正确保护iSCSI存储系统的五大绝招
正确保护iscsi存储系统的五大绝招
如何才能将网络黑客阻挡在iscsi san系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是,这些办法虽然都能起到维护ip san系统安全的作用,但各自都存在一定的优缺点。建议用户在实施时仔细斟酌,只要使用得当,可大幅提升存储网络的安全性能。
1、合理利用访问控制表(简称acl)
网络管理员可通过设置访问控制表,限制ip san系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于ip地址的访问控制表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iscsi客户机的引发器名称(initiator name)。与光纤系统的全球名称(world wide name,简称wwn,全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称mac)地址一样,引发器名称指的是每台iscsi主机总线适配器(hba)或软件引发器(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与wwn、mac地址一样,很容易被制服,特别是对于基于软件的iscsi驱动器而言。访问控制表,与光纤系统的逻辑单元屏蔽(lun masking)技术一样,其首要任务只是为了隔离客户端的存储资源,而非构筑强有力的安全防范屏障。
2、使用行业标准的用户身份验证机制
诸如问询-握手身份验证协议(challenge-handshake authentication protocol,chap)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。密码不需要以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。不过,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(remote authentication dial-in user service,radius)协议能够将密码从iscsi目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然可以通过伪设置的办法,侵入客户端。
3、保护好管理界面
通过分析历年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。无论san的防范如何严密,网络黑客只要使用一个管理应用程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。因此,用户应该将管理界面隔离在安全的局域网内,设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下,其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制,都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话,建议不妨加以利用。
4、对网络传输的数据包进行加密
ip security(ipsec)是一种用于加密和验证ip信息包的标准协议。ipsec提供了两种加密通讯手段:①ipsec tunnel:整个ip封装在ipsec报文,提供ipsec-gateway之间的通讯;②ipsec transport:对ip包内的数据进行加密,使用原来的源地址和目的地址。transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过internet加密传输的通道。因此,绝大多数用户均选择使用tunnel模式。用户需要在接收端设置一台支持ipsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,ipsec协议将无法发挥作用。为了确保网络的安全,存储供应货和咨询顾问们都建议用户使用ipsec协议来加密iscsi系统中所有传输的数据。不过,值得注意的是,ipsec虽然不失为一种强大的安全保护技术,却会严重地干扰网络系统的性能。有鉴于此,如非必要的话,尽量少用ipsec软件。
5、加密闲置数据
加密磁盘上存放的数据,也是非常必要的。问题是,加密任务应该是在客户端(如:加密的文件系统)、网络(如:加密解决方案),还是在存储系统上完成呢?许多用户都趋向于第一种选择?d?d大多数企业级操作系统(包括windows和linux在内),都嵌入了强大的基于文件系统的加密技术,何况在数据被传送到网络之前实施加密,可以确保它在线上传输时都处于加密状态。当然,如果实行加密处理大大加重了cpu的负荷的话,你可以考虑将加密任务放到网络中?d?d或是交由基于磁盘阵列的加密设备?d?d来处理,只不过效果会差一点儿,部分防护屏蔽有可能会失效。提醒用户注意的是:千万要保管好你的密钥,否则,恐怕连你自己也无法访问那些加密的数据了。
中控智慧科技指纹识别考勤机S30介绍
PCB走线宽度和间距的布局限制
小米太狠,华为情绪不淡定 搬出未来手机
人工智能或将帮助人们更快更好地掌握一门语言
为提高电动汽车续航里程,各厂商各显神通
正确保护iSCSI存储系统的五大绝招
小米电视3s使用教程:60寸怎么安装软件看电视直播
基于ARM9的无线电台网络控制系统的设计
三星S8的Bixby首发将支持7、8种语言:包括中英韩文
高压隔离开关的常见故障分析
华为MatebookXPro评测 轻薄而结实
光栅式传感器的工作原理,光栅式传感器的组成部分
锂离子电池正极材料的发展趋势
尼康现危机,计划裁员数千人的背后是相机业务低谷造成?
DH/SONET专用接口芯片PM5342的基本性能特性及应用分析
USB4.0都要来了!为何SATA还一直停留在3.0呢?
腾讯云与阿里云 每笔订单都要展开竞争
手把手教你开启win10系统的两个隐藏新功能
依旧麒麟960高贵血统蓝色版荣耀9首度现身:颜值超高!
