七、SAN和NAS环境下的安全实施方案实验报告

SAN和NAS环境下的安全实施方案实验报告

一、【实验目的】

在第3、4章基础上进行SAN和NAS搭建的基础上，添加相应的安全措施来防止企业敏感数据未经授权的访问。

二、【实验设备】

Windows server 2016、ISCSI服务

三、【实验步骤】

准备工作：

搭建IP-SAN环境（参考Windows环境下利用FreeNAS组建IP-SAN实验报告）

（1）创建3个5g硬盘。

存储——存储池——ADD

填写名称——选择需要的磁盘创建存储池，选择Strie。

选择刚刚建立的磁盘——Add Zvol

填写名称——选择Zvol容量大小，由上图可知，我们创建的是5.33GiB存储池，选择的Zvol容量大小不能超过80%，所以这里选择了4GiB。

创建成功。

（2）配置iSCSI。

服务——iSCSI——Configure

Target Global Configuration基本名称可不修改，就按照他给的就好了。

Initiators——Add——就用默认的ALL就好了——保存。

创建成功群组ID=1

Authorized Access——Add

群组ID填写1——用户名填写“oracle”，密码填写“123qwe!@#qwe”——对端用户填写“FreeNasOracle”，密码为“zxcasd!@#qwe”。

创建成功，发现认证组号为1.

Portals——认证方法选择CHAP——认证组填写组填写刚刚创建成功的群组ID：1——发现认证IP地址选择自己的这个freenas连接IP，就是你的登录IP。

创建成功。

Targets——Add

目标名称自己填写——这里的ID都是刚刚创建的，都是1，鉴定方式选择CHAP。

创建成功。

Extents——Add

名称自己填写——类型选择Device——设备选择刚刚创建的Zvol——保存。

创建成功。

Associated Targets——Add

选择刚刚创建的目标和Extent，连接起来。Lun是逻辑单元编号的意思。

创建成功。

最后，回到Target Global Configuration保存。

（3）回到服务——打开iSCSI服务

子任务一：IP-SAN环境下逻辑单元lun端口映射

（1）initiatornode名称认证

Server打开iSCSI程序。在配置找到发起程序名称，复制。iqn.1991-05.com.microsoft:win-p94vps04v5u

进入freenas——服务——iSCSI

Initiators——选中刚刚创建好的——编辑

将iqn.1991-05.com.microsoft:win-p94vps04v5u复制上去。点击保存。

更改完成。

配置（CHAP）质询握手身份验证协议

准备工作时已经弄好了，这里不再重复。

initator客户端安全配置

在freenas开启iSCSI服务。

在server进行连接。

（2）连接服务器

打开iSCSI服务——发现——发现门户——高级

用户名填写“oracle”，密码填写“123qwe!@#qwe”

填入freenas的IP——确定。

目标——连接——高级

用户名填写“oracle”，密码填写“123qwe!@#qwe”

确定。连接成功。

在server的磁盘管理可以看到。

子任务二：NAS环境中本地用户的权限配置

突然发现了我们也是可以像书上一样打开经典模式的。

（1）创建本地用户组

用户——群组——ADD——名称写developer，GID应该问题不大随便吧

再创建seles。

（2）创建本地用户

设置四个用户：developer1，developer2，sale1，sale2。

账户——用户——ADD。

创建developer1。

取消勾选新建主用户组——选择developer组。

同理，创建developer2。

同理，创建sale1。

取消勾选新建主用户组——主用户组选择sales。

同理，创建sale2。

这样就都建立完毕了。

也可以先建用户，然后把用户加到组里。

（3）挂靠磁盘

创建两个硬盘。

创建存储池

不行欸

创新弄个3g的。

先创建da1存储池，编辑权限。

同理设置第二块磁盘，不同的是这次选择sales组。

这里选择sales组。

（4）接下来进行SMB共享。

选择路径。developer的路径是da1，sales是da2。

（5）测试

用developer1登录试试。

输入developer1用户的账号密码。

进入developer文件夹，可访问可修改。

点击sales文件夹，却不可以访问。

四、【实验总结】

（1）做实验的时候遇到一些问题，首先是以前做过的SAN和NAS实验不记得具体怎么做了，找了以前的实验报告来看，还好当时做的实验报告讲的比较详细，想起来了怎么做。

（2）我怎么感觉子任务一相比之前的IP SAN实验就多了个对端用户密码，其他没什么变化，不是很有用的感觉，双方CHAP验证，就在freenas加了个server的发起名称，不太理解这个逻辑单元端口的作用。

（3）最后一个实验比较简单，就是输入一次凭证后，我想退出重新输入凭证，需要重弄一次，好麻烦。

要注意存储池权限为root权限，然后群组选择各自对应的，要记得选择递归属性，然后“其他”的权限全部不勾选，其他应该和之前实验没什么大的不同。