激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        交換機(jī)上實(shí)現(xiàn)存儲(chǔ)安全概論

        發(fā)布時(shí)間:  2012/5/28 14:09:29
        盡管DoS似乎很少發(fā)生,但是這并不意味著不可能。然而如果要在光纖通道SAN上實(shí)現(xiàn)DoS攻擊,則不是一般的黑客軟件所能實(shí)現(xiàn)的,因?yàn)樗枰鼮閷I(yè)的安全知識(shí)。
          一般企業(yè)網(wǎng)絡(luò)都具有一定的安全防范策略和設(shè)備,如防火墻、入侵監(jiān)測(cè)系統(tǒng)(IDSs)、代理服務(wù)器等,盡管它們也可以在一定程度上起到為存儲(chǔ)安全建立一層“防護(hù)線”的作用,但是,存儲(chǔ)安全的的核心技術(shù)應(yīng)該從存儲(chǔ)網(wǎng)絡(luò)的安全性、交換機(jī)光纖、設(shè)備、陣列、主機(jī)總線適配器(HBA)等方面來實(shí)現(xiàn)。

          FC、IP網(wǎng)絡(luò)的安全性

          不論是光纖通道還是IP網(wǎng)絡(luò),主要的潛在威脅來自非授權(quán)訪問,特別是管理接口。例如,一旦獲得和存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)相連接服務(wù)器管理員的權(quán)限,欺詐進(jìn)入就可以得逞。這樣入侵者可以訪問任何一個(gè)和SAN連接的系統(tǒng)。因此,無論使用的是哪一種存儲(chǔ)網(wǎng)絡(luò),應(yīng)該認(rèn)識(shí)到應(yīng)用充分的權(quán)限控制、授權(quán)訪問、簽名認(rèn)證的策略對(duì)防止出現(xiàn)安全漏洞是至關(guān)重要的。

          測(cè)錯(cuò)攻擊在IP網(wǎng)絡(luò)中也比在光纖通道的SAN中易于實(shí)現(xiàn)。針對(duì)這類攻擊,一般是采用更為復(fù)雜的加密算法。

          盡管DoS似乎很少發(fā)生,但是這并不意味著不可能。然而如果要在光纖通道SAN上實(shí)現(xiàn)DoS攻擊,則不是一般的黑客軟件所能實(shí)現(xiàn)的,因?yàn)樗枰鼮閷I(yè)的安全知識(shí)。

          實(shí)現(xiàn)SAN數(shù)據(jù)安全方法

          保證SAN數(shù)據(jù)安全的兩個(gè)基本安全機(jī)制是分區(qū)制zoning和邏輯單元值(Logical Unit Number)掩碼。

          分區(qū)制是一種分區(qū)方法。通過該方法,一定的存儲(chǔ)資源只對(duì)于那些通過授權(quán)的用戶和部門是可見的。一個(gè)分區(qū)可以由多個(gè)服務(wù)器、存儲(chǔ)設(shè)備、子系統(tǒng)、交換機(jī)、HBA和其它計(jì)算機(jī)組成。只有處于同一個(gè)分區(qū)的成員才可以互相通訊。

          分區(qū)制往往在交換級(jí)來實(shí)現(xiàn)。根據(jù)實(shí)現(xiàn)方式,可以分為兩種模式,一為硬分區(qū),一為軟分區(qū)。硬分區(qū)是指根據(jù)交換端口來制定分區(qū)策略。所有試圖通過未授權(quán)端口進(jìn)行的通訊均是被禁止的。由于硬分區(qū)是在系統(tǒng)電路里來實(shí)現(xiàn),并在系統(tǒng)路由表中執(zhí)行,因此,較之軟分區(qū),具有更好的安全性。

          在光纖通道網(wǎng)絡(luò)中,軟分區(qū)是基于廣域命名機(jī)制的(WWN)的。WWN是分配給網(wǎng)絡(luò)中光纖設(shè)備的唯一識(shí)別碼。由于軟分區(qū)是通過軟件來保證在不同的分區(qū)中不會(huì)出現(xiàn)相同的WWNs,因此,軟分區(qū)技術(shù)比硬分區(qū)具有更好的靈活性,特別是在網(wǎng)絡(luò)配置經(jīng)常變化的應(yīng)用中具有很好的可管理性。

          有些交換機(jī)具有端口綁定功能,從而可以限制網(wǎng)絡(luò)設(shè)備只能和通過預(yù)定義的交換端口進(jìn)行通訊。利用這種技術(shù),可以實(shí)現(xiàn)對(duì)存儲(chǔ)池的訪問限制,從而保護(hù)SAN免受非授權(quán)用戶的訪問。

          另一種被廣泛采用的技術(shù)是LUN掩碼。一個(gè)LUN就是對(duì)目標(biāo)設(shè)備(如磁帶和磁盤陣列)內(nèi)邏輯單元的SCSI識(shí)別標(biāo)志。在光纖通道領(lǐng)域,LUN是基于系統(tǒng)的WWN實(shí)現(xiàn)的。

          LUN掩碼技術(shù)是將LUN分配給主機(jī)服務(wù)器,這些服務(wù)器只能看到分配給它們的LUN。如果有許多服務(wù)器試圖訪問特定的設(shè)備,那么網(wǎng)絡(luò)管理者可以設(shè)定特定的LUN或LUN組可以訪問,從而可以拒絕其它服務(wù)器的訪問,起到保護(hù)數(shù)據(jù)安全的目的。不僅在主機(jī)上,而且在HBA、存儲(chǔ)控制器、磁盤陣列、交換機(jī)上也可以實(shí)現(xiàn)各種形式的LUN屏蔽技術(shù)。

