周麗麗 張悅

大連市氣象信息中心 遼寧 大連 116001

引言

隨著氣象信息化程度的不斷發(fā)展，在常規(guī)數(shù)據(jù)、歷史資料和科研數(shù)據(jù)資源需求迅速增加。存儲數(shù)據(jù)的物理服務器需具備大容量的存儲空間及較高的安全性，并且需要有較高的傳輸速率支撐。在傳統(tǒng)的內(nèi)、外網(wǎng)混用時期，用戶可以在內(nèi)網(wǎng)文件共享服務器上放置所需的常規(guī)資料數(shù)據(jù)、歷史資料、統(tǒng)計產(chǎn)品等，通過FTP和SMB共享的方式實現(xiàn)即時訪問[1]。同時，科研用戶和業(yè)務工作者也可以將在互聯(lián)網(wǎng)下載的數(shù)據(jù)資料及時存放在本機或文件共享服務器上?？傊捎靡慌_NAS服務器或大存儲服務器配合網(wǎng)絡安全管理即可實現(xiàn)用戶存儲需求。

按照網(wǎng)絡安全的規(guī)定和要求，本單位進行內(nèi)網(wǎng)和外網(wǎng)業(yè)務分離，網(wǎng)絡管理模式就發(fā)生了很大的調(diào)整。內(nèi)網(wǎng)用戶機器只能訪問氣象專用網(wǎng)絡，外網(wǎng)機器則僅用來訪問互聯(lián)網(wǎng)。內(nèi)網(wǎng)用戶無法將通過互聯(lián)網(wǎng)下載的資料文件放置在內(nèi)網(wǎng)服務器上實現(xiàn)共享，資料缺失嚴重，科研等工作開展困難。為了特殊業(yè)務訪問需求，網(wǎng)絡管理單位在內(nèi)、外網(wǎng)之間部署了隔離網(wǎng)閘和防火墻，通過網(wǎng)絡配置實現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)某些業(yè)務的限制訪問?；诖?，可以考慮利用這個方式也可以解決雙網(wǎng)分離后的文件共享問題?？紤]采用在內(nèi)網(wǎng)和外網(wǎng)分別部署NAS服務器的基礎上，配合網(wǎng)閘實現(xiàn)文件的互推共享。

1 網(wǎng)絡文件共享方案

雙網(wǎng)模式下的文件同步共享存儲，本單位研究的方案是部署隔離網(wǎng)閘和兩臺性能差異不大的NAS服務器。基于單臺NAS文件共享存儲的使用方式，為加強網(wǎng)絡安全管理，采用開啟FTP服務、關(guān)閉SMB服務的方式實現(xiàn)單機訪問和存儲。在雙網(wǎng)分離的基礎上，借助隔離網(wǎng)閘FTP數(shù)據(jù)同步的功能，實現(xiàn)兩臺NAS服務器目錄下文件的相互推送和刪除，最終實現(xiàn)數(shù)據(jù)的實時同步和共享。

1.1 隔離網(wǎng)閘原理簡介

隔離網(wǎng)閘也稱GAP，用于雙網(wǎng)分離后的間接通信。安全隔離與信息交換系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)和隔離交換矩陣三部分構(gòu)成[2]。內(nèi)網(wǎng)主機系統(tǒng)與內(nèi)網(wǎng)相連，外網(wǎng)主機系統(tǒng)與外網(wǎng)相連，內(nèi)/外網(wǎng)主機系統(tǒng)分別負責內(nèi)外網(wǎng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測，內(nèi)外網(wǎng)絡之間的安全交換。具有以下特點：多網(wǎng)絡隔離的體系結(jié)構(gòu)，通過專用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡之間任何時刻不產(chǎn)生物理連接；數(shù)據(jù)交換方式完全私有，不具備可編程性；內(nèi)/外網(wǎng)主機系統(tǒng)之間沒有網(wǎng)絡協(xié)議邏輯連接，通過隔離交換矩陣的全部是應用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開。網(wǎng)閘協(xié)議原理拓撲如圖1所示。

圖1 網(wǎng)閘訪問協(xié)議拓撲圖

1.2 NAS原理簡介

NAS，全稱為 Network Attached Storage，即網(wǎng)絡附加存儲。它是一種特殊的專用數(shù)據(jù)存儲服務器，有專門的軟件系統(tǒng)，可以提供跨平臺的文件存儲和共享功能，可以實現(xiàn)集中數(shù)據(jù)管理，大大提高網(wǎng)絡整體性能。NAS設備具有以下特點：系統(tǒng)功耗低，效率較高；網(wǎng)絡連接簡單，只需訪問可達即可；自帶防毒功能，安全性高。

NAS可實現(xiàn)的功能包括：數(shù)據(jù)同步、數(shù)據(jù)備份、快照、協(xié)同辦公和郵件服務等。其硬件架構(gòu)主要包括網(wǎng)絡、存儲、控制器三部分內(nèi)容[3]。NAS本身能夠支持多種協(xié)議（如NFS、CIFS、FTP、HTTP等），而且能夠支持各種操作系統(tǒng)。通過任何一臺工作站，采用瀏覽器就可以對NAS設備進行直觀方便的管理。NAS工作原理拓撲如圖2所示。

