www.2cto.com編外:可以結合本文看看:
如何才能將網路黑客阻擋在iscsi san系統的大門之外?本文中將會推薦5種解決辦法。提醒讀者注意的是,這些辦法雖然都能起到維護ip san系統安全的作用,但各自都存在一定的優缺點。建議使用者在實施時仔細斟酌,只要使用得當,可大幅提公升儲存網路的安全效能。
1、合理利用訪問控制表(簡稱acl)
網路管理員可通過設定訪問控制表,限制ip san系統中資料檔案對不同訪問者的開放許可權。目前市面上大多數主流的儲存系統都可支援基於ip位址的訪問控制表,不過,稍微厲害一點的黑客就能夠輕鬆地破解這道安全防線。另乙個辦法就是使用iscsi客戶機的引發器名稱(initiator name)。
與光纖系統的全球名稱(world wide name,簡稱wwn,全球統一的64位無符號的名稱識別符號)、乙太網的**訪問控制(簡稱mac)位址一樣,引發器名稱指的是每台iscsi主機匯流排介面卡(hba)或軟體引發器(software initiator)分配到的全球唯一的名稱標識。
不過,它的缺點也與wwn、mac位址一樣,很容易被**,特別是對於基於軟體的iscsi驅動器而言。訪問控制表,與光纖系統的邏輯單元遮蔽(lun masking)技術一樣,其首要任務只是為了隔離客戶端的儲存資源,而非構築強有力的安全防範屏障。
2、使用行業標準的使用者身份驗證機制
諸如問詢-握手身份驗證協議(challenge-handshake authentication protocol,chap)之類的身份驗證協議,將會通過匹配使用者名稱和登陸密碼,來識別使用者的身份。密碼不需要以純文字的形式在網路中傳輸,從而避免了掉包和被攔截的情況發生,所以,該協議贏得了許多網路管理員的信任。不過,值得一提的是,這些密碼必須存放在連線節點的終端,有時候甚至以純文字檔案的形式儲存。遠端身份驗證撥入使用者服務(remote authentication dial-in user service,radius)協議能夠將密碼從iscsi目標裝置上轉移到**授權伺服器上,對終端進行認證、授權和統計,即使如此,網路黑客仍然可以通過偽設定的辦法,侵入客戶端。
3、保護好管理介面
通過分析歷年來企業級光纖系統遭受攻擊的案例,會得到乙個重要的結論:保護好儲存裝置的管理介面是極其必要的。無論san的防範如何嚴密,網路黑客只要使用乙個管理應用程式,就能夠重新分配儲存器的賦值,更改、偷竊甚至摧毀資料檔案。因此,使用者應該將管理介面隔離在安全的區域網內,設定複雜的登入密碼來保護管理員帳戶;並且與儲存產品**商們確認一下,其設定的預設後門帳戶並非使用常見的匿名登入密碼。基於角色的安全技術和作業帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果使用者現有的儲存系統可支援這些技術的話,建議不妨加以利用。
4、對網路傳輸的資料報進行加密
ip security(ipsec)是一種用於加密和驗證ip資訊包的標準協議。ipsec提供了兩種加密通訊手段:①ipsec tunnel:整個ip封裝在ipsec報文,提供ipsec-gateway之間的通訊;②ipsec transport:對ip包內的資料進行加密,使用原來的源位址和目的位址。transport模式只能加密每個資訊包的資料部分(即:有效載荷),對檔案頭不作任何處理;tunnel模式會將資訊包的資料部分和檔案頭一併進行加密,在不要求修改已配備好的裝置和應用的前提下,讓網路黑客無法看到實際的通訊源位址和目的位址,並且能夠提供專用網路通過internet加密傳輸的通道。
因此,絕大多數使用者均選擇使用tunnel模式。使用者需要在接收端設定一台支援ipsec協議的解密裝置,對封裝的資訊包進行解密。記住,如果接收端與傳送端並非共用乙個金鑰的話,ipsec協議將無法發揮作用。為了確保網路的安全,儲存**貨和諮詢顧問們都建議使用者使用ipsec協議來加密iscsi系統中所有傳輸的資料。不過,值得注意的是,ipsec雖然不失為一種強大的安全保護技術,卻會嚴重地干擾網路系統的效能。有鑑於此,如非必要的話,盡量少用ipsec軟體。
5、加密閒置資料
加密磁碟上存放的資料,也是非常必要的。問題是,加密任務應該是在客戶端(如:加密的檔案系統)、網路(如:加密解決方案),還是在儲存系統上完成呢?許多使用者都趨向於第一種選擇?d?d大多數企業級作業系統(包括windows和linux在內),都嵌入了強大的基於檔案系統的加密技術,何況在資料被傳送到網路之前實施加密,可以確保它**上傳輸時都處於加密狀態。當然,如果實行加密處理大大加重了cpu的負荷的話,你可以考慮將加密任務放到網路中?d?d或是交由基於磁碟陣列的加密裝置?d?d來處理,只不過效果會差一點兒,部分防護遮蔽有可能會失效。提醒使用者注意的是:千萬要保管好你的金鑰,否則,恐怕連你自己也無法訪問那些加密的資料了。
mysql五大儲存引擎 mysql五大儲存引擎
mylsam mylsam表無法處理事務,這就意味著有事務處理需求的表,不能使用mylsam儲存引擎。innodb innodb是乙個健壯的事務型儲存引擎mysql5.6版本以後innodb就是作為預設的儲存引擎。innodb還引入了行級鎖定和鍵外約束。memory 使用mysql memory儲存...
mysql五大儲存引擎 mysql五大儲存引擎
mylsam mylsam表無法處理事務,這就意味著有事務處理需求的表,不能使用mylsam儲存引擎。innodb innodb是乙個健壯的事務型儲存引擎mysql5.6版本以後innodb就是作為預設的儲存引擎。innodb還引入了行級鎖定和鍵外約束。memory 使用mysql memory儲存...
Android的五大儲存方式
昨晚做了乙個夢,夢見王思聰喜歡我,還是不要不要的那種,唉,簡直是把花痴當不要臉。好了,夢醒了,繼續學習!1 sharedpreferences儲存 儲存基本型別的數值,比如使用者名稱 密碼等等 路徑 data data 包名 shared prefs 自定義檔名.xml 根標籤為map,其他顯示方式...