iSCSI 安全

质询握手身份验证协议 (CHAP) 是基本的安全级别。CHAP 是一个用于对连接对等方进行身份验证的协议，它基于共享机密（与密码相似的一种安全密钥）的对等方。

有两种类型的 CHAP 身份验证：

• One-way CHAP authentication。使用此安全级别，仅 iSCSI 目标对发起程序进行身份验证。机密仅是为目标设置的。要访问该目标的所有发起程序都需要使用相同的机密来启动与该目标之间的登录会话。
  
  
• Mutual CHAP authentication。使用此安全级别，iSCSI 目标和发起程序会相互进行身份验证。系统会为 SAN 中的每个目标和每个发起程序分别设置机密。
  
  

	小心
	在 iSCSI 发起程序和目标之间至少应使用单向 CHAP 身份验证。

远程身份验证拨入用户服务 (RADIUS) 是用于维护和管理用户身份验证和有效性的标准。与 CHAP 不同，RADIUS 身份验证不是在对等方之间执行的，而是在 RADIUS 服务器与客户端之间执行的。当用户（iSCSI 发起程序）要访问客户端（iSCSI 目标）中的资源时，客户端会将用户连接请求发送到 RADIUS 服务器。RADIUS 服务器负责对用户进行身份验证，然后返回客户端将服务发送给用户所必需的所有配置信息。客户端与 RADIUS 服务器之间的事务处理还要通过使用共享机密来进行身份验证。

若要使用此安全级别，必须在网络上运行 RADIUS 服务器，否则必须部署一个 RADIUS 服务器。

Internet 协议安全 (IPsec) 是一种用于在 IP 数据包层强制身份验证和数据加密的协议。IPsec 除了用于 CHAP 或 RADIUS 身份验证以外，还可以提供额外的安全级别。

启用 IPsec 时，系统会对在数据传输过程中发送的所有 IP 数据包进行加密和身份验证。系统会在所有 IP 门户上设置一个通用密钥，使所有对等方可以彼此进行身份验证并协商数据包加密。有关详细信息，请参阅 IPsec (https://go.microsoft.com/fwlink/?linkid=93520)（可能为英文网页）。