国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在協(xié)議出現(xiàn)以后，基于IP協(xié)議和以太網(wǎng)技術(shù)的區(qū)域網(wǎng)絡(luò)---IP應(yīng)運(yùn)而生。從此SAN就不能再作為光纖存儲網(wǎng)絡(luò)-FC SAN的代名詞了。iSCSI 是一種在IP協(xié)議的網(wǎng)絡(luò)上，主要是以太網(wǎng)上進(jìn)行塊數(shù)據(jù)傳輸?shù)膮f(xié)議。它是由 和共同研發(fā)，并且得到業(yè)界廣泛認(rèn)可， 目前已經(jīng)成為新一代存儲技術(shù)的標(biāo)準(zhǔn)協(xié)議。簡單地說，iSCSI可以實(shí)現(xiàn)在IP網(wǎng)絡(luò)上運(yùn)行SCSI協(xié)議，它能夠在以太網(wǎng)、INTERNET上執(zhí)行SAN存儲。

　　一直以來存儲設(shè)備提供商致力于將SAN中使用的光纖通道設(shè)定為一種實(shí)用標(biāo)準(zhǔn)，但是由于各主流廠商囿于固有利益，相互之間難以協(xié)調(diào)，標(biāo)準(zhǔn)化一直沒有取得明顯進(jìn)展， 同時光纖通道是一種高速串行互聯(lián)，缺乏實(shí)現(xiàn)路由選擇和節(jié)點(diǎn)容錯的內(nèi)置功能，只能提供最原始的地址管理和訪問隔離功能;例如，光纖通道鏈路間雖然可以實(shí)現(xiàn)多路徑冗余，卻難以象以太網(wǎng)那樣通過TRUNK技術(shù)實(shí)現(xiàn)多鏈路負(fù)載均衡。

　　在光纖通道 SAN中，所有功能都必須由操作員進(jìn)行手工配置，由主機(jī)進(jìn)行管理。這樣，就會要求操作人員掌握不同廠商FC SAN相關(guān)設(shè)備的配置、使用、維護(hù)技術(shù)。而iSCSI是一套完全遵從IP協(xié)議標(biāo)準(zhǔn)的技術(shù)規(guī)范，它能夠充分利用標(biāo)準(zhǔn)的IP網(wǎng)絡(luò)的功能以及以太網(wǎng)的普及性，從而降低人員培訓(xùn)的要求和今后使用、維護(hù)的困難。

　　在SAN存儲應(yīng)用走出走向跨廣域的備份、容災(zāi)應(yīng)用的今天，簡單、標(biāo)準(zhǔn)通用、低成本的IP SAN日益普及;而FC SAN高昂的建設(shè)成本和非標(biāo)特性，限制了FC SAN技術(shù)的進(jìn)一步發(fā)展。

　　iSCSI是將SCSI協(xié)議在IP協(xié)議中從而可以直接運(yùn)行在絡(luò)上，而安全性是互聯(lián)網(wǎng)永恒的話題。對于用戶來講，存儲設(shè)備保存的是用戶最為關(guān)鍵的數(shù)據(jù)，這些數(shù)據(jù)也往往是私密性的，一旦把這些數(shù)據(jù)放置在網(wǎng)絡(luò)上，安全問題將變得非常突出。

　　IETF和SNIA的IP存儲工作組在制定iSCSI 標(biāo)準(zhǔn)時就充分考慮了安全問題，例如IETF的Internet工程指導(dǎo)小組(IESG)要求在三種IP存儲協(xié)議中使用IPSec：iSCSI、FCIP和 iFCP。但這樣做顯然會影響性能，而通常在平衡性能和安全性的要求時候，大多數(shù)人總是傾向于更好的性能。

　　前幾年，萬兆網(wǎng)絡(luò)存儲尚未出現(xiàn)，IP存儲設(shè)備的端口性能一直停留在千兆速率，相對于FC的4Gbps，端口性能差距十分明顯。因而IP存儲設(shè)備往往被定位在對性能要求較低的非關(guān)鍵應(yīng)用的環(huán)境中使用，這些非關(guān)鍵應(yīng)用本身對數(shù)據(jù)安全性的要求也較低。

