FCSAN中交換機端口安全策略的設計與實現(xiàn)

摘 要： 信息安全在FC SAN中是一個重要的問題，它涉及到的技術手段包括數(shù)據(jù)加密和訪問控制等。使用ZONE劃分及LUN掩碼解決這方面的問題時主要是通過對SAN的設置實現(xiàn)，其缺乏靈活性和對數(shù)據(jù)的訪問控制。為了提高光纖通道存儲區(qū)域網(wǎng)絡訪問的安全性，設計了一個基于端口策略的交換機安全系統(tǒng)。首先介紹該系統(tǒng)的功能模塊，然后分析用到的關鍵技術，并介紹了系統(tǒng)關鍵模塊的設計。測試表明該系統(tǒng)運行結(jié)果符合設計要求，能夠起到安全訪問控制的效果。

關鍵詞： 存儲局域網(wǎng)； 規(guī)則； 自動學習； 端口安全

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2015）07?0073?04

0 引 言

FC SAN（光纖通道存儲區(qū)域網(wǎng)）的出現(xiàn)解決了大量數(shù)據(jù)管理和存儲的問題，這意味著存儲器和服務器進行了分離，在網(wǎng)絡存儲業(yè)界有著劃時代的意義。但在FC存儲網(wǎng)絡環(huán)境中，每一個服務器都可以共享訪問磁盤陣列，這造成了FC SAN中存儲數(shù)據(jù)的安全性問題，所以信息安全在FC SAN中是一個重要的問題，它涉及到的技術手段包括數(shù)據(jù)加密和訪問控制等。使用ZONE劃分及LUN掩碼解決這方面的問題主要是通過對SAN的設置實現(xiàn)的，它的主要問題是缺乏靈活性和對數(shù)據(jù)的訪問控制[1]。

在這種情況下，設計和實現(xiàn)FC存儲網(wǎng)絡中的安全訪問特性，從交換機端口上來保證FC SAN中存儲數(shù)據(jù)訪問的安全。該系統(tǒng)依據(jù)存儲網(wǎng)絡中每臺設備惟一登錄接口名，在網(wǎng)絡中的交換機上對登錄設備進行檢查權限，只有通過檢查的才能進行訪問磁盤陣列。與傳統(tǒng)的ZONE劃分和LUN掩碼解決方法相比，其更具有精確性、安全性和靈活性。

網(wǎng)絡安全可以從點和線及面三種不同的角度來解決。FC存儲網(wǎng)絡端口安全系統(tǒng)依據(jù)的是點的角度，即在交換機端口上來保證訪問的安全性，具有較高的精確性、靈活性，它并不依賴固定的網(wǎng)絡形式。即當新接入一臺設備時，只要配置相關的規(guī)則就可以控制其訪問網(wǎng)絡中其他設備，而當有設備從網(wǎng)絡中下線時，也只須刪除相關規(guī)則。

1 系統(tǒng)功能結(jié)構

存儲網(wǎng)絡主要包含節(jié)點設備和交換機，當然除了交換機以外的服務器和存儲設備都被稱之為網(wǎng)絡節(jié)點（Node）設備，其通過交換機接入到存儲網(wǎng)絡中，并進行數(shù)據(jù)的傳輸。支持FC協(xié)議的交換機提供數(shù)據(jù)轉(zhuǎn)發(fā)和網(wǎng)絡控制。圖1為FC協(xié)議通信模型，服務器通過FC交換機1和FC交換機2來訪問磁盤陣列，并進行數(shù)據(jù)的讀取和存儲。這種通信沒有進行安全訪問控制，它的缺點可能會造成數(shù)據(jù)泄密或者篡改。

圖1 FC協(xié)議通信模型

為了保證FC SAN中數(shù)據(jù)訪問的安全性，在交換機上增加了安全訪問控制功能，設計該系統(tǒng)的模塊結(jié)構如圖2所示。

圖2 系統(tǒng)模塊結(jié)構

獲取登錄設備信息模塊，獲取連接交換機的網(wǎng)絡節(jié)點設備或者另一臺交換機的登錄信息；登錄設備權限查詢模塊，判斷登錄設備是否有權限進行登錄訪問；存儲庫模塊，保存著一些信息；登錄訪問反饋模塊，交換機權限檢查完之后對登錄設備訪問的反饋。

該系統(tǒng)的端口采用的安全策略是：只要具備條件的設備可以進行登錄訪問，不具備條件的設備不能進行登錄訪問。登錄的條件有兩種：

（1） 如果存儲庫中有對應的規(guī)則，登錄設備在權限檢查時會查詢到，然后就可以允許設備登錄訪問；

（2） 如果存儲庫中沒有對應的規(guī)則，但系統(tǒng)的學習機制將登錄設備的信息形成了一條新的規(guī)則，則允許設備登錄訪問。

規(guī)則的內(nèi)容是由WWN和交換機上的端口組成。如果登錄設備的登錄信息和規(guī)則的內(nèi)容相匹配則授權設備可以登錄訪問；如果登錄設備的登錄規(guī)則和登陸信息的內(nèi)容不相匹配，則結(jié)果就是拒絕設備訪問。

