雙NAS文件共享模式在內(nèi)外網(wǎng)分離業(yè)務(wù)中的應(yīng)用

周麗麗 張悅

大連市氣象信息中心 遼寧 大連 116001

引言

隨著氣象信息化程度的不斷發(fā)展，在常規(guī)數(shù)據(jù)、歷史資料和科研數(shù)據(jù)資源需求迅速增加。存儲(chǔ)數(shù)據(jù)的物理服務(wù)器需具備大容量的存儲(chǔ)空間及較高的安全性，并且需要有較高的傳輸速率支撐。在傳統(tǒng)的內(nèi)、外網(wǎng)混用時(shí)期，用戶可以在內(nèi)網(wǎng)文件共享服務(wù)器上放置所需的常規(guī)資料數(shù)據(jù)、歷史資料、統(tǒng)計(jì)產(chǎn)品等，通過FTP和SMB共享的方式實(shí)現(xiàn)即時(shí)訪問[1]。同時(shí)，科研用戶和業(yè)務(wù)工作者也可以將在互聯(lián)網(wǎng)下載的數(shù)據(jù)資料及時(shí)存放在本機(jī)或文件共享服務(wù)器上?？傊?，采用一臺(tái)NAS服務(wù)器或大存儲(chǔ)服務(wù)器配合網(wǎng)絡(luò)安全管理即可實(shí)現(xiàn)用戶存儲(chǔ)需求。

按照網(wǎng)絡(luò)安全的規(guī)定和要求，本單位進(jìn)行內(nèi)網(wǎng)和外網(wǎng)業(yè)務(wù)分離，網(wǎng)絡(luò)管理模式就發(fā)生了很大的調(diào)整。內(nèi)網(wǎng)用戶機(jī)器只能訪問氣象專用網(wǎng)絡(luò)，外網(wǎng)機(jī)器則僅用來訪問互聯(lián)網(wǎng)。內(nèi)網(wǎng)用戶無法將通過互聯(lián)網(wǎng)下載的資料文件放置在內(nèi)網(wǎng)服務(wù)器上實(shí)現(xiàn)共享，資料缺失嚴(yán)重，科研等工作開展困難。為了特殊業(yè)務(wù)訪問需求，網(wǎng)絡(luò)管理單位在內(nèi)、外網(wǎng)之間部署了隔離網(wǎng)閘和防火墻，通過網(wǎng)絡(luò)配置實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)某些業(yè)務(wù)的限制訪問?；诖?，可以考慮利用這個(gè)方式也可以解決雙網(wǎng)分離后的文件共享問題?？紤]采用在內(nèi)網(wǎng)和外網(wǎng)分別部署NAS服務(wù)器的基礎(chǔ)上，配合網(wǎng)閘實(shí)現(xiàn)文件的互推共享。

1 網(wǎng)絡(luò)文件共享方案

雙網(wǎng)模式下的文件同步共享存儲(chǔ)，本單位研究的方案是部署隔離網(wǎng)閘和兩臺(tái)性能差異不大的NAS服務(wù)器?；趩闻_(tái)NAS文件共享存儲(chǔ)的使用方式，為加強(qiáng)網(wǎng)絡(luò)安全管理，采用開啟FTP服務(wù)、關(guān)閉SMB服務(wù)的方式實(shí)現(xiàn)單機(jī)訪問和存儲(chǔ)。在雙網(wǎng)分離的基礎(chǔ)上，借助隔離網(wǎng)閘FTP數(shù)據(jù)同步的功能，實(shí)現(xiàn)兩臺(tái)NAS服務(wù)器目錄下文件的相互推送和刪除，最終實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)同步和共享。

1.1 隔離網(wǎng)閘原理簡介

隔離網(wǎng)閘也稱GAP，用于雙網(wǎng)分離后的間接通信。安全隔離與信息交換系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)和隔離交換矩陣三部分構(gòu)成[2]。內(nèi)網(wǎng)主機(jī)系統(tǒng)與內(nèi)網(wǎng)相連，外網(wǎng)主機(jī)系統(tǒng)與外網(wǎng)相連，內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別負(fù)責(zé)內(nèi)外網(wǎng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測，內(nèi)外網(wǎng)絡(luò)之間的安全交換。具有以下特點(diǎn)：多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過專用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡(luò)之間任何時(shí)刻不產(chǎn)生物理連接；數(shù)據(jù)交換方式完全私有，不具備可編程性；內(nèi)/外網(wǎng)主機(jī)系統(tǒng)之間沒有網(wǎng)絡(luò)協(xié)議邏輯連接，通過隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開。網(wǎng)閘協(xié)議原理拓?fù)淙鐖D1所示。

