7.3　傳輸數據安全

iFCP沒有提供對數據的保護，可依靠IPSec提供身份鑒別、加密和數據完整性認證，同時可利用IPSec的自動密鑰管理協議和Internet密鑰管理，處理安全密鑰的生成與管理。

iFCP可使用IPSec來強制執行認證和數據加密，兩個iFCP網關間可以建立一個或多個IKE階段1 SA，每個IKE階段1 SA可以建立1個或多個IKE階段2 SA，每個IKE階段2 SA可以保護一個或多個TCP連接。

IKE階段2 SA可根據iSNS服務器獲取或管理接口配置的安全策略進行創建。同樣，PFS快速模式下的密鑰交換負載也可根據iSNS服務器獲取或管理界面配置的安全策略進行驅動。

IPSec SA應保護iFCP的所有有安全需求的連接，包括綁定連接和未綁定連接。

可刪除休眠的IKE階段2 SA，以減少活躍IKE階段2 SA的數量。

對于空閑的TCP連接，宜等到該連接有數據傳輸時才創建新的SA對其保護。

在標準IP流量中不出現存儲數據，第三方的防火墻和加密產品可用來保護iFCP網關到網關的連接，并為存儲信息提供VPN（Virtual Private Network，虛擬專用網絡）。