《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 淺談IP SAN安全常識
淺談IP SAN安全常識
來源:watchstor.com
摘要: 本文將為大家簡單介紹IP SAN安全常識的相關(guān)內(nèi)容,以下是文章的詳細內(nèi)容,有興趣的讀者不妨看看此篇文章,希望能為各位讀者帶來些許的收獲。
Abstract:
Key words :

本文將為大家簡單介紹IP SAN安全常識的相關(guān)內(nèi)容,以下是文章的詳細內(nèi)容,有興趣的讀者不妨看看此篇文章,希望能為各位讀者帶來些許的收獲。

保護好管理界面
通過分析歷年來企業(yè)級光纖系統(tǒng)遭受攻擊的案例,會得到一個重要的結(jié)論:保護好存儲設(shè)備的管理界面是極其必要的。無論IP SAN系統(tǒng)安全的防范如何嚴密,網(wǎng)絡(luò)黑客只要使用一個管理應(yīng)用程序,就能夠重新分配存儲器的賦值,更改、偷竊甚至摧毀數(shù)據(jù)文件。
因此,用戶應(yīng)該將管理界面隔離在安全的局域網(wǎng)內(nèi),設(shè)置復(fù)雜的登錄密碼來保護管理員帳戶;并且與存儲產(chǎn)品供應(yīng)商們確認一下,其設(shè)定的默認后門帳戶并非使用常見的匿名登錄密碼。
基于角色的安全技術(shù)和作業(yè)帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果用戶現(xiàn)有的存儲系統(tǒng)可支持這些技術(shù)的話,建議不妨加以利用。
對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進行加密
IP security(IPsec)是一種用于加密和驗證IP信息包的標準協(xié)議。IPSec提供了兩種IP SAN系統(tǒng)安全加密通訊手段:
①IPSec Tunnel:整個IP封裝在IPSec報文,提供IPSec-gateway之間的通訊;
②IPSec Transport:對IP包內(nèi)的數(shù)據(jù)進行加密,使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數(shù)據(jù)部分(即:有效載荷),對文件頭不作任何處理;Tunnel模式會將信息包的數(shù)據(jù)部分和文件頭一并進行加密,在不要求修改已配備好的設(shè)備和應(yīng)用的前提下,讓網(wǎng)絡(luò)黑客無法看到實際的通訊源地址和目的地址,并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ馈R虼?,絕大多數(shù)用戶均選擇使用Tunnel模式。
用戶需要在接收端設(shè)置一臺支持IPsec協(xié)議的解密設(shè)備,對封裝的信息包進行解密。記住,如果接收端與發(fā)送端并非共用一個密鑰的話,IPsec協(xié)議將無法發(fā)揮作用。為了確保IP SAN系統(tǒng)安全,存儲供應(yīng)貨和咨詢顧問們都建議用戶使用IPsec協(xié)議來加密iSCSI系統(tǒng)中所有傳輸?shù)臄?shù)據(jù)。
不過,值得注意的是,IPsec雖然不失為一種強大的安全保護技術(shù),卻會嚴重地干擾網(wǎng)絡(luò)系統(tǒng)的性能。有鑒于此,如非必要的話,盡量少用IPsec軟件。
加密閑置數(shù)據(jù)
加密磁盤上存放的數(shù)據(jù),也是IP SAN系統(tǒng)安全非常必要的。問題是,加密任務(wù)應(yīng)該是在客戶端(如:加密的文件系統(tǒng))、網(wǎng)絡(luò)(如:加密解決方案),還是在存儲系統(tǒng)上完成呢?許多用戶都趨向于第一種選擇--大多數(shù)企業(yè)級操作系統(tǒng)(包括Windows和Linux在內(nèi)),都嵌入了強大的基于文件系統(tǒng)的加密技術(shù),何況在數(shù)據(jù)被傳送到網(wǎng)絡(luò)之前實施加密,可以確保它在線上傳輸時都處于加密狀態(tài)。
當然,如果實行加密處理大大加重了CPU的負荷的話,你可以考慮將加密任務(wù)放到網(wǎng)絡(luò)中--或是交由基于磁盤陣列的加密設(shè)備--來處理,只不過效果會差一點兒,部分防護屏蔽有可能會失效。提醒用戶注意的是:千萬要保管好你的密鑰,否則,恐怕連你自己也無法訪問那些加密的數(shù)據(jù)了。
 

 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。