          如果能夠?qū)⒎謪^(qū)制和LUN技術(shù)與其它的安全機(jī)制共同運(yùn)用到網(wǎng)絡(luò)及其設(shè)備上的話,對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)安全將是非常有效的。

          業(yè)界對(duì)存儲(chǔ)安全的做法

          盡管目前對(duì)于在哪一級(jí)設(shè)備應(yīng)用存儲(chǔ)安全控制是最優(yōu)的還沒有一個(gè)明確的結(jié)論,例如,IPSec能夠在ASIC、VPN設(shè)備、家電和軟件上實(shí)現(xiàn),但目前已有很多商家在他們的數(shù)據(jù)存儲(chǔ)產(chǎn)品中實(shí)現(xiàn)了加密和安全認(rèn)證功能。

          IPSec對(duì)于其它基于IP協(xié)議的安全問題,比如互聯(lián)網(wǎng)小型計(jì)算機(jī)接口(iSCSI)、IP上的光纖通道 (FCIP)和互聯(lián)網(wǎng)上的光線通道 (IFCP)等,也能起到一定的的作用。

          通常使用的安全認(rèn)證、授權(quán)訪問和加密機(jī)制包括輕量級(jí)的路徑訪問協(xié)議Lightweight Directory Access Protocol (LDAP)、遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS), 增強(qiáng)的終端訪問控制器訪問控制系統(tǒng)(TACACS+)、Kerberos、 Triple DES、高級(jí)加密標(biāo)準(zhǔn)(AES)、安全套接層 (SSL)和安全Shell(SSH)。

          盡管SAN和NAS的安全機(jī)制有諸多相似之處,其實(shí)它們之間也是有區(qū)別的。很多NAS系統(tǒng)不僅支持SSH、SSL、Kerberos、RADIUS和LDAP安全機(jī)制,同時(shí)也支持訪問控制列表(ACL)以及多級(jí)許可。這里面有一個(gè)很重要的因素是文件鎖定,有很多產(chǎn)品商家和系統(tǒng)通過不同的方式來實(shí)現(xiàn)這一技術(shù)。例如,微軟采用的為硬鎖定,而基于Unix的系統(tǒng)采用的是相對(duì)較為松弛的建議級(jí)鎖定。由此可以看到,如果在Windows-Unix混合環(huán)境下,將會(huì)帶來一定的問題。

          呼喚存儲(chǔ)安全標(biāo)準(zhǔn)化

          SAN安全的實(shí)現(xiàn)基礎(chǔ)在交換機(jī)這一層。因此,存儲(chǔ)交換機(jī)的標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)產(chǎn)品制造商的技術(shù)提供方式的影響是至關(guān)重要的。

          存儲(chǔ)安全標(biāo)準(zhǔn)化進(jìn)程目前還處于萌芽階段。ANSI成立了T11光纖通信安全協(xié)議(FC-SP)工作組來設(shè)計(jì)存儲(chǔ)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)的框架。目前已經(jīng)提交了多個(gè)協(xié)議草案,包括FCSec協(xié)議,它實(shí)現(xiàn)了IPSec和光纖通訊的一體化;同時(shí)提交的還有針對(duì)光纖通訊的挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)的一個(gè)版本;交換聯(lián)結(jié)認(rèn)證協(xié)議(SLAP)使用了數(shù)字認(rèn)證使得多個(gè)交換機(jī)能夠互相認(rèn)證;光纖通信認(rèn)證協(xié)議(FCAP)是SLAP的一個(gè)擴(kuò)展協(xié)議。IEEE的存儲(chǔ)安全工作組正在準(zhǔn)備制定一個(gè)有關(guān)將加密算法和方法標(biāo)準(zhǔn)化的議案。

          存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)(SNIA)于2002年建立了存儲(chǔ)安全工業(yè)論壇(SSIF),但是由于不同的產(chǎn)品商支持不同的協(xié)議,因此實(shí)現(xiàn)協(xié)議間的互操作性還有很長(zhǎng)一段路要走。

          關(guān)注存儲(chǔ)交換安全

          大家都已經(jīng)注意到了為了保證存儲(chǔ)安全,應(yīng)該在存儲(chǔ)交換機(jī)和企業(yè)網(wǎng)絡(luò)中的其它交換機(jī)上應(yīng)用相同的安全預(yù)警機(jī)制,因此,對(duì)于存儲(chǔ)交換機(jī)也應(yīng)有一些特殊的要求。

          存儲(chǔ)交換安全最重要的一個(gè)方面是保護(hù)光纖管理接口,如果管理控制臺(tái)沒有很好的安全措施,則一個(gè)非授權(quán)用戶有可能有意或無意地入侵系統(tǒng)或改變系統(tǒng)配置。有一種分布鎖管理器可以防止這類事情發(fā)生。用戶需要輸入ID和加密密碼才能夠訪問交換機(jī)光纖的管理界面。為了將SAN設(shè)備的管理端口通過安全認(rèn)證機(jī)制保護(hù)起來,最好是將SAN配置管理工作集中化,并且對(duì)管理控制臺(tái)和交換機(jī)之間的通訊進(jìn)行加密。另外一個(gè)方面,在將交換機(jī)接入到光纖網(wǎng)絡(luò)之前,也應(yīng)該通過ACL和PKI機(jī)制實(shí)現(xiàn)授權(quán)訪問和安全認(rèn)證。因此,交換機(jī)間鏈接應(yīng)當(dāng)建立在嚴(yán)密的安全防范措施下。那么,僅有得到授權(quán)的主機(jī)才被允許鏈接到交換光纖,利用端口級(jí)的ACL,網(wǎng)絡(luò)管理員可以將具體的每個(gè)端口分派給可以允許聯(lián)結(jié)的主機(jī)。
         

        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線