Brien M. Posey是一位微软认证系统工程师，曾获微软Exchange Server、Windows Server 和Internet Information Server (IIS)的MVP奖。Brien担任一个全国连锁性医院的CIO，曾经在Fort Knox负责信息管理系。

问：有没有一些安全手段防止iSCSI集群共享卷遭受流氓接入?

答：避免iSCSI集群共享卷遭受流氓接入，有很多方法可以尝试。首先你需要保证主机的安全性。如果你正在创建一个基于Windows Server的iSCSI主机，那么微软就会为您提供两种安全选择：CHAP或者是反向CHAP。微软会推荐使用CHAP。

当然你也可以限定接入iSCSI主机的iSCSI启动器的名称。当然了，最好在给启动器ID起名字的时候就能有点创意。

在Windows Server上，启动器往往会遵循服务器完全合规的域名进行命名，通常很有规律。举个例子在一台命名为DC1.lab.com的Windows服务器上，那么启动器名字就会是iqn.1999-05.com.microsoft:dc1.lab.com。通过修改启动器的名称，可以让名字不是那么容易被破译出来。防止有人通过冒用启动器名字接入到iSCSI主机，还有很多工作要做。

另外一个保护iSCSI集群共享卷的方式就是创建IPsec隧道。IPsec隧道并不会直接阻止流氓连接接入iSCSI主机，但却能够保护数据输入或者输出主机时的私密性。

保护iSCSI主机最关键的步骤就是在主机卷上采用最佳安全策略。换句话说，就是不能放任开放式安全。采用NTFS权限控制来控制接入主机的资源。方法便是实践深度防御来确保即使有有人与iSCSI主机创建了连接，数据也不会丢失。