淺析IP SAN訪問控制管理

本文將為大家簡(jiǎn)單介紹IP SAN訪問控制管理的相關(guān)內(nèi)容，以下是文章的詳細(xì)內(nèi)容，有興趣的讀者不妨看看此篇文章，希望能為各位讀者帶來(lái)些許的收獲。

訪問控制管理

完善IT部門日常工作管理機(jī)制，定時(shí)檢查區(qū)域網(wǎng)絡(luò)連線狀況以保障基礎(chǔ)網(wǎng)絡(luò)線路的正確性，經(jīng)常檢查存儲(chǔ)系統(tǒng)的訪問日志，確認(rèn)存儲(chǔ)系統(tǒng)訪問者都經(jīng)過(guò)授權(quán)許可。

限制管理區(qū)域網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的終端與內(nèi)外網(wǎng)的互訪，并將SAN存儲(chǔ)系統(tǒng)內(nèi)的重要數(shù)據(jù)劃分不同的區(qū)塊并進(jìn)行屏蔽，將不同區(qū)塊與對(duì)應(yīng)部門相關(guān)授權(quán)人員不同級(jí)別的訪問權(quán)限對(duì)應(yīng)，不定時(shí)更換訪問密碼以避免黑客的授權(quán)欺騙攻擊。

通過(guò)設(shè)置訪問控制列表，對(duì)設(shè)備的身份合法性進(jìn)行控制，限制非法設(shè)備接入IP SAN網(wǎng)絡(luò)中訪問資源。作為SAN存儲(chǔ)系統(tǒng)的組成部分，華三公司提供的IP SAN交換機(jī)(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,對(duì)訪問存儲(chǔ)系統(tǒng)資源的設(shè)備進(jìn)行精細(xì)的安全訪問權(quán)限過(guò)濾，防止非法設(shè)備接入網(wǎng)絡(luò)中獲取資源。

目前市面上主流的IP SAN存儲(chǔ)系統(tǒng)都可支持基于IP地址的訪問控制列表，不過(guò)，稍微厲害一點(diǎn)的黑客就能夠輕松地破解這道安全防線。

另一個(gè)辦法就是使用iSCSI客戶機(jī)的起始端名字(initiator name)。與光纖系統(tǒng)的全球名字(WORLD WIDE NAME，簡(jiǎn)稱WWN，全球統(tǒng)一的64位無(wú)符號(hào)的名稱標(biāo)識(shí)符)、以太網(wǎng)的MAC地址一樣，起始端名字指的是為每臺(tái)iSCSI主機(jī)總線適配器(HBA)或軟件起始端(software initiator)分配到的全球唯一的名稱標(biāo)識(shí)。

不過(guò)，它的缺點(diǎn)也與WWN、MAC地址一樣，很容易被制服。這與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術(shù)一樣，其首要任務(wù)只是為了隔離客戶端(Targetor)的存儲(chǔ)資源，而非構(gòu)筑有效的安全防范屏障。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]