飛客數(shù)據(jù)恢復(fù)工程師經(jīng)過(guò)長(zhǎng)期以來(lái),對(duì)存儲(chǔ)技術(shù)的刻苦鉆研有了一些心得,并與大家分享討論,本文章主要講解了存儲(chǔ)技術(shù)的介紹和多種相關(guān)技術(shù)的應(yīng)用,希望對(duì)大家能有所幫助。在數(shù)據(jù)恢復(fù)技術(shù)上飛客的工程師們都有高超的技術(shù),恢復(fù)成功率非常之高,如果您有什么疑慮歡迎隨時(shí)撥打我們的免費(fèi)咨詢(xún)電話(huà),或登錄我們的首頁(yè)進(jìn)行在線(xiàn)咨詢(xún)。
隨著存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的日益普及,SAN的安全問(wèn)題日益受到人們的關(guān)注。為了保證SAN的高度安全性,企業(yè)必需對(duì)SAN的常見(jiàn)風(fēng)險(xiǎn)和攻擊有通盤(pán)的了解,然后才能對(duì)癥下藥,最大程度抵御這些威脅,盡可能避免系統(tǒng)停頓及經(jīng)濟(jì)損失。
攻擊威脅對(duì)存儲(chǔ)網(wǎng)絡(luò)的各個(gè)可能切入點(diǎn),每一個(gè)攻擊點(diǎn)都有可能成為后續(xù)攻擊的墊腳石。為了保證高度的安全保護(hù),SAN系統(tǒng)管理員必須在入侵者和數(shù)據(jù)之間設(shè)置多個(gè)監(jiān)測(cè)點(diǎn)。認(rèn)識(shí)各個(gè)攻擊點(diǎn)有助制定相應(yīng)的抗擊對(duì)策。就象一座城堡擁有多種抵御入侵者的武器,企業(yè)同樣必須安裝多個(gè)屏障來(lái)阻擋安全威脅。
攻擊點(diǎn)跨越基礎(chǔ)設(shè)施的多個(gè)層次。第1、5和6點(diǎn)從物理層上開(kāi)始,在光纜連接到裝置時(shí)發(fā)作。1到4點(diǎn)可能在物理連接完成后啟動(dòng)。如果掌握每個(gè)攻擊點(diǎn)的具體威脅,則可以定出最有效的對(duì)策,本文將分析下列各類(lèi)威脅:
未經(jīng)授權(quán)的訪問(wèn)
欺騙 (Spoofing)
數(shù)據(jù)盜竊(Sniffing)
未經(jīng)授權(quán)的訪問(wèn)
未經(jīng)授權(quán)的訪問(wèn)是最為常見(jiàn)的安全威脅,它的成因可以是簡(jiǎn)單地接上了錯(cuò)誤的電線(xiàn),復(fù)雜者可以是將一臺(tái)已被入侵的服務(wù)器連接到光纖網(wǎng)絡(luò)上,未被授權(quán)的訪問(wèn)將導(dǎo)致其它形式的攻擊,因此必須先作介紹。
系統(tǒng)管理員可在下列攻擊點(diǎn)控制未經(jīng)授權(quán)訪問(wèn)的入侵:
1. 帶外管理應(yīng)用程序:交換機(jī)有非光纖通道端口,例如以太網(wǎng)端口和串行端口,以滿(mǎn)足管理工作的需要。通過(guò)建立一個(gè)獨(dú)立于公司內(nèi)聯(lián)網(wǎng)的專(zhuān)用網(wǎng)絡(luò)來(lái)管理SAN,便可以限制對(duì)以太網(wǎng)端口的訪問(wèn)。如果交換機(jī)是與企業(yè)內(nèi)聯(lián)網(wǎng)絡(luò)連接的,可以使用防火墻和VPN限制對(duì)以太網(wǎng)端口的訪問(wèn)。通過(guò)控制物理訪問(wèn)和對(duì)使用者授權(quán)以鑒別,可以限制對(duì)串行端口(RS 232)的訪問(wèn)。物理訪問(wèn)連接以太網(wǎng)端口后,交換機(jī)還可以根據(jù)訪問(wèn)控制名單,限制訪問(wèn)交換機(jī)的程序,交換機(jī)也可以限制通過(guò)3號(hào)攻擊點(diǎn)進(jìn)行訪問(wèn)的程序或個(gè)別用戶(hù)。
2. 帶內(nèi)管理應(yīng)用程序:未經(jīng)授權(quán)訪問(wèn)也可通過(guò)帶內(nèi)管理應(yīng)用程序入侵交換機(jī)。帶內(nèi)管理程序?qū)⒃L問(wèn)諸如命名服務(wù)器和光纖網(wǎng)絡(luò)配置服務(wù)器等光纖網(wǎng)絡(luò)服務(wù)。管理訪問(wèn)控制名單(MACL)控制對(duì)光纖網(wǎng)絡(luò)的訪問(wèn)。
