随着海关上网、电子商务等一系列网络应用的蓬勃发展,Internet正在逐渐融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务等等关键要害领域。
传统双网隔离方案存在着以下弊端:
1.数据安全性差
2.数据可靠性低
3.病毒防护能力差
4.内外网切换方式需要人工的干预
5.多操作系统的使用、安装与维护的工作量大
6.硬盘利用率较低、难以共享,硬盘空间大量闲置
7.用户和主机绑定,难以实现移动办公
基于PC SAN系统的双网隔离模式,可以有效地解决上述问题,实现网络、存储和计算全面物理隔离的安全环境,满足双网隔离的安全要求。同时,能够解决企业隔离网应用复杂、受限制、不易管理等方面的问题,轻松实现双网隔离系统的集中管理、快速部署多操作系统共存的应用环境,还能够节省企业在信息化方面的总体拥有成本(TCO)。
方案介绍
本方案是基于PC SAN系统的双网隔离模式。
PC SAN是一种基于网络存储的新型计算环境管理系统,采用全球标准的通讯协议TCP/IP,将网络中所有的存储资源集中存储在由高速互联网络连接的存储管理服务器上,在该服务器上虚拟出多个网路硬盘映射给客户机使用。它采用虚拟存储技术,实现数据集中存储、网络硬盘按需分配,借助快照和快速部署技术,实现简单、快速地网络硬盘分配与软件安装;通过客户机和不同的网络磁盘实现动态映射,使客户机能够按需转换角色,更好地被动态调度并组合计算资源和存储资源,满足不断变化的需求。
此外,PC SAN除兼具PC机使用的灵活性和瘦客户机的易管理、安全等特点外,还拥有其独特的需求预约、系统还原、系统快速恢复和IP地址自动分配等功能。
PC SAN系统由PC SAN 存储管理服务器、客户机和iATA卡等硬件通过高速互联网络连接而成。
PC SAN系统物理结构如下图2所示。在此系统中:
图1 PC SAN系统物理结构
iATA卡:iATA是类似于iSCSI的技术,它把IDE命令转化为IP包,在IP网络上传输。iATA卡安装在每台客户机上,将硬盘的IDE协议转换成网络协议,开机后,与经服务器分配的网络硬盘直接挂接,映射到客户机本地使用。
客户机: 即普通PC机,不需要本地硬盘,每台机器加装一块iATA 卡,当客户机开机后,将经服务器映射的网络硬盘,作为自己的本地硬盘来使用。如果原客户机已有硬盘,仍可以将该硬盘作为系统的数据盘正常使用。
存储管理服务器:它由管理服务器和存储服务器组成,为所有客户机提供集中、统一的存储和管理,实现网络硬盘与客户机或用户映射关系的控制,并为用户提供灵活有效地各种服务,充分利用各台客户机的硬件资源,完成整个系统内部运转的监控和管理工作。
基于PC SAN系统的双网隔离模式网络拓扑图,如图2所示。除了解决数据安全性问题之外,该系统还可以提供系统的快速部署,计算环境的灵活选择等,从而极大地降低计算机运行、维护和管理的总体拥有成本。
图2基于PC SAN系统的双网隔离模式网络拓扑图
在该图中,由两台服务器(内、外网各一台)、一台网络切换器和一台交换机组成,用户通过网络切换器来选择接入内、外网。其组成元素的作用说明如下:
网络切换器:通过机械开关,实现用户在内、外网间进行切换。
交换机:我们推荐用户使用的是带千兆网口的百兆交换机,即服务器到交换机为千兆,交换机到客户机为百兆。
系统特点
基于PC SAN系统的双网隔离模式,具有如下特点:
数据安全性:内、外网数据分别集中存储于内、外网存储管理服务器中,相互物理隔离。由于客户机端没有硬盘,从而完全避免硬盘被窃取而造成的数据泄密问题。
数据可靠性:所有数据集中保存在存储管理服务器上,并且在服务器上安装磁盘阵列,通过冗余技术保证系统稳定工作,从而大大提升了整体的数据可靠性。
快速部署与维护:根据事先制作好的母板,通过快照技术,进行批量部署,且部署30台客户机只需几分钟。此外,快速部署还可以为某个客户机的系统损坏,提供快速恢复。
支持多种操作系统:经过大量的测试,目前,该系统已支持常用的各种操作系统,包括Windows全系列,Linux和Unix的常用版本;另一方面,同一台客户机可以同时拥有多种系统,并实现在线切换与使用。
系统数据可以选择和客户机或用户绑定:系统数据和客户机绑定的方式,是指每台客户机开机后都有和该客户机对应的操作系统;另一种模式是,管理员将一块网络硬盘分配给指定的用户使用时,该用户在局域网内的任一台客户机登录,均可访问到自己的数据,从而实现真正的移动式办公。
存储空间利用率得到极大提高:该系统提供数据的集中存储,从而极大地降低了客户机的故障率;另一方面,管理员可以根据用户的实际需求,在存储管理服务器的存储池中,划分相应的网络硬盘,分配给用户使用,从而避免了传统使用模式中,硬盘空间大量闲置,极大的保证了用户的长期投资。
和现有的计算机使用模式基本相同,操作简单:不同于以往到的NC,无盘等系统,使用该系统后,客户机和传统的使用模式几乎没有区别,原有的应用软件仍然可以正常使用,甚至客户机可以像普通的PC机一样,按需安装不同的操作系统与应用软件。
附:目前某保密单位双网隔离方案和基于PC SAN系统的双网隔离方案对比表:
现状描述 基于PC SAN系统双网隔离模式
数据安全性 数据分散存储于每台客户机,内、外网共用一块硬盘,安全隐患较大。 内、外网数据独立集中存储于内、外网服务器中,相互物理隔离。客户机端没有硬盘,从而完全避免硬盘被窃取而造成的数据泄密问题。
数据可靠性 数据分散存储,难以统一管理。硬盘如果出现硬件故障,会造成数据丢失。 所有数据集中保存在存储管理服务器上,并且在服务器端安装磁盘阵列,通过冗余技术保证系统稳定运行,大大提升了整体的数据可靠性。
病毒防护 内、外网共用一块硬盘,办公电脑在访问互联网时易受病毒及黑客软件侵扰,出现故障,影响正常工作。 内、外网完全物理隔离,并具有系统还原功能,可还原至初始状态,完全清除病毒。
内外网切换 手动插拔网线。 由网络切换器控制。
维护电脑方式 安装维护电脑工作量比较大,安装一台电脑(包括操作系统、应用软件、漏洞补丁、设置网络参数等)需要至少一个小时左右的时间。 在制作好一个模板的情况下,使用快照(snapshot)技术,部署30台客户机只需不到三分钟。同时自动分配主机名和IP地址,减轻了网管人员的工作量。
绑定方式 用户和主机绑定。 采用网络集中存储,用户可在系统管理下的任何一台计算机用登录自己的系统,实现移动办公。
多操作系统的使用 安装过程烦琐,安装时间长,易产生冲突,磁盘空间占用大。 使用快照技术,可在几秒钟内根据用户实积蓄要分配给用户系统环境。同一台客户机可以被分配多种系统,在开机登录后由使用者自由选择。
硬盘利用率 硬盘空间难以共享,硬盘空间大量闲置。 采用虚拟存储技术,用户的磁盘空间大小可按需分配、统一管理,大大提高了硬盘的利用率,保护了用户的现有投资。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:51CTO 作者:佚名