1、合理利用访问控制表（简称ACL）
　　
　　网络管理员可通过设置访问控制表，限制IPSAN系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于IP地址的访问控制表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。
　　
　　另一个办法就是使用iSCSI客户机的引发器名称（initiatorname）。与光纤系统的全球名称（WORLDWIDENAME,简称WWN,全球统一的64位无符号的名称标识符）、以太网的媒体访问控制（简称MAC）地址一样，引发器名称指的是每台iSCSI主机总线适配器（HBA）或软件引发器（softwareinitiator）分配到的全球唯一的名称标识。
　　
　　不过，它的缺点也与WWN、MAC地址一样，很容易被制服，特别是对于基于软件的iSCSI驱动器而言。访问控制表，与光纤系统的逻辑单元屏蔽（LUNmasking）技术一样，其首要任务只是为了隔离客户端的存储资源，而非构筑强有力的安全防范屏障。
　　
　　2、使用行业标准的用户身份验证机制
　　
　　诸如问询-握手身份验证协议（Challenge-HandshakeAuthenticationProtocol,CHAP）之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。
　　
　　不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务（RemoteAuthenticationDial-InUserService,RADIUS）协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。

　　责任编辑：Alisa编辑