周麗麗 張悅

大連市氣象信息中心 遼寧 大連 116001

引言

隨著氣象信息化程度的不斷發(fā)展，在常規(guī)數(shù)據(jù)、歷史資料和科研數(shù)據(jù)資源需求迅速增加。存儲(chǔ)數(shù)據(jù)的物理服務(wù)器需具備大容量的存儲(chǔ)空間及較高的安全性，并且需要有較高的傳輸速率支撐。在傳統(tǒng)的內(nèi)、外網(wǎng)混用時(shí)期，用戶(hù)可以在內(nèi)網(wǎng)文件共享服務(wù)器上放置所需的常規(guī)資料數(shù)據(jù)、歷史資料、統(tǒng)計(jì)產(chǎn)品等，通過(guò)FTP和SMB共享的方式實(shí)現(xiàn)即時(shí)訪問(wèn)[1]。同時(shí)，科研用戶(hù)和業(yè)務(wù)工作者也可以將在互聯(lián)網(wǎng)下載的數(shù)據(jù)資料及時(shí)存放在本機(jī)或文件共享服務(wù)器上。總之，采用一臺(tái)NAS服務(wù)器或大存儲(chǔ)服務(wù)器配合網(wǎng)絡(luò)安全管理即可實(shí)現(xiàn)用戶(hù)存儲(chǔ)需求。

按照網(wǎng)絡(luò)安全的規(guī)定和要求，本單位進(jìn)行內(nèi)網(wǎng)和外網(wǎng)業(yè)務(wù)分離，網(wǎng)絡(luò)管理模式就發(fā)生了很大的調(diào)整。內(nèi)網(wǎng)用戶(hù)機(jī)器只能訪問(wèn)氣象專(zhuān)用網(wǎng)絡(luò)，外網(wǎng)機(jī)器則僅用來(lái)訪問(wèn)互聯(lián)網(wǎng)。內(nèi)網(wǎng)用戶(hù)無(wú)法將通過(guò)互聯(lián)網(wǎng)下載的資料文件放置在內(nèi)網(wǎng)服務(wù)器上實(shí)現(xiàn)共享，資料缺失嚴(yán)重，科研等工作開(kāi)展困難。為了特殊業(yè)務(wù)訪問(wèn)需求，網(wǎng)絡(luò)管理單位在內(nèi)、外網(wǎng)之間部署了隔離網(wǎng)閘和防火墻，通過(guò)網(wǎng)絡(luò)配置實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)某些業(yè)務(wù)的限制訪問(wèn)?；诖耍梢钥紤]利用這個(gè)方式也可以解決雙網(wǎng)分離后的文件共享問(wèn)題?？紤]采用在內(nèi)網(wǎng)和外網(wǎng)分別部署NAS服務(wù)器的基礎(chǔ)上，配合網(wǎng)閘實(shí)現(xiàn)文件的互推共享。

1 網(wǎng)絡(luò)文件共享方案

雙網(wǎng)模式下的文件同步共享存儲(chǔ)，本單位研究的方案是部署隔離網(wǎng)閘和兩臺(tái)性能差異不大的NAS服務(wù)器?；趩闻_(tái)NAS文件共享存儲(chǔ)的使用方式，為加強(qiáng)網(wǎng)絡(luò)安全管理，采用開(kāi)啟FTP服務(wù)、關(guān)閉SMB服務(wù)的方式實(shí)現(xiàn)單機(jī)訪問(wèn)和存儲(chǔ)。在雙網(wǎng)分離的基礎(chǔ)上，借助隔離網(wǎng)閘FTP數(shù)據(jù)同步的功能，實(shí)現(xiàn)兩臺(tái)NAS服務(wù)器目錄下文件的相互推送和刪除，最終實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)同步和共享。

1.1 隔離網(wǎng)閘原理簡(jiǎn)介

隔離網(wǎng)閘也稱(chēng)GAP，用于雙網(wǎng)分離后的間接通信。安全隔離與信息交換系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)和隔離交換矩陣三部分構(gòu)成[2]。內(nèi)網(wǎng)主機(jī)系統(tǒng)與內(nèi)網(wǎng)相連，外網(wǎng)主機(jī)系統(tǒng)與外網(wǎng)相連，內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別負(fù)責(zé)內(nèi)外網(wǎng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測(cè)，內(nèi)外網(wǎng)絡(luò)之間的安全交換。具有以下特點(diǎn)：多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過(guò)專(zhuān)用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡(luò)之間任何時(shí)刻不產(chǎn)生物理連接；數(shù)據(jù)交換方式完全私有，不具備可編程性；內(nèi)/外網(wǎng)主機(jī)系統(tǒng)之間沒(méi)有網(wǎng)絡(luò)協(xié)議邏輯連接，通過(guò)隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開(kāi)。網(wǎng)閘協(xié)議原理拓?fù)淙鐖D1所示。

