“存储安全”主要厂商方案调研.doc

一、H3C1产品介绍1.1存储产品Neocean系列存储产品 IX3000系列（IX3040，IX3080，IX3240，IX3620）H3C万兆存储IX3000系列是H3C公司推出的全新中高端网络存储产品，定位于性能要求高、业务需求丰富的各种数据应用，是高性能、高品质、高智能的IP存储系统。特点：l 提供4个10Gb接入以太网口；l 后端提供6条SAS总线（带宽612Gb）；l 支持SAS磁盘和STAT磁盘混插；l 全自动连续数据快照、网络复制、快照代理、DiskSafe功能。 IX1000系列Neocean IX1000系列产品定位于具有丰富业务要求的用户，提供IP SAN/NAS一体化数据存储、关键应用的实时数据保护和灾难备份/恢复、广域分支机构远程数据复制集中、数据库IP SAN高速访问、多用户文件共享服务、网络硬盘、CDP连续数据保护、Windows系统保护等解决方案。 H3C在中国销售的NeoceanIX系列产品都是基于FalconStor、Intransa、iVivity和Xyratex的技术。 IV5000Neocean IV5000 虚拟化数据管理平台能够提供存储虚拟化、统一高效灵活的复制、连续数据快照、多模式镜像、多链路负载均衡等丰富的存储功能，可为用户搭建坚固、灵活的存储基础架构，实现动态扩展存储容量、高性能的数据处理、海量数据的快速移动、简单易用的WEB管理。IV5000虚拟化数据管理平台包含两个型号：IV5100和IV5200。IV5100重点面向IP存储领域，支持iSCSI协议，不支持FC协议。IV5200面向已部署FC SAN的用户环境，同时支持iSCSI和FC协议，兼容异构存储设备。产品规格项目IV5100IV5200缓存4GB 4GB 业务接口l6个千兆以太网口（RJ45）l1个Ultra320 SCSI接口l4个FC接口（LC多模接口）l6个千兆以太网口（RJ45）l1个Ultra320 SCSI接口支持操作系统Windows, Linux, AIX,HP-UX, Solaris, Netware等Windows, Linux, AIX,HP-UX, Solaris, Netware, SGI IRIX, SCO OpenServer, Compaq Tru64 UNIX等管理软件NeoStor存储管理软件NeoStor存储管理软件可选软件功能lIV5100全双工故障切换选项功能lIV5100半双工故障切换选项功能lSSE（存储服务使能）功能l同步镜像功能l异步镜像功能l本地数据复制功能/基于IP的远程复制功能l自适应数据复制功能lCompressionOption,通过压缩数据流使带宽的利用达到最佳.用于基于IP的复制选项lEncryptionOption,通过对数据流加密确保端到端的安全与保密.用于基于IP的复制选项l数据快照拷贝功能lTimemarkOption,时间点连续数据保护功能lIPTrunkingOptionlCallHome，故障通知功能lDiskSafeOption,磁盘克隆功能lDynaPathOption,为应用主机提供HBA的多链路负载平衡、故障切换功能lSnapshotAgentsOption,主机快照代理lHyperTracBackupOption,备份服务器支持功能lIV5200全双工故障切换选项功能lIV5200半双工故障切换选项功能lSSE（存储服务使能）功能l同步镜像功能l异步镜像功能l本地数据复制功能/基于IP的远程复制功能l自适应数据复制功能lCompressionOption,通过压缩数据流使带宽的利用达到最佳.用于基于IP的复制选项lEncryptionOption,通过对数据流加密确保端到端的安全与保密.用于基于IP的复制选项l数据快照拷贝功能lTimemarkOption,时间点连续数据保护功能lIPTrunkingOptionlCallHome，故障通知功能lDiskSafeOption,磁盘克隆功能lDynaPathOption,为应用主机提供HBA的多链路负载平衡、故障切换功能lMultipathingOption,用于连接存储设备时的多链路负载均衡和故障切换功能lSnapshotAgentsOption,主机快照代理lHyperTracBackupOption,备份服务器支持功能1.2安全产品 防火墙&VPN产品 EDA（end user admission domination）终端准入控制 IPS1.3产品定位与技术路线H3C的存储产品主要定位中低端市场，其中端的架构主要位IP SAN（iSCSI），其低端产品为IP SAN/NAS复合结构，基本没有FC SAN。