1. 帶外管理應(yīng)用程序:交換機(jī)有非光纖通道端口����,例如以太網(wǎng)端口和串行端口�,以滿足管理工作的需要����。通過建立一個(gè)獨(dú)立于公司內(nèi)部網(wǎng)的專用網(wǎng)絡(luò)來管理SAN,便可以限制對(duì)以太網(wǎng)端口的訪問����。如果交換機(jī)是與企業(yè)內(nèi)部網(wǎng)絡(luò)連接的���,可以使用防火墻和VPN限制對(duì)以太網(wǎng)端口的訪問�。通過控制物理訪問和對(duì)使用者授權(quán)以鑒別�,可以限制對(duì)串行端口(RS 232)的訪問。物理訪問連接以太網(wǎng)端口后���,交換機(jī)還可以根據(jù)訪問控制列表�����,限制訪問交換機(jī)的程序�,交換機(jī)也可以限制通過3號(hào)攻擊點(diǎn)進(jìn)行訪問的程序或個(gè)別用戶。
2. 帶內(nèi)管理應(yīng)用程序:未經(jīng)授權(quán)訪問也可通過帶內(nèi)管理應(yīng)用程序入侵交換機(jī)����。帶內(nèi)管理程序?qū)⒃L問諸如命名服務(wù)器和光纖網(wǎng)絡(luò)配置服務(wù)器等光纖網(wǎng)絡(luò)服務(wù)。管理訪問控制列表(MACL)控制對(duì)光纖網(wǎng)絡(luò)的訪問���。
3. 用戶到應(yīng)用程序:一旦用戶獲得一個(gè)管理程序的物理訪問權(quán)�����,他們需要登錄到這個(gè)應(yīng)用程序上�。管理應(yīng)用程序是根據(jù)用戶的工作性質(zhì)來給予不同級(jí)別的訪問授權(quán)����。管理應(yīng)用程序需要支持訪問控制列表和每個(gè)用戶的角色。
4. 設(shè)備到設(shè)備:當(dāng)兩個(gè)Nx_端口在光纖網(wǎng)絡(luò)登錄之后���,一個(gè)Nx_端口可以端口登錄到另一個(gè)Nx_端口�,分區(qū)及邏輯單元屏蔽可以在這個(gè)環(huán)節(jié)限制設(shè)備的訪問。每一個(gè)交換機(jī)上的活動(dòng)區(qū)域設(shè)置會(huì)在光纖網(wǎng)絡(luò)上執(zhí)行分區(qū)限制����。存儲(chǔ)設(shè)備將維持有關(guān)邏輯單元屏蔽的信息。
5. 設(shè)備對(duì)光纖網(wǎng)絡(luò):當(dāng)一個(gè)設(shè)備(Nx_端口)連接到光纖網(wǎng)絡(luò)(Fx_端口)�����,設(shè)備將發(fā)送一個(gè)F端口登錄指令���,這一指令包括了各種端口全球名字的參數(shù)��。交換機(jī)可以批準(zhǔn)端口在光纖網(wǎng)絡(luò)登錄或拒絕F端口登錄并中止連接�。交換機(jī)需要維持一個(gè)準(zhǔn)許連接WWN的訪問控制列表�����。真正的數(shù)據(jù)威脅發(fā)生在設(shè)備登錄至光纖網(wǎng)絡(luò)和進(jìn)入攻擊點(diǎn)4或5之后���。
6. 交換機(jī)對(duì)交換機(jī):當(dāng)兩臺(tái)交換機(jī)連接時(shí)���,交換鏈接參數(shù)(ELP)和內(nèi)部鏈接服務(wù)(ILS)將發(fā)送類似交換機(jī)WWN的相關(guān)信息����。一臺(tái)交換機(jī)可以批準(zhǔn)其他交換機(jī)組成一個(gè)更大的光纖網(wǎng)絡(luò)����,如果另一臺(tái)交換機(jī)不被允許加入的話����,則可以隔離鏈接。每個(gè)交換機(jī)都需維持一個(gè)授權(quán)交換機(jī)的訪問控制列表����。
7. 存儲(chǔ)數(shù)據(jù):存儲(chǔ)的數(shù)據(jù)易于受到內(nèi)部攻擊、來自光纖網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問的攻擊和基于主機(jī)的攻擊���。例如存儲(chǔ)協(xié)議全都是明文����,因此存儲(chǔ)��、備份及主機(jī)管理員能在沒有訪問限制及登錄的情況下訪問未經(jīng)處理的原始存儲(chǔ)數(shù)據(jù)���。存儲(chǔ)加密碼設(shè)備為存儲(chǔ)數(shù)據(jù)提供一層保護(hù)��,在有些情況下提供附加的應(yīng)用層身份鑒別和訪問控制�。
應(yīng)對(duì)欺騙與數(shù)據(jù)盜竊
通過訪問控制列表控制訪問只可以防止意外事故,但它不能防御那些假偽身份的攻擊者����。不幸的是,大多數(shù)網(wǎng)絡(luò)盜賊能很容易地取得假冒身份����。為了阻止詐騙者(盜用他人身份者)滲透網(wǎng)絡(luò),那些獲得授權(quán)的個(gè)體也必須經(jīng)過身份鑒定��。
抗擊欺騙的方法就是讓竊取者提供一些只有被授權(quán)的用戶才知曉的特殊信息�����。對(duì)于用戶來說��,需要知道和提供的只是一個(gè)密碼����。對(duì)于設(shè)備而言,Nx_端口或交換機(jī)的WWN是與這個(gè)機(jī)密信息相連的�。管理話路也可以進(jìn)行身份鑒別,確保入侵者不能管理光纖網(wǎng)絡(luò)或設(shè)備�。
對(duì)于每一點(diǎn)的身份鑒別����,以下是四種可能的方法:用戶身份鑒別�����、以太網(wǎng)CHAP實(shí)體身份鑒別�����、CT訊息鑒別以及光纖通道DH-CHAP實(shí)體身份鑒別��。
當(dāng)實(shí)體及用戶的身份被鑒別后��,傳輸就可以在授權(quán)設(shè)備之間安全地流動(dòng)�,但在連接中流動(dòng)的數(shù)據(jù)仍然會(huì)受到數(shù)據(jù)盜竊的威脅���。
防止數(shù)據(jù)盜竊的方法是加密(encryption)���。“封裝安全凈載”(ESP)可以對(duì)光纖傳輸數(shù)據(jù)進(jìn)行加密��,以確保安全性����。以太網(wǎng)傳輸能通過SSL或者類似的協(xié)議來加密��。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒有可乘之機(jī)����。目前�����,已經(jīng)有一些廠商提供在SAN中進(jìn)行加密的方案�。由于光纖通道SAN尤其關(guān)注高性能,因此加密方案應(yīng)該盡量不影響SAN的性能��,所以多數(shù)方案都是基于硬件的加密�。
防范意識(shí)有待提高
在國(guó)外,有些大型存儲(chǔ)用戶對(duì)安全問題已經(jīng)足夠重視��,特殊用戶甚至投入了與SAN硬件成本相當(dāng)?shù)馁Y金來解決安全問題����。與之相比,國(guó)內(nèi)的用戶則落后很多��,雷濤說����,目前幾乎還沒有看到國(guó)內(nèi)用戶在安全方面提出任何要求�。但是�,隨著SAN的發(fā)展與演進(jìn),尤其是IP存儲(chǔ)的廣泛應(yīng)用�����,用戶會(huì)遇到更多安全挑戰(zhàn)��,這些都要求用戶在安全方法意識(shí)方面亟待提高����。