3. 用戶(hù)到應(yīng)用程序:一旦用戶(hù)獲得一個(gè)管理程序的物理訪問(wèn)權(quán),他們需要登錄到這個(gè)應(yīng)用程序上。管理應(yīng)用程序是根據(jù)用戶(hù)的工作性質(zhì)來(lái)給予不同程度的訪問(wèn)授權(quán)。管理應(yīng)用程序需要支持訪問(wèn)控制名單和每個(gè)用戶(hù)的角色。
4. 設(shè)備到設(shè)備:當(dāng)兩個(gè)Nx_端口在光纖網(wǎng)絡(luò)登錄之后,一個(gè)Nx_端口可以端口登錄(PLOGI)到另一個(gè)Nx_端口,分區(qū)及邏輯單元屏蔽可以在這環(huán)節(jié)限制設(shè)備的訪問(wèn)。每一個(gè)交換機(jī)上的活動(dòng)區(qū)域設(shè)置會(huì)在光纖網(wǎng)絡(luò)上執(zhí)行分區(qū)限制。存儲(chǔ)設(shè)備將維持有關(guān)邏輯單元屏蔽的信息。
5. 設(shè)備對(duì)光纖網(wǎng)絡(luò):當(dāng)一個(gè)設(shè)備(Nx_端口)連接到光纖網(wǎng)絡(luò)(Fx_端口),設(shè)備將發(fā)送一個(gè)F端口登錄(FLOGI)指令,這一指令包括了各種端口全球名字(WWN)的參數(shù)。交換機(jī)可以批準(zhǔn)端口在光纖網(wǎng)絡(luò)登錄或拒絕FLOGI并中止連接。交換機(jī)需要維持一個(gè)準(zhǔn)許連接WWN的訪問(wèn)控制列表。真正的數(shù)據(jù)威脅發(fā)生在設(shè)備登錄至光纖網(wǎng)絡(luò)和進(jìn)入攻擊點(diǎn)4或5之后。
6. 交換機(jī)對(duì)交換機(jī):當(dāng)兩臺(tái)交換機(jī)連接時(shí),交換鏈接參數(shù)(ELP)和內(nèi)部鏈接服務(wù)(ILS)將發(fā)送類(lèi)似交換機(jī)全球名字(WWN)的相關(guān)信息。一臺(tái)交換機(jī)可以批準(zhǔn)其它交換機(jī)組成一個(gè)更大的光纖網(wǎng)絡(luò),如果另一臺(tái)交換機(jī)不被允許加入的話(huà),則可以隔離鏈接。每個(gè)交換機(jī)都需維持一個(gè)授權(quán)交換機(jī)的訪問(wèn)控制名單(ACL)。
7. 存儲(chǔ)數(shù)據(jù):存儲(chǔ)的數(shù)據(jù)易于受到內(nèi)部攻擊、來(lái)自光纖網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問(wèn)的攻擊,和基于主機(jī)的攻擊。例如存儲(chǔ)協(xié)議全都是cleartext,因此存儲(chǔ)、備份及主機(jī)管理員能在沒(méi)有訪問(wèn)限制及登錄的情況下訪問(wèn)未經(jīng)處理的原始存儲(chǔ)數(shù)據(jù)。存儲(chǔ)加密碼設(shè)備提供為存儲(chǔ)數(shù)據(jù)提供一層保護(hù),在有些情況下提供附加的應(yīng)用層身份鑒別和訪問(wèn)控制。
通過(guò)訪問(wèn)控制名單(ACL)控制訪問(wèn)只可以防止意外事故,但它不能防御那些假偽身份的攻擊者。不幸的是,大多數(shù)網(wǎng)絡(luò)盜賊能很容易地取得假冒身份。為了阻止詐騙者(盜用他人身份者)滲透入網(wǎng)絡(luò),那些獲得授權(quán)的個(gè)體也必須經(jīng)過(guò)身份鑒定。
欺騙 (Spoofing)
欺騙是與未經(jīng)授權(quán)訪問(wèn)有關(guān)的一種威脅。欺騙以多種形式和名稱(chēng):仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據(jù)它所發(fā)作的法層面而命名,其中一種形式是假冒用戶(hù),而另一種是偽裝成一個(gè)已被授權(quán)的WWN。
沈陽(yáng)數(shù)據(jù)恢復(fù) 
