iSCSI還得益于其硬件選擇。在大多數(shù)情況下，周圍同樣的以太電纜和網(wǎng)絡(luò)設(shè)備可以用來順利傳送iSCSI流量。

    由于所有這些都適用于它，把服務(wù)器連接到存儲系統(tǒng)的iSCSI協(xié)議似乎是跨IT環(huán)境的首要選擇。但是它確實有一個缺點，這一點在匆忙加速部署新服務(wù)器時經(jīng)常被忽視。

    這個缺點是iSCSI保護(hù)這些連接的選項。不像連接從不離開服務(wù)器機架的直接附加式存儲，也不像光纖通道的完全獨立和單次使用的連接基礎(chǔ)架構(gòu)，iSCSI的在已有網(wǎng)絡(luò)上使用它的價值掩蓋了很多安全問題，這些問題并不能顯而易見地解決。

    但是保護(hù)iSCSI網(wǎng)絡(luò)連接的解決方案確實存在。特別有趣的是，這些解決方案可以在各自之上進(jìn)行分層來創(chuàng)造安全數(shù)據(jù)所需的任何深度。當(dāng)管理員考慮把iSCSI暴露在他們的環(huán)境中時，他們應(yīng)該仔細(xì)考慮這一點。

    第一層：分離的訪問控制列表（ACL）網(wǎng)絡(luò)。iSCSI針對千里眼的第一層防護(hù)不會在iSCSI協(xié)議自身的內(nèi)部發(fā)生。相反，創(chuàng)建來支持iSCSI的架構(gòu)應(yīng)該以這樣的方式，即把iSCSI流量與其它傳統(tǒng)網(wǎng)絡(luò)分開。

    出于安全需要以及為了確保保障性能，隔離可以是物理性的，即通過建立通過分離的網(wǎng)絡(luò)設(shè)備的路徑來實現(xiàn)。它也可以是邏輯的，即通過使用網(wǎng)絡(luò)層的VLAN和訪問控制列表（ACL）來實現(xiàn)。配置第三層（基于IP）網(wǎng)絡(luò)設(shè)備上的ACL可以確保適當(dāng)?shù)牧髁柯酚伞Ｋ�也具有屏蔽不該在全球范圍被訪問的iSCSILUN的效果。iSCSI通過默認(rèn)的TCP端口3260運行，它引入了這樣一個概念：第四層（基于端口）的訪問控制列表也可以提供額外的安全性。

    第二層：挑戰(zhàn)握手認(rèn)證協(xié)議（CHAP）驗證。雖然ACL也許能確保iSCSI流量準(zhǔn)確地轉(zhuǎn)到正確的主機，但是它并沒有為存儲器驗證服務(wù)器。這個過程通過這個協(xié)議的挑戰(zhàn)握手認(rèn)證協(xié)議支持來處理，它使用了兩個可能的配置之一。第一個是單向的CHAP身份驗證，存儲器上的iSCSI目標(biāo)驗證服務(wù)器的啟動程序。存儲器上設(shè)置了單向CHAP身份驗證的秘密，本質(zhì)上它是iSCSI密碼。任何正在進(jìn)入的服務(wù)器啟動程序必須知道這個密碼才能發(fā)起會話。

    第二個稍微好一點的選擇是雙向CHAP身份驗證，在這種情況下iSCSI目標(biāo)和啟動程序彼此進(jìn)行身份驗證。在這個配置中使用了分離的秘密，連接的各方都有一個。每一方都必須知道另一方的秘密才能啟動連接。

    第三層：遠(yuǎn)程身份驗證撥入用戶服務(wù)（RADIUS）驗證。RADIUS，或者稱為遠(yuǎn)程身份驗證撥入用戶服務(wù)，長久以來與電話和調(diào)制解調(diào)器聯(lián)系在一起。這個服務(wù)也已經(jīng)演變成驗證其它協(xié)議的一個標(biāo)準(zhǔn)。iSCSI的啟動程序和目標(biāo)不是彼此驗證，而是通過RADIUS服務(wù)器來驗證。

    通過第三方服務(wù)的集中式驗證改善了安全性管理。使用CHAP驗證配置密碼需要跨越多臺服務(wù)器以及存儲器連接來輸入它們的字符串。密碼數(shù)據(jù)的分布引入了犯錯誤的機會。僅僅記錄許多密碼會暴露漏洞。RADIUS服務(wù)器的集中式驗證降低了投入，這就減少了這些管理風(fēng)險。

    第四層：互聯(lián)網(wǎng)協(xié)議安全驗證。不幸的是，CHAP驗證自身并不是一個非常強大的保護(hù)連接安全的機制。據(jù)報道，CHAP會受到離線字典攻擊，一個持久的攻擊者可以通過強力手段最終猜到密碼。正是由于這個原因，在創(chuàng)建CHAP密碼時推薦使用隨機的字母和數(shù)字串。實際上RADIUS自身也僅僅是一個管理CHAP密碼的服務(wù)，這暗示著它的實施并不會增加太多超過秘密總合的安全性。

    這些因素表明真正的安全連接身份驗證需要一個不同的方法，一個不會受制于CHAP漏洞的方法。IPSec可以滿足這些更強的身份驗證需求。IPSec工作在IP數(shù)據(jù)包層，賦予了它TCP/IP協(xié)議棧的全部功能。IPSec身份驗證可以通過使用預(yù)共享密鑰（類似于CHAP）而存在，但是它也支持類似于Kerberos和基于證書的身份驗證的更強大的框架。

    IPSec的最大的局限性在于存儲設(shè)備的支持上。盡管CHAP身份驗證與iSCSI連接更加密切相關(guān)，但是IPSec的功能可能不是存儲器操作系統(tǒng)的功能集的一部分。請查閱制造商的文檔來獲取關(guān)于存儲器硬件的支持的相關(guān)信息。

    第五層：互聯(lián)網(wǎng)協(xié)議安全加密。這一點的所有安全層都集中它們的精力來確保兩個設(shè)備可以進(jìn)行通信。這就是身份驗證過程。這一點對保護(hù)存儲器數(shù)據(jù)沒有給予任何關(guān)注，因為它是通過網(wǎng)絡(luò)流動。解決這個問題需要加密技術(shù)，這是IPSec支持的另一項活動。IPSec加密代表了這五層的最后部分，因為只有在服務(wù)器啟動程序已經(jīng)被存儲設(shè)備的目標(biāo)驗證后它才發(fā)生。產(chǎn)生的流量在源端進(jìn)行加密，然后傳送成功之后進(jìn)行解密。

    雖然加密流量確實提供了最高級別的安全性，但是這樣做也帶來了性能上的成本。加密和解密活動僅僅是需要更多的處理過程，這本身就會影響整體傳輸速度。因此，目前的最佳做法建議通過IPSec加密流量僅限于不信任的網(wǎng)絡(luò)，或者用在需要極度安全的情況。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：怎么保障iSCSI存儲連接？

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083956989.html