如何才能将网络黑客阻挡在iSCSI SAN系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是，这些办法虽然都能起到维护IP SAN系统安全的作用，但各自都存在一定的优缺点。建议用户在实施时仔细斟酌，只要使用得当，可大幅提升存储网络的安全性能。

　　1、合理利用访问控制表(简称ACL)。

　　网络管理员可通过设置访问控制表，限制IP SAN系统中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于IP地址的访问控制表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。另一个办法就是使用iSCSI客户机的引发器名称(initiator name)。与光纤系统的全球名称(WORLD WIDE NAME，简称WWN，全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称Mac)地址一样，引发器名称指的是每台iSCSI主机总线适配器(HBA)或软件引发器(software initiator)分配到的全球唯一的名称标识。不过，它的缺点也与WWN、MAC地址一样，很容易被制服，特别是对于基于软件的iSCSI驱动器而言。访问控制表，与光纤系统的逻辑单元屏蔽(LUN masking)技术一样，其首要任务只是为了隔离客户端的存储资源，而非构筑强有力的安全防范屏障。

　　2、使用行业标准的用户身份验证机制。

　　诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol，CHAP)之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。

　　3、保护好管理界面。

　　通过分析历年来企业级光纤系统遭受攻击的案例，会得到一个重要的结论：保护好存储设备的管理界面是极其必要的。无论SAN的防范如何严密，网络黑客只要使用一个管理应用程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下，其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制，都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话，建议不妨加以利用。

　　4、对网络传输的数据包进行加密。

　　IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段：①IPSec Tunnel：整个IP封装在IPSec报文，提供IPSec-gateway之间的通讯;②IPSec Transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即：有效载荷)，对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备，对封装的信息包进行解密。记住，如果接收端与发送端并非共用一个密钥的话，IPsec协议将无法发挥作用。为了确保网络的安全，存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。不过，值得注意的是，IPsec虽然不失为一种强大的安全保护技术，却会严重地干扰网络系统的性能。有鉴于此，如非必要的话，尽量少用IPsec软件。

　　5、加密闲置数据。

　　加密磁盘上存放的数据，也是非常必要的。问题是，加密任务应该是在客户端(如：加密的文件系统)、网络(如：加密解决方案)，还是在存储系统上完成呢?许多用户都趋向于第一种选择——大多数企业级操作系统(包括Windows和Linux在内)，都嵌入了强大的基于文件系统的加密技术，何况在数据被传送到网络之前实施加密，可以确保它在线上传输时都处于加密状态。当然，如果实行加密处理大大加重了CPU的负荷的话，你可以考虑将加密任务放到网络中——或是交由基于磁盘阵列的加密设备——来处理，只不过效果会差一点儿，部分防护屏蔽有可能会失效。提醒用户注意的是：千万要保管好你的密钥，否则，恐怕连你自己也无法访问那些加密的数据了。

　　Ping命令，大家都比较熟悉，它常被用来测试局域网的连通状态。“Ping+IP地址是大家最常用的一种命令格式，但大家是否注意过Ping命令中的IP地址呢?这里面可是有很多学问和讲究的，下面笔者就为大家介绍一下隐藏在Ping命令中的这些秘密。

　　“.0可以有条件省略

　　大家常用“ping 127.0.0.1命令在本机上做回路测试，用来验证本机的TCP/IP协议簇是否被正确安装。但你发现了吗?使用“ping 127.1这个命令也能得到同样的测试结果(如图)，其实“ping 127.1和“ping 127.0.0.1这两条命令是一样的，都是在进行回路测试。

　　为什么会这样呢?这就是Ping命令应用中IP地址的使用技巧。大家都知道，IP地址由32位二进制数字组成，为了方便大家记忆，将每8位二进制数字换算成十进制数字，因此就形成了容易记忆的由四部分十进制数字组成的IP地址(如127.0.0.1)。由于，Windows操作系统具有自动填充 “.0的功能，因此我就可将“127.0.0.1变为“127.1。

　　但是，这个“.0的省略是有条件限制的，并不能任意省略。在Ping命令的应用中，只能将在IP地址的最后一部分十进制数字前出现的一个或多个“.0省略，如把“ping 127.0.0.1命令改写成“ping 127.1。

　　如果这一个或多个 “.0没有紧挨着最后一部分的十进制数字，而是在其他位置，则这个“.0不能省略，如“ping 202.0.96.1就不能写成“ping 202.96.1。这是因为“ping 202.96.1返回的结果是“202.96.0.1的应答信息，而不是“202.0.96.1的应答信息。

　　数字串代替IP地址

　　在Ping命令中，还可以使用数字串代替IP地址，你相信吗?运行“ping 3658906394命令，你会看到“218.22.123.26这个IP地址的返回信息。

　　为什么会这样呢?其实，“3658906394就是IP地址“218.22.123.26的另一种表示形式。当然，也可按同样的方法Ping其他的IP地址。

　　字符串是如何转换而来的呢?其实并不复杂，以“218.22.123.26这个IP地址为例，IP地址转换成数字串方法如下:先将 “218.22.123.26转换为十六进制“DA.16.7B.1A，然后去掉小数点后，变为“DA167B1A，最后将这个十六进制数转换为十进制“3658906394，那么“218.22.123.26就变为“3658906394了。其他IP地址转换为数字串也是使用同样的方法。

　　提示:在某些局域网环境中，使用“Ping+数字串命令可能会失败，出现提示信息“Unknown host数字串，这是因为该数字串被解析成主机名了，而不是IP地址。

　　因此，掌握了上述技巧后，网管在进行网络测试或维护时，可以熟练运用“省略方式，减轻Ping命令的字符输入量，提高工作效率。同时，使用数字串代替IP地址也可迷惑好奇心强的普通用户，以免他们胡乱设置。

　　宽带用户应提高网络安全意识，并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施，以防止黑客侵入计算机，减少或避免因帐号被盗用而产生的经济损失。

　　1、公共场所上网、下机前，务必重起电脑

　　相信现在网吧电脑都100%安装了还原系统，重起电脑基本可以杜绝菜鸟级别的盗号手段。

　　2、上网过程中，坚决不打开别人发你的不明链接

　　记得有一次，正跟玩魔力的朋 友QQ聊天。他莫名其妙的让我去某网址看照片。我正犹豫的时候，他紧接着发过来一句“千万别开那网页，有病毒！我电脑已经感染了……

　　上网，不要浏览乱七八糟的网站，尤其是现在的一些卖虚拟财产的网站，广告价格特别便宜，其实就是引人上当。如果你上网感觉不明原因的电脑运行慢了，立刻重起电脑。

　　3、不要随便陷入“网恋

　　“网恋骗号，损失的不只是物质财富，还有感情。网络，只是一个虚拟的世界，不要过于想入非非。账号尽量不要告诉别人，特别是异性，除非你绝对相信他！

　　4、账号、密码错位输入

　　比如你的账号是“ABcdEFG，你输入的时候先输入“cd，再用鼠标把光标移动盗最前面输入“AB，再用鼠标把光标移动到最后输入“EFG。这种方法可以让大多数木马失效。