圖1 網(wǎng)閘訪問(wèn)協(xié)議拓?fù)鋱D

1.2 NAS原理簡(jiǎn)介

NAS，全稱(chēng)為 Network Attached Storage，即網(wǎng)絡(luò)附加存儲(chǔ)。它是一種特殊的專(zhuān)用數(shù)據(jù)存儲(chǔ)服務(wù)器，有專(zhuān)門(mén)的軟件系統(tǒng)，可以提供跨平臺(tái)的文件存儲(chǔ)和共享功能，可以實(shí)現(xiàn)集中數(shù)據(jù)管理，大大提高網(wǎng)絡(luò)整體性能。NAS設(shè)備具有以下特點(diǎn)：系統(tǒng)功耗低，效率較高；網(wǎng)絡(luò)連接簡(jiǎn)單，只需訪問(wèn)可達(dá)即可；自帶防毒功能，安全性高。

NAS可實(shí)現(xiàn)的功能包括：數(shù)據(jù)同步、數(shù)據(jù)備份、快照、協(xié)同辦公和郵件服務(wù)等。其硬件架構(gòu)主要包括網(wǎng)絡(luò)、存儲(chǔ)、控制器三部分內(nèi)容[3]。NAS本身能夠支持多種協(xié)議（如NFS、CIFS、FTP、HTTP等），而且能夠支持各種操作系統(tǒng)。通過(guò)任何一臺(tái)工作站，采用瀏覽器就可以對(duì)NAS設(shè)備進(jìn)行直觀方便的管理。NAS工作原理拓?fù)淙鐖D2所示。

圖2 NAS工作原理拓?fù)?/p>

2 雙網(wǎng)存儲(chǔ)共享設(shè)計(jì)

實(shí)現(xiàn)對(duì)雙網(wǎng)NAS服務(wù)器進(jìn)行網(wǎng)絡(luò)同步，首先考慮的是數(shù)據(jù)同步的及時(shí)性和安全性，其次是用戶(hù)的使用習(xí)慣等方面。在對(duì)網(wǎng)閘進(jìn)行FTP同步功能設(shè)置后，打通了內(nèi)到外、外到內(nèi)的文件目錄同步，這部分是通過(guò)使用NAS的文件管理權(quán)限賬戶(hù)對(duì)文件進(jìn)行操作。比如在內(nèi)網(wǎng)向外網(wǎng)同步文件時(shí)，需要在網(wǎng)閘的內(nèi)網(wǎng)模塊上配置客戶(hù)端傳輸任務(wù)1，同時(shí)還需要在外網(wǎng)網(wǎng)閘模塊的服務(wù)端將任務(wù)1再次執(zhí)行完成。反過(guò)來(lái)，要實(shí)現(xiàn)外網(wǎng)向內(nèi)網(wǎng)推送文件亦需要類(lèi)似上述配置過(guò)程。

基于安全性的考慮，重點(diǎn)在網(wǎng)絡(luò)傳輸安全和數(shù)據(jù)安全方面加強(qiáng)管理。其中在網(wǎng)絡(luò)傳輸過(guò)程中隔離網(wǎng)閘利用任務(wù)推送的技術(shù)手段實(shí)現(xiàn)了無(wú)路由通信，從根本上有效阻斷內(nèi)網(wǎng)和外網(wǎng)通過(guò)底層TCP/UDP協(xié)議通信訪問(wèn)。數(shù)據(jù)安全方面，NAS服務(wù)器在套件中心下載了防病毒工具Antivirus Essential，從數(shù)據(jù)源頭進(jìn)行防御，同時(shí)啟用NAS防火墻等選項(xiàng)。為加強(qiáng)NAS管理和用戶(hù)習(xí)慣方面的考慮，內(nèi)網(wǎng)和外網(wǎng)NAS文件目錄的設(shè)置和用戶(hù)權(quán)限的分配需要具有一致性。啟用home目錄，方便FTP用戶(hù)一對(duì)一管理文件。

