FCSAN中交換機端口安全策略的設計與實現

摘 要： 信息安全在FC SAN中是一個重要的問題，它涉及到的技術手段包括數據加密和訪問控制等。使用ZONE劃分及LUN掩碼解決這方面的問題時主要是通過對SAN的設置實現，其缺乏靈活性和對數據的訪問控制。為了提高光纖通道存儲區域網絡訪問的安全性，設計了一個基于端口策略的交換機安全系統。首先介紹該系統的功能模塊，然后分析用到的關鍵技術，并介紹了系統關鍵模塊的設計。測試表明該系統運行結果符合設計要求，能夠起到安全訪問控制的效果。

關鍵詞： 存儲局域網； 規則； 自動學習； 端口安全

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2015）07?0073?04

0 引 言

FC SAN（光纖通道存儲區域網）的出現解決了大量數據管理和存儲的問題，這意味著存儲器和服務器進行了分離，在網絡存儲業界有著劃時代的意義。但在FC存儲網絡環境中，每一個服務器都可以共享訪問磁盤陣列，這造成了FC SAN中存儲數據的安全性問題，所以信息安全在FC SAN中是一個重要的問題，它涉及到的技術手段包括數據加密和訪問控制等。使用ZONE劃分及LUN掩碼解決這方面的問題主要是通過對SAN的設置實現的，它的主要問題是缺乏靈活性和對數據的訪問控制[1]。

在這種情況下，設計和實現FC存儲網絡中的安全訪問特性，從交換機端口上來保證FC SAN中存儲數據訪問的安全。該系統依據存儲網絡中每臺設備惟一登錄接口名，在網絡中的交換機上對登錄設備進行檢查權限，只有通過檢查的才能進行訪問磁盤陣列。與傳統的ZONE劃分和LUN掩碼解決方法相比，其更具有精確性、安全性和靈活性。

網絡安全可以從點和線及面三種不同的角度來解決。FC存儲網絡端口安全系統依據的是點的角度，即在交換機端口上來保證訪問的安全性，具有較高的精確性、靈活性，它并不依賴固定的網絡形式。即當新接入一臺設備時，只要配置相關的規則就可以控制其訪問網絡中其他設備，而當有設備從網絡中下線時，也只須刪除相關規則。

1 系統功能結構

存儲網絡主要包含節點設備和交換機，當然除了交換機以外的服務器和存儲設備都被稱之為網絡節點（Node）設備，其通過交換機接入到存儲網絡中，并進行數據的傳輸。支持FC協議的交換機提供數據轉發和網絡控制。圖1為FC協議通信模型，服務器通過FC交換機1和FC交換機2來訪問磁盤陣列，并進行數據的讀取和存儲。這種通信沒有進行安全訪問控制，它的缺點可能會造成數據泄密或者篡改。

圖1 FC協議通信模型

為了保證FC SAN中數據訪問的安全性，在交換機上增加了安全訪問控制功能，設計該系統的模塊結構如圖2所示。

圖2 系統模塊結構

獲取登錄設備信息模塊，獲取連接交換機的網絡節點設備或者另一臺交換機的登錄信息；登錄設備權限查詢模塊，判斷登錄設備是否有權限進行登錄訪問；存儲庫模塊，保存著一些信息；登錄訪問反饋模塊，交換機權限檢查完之后對登錄設備訪問的反饋。

該系統的端口采用的安全策略是：只要具備條件的設備可以進行登錄訪問，不具備條件的設備不能進行登錄訪問。登錄的條件有兩種：

（1） 如果存儲庫中有對應的規則，登錄設備在權限檢查時會查詢到，然后就可以允許設備登錄訪問；

（2） 如果存儲庫中沒有對應的規則，但系統的學習機制將登錄設備的信息形成了一條新的規則，則允許設備登錄訪問。

規則的內容是由WWN和交換機上的端口組成。如果登錄設備的登錄信息和規則的內容相匹配則授權設備可以登錄訪問；如果登錄設備的登錄規則和登陸信息的內容不相匹配，則結果就是拒絕設備訪問。

