主机到交换机域
在主机到交换机的通信中,单个设备的端口使用访问控制表(ACL)连到一套或者更多套交换机的端口,设备端口由一个全球通用名称(WWN) 指定,通常代表主机总线适配器(HBA)。
安全管理到光纤通道设备域
安全管理功能应该用交换机的公钥对适当的数据元素(包括一个随机数)进行加密。之后,交换机可以用其私钥对该数据元素解密。
交换机到交换机域
交换机到交换机在进行安全的通信时,应加强安全策略。安全管理功能通过使用数字证书和ACL对交换机进行初始化。在建立任何通信之前,交换机在相互认证时,交换这些证书。该过程确保只有经认证过的,和经过授权的交换机才可加入到SAN光纤通道设备,或者加入到指定的光纤通道设备区域中。此外,该认证过程阻止了未经授权的交换机 (例如,用于主机代管服务的交换机),通过端口连接到光纤通道设备中。基本的交换机到交换机的光纤通道设备的安全技术包括,但不局限于:两个交换机之间通过使用公钥技术和数字证书,进行相互认证;经过授权的安全管理或者其他系统管理中的交换机报警技术 (诸如简单网络管理协议 (SNMP)设陷通知)。
对上述讨论有点印象后,现在我们转到讨论为SAN提供最高级别的安全保护的多种技术措施和方法。下面的讨论是关于数据存取和安全性、光纤通道管理和保护,以及为SAN提供安全性和管理性的方法。
数据完整性和安全性
SAN的实现机制使得数据能够非常容易地被访问,结果就需要加强数据传输中的网络安全和过程优化。要使得SAN中的设备能进行交互,且相互间建立某种级别的管理和安全机制,光纤通道设备的分区则为此提供了一条途径。
什么是分区?
分区是基于光纤通道设备的,在光纤通道上建立屏障,以便阻止不同组别的设备之间互相影响的加强型的方法。SAN体系结构通过桥、交换机和集线器在服务器和存储设备中提供了端口到端口的连接。在SAN光纤通道中,分区在存储设备中建立了有效的管理、划区和控制通道出入的方法。结果是:存储资源最大限度地得到利用,数据完整性和安全性得到保证。此外,分区能够通过操作系统把异种设备进行组合,并可进一步根据应用、功能或者所属部门进行划分。
分区类型
有两种分区类型:软分区和硬分区
软分区
软分区使用软件来进行分区,在光纤通道交换机中,使用名称服务器数据库进行分区。正如前面提到的,名称服务器数据库端口号和全球通用名称(WWN)用来在分区时标识设备。一旦分区改变了,数据库中的设备就接受注册状态改变通知 (RSCN)信息。要改变相关的通信路径,每种设备必须具有正确标识好RSCN。任何没有进行正确的RSCN标识的设备(在改变分区后,尽管仍可继续传输数据到特定的设备)将被阻止同其目标设备进行通信。
硬分区
对于一个指定的分区,硬分区仅使用全球通用名称(WWN)来指定每种设备。 这样,交换机可以通过验证过的分区来控制数据的传输,硬分区要求每种设备都通过交换机路由表的验证。例如,如果两个端口未经授权就相互通信,这些端口的路由表就被关闭,这些端口之间的通信就被阻塞。
