iSCSI的連接通道是以太網，這可是黑客們自家的大院。誰要是進來，就必須得考慮安全問題。這比進建筑工地要帶安全帽還重要，因為在Internet上被黑客盯上的概率，比在建筑工地被板磚拍到頭上的概率大多了。不信您可以試試，在建筑工地里待上三天也等不到一塊從天而降的板磚。但是把Windows的安全保護去掉連到Internet上，保證你三小時之內就收集到數種“寶貴”的后門程序。如果比較“幸運”，說不定您的用戶口令已經被改過N次，通訊錄被復制M回了。Internet如此兇險，iSCSI所面臨的安全考驗可想而知。

 

幸好IETF和SNIA的IP存儲工作組對此早有防范，在制訂iSCSI標準之初就充分考慮了通訊的安全問題。按照SNIAIP存儲工作組的說法，針對iSCSI技術的保護可以分為五個級別。

 

層次一：無安全保護

 

最簡單的iSCSI實現方式，就是沒有任何加密和認證機制的連接。這種方式僅提供了“SCSI指令在TCP/IP協議上傳輸”這樣一個最基本的功能，連接到網絡上的任何一臺主機都可以毫無阻礙的連接到iSCSI存儲設備。

 

這種方式顯然對任何危險都沒有防范能力。但是，這種方式也有一個顯然的優勢，那就是性能。沒有了認證和加密，自然也就省去了很多額外開銷。如果您非常需要您的iSCSI磁盤陣列以全速工作，這種方式無疑是最好的選擇。劉翔要是帶著安全帽、穿上防彈衣去參加奧運會，肯定也拿不了第一名。

 

當然，選擇這種方式的時候，用來連接iSCSI磁盤陣列的網絡交換機最好是與外界隔離的。這樣安全問題就不那么突出了。不帶安全帽，就離建筑工地遠點唄，最好待在自己家里。板磚破窗而入的事件雖然也有可能發生，但畢竟比在建筑工地周圍安全多了。

 

層次二：iSCSIInitiator和Target通訊認證

 

這種方式是在iSCSI通訊的兩端做文章。Initiator就是主機端，Target是磁盤陣列端。目前市面上的iSCSI產品，一般都會在產品介紹中注明支持CHAP、SRP、Kerberos、SPKM等等認證方式。這些都屬于此類“安全帽”。這些看似詭異的英文縮寫所對應的，都是傳統網絡中非常成熟，應用非常廣泛的認證保護技術。

 

與傳統網絡認證技術一樣，它們的意義就在于防止非授權的用戶訪問。

 

記得當初我做網絡管理員的時候，就曾經“利用職權之便”，為關系好的同事創造方便。我讓他們可以使用更大的服務器空間，還可以就近使用本來為領導們預備的打印機。有一個同事居然追求我喜歡的女孩兒，我一生氣，刪除了他在所有打印服務器上的帳號，逼著他只能抱著電腦跑到走廊盡頭，去使用那臺唯一沒接服務器的老式打印機。

 

在iSCSI技術中，打印服務器變成了iSCSI磁盤陣列。如果想使用磁盤陣列，必須先有訪問這臺磁盤陣列的權限，訪問的時候還要通過那些七七八八的認證。為了防止冒名頂替，認證的過程還會動用一下加密技術。

 

總之，如果管理員不想讓你使用，雖然網線連著，你也沒法使用。用計算機術語說，就是iSCSITarget只與授權的Initiator建立連接。當然，設置權限的那個管理員也是安全的重要關口，幸好天下還是好人多。其實我后來也改邪歸正了，因為那個女孩發現我的劣行之后，義無反顧的嫁給了我的同事。值得我反省啊！

 

層次三：IP防火墻和VPN

 

有了用戶認證，情況當然好很多。但是實際應用中，還是免不了出現漏洞。別的不說，相信設置空白口令這件事就會讓很多管理員頭疼。反正我做管理員的時候，就為此頭疼不已。很多同事嫌口令難記，干脆留空，或者隨手設成111111之類。這種口令實在令人著急，稍微耐心一點的黑客，手工都可以試出來，更何況眼下各種字典攻擊程序滿天飛。

 

對iSCSI磁盤陣列來說，情況也是一樣。如果僅靠用戶認證不能解決問題，就需要借鑒傳統IP網絡的辦法，在內網和外網之間架設防火墻，阻擊外面那些有充分精力和耐心的“嘗試者”。如果iSCSI磁盤陣列（Target）和主機（Initiator）需要跨廣域網連接，最好使兩者以VPN互連。

 

總之就是一個目的，不讓iSCSI磁盤陣列使用公網的IP地址。這樣，那些Internet上時刻閃耀著的燈塔（安全漏洞嗅探器），就無法照耀到這里了。

 

層次四：非應答技術

 

一般情況下，有了防火墻和VPN，再加上用戶認證機制，磁盤陣列中的數據就基本安全了，除非你碰到一個熟悉各種協議格式的高手。這種高手在實際生活中是存在的，而且為數比你想象的要多。我碰到過一些路由器和交換機廠商的高級研發工程師，他們談笑間就可以截獲一個IP包，如探囊取物一般打開。這時，你的用戶名、密碼、地址、身高、體重、銀行帳號、女朋友姓名等等重要信息，就都一覽無遺了。

 

第一次見到這種情形的時候，我不由得倒吸一口涼氣，欽佩之余便發誓也練就此番功夫。后來經過數日堅苦卓絕的打魚曬網，終于模糊的了解到一些手段。原來，網絡上傳輸的數據包不僅可以截下來看，甚至還可以插入、改動和刪除。依靠這些手段，那些良心大大壞了的網絡高手，便可以隔著防火墻冒充合法主機，干一些無恥勾當。

 

那我們的iSCSI設備碰到這種情況怎么辦？沒關系，iSCSI技術的一大好處，就是它站在巨人的肩膀上。這個巨人就是發展已久的以太網技術。在以太網技術中的非應答技術，就是專門用來對方這種邪惡高手的。

 

層次五：IPsec加密

 

非應答技術的采用，已經接近九陰真經的第九重了，如果說用戶認證是頂不錯的安全帽，那非應答技術就應該算全護甲的90式坦克。但安全的話題本身就是道高一尺魔高一丈。板磚雖然砸不動坦克，但是反坦克炮彈就是另外一回事了。

 

那么，有沒有比防應答技術更結實的防御呢？當然有啦，從以太網技術里找嘛。IPsec加密就可算一個。IPsec不僅能防止邪惡高手們修改網絡數據包，甚至還能防止數據包被截獲。或者準確點說，是截獲下來的數據包沒有任何意義。

 

這就好比兩個聾人在談戀愛，任你隔墻有耳，也聽不到只言片語。頂多是一些無意義的“咿咿呀呀”，根本無法解讀其中風情。

 

最后說兩點：

 

首先一點是，安全與性能是魚與熊掌的關系。用戶應該在安全與性能之間尋找平衡，不應該一味過分強調其中一方。

 

第二點是，沒有絕對的安全。網絡領域中對“安全”的定義是……我忘了，大概意思是說，如果攻克保護過程花費的代價大于攻克之后獲得的利益，系統就是安全的。