該系統(tǒng)主要功能包含規(guī)則學習功能、配置功能、權限檢查功能、信息查看功能和系統(tǒng)穩(wěn)定性功能。

2 系統(tǒng)關鍵技術

2.1 FC技術

FC作為一種高速傳輸數(shù)據(jù)的技術標準，可以為存儲網(wǎng)絡用戶提供高速、高可靠性以及穩(wěn)定安全性的數(shù)據(jù)傳輸，在SAN中得到廣泛應用。在存儲局域網(wǎng)中，硬件設備（包括服務器，交換機和磁盤設備等）都必須支持FC協(xié)議才能正常地進行數(shù)據(jù)的傳輸。

FC協(xié)議是分層的協(xié)議，雖然與網(wǎng)絡OSI模型具有相似性，但它并不直接對應OSI各層功能。FC協(xié)議分為5層，每層協(xié)議都具有實現(xiàn)獨自的功能。

2.2 VSAN技術

虛擬區(qū)域存儲網(wǎng)絡（Virtual Storage Area Network，VSAN）是一種對于SAN實體網(wǎng)絡進行的虛擬邏輯劃分。類似于以太網(wǎng)VLAN劃分。FC網(wǎng)絡管理員可以根據(jù)實際應用需求，將一個物理SAN網(wǎng)絡分隔成多個相互隔離的邏輯SAN網(wǎng)絡，即虛擬存儲網(wǎng)絡（VSAN），每個VSAN可以獨立運行，獨立提供各種服務。VSAN既可以保證安全性，又可以滿足不同用戶的需要。

VSAN的劃分實現(xiàn)了將一個物理連通的存儲網(wǎng)絡分割成多個邏輯上的虛擬存儲網(wǎng)絡，每個VSAN相互隔離，并獨立提供服務，增強了網(wǎng)絡的適應性、安全性，使其能夠為用戶提供更有效的服務。用戶可以通過配置VSAN相關的數(shù)據(jù)來實現(xiàn)VSAN劃分。根據(jù)鏈路連接在實際應用中的不同需求，通過向交換機輸入相關命令行的方法，將交換機的各種端口以不同的連接方式，配置進入指定VSAN之中，實現(xiàn)運用VSAN邏輯劃分隔離實際物理網(wǎng)絡的功能。但是VSAN管理的范圍僅包括交換機上的端口，不包括與交換機相連的節(jié)點設備的N端口。

N端口發(fā)送的報文不會帶有VSAN信息，其所屬的VSAN只能由與其相連的交換機設備的端口（F端口）所在的VSAN決定，如果F端口所在VSAN相同，表明對應N端口屬于同一個VSAN。相同VSAN內(nèi)的N端口，只要注冊了名字服務就可以相互訪問，即一臺服務器可以訪問VSAN內(nèi)任意磁盤。所以僅僅通過VSAN不能對接入Fabric的存儲服務器及磁盤設備，即N端口進行訪問控制。這樣給數(shù)據(jù)安全帶來隱患，尤其在不同操作系統(tǒng)環(huán)境下，很容易對磁盤數(shù)據(jù)造成損壞[2]。因此，端口安全功能建立在VSAN下，對相同VSAN下設備訪問進行控制。

2.3 配置恢復技術

當交換機因故障需要重啟時，為了保證設備的配置在重啟后不發(fā)生變化，交換機需要通過配置恢復機制來完成系統(tǒng)啟動時的配置恢復工作。配置恢復方法有基于字符串格式配置文件的恢復和基于二進制格式配置文件的恢復。

字符串格式配置文件記錄了用戶配置的所有命令字符串，并以一定的格式組織，配置恢復時再將這些命令逐個讀取出來，按一定的順序逐一執(zhí)行，結(jié)果就相當用戶可以對設備配置一模一樣。這種配置恢復方式采取單任務的方式，每個模塊可以按一定的順序，按順序經(jīng)過命令的解析、命令的匹配以及命令的下發(fā)等流程，以完成需要恢復的工作[3]。這種方法在配置恢復時各模塊有著比較強的耦合性，它要求各個模塊需要按一定的順序進行恢復工作，所以完成配置恢復所用時間將會隨著配置文件的增大而逐步增大。

配置恢復的過程顧名思義就是將配置數(shù)據(jù)賦值于配置載體的一個過程。它可以在信息收集時，直接存儲其已經(jīng)配置的數(shù)據(jù)，再以二進制文件的形式進行保存；在配置恢復時進一步讀取配置文件內(nèi)的配置值，最后直接將已經(jīng)配置了的信息賦值到配置的載體上的過程，可見它簡化了配置恢復的過程，從而大大地提高了配置恢復的效率。

