當然���,選擇這種方式的時候����,用來連接iSCSI磁盤陣列的網絡交換機最好是與外界隔離的���。這樣安全問題就不那么突出了�。不帶安全帽���,就離建筑工地遠點唄�����,最好待在自己家里����。板磚破窗而入的事件雖然也有可能發生�,但畢竟比在建筑工地周圍安全多了�。
二����、iSCSI Initiator和Target通訊認證
這種方式是在iSCSI通訊的兩端做文章����。Initiator就是主機端����,Target是磁盤陣列端��。目前市面上的iSCSI產品�����,一般都會在產品介紹中注明支持CHAP����、SRP����、Kerberos��、SPKM等等認證方式����。這些都屬于此類“安全帽”�����。這些看似詭異的英文縮寫所對應的����,都是傳統網絡中非常成熟��,應用非常廣泛的認證保護技術��。
與傳統網絡認證技術一樣���,它們的意義就在于防止非授權的用戶訪問���。
記得當初我做網絡管理員的時候�����,就曾經“利用職權之便”����,為關系好的同事創造方便����。我讓他們可以使用更大的服務器空間�,還可以就近使用本來為領導們預備的打印機���。有一個同事居然追求我喜歡的女孩兒����,我一生氣��,刪除了他在所有打印服務器上的帳號�����,逼著他只能抱著電腦跑到走廊盡頭����,去使用那臺唯一沒接服務器的老式打印機�����。
在iSCSI技術中�,打印服務器變成了iSCSI磁盤陣列���。如果想使用磁盤陣列��,必須先有訪問這臺磁盤陣列的權限�����,訪問的時候還要通過那些七七八八的認證�����。為了防止冒名頂替�����,認證的過程還會動用一下加密技術�。
總之��,如果管理員不想讓你使用����,雖然網線連著���,你也沒法使用���。用計算機術語說����,就是iSCSI Target只與授權的Initiator建立連接�。
當然����,設置權限的那個管理員也是安全的重要關口����,幸好天下還是好人多��。其實我后來也改邪歸正了��,因為那個女孩發現我的劣行之后��,義無反顧的嫁給了我的同事���。值得我反省?����?�!
三��、IP防火墻和VPN
有了用戶認證�,情況當然好很多����。但是實際應用中��,還是免不了出現漏洞�。別的不說��,相信設置空白口令這件事就會讓很多管理員頭疼���。反正我做管理員的時候�,就為此頭疼不已��。很多同事嫌口令難記���,干脆留空��,或者隨手設成111111之類�����。這種口令實在令人著急�����,稍微耐心一點的黑客���,手工都可以試出來��,更何況眼下各種字典攻擊程序滿天飛��。
對iSCSI磁盤陣列來說���,情況也是一樣���。如果僅靠用戶認證不能解決問題��,就需要借鑒傳統IP網絡的辦法���,在內網和外網之間架設防火墻�,阻擊外面那些有充分精力和耐心的“嘗試者”����。如果iSCSI磁盤陣列(Target)和主機(Initiator)需要跨廣域網連接�,最好使兩者以VPN互連���。
總之就是一個目的���,不讓iSCSI磁盤陣列使用公網的IP地址���。這樣�,那些Internet上時刻閃耀著的燈塔(安全漏洞嗅探器)�����,就無法照耀到這里了����。
四���、非應答技術
一般情況下����,有了防火墻和VPN���,再加上用戶認證機制��,磁盤陣列中的數據就基本安全了��,除非你碰到一個熟悉各種協議格式的高手����。
這種高手在實際生活中是存在的����,而且為數比你想象的要多�。我碰到過一些路由器和交換機廠商的高級研發工程師���,他們談笑間就可以截獲一個IP包����,如探囊取物一般打開�����。這時�����,你的用戶名���、密碼���、地址�����、身高�、體重�����、銀行帳號���、女朋友姓名等等重要信息���,就都一覽無遺了����。
第一次見到這種情形的時候����,我不由得倒吸一口涼氣���,欽佩之余便發誓也練就此番功夫���。后來經過數日堅苦卓絕的打魚曬網���,終于模糊的了解到一些手段�����。原來�,網絡上傳輸的數據包不僅可以截下來看���,甚至還可以插入���、改動和刪除�。依靠這些手段�,那些良心大大壞了的網絡高手�����,便可以隔著防火墻冒充合法主機��,干一些無恥勾當�����。
那我們的iSCSI設備碰到這種情況怎么辦��?沒關系�����,iSCSI技術的一大好處���,就是它站在巨人的肩膀上�����。這個巨人就是發展已久的以太網技術�����。在以太網技術中的非應答技術���,就是專門用來對方這種邪惡高手的����。
五�����、IPsec加密
非應答技術的采用�,已經接近九陰真經的第九重了���,如果說用戶認證是頂不錯的安全帽�����,那非應答技術就應該算全護甲的90式坦克�。但安全的話題本身就是道高一尺魔高一丈����。板磚雖然砸不動坦克�����,但是反坦克炮彈就是另外一回事了���。
那么��,有沒有比防應答技術更結實的防御呢����?當然有啦�,從以太網技術里找嘛����。IPsec加密就可算一個�����。IPsec不僅能防止邪惡高手們修改網絡數據包���,甚至還能防止數據包被截獲����?�;蛘邷蚀_點說���,是截獲下來的數據包沒有任何意義��。
這就好比兩個聾人在談戀愛���,任你隔墻有耳����,也聽不到只言片語��。頂多是一些無意義的“咿咿呀呀”�,根本無法解讀其中風情�。
最后說兩點:
首先一點是��,安全與性能是魚與熊掌的關系�。用戶應該在安全與性能之間尋找平衡����,不應該一味過分強調其中一方�����。
第二點是�,沒有絕對的安全��。網絡領域中對“安全”的定義是……我忘了�,大概意思是說���,如果攻克保護過程花費的代價大于攻克之后獲得的利益����,系統就是安全的�����。
本文版權歸作者及DoSTOR所有����,如需轉載請聯系:editor@dostor.com
精品国产午夜肉伦伦影院,双性老师灌满浓jing上课h,天天做天天爱夜夜爽,攵女乱h边做边走
