iSCSI 安全

应用到: Windows Server 2008 R2

可以使用存储浏览器来配置存储区域网络 (SAN) 中的发起程序连接到目标和目标门户所需的 iSCSI 安全设置。有多种安全级别可供 iSCSI 使用,您必须选择目标或目标门户所需的级别。

Important重要
使用此功能,可以执行与 iSCSI 配置和管理相关的所选任务子集。您还可以使用 Microsoft iSCSI 发起程序(包含在 Windows Server 2008 或更高版本的“管理工具”中)执行这些任务和其他任务。另外,网络和存储解决方案供应商也提供类似的工具来执行 iSCSI 配置和管理任务。有关 iSCSI 的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=102299(可能为英文网页)。

存储浏览器支持以下 iSCSI 安全级别:

CHAP 身份验证

质询握手身份验证协议 (CHAP) 是基本的安全级别。CHAP 是一个用于对连接对等方进行身份验证的协议,它基于共享机密(与密码相似的一种安全密钥)的对等方。

有两种类型的 CHAP 身份验证:

  • One-way CHAP authentication。使用此安全级别,仅 iSCSI 目标对发起程序进行身份验证。机密仅是为目标设置的。要访问该目标的所有发起程序都需要使用相同的机密来启动与该目标之间的登录会话。

  • Mutual CHAP authentication。使用此安全级别,iSCSI 目标和发起程序会相互进行身份验证。系统会为 SAN 中的每个目标和每个发起程序分别设置机密。

Caution小心
在 iSCSI 发起程序和目标之间至少应使用单向 CHAP 身份验证。

RADIUS 身份验证

远程身份验证拨入用户服务 (RADIUS) 是用于维护和管理用户身份验证和有效性的标准。与 CHAP 不同,RADIUS 身份验证不是在对等方之间执行的,而是在 RADIUS 服务器与客户端之间执行的。当用户(iSCSI 发起程序)要访问客户端(iSCSI 目标)中的资源时,客户端会将用户连接请求发送到 RADIUS 服务器。RADIUS 服务器负责对用户进行身份验证,然后返回客户端将服务发送给用户所必需的所有配置信息。客户端与 RADIUS 服务器之间的事务处理还要通过使用共享机密来进行身份验证。

若要使用此安全级别,必须在网络上运行 RADIUS 服务器,否则必须部署一个 RADIUS 服务器。

IPsec 身份验证和加密

Internet 协议安全 (IPsec) 是一种用于在 IP 数据包层强制身份验证和数据加密的协议。IPsec 除了用于 CHAP 或 RADIUS 身份验证以外,还可以提供额外的安全级别。

启用 IPsec 时,系统会对在数据传输过程中发送的所有 IP 数据包进行加密和身份验证。系统会在所有 IP 门户上设置一个通用密钥,使所有对等方可以彼此进行身份验证并协商数据包加密。有关详细信息,请参阅 IPsec (http://go.microsoft.com/fwlink/?linkid=93520)(可能为英文网页)。

其他注意事项

  • 可为某个存储子系统设置何种安全级别,取决于硬件制造商。并非所有子系统都支持所有的 iSCSI 安全级别。您应与硬件制造商联系,确认其产品支持哪种安全级别。

  • 最安全的 CHAP 机密不是单词或短语,而是一系列随机字符。

其他参考

社区附加资源

添加
显示: