周麗麗 張悅

大連市氣象信息中心 遼寧 大連 116001

引言

隨著氣象信息化程度的不斷發(fā)展，在常規(guī)數據、歷史資料和科研數據資源需求迅速增加。存儲數據的物理服務器需具備大容量的存儲空間及較高的安全性，并且需要有較高的傳輸速率支撐。在傳統(tǒng)的內、外網混用時期，用戶可以在內網文件共享服務器上放置所需的常規(guī)資料數據、歷史資料、統(tǒng)計產品等，通過FTP和SMB共享的方式實現即時訪問[1]。同時，科研用戶和業(yè)務工作者也可以將在互聯(lián)網下載的數據資料及時存放在本機或文件共享服務器上。總之，采用一臺NAS服務器或大存儲服務器配合網絡安全管理即可實現用戶存儲需求。

按照網絡安全的規(guī)定和要求，本單位進行內網和外網業(yè)務分離，網絡管理模式就發(fā)生了很大的調整。內網用戶機器只能訪問氣象專用網絡，外網機器則僅用來訪問互聯(lián)網。內網用戶無法將通過互聯(lián)網下載的資料文件放置在內網服務器上實現共享，資料缺失嚴重，科研等工作開展困難。為了特殊業(yè)務訪問需求，網絡管理單位在內、外網之間部署了隔離網閘和防火墻，通過網絡配置實現了內網和外網某些業(yè)務的限制訪問?；诖耍梢钥紤]利用這個方式也可以解決雙網分離后的文件共享問題?？紤]采用在內網和外網分別部署NAS服務器的基礎上，配合網閘實現文件的互推共享。

1 網絡文件共享方案

雙網模式下的文件同步共享存儲，本單位研究的方案是部署隔離網閘和兩臺性能差異不大的NAS服務器。基于單臺NAS文件共享存儲的使用方式，為加強網絡安全管理，采用開啟FTP服務、關閉SMB服務的方式實現單機訪問和存儲。在雙網分離的基礎上，借助隔離網閘FTP數據同步的功能，實現兩臺NAS服務器目錄下文件的相互推送和刪除，最終實現數據的實時同步和共享。

1.1 隔離網閘原理簡介

隔離網閘也稱GAP，用于雙網分離后的間接通信。安全隔離與信息交換系統(tǒng)架構主要由內網主機系統(tǒng)、外網主機系統(tǒng)和隔離交換矩陣三部分構成[2]。內網主機系統(tǒng)與內網相連，外網主機系統(tǒng)與外網相連，內/外網主機系統(tǒng)分別負責內外網信息的獲取和協(xié)議分析，隔離交換矩陣根據安全策略完成信息的安全檢測，內外網絡之間的安全交換。具有以下特點：多網絡隔離的體系結構，通過專用硬件完成兩側信息的“擺渡”；被隔離網絡之間任何時刻不產生物理連接；數據交換方式完全私有，不具備可編程性；內/外網主機系統(tǒng)之間沒有網絡協(xié)議邏輯連接，通過隔離交換矩陣的全部是應用層數據，也就是OSI模型的七層協(xié)議全部斷開。網閘協(xié)議原理拓撲如圖1所示。

圖1 網閘訪問協(xié)議拓撲圖

1.2 NAS原理簡介

NAS，全稱為 Network Attached Storage，即網絡附加存儲。它是一種特殊的專用數據存儲服務器，有專門的軟件系統(tǒng)，可以提供跨平臺的文件存儲和共享功能，可以實現集中數據管理，大大提高網絡整體性能。NAS設備具有以下特點：系統(tǒng)功耗低，效率較高；網絡連接簡單，只需訪問可達即可；自帶防毒功能，安全性高。

NAS可實現的功能包括：數據同步、數據備份、快照、協(xié)同辦公和郵件服務等。其硬件架構主要包括網絡、存儲、控制器三部分內容[3]。NAS本身能夠支持多種協(xié)議（如NFS、CIFS、FTP、HTTP等），而且能夠支持各種操作系統(tǒng)。通過任何一臺工作站，采用瀏覽器就可以對NAS設備進行直觀方便的管理。NAS工作原理拓撲如圖2所示。

