探讨ipsan和fcsan安全性.docx

探讨IP?SAN和FC?SAN安全性在iSCSI协议出现以后，基于IP协议和以太网技术的存储区域网络---IP SAN应运而生。从此SAN就不能再作为光纤存储网络-FC SAN的代名词了。iSCSI是一种在IP协议的网络上，主要是以太网上进行块数据传输的协议。它是由Cisco和IBM共同研发，并且得到业界广泛认可，目前已经成为新一代存储技术的标准协议。简单地说，iSCSI可以实现在IP网络上运行SCSI协议，它能够在以太网、INTERNET上执行SAN存储。　　一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准，但是由于各主流厂商囿于固有利益，相互之间难以协调，标准化一直没有取得明显进展，同时光纤通道是一种高速串行互联，缺乏实现路由选择和节点容错的内置功能，只能提供最原始的地址管理和访问隔离功能；例如，光纤通道链路间虽然可以实现多路径冗余，却难以象以太网那样通过TRUNK技术实现多链路负载均衡。　　在光纤通道 SAN中，所有功能都必须由操作员进行手工配置，由主机进行管理。这样，就会要求操作人员掌握不同厂商FC SAN相关设备的配置、使用、维护技术。而iSCSI是一套完全遵从IP协议标准的技术规范，它能够充分利用标准的IP网络的功能以及以太网的普及性，从而降低人员培训的要求和今后使用、维护的困难。　　在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天，简单、标准通用、低成本的IP SAN日益普及；而FC SAN高昂的建设成本和非标特性，限制了FC SAN技术的进一步发展。　　iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上，而安全性是互联网永恒的话题。对于用户来讲，存储设备保存的是用户最为关键的数据，这些数据也往往是私密性的，一旦把这些数据放置在网络上，安全问题将变得非常突出。　　IETF和SNIA的IP存储工作组在制定iSCSI标准时就充分考虑了安全问题，例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec：iSCSI、FCIP和iFCP。但这样做显然会影响性能，而通常在平衡性能和安全性的要求时候，大多数人总是倾向于更好的性能。　　前几年，万兆网络存储尚未出现，IP存储设备的端口性能一直停留在千兆速率，相对于FC的4Gbps，端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关键应用的环境中使用，这些非关键应用本身对数据安全性的要求也较低。　　那么，相对于FC 存储技术，IP存储是否就是不安全存储的代名词？事实显然是否定的，我们先来看看FC SAN是如何处理安全性问题的　　从技术角度上讲，光纤通道并没有人们想象中的安全，按网络七层模型分析光纤通道协议是工作在第二层的协议，原本并没有建立安全机制，而且该协议和IP协议完全不同，不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行，因而不存在在广域网上被窃听的机会，其次一旦连接存储设备的服务器被攻破，没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三，FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系，而黑客可以简单地采用SPOOFING方式伪装成合法的发起端，从而取得对未经授权的目标端存储空间的访问。　　光纤通道环境给人感觉具有比较高的安全性，原因在于它们是服务器后端的专用局域网络，从本质上来说光纤通道结构是一个独立的子网，专门处理在数据中心内的主机与存储设备之间的数据通讯问题。iSCSI给人感觉安全性较低，原因在于它可以通过基于以太网和IP协议和服务器直接连接。不过，通过部署专用于存储的IP网络，并和前端数据通信网络相对隔离，我们就可以实现和光纤通道技术相同级别的网络存储安全性。　　实际上，IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证（使用CHAP、SRP、Kerberos和SPKM），能够阻止未经授权的访问，只允许那些可信赖的节点进行访问。另外，IPsec Digests（IPsec摘要）和Anti-Reply（防回复）功能阻止了插入、修改和删除操作，而IPsec Encryption（IPsec加密）或SSL 加密功能防止被偷听，确保了私密性。另外，IP存储设备还可以和基于IP技术的网络安全设备实现联动，进一步提高了存储系统的安全性和对抗各种威胁的能力。具体维护操作过程中，我们可以通过以下几个步骤对IP SAN网络的安全性和所存放的数据的安全性进行管理　　1、访问控制管理　　完善IT部门日常工作管理机制，定时检查区域网络连线状况以保障基础网络线路的正确性，经常检查存储系统的访问日志，确认存储系统访问者都经过授权许可；限制管理区域网络存储系统的终端与内外网的互访，并