配置恢復技術可以高效地保障異常情況下端口安全功能穩(wěn)定性。

2.4 主備倒換技術

主備系統(tǒng)又被稱為是雙機系統(tǒng)，它主要是通過設備冗余的方式進而實現(xiàn)系統(tǒng)的可靠性、穩(wěn)定性和安全性的重要措施。在現(xiàn)代通信技術當中，為了保證雙機系統(tǒng)的穩(wěn)定性及其可靠性，許多重要的設備都將會采用主設備保護的設計方法。即在一般情況下，主設備通常處于正常的工作狀態(tài)，從設備則處在備用的狀態(tài)，當它在滿足一定的觸發(fā)條件（如后臺人機命令倒換、主用設備出現(xiàn)故障等）就會使得原備用設備成為主設備，而原主設備則轉(zhuǎn)為備用狀態(tài)，這種雙機的狀態(tài)改變過程就是所謂的系統(tǒng)主備倒換的過程[4]。當然主設備的倒換主要可以分為兩類，一類是為了完成某些特定了的功能，如版本的升級，即首先在備用設備上實現(xiàn)版本升級，然后主設備主動要求倒換，從而平滑地完成了版本升級；另一類是主設備故障引起系統(tǒng)的主備倒換，使系統(tǒng)不至于因為某個設備的意外故障而癱瘓。通信領域內(nèi)主備倒換的原則應遵循兩個原則：

（1） 倒換時底層不丟消息；

（2） 倒換時要保證其在進行的通話能夠順利進行。

主備倒換技術能夠增強端口安全功能的健壯性，保證它的正常運行。

3 系統(tǒng)設計

3.1 學習機制

規(guī)則在該系統(tǒng)中扮演著很重要的角色，系統(tǒng)依據(jù)規(guī)則對登錄設備進行權限檢查，即規(guī)則控制著設備登陸的訪問權限。規(guī)則則可由管理員手工配置，但如果需要知道相關信息，比如在網(wǎng)絡中對應設備的WWN以及端口名。但是如果有好多登錄設備在交換機不同端口上登錄時，則在這種情況下就需批量配置規(guī)則，這將會造成管理員有很大的工作量，將會帶來非常不便。

學習機制則主要提供了規(guī)則自動學習的功能，它所形成的規(guī)則和規(guī)則庫中的規(guī)則的格式基本一致，最后再存入學習庫[5]。最后，登錄的設備則主要在學習機制的情況下得到了訪問權限。學習庫中的規(guī)則不能在交換機重啟后得以保留，而如果還需要保留學習的規(guī)則，則還需要轉(zhuǎn)化成規(guī)則庫中的規(guī)則。學習機制則主要是為了允許沒有配置過相應規(guī)則的設備具有登錄訪問的權限而設立的，但如果在登錄設備中存在不允許登錄的設備，則學習機制就得需要關閉。

3.2 拒絕登錄信息

拒絕登錄信息是指當?shù)卿浽O備訪問時沒有獲得登錄訪問權限而存入記錄庫的相關信息。拒絕登錄信息的內(nèi)容主要包括WWN、登錄端口、拒絕次數(shù)、上一次拒絕時間。權限檢查之后允許登錄的記錄登錄信息，拒絕登錄的記錄的信息，該系統(tǒng)就會保留每一個設備的登錄訪問信息，這就為管理員查看網(wǎng)絡中設備通信狀況提供了很大的便利。當然為更好地展現(xiàn)網(wǎng)絡中設備的通信情況，在交換機重啟后還要做的工作就是保留歷史信息[6]。但是，如果保留歷史信息這就意味著它將會產(chǎn)生很大的數(shù)據(jù)量，如果一直增加的話就會達到它所能夠接受的上限，所以需要老化機制，即達到信息上限時，時間最早的拒絕登錄信息就將被新的拒絕登錄信息代替掉。

3.3 統(tǒng)計信息

統(tǒng)計信息主要統(tǒng)計的是登錄設備在交換機上進行檢查權限時的結(jié)果，主要包括登錄設備檢查通過，nwwn檢查通過，swwn檢查通過，pwwn檢查拒絕，nwwn檢查拒絕，swwn檢查拒絕，總共通過和總共拒絕共8項內(nèi)容。網(wǎng)絡節(jié)點主要擁有pwwn和nwwn，交換機主要擁有swwn[7]。當在權限檢查時，對于網(wǎng)絡節(jié)點設備，分別檢查pwwn、nwwn，檢查通過計入對應通過的統(tǒng)計次數(shù)，檢查拒絕計入對應拒絕的統(tǒng)計的次數(shù)，而對交換機設備而言，檢查swwn，檢查結(jié)果則同樣將計入相應項中。統(tǒng)計信息就反映了系統(tǒng)中端口安全策略的效果。由于規(guī)則可以配置和學習，因此當系統(tǒng)的端口安全策略在處于變化中時，交換機在關機重啟后就不用再保留統(tǒng)計的信息，那么就會知道統(tǒng)計次數(shù)歸零。