該系統主要功能包含規則學習功能、配置功能、權限檢查功能、信息查看功能和系統穩定性功能。

2 系統關鍵技術

2.1 FC技術

FC作為一種高速傳輸數據的技術標準，可以為存儲網絡用戶提供高速、高可靠性以及穩定安全性的數據傳輸，在SAN中得到廣泛應用。在存儲局域網中，硬件設備（包括服務器，交換機和磁盤設備等）都必須支持FC協議才能正常地進行數據的傳輸。

FC協議是分層的協議，雖然與網絡OSI模型具有相似性，但它并不直接對應OSI各層功能。FC協議分為5層，每層協議都具有實現獨自的功能。

2.2 VSAN技術

虛擬區域存儲網絡（Virtual Storage Area Network，VSAN）是一種對于SAN實體網絡進行的虛擬邏輯劃分。類似于以太網VLAN劃分。FC網絡管理員可以根據實際應用需求，將一個物理SAN網絡分隔成多個相互隔離的邏輯SAN網絡，即虛擬存儲網絡（VSAN），每個VSAN可以獨立運行，獨立提供各種服務。VSAN既可以保證安全性，又可以滿足不同用戶的需要。

VSAN的劃分實現了將一個物理連通的存儲網絡分割成多個邏輯上的虛擬存儲網絡，每個VSAN相互隔離，并獨立提供服務，增強了網絡的適應性、安全性，使其能夠為用戶提供更有效的服務。用戶可以通過配置VSAN相關的數據來實現VSAN劃分。根據鏈路連接在實際應用中的不同需求，通過向交換機輸入相關命令行的方法，將交換機的各種端口以不同的連接方式，配置進入指定VSAN之中，實現運用VSAN邏輯劃分隔離實際物理網絡的功能。但是VSAN管理的范圍僅包括交換機上的端口，不包括與交換機相連的節點設備的N端口。

N端口發送的報文不會帶有VSAN信息，其所屬的VSAN只能由與其相連的交換機設備的端口（F端口）所在的VSAN決定，如果F端口所在VSAN相同，表明對應N端口屬于同一個VSAN。相同VSAN內的N端口，只要注冊了名字服務就可以相互訪問，即一臺服務器可以訪問VSAN內任意磁盤。所以僅僅通過VSAN不能對接入Fabric的存儲服務器及磁盤設備，即N端口進行訪問控制。這樣給數據安全帶來隱患，尤其在不同操作系統環境下，很容易對磁盤數據造成損壞[2]。因此，端口安全功能建立在VSAN下，對相同VSAN下設備訪問進行控制。

2.3 配置恢復技術

當交換機因故障需要重啟時，為了保證設備的配置在重啟后不發生變化，交換機需要通過配置恢復機制來完成系統啟動時的配置恢復工作。配置恢復方法有基于字符串格式配置文件的恢復和基于二進制格式配置文件的恢復。

字符串格式配置文件記錄了用戶配置的所有命令字符串，并以一定的格式組織，配置恢復時再將這些命令逐個讀取出來，按一定的順序逐一執行，結果就相當用戶可以對設備配置一模一樣。這種配置恢復方式采取單任務的方式，每個模塊可以按一定的順序，按順序經過命令的解析、命令的匹配以及命令的下發等流程，以完成需要恢復的工作[3]。這種方法在配置恢復時各模塊有著比較強的耦合性，它要求各個模塊需要按一定的順序進行恢復工作，所以完成配置恢復所用時間將會隨著配置文件的增大而逐步增大。

配置恢復的過程顧名思義就是將配置數據賦值于配置載體的一個過程。它可以在信息收集時，直接存儲其已經配置的數據，再以二進制文件的形式進行保存；在配置恢復時進一步讀取配置文件內的配置值，最后直接將已經配置了的信息賦值到配置的載體上的過程，可見它簡化了配置恢復的過程，從而大大地提高了配置恢復的效率。

