网络设计 存储安全机制.pptx

SAN安全访问控制访问控制允许授权访问拒绝非授权访问身份验证身份验证保证传输、消息、发起端的合法性数据加密数据加密数据只让合法接收方能使用防止恶意窃听存储区域网安全机制独立网络FC SAN或IP SANSAN磁带库磁盘阵列磁盘阵列LAN业务网络和存储网络分离，降低外来威胁风险业务网SAN安全基本思想网络隔离FC SAN安全实现访问控制发现域VLANLUN映射/掩码（LUN Mapping/Lun Masking）传输安全IP Sec/VPNACL管理安全IP Sec/SNMP v3/SSH/SSL/RadiusIP SAN安全实现存储安全现状访问控制分区（Zoning）LUN映射/掩码（LUN Mapping/Lun Masking）传输安全未全面规划管理安全IP Sec/SNMP v3/SSH/SSL/Radius通用服务FC - ATMFC链路封装FC - LESCSI 3命令集映射 IPI - 3 命令集映射 (IPI-3 STD)FC-4FC - AL -2FC-3FC-0FC-1FC-2光纤物理与信号接口 ( FC- PH, FC-PH2, FC-PH3 )物理变换编码 / 解码结构协议FC - AL8b/10b 编码铜, 光连接FC-3 通用服务层是安全(如加密、认证等)的预留层FC 通用服务一直没有统一规划和制定清晰的标准，这就是FC安全问题的根源！FC的安全标准尚在制定中网络接口(链路层)IP(网络层)TCP(传输层) SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAPiSCSIiSCSI与TCP/IP的VPN协议功能技术访问控制访问控制列表（ACL）、LUN掩码（LUN Masking）、分区、 VLAN管理数据安全SNMP v2/v3、SSL、SSH管理身份验证ID、密码RADIUS机密管理密码散列（hash）、证书安全配置数据安全、密钥安全实体身份验证CHAP消息验证和完整性MD5数据加密IP Sec ESPDES、3DES、AESIP SAN可利用成熟的安全工具主机A交换机主机 BS1S3S2S4S5HOST NAMEHOST NAMEIP ADDRIP ADDRNIC MACNIC MACiSCSI IQNiSCSI IQNHBA WWNHBA WWN安全保障技术对比FC vs IPZONINGZONINGVLANVLANVPNVPNLUN MASKINGLUN MASKINGLUN MaskingLUN MaskingCHAPCHAPIPSecIPSecFC SANIP SAN存储设备IP SeciSCSI HBA CardiSCSI 磁盘阵列FC HBA CardFC磁盘阵列IPSec：数据加密标准 (DES 40位) 、数据加密标准 (DES 56位) 、3DES (168位)FC协议为二层协议，无加密功能主机GE Card防止网络窃听SAN的访问控制分区存储区域网络(SAN)磁带库磁盘阵列分区4分区1分区2分区3FC：ZoningiSCSI：1、发现域 2、VLAN存储区域网络(SAN)FC SNS/iSNS基于名称服务的SAN分区磁带库磁盘阵列Zone4Zone1Zone2Zone3WWNWWNWWNWWNWWUIWWUIWWUIWWUIFC SAN称这类分区为“软分区”，而IP SAN采用发现域可实现FC基于名称服务的分区功能基于交换机端口的分区zone2磁带库磁盘阵列zone1zone3zone4主机交换机FC SAN称这类分区为“硬分区”IP SAN采用VLAN实现，但是VLAN功能远比FC交换机分区功能标准和强大VLAN2磁带库iSCSI磁盘阵列VLAN1VLAN3VLAN4主机交换机VLAN tablePortVLANPort 1VLAN 1，4Port 4VLAN 2，4Port 6VLAN 3，4Port 9VLAN 1Port 11VLAN 2Port 13VLAN 3Port 16VLAN 4基于端口的VLAN服务器服务器HBA卡LUN0LUN1LUN2阵列1YYN阵列2YYN阵列3NNNAccess MapSANLUN0LUN1LUN2阵列1NNY阵列2NNY阵列3YYYAccess Map阵列3阵列2阵列1LUN2LUN1LUN0LUN2LUN1LUN0LUN2LUN1LUN0基于HBA的LUN Mapping/Masking主机1主机3SANLUN0LUN1LUN2主机1YNN主机2NYN主机3NNYAccess Map阵列LUN2LUN1LUN0主机2基于控制器的LUN Mapping/Masking。