圖1 網(wǎng)閘訪問協(xié)議拓?fù)鋱D

1.2 NAS原理簡介

NAS，全稱為 Network Attached Storage，即網(wǎng)絡(luò)附加存儲(chǔ)。它是一種特殊的專用數(shù)據(jù)存儲(chǔ)服務(wù)器，有專門的軟件系統(tǒng)，可以提供跨平臺(tái)的文件存儲(chǔ)和共享功能，可以實(shí)現(xiàn)集中數(shù)據(jù)管理，大大提高網(wǎng)絡(luò)整體性能。NAS設(shè)備具有以下特點(diǎn)：系統(tǒng)功耗低，效率較高；網(wǎng)絡(luò)連接簡單，只需訪問可達(dá)即可；自帶防毒功能，安全性高。

NAS可實(shí)現(xiàn)的功能包括：數(shù)據(jù)同步、數(shù)據(jù)備份、快照、協(xié)同辦公和郵件服務(wù)等。其硬件架構(gòu)主要包括網(wǎng)絡(luò)、存儲(chǔ)、控制器三部分內(nèi)容[3]。NAS本身能夠支持多種協(xié)議（如NFS、CIFS、FTP、HTTP等），而且能夠支持各種操作系統(tǒng)。通過任何一臺(tái)工作站，采用瀏覽器就可以對(duì)NAS設(shè)備進(jìn)行直觀方便的管理。NAS工作原理拓?fù)淙鐖D2所示。

圖2 NAS工作原理拓?fù)?/p>

2 雙網(wǎng)存儲(chǔ)共享設(shè)計(jì)

實(shí)現(xiàn)對(duì)雙網(wǎng)NAS服務(wù)器進(jìn)行網(wǎng)絡(luò)同步，首先考慮的是數(shù)據(jù)同步的及時(shí)性和安全性，其次是用戶的使用習(xí)慣等方面。在對(duì)網(wǎng)閘進(jìn)行FTP同步功能設(shè)置后，打通了內(nèi)到外、外到內(nèi)的文件目錄同步，這部分是通過使用NAS的文件管理權(quán)限賬戶對(duì)文件進(jìn)行操作。比如在內(nèi)網(wǎng)向外網(wǎng)同步文件時(shí)，需要在網(wǎng)閘的內(nèi)網(wǎng)模塊上配置客戶端傳輸任務(wù)1，同時(shí)還需要在外網(wǎng)網(wǎng)閘模塊的服務(wù)端將任務(wù)1再次執(zhí)行完成。反過來，要實(shí)現(xiàn)外網(wǎng)向內(nèi)網(wǎng)推送文件亦需要類似上述配置過程。

基于安全性的考慮，重點(diǎn)在網(wǎng)絡(luò)傳輸安全和數(shù)據(jù)安全方面加強(qiáng)管理。其中在網(wǎng)絡(luò)傳輸過程中隔離網(wǎng)閘利用任務(wù)推送的技術(shù)手段實(shí)現(xiàn)了無路由通信，從根本上有效阻斷內(nèi)網(wǎng)和外網(wǎng)通過底層TCP/UDP協(xié)議通信訪問。數(shù)據(jù)安全方面，NAS服務(wù)器在套件中心下載了防病毒工具Antivirus Essential，從數(shù)據(jù)源頭進(jìn)行防御，同時(shí)啟用NAS防火墻等選項(xiàng)。為加強(qiáng)NAS管理和用戶習(xí)慣方面的考慮，內(nèi)網(wǎng)和外網(wǎng)NAS文件目錄的設(shè)置和用戶權(quán)限的分配需要具有一致性。啟用home目錄，方便FTP用戶一對(duì)一管理文件。

