收藏
下载资源

“存储安全”主要厂商方案调研

上传人:飞*** 文档编号:3821870 上传时间:2017-08-12 格式:DOC 页数:14 大小:369.50KB
返回 下载 相关 举报
“存储安全”主要厂商方案调研_第1页
第1页 / 共14页
“存储安全”主要厂商方案调研_第2页
第2页 / 共14页
“存储安全”主要厂商方案调研_第3页
第3页 / 共14页
“存储安全”主要厂商方案调研_第4页
第4页 / 共14页
“存储安全”主要厂商方案调研_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《“存储安全”主要厂商方案调研》由会员分享,可在线阅读,更多相关《“存储安全”主要厂商方案调研(14页珍藏版)》请在金锄头文库上搜索。

1、一、H3C1产品介绍1.1 存储产品Neocean 系列存储产品 IX3000 系列( IX3040,IX3080,IX3240,IX3620)H3C 万兆存储 IX3000 系列是 H3C 公司推出的全新中高端网络存储产品,定位于性能要求高、业务需求丰富的各种数据应用,是高性能、高品质、高智能的 IP 存储系统。特点: 提供 4 个 10Gb 接入以太网口; 后端提供 6 条 SAS 总线(带宽 612Gb) ; 支持 SAS 磁盘和 STAT 磁盘混插; 全自动连续数据快照、网络复制、快照代理、DiskSafe 功能。 IX1000 系列Neocean IX1000 系列产品定位于具有丰富

2、业务要求的用户,提供IP SAN/NAS 一体化数据存储、关键应用的实时数据保护和灾难备份/ 恢复、广域分支机构远程数据复制集中、数据库 IP SAN 高速访问、多用户文件共享服务、网络硬盘、CDP 连续数据保护、Windows 系统保护等解决方案。 H3C 在中国销售的 NeoceanIX 系列产品都是基于FalconStor、Intransa、iVivity 和 Xyratex 的技术。 IV5000Neocean IV5000 虚拟化数据管理平台能够提供存储虚拟化、统一高效灵活的复制、连续数据快照、多模式镜像、多链路负载均衡等丰富的存储功能,可为用户搭建坚固、灵活的存储基础架构,实现动态

3、扩展存储容量、高性能的数据处理、海量数据的快速移动、简单易用的WEB 管理。IV5000 虚拟化数据管理平台包含两个型号:IV5100 和IV5200。IV5100 重点面向 IP 存储领域,支持 iSCSI 协议,不支持 FC协议。IV5200 面向已部署 FC SAN 的用户环境,同时支持 iSCSI 和FC 协议,兼容异构存储设备。产品规格项目 IV5100 IV5200缓存 4GB 4GB 业务接口6 个千兆以太网口(RJ45)1 个 Ultra320 SCSI 接口4 个 FC 接口(LC 多模接口)6 个千兆以太网口(RJ45)1 个 Ultra320 SCSI 接口支持操作系统W

4、indows, Linux, AIX,HP-UX, Solaris, Netware 等Windows, Linux, AIX,HP-UX, Solaris, Netware, SGI IRIX , SCO OpenServer, Compaq Tru64 UNIX 等管理软件NeoStor 存储管理软件 NeoStor 存储管理软件可选软件功能IV5100 全双工故障切换选项功能IV5100 半双工故障切换选项功能SSE(存储服务使能)功能同步镜像功能异步镜像功能本地数据复制功能/基于 IP 的远程复制功能自适应数据复制功能CompressionOption,通过压缩数据流使带宽的利用达到最

5、佳.用于基于 IP 的复制选项EncryptionOption,通过对数据流加密确保端到端的安全与保密.用于基于 IP 的复制选项数据快照拷贝功能TimemarkOption,时间点连续数据保护功能IPTrunkingOptionCallHome,故障通知功能DiskSafeOption,磁盘克隆功能DynaPathOption,为应用主机提IV5200 全双工故障切换选项功能IV5200 半双工故障切换选项功能SSE(存储服务使能)功能同步镜像功能异步镜像功能本地数据复制功能/基于 IP 的远程复制功能自适应数据复制功能CompressionOption,通过压缩数据流使带宽的利用达到最佳.

6、用于基于 IP 的复制选项EncryptionOption,通过对数据流加密确保端到端的安全与保密.用于基于 IP 的复制选项数据快照拷贝功能TimemarkOption,时间点连续数据保护功能IPTrunkingOptionCallHome,故障通知功能DiskSafeOption,磁盘克隆功能DynaPathOption,为应用主机提供HBA 的多链路负载平衡、故障切换功能供 HBA 的多链路负载平衡、故障切换功能SnapshotAgentsOption,主机快照代理HyperTracBackupOption,备份服务器支持功能MultipathingOption,用于连接存储设备时的多链

7、路负载均衡和故障切换功能SnapshotAgentsOption,主机快照代理HyperTracBackupOption,备份服务器支持功能1.2 安全产品 防火墙&VPN 产品 EDA(end user admission domination)终端准入控制 IPS1.3 产品定位与技术路线H3C 的存储产品主要定位中低端市场,其中端的架构主要位 IP SAN(iSCSI ) ,其低端产品为 IP SAN/NAS 复合结构,基本没有 FC SAN。H3C 的安全产品主要是采用现在网络安全的成熟技术,利用防火墙和 VPN技术实现边界防御和通信流保护,利用 EDA 实现接入控制与授权,利用 IP