4 實驗結(jié)果

測試環(huán)境如圖3所示，服務器連接交換機的端口WWN為pwwn3，服務器的WWN為nwwn3，服務器連接FC交換機1的fc1端口，F(xiàn)C交換機1的WWN為swwn1，F(xiàn)C交換機1中的fc3端口和FC交換機2的fc2端口相連接，F(xiàn)C交換機2的WWN為swwn2，磁盤陣列連接的FC交換機2的fc4端口，磁盤連接交換機的端口WWN為pwwn4，磁盤陣列的WWN為nwwn4。

圖3 測試環(huán)境圖

現(xiàn)在接下來進行規(guī)則配置來驗證端口訪問的控制功能，F(xiàn)C1，F(xiàn)C2配置規(guī)則如表1、表2所示。

表1 FC交換機1配置的規(guī)則

[WWN＼登錄端口＼訪問權限＼pwwn3＼fc1＼允許＼swwn2＼fc3＼允許＼]

表2 FC交換機2配置的規(guī)則

[WWN＼登錄端口＼訪問權限＼swwn1＼fc2＼允許＼]

服務器登錄后就訪問磁盤陣列，首先是服務器登錄FC1，它主要功能室查找規(guī)則，發(fā)現(xiàn)訪問權限允許，然后發(fā)現(xiàn)FC1和FC2各有對方相應的登錄規(guī)則，允許相互訪問，最后發(fā)現(xiàn)磁盤陣列在FC2上沒有規(guī)則。造成這種結(jié)果主要有兩種情況：

（1） FC2的學習機制打開，則磁盤陣列可以登錄到FC2上，服務器可以通過訪問磁盤陣列；

（2） FC2的學習機制關閉，則磁盤陣列就不可以再登錄到FC交換機上，從而最后服務器就不能訪問磁盤陣列。

在信息查看功能中顯示拒絕的登錄信息如表3所示，顯示統(tǒng)計信息則如表4所示。

表3 FC交換機2拒絕登錄信息

[WWN＼登錄端口＼拒絕訪問次數(shù)＼上一次拒絕時間＼pwwn4＼fc4＼1＼2014/4/14 16：36：03＼]

最后值得說明的是本次實驗使用的平臺是Windows7操作系統(tǒng)的PC機系統(tǒng)，HP Network Simulator的功能主要用來模擬組網(wǎng)，Oracle VM Virtual Box則主要是作為虛擬機，Sim ware則是作為模擬器。

表4 FC交換機2統(tǒng)計信息

[統(tǒng)計項＼統(tǒng)計次數(shù)＼pwwn通過＼0＼nwwn通過＼0＼swwn通過＼1＼pwwn拒絕＼1＼nwwn拒絕＼1＼swwn拒絕＼0＼總共通過＼1＼總共拒絕＼1＼]

5 結(jié) 論

通過實驗可以得出結(jié)果，表明端口安全策略的系統(tǒng)可以控制FC SAN中設備間的訪問，并可以查看相關的信息。當然，這種系統(tǒng)也有相應的提升空間，比如該策略怎樣才可以在整個網(wǎng)絡中有效，以及如何減少手工配置規(guī)則的工作量，如何根據(jù)較多的拒絕登錄次數(shù)來進一步拉黑登錄設備以及如何老化長時間不用的規(guī)則等等。

參考文獻

[1] 吳鳳剛.計算機網(wǎng)絡的防御技術研究[J].中國新技術新產(chǎn)品，2010（11）：26?27.

[2] 劉韜，趙大勇，趙亮.聯(lián)動式入侵防御系統(tǒng)研究[J].軟件導刊，2013（10）：153?155.

[3] 張才俊.交換機端口安全策略在網(wǎng)絡中的應用實例[J].科技資訊，2009（31）：2?3.

[4] 彭亞發(fā).基于端口的網(wǎng)絡安全控制的實現(xiàn)[J].電腦開發(fā)與應用，2011（9）：77?78.

[5] 章亮亮.計算機端口和網(wǎng)絡安全[J].電腦知識與技術，2009（35）：9964?9966.

[6] 陳平仲，呂會紅.關于存儲網(wǎng)絡發(fā)展趨勢及技術發(fā)展的研究[J].中國現(xiàn)代教育裝備，2007（10）：174?175.

[7] 陶琳.SAN存儲技術的應用研究[J].辦公自動化，2009（12）：43?44.