北京快三开奖

  • <tr id="U9YkSO"><strong id="U9YkSO"></strong><small id="U9YkSO"></small><button id="U9YkSO"></button><li id="U9YkSO"><noscript id="U9YkSO"><big id="U9YkSO"></big><dt id="U9YkSO"></dt></noscript></li></tr><ol id="U9YkSO"><option id="U9YkSO"><table id="U9YkSO"><blockquote id="U9YkSO"><tbody id="U9YkSO"></tbody></blockquote></table></option></ol><u id="U9YkSO"></u><kbd id="U9YkSO"><kbd id="U9YkSO"></kbd></kbd>

    <code id="U9YkSO"><strong id="U9YkSO"></strong></code>

    <fieldset id="U9YkSO"></fieldset>
          <span id="U9YkSO"></span>

              <ins id="U9YkSO"></ins>
              <acronym id="U9YkSO"><em id="U9YkSO"></em><td id="U9YkSO"><div id="U9YkSO"></div></td></acronym><address id="U9YkSO"><big id="U9YkSO"><big id="U9YkSO"></big><legend id="U9YkSO"></legend></big></address>

              <i id="U9YkSO"><div id="U9YkSO"><ins id="U9YkSO"></ins></div></i>
              <i id="U9YkSO"></i>
            1. <dl id="U9YkSO"></dl>
              1. <blockquote id="U9YkSO"><q id="U9YkSO"><noscript id="U9YkSO"></noscript><dt id="U9YkSO"></dt></q></blockquote><noframes id="U9YkSO"><i id="U9YkSO"></i>
                企业空间 推销商城 存储论坛
                北京快三开奖全闪存阵列 IBM云盘算 Acronis 安克诺斯 安腾普 腾保数据
                首页 > 技能园地 > 网络存储 > 注释

                SAN网络存储中的平安隐患清点

                2015-04-27 15:07泉源:中国存储网
                导读:为了包管SAN的高度平安性,企业必须对SAN的罕见危害和打击有统统的理解,然后才干有的放矢,最大水平抵挡这些要挟,尽能够防止零碎进展及经济丧失。

                网络曾经和各人形影相随,做什么事大局部都要经过网络来处理了。网络技能的不时开展,协助用户经过网络存储数据的进程变得更为复杂和疾速。但是随着存储地区网络SAN的日益遍及,SAN的平安题目日益遭到人们的存眷。为了包管SAN的高度平安性,企业必须对SAN的罕见危害和打击有统统的理解,然后才干有的放矢,最大水平抵挡这些要挟,尽能够防止零碎进展及经济丧失。

                打击点超过根底设备的多个条理。第1、5和6点从物理层上开端,在光缆衔接到安装时发作。1到4点能够在物理衔接完成后启动。假如掌握每个打击点的详细要挟,则可以定出最无效的对策,本文将剖析下列各种要挟:

                未经受权的拜访

                未经受权的拜访是最为罕见的平安要挟,它的成因可以是复杂地接上了错误的电线,庞大者可以是将一台已被入侵的效劳器衔接到光纤网络上,未被受权的拜访将招致别的方式的打击,因而必需先作引见。

                零碎办理员可在下列打击点控制未经受权拜访的入侵:

                1.带外办理使用顺序:交流机有非光纤通道端口,比方以太网端口和串行端口,以满意办理任务的需求。经过树立一个独立于公司内联网的公用网络来办理存储地区网络SAN,便可以限定对以太网端口的拜访。假如交流机是与企业内联网络衔接的,可以运用防火墙和VPN限定对以太网端口的拜访。经过控制物理拜访和对运用者受权以辨别,可以限定对串行端口(RS 232)的拜访。物理拜访衔接以太网端口后,交流机还可以依据拜访控制名单,限定拜访交流机的顺序,交流机也可以限定经过3号打击点停止拜访的顺序或一般用户。

                2.带内办理使用顺序:未经受权拜访也可经过带内办理使用顺序入侵交流机。带内办理顺序将拜访诸如定名效劳器和光纤网络设置装备摆设效劳器等光纤网络效劳。办理拜访控制名单(MACL)控制对光纤网络的拜访。

                3.用户到使用顺序:一旦用户取得一个办理顺序的物理拜访权,他们需求登录到这个使用顺序上。办理使用顺序是依据用户的任务性子来赐与差别水平的拜访受权。办理使用顺序需求支持拜访控制名单和每个用户的脚色。

                4.设置装备摆设到设置装备摆设:当两个Nx_端口在光纤网络登录之后,一个Nx_端口可以端口登录(PLOGI)到另一个Nx_端口,分区及逻辑单位屏蔽可以在这关键限定设置装备摆设的拜访。每一个交流机上的运动地区设置会在光纤网络上实行分区限定。存储设置装备摆设将维持有关逻辑单位屏蔽的信息。

                5.设置装备摆设对光纤网络:当一个设置装备摆设(Nx_端口)衔接到光纤网络(Fx_端口),设置装备摆设将发送一个F端口登录(FLOGI)指令,这一指令包罗了种种端口环球名字(WWN)的参数。交流机可以同意端口在光纤网络登录或回绝FLOGI并中断衔接。交流机需求维持一个答应衔接WWN的拜访控制列表。真正的数据要挟发作在设置装备摆设登录至光纤网络和进入打击点4或5之后。