　　那么，相對于FC 存儲技術(shù)，IP存儲是否就是不安全存儲的代名詞? 事實(shí)顯然是否定的，我們先來看看FC SAN是如何處理安全性問題的。

　　從技術(shù)角度上講，光纖通道并沒有人們想象中的安全，按網(wǎng)絡(luò)七層模型分析光纖通道協(xié)議是工作在第二層的協(xié)議，原本并沒有建立安全機(jī)制，而且該協(xié)議和IP 協(xié)議完全不同， 不能直接運(yùn)行在IP網(wǎng)絡(luò)上。也就是說首先FC協(xié)議不能直接在互聯(lián)網(wǎng)上運(yùn)行，因而不存在在廣域網(wǎng)上被竊聽的機(jī)會，其次一旦連接存儲設(shè)備的被攻破，沒有任何安全認(rèn)證機(jī)制的FC SAN存儲設(shè)備自然就完全暴露在者面前。第三，F(xiàn)C協(xié)議在發(fā)起端和目標(biāo)端通過唯一的WWPN號來建立對應(yīng)關(guān)系，而可以簡單地采用SPOOFING 方式偽裝成合法的發(fā)起端， 從而取得對未經(jīng)授權(quán)的目標(biāo)端存儲空間的訪問。

　　光纖通道環(huán)境給人感覺具有比較高的安全性，原因在于它們是服務(wù)器后端的專用絡(luò)，從本質(zhì)上來說光纖通道結(jié)構(gòu)是一個獨(dú)立的子網(wǎng)，專門處理在數(shù)據(jù)中心內(nèi)的主機(jī)與存儲設(shè)備之間的數(shù)據(jù)通訊問題。iSCSI給人感覺安全性較低，原因在于它可以通過基于以太網(wǎng)和IP協(xié)議和服務(wù)器直接連接。不過，通過部署專用于存儲的IP網(wǎng)絡(luò)，并和前端數(shù)據(jù)通信網(wǎng)絡(luò)相對隔離，我們就可以實(shí)現(xiàn)和光纖通道技術(shù)相同級別的網(wǎng)絡(luò)存儲安全性。

　　實(shí)際上，IP存儲技術(shù)提供了非常豐富的安全功能。iSCSI協(xié)議提供了initiator與目標(biāo)端兩方面的身份驗(yàn)證(使用CHAP、SRP、 Kerberos和SPKM)，能夠阻止未經(jīng)授權(quán)的訪問，只允許那些可信賴的節(jié)點(diǎn)進(jìn)行訪問。另外，IPsec Digests(IPsec摘要)和Anti-Reply(防回復(fù))功能阻止了插入、修改和刪除操作，而IPsec Encryption(IPsec加密)或 加密功能防止被偷聽，確保了私密性。另外，IP存儲設(shè)備還可以和基于IP技術(shù)的網(wǎng)絡(luò)安全設(shè)備實(shí)現(xiàn)聯(lián)動，進(jìn)一步提高了的安全性和對抗各種威脅的能力。

　　具體維護(hù)操作過程中，我們可以通過以下幾個步驟對IP SAN網(wǎng)絡(luò)的安全性和所存放的數(shù)據(jù)的安全性進(jìn)行管理。

　　1、訪問控制管理

　　完善IT部門日常工作管理機(jī)制，定時檢查區(qū)域網(wǎng)絡(luò)連線狀況以保障基礎(chǔ)網(wǎng)絡(luò)線路的正確性，經(jīng)常檢查存儲系統(tǒng)的訪問日志，確認(rèn)存儲系統(tǒng)訪問者都經(jīng)過授權(quán)許可;限制管理區(qū)域網(wǎng)絡(luò)存儲系統(tǒng)的終端與內(nèi)外網(wǎng)的互訪，并將SAN存儲系統(tǒng)內(nèi)的重要數(shù)據(jù)劃分不同的區(qū)塊并進(jìn)行屏蔽，將不同區(qū)塊與對應(yīng)部門相關(guān)授權(quán)人員不同級別的訪問權(quán)限對應(yīng)，不定時更換訪問密碼以避免黑客的授權(quán)欺騙攻擊;

　　通過設(shè)置訪問控制列表，對設(shè)備的身份合法性進(jìn)行控制，限制非法設(shè)備接入IP SAN網(wǎng)絡(luò)中訪問資源。作為SAN存儲系統(tǒng)的組成部分，華三公司提供的IP SAN(如H3C S9500/S7500/S5500等)可以提供支持基于源地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,對訪問存儲系統(tǒng)資源的設(shè)備進(jìn)行精細(xì)的安全訪問權(quán)限過濾，防止非法設(shè)備接入網(wǎng)絡(luò)中獲取資源。

