网站首页  词典首页

请输入您要查询的论文:

 

标题 FCSAN中交换机端口安全策略的设计与实现
范文 张令芬


摘 要: 信息安全在FC SAN中是一个重要的问题,它涉及到的技术手段包括数据加密和访问控制等。使用ZONE划分及LUN掩码解决这方面的问题时主要是通过对SAN的设置实现,其缺乏灵活性和对数据的访问控制。为了提高光纤通道存储区域网络访问的安全性,设计了一个基于端口策略的交换机安全系统。首先介绍该系统的功能模块,然后分析用到的关键技术,并介绍了系统关键模块的设计。测试表明该系统运行结果符合设计要求,能够起到安全访问控制的效果。
关键词: 存储局域网; 规则; 自动学习; 端口安全
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2015)07?0073?04
0 引 言
FC SAN(光纤通道存储区域网)的出现解决了大量数据管理和存储的问题,这意味着存储器和服务器进行了分离,在网络存储业界有着划时代的意义。但在FC存储网络环境中,每一个服务器都可以共享访问磁盘阵列,这造成了FC SAN中存储数据的安全性问题,所以信息安全在FC SAN中是一个重要的问题,它涉及到的技术手段包括数据加密和访问控制等。使用ZONE划分及LUN掩码解决这方面的问题主要是通过对SAN的设置实现的,它的主要问题是缺乏灵活性和对数据的访问控制[1]。
在这种情况下,设计和实现FC存储网络中的安全访问特性,从交换机端口上来保证FC SAN中存储数据访问的安全。该系统依据存储网络中每台设备惟一登录接口名,在网络中的交换机上对登录设备进行检查权限,只有通过检查的才能进行访问磁盘阵列。与传统的ZONE划分和LUN掩码解决方法相比,其更具有精确性、安全性和灵活性。
网络安全可以从点和线及面三种不同的角度来解决。FC存储网络端口安全系统依据的是点的角度,即在交换机端口上来保证访问的安全性,具有较高的精确性、灵活性,它并不依赖固定的网络形式。即当新接入一台设备时,只要配置相关的规则就可以控制其访问网络中其他设备,而当有设备从网络中下线时,也只须删除相关规则。
1 系统功能结构
存储网络主要包含节点设备和交换机,当然除了交换机以外的服务器和存储设备都被称之为网络节点(Node)设备,其通过交换机接入到存储网络中,并进行数据的传输。支持FC协议的交换机提供数据转发和网络控制。图1为FC协议通信模型,服务器通过FC交换机1和FC交换机2来访问磁盘阵列,并进行数据的读取和存储。这种通信没有进行安全访问控制,它的缺点可能会造成数据泄密或者篡改。
图1 FC协议通信模型
为了保证FC SAN中数据访问的安全性,在交换机上增加了安全访问控制功能,设计该系统的模块结构如图2所示。
图2 系统模块结构
获取登录设备信息模块,获取连接交换机的网络节点设备或者另一台交换机的登录信息;登录设备权限查询模块,判断登录设备是否有权限进行登录访问;存储库模块,保存着一些信息;登录访问反馈模块,交换机权限检查完之后对登录设备访问的反馈。
该系统的端口采用的安全策略是:只要具备条件的设备可以进行登录访问,不具备条件的设备不能进行登录访问。登录的条件有两种:
(1) 如果存储库中有对应的规则,登录设备在权限检查时会查询到,然后就可以允许设备登录访问;
(2) 如果存储库中没有对应的规则,但系统的学习机制将登录设备的信息形成了一条新的规则,则允许设备登录访问。
规则的内容是由WWN和交换机上的端口组成。如果登录设备的登录信息和规则的内容相匹配则授权设备可以登录访问;如果登录设备的登录规则和登陆信息的内容不相匹配,则结果就是拒绝设备访问。
该系统主要功能包含规则学习功能、配置功能、权限检查功能、信息查看功能和系统稳定性功能。
2 系统关键技术
2.1 FC技术
FC作为一种高速传输数据的技术标准,可以为存储网络用户提供高速、高可靠性以及稳定安全性的数据传输,在SAN中得到广泛应用。在存储局域网中,硬件设备(包括服务器,交换机和磁盘设备等)都必须支持FC协议才能正常地进行数据的传输。
FC协议是分层的协议,虽然与网络OSI模型具有相似性,但它并不直接对应OSI各层功能。FC协议分为5层,每层协议都具有实现独自的功能。
2.2 VSAN技术
虚拟区域存储网络(Virtual Storage Area Network,VSAN)是一种对于SAN实体网络进行的虚拟逻辑划分。类似于以太网VLAN划分。FC网络管理员可以根据实际应用需求,将一个物理SAN网络分隔成多个相互隔离的逻辑SAN网络,即虚拟存储网络(VSAN),每个VSAN可以独立运行,独立提供各种服务。VSAN既可以保证安全性,又可以满足不同用户的需要。
VSAN的划分实现了将一个物理连通的存储网络分割成多个逻辑上的虚拟存储网络,每个VSAN相互隔离,并独立提供服务,增强了网络的适应性、安全性,使其能够为用户提供更有效的服务。用户可以通过配置VSAN相关的数据来实现VSAN划分。根据链路连接在实际应用中的不同需求,通过向交换机输入相关命令行的方法,将交换机的各种端口以不同的连接方式,配置进入指定VSAN之中,实现运用VSAN逻辑划分隔离实际物理网络的功能。但是VSAN管理的范围仅包括交换机上的端口,不包括与交换机相连的节点设备的N端口。
