具体维护操作过程中,我们可以通过以下几个步骤对IP SAN网络的安全性和所存放的数据的安全性进行管理
1、访问控制管理
完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,经常检查存储系统的访问日志,确认存储系统访问者都经过授权许可;限制管理区域网络存储系统的终端与内外网的互访,并将SAN存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击;
通过设置访问控制列表,对设备的身份合法性进行控制,限制非法设备接入IP SAN网络中访问资源。作为SAN存储系统的组成部分,华三公司提供的IP SAN交换机(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,对访问存储系统资源的设备进行精细的安全访问权限过滤,防止非法设备接入网络中获取资源。
目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。
另一个办法就是使用iSCSI客户机的起始端名字(initiator name)。与光纤系统的全球名字(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的MAC地址一样,起始端名字指的是为每台iSCSI主机总线适配器(HBA)或软件起始端(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与WWN、MAC地址一样,很容易被制服。这与光纤系统的逻辑单元屏蔽(LUN masking)技术一样,其首要任务只是为了隔离客户端(Targetor)的存储资源,而非构筑有效的安全防范屏障。
2、使用用户身份验证机制
除了控制设备的合法性外,还可以通过AAA认证安全策略,对访问系统资源的用户进行认证。
各公司的 IP SAN系列交换机基本都支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、交换机端口任意组合绑定,有效的防止非法用户访问SAN网络。此外,IP SAN交换机还可通过支持DUD(Disconnect Unauthorised Device)认证(通过MAC地址学习数目限制和MAC地址与端口绑定实现)、支持用户分级管理和口令保护、端口隔离、MAC地址黑洞、支持防止DoS攻击等功能进一步提高SAN网络的安全级别。
此外,诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。由于密码不以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计。这2种协议在低端IP存储设备上也已经得到使用,例如EX1000。
即使如此,网络黑客仍然可以通过伪设置的办法,侵入正常客户端设备或管理终端设备,再通过这些客户端窃取数据。因此,我们建议通过EAD(端点准入防御)功能实现动态的用户合法验证,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
显然,FC SAN设备不具备如此强大的安全措施,也不能和基于IP的前端安全设备实现联动。
上一页 [1] [2] [3] [4] 下一页
【责编:Chuan】