　　目前市面上主流的IP SAN存儲系統(tǒng)都可支持基于IP地址的訪問控制列表，不過，稍微厲害一點(diǎn)的黑客就能夠輕松地破解這道安全防線。

　　另一個辦法就是使用iSCSI客戶機(jī)的起始端名字(initiator name)。與光纖系統(tǒng)的全球名字(WORLD WIDE NAME，簡稱WWN，全球統(tǒng)一的64位無符號的名稱標(biāo)識符)、以太網(wǎng)的MAC地址一樣，起始端名字指的是為每臺iSCSI主機(jī)總線適配器(HBA)或軟件起始端(software initiator)分配到的全球唯一的名稱標(biāo)識。不過，它的缺點(diǎn)也與WWN、MAC地址一樣，很容易被制服。這與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術(shù)一樣，其首要任務(wù)只是為了隔離客戶端(Targetor)的存儲資源，而非構(gòu)筑有效的安全防范屏障。

　　2、使用用戶身份驗(yàn)證機(jī)制

　　除了控制設(shè)備的合法性外，還可以通過AAA認(rèn)證安全策略，對訪問系統(tǒng)資源的用戶進(jìn)行認(rèn)證。

　　各公司的 IP系列基本都支持集中式地址認(rèn)證和802.1x認(rèn)證。在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、交換機(jī)端口任意組合綁定，有效的防止非法用戶訪問SAN網(wǎng)絡(luò)。此外，IP SAN交換機(jī)還可通過支持DUD(Disconnect Unauthorised Device)認(rèn)證(通過MAC地址學(xué)習(xí)數(shù)目限制和MAC地址與端口綁定實(shí)現(xiàn))、支持用戶和口令保護(hù)、端口隔離、MAC地址黑洞、支持防止DoS 攻擊等功能進(jìn)一步提高SAN網(wǎng)絡(luò)的安全級別。

　　此外，諸如問詢-握手身份驗(yàn)證協(xié)議(Challenge-Handshake Authentication Protocol，CHAP)之類的身份驗(yàn)證協(xié)議，將會通過匹配用戶名和登陸密碼，來識別用戶的身份。由于密碼不以純文本的形式在網(wǎng)絡(luò)中傳輸，從而避免了掉包和被攔截的情況發(fā)生，所以，該協(xié)議贏得了許多網(wǎng)絡(luò)管理員的信任。遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(Remote Authentication Dial-In User Service，RADIUS)協(xié)議能夠?qū)⒚艽a從目標(biāo)設(shè)備上轉(zhuǎn)移到中央授權(quán)上，對終端進(jìn)行認(rèn)證、授權(quán)和統(tǒng)計。這2種協(xié)議在低端IP設(shè)備上也已經(jīng)得到使用，例如EX1000。

　　即使如此，網(wǎng)絡(luò)仍然可以通過偽設(shè)置的辦法，侵入正?？蛻舳嗽O(shè)備或管理終端設(shè)備，再通過這些客戶端竊取數(shù)據(jù)。因此，我們建議通過EAD(端點(diǎn)準(zhǔn)入防御)功能實(shí)現(xiàn)動態(tài)的用戶合法驗(yàn)證，配合后臺系統(tǒng)可以將終端防、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、等新興安全威脅的整體防御能力。

　　顯然，F(xiàn)C SAN設(shè)備不具備如此強(qiáng)大的安全措施，也不能和基于IP的前端安全設(shè)備實(shí)現(xiàn)聯(lián)動。

　　3、保護(hù)好存儲設(shè)備管理界面

　　通過分析近年來級光纖系統(tǒng)遭受攻擊的案例，會得到一個重要的結(jié)論：保護(hù)好存儲設(shè)備的管理界面是極其必要的。網(wǎng)絡(luò)黑客或企業(yè)內(nèi)部人員只要能使用存儲設(shè)備管理程序，就能夠重新分配存儲器的賦值，更改、偷竊甚至摧毀數(shù)據(jù)文件。因此，用戶應(yīng)該將管理界面隔離在安全的內(nèi)，如利用和、、SecCenter、UDM等更高級別的安全和管理軟件，并設(shè)置復(fù)雜的登錄密碼甚至采用技術(shù)來保護(hù)管理員帳戶。