余3码至8421BCD码的转换_8421BCD码转换成余3码
如何才能将网络黑客阻挡在iscsi san系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是,这些办法虽然都能起到维护ip san系统安全的作用,但各自都存在一定的优缺点。建议用户在实施时仔细斟酌,只要使用得当,可大幅提升存储网络的安全性能。
1、合理利用访问控制表(简称acl)
网络管理员可通过设置访问控制表,限制ip san系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于ip地址的访问控制表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iscsi客户机的引发器名称(initiator name)。与光纤系统的全球名称(world wide name,简称wwn,全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称mac)地址一样,引发器名称指的是每台iscsi主机总线适配器(hba)或软件引发器(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与wwn、mac地址一样,很容易被制服,特别是对于基于软件的iscsi驱动器而言。访问控制表,与光纤系统的逻辑单元屏蔽(lun masking)技术一样,其首要任务只是为了隔离客户端的存储资源,而非构筑强有力的安全防范屏障。
2、使用行业标准的用户身份验证机制
诸如问询-握手身份验证协议(challenge-handshake authentication protocol,chap)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。密码不需要以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。不过,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(remote authentication dial-in user service,radius)协议能够将密码从iscsi目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然可以通过伪设置的办法,侵入客户端。
3、保护好管理界面
通过分析历年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。无论san的防范如何严密,网络黑客只要使用一个管理应用程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。因此,用户应该将管理界面隔离在安全的局域网内,设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下,其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制,都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话,建议不妨加以利用。
4、对网络传输的数据包进行加密
ip security(ipsec)是一种用于加密和验证ip信息包的标准协议。ipsec提供了两种加密通讯手段:①ipsec tunnel:整个ip封装在ipsec报文,提供ipsec-gateway之间的通讯;②ipsec transport:对ip包内的数据进行加密,使用原来的源地址和目的地址。transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过internet加密传输的通道。因此,绝大多数用户均选择使用tunnel模式。用户需要在接收端设置一台支持ipsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,ipsec协议将无法发挥作用。为了确保网络的安全,存储供应货和咨询顾问们都建议用户使用ipsec协议来加密iscsi系统中所有传输的数据。不过,值得注意的是,ipsec虽然不失为一种强大的安全保护技术,却会严重地干扰网络系统的性能。有鉴于此,如非必要的话,尽量少用ipsec软件。
5、加密闲置数据
加密磁盘上存放的数据,也是非常必要的。问题是,加密任务应该是在客户端(如:加密的文件系统)、网络(如:加密解决方案),还是在存储系统上完成呢?许多用户都趋向于第一种选择?d?d大多数企业级操作系统(包括windows和linux在内),都嵌入了强大的基于文件系统的加密技术,何况在数据被传送到网络之前实施加密,可以确保它在线上传输时都处于加密状态。当然,如果实行加密处理大大加重了cpu的负荷的话,你可以考虑将加密任务放到网络中?d?d或是交由基于磁盘阵列的加密设备?d?d来处理,只不过效果会差一点儿,部分防护屏蔽有可能会失效。提醒用户注意的是:千万要保管好你的密钥,否则,恐怕连你自己也无法访问那些加密的数据了。
中控智慧科技指纹识别考勤机S30介绍
PCB走线宽度和间距的布局限制
小米太狠,华为情绪不淡定 搬出未来手机
人工智能或将帮助人们更快更好地掌握一门语言
为提高电动汽车续航里程,各厂商各显神通
正确保护iSCSI存储系统的五大绝招
小米电视3s使用教程:60寸怎么安装软件看电视直播
基于ARM9的无线电台网络控制系统的设计
三星S8的Bixby首发将支持7、8种语言:包括中英韩文
高压隔离开关的常见故障分析
华为MatebookXPro评测 轻薄而结实
光栅式传感器的工作原理,光栅式传感器的组成部分
锂离子电池正极材料的发展趋势
尼康现危机,计划裁员数千人的背后是相机业务低谷造成?
DH/SONET专用接口芯片PM5342的基本性能特性及应用分析
USB4.0都要来了!为何SATA还一直停留在3.0呢?
腾讯云与阿里云 每笔订单都要展开竞争
手把手教你开启win10系统的两个隐藏新功能
依旧麒麟960高贵血统蓝色版荣耀9首度现身:颜值超高!
余3码至8421BCD码的转换_8421BCD码转换成余3码