淺析IP SAN訪問控制管理

本文將為大家簡單介紹IP SAN訪問控制管理的相關內容，以下是文章的詳細內容，有興趣的讀者不妨看看此篇文章，希望能為各位讀者帶來些許的收獲。

訪問控制管理

完善IT部門日常工作管理機制，定時檢查區(qū)域網(wǎng)絡連線狀況以保障基礎網(wǎng)絡線路的正確性，經(jīng)常檢查存儲系統(tǒng)的訪問日志，確認存儲系統(tǒng)訪問者都經(jīng)過授權許可。

限制管理區(qū)域網(wǎng)絡存儲系統(tǒng)的終端與內外網(wǎng)的互訪，并將SAN存儲系統(tǒng)內的重要數(shù)據(jù)劃分不同的區(qū)塊并進行屏蔽，將不同區(qū)塊與對應部門相關授權人員不同級別的訪問權限對應，不定時更換訪問密碼以避免黑客的授權欺騙攻擊。

通過設置訪問控制列表，對設備的身份合法性進行控制，限制非法設備接入IP SAN網(wǎng)絡中訪問資源。作為SAN存儲系統(tǒng)的組成部分，華三公司提供的IP SAN交換機(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,對訪問存儲系統(tǒng)資源的設備進行精細的安全訪問權限過濾，防止非法設備接入網(wǎng)絡中獲取資源。

目前市面上主流的IP SAN存儲系統(tǒng)都可支持基于IP地址的訪問控制列表，不過，稍微厲害一點的黑客就能夠輕松地破解這道安全防線。

另一個辦法就是使用iSCSI客戶機的起始端名字(initiator name)。與光纖系統(tǒng)的全球名字(WORLD WIDE NAME，簡稱WWN，全球統(tǒng)一的64位無符號的名稱標識符)、以太網(wǎng)的MAC地址一樣，起始端名字指的是為每臺iSCSI主機總線適配器(HBA)或軟件起始端(software initiator)分配到的全球唯一的名稱標識。

不過，它的缺點也與WWN、MAC地址一樣，很容易被制服。這與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術一樣，其首要任務只是為了隔離客戶端(Targetor)的存儲資源，而非構筑有效的安全防范屏障。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]