　　4、對通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行加密

　　IP security(IPsec)是一種用于加密和驗(yàn)證IP信息包的標(biāo)準(zhǔn)協(xié)議。IPSec提供了兩種加密通訊手段：一是IPSec Tunnel：整個IP在IPSec報文，提供IPSec-gateway之間的通訊;二是IPSec Transport：對IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數(shù)據(jù)部分(即：有效載荷)，對文件頭不作任何處理;Tunnel模式會將信息包的數(shù)據(jù)部分和文件頭一并進(jìn)行加密，在不要求修改已配備好的設(shè)備和應(yīng)用的前提下，讓網(wǎng)絡(luò)黑客無法看到實(shí)際的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ馈?/P>

　　因此，絕大多數(shù)用戶均選擇使用Tunnel模式。用戶需要在接收端設(shè)置一臺支持IPsec協(xié)議的解密設(shè)備，對封裝的信息包進(jìn)行解密。記住，如果接收端與發(fā)送端并非共用一個密鑰的話，IPsec協(xié)議將無法發(fā)揮作用。為了確保網(wǎng)絡(luò)的安全，存儲供應(yīng)貨和咨詢顧問們都建議用戶使用IPsec協(xié)議來加密 iSCSI系統(tǒng)中所有傳輸?shù)臄?shù)據(jù)。

　　IPsec雖然是一種強(qiáng)大的安全保護(hù)技術(shù)，卻會嚴(yán)重地降低網(wǎng)絡(luò)系統(tǒng)的性能。另外，IPsec 比較適合“點(diǎn)對點(diǎn)接入”。由于客戶端使用不方便，對訪問請求缺乏細(xì)粒度的權(quán)限管理，IPsec 技術(shù)在“遠(yuǎn)程接入”方面不太適合。

　　而加密傳輸技術(shù)卻是在廣域網(wǎng)條件下一個更好的選擇。在H3C等公司的上已經(jīng)內(nèi)置了這個功能。用戶可以利用這一技術(shù)手段，在廣域網(wǎng)上實(shí)現(xiàn)安全的SAN存儲，即WSAN

　　5、加密數(shù)據(jù)

　　加密磁盤上存放的數(shù)據(jù)，也是非常必要的。加密任務(wù)可以在在客戶端(如：加密的文件)、網(wǎng)絡(luò)(如：PKI加密解決)，或者在上完成。目前，多數(shù)用戶都傾向于簡便易用的客戶端加密方案。大多數(shù)企業(yè)級(包括Windows和在內(nèi))，都可以嵌入基于文件系統(tǒng)的加密技術(shù)，在數(shù)據(jù)被傳送到網(wǎng)絡(luò)之前實(shí)施加密，可以確保它在網(wǎng)上傳輸時和遠(yuǎn)端存儲時都處于加密狀態(tài)。當(dāng)然，也可以考慮將加密過程放到網(wǎng)絡(luò)中或是交由基于磁盤陣列的加密措施來處理。

　　目前，在杭州市政府統(tǒng)一項(xiàng)目中已經(jīng)使用了存儲前對數(shù)據(jù)加密的技術(shù)。

　　6、及時備份

　　值得一提的是新一代的磁盤陣列都具有的多種數(shù)據(jù)備份、保護(hù)功能，這些功能往往可以通過設(shè)置管理策略實(shí)現(xiàn)自動的數(shù)據(jù)備份、保護(hù)工作。作為最后的補(bǔ)救措施，這些措施可以在存儲設(shè)備前端的各種安全機(jī)制失效的情況下，保證您還有至少一份可靠的數(shù)據(jù)備份。

　　今天企業(yè)遇到的安全挑戰(zhàn)是全方位的，安全保護(hù)已從傳統(tǒng)的邊界安全向全方位深度防御轉(zhuǎn)移。為實(shí)現(xiàn)全方位深度防御，企業(yè)需要將多種安全措施嵌入到網(wǎng)絡(luò)的各個層次，并集成到所有IT設(shè)備中。每個安全組件都能為異常流量檢測、威脅反應(yīng)和分析提供分立的事件日志和警報特性。顯然，繼續(xù)寄希望于FC 協(xié)議的二層訪問控制機(jī)制來保證SAN存儲的數(shù)據(jù)安全 ，已經(jīng)是一種過時的鴕鳥政策。