可以应用在网络中的中间交换设备、边缘设备上,可以实现用户对设备的安全访问和管理。

支持ACL应用

ACL是Access Control List的简称,中文是访问控制列表。通过ACL对SSH类型的用户界面限制呼入呼出权限,防止一些非法地址的用户进行TCP连接,避免其进入SSH协商,借此提高SSH服务器安全性。

图3-14 SSH支持ACL应用

支持SNETCONF

NETCONF Agent是运行于SSH Server之上的一种应用。使用SSH建立的安全传输通道。NETCONF被用来访问配置、声明信息和修改配置信息,因此访问此协议的能力应当被限制为用户和系统。在SSH上运行NETCONF,Client需要先使用SSH传输协议来建立SSH传输连接。Client和Server为了消息的完整性而交换密钥并对密钥加密。一旦用户认证成功,Client就调用“SSH-连接”服务,即SSH连接协议。在SSH连接服务建立后,Client为SSH会话打开一个会话类型的通道。一旦SSH会话建立,用户(或者应用)调用SNETCONF作为SSH的一个子系统,这个是SSHv2的一个特性。SSH Sever确保SNETCONF子系统传输数据的可靠性和数据顺序。

图3-15 在SSH Server上应用NETCONF组网图

翻译
下载文档
更新时间:2019-01-03

文档编号:EDOC1100055318

浏览量:254

下载量:32

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页