保護iSCSI存儲系統的措施

如何才能將網絡黑客阻擋在iSCSI SAN系統的大門之外?以下我們將給大家介紹五種辦法，不過值得注意的是，這些辦法雖然都能起到維護IP SAN系統安全的作用，但各自都存在一定的優缺點。建議用戶在實施時仔細斟酌，只要使用得當，可大幅提升存儲網絡的安全性能。

1、合理利用訪問控制表(簡稱ACL)

網絡管理員可通過設置訪問控制表，限制IP SAN系統中數據文件對不同訪問者的開放權限。目前市面上大多數主流的存儲系統都可支持基于IP地址的訪問控制表，不過，稍微厲害一點的黑客就能夠輕松地破解這道安全防線。

另一個辦法就是使用iSCSI客戶機的引發器名稱(initiator name)。與光纖系統的全球名稱(WORLD WIDE NAME，簡稱WWN，全球統一的64位無符號的名稱標識符)、以太網的媒體訪問控制(簡稱MAC)地址一樣，引發器名稱指的是每臺iSCSI主機總線適配器(HBA)或軟件引發器(software initiator)分配到的全球唯一的名稱標識。

不過，它的缺點也與WWN、MAC地址一樣，很容易被制服，特別是對于基于軟件的iSCSI驅動器而言。訪問控制表，與光纖系統的邏輯單元屏蔽(LUN masking)技術一樣，其首要任務只是為了隔離客戶端的存儲資源，而非構筑強有力的安全防范屏障。

2、使用行業標準的用戶身份驗證機制

諸如問詢-握手身份驗證協議(Challenge-Handshake Authentication Protocol，CHAP)之類的身份驗證協議，將會通過匹配用戶名和登陸密碼，來識別用戶的身份。密碼不需要以純文本的形式在網絡中傳輸，從而避免了掉包和被攔截的情況發生，所以，該協議贏得了許多網絡管理員的信任。

不過，值得一提的是，這些密碼必須存放在連接節點的終端，有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務(Remote Authentication Dial-In User Service，RADIUS)協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上，對終端進行認證、授權和統計，即使如此，網絡黑客仍然可以通過偽設置的辦法，侵入客戶端。