配置恢復技術可以高效地保障異常情況下端口安全功能穩定性。

2.4 主備倒換技術

主備系統又被稱為是雙機系統，它主要是通過設備冗余的方式進而實現系統的可靠性、穩定性和安全性的重要措施。在現代通信技術當中，為了保證雙機系統的穩定性及其可靠性，許多重要的設備都將會采用主設備保護的設計方法。即在一般情況下，主設備通常處于正常的工作狀態，從設備則處在備用的狀態，當它在滿足一定的觸發條件（如后臺人機命令倒換、主用設備出現故障等）就會使得原備用設備成為主設備，而原主設備則轉為備用狀態，這種雙機的狀態改變過程就是所謂的系統主備倒換的過程[4]。當然主設備的倒換主要可以分為兩類，一類是為了完成某些特定了的功能，如版本的升級，即首先在備用設備上實現版本升級，然后主設備主動要求倒換，從而平滑地完成了版本升級；另一類是主設備故障引起系統的主備倒換，使系統不至于因為某個設備的意外故障而癱瘓。通信領域內主備倒換的原則應遵循兩個原則：

（1） 倒換時底層不丟消息；

（2） 倒換時要保證其在進行的通話能夠順利進行。

主備倒換技術能夠增強端口安全功能的健壯性，保證它的正常運行。

3 系統設計

3.1 學習機制

規則在該系統中扮演著很重要的角色，系統依據規則對登錄設備進行權限檢查，即規則控制著設備登陸的訪問權限。規則則可由管理員手工配置，但如果需要知道相關信息，比如在網絡中對應設備的WWN以及端口名。但是如果有好多登錄設備在交換機不同端口上登錄時，則在這種情況下就需批量配置規則，這將會造成管理員有很大的工作量，將會帶來非常不便。

學習機制則主要提供了規則自動學習的功能，它所形成的規則和規則庫中的規則的格式基本一致，最后再存入學習庫[5]。最后，登錄的設備則主要在學習機制的情況下得到了訪問權限。學習庫中的規則不能在交換機重啟后得以保留，而如果還需要保留學習的規則，則還需要轉化成規則庫中的規則。學習機制則主要是為了允許沒有配置過相應規則的設備具有登錄訪問的權限而設立的，但如果在登錄設備中存在不允許登錄的設備，則學習機制就得需要關閉。

3.2 拒絕登錄信息

拒絕登錄信息是指當登錄設備訪問時沒有獲得登錄訪問權限而存入記錄庫的相關信息。拒絕登錄信息的內容主要包括WWN、登錄端口、拒絕次數、上一次拒絕時間。權限檢查之后允許登錄的記錄登錄信息，拒絕登錄的記錄的信息，該系統就會保留每一個設備的登錄訪問信息，這就為管理員查看網絡中設備通信狀況提供了很大的便利。當然為更好地展現網絡中設備的通信情況，在交換機重啟后還要做的工作就是保留歷史信息[6]。但是，如果保留歷史信息這就意味著它將會產生很大的數據量，如果一直增加的話就會達到它所能夠接受的上限，所以需要老化機制，即達到信息上限時，時間最早的拒絕登錄信息就將被新的拒絕登錄信息代替掉。

3.3 統計信息

統計信息主要統計的是登錄設備在交換機上進行檢查權限時的結果，主要包括登錄設備檢查通過，nwwn檢查通過，swwn檢查通過，pwwn檢查拒絕，nwwn檢查拒絕，swwn檢查拒絕，總共通過和總共拒絕共8項內容。網絡節點主要擁有pwwn和nwwn，交換機主要擁有swwn[7]。當在權限檢查時，對于網絡節點設備，分別檢查pwwn、nwwn，檢查通過計入對應通過的統計次數，檢查拒絕計入對應拒絕的統計的次數，而對交換機設備而言，檢查swwn，檢查結果則同樣將計入相應項中。統計信息就反映了系統中端口安全策略的效果。由于規則可以配置和學習，因此當系統的端口安全策略在處于變化中時，交換機在關機重啟后就不用再保留統計的信息，那么就會知道統計次數歸零。

