淺析IP SAN訪問控制管理

本文將為大家簡單介紹IP SAN訪問控制管理的相關(guān)內(nèi)容，以下是文章的詳細(xì)內(nèi)容，有興趣的讀者不妨看看此篇文章，希望能為各位讀者帶來些許的收獲。

訪問控制管理

完善IT部門日常工作管理機(jī)制，定時檢查區(qū)域網(wǎng)絡(luò)連線狀況以保障基礎(chǔ)網(wǎng)絡(luò)線路的正確性，經(jīng)常檢查存儲系統(tǒng)的訪問日志，確認(rèn)存儲系統(tǒng)訪問者都經(jīng)過授權(quán)許可。

限制管理區(qū)域網(wǎng)絡(luò)存儲系統(tǒng)的終端與內(nèi)外網(wǎng)的互訪，并將SAN存儲系統(tǒng)內(nèi)的重要數(shù)據(jù)劃分不同的區(qū)塊并進(jìn)行屏蔽，將不同區(qū)塊與對應(yīng)部門相關(guān)授權(quán)人員不同級別的訪問權(quán)限對應(yīng)，不定時更換訪問密碼以避免黑客的授權(quán)欺騙攻擊。

通過設(shè)置訪問控制列表，對設(shè)備的身份合法性進(jìn)行控制，限制非法設(shè)備接入IP SAN網(wǎng)絡(luò)中訪問資源。作為SAN存儲系統(tǒng)的組成部分，華三公司提供的IP SAN交換機(jī)(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,對訪問存儲系統(tǒng)資源的設(shè)備進(jìn)行精細(xì)的安全訪問權(quán)限過濾，防止非法設(shè)備接入網(wǎng)絡(luò)中獲取資源。

目前市面上主流的IP SAN存儲系統(tǒng)都可支持基于IP地址的訪問控制列表，不過，稍微厲害一點(diǎn)的黑客就能夠輕松地破解這道安全防線。

另一個辦法就是使用iSCSI客戶機(jī)的起始端名字(initiator name)。與光纖系統(tǒng)的全球名字(WORLD WIDE NAME，簡稱WWN，全球統(tǒng)一的64位無符號的名稱標(biāo)識符)、以太網(wǎng)的MAC地址一樣，起始端名字指的是為每臺iSCSI主機(jī)總線適配器(HBA)或軟件起始端(software initiator)分配到的全球唯一的名稱標(biāo)識。

不過，它的缺點(diǎn)也與WWN、MAC地址一樣，很容易被制服。這與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術(shù)一樣，其首要任務(wù)只是為了隔離客戶端(Targetor)的存儲資源，而非構(gòu)筑有效的安全防范屏障。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]