探讨IPSAN和FCSAN安全性.pdfVIP

探讨IPSAN和FCSAN安全性

在iSCSI协议出现以后，基于IP协议和以太网技术的存储区域网络IPSAN应运而生。

从此SAN就不能再作为光纤存储网络-FCSAN的代名词了。iSCSI是一种在IP协议的网络上，

主要是以太网上进行块数据传输的协议。它是由Cisco和IBM共同研发，并且得到业界广泛

认可，目前已经成为新一代存储技术的标准协议。简单地说，iSCSI可以实现在IP网络上运

行SCSI协议，它能够在以太网、INTERNET上执行SAN存储。

一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准，但是由

于各主流厂商囿于固有利益，相互之间难以协调，标准化一直没有取得明显进展，同时光纤

通道是一种高速串行互联，缺乏实现路由选择和节点容错的内置功能，只能提供最原始的地

址管理和访问隔离功能；例如，光纤通道链路间虽然可以实现多路径冗余，却难以象以太网

那样通过TRUNK技术实现多链路负载均衡。

在光纤通道SAN中，所有功能都必须由操作员进行手工配置，由主机进行管理。这样，

就会要求操作人员掌握不同厂商FCSAN相关设备的配置、使用、维护技术。而iSCSI是一套

完全遵从IP协议标准的技术规范，它能够充分利用标准的IP网络的功能以及以太网的普及性，

从而降低人员培训的要求和今后使用、维护的困难。

在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天，简单、标准通用、

低成本的IPSAN日益普及；而FCSAN高昂的建设成本和非标特性，限制了FCSAN技术的

进一步发展。

iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上，而安全性是互联

网永恒的话题。对于用户来讲，存储设备保存的是用户最为关键的数据，这些数据也往往是

私密性的，一旦把这些数据放置在网络上，安全问题将变得非常突出。

IETF和SNIA的IP存储工作组在制定iSCSI标准时就充分考虑了安全问题，例如IETF

的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec：iSCSI、FCIP和iFCP。

但这样做显然会影响性能，而通常在平衡性能和安全性的要求时候，大多数人总是倾向于更

好的性能。

前几年，万兆网络存储尚未出现，IP存储设备的端口性能一直停留在千兆速率，相对于

FC的4Gbps，端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关

键应用的环境中使用，这些非关键应用本身对数据安全性的要求也较低。

那么，相对于FC存储技术，IP存储是否就是不安全存储的代名词？事实显然是否定的，

我们先来看看FCSAN是如何处理安全性问题的

从技术角度上讲，光纤通道并没有人们想象中的安全，按网络七层模型分析光纤通道协

议是工作在第二层的协议，原本并没有建立安全机制，而且该协议和IP协议完全不同，不能

直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行，因而不存在在广域

网上被窃听的机会，其次一旦连接存储设备的服务器被攻破，没有任何安全认证机制的FC

SAN存储设备自然就完全暴露在入侵者面前。第三，FC协议在发起端和目标端通过唯一的

WWPN号来建立对应关系，而黑客可以简单地采用SPOOFING方式伪装成合法的发起端，从

而取得对未经授权的目标端存储空间的访问。

光纤通道环境给人感觉具有比较高的安全性，原因在于它们是服务器后端的专用局域网

络，从本质上来说光纤通道结构是一个独立的子网，专门处理在数据中心内的主机与存储设

备之间的数据通讯问题。iSCSI给人感觉安全性较低，原因在于它可以通过基于以太网和IP

协议和服务器直接连接。不过，通过部署专用于存储的IP网络，并和前端数据通信网络相对

隔离，我们就可以实现和光纤通道技术相同级别的网络存储安全性。

实际上，IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两

方面的身份验证（使用CHAP、SRP、Kerberos和SPKM），能够阻止未经授权的访问，只允

许那些可信赖的节点进行访问。另外，IPsecDigests（IPsec