圖2 NAS工作原理拓撲

2 雙網(wǎng)存儲共享設計

實現(xiàn)對雙網(wǎng)NAS服務器進行網(wǎng)絡同步，首先考慮的是數(shù)據(jù)同步的及時性和安全性，其次是用戶的使用習慣等方面。在對網(wǎng)閘進行FTP同步功能設置后，打通了內(nèi)到外、外到內(nèi)的文件目錄同步，這部分是通過使用NAS的文件管理權(quán)限賬戶對文件進行操作。比如在內(nèi)網(wǎng)向外網(wǎng)同步文件時，需要在網(wǎng)閘的內(nèi)網(wǎng)模塊上配置客戶端傳輸任務1，同時還需要在外網(wǎng)網(wǎng)閘模塊的服務端將任務1再次執(zhí)行完成。反過來，要實現(xiàn)外網(wǎng)向內(nèi)網(wǎng)推送文件亦需要類似上述配置過程。

基于安全性的考慮，重點在網(wǎng)絡傳輸安全和數(shù)據(jù)安全方面加強管理。其中在網(wǎng)絡傳輸過程中隔離網(wǎng)閘利用任務推送的技術(shù)手段實現(xiàn)了無路由通信，從根本上有效阻斷內(nèi)網(wǎng)和外網(wǎng)通過底層TCP/UDP協(xié)議通信訪問。數(shù)據(jù)安全方面，NAS服務器在套件中心下載了防病毒工具Antivirus Essential，從數(shù)據(jù)源頭進行防御，同時啟用NAS防火墻等選項。為加強NAS管理和用戶習慣方面的考慮，內(nèi)網(wǎng)和外網(wǎng)NAS文件目錄的設置和用戶權(quán)限的分配需要具有一致性。啟用home目錄，方便FTP用戶一對一管理文件。

NAS服務器配置步驟：1是在內(nèi)網(wǎng)NAS服務器上配置文件服務，啟用FTP無加密服務和FTP SSL/TLS加密服務（FTPS），關(guān)閉有可能帶來端口風險的SMB服務；2是分配用戶賬戶和分組。除了管理員外，根據(jù)業(yè)務需要按照部門分配多個用戶賬戶，并設置密碼強度規(guī)則，如密碼包括混合大小寫、數(shù)字及長度等；3是創(chuàng)建文件夾。首先在共享文件夾菜單下創(chuàng)建一級目錄，設置啟用回收站并分配目錄空間，然后進行用戶權(quán)限管理。外網(wǎng)NAS的配置方式參照內(nèi)網(wǎng)NAS配置過程[4]。

實現(xiàn)內(nèi)網(wǎng)NAS向外網(wǎng)NAS同步數(shù)據(jù)需要進行的網(wǎng)閘配置步驟：1是在內(nèi)網(wǎng)網(wǎng)閘模塊上配置網(wǎng)絡接口，包括連接核心交換機的接口和管理接口；2是在“資源配置”選項中添加內(nèi)網(wǎng)NAS服務器的IP地址；3是在“客戶端”下“FTP文件交換”欄中創(chuàng)建1條任務，包含任務號、內(nèi)網(wǎng)NAS服務器地址、服務器共享名、傳輸方式等；3是在外網(wǎng)網(wǎng)閘中創(chuàng)建外網(wǎng)NAS服務器IP地址，配置“服務器”下“FTP文件交換”欄中添加任務，選擇步驟2中相同的任務號。添加外網(wǎng)NAS的服務器地址和服務器共享名等。要實現(xiàn)外網(wǎng)NAS向內(nèi)網(wǎng)NAS服務器推送文件需要把上述配置過程依次反向操作，需要注意的是“客戶端”、“服務端”及“任務號”在不同方向推送時的選擇。文件共享過程中的網(wǎng)絡部署拓撲結(jié)構(gòu)如圖3所示。

圖3 文件共享部署拓撲圖

上圖中，內(nèi)網(wǎng)NAS部署在內(nèi)網(wǎng)核心交換機一端，為單臂旁掛連接模式，配置IP地址和網(wǎng)關(guān)確保內(nèi)網(wǎng)可達。外網(wǎng)NAS服務器部署在外網(wǎng)交換機上，無線設備和其他外網(wǎng)機器通過網(wǎng)關(guān)可達外網(wǎng)NAS服務器。網(wǎng)閘作為中間橋接設備，在數(shù)據(jù)同步過程中根據(jù)兩邊創(chuàng)建的任務做到數(shù)據(jù)“擺渡”的作用。根據(jù)網(wǎng)閘工作技術(shù)原理，外網(wǎng)和內(nèi)網(wǎng)NAS之間的網(wǎng)絡并沒有產(chǎn)生實際意義上的通信，未產(chǎn)生數(shù)據(jù)包訪問，確保了網(wǎng)絡和數(shù)據(jù)的安全可靠。

3 應用測試

在測試使用NAS服務器進行FTP訪問過程中，主要對部門主要負責人、科室人員、辦公室管理員等開放了數(shù)據(jù)同步權(quán)限，將他們電腦中的行政文書、收發(fā)文件、圖片資料、視頻文件等資源文件夾存放在內(nèi)網(wǎng)NAS服務器home目錄下。打開外網(wǎng)NAS服務器查看，數(shù)據(jù)已經(jīng)在外網(wǎng)NAS的home目錄下出現(xiàn)，此時內(nèi)網(wǎng)NAS的home目錄已經(jīng)清空。經(jīng)過測試發(fā)現(xiàn)，每傳輸100M大小的文件需要傳輸時間約5s，傳輸1G大小文件需要時間約30s。經(jīng)檢查，同步傳輸前后，文件大小和內(nèi)容未發(fā)生變化?？偨Y(jié)來看，本課題采用的基于網(wǎng)閘的雙網(wǎng)NAS文件共享方式能夠滿足業(yè)務應用需要、符合用戶使用習慣，可以推廣應用。