1. 帶外管理應(yīng)用程序:交換機有非光纖通道端口,例如以太網(wǎng)端口和串行端口����,以滿足管理工作的需要����。通過建立一個獨立于公司內(nèi)部網(wǎng)的專用網(wǎng)絡(luò)來管理SAN�����,便可以限制對以太網(wǎng)端口的訪問。如果交換機是與企業(yè)內(nèi)部網(wǎng)絡(luò)連接的�����,可以使用防火墻和VPN限制對以太網(wǎng)端口的訪問��。通過控制物理訪問和對使用者授權(quán)以鑒別���,可以限制對串行端口(RS 232)的訪問��。物理訪問連接以太網(wǎng)端口后�����,交換機還可以根據(jù)訪問控制列表���,限制訪問交換機的程序,交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶����。
2. 帶內(nèi)管理應(yīng)用程序:未經(jīng)授權(quán)訪問也可通過帶內(nèi)管理應(yīng)用程序入侵交換機。帶內(nèi)管理程序?qū)⒃L問諸如命名服務(wù)器和光纖網(wǎng)絡(luò)配置服務(wù)器等光纖網(wǎng)絡(luò)服務(wù)��。管理訪問控制列表(MACL)控制對光纖網(wǎng)絡(luò)的訪問。
3. 用戶到應(yīng)用程序:一旦用戶獲得一個管理程序的物理訪問權(quán)���,他們需要登錄到這個應(yīng)用程序上�。管理應(yīng)用程序是根據(jù)用戶的工作性質(zhì)來給予不同級別的訪問授權(quán)����。管理應(yīng)用程序需要支持訪問控制列表和每個用戶的角色。
4. 設(shè)備到設(shè)備:當(dāng)兩個Nx_端口在光纖網(wǎng)絡(luò)登錄之后����,一個Nx_端口可以端口登錄到另一個Nx_端口,分區(qū)及邏輯單元屏蔽可以在這個環(huán)節(jié)限制設(shè)備的訪問�����。每一個交換機上的活動區(qū)域設(shè)置會在光纖網(wǎng)絡(luò)上執(zhí)行分區(qū)限制�。存儲設(shè)備將維持有關(guān)邏輯單元屏蔽的信息。
5. 設(shè)備對光纖網(wǎng)絡(luò):當(dāng)一個設(shè)備(Nx_端口)連接到光纖網(wǎng)絡(luò)(Fx_端口)�,設(shè)備將發(fā)送一個F端口登錄指令,這一指令包括了各種端口全球名字的參數(shù)��。交換機可以批準(zhǔn)端口在光纖網(wǎng)絡(luò)登錄或拒絕F端口登錄并中止連接��。交換機需要維持一個準(zhǔn)許連接WWN的訪問控制列表�。真正的數(shù)據(jù)威脅發(fā)生在設(shè)備登錄至光纖網(wǎng)絡(luò)和進入攻擊點4或5之后。
6. 交換機對交換機:當(dāng)兩臺交換機連接時�����,交換鏈接參數(shù)(ELP)和內(nèi)部鏈接服務(wù)(ILS)將發(fā)送類似交換機WWN的相關(guān)信息�。一臺交換機可以批準(zhǔn)其他交換機組成一個更大的光纖網(wǎng)絡(luò),如果另一臺交換機不被允許加入的話��,則可以隔離鏈接��。每個交換機都需維持一個授權(quán)交換機的訪問控制列表����。
7. 存儲數(shù)據(jù):存儲的數(shù)據(jù)易于受到內(nèi)部攻擊、來自光纖網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問的攻擊和基于主機的攻擊�。例如存儲協(xié)議全都是明文,因此存儲�����、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經(jīng)處理的原始存儲數(shù)據(jù)��。存儲加密碼設(shè)備為存儲數(shù)據(jù)提供一層保護����,在有些情況下提供附加的應(yīng)用層身份鑒別和訪問控制。
應(yīng)對欺騙與數(shù)據(jù)盜竊
通過訪問控制列表控制訪問只可以防止意外事故,但它不能防御那些假偽身份的攻擊者�。不幸的是,大多數(shù)網(wǎng)絡(luò)盜賊能很容易地取得假冒身份����。為了阻止詐騙者(盜用他人身份者)滲透網(wǎng)絡(luò),那些獲得授權(quán)的個體也必須經(jīng)過身份鑒定����。
抗擊欺騙的方法就是讓竊取者提供一些只有被授權(quán)的用戶才知曉的特殊信息。對于用戶來說����,需要知道和提供的只是一個密碼。對于設(shè)備而言�,Nx_端口或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑒別�����,確保入侵者不能管理光纖網(wǎng)絡(luò)或設(shè)備��。
對于每一點的身份鑒別�����,以下是四種可能的方法:用戶身份鑒別、以太網(wǎng)CHAP實體身份鑒別��、CT訊息鑒別以及光纖通道DH-CHAP實體身份鑒別�����。
當(dāng)實體及用戶的身份被鑒別后���,傳輸就可以在授權(quán)設(shè)備之間安全地流動,但在連接中流動的數(shù)據(jù)仍然會受到數(shù)據(jù)盜竊的威脅���。
防止數(shù)據(jù)盜竊的方法是加密(encryption)�����?���!胺庋b安全凈載”(ESP)可以對光纖傳輸數(shù)據(jù)進行加密���,以確保安全性�����。以太網(wǎng)傳輸能通過SSL或者類似的協(xié)議來加密���。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒有可乘之機�。目前��,已經(jīng)有一些廠商提供在SAN中進行加密的方案�。由于光纖通道SAN尤其關(guān)注高性能,因此加密方案應(yīng)該盡量不影響SAN的性能�,所以多數(shù)方案都是基于硬件的加密。
防范意識有待提高
在國外�,有些大型存儲用戶對安全問題已經(jīng)足夠重視,特殊用戶甚至投入了與SAN硬件成本相當(dāng)?shù)馁Y金來解決安全問題�����。與之相比����,國內(nèi)的用戶則落后很多,雷濤說�����,目前幾乎還沒有看到國內(nèi)用戶在安全方面提出任何要求���。但是�,隨著SAN的發(fā)展與演進,尤其是IP存儲的廣泛應(yīng)用���,用戶會遇到更多安全挑戰(zhàn)���,這些都要求用戶在安全方法意識方面亟待提高�。