N端口发送的报文不会带有VSAN信息,其所属的VSAN只能由与其相连的交换机设备的端口(F端口)所在的VSAN决定,如果F端口所在VSAN相同,表明对应N端口属于同一个VSAN。相同VSAN内的N端口,只要注册了名字服务就可以相互访问,即一台服务器可以访问VSAN内任意磁盘。所以仅仅通过VSAN不能对接入Fabric的存储服务器及磁盘设备,即N端口进行访问控制。这样给数据安全带来隐患,尤其在不同操作系统环境下,很容易对磁盘数据造成损坏[2]。因此,端口安全功能建立在VSAN下,对相同VSAN下设备访问进行控制。
2.3 配置恢复技术
当交换机因故障需要重启时,为了保证设备的配置在重启后不发生变化,交换机需要通过配置恢复机制来完成系统启动时的配置恢复工作。配置恢复方法有基于字符串格式配置文件的恢复和基于二进制格式配置文件的恢复。
字符串格式配置文件记录了用户配置的所有命令字符串,并以一定的格式组织,配置恢复时再将这些命令逐个读取出来,按一定的顺序逐一执行,结果就相当用户可以对设备配置一模一样。这种配置恢复方式采取单任务的方式,每个模块可以按一定的顺序,按顺序经过命令的解析、命令的匹配以及命令的下发等流程,以完成需要恢复的工作[3]。这种方法在配置恢复时各模块有着比较强的耦合性,它要求各个模块需要按一定的顺序进行恢复工作,所以完成配置恢复所用时间将会随着配置文件的增大而逐步增大。
配置恢复的过程顾名思义就是将配置数据赋值于配置载体的一个过程。它可以在信息收集时,直接存储其已经配置的数据,再以二进制文件的形式进行保存;在配置恢复时进一步读取配置文件内的配置值,最后直接将已经配置了的信息赋值到配置的载体上的过程,可见它简化了配置恢复的过程,从而大大地提高了配置恢复的效率。
配置恢复技术可以高效地保障异常情况下端口安全功能稳定性。
2.4 主备倒换技术
主备系统又被称为是双机系统,它主要是通过设备冗余的方式进而实现系统的可靠性、稳定性和安全性的重要措施。在现代通信技术当中,为了保证双机系统的稳定性及其可靠性,许多重要的设备都将会采用主设备保护的设计方法。即在一般情况下,主设备通常处于正常的工作状态,从设备则处在备用的状态,当它在满足一定的触发条件(如后台人机命令倒换、主用设备出现故障等)就会使得原备用设备成为主设备,而原主设备则转为备用状态,这种双机的状态改变过程就是所谓的系统主备倒换的过程[4]。当然主设备的倒换主要可以分为两类,一类是为了完成某些特定了的功能,如版本的升级,即首先在备用设备上实现版本升级,然后主设备主动要求倒换,从而平滑地完成了版本升级;另一类是主设备故障引起系统的主备倒换,使系统不至于因为某个设备的意外故障而瘫痪。通信领域内主备倒换的原则应遵循两个原则:
(1) 倒换时底层不丢消息;
(2) 倒换时要保证其在进行的通话能够顺利进行。
主备倒换技术能够增强端口安全功能的健壮性,保证它的正常运行。
3 系统设计
3.1 学习机制
规则在该系统中扮演着很重要的角色,系统依据规则对登录设备进行权限检查,即规则控制着设备登陆的访问权限。规则则可由管理员手工配置,但如果需要知道相关信息,比如在网络中对应设备的WWN以及端口名。但是如果有好多登录设备在交换机不同端口上登录时,则在这种情况下就需批量配置规则,这将会造成管理员有很大的工作量,将会带来非常不便。
学习机制则主要提供了规则自动学习的功能,它所形成的规则和规则库中的规则的格式基本一致,最后再存入学习库[5]。最后,登录的设备则主要在学习机制的情况下得到了访问权限。学习库中的规则不能在交换机重启后得以保留,而如果还需要保留学习的规则,则还需要转化成规则库中的规则。学习机制则主要是为了允许没有配置过相应规则的设备具有登录访问的权限而设立的,但如果在登录设备中存在不允许登录的设备,则学习机制就得需要关闭。
3.2 拒绝登录信息
拒绝登录信息是指当登录设备访问时没有获得登录访问权限而存入记录库的相关信息。拒绝登录信息的内容主要包括WWN、登录端口、拒绝次数、上一次拒绝时间。权限检查之后允许登录的记录登录信息,拒绝登录的记录的信息,该系统就会保留每一个设备的登录访问信息,这就为管理员查看网络中设备通信状况提供了很大的便利。当然为更好地展现网络中设备的通信情况,在交换机重启后还要做的工作就是保留历史信息[6]。但是,如果保留历史信息这就意味着它将会产生很大的数据量,如果一直增加的话就会达到它所能够接受的上限,所以需要老化机制,即达到信息上限时,时间最早的拒绝登录信息就将被新的拒绝登录信息代替掉。
3.3 统计信息
统计信息主要统计的是登录设备在交换机上进行检查权限时的结果,主要包括登录设备检查通过,nwwn检查通过,swwn检查通过,pwwn检查拒绝,nwwn检查拒绝,swwn检查拒绝,总共通过和总共拒绝共8项内容。网络节点主要拥有pwwn和nwwn,交换机主要拥有swwn[7]。当在权限检查时,对于网络节点设备,分别检查pwwn、nwwn,检查通过计入对应通过的统计次数,检查拒绝计入对应拒绝的统计的次数,而对交换机设备而言,检查swwn,检查结果则同样将计入相应项中。统计信息就反映了系统中端口安全策略的效果。由于规则可以配置和学习,因此当系统的端口安全策略在处于变化中时,交换机在关机重启后就不用再保留统计的信息,那么就会知道统计次数归零。
4 实验结果
测试环境如图3所示,服务器连接交换机的端口WWN为pwwn3,服务器的WWN为nwwn3,服务器连接FC交换机1的fc1端口,FC交换机1的WWN为swwn1,FC交换机1中的fc3端口和FC交换机2的fc2端口相连接,FC交换机2的WWN为swwn2,磁盘阵列连接的FC交换机2的fc4端口,磁盘连接交换机的端口WWN为pwwn4,磁盘阵列的WWN为nwwn4。

