摘要：iSCSI存储系统的应用帮助企业在数据存储中大大节约了成本上的投入。但是iSCSI存储系统的安全性也是非常值得我们关注的，如何防护iSCSI存储系统不受侵犯，是企业必须要解决的当务之急。

　　如何才能将网络黑客阻挡在iSCSISAN系统的大门之外?以下我们将给大家介绍五种办法，不过值得注意的是，这些办法虽然都能起到维护IPSAN系统安全的作用，但各自都存在一定的优缺点。建议用户在实施时仔细斟酌，只要使用得当，可大幅提升存储网络的安全性能。
　　
　　1、合理利用访问控制表(简称ACL)
　　
　　网络管理员可通过设置访问控制表，限制IPSAN系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于IP地址的访问控制表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iSCSI客户机的引发器名称(initiatorname)。与光纤系统的全球名称(WORLDWIDENAME，简称WWN，全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称MAC)地址一样，引发器名称指的是每台iSCSI存储系统总线适配器(HBA)或软件引发器(softwareinitiator)分配到的全球唯一的名称标识。不过，它的缺点也与WWN、MAC地址一样，很容易被制服，特别是对于基于软件的iSCSI驱动器而言。访问控制表，与光纤系统的逻辑单元屏蔽(LUNmasking)技术一样，其首要任务只是为了隔离客户端的存储资源，而非构筑强有力的安全防范屏障。
　　
　　2、使用行业标准的用户身份验证机制
　　
　　诸如问询-握手身份验证协议(Challenge-HandshakeAuthenticationProtocol，CHAP)之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(RemoteAuthenticationDial-InUserService，RADIUS)协议能够将密码从iSCSI存储系统目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。
　　
　　3、保护好管理界面
　　
　　通过分析历年来企业级光纤系统遭受攻击的案例，会得到一个重要的结论：保护好存储设备的管理界面是极其必要的。无论SAN的防范如何严密，网络黑客只要使用一个管理应用程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下，其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activityaccounting)机制，都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话，建议不妨加以利用。
　　
　　4、对网络传输的数据包进行加密
　　
　　IPsecurity(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段：①IPSecTunnel：整个IP封装在IPSec报文，提供IPSec-gateway之间的通讯;②IPSecTransport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即：有效载荷)，对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备，对封装的信息包进行解密。记住，如果接收端与发送端并非共用一个密钥的话，IPsec协议将无法发挥作用。为了确保网络的安全，存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI存储系统中所有传输的数据。不过，值得注意的是，IPsec虽然不失为一种强大的安全保护技术，却会严重地干扰网络系统的性能。有鉴于此，如非必要的话，尽量少用IPsec软件。
　　
　　
　　责任编辑：Alisa编辑