NAS服務(wù)器配置步驟：1是在內(nèi)網(wǎng)NAS服務(wù)器上配置文件服務(wù)，啟用FTP無(wú)加密服務(wù)和FTP SSL/TLS加密服務(wù)（FTPS），關(guān)閉有可能帶來(lái)端口風(fēng)險(xiǎn)的SMB服務(wù)；2是分配用戶(hù)賬戶(hù)和分組。除了管理員外，根據(jù)業(yè)務(wù)需要按照部門(mén)分配多個(gè)用戶(hù)賬戶(hù)，并設(shè)置密碼強(qiáng)度規(guī)則，如密碼包括混合大小寫(xiě)、數(shù)字及長(zhǎng)度等；3是創(chuàng)建文件夾。首先在共享文件夾菜單下創(chuàng)建一級(jí)目錄，設(shè)置啟用回收站并分配目錄空間，然后進(jìn)行用戶(hù)權(quán)限管理。外網(wǎng)NAS的配置方式參照內(nèi)網(wǎng)NAS配置過(guò)程[4]。

實(shí)現(xiàn)內(nèi)網(wǎng)NAS向外網(wǎng)NAS同步數(shù)據(jù)需要進(jìn)行的網(wǎng)閘配置步驟：1是在內(nèi)網(wǎng)網(wǎng)閘模塊上配置網(wǎng)絡(luò)接口，包括連接核心交換機(jī)的接口和管理接口；2是在“資源配置”選項(xiàng)中添加內(nèi)網(wǎng)NAS服務(wù)器的IP地址；3是在“客戶(hù)端”下“FTP文件交換”欄中創(chuàng)建1條任務(wù)，包含任務(wù)號(hào)、內(nèi)網(wǎng)NAS服務(wù)器地址、服務(wù)器共享名、傳輸方式等；3是在外網(wǎng)網(wǎng)閘中創(chuàng)建外網(wǎng)NAS服務(wù)器IP地址，配置“服務(wù)器”下“FTP文件交換”欄中添加任務(wù)，選擇步驟2中相同的任務(wù)號(hào)。添加外網(wǎng)NAS的服務(wù)器地址和服務(wù)器共享名等。要實(shí)現(xiàn)外網(wǎng)NAS向內(nèi)網(wǎng)NAS服務(wù)器推送文件需要把上述配置過(guò)程依次反向操作，需要注意的是“客戶(hù)端”、“服務(wù)端”及“任務(wù)號(hào)”在不同方向推送時(shí)的選擇。文件共享過(guò)程中的網(wǎng)絡(luò)部署拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 文件共享部署拓?fù)鋱D

上圖中，內(nèi)網(wǎng)NAS部署在內(nèi)網(wǎng)核心交換機(jī)一端，為單臂旁掛連接模式，配置IP地址和網(wǎng)關(guān)確保內(nèi)網(wǎng)可達(dá)。外網(wǎng)NAS服務(wù)器部署在外網(wǎng)交換機(jī)上，無(wú)線設(shè)備和其他外網(wǎng)機(jī)器通過(guò)網(wǎng)關(guān)可達(dá)外網(wǎng)NAS服務(wù)器。網(wǎng)閘作為中間橋接設(shè)備，在數(shù)據(jù)同步過(guò)程中根據(jù)兩邊創(chuàng)建的任務(wù)做到數(shù)據(jù)“擺渡”的作用。根據(jù)網(wǎng)閘工作技術(shù)原理，外網(wǎng)和內(nèi)網(wǎng)NAS之間的網(wǎng)絡(luò)并沒(méi)有產(chǎn)生實(shí)際意義上的通信，未產(chǎn)生數(shù)據(jù)包訪問(wèn)，確保了網(wǎng)絡(luò)和數(shù)據(jù)的安全可靠。

3 應(yīng)用測(cè)試

在測(cè)試使用NAS服務(wù)器進(jìn)行FTP訪問(wèn)過(guò)程中，主要對(duì)部門(mén)主要負(fù)責(zé)人、科室人員、辦公室管理員等開(kāi)放了數(shù)據(jù)同步權(quán)限，將他們電腦中的行政文書(shū)、收發(fā)文件、圖片資料、視頻文件等資源文件夾存放在內(nèi)網(wǎng)NAS服務(wù)器home目錄下。打開(kāi)外網(wǎng)NAS服務(wù)器查看，數(shù)據(jù)已經(jīng)在外網(wǎng)NAS的home目錄下出現(xiàn)，此時(shí)內(nèi)網(wǎng)NAS的home目錄已經(jīng)清空。經(jīng)過(guò)測(cè)試發(fā)現(xiàn)，每傳輸100M大小的文件需要傳輸時(shí)間約5s，傳輸1G大小文件需要時(shí)間約30s。經(jīng)檢查，同步傳輸前后，文件大小和內(nèi)容未發(fā)生變化?？偨Y(jié)來(lái)看，本課題采用的基于網(wǎng)閘的雙網(wǎng)NAS文件共享方式能夠滿(mǎn)足業(yè)務(wù)應(yīng)用需要、符合用戶(hù)使用習(xí)慣，可以推廣應(yīng)用。