3、保护好存储设备管理界面
通过分析近年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。网络黑客或企业内部人员只要能使用存储设备管理程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。因此,用户应该将管理界面隔离在安全的局域网内,如利用防火墙和VPN、IPS、SecCenter、UDM等更高级别的安全和管理软件,并设置复杂的登录密码甚至采用生物识别技术来保护管理员帐户。
4、对通过网络传输的数据包进行加密
IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段:一是IPSec Tunnel:整个IP封装在IPSec报文,提供IPSec-gateway之间的通讯;二是IPSec Transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道。因此,绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,IPsec协议将无法发挥作用。为了确保网络的安全,存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。
IPsec虽然是一种强大的安全保护技术,却会严重地降低网络系统的性能。另外,IPsec 比较适合"点对点接入"。由于客户端使用不方便,对访问请求缺乏细粒度的权限管理,IPsec 技术在"远程接入"方面不太适合。
而SSL加密传输技术却是在广域网条件下一个更好的选择。在H3C等公司的磁盘阵列上已经内置了这个功能。用户可以利用这一技术手段,在广域网上实现安全的SAN存储,即WSAN
上一页 [1] [2] [3] [4] 下一页
【责编:Chuan】
