WEB开发网
开发学院服务器存储技术 在交换机上实现存储安全 阅读

在交换机上实现存储安全

 2007-09-22 11:52:50 来源:WEB开发网   
核心提示:一般企业网络都具有一定的安全防范策略和设备,如防火墙、入侵监测系统(IDSs)、代理服务器等,在交换机上实现存储安全,尽管它们也可以在一定程度上起到为存储安全建立一层“防护线”的作用,但是,因此,较之软分区,存储安全的的核心技术应该从存储网络的安全性、交换机光纤、设备、阵列、主机总线适配器(HB

一般企业网络都具有一定的安全防范策略和设备,如防火墙、入侵监测系统(IDSs)、代理服务器等,尽管它们也可以在一定程度上起到为存储安全建立一层“防护线”的作用,但是,存储安全的的核心技术应该从存储网络的安全性、交换机光纤、设备、阵列、主机总线适配器(HBA)等方面来实现。 

FC、IP网络的安全性

不论是光纤通道还是IP网络,主要的潜在威胁来自非授权访问,特别是管理接口。例如,一旦获得和存储区域网络(SAN)相连接服务器管理员的权限,欺诈进入就可以得逞。这样入侵者可以访问任何一个和SAN连接的系统。因此,无论使用的是哪一种存储网络,应该认识到应用充分的权限控制、授权访问、签名认证的策略对防止出现安全漏洞是至关重要的。

测错攻击在IP网络中也比在光纤通道的SAN中易于实现。针对这类攻击,一般是采用更为复杂的加密算法。

尽管DoS似乎很少发生,但是这并不意味着不可能。然而如果要在光纤通道SAN上实现DoS攻击,则不是一般的黑客软件所能实现的,因为它往往需要更为专业的安全知识。

实现SAN数据安全方法

保证SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(Logical Unit Number)掩码。

分区制是一种分区方法。通过该方法,一定的存储资源只对于那些通过授权的用户和部门是可见的。一个分区可以由多个服务器、存储设备、子系统、交换机、HBA和其它计算机组成。只有处于同一个分区的成员才可以互相通讯。

分区制往往在交换级来实现。根据实现方式,可以分为两种模式,一为硬分区,一为软分区。硬分区是指根据交换端口来制定分区策略。所有试图通过未授权端口进行的通讯均是被禁止的。由于硬分区是在系统电路里来实现,并在系统路由表中执行,因此,较之软分区,具有更好的安全性。

1 2 3  下一页

Tags:交换 机上 实现

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接