數(shù)據(jù)安全是這些年大家關注比較多的話題，數(shù)據(jù)安全不單單指遭受網絡攻擊之后造成的損失，也包括數(shù)據(jù)在存儲和使用過程中因某種原因造成的損失，關注數(shù)據(jù)安全不能僅停留在網絡攻擊層面，應當從多角度、多層面去關注數(shù)據(jù)安全問題。數(shù)據(jù)存儲也是數(shù)據(jù)安全中不可或缺的一部分，作為網絡安全人士也需要了解數(shù)據(jù)相關的存儲技術，筆者在以往的工作中，也接觸過一些數(shù)據(jù)存儲相關的理論知識和實操，下面就普及一下數(shù)據(jù)存儲的基礎知識，做穿針引線的作用，關注數(shù)據(jù)安全就應當從各種層面去了解。

常見的數(shù)據(jù)存儲技術主要包括三類：直接連接存儲（DAS）、存儲區(qū)域網絡（SAN）、網絡附加存儲（NAS）。

一、直接連接存儲（DAS）

DAS是服務器與存儲設備通過總線適配器和SCSI/FC線纜直接相連。直接裝在服務器上的硬盤、直接連接到服務器上的磁盤陣列、直接連接到服務器上的磁帶庫/硬盤盒等都是的，通過總線傳輸數(shù)據(jù)，中間不經過交換機、路由器或其他網絡設備。DAS可分為內置DAS和外置DAS兩種形態(tài)。內置DAS最通俗解釋就是放在服務器機箱內部的硬盤，通過并行總線或串行總線與服務器直接連接。外置DAS最通俗解釋就是類似磁盤陣列，通過FC協(xié)議或SCSI協(xié)議進行通信，基于總線直接連接，有連接設備距離和數(shù)量的限制，主要連接方式是線纜。其中陣列又可以分為單純擴容的外部硬盤陣列和帶控制器的智能硬盤陣列。

DAS存儲技術主要采用的是SCSI協(xié)議，是主機與磁盤通信的基本協(xié)議，支持異步和同步兩種方式。

二、存儲區(qū)域網絡（SAN）

SAN是為了彌補DAS存儲技術的不足提出的一種面向網絡的以數(shù)據(jù)存儲為中心的存儲架構。SAN就是基于SCSI協(xié)議并在長距離存儲上的一種擴展。主要是將SCSI協(xié)議封裝在一個數(shù)據(jù)包或數(shù)據(jù)幀中，通過網絡將數(shù)據(jù)包發(fā)送到更遠的距離，直白點就是將SCSI協(xié)議進行封裝，通過網絡進行傳輸。SAN又分為FC SAN、IP SAN及FCoE SAN。

1.FC SAN

FC SAN是指使用FC協(xié)議的SAN網絡，F(xiàn)C協(xié)議的鏈路介質可以是光纖、雙絞線或同軸電纜，但是都普通使用光纖作為傳輸介質。因此習慣把FC協(xié)議稱為光纖通道協(xié)議。FC SAN的拓撲結構如下圖所示：

FC SAN的連接方式主要為兩種，一種是直接相聯(lián)，一種是通過FC交換機連接，服務器上都需要插入FC-HBA卡。

2.IP SAN

IP SAN是指基于標準的TCP/IP協(xié)議，在以太網上進行塊數(shù)據(jù)的傳輸，不需要搭建專門的FC網絡，使用的是普通的以太網交換機，服務器主要使用的是ISCSI HBA卡，也可以使用以太網卡NIC+Initiator軟件和硬件TOE智能網卡+Initiator軟件。IP SAN的拓撲結構如下圖所示：

IP SAN的組網方式包括直連組網、單交換組網及雙交換組網，直連組網就是服務器通過以太網卡、TOE卡或ISCSI HBA卡直接與存儲設備連接；單交換機就是服務器與存儲設備之間使用一臺以太網交換機，雙交換組網就是使用兩臺交換機做鏈路冗余，防止出現(xiàn)單點故障。SAN組網目前更多還是傾向于使用IP SAN，可以利用現(xiàn)有的以太網絡，而使用FC SAN需要搭建光纖網絡，還需要FC交換機，建設成本比較大。FC SAN支持4Gbit/s、8Gbit/s、16Gbit/s；IP SAN支持1Gbit/s、10Gbit/s。從安全性而言，F(xiàn)C SAN安全性更高，和傳統(tǒng)業(yè)務使用的IP網絡從物理上進行了隔離，保證了數(shù)據(jù)傳輸和存儲的安全性。在項目上要根據(jù)實際情況進行綜合評判是選擇FC SAN還是IP SAN。

3.FCoE SAN

再介紹另外一種FCoE SAN技術，稱作以太網光纖通道，實際就是整合了FC SAN和IP SAN，主要是為了解決大型數(shù)據(jù)中心在以往技術發(fā)展過程中分別使用了FC SAN和IP SAN，在業(yè)務發(fā)展過程中帶來了很多新的問題，也導致建設成本增加。FCoE SAN就是將FC幀封裝到以太網絡中進行傳輸，實現(xiàn)了FC SAN和IP SAN在同一個網絡中共存，節(jié)約了建設和維護成本。FCoE SAN的拓撲結構如下所示：

FCoE SAN中核心設備就是FCoE交換機，其包括FC模塊與接口、增強型以太網接口，可以實現(xiàn)以太網設備、FC設備、FCoE設備之間的交互通信。如果使用FCoE協(xié)議，相應的服務器上也要使用FCoE HBA卡（也稱作CNA卡）。

三、網絡附加存儲（NAS）

NAS是基于IP網絡，通過文件級的數(shù)據(jù)訪問和共享提供存儲資源的網絡存儲架構。NAS主要針對的是文件級共享，以前在一些項目中，使用華為的大數(shù)據(jù)平臺，將音頻、圖片及視頻等文件就是存儲在NAS中，系統(tǒng)調用文件中就直接從NAS中去讀取，擴容比較方便。NAS采用TCP/IP數(shù)據(jù)傳輸協(xié)議和CIFS/NFS遠程文件服務協(xié)議來完成數(shù)據(jù)的歸檔、存儲及調用。CIFS主要運行windows系列的平臺，而NFS主要運行UNIX系列的平臺。NAS主要包括統(tǒng)一型NAS和網關型NAS，統(tǒng)一型NAS設備包含所有NAS組件，網關型NAS則是引擎和存儲設備是獨立存在的。網絡拓撲如下圖所示：

網關型NAS相比統(tǒng)一型NAS更容易擴展，其NAS引擎和后端存儲設備可以采用FC網絡進行連接。NAS軟件主要包括裁減的Linux系統(tǒng)、文件共享協(xié)議NFS和CIFS及TCP/IP網絡協(xié)議。一定要區(qū)分NAS和SAN的區(qū)別，NAS是提供文件級的數(shù)據(jù)訪問和存儲服務；SAN是提供塊級數(shù)據(jù)訪問和存儲服務。

四、總結

以上只是對三種存儲技術做了簡單介紹，方便大家了解基礎知識，如果要深入了解，需要了解各種協(xié)議的工作原理和網絡拓撲結構，從事數(shù)據(jù)安全工作需要了解與數(shù)據(jù)相關的各個方面，不能片面的理解數(shù)據(jù)安全問題。