服务器、存储、网络产品购买热线:400-860-6708 ERP、管理软件购买热线:400-018-7700云服务产品销售热线:400-607-6657
clear
您当前所在位置: 首页 > 支持下载 > 技术帮助 > 常见问题 > 存储产品

正确保护iSCSI存储系统的五种方法

发布时间: 2008年09月08日
如何才能将网络黑客阻挡在iSCSI SAN系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是,这些办法虽然都能起到维护IP SAN系统安全的作用,但各自都存在一定的优缺点。建议用户在实施时仔细斟酌,只要使用得当,可大幅提升存储网络的安全性能。

    1、合理利用访问控制表(简称ACL)

    网络管理员可通过设置访问控制表,限制IP SAN系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于IP地址的访问控制表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iSCSI客户机的引发器名称(initiator name)。与光纤系统的全球名称(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称MAC)地址一样,引发器名称指的是每台iSCSI主机总线适配器(HBA)或软件引发器(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与WWN、MAC地址一样,很容易被制服,特别是对于基于软件的iSCSI驱动器而言。访问控制表,与光纤系统的逻辑单元屏蔽(LUN masking)技术一样,其首要任务只是为了隔离客户端的存储资源,而非构筑强有力的安全防范屏障。

    2、使用行业标准的用户身份验证机制

    诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。密码不需要以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。不过,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然可以通过伪设置的办法,侵入客户端。

    3、保护好管理界面

    通过分析历年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。无论SAN的防范如何严密,网络黑客只要使用一个管理应用程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。因此,用户应该将管理界面隔离在安全的局域网内,设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下,其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制,都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话,建议不妨加以利用。

    4、对网络传输的数据包进行加密

    IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段:①IPSec Tunnel:整个IP封装在IPSec报文,提供IPSec-gateway之间的通讯;②IPSec Transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道。因此,绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,IPsec协议将无法发挥作用。为了确保网络的安全,存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。不过,值得注意的是,IPsec虽然不失为一种强大的安全保护技术,却会严重地干扰网络系统的性能。有鉴于此,如非必要的话,尽量少用IPsec软件。

    5、加密闲置数据

    加密磁盘上存放的数据,也是非常必要的。问题是,加密任务应该是在客户端(如:加密的文件系统)、网络(如:加密解决方案),还是在存储系统上完成呢?许多用户都趋向于第一种选择?D?D大多数企业级操作系统(包括Windows和Linux在内),都嵌入了强大的基于文件系统的加密技术,何况在数据被传送到网络之前实施加密,可以确保它在线上传输时都处于加密状态。当然,如果实行加密处理大大加重了CPU的负荷的话,你可以考虑将加密任务放到网络中?D?D或是交由基于磁盘阵列的加密设备?D?D来处理,只不过效果会差一点儿,部分防护屏蔽有可能会失效。提醒用户注意的是:千万要保管好你的密钥,否则,恐怕连你自己也无法访问那些加密的数据了。

关于浪潮

集团简介 企业文化 加入我们 联系我们 关注我们

新闻与活动

新闻公告 市场活动 科技战“疫”

如何购买

需求工单 售前咨询 查找经销商

探索浪潮

通用服务器 存储 人工智能 爱城市网 浪潮云 浪潮云ERP

支持与服务

支持下载 视频中心 服务进度查询 产品生命周期 安全通告

快速链接

合作伙伴生态 电子采购平台 投行项目 投资者关系 道德遵从

在社交媒体上关注我们

拨打咨询电话