H3C的安全产品主要是采用现在网络安全的成熟技术，利用防火墙和VPN技术实现边界防御和通信流保护，利用EDA实现接入控制与授权，利用IPS作为补充。H3C的存储安全方案是利用成熟的IP网络安全技术来提供存储网络的安全机制，且其存储技术主推ISCSI SAN，所以比较容易集成。2. 安全方案介绍（需要列表说明方案解决了那些问题）2.1综述从H3C的产品来看，它既有存储产品，又有网络安全产品。在存储领域，它主推IP SAN结构，究其原因，主要有两个方面：一是IP SAN的成本较低，符合H3C的中低端市场的定位，二是由于其安全产品主要是网络安全产品，如此，存储产品与安全产品可以方便的形成一个整体解决方案。由于主推IP SAN结构，所以H3C的存储安全问题由其网络安全产品解决，这种技术路线可由它众多公开的具体方案看出。但是，这种思路只是解决了存储安全的部分问题（实际是小部分问题）。H3C的网络安全整体解决方案一般由以下几个部分构成，首先，对整个网络进行分区（域），要求每个域有明确的边界，一般分为intranet、extranet和internet三个区；然后针对不同域的安全要求，有针对性的设置安全设施和安全策略；对于intranet域，设置内网访问控制，对于extranet，设置较严格的访问控制、通信流保护和入侵检测，对于internet设置防火墙和入侵防范。2.2远程接入控制方案2.2.1典型组网2.2.2功能特点（1）支持多种接入认证方式，包括RADIUS，LDAP和证书；（2）支持通信流保护、过滤和审计；（3）统一安全管理；（4）高可靠性（双机热备、动态路由）2.2.3说明2.3边界防护2.3.1典型组网2.3.2功能特点（1）防火墙与IPS有机结合，提供27层的安全防护；（2）虚拟化安全服务；（3）统一安全管理；（4）高可靠性（双机热备、双链路、双网关）2.3.3说明2.4内网控制2.4.1典型组网2.4.2功能特点（1）病毒、蠕虫的主动防御；（2）安全联动；（3）统一安全管理；（4）行为审计2.4.3说明3 典型存储管理方案3.1 存储整合方案3.1.1 典型组网3.1.2 功能说明3.2 在线CDP保护解决方案3.1.1 典型组网3.1.2 功能说明3.3 远程灾备解决方案3.1.1 典型组网3.1.2 功能说明3.4 WSAN解决方案3.1.1 典型组网3.1.2 功能说明4 H3C产品在存储安全方面的分析从H3C的网络安全安产品、存储产品和其组网方案中可以看出H3C解决存储安全问题的技术路线是尽量利用它已有的安全产品保证其存储系统的安全，而它的安全产品主要是网络安全产品，当进行综合部署时，可以解决部分存储安全问题。4.1 访问控制4.1.1解决方法 利用防火墙类安全产品（SecPath或SecBlade）和EDA可以解决端点接入认证和粗粒度访问控制； 利用iSCSI客户端和服务端的CHAP协议可实现端到端的认证和访问控制； 认证方式可以有多种（RADIUS，LDAP和证书等）4.1.2优点采用防护墙类产品解决接入认证和访问控制方法是属于基于网络的安全解决方案，能够保证接入主机的合法性，避免了安全功能对主机性能的影响，同时它对主机应用是全透明的；在安全管理方面的复杂度较低，可以较容易实现域的安全管理。对于存储系统而言，可以方便实现对存储系统的接入认证问题。采用EDA方式实现接入认证和访问控制4.1.3缺点采用防护墙类产品解决接入认证和访问控制方法是基于网络的采用点对点方式进行接入认证和访问控制的（注意：高层的防火墙和包过滤系统可以实现部分的端到端的控制），它是粗粒度的访问控制，当多个应用系统共享一个存储系统时，它难以实现合理的访问控制。对于存储系统，当采用iSCSI协议本身的安全特性去弥补防火墙类产品不足时，两者在功能上有重复，而且由于两者分属不同的系统和协议层次，这增加了安全管理的复杂度。4.2 数据机密性4.2.1解决方法通过各种类型的VPN(IP Sec/SSL VPN/GRE VPN/MIPS VPN)保证通信数据流安全。4.2.2优点使用VPN技术保证通信流安全是一种成熟技术，有多种成熟高效实现方式，即可保证点到点的通信安全，也可保证端到端的通信安全。4.2.3缺点对于网络存储系统，不仅需要保证传输中的数据机密性，同时还包括存储介质上的数据的机密性，需要对存储介质上的静态数据进行加密存储。在已查阅的H3C产品和方案中，没有看到关于静态加解密方面的论述和功能描述。如果H3C的产品中没有保护数据的静态加解密功能，那么可以说H3C在网络存储系统安全问题上的解决方案是有重大缺陷的。4.3 数据完整性从H3C的方案与产品来看，在数据完整性方面，H3C没有做相应的工作。因为H3C的安全产品基本是基于网络的安全产品，而数据完整性难以在其上实现。数据完整性一般是在应用层或文件层上实现，这是一种基于应用或基于主机的实现方