双NAS文件共享模式在内外网分离业务中的应用

周丽丽 张悦

大连市气象信息中心 辽宁 大连 116001

引言

随着气象信息化程度的不断发展，在常规数据、历史资料和科研数据资源需求迅速增加。存储数据的物理服务器需具备大容量的存储空间及较高的安全性，并且需要有较高的传输速率支撑。在传统的内、外网混用时期，用户可以在内网文件共享服务器上放置所需的常规资料数据、历史资料、统计产品等，通过FTP和SMB共享的方式实现即时访问[1]。同时，科研用户和业务工作者也可以将在互联网下载的数据资料及时存放在本机或文件共享服务器上。总之，采用一台NAS服务器或大存储服务器配合网络安全管理即可实现用户存储需求。

按照网络安全的规定和要求，本单位进行内网和外网业务分离，网络管理模式就发生了很大的调整。内网用户机器只能访问气象专用网络，外网机器则仅用来访问互联网。内网用户无法将通过互联网下载的资料文件放置在内网服务器上实现共享，资料缺失严重，科研等工作开展困难。为了特殊业务访问需求，网络管理单位在内、外网之间部署了隔离网闸和防火墙，通过网络配置实现了内网和外网某些业务的限制访问。基于此，可以考虑利用这个方式也可以解决双网分离后的文件共享问题。考虑采用在内网和外网分别部署NAS服务器的基础上，配合网闸实现文件的互推共享。

1 网络文件共享方案

双网模式下的文件同步共享存储，本单位研究的方案是部署隔离网闸和两台性能差异不大的NAS服务器。基于单台NAS文件共享存储的使用方式，为加强网络安全管理，采用开启FTP服务、关闭SMB服务的方式实现单机访问和存储。在双网分离的基础上，借助隔离网闸FTP数据同步的功能，实现两台NAS服务器目录下文件的相互推送和删除，最终实现数据的实时同步和共享。

1.1 隔离网闸原理简介

隔离网闸也称GAP，用于双网分离后的间接通信。安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成[2]。内网主机系统与内网相连，外网主机系统与外网相连，内/外网主机系统分别负责内外网信息的获取和协议分析，隔离交换矩阵根据安全策略完成信息的安全检测，内外网络之间的安全交换。具有以下特点：多网络隔离的体系结构，通过专用硬件完成两侧信息的“摆渡”；被隔离网络之间任何时刻不产生物理连接；数据交换方式完全私有，不具备可编程性；内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSI模型的七层协议全部断开。网闸协议原理拓扑如图1所示。

图1 网闸访问协议拓扑图

1.2 NAS原理简介

NAS，全称为 Network Attached Storage，即网络附加存储。它是一种特殊的专用数据存储服务器，有专门的软件系统，可以提供跨平台的文件存储和共享功能，可以实现集中数据管理，大大提高网络整体性能。NAS设备具有以下特点：系统功耗低，效率较高；网络连接简单，只需访问可达即可；自带防毒功能，安全性高。

NAS可实现的功能包括：数据同步、数据备份、快照、协同办公和邮件服务等。其硬件架构主要包括网络、存储、控制器三部分内容[3]。NAS本身能够支持多种协议（如NFS、CIFS、FTP、HTTP等），而且能够支持各种操作系统。通过任何一台工作站，采用浏览器就可以对NAS设备进行直观方便的管理。NAS工作原理拓扑如图2所示。

图2 NAS工作原理拓扑

2 双网存储共享设计

实现对双网NAS服务器进行网络同步，首先考虑的是数据同步的及时性和安全性，其次是用户的使用习惯等方面。在对网闸进行FTP同步功能设置后，打通了内到外、外到内的文件目录同步，这部分是通过使用NAS的文件管理权限账户对文件进行操作。比如在内网向外网同步文件时，需要在网闸的内网模块上配置客户端传输任务1，同时还需要在外网网闸模块的服务端将任务1再次执行完成。反过来，要实现外网向内网推送文件亦需要类似上述配置过程。

基于安全性的考虑，重点在网络传输安全和数据安全方面加强管理。其中在网络传输过程中隔离网闸利用任务推送的技术手段实现了无路由通信，从根本上有效阻断内网和外网通过底层TCP/UDP协议通信访问。数据安全方面，NAS服务器在套件中心下载了防病毒工具Antivirus Essential，从数据源头进行防御，同时启用NAS防火墙等选项。为加强NAS管理和用户习惯方面的考虑，内网和外网NAS文件目录的设置和用户权限的分配需要具有一致性。启用home目录，方便FTP用户一对一管理文件。

NAS服务器配置步骤：1是在内网NAS服务器上配置文件服务，启用FTP无加密服务和FTP SSL/TLS加密服务（FTPS），关闭有可能带来端口风险的SMB服务；2是分配用户账户和分组。除了管理员外，根据业务需要按照部门分配多个用户账户，并设置密码强度规则，如密码包括混合大小写、数字及长度等；3是创建文件夹。首先在共享文件夹菜单下创建一级目录，设置启用回收站并分配目录空间，然后进行用户权限管理。外网NAS的配置方式参照内网NAS配置过程[4]。

实现内网NAS向外网NAS同步数据需要进行的网闸配置步骤：1是在内网网闸模块上配置网络接口，包括连接核心交换机的接口和管理接口；2是在“资源配置”选项中添加内网NAS服务器的IP地址；3是在“客户端”下“FTP文件交换”栏中创建1条任务，包含任务号、内网NAS服务器地址、服务器共享名、传输方式等；3是在外网网闸中创建外网NAS服务器IP地址，配置“服务器”下“FTP文件交换”栏中添加任务，选择步骤2中相同的任务号。添加外网NAS的服务器地址和服务器共享名等。要实现外网NAS向内网NAS服务器推送文件需要把上述配置过程依次反向操作，需要注意的是“客户端”、“服务端”及“任务号”在不同方向推送时的选择。文件共享过程中的网络部署拓扑结构如图3所示。

图3 文件共享部署拓扑图

上图中，内网NAS部署在内网核心交换机一端，为单臂旁挂连接模式，配置IP地址和网关确保内网可达。外网NAS服务器部署在外网交换机上，无线设备和其他外网机器通过网关可达外网NAS服务器。网闸作为中间桥接设备，在数据同步过程中根据两边创建的任务做到数据“摆渡”的作用。根据网闸工作技术原理，外网和内网NAS之间的网络并没有产生实际意义上的通信，未产生数据包访问，确保了网络和数据的安全可靠。

3 应用测试

在测试使用NAS服务器进行FTP访问过程中，主要对部门主要负责人、科室人员、办公室管理员等开放了数据同步权限，将他们电脑中的行政文书、收发文件、图片资料、视频文件等资源文件夹存放在内网NAS服务器home目录下。打开外网NAS服务器查看，数据已经在外网NAS的home目录下出现，此时内网NAS的home目录已经清空。经过测试发现，每传输100M大小的文件需要传输时间约5s，传输1G大小文件需要时间约30s。经检查，同步传输前后，文件大小和内容未发生变化。总结来看，本课题采用的基于网闸的双网NAS文件共享方式能够满足业务应用需要、符合用户使用习惯，可以推广应用。