NAS服務(wù)器配置步驟：1是在內(nèi)網(wǎng)NAS服務(wù)器上配置文件服務(wù)，啟用FTP無加密服務(wù)和FTP SSL/TLS加密服務(wù)（FTPS），關(guān)閉有可能帶來端口風(fēng)險(xiǎn)的SMB服務(wù)；2是分配用戶賬戶和分組。除了管理員外，根據(jù)業(yè)務(wù)需要按照部門分配多個(gè)用戶賬戶，并設(shè)置密碼強(qiáng)度規(guī)則，如密碼包括混合大小寫、數(shù)字及長度等；3是創(chuàng)建文件夾。首先在共享文件夾菜單下創(chuàng)建一級(jí)目錄，設(shè)置啟用回收站并分配目錄空間，然后進(jìn)行用戶權(quán)限管理。外網(wǎng)NAS的配置方式參照內(nèi)網(wǎng)NAS配置過程[4]。

實(shí)現(xiàn)內(nèi)網(wǎng)NAS向外網(wǎng)NAS同步數(shù)據(jù)需要進(jìn)行的網(wǎng)閘配置步驟：1是在內(nèi)網(wǎng)網(wǎng)閘模塊上配置網(wǎng)絡(luò)接口，包括連接核心交換機(jī)的接口和管理接口；2是在“資源配置”選項(xiàng)中添加內(nèi)網(wǎng)NAS服務(wù)器的IP地址；3是在“客戶端”下“FTP文件交換”欄中創(chuàng)建1條任務(wù)，包含任務(wù)號(hào)、內(nèi)網(wǎng)NAS服務(wù)器地址、服務(wù)器共享名、傳輸方式等；3是在外網(wǎng)網(wǎng)閘中創(chuàng)建外網(wǎng)NAS服務(wù)器IP地址，配置“服務(wù)器”下“FTP文件交換”欄中添加任務(wù)，選擇步驟2中相同的任務(wù)號(hào)。添加外網(wǎng)NAS的服務(wù)器地址和服務(wù)器共享名等。要實(shí)現(xiàn)外網(wǎng)NAS向內(nèi)網(wǎng)NAS服務(wù)器推送文件需要把上述配置過程依次反向操作，需要注意的是“客戶端”、“服務(wù)端”及“任務(wù)號(hào)”在不同方向推送時(shí)的選擇。文件共享過程中的網(wǎng)絡(luò)部署拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 文件共享部署拓?fù)鋱D

上圖中，內(nèi)網(wǎng)NAS部署在內(nèi)網(wǎng)核心交換機(jī)一端，為單臂旁掛連接模式，配置IP地址和網(wǎng)關(guān)確保內(nèi)網(wǎng)可達(dá)。外網(wǎng)NAS服務(wù)器部署在外網(wǎng)交換機(jī)上，無線設(shè)備和其他外網(wǎng)機(jī)器通過網(wǎng)關(guān)可達(dá)外網(wǎng)NAS服務(wù)器。網(wǎng)閘作為中間橋接設(shè)備，在數(shù)據(jù)同步過程中根據(jù)兩邊創(chuàng)建的任務(wù)做到數(shù)據(jù)“擺渡”的作用。根據(jù)網(wǎng)閘工作技術(shù)原理，外網(wǎng)和內(nèi)網(wǎng)NAS之間的網(wǎng)絡(luò)并沒有產(chǎn)生實(shí)際意義上的通信，未產(chǎn)生數(shù)據(jù)包訪問，確保了網(wǎng)絡(luò)和數(shù)據(jù)的安全可靠。

3 應(yīng)用測試

在測試使用NAS服務(wù)器進(jìn)行FTP訪問過程中，主要對(duì)部門主要負(fù)責(zé)人、科室人員、辦公室管理員等開放了數(shù)據(jù)同步權(quán)限，將他們電腦中的行政文書、收發(fā)文件、圖片資料、視頻文件等資源文件夾存放在內(nèi)網(wǎng)NAS服務(wù)器home目錄下。打開外網(wǎng)NAS服務(wù)器查看，數(shù)據(jù)已經(jīng)在外網(wǎng)NAS的home目錄下出現(xiàn)，此時(shí)內(nèi)網(wǎng)NAS的home目錄已經(jīng)清空。經(jīng)過測試發(fā)現(xiàn)，每傳輸100M大小的文件需要傳輸時(shí)間約5s，傳輸1G大小文件需要時(shí)間約30s。經(jīng)檢查，同步傳輸前后，文件大小和內(nèi)容未發(fā)生變化?？偨Y(jié)來看，本課題采用的基于網(wǎng)閘的雙網(wǎng)NAS文件共享方式能夠滿足業(yè)務(wù)應(yīng)用需要、符合用戶使用習(xí)慣，可以推廣應(yīng)用。