8、S 作为补充。H3C 的存储安全方案是利用成熟的 IP 网络安全技术来提供存储网络的安全机制,且其存储技术主推 ISCSI SAN,所以比较容易集成。2. 安全方案介绍(需要列表说明方案解决了那些问题)2.1 综述从 H3C 的产品来看,它既有存储产品,又有网络安全产品。在存储领域,它主推 IP SAN 结构,究其原因,主要有两个方面:一是 IP SAN 的成本较低,符合 H3C 的中低端市场的定位,二是由于其安全产品主要是网络安全产品,如此,存储产品与安全产品可以方便的形成一个整体解决方案。由于主推 IP SAN 结构,所以 H3C 的存储安全问题由其网络安全产品解决,这种技术路线可由它众多

9、公开的具体方案看出。但是,这种思路只是解决了存储安全的部分问题(实际是小部分问题) 。H3C 的网络安全整体解决方案一般由以下几个部分构成,首先,对整个网络进行分区(域) ,要求每个域有明确的边界,一般分为 intranet、extranet 和internet 三个区;然后针对不同域的安全要求,有针对性的设置安全设施和安全策略;对于 intranet 域,设置内网访问控制,对于 extranet,设置较严格的访问控制、通信流保护和入侵检测,对于 internet 设置防火墙和入侵防范。2.2 远程接入控制方案2.2.1 典型组网2.2.2 功能特点(1)支持多种接入认证方式,包括 RADIU

10、S,LDAP 和证书;(2)支持通信流保护、过滤和审计;(3)统一安全管理;(4)高可靠性(双机热备、动态路由)2.2.3 说明2.3 边界防护2.3.1 典型组网2.3.2 功能特点(1)防火墙与 IPS 有机结合,提供 27 层的安全防护;(2)虚拟化安全服务;(3)统一安全管理;(4)高可靠性(双机热备、双链路、双网关)2.3.3 说明2.4 内网控制2.4.1 典型组网2.4.2 功能特点(1)病毒、蠕虫的主动防御;(2)安全联动;(3)统一安全管理;(4)行为审计2.4.3 说明3 典型存储管理方案3.1 存储整合方案3.1.1 典型组网3.1.2 功能说明3.2 在线 CDP 保护

11、解决方案3.1.1 典型组网3.1.2 功能说明3.3 远程灾备解决方案3.1.1 典型组网3.1.2 功能说明3.4 WSAN 解决方案3.1.1 典型组网3.1.2 功能说明4 H3C 产品在存储安全方面的分析从 H3C 的网络安全安产品、存储产品和其组网方案中可以看出 H3C 解决存储安全问题的技术路线是尽量利用它已有的安全产品保证其存储系统的安全,而它的安全产品主要是网络安全产品,当进行综合部署时,可以解决部分存储安全问题。4.1 访问控制4.1.1 解决方法 利用防火墙类安全产品(SecPath 或 SecBlade)和 EDA 可以解决端点接入认证和粗粒度访问控制; 利用 iSCS

12、I 客户端和服务端的 CHAP 协议可实现端到端的认证和访问控制; 认证方式可以有多种(RADIUS,LDAP 和证书等)4.1.2 优点采用防护墙类产品解决接入认证和访问控制方法是属于基于网络的安全解决方案,能够保证接入主机的合法性,避免了安全功能对主机性能的影响,同时它对主机应用是全透明的;在安全管理方面的复杂度较低,可以较容易实现域的安全管理。对于存储系统而言,可以方便实现对存储系统的接入认证问题。采用 EDA 方式实现接入认证和访问控制4.1.3 缺点采用防护墙类产品解决接入认证和访问控制方法是基于网络的采用点对点方式进行接入认证和访问控制的(注意:高层的防火墙和包过滤系统可以实现部分

13、的端到端的控制) ,它是粗粒度的访问控制,当多个应用系统共享一个存储系统时,它难以实现合理的访问控制。对于存储系统,当采用 iSCSI 协议本身的安全特性去弥补防火墙类产品不足时,两者在功能上有重复,而且由于两者分属不同的系统和协议层次,这增加了安全管理的复杂度。4.2 数据机密性4.2.1 解决方法通过各种类型的 VPN(IP Sec/SSL VPN/GRE VPN/MIPS VPN)保证通信数据流安全。4.2.2 优点使用 VPN 技术保证通信流安全是一种成熟技术,有多种成熟高效实现方式,即可保证点到点的通信安全,也可保证端到端的通信安全。4.2.3 缺点对于网络存储系统,不仅需要保证传输

14、中的数据机密性,同时还包括存储介质上的数据的机密性,需要对存储介质上的静态数据进行加密存储。在已查阅的 H3C 产品和方案中,没有看到关于静态加解密方面的论述和功能描述。如果 H3C 的产品中没有保护数据的静态加解密功能,那么可以说 H3C 在网络存储系统安全问题上的解决方案是有重大缺陷的。4.3 数据完整性从 H3C 的方案与产品来看,在数据完整性方面, H3C 没有做相应的工作。因为 H3C 的安全产品基本是基于网络的安全产品,而数据完整性难以在其上实现。数据完整性一般是在应用层或文件层上实现,这是一种基于应用或基于主机的实现方式,目前除了少数特殊应用外,网络存储系统基本没有考虑在其上实现数据完整性。4.4 数据可用性H3C 在数据可用性方面做的比较出色,其网络存储系统支持流量均衡、多种 RAID 级别、在线数据保护等功能,在灾备方面也有较好的解决。4.5 抗否认H3C 没有提供这方面的功能。二、EMC1产品介绍2安全方案介绍2.1 综述2.2 PowerPath Encryption with RSA3典型存储管理方案4EMC 产品在存储安全方面的分析

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 研究报告 > 技术指导

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号