图3 测试环境图
现在接下来进行规则配置来验证端口访问的控制功能,FC1,FC2配置规则如表1、表2所示。
表1 FC交换机1配置的规则
[WWN\&登录端口\&访问权限\&pwwn3\&fc1\&允许\&swwn2\&fc3\&允许\&]

表2 FC交换机2配置的规则
[WWN\&登录端口\&访问权限\&swwn1\&fc2\&允许\&]
服务器登录后就访问磁盘阵列,首先是服务器登录FC1,它主要功能室查找规则,发现访问权限允许,然后发现FC1和FC2各有对方相应的登录规则,允许相互访问,最后发现磁盘阵列在FC2上没有规则。造成这种结果主要有两种情况:
(1) FC2的学习机制打开,则磁盘阵列可以登录到FC2上,服务器可以通过访问磁盘阵列;
(2) FC2的学习机制关闭,则磁盘阵列就不可以再登录到FC交换机上,从而最后服务器就不能访问磁盘阵列。
在信息查看功能中显示拒绝的登录信息如表3所示,显示统计信息则如表4所示。
表3 FC交换机2拒绝登录信息
[WWN\&登录端口\&拒绝访问次数\&上一次拒绝时间\&pwwn4\&fc4\&1\&2014/4/14 16:36:03\&]
最后值得说明的是本次实验使用的平台是Windows7操作系统的PC机系统,HP Network Simulator的功能主要用来模拟组网,Oracle VM Virtual Box则主要是作为虚拟机,Sim ware则是作为模拟器。
表4 FC交换机2统计信息
[统计项\&统计次数\&pwwn通过\&0\&nwwn通过\&0\&swwn通过\&1\&pwwn拒绝\&1\&nwwn拒绝\&1\&swwn拒绝\&0\&总共通过\&1\&总共拒绝\&1\&]
5 结 论
通过实验可以得出结果,表明端口安全策略的系统可以控制FC SAN中设备间的访问,并可以查看相关的信息。当然,这种系统也有相应的提升空间,比如该策略怎样才可以在整个网络中有效,以及如何减少手工配置规则的工作量,如何根据较多的拒绝登录次数来进一步拉黑登录设备以及如何老化长时间不用的规则等等。
参考文献
[1] 吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11):26?27.
[2] 刘韬,赵大勇,赵亮.联动式入侵防御系统研究[J].软件导刊,2013(10):153?155.
[3] 张才俊.交换机端口安全策略在网络中的应用实例[J].科技资讯,2009(31):2?3.
[4] 彭亚发.基于端口的网络安全控制的实现[J].电脑开发与应用,2011(9):77?78.
[5] 章亮亮.计算机端口和网络安全[J].电脑知识与技术,2009(35):9964?9966.
[6] 陈平仲,吕会红.关于存储网络发展趋势及技术发展的研究[J].中国现代教育装备,2007(10):174?175.
[7] 陶琳.SAN存储技术的应用研究[J].办公自动化,2009(12):43?44.
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2024/12/23 3:09:20