五招提高IP SAN安全性

    3、保护好管理界面。

　　通过分析历年来企业级光纤系统遭受攻击的案例，会得到一个重要的结论：保护好存储设备的管理界面是极其必要的。无论SAN的防范如何严密，网络黑客只要使用一个管理应用程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下，其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制，都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话，建议不妨加以利用。

　　4、对网络传输的数据包进行加密。

　　IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段：①IPSec Tunnel：整个IP封装在IPSec报文，提供IPSec-gateway之间的通讯;②IPSec Transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即：有效载荷)，对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备，对封装的信息包进行解密。记住，如果接收端与发送端并非共用一个密钥的话，IPsec协议将无法发挥作用。为了确保网络的安全，存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。不过，值得注意的是，IPsec虽然不失为一种强大的安全保护技术，却会严重地干扰网络系统的性能。有鉴于此，如非必要的话，尽量少用IPsec软件。

（编辑：PHP编程网 - 钦州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!