企业内外网数据同步解决方案

 

企业内外网文件交换方式及存在的难题_云编程开发博客        

        随着企业数字化转型逐步深入，企业的业务开展，越来越依赖于不断增加的办公、生产、研发等IT系统，也越来越频繁地需要与外部进行持续大量的数据交换。在企业的日常业务中，存在大量需要在不同网络之间进行文件传递的场景：

在企业的日常业务中，存在大量需要在不同网络之间进行文件传递的场景：

• 处在内网的员工，需要将设计图纸、项目资料等文件发送给外网的用户。
• 客户、供应商、合作伙伴，需要通过互联网将文件发送给内网员工。
• 科技型企业，需要持续将从外部获取的大量数据导入到研发网，进行机器学习、数据挖掘等数据处理工作，比如传感器采集的数据、测试数据、网络服务收集的数据等。

        网络的物理隔离，给数据交换带来很多不便，比如员工出差只能接入互联网，没有办法取得内网文件。 另外，内网业务系统需要从外网提取采集数据，由于服务隔离，数据的获取也很困难。因此，随着企业IT业务系统的日益成熟，可控的跨网数据交换需求也越来越强烈。

        目前，企业在解决跨网文件传输时，主要采取以下几种方式。

（1）通过移动硬盘在内外网间进行数据拷贝企业内部，一般对U盘/移动硬盘的使用有所限制，所以一般是指定少数有权限的人，经常是IT部门，负责通过移动硬盘在内外间，按照业务部门的要求，进行数据拷贝。但是，随着需要在网间传递的数据量越来越大，频次越来越高，IT部门往往不堪重负，而且往往遭到业务部门关于数据拷贝不及时、数据出错等方面的抱怨。 同时，由于数据拷贝是人工完成的，很难对其所拷贝的内容范围进行监管，在这个过程中也更容易出错。

（2）通过FTP或网络共享进行内外网文件移动，当企业内外网是通过防火墙等逻辑手段隔离的时候，企业可能架设一个FTP服务器或网络共享，在网络设备中将其设置为例外，以此实现内外网文件移动。采用这种方式，一方面实际上是将“安全隔离策略开了一个特例”，网络隔离安全性大大降低，另一方面，也依然需要专人管理执行，无法解决人工处理带来的问题。同时，通过FTP等手段进行大体量文件上传及下载的时候，经常可能出现错误中断的现象，需要占用人力资源持续跟踪。

（3）通过网闸进行网间文件摆渡一般网闸都会内置文件摆渡同步功能，用户可以设定在内外网指定的存储位置，由网闸实现文件同步。然而，网闸只能解决文件物理位置移动的问题，企业很难具体控制哪些文件可以被同步，哪些人有权限进行操作，同步之后的文件应该如何处理等问题，这种方式并不能完成一个具体业务开发云主机域名的完整链条。

（3）通过类网闸的硬件实现跨网文件交换
这类硬件支持组织内部多个网络之间的文件数据交换，一般还支持查杀毒、审计审批、文档追踪、水印功能，跨网数据交换性能和安全性能都不错。不过，这类硬件一般单独使用，仅能通过有限的配置和预制API，满足组织机构的个性化需求，灵活性、扩展性差，不易集成。此外，这种解决方案只能记录网络边界两侧的文件数据交换行为，不能对数据交换进行全流程监管。

（4）内外网双企业网盘+网闸摆渡这种方式实际上是在文件物理移动的基础上，叠加了网盘的文件管理、易于访问等特性，因为要建设两套私有网盘，实施成本也会极大提高。使用这种双端同步的方式，往往有可能出现一些业务流程上的漏洞，并且无法有效解决“给外部客户发资料”等场景的需求。另外，私有网盘一般是面向办公文档类型的数据，往往不具备发送大体量业务数据的传输能力。

