Brien M. Posey是一位微軟認(rèn)證系統(tǒng)工程師，曾獲微軟Exchange Server、Windows Server 和Internet Information Server (IIS)的MVP獎(jiǎng)。Brien擔(dān)任一個(gè)全國連鎖性醫(yī)院的CIO，曾經(jīng)在Fort Knox負(fù)責(zé)信息管理系。

問：有沒有一些安全手段防止iSCSI集群共享卷遭受流氓接入?

答：避免iSCSI集群共享卷遭受流氓接入，有很多方法可以嘗試。首先你需要保證主機(jī)的安全性。如果你正在創(chuàng)建一個(gè)基于Windows Server的iSCSI主機(jī)，那么微軟就會(huì)為您提供兩種安全選擇：CHAP或者是反向CHAP。微軟會(huì)推薦使用CHAP。

當(dāng)然你也可以限定接入iSCSI主機(jī)的iSCSI啟動(dòng)器的名稱。當(dāng)然了，最好在給啟動(dòng)器ID起名字的時(shí)候就能有點(diǎn)創(chuàng)意。

在Windows Server上，啟動(dòng)器往往會(huì)遵循服務(wù)器完全合規(guī)的域名進(jìn)行命名，通常很有規(guī)律。舉個(gè)例子在一臺(tái)命名為DC1.lab.com的Windows服務(wù)器上，那么啟動(dòng)器名字就會(huì)是iqn.1999-05.com.microsoft:dc1.lab.com。通過修改啟動(dòng)器的名稱，可以讓名字不是那么容易被破譯出來。防止有人通過冒用啟動(dòng)器名字接入到iSCSI主機(jī)，還有很多工作要做。

另外一個(gè)保護(hù)iSCSI集群共享卷的方式就是創(chuàng)建IPsec隧道。IPsec隧道并不會(huì)直接阻止流氓連接接入iSCSI主機(jī)，但卻能夠保護(hù)數(shù)據(jù)輸入或者輸出主機(jī)時(shí)的私密性。

保護(hù)iSCSI主機(jī)最關(guān)鍵的步驟就是在主機(jī)卷上采用最佳安全策略。換句話說，就是不能放任開放式安全。采用NTFS權(quán)限控制來控制接入主機(jī)的資源。方法便是實(shí)踐深度防御來確保即使有有人與iSCSI主機(jī)創(chuàng)建了連接，數(shù)據(jù)也不會(huì)丟失。