4 實驗結果

測試環境如圖3所示，服務器連接交換機的端口WWN為pwwn3，服務器的WWN為nwwn3，服務器連接FC交換機1的fc1端口，FC交換機1的WWN為swwn1，FC交換機1中的fc3端口和FC交換機2的fc2端口相連接，FC交換機2的WWN為swwn2，磁盤陣列連接的FC交換機2的fc4端口，磁盤連接交換機的端口WWN為pwwn4，磁盤陣列的WWN為nwwn4。

圖3 測試環境圖

現在接下來進行規則配置來驗證端口訪問的控制功能，FC1，FC2配置規則如表1、表2所示。

表1 FC交換機1配置的規則

[WWN＼登錄端口＼訪問權限＼pwwn3＼fc1＼允許＼swwn2＼fc3＼允許＼]

表2 FC交換機2配置的規則

[WWN＼登錄端口＼訪問權限＼swwn1＼fc2＼允許＼]

服務器登錄后就訪問磁盤陣列，首先是服務器登錄FC1，它主要功能室查找規則，發現訪問權限允許，然后發現FC1和FC2各有對方相應的登錄規則，允許相互訪問，最后發現磁盤陣列在FC2上沒有規則。造成這種結果主要有兩種情況：

（1） FC2的學習機制打開，則磁盤陣列可以登錄到FC2上，服務器可以通過訪問磁盤陣列；

（2） FC2的學習機制關閉，則磁盤陣列就不可以再登錄到FC交換機上，從而最后服務器就不能訪問磁盤陣列。

在信息查看功能中顯示拒絕的登錄信息如表3所示，顯示統計信息則如表4所示。

表3 FC交換機2拒絕登錄信息

[WWN＼登錄端口＼拒絕訪問次數＼上一次拒絕時間＼pwwn4＼fc4＼1＼2014/4/14 16：36：03＼]

最后值得說明的是本次實驗使用的平臺是Windows7操作系統的PC機系統，HP Network Simulator的功能主要用來模擬組網，Oracle VM Virtual Box則主要是作為虛擬機，Sim ware則是作為模擬器。

表4 FC交換機2統計信息

[統計項＼統計次數＼pwwn通過＼0＼nwwn通過＼0＼swwn通過＼1＼pwwn拒絕＼1＼nwwn拒絕＼1＼swwn拒絕＼0＼總共通過＼1＼總共拒絕＼1＼]

5 結 論

通過實驗可以得出結果，表明端口安全策略的系統可以控制FC SAN中設備間的訪問，并可以查看相關的信息。當然，這種系統也有相應的提升空間，比如該策略怎樣才可以在整個網絡中有效，以及如何減少手工配置規則的工作量，如何根據較多的拒絕登錄次數來進一步拉黑登錄設備以及如何老化長時間不用的規則等等。

參考文獻

[1] 吳鳳剛.計算機網絡的防御技術研究[J].中國新技術新產品，2010（11）：26?27.

[2] 劉韜，趙大勇，趙亮.聯動式入侵防御系統研究[J].軟件導刊，2013（10）：153?155.

[3] 張才俊.交換機端口安全策略在網絡中的應用實例[J].科技資訊，2009（31）：2?3.

[4] 彭亞發.基于端口的網絡安全控制的實現[J].電腦開發與應用，2011（9）：77?78.

[5] 章亮亮.計算機端口和網絡安全[J].電腦知識與技術，2009（35）：9964?9966.

[6] 陳平仲，呂會紅.關于存儲網絡發展趨勢及技術發展的研究[J].中國現代教育裝備，2007（10）：174?175.

[7] 陶琳.SAN存儲技術的應用研究[J].辦公自動化，2009（12）：43?44.