（4）内外网双企业网盘+网闸摆渡
采用此种方案时，企业一般会在外网和内网分别部署一个私有网盘，配置及存储结构保持一致。 网盘系统可能可以通过权限或审批的方式，将待发文件放置在网络一侧的指定位置，然后由网闸自动摆渡到网络另一侧的对应位置，而后另一侧的网盘系统就可以发现文件，可以被另一侧有权限的用户访问。

这种方式实际上是在文件物理移动的基础上，叠加了网盘的文件管理、易于访问等特性，因为要建设两套私有网盘，实施成本会增加不少。

这种方式对办公文档类型的数据支持较好，但无法有效解决“给外部客户发资料”等场景的需求。比如发送动辄几个G的图纸、几十个G的测试数据时，网盘系统往往不具备如此高要求的传输能力，可能经常出现传输速度慢、传输中断、传输出错等情况。

DMZ 区隔离

DMZ（Demilitarized Zone），即隔离区，它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。一般来讲，企业在内外网间架设两道防火墙，两道防火墙中间的区域即为 DMZ 区。

（5）Ftrans内外网文件安全交换解决方案，Ftrans内外网文件安全交换解决方案，它是一种基于数字包裹的安全文件交换解决方案，可以实现全链条、高性能、自动化的跨网双向数据传输。可以支持《计算机信息系统安全保护等级》一级至五级的跨网数据传输安全要求，包括以防火墙、DMZ区为主要隔离手段的中级安全标准、以网闸、光闸、光盘摆渡机等为隔离手段的高级安全标准。同时，具有全自动化的跨网数据传输机制、可实现大体量数据的高性能内外网文件交换、内外网文件交换的全链条服务与可视化跟踪。

3、以Ftrans为代表的纯软件解决方案

        以Ftrans为代表的纯软件解决方案，通过私有部署的方式，实现组织内的跨网文件交换、内外网文件安全交换。不仅解决网络边界位置的跨网文件交换问题，同时在每个网络区域内部提供文件数据管理和交换能力，是一套专业面向文件数据交换和安全管控的全场景解决方案。
该方案可在文件数据“上传/提交、内容审查、流程审批、数据转移（网内/网间）、授权访问、下载提取、归档/销毁”的全链条，提供全过程记录、审批和审计，实现对数据转移和流动过程的全流程管控。

此外，该方案的软件形态和分布式架构更有利于和第三方应用系统的集成，以形成完整解决方案，并在关键技术环节（例如审批、DLP、杀毒等）整合更加专业强大的系统能力，灵活性和扩展性很好。

以上是行业主流的跨网文件交换解决方案，各方案的特点也不尽相同。被跨网文件交换困扰的组织机构，需要根据具体使用场景进行针对性的选择。

一、FTP使用 

1.用户访问如下

外网通过FTP防问路径为ftp://aaa:aaa@192.168.0.111

内网通过FTP防问路径为ftp://aaa:aaa@192.168.130.247

２.通过添加网络位置,方便使用，如下图中的网络位置，直接打开如本地盘一样。

 ３.打开网络盘后，如下，gg为公用目录，其它为部门内部目录及文件。

 

４.各部门配置信息如下：

序号	科室	用户名	密码	路径	备注
1	安全保卫科			/data/aqbwk
2	财务科			/data/cwk
3	党政综合办公室			/data/dzzhbgs
4	干部保健办公室			/data/gbbjbgs
5	工会			/data/gh
6	公共			/data/gg

二、、DMZ有什么用？

解决了安装防火墙后外部网络不能访问内部网络服务器的问题。

默认情况下，防火墙为了保护内网设置的策略一般是禁止外网访问内网，允许内网访问外网。

DMZ是介于外网与内网之间的一个缓冲区域，用于放置一些需要被外网访问的服务器，如企业Web服务器、FTP服务器等。

来自外网的访问者可以访问DMZ中的服务，但不能接触到存放在内网中的公司机密数据信息，对内网来说多了一层安全防护。

二、外网、DMZ、内网之间的访问策略

1、外网可以访问DMZ。

DMZ区域存放的是给外界提供服务的服务器等，所以外网必须可以访问DMZ。

2、DMZ不可以访问外网

绝大部分情况是这样。

3、DMZ不可以访问内网

如果可以，那hacker打入DMZ区域后，内网危！

4、内网可以访问DMZ

这样的策略是为了方便内网用户使用及管理DMZ中的服务器。

5、内网可以访问外网

内网用户可以自由的访问外网。

6、外网不可以访问内网

内网存放的是公司和企业的内部数据，不能被外部访问

 