圖2 NAS工作原理拓撲

2 雙網存儲共享設計

實現對雙網NAS服務器進行網絡同步，首先考慮的是數據同步的及時性和安全性，其次是用戶的使用習慣等方面。在對網閘進行FTP同步功能設置后，打通了內到外、外到內的文件目錄同步，這部分是通過使用NAS的文件管理權限賬戶對文件進行操作。比如在內網向外網同步文件時，需要在網閘的內網模塊上配置客戶端傳輸任務1，同時還需要在外網網閘模塊的服務端將任務1再次執(zhí)行完成。反過來，要實現外網向內網推送文件亦需要類似上述配置過程。

基于安全性的考慮，重點在網絡傳輸安全和數據安全方面加強管理。其中在網絡傳輸過程中隔離網閘利用任務推送的技術手段實現了無路由通信，從根本上有效阻斷內網和外網通過底層TCP/UDP協(xié)議通信訪問。數據安全方面，NAS服務器在套件中心下載了防病毒工具Antivirus Essential，從數據源頭進行防御，同時啟用NAS防火墻等選項。為加強NAS管理和用戶習慣方面的考慮，內網和外網NAS文件目錄的設置和用戶權限的分配需要具有一致性。啟用home目錄，方便FTP用戶一對一管理文件。

NAS服務器配置步驟：1是在內網NAS服務器上配置文件服務，啟用FTP無加密服務和FTP SSL/TLS加密服務（FTPS），關閉有可能帶來端口風險的SMB服務；2是分配用戶賬戶和分組。除了管理員外，根據業(yè)務需要按照部門分配多個用戶賬戶，并設置密碼強度規(guī)則，如密碼包括混合大小寫、數字及長度等；3是創(chuàng)建文件夾。首先在共享文件夾菜單下創(chuàng)建一級目錄，設置啟用回收站并分配目錄空間，然后進行用戶權限管理。外網NAS的配置方式參照內網NAS配置過程[4]。

實現內網NAS向外網NAS同步數據需要進行的網閘配置步驟：1是在內網網閘模塊上配置網絡接口，包括連接核心交換機的接口和管理接口；2是在“資源配置”選項中添加內網NAS服務器的IP地址；3是在“客戶端”下“FTP文件交換”欄中創(chuàng)建1條任務，包含任務號、內網NAS服務器地址、服務器共享名、傳輸方式等；3是在外網網閘中創(chuàng)建外網NAS服務器IP地址，配置“服務器”下“FTP文件交換”欄中添加任務，選擇步驟2中相同的任務號。添加外網NAS的服務器地址和服務器共享名等。要實現外網NAS向內網NAS服務器推送文件需要把上述配置過程依次反向操作，需要注意的是“客戶端”、“服務端”及“任務號”在不同方向推送時的選擇。文件共享過程中的網絡部署拓撲結構如圖3所示。

圖3 文件共享部署拓撲圖

上圖中，內網NAS部署在內網核心交換機一端，為單臂旁掛連接模式，配置IP地址和網關確保內網可達。外網NAS服務器部署在外網交換機上，無線設備和其他外網機器通過網關可達外網NAS服務器。網閘作為中間橋接設備，在數據同步過程中根據兩邊創(chuàng)建的任務做到數據“擺渡”的作用。根據網閘工作技術原理，外網和內網NAS之間的網絡并沒有產生實際意義上的通信，未產生數據包訪問，確保了網絡和數據的安全可靠。

3 應用測試

在測試使用NAS服務器進行FTP訪問過程中，主要對部門主要負責人、科室人員、辦公室管理員等開放了數據同步權限，將他們電腦中的行政文書、收發(fā)文件、圖片資料、視頻文件等資源文件夾存放在內網NAS服務器home目錄下。打開外網NAS服務器查看，數據已經在外網NAS的home目錄下出現，此時內網NAS的home目錄已經清空。經過測試發(fā)現，每傳輸100M大小的文件需要傳輸時間約5s，傳輸1G大小文件需要時間約30s。經檢查，同步傳輸前后，文件大小和內容未發(fā)生變化?？偨Y來看，本課題采用的基于網閘的雙網NAS文件共享方式能夠滿足業(yè)務應用需要、符合用戶使用習慣，可以推廣應用。