慧聪网首页 > 通信行业 > 网络优化管理
存储区域网络对风险和威胁防御方法
 
慧聪网   2005年10月27日10时41分   信息来源:赛迪网    

导读:为了保证SAN的高度安全性,企业必需对SAN的常见风险和攻击有通盘的了解,然后才能对症下药,最大程度抵御这些威胁,尽可能避免系统停顿及经济损失。

随着存储区域网络(SAN)的日益普及,SAN的安全问题日益受到人们的关注。

为了保证SAN的高度安全性,企业必需对SAN的常见风险和攻击有通盘的了解,然后才能对症下药,最大程度抵御这些威胁,尽可能避免系统停顿及经济损失。

下图显示了攻击威胁对存储网络的各个可能切入点,每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护,SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的抗击对策。就象一座城堡拥有多种抵御入侵者的武器,企业同样必须安装多个屏障来阻挡安全威胁。

存储区域网络对风险和威胁防御方法

存储区域网络对风险和威胁防御方法

 

点击此处查看全部新闻图片

 

攻击点跨越基础设施的多个层次。第1、5和6点从物理层上开始,在光缆连接到装置时发作。1到4点可能在物理连接完成后启动。如果掌握每个攻击点的具体威胁,则可以定出最有效的对策,本文将分析下列各类威胁:

未经授权的访问

未经授权的访问是最为常见的安全威胁,它的成因可以是简单地接上了错误的电线,复杂者可以是将一台已被入侵的服务器连接到光纤网络上,未被授权的访问将导致其它形式的攻击,因此必须先作介绍。

系统管理员可在下列攻击点控制未经授权访问的入侵:

1.带外管理应用程序:交换机有非光纤通道端口,例如以太网端口和串行端口,以满足管理工作的需要。通过建立一个独立于公司内联网的专用网络来管理SAN,便可以限制对以太网端口的访问。如果交换机是与企业内联网络连接的,可以使用防火墙和VPN限制对以太网端口的访问。通过控制物理访问和对使用者授权以鉴别,可以限制对串行端口(RS 232)的访问。物理访问连接以太网端口后,交换机还可以根据访问控制名单,限制访问交换机的程序,交换机也可以限制通过3号攻击点进行访问的程序或个别用户。

2.带内管理应用程序:未经授权访问也可通过带内管理应用程序入侵交换机。带内管理程序将访问诸如命名服务器和光纤网络配置服务器等光纤网络服务。管理访问控制名单(MACL)控制对光纤网络的访问。

3.用户到应用程序:一旦用户获得一个管理程序的物理访问权,他们需要登录到这个应用程序上。管理应用程序是根据用户的工作性质来给予不同程度的访问授权。管理应用程序需要支持访问控制名单和每个用户的角色。

4.设备到设备:当两个Nx_端口在光纤网络登录之后,一个Nx_端口可以端口登录(PLOGI)到另一个Nx_端口,分区及逻辑单元屏蔽可以在这环节限制设备的访问。每一个交换机上的活动区域设置会在光纤网络上执行分区限制。存储设备将维持有关逻辑单元屏蔽的信息。

5.设备对光纤网络:当一个设备(Nx_端口)连接到光纤网络(Fx_端口),设备将发送一个F端口登录(FLOGI)指令,这一指令包括了各种端口全球名字(WWN)的参数。交换机可以批准端口在光纤网络登录或拒绝FLOGI并中止连接。交换机需要维持一个准许连接WWN的访问控制列表。真正的数据威胁发生在设备登录至光纤网络和进入攻击点4或5之后。

6.交换机对交换机:当两台交换机连接时,交换链接参数(ELP)和内部链接服务(ILS)将发送类似交换机全球名字(WWN)的相关信息。一台交换机可以批准其它交换机组成一个更大的光纤网络,如果另一台交换机不被允许加入的话,则可以隔离链接。每个交换机都需维持一个授权交换机的访问控制名单(ACL)。

7.存储数据:存储的数据易于受到内部攻击、来自光纤网络的未经授权访问的攻击,和基于主机的攻击。例如存储协议全都是cleartext,因此存储、备份及主机管理员能在没有访问限制及登录的情况下访问未经处理的原始存储数据。存储加密码设备提供为存储数据提供一层保护,在有些情况下提供附加的应用层身份鉴别和访问控制。

 
 
评论    【推荐】 【打印】 【论坛
 
 
[热门关键词]:存储 区域 网络 
特别推荐: 
· [专题]拍照手机将蚕食数码相机市场?
· [专题]科健爆特大财务丑闻9月1日被迫退市
更多精彩:
· [专题]熊猫马志平被捕 10亿黑洞三大悬疑
· [专题]中移动海外扩张 收购路线图初现
 相关文章 更多 
·全球3G发展步入快车道 显现区域特色  (10.24 8:4)
·威泰克斯对讲机频率编程方法(三)  (10.11 8:40)
·威泰克斯对讲机频率编程方法(二)  (10.11 8:32)
·威泰克斯对讲机频率编程方法(一)  (10.11 8:26)
·Cisco 交换机之间的连接方法  (10.10 11:28)
·光纤端接不同方法的比较  (9.13 10:58)
·教您使用MIDP底层用户接口API的方法  (8.11 10:5)
·网络化存储没有国界 开放即是赢家  (7.14 11:35)
·汇聚顶尖科技NEC携新品改变存储市场  (5.27 17:55)
·摩托罗拉提高移动音乐存储空间容量  (3.28 10:46)
 我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名
 
分类广告  
产品交易市场
[求购] 大量短信卡
[求购] 网络分析仪
[求购] 电话限时器
[求购] 来电显示电话机
[求购] 中文P/TD电话机
[招标] 交警队通信系统
[招标] 社保触摸屏等设备
热点专题
“简单”线缆复杂应用
你家楼顶的基站安全吗?
高通反诉讼诺基亚侵权
光通信技术与市场研讨会
手机配件:一个都不能少
第四届电信增值业务论坛
首部短信法规近日将出台
行业书店