                6.交流机对交流机:当两台交流机衔接时,交流链接参数(ELP)和外部链接效劳(ILS)将发送相似交流机环球名字(WWN)的相干信息。一台交流机可以同意别的交流机构成一个更大的光纤网络,假如另一台交流机不被容许参加的话,则可以断绝链接。每个交流机都需维持一个受权交流机的拜访控制名单(ACL)。

                7.存储数据:存储的数据易于遭到外部打击、来自光纤网络的未经受权拜访的打击,和基于主机的打击。比方存储协议全都是cleartext,因而存储、备份及主机办理员能在没有拜访限定及登录的状况下拜访未经处置的原始存储数据。存储加暗码设置装备摆设提供为存储数据提供一层维护,在有些状况下提供附加的使用层身份辨别和拜访控制。

                经过拜访控制名单(ACL)控制拜访只可以避免不测变乱,但它不克不及进攻那些假伪身份的打击者。不幸的是,大少数网络盗贼能很容易地获得冒充身份。为了制止诈骗者(盗用别人身份者)浸透入存储地区网络SAN,那些取得受权的集体也必需颠末身份判定。

                诈骗 (Spoofing)

                诈骗是与未经受权拜访有关的一种要挟。诈骗以多种方式和称号:仿冒、身份盗取、掳掠、假装和WWN诈骗。诈骗是依据它所发作的法层面而定名,此中一种方式是冒充用户,而另一种是假装成一个已被受权的WWN。

                抗击诈骗的办法便是让盗取者提供一些只要被受权的用户才知晓的特别信息。关于用户来说,需求晓得和提供的只是一个暗码。关于设置装备摆设而言,Nx_端口或交流机的WWN是与这个秘密信息相连的。办理话路也可以停止身份辨别,确保入侵者不克不及办理光纤网络或设置装备摆设。

                零碎办理员可在下列打击点检测存储地区网络SAN的诈骗举动:

                1.带外办理使用顺序:当一个办理顺序顺序打仗交流机的时分,交流机就会对它停止身份辨别,有关用户身份的辨别是在第6个打击点停止。

                2.带内办理使用顺序:带内办理使用顺序会用“通用传输(CT)身份辨别”来制止对光纤效劳的诈骗指令。

                3.用户到使用顺序:当用户在使用顺序登录时,办理顺序将要求用户提供一个暗码、秘密或许标志。使用顺序可以经过生物测定命据来辨认用户,像指纹、虹膜扫描、乃至DNA样本。

                4.设置装备摆设到设置装备摆设:当Nx_端口收到一个PLOGI后,它会向提出要求的端口出示身份证明。CHAP是用于辨别Nx_端口的规范光纤渠道机制。提出要求的Nx_端口也应该要求另一个Nx_端口提供身份证明,如许才可确保两个端口的身份都是真确的,双向身份辨别通常被称为“互相辨别”。

                5.设置装备摆设到光纤网络:当一个设置装备摆设收回光纤登录指令(FLOGI),交流机将提出一个CHAP要求以便辨别用户身份。Nx_端口需求对CHAP作出回应,同时要求交流机停止互相辨别。

                6.交流机到交流机:当一个交流机与另一个交流机衔接时,两台交流机需用CHAP相互辨别身份。

                关于每一点的身份辨别,以下是四种能够的办法:

                1.用户身份辨别

                2.以太网CHAP实体身份辨别

                3.CT讯息辨别

                4.光纤渠道DH-CHAP实体身份辨别

                当实体及用户的身份被辨别后,存储地区网络SAN传输就可以在受权设置装备摆设之间平安地活动,但在衔接中活动的数据依然会遭到数据偷盗(Sniffing)的要挟。

                数据偷盗(Sniffing)

                数据会经过许多种途径被盗取,此中一种途径便是在数据还在传输的进程中停止偷盗,Sniffing 是对数据线停止窥伺,比方“光纤通道剖析器”便是一种可以完全监控数据传输的数据偷盗办法。假如数据偷盗做得奇妙,它是不会影响设置装备摆设的操纵。避免数据偷盗的办法是加密(encryption)。“封装平安法”(ESP)可以对光纤传输数据停止加密,以确保平安性。以太网传输能经过SSL或许相似的协议来加密。这些加密技能可以运用差别的加密水平使得被窃数据没有无隙可乘。

                存储加密

                随着存储地区网络SAN变得日益庞大,少量数据在一个共享的零碎里被集成和复制,用户开端存眷存储数据的平安。McDATA与其协作同伴通力进行,不时开辟整合处理方案,对存储数据停止了如指掌的线速加密维护。这些设置装备摆设运用硬件加密及钥匙办理把存储数据锁上,同时实行全体光纤网络平安及拜访控制,这些经McDATA认证的处理方案曾经被多个当局单元和企业用户接纳。

                持续阅读
                中国存储网声明:此文观念不代表本站态度,若有版权疑问请联络我们。
                相干阅读
                产物引荐
                头条阅读
                栏目热门

                Copyright @ 2006-2019 ChinaStor.COM 版权一切 京ICP备14047533号

                中国存储网

                存储第一站,存储流派,存储在线交换平台