在交换机上实现存储安全

核心提示： 在光纤通道网络中，软分区是基于广域命名机制的(WWN)的，在交换机上实现存储安全(2)，WWN是分配给网络中光纤设备的唯一识别码，由于软分区是通过软件来保证在不同的分区中不会出现相同的WWNs，比如互联网小型计算机接口（iSCSI）、IP上的光纤通道 (FCIP)和互联网上的光线通道 (I

在光纤通道网络中，软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的唯一识别码。由于软分区是通过软件来保证在不同的分区中不会出现相同的WWNs，因此，软分区技术比硬分区具有更好的灵活性，特别是在网络配置经常变化的应用中具有很好的可管理性。

有些交换机具有端口绑定功能，从而可以限制网络设备只能和通过预定义的交换端口进行通讯。利用这种技术，可以实现对存储池的访问限制，从而保护SAN免受非授权用户的访问。

另一种被广泛采用的技术是LUN掩码。一个LUN就是对目标设备（如磁带和磁盘阵列）内逻辑单元的SCSI识别标志。在光纤通道领域，LUN是基于系统的WWN实现的。

LUN掩码技术是将LUN分配给主机服务器，这些服务器只能看到分配给它们的LUN。如果有许多服务器试图访问特定的设备，那么网络管理者可以设定特定的LUN或LUN组可以访问，从而可以拒绝其它服务器的访问，起到保护数据安全的目的。不仅在主机上，而且在HBA、存储控制器、磁盘阵列、交换机上也可以实现各种形式的LUN屏蔽技术。

如果能够将分区制和LUN技术与其它的安全机制共同运用到网络及其设备上的话，对网络安全数据安全将是非常有效的。

业界对存储安全的做法

尽管目前对于在哪一级设备应用存储安全控制是最优的还没有一个明确的结论，例如，IPSec能够在ASIC、VPN设备、家电和软件上实现，但目前已有很多商家在他们的数据存储产品中实现了加密和安全认证功能。

IPSec对于其它基于IP协议的安全问题，比如互联网小型计算机接口（iSCSI）、IP上的光纤通道 (FCIP)和互联网上的光线通道 (IFCP)等，也能起到一定的的作用。

通常使用的安全认证、授权访问和加密机制包括轻量级的路径访问协议Lightweight Directory Access Protocol (LDAP)、远程认证拨入用户服务(RADIUS), 增强的终端访问控制器访问控制系统(TACACS+)、Kerberos、 Triple DES、高级加密标准(AES)、安全套接层 (SSL)和安全Shell(SSH)。