严格的访问控制

　　示意图显示了攻击威胁对存储网络的各个可能切入点，每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护，SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的防护对策。系统管理员可在下列攻击点控制未经授权访问的入侵。

　　1. 带外管理应用程序：交换机有非光纤通道端口，例如以太网端口和串行端口，以满足管理工作的需要。通过建立一个独立于公司内部网的专用网络来管理SAN，便可以限制对以太网端口的访问。如果交换机是与企业内部网络连接的，可以使用防火墙和VPN限制对以太网端口的访问。通过控制物理访问和对使用者授权以鉴别，可以限制对串行端口(RS 232)的访问。物理访问连接以太网端口后，交换机还可以根据访问控制列表，限制访问交换机的程序，交换机也可以限制通过3号攻击点进行访问的程序或个别用户。

　　2. 带内管理应用程序：未经授权访问也可通过带内管理应用程序入侵交换机。带内管理程序将访问诸如命名服务器和光纤网络配置服务器等光纤网络服务。管理访问控制列表（MACL）控制对光纤网络的访问。

　　3. 用户到应用程序：一旦用户获得一个管理程序的物理访问权，他们需要登录到这个应用程序上。管理应用程序是根据用户的工作性质来给予不同级别的访问授权。管理应用程序需要支持访问控制列表和每个用户的角色。

　　4. 设备到设备：当两个Nx_端口在光纤网络登录之后，一个Nx_端口可以端口登录到另一个Nx_端口，分区及逻辑单元屏蔽可以在这个环节限制设备的访问。每一个交换机上的活动区域设置会在光纤网络上执行分区限制。存储设备将维持有关逻辑单元屏蔽的信息。

　　5. 设备对光纤网络：当一个设备（Nx_端口）连接到光纤网络（Fx_端口），设备将发送一个F端口登录指令，这一指令包括了各种端口全球名字的参数。交换机可以批准端口在光纤网络登录或拒绝F端口登录并中止连接。交换机需要维持一个准许连接WWN的访问控制列表。真正的数据威胁发生在设备登录至光纤网络和进入攻击点4或5之后。

　　6. 交换机对交换机：当两台交换机连接时，交换链接参数（ELP）和内部链接服务（ILS）将发送类似交换机WWN的相关信息。一台交换机可以批准其他交换机组成一个更大的光纤网络，如果另一台交换机不被允许加入的话，则可以隔离链接。每个交换机都需维持一个授权交换机的访问控制列表。

　　7. 存储数据：存储的数据易于受到内部攻击、来自光纤网络的未经授权访问的攻击和基于主机的攻击。例如存储协议全都是明文，因此存储、备份及主机管理员能在没有访问限制及登录的情况下访问未经处理的原始存储数据。存储加密码设备为存储数据提供一层保护，在有些情况下提供附加的应用层身份鉴别和访问控制。