内外网分离后如何保证文件安全交换？介绍一种解决方案-爱码网

三、Ftrans内外网文件安全交换解决方案

 Ftrans是谁？

        Ftrans是飞驰云联（南京）科技有限公司，是一家企业文件数据交换的专业技术厂商，其自主研发的《Ftrans Ferry跨网文件安全交换系统》，以软件系统为核心，无需复杂的环境支持，部署简单，大幅减少IT人员日常维护工作量。使用界面一目了然，不改变用户日常使用习惯，操作简单，开箱即用，平滑建设跨网文件交换体系。

企业文件数据在一个平台内完成发送、检测、审批、接收、审计的全流程，大幅提升操作易用性及业务时效性，建立统一、安全、可控、便捷的跨网数据交换通道，实现事前可控制、事中可审查、事后可追溯的跨网文件交换全生命周期管控。

        绝大多数企业都在内部实施了内外网分离，互联网与内网隔离，生产网与办公网隔离，办公网与研发网隔离，以确保企业信息安全。

然而，在通过网闸、DMZ区、双网云桌面等方式实现内外网分离后，企业又会面临一系列新的问题：内网的员工如何发送文件给外网用户？客户、供应商、合作伙伴，如何通过互联网将文件安全地发送给内网员工？

目前，企业一般通过移动硬盘拷贝、FTP、网络共享、网闸、内外网双企业网盘等几种方式解决跨网文件交换的问题。不过，这些传统跨网络的数据移动方式，很难满足企业对于内外网文件交换的安全、高效、便捷、管理等方面的需求。

这里介绍一种解决方案——Ftrans内外网文件安全交换解决方案。该方案基于“数字包裹”概念，可实现全链条、自动化的跨网双向数据传输。

该方案应用架构如下：

 功能特性：

（1）基于安全数字包裹

采用创新的数字包裹概念，可以将待处理和交换的一个批次的业务文件封装进一个安全数字包裹，并且生成一个包含包裹内容信息（发货清单）和投递信息（快递单）的包裹元数据，可以确保一个批次业务数据的完整性和正确性，同时可以防止后续的篡改行为。

（2）满足不同的安全等级，降低实施成本

支持《计算机信息系统安全保护等级》一级至五级的跨网文件交换安全要求。不同企业及行业对于内外网数据交换的安全要求级别不同，Ftrans可以基于企业当前IT架构，最大化地利用企业现有IT设施，在满足数据交换安全要求的前提下，灵活选择具体实施架构。

（3）面向大体量业务数据的网间高性能数据交换

支持TB级文件和百万级文件批次的传输能力，可以完美满足企业对于大体量业务数据传输的及时性、准确性及可靠性的要求。不仅可以在网间数据移动环节发挥效用，更可以服务于企业与外部数据交换等更多环节。

（4）数据传输全链条服务与可视化跟踪

为企业提供从业务数据源端到目的端的一揽子解决方案，覆盖“发送申请 -> 内容过滤及审核 -> 行为合规审核 -> 自动投递 -> 投递通知 -> 包裹交付 -> 收件跟踪”等多环节全链条的数据交换服务，数据包裹的发送者及相关管理员可以对包裹所处位置与当前状态进行持续跟踪，大大提升数据交换全过程的可视性，提高业务运转效率。

（5）多层次安全机制

采用金融级的数据传输加密算法，建立数据安全传输隧道，支持数据落盘加密。可根据不同安全要求，设定相应的包裹内容过滤、文件大小及类型过滤，并附加不同的审批流程，确保传输内容及行为安全合规。所有环节的数据交换行为全记录，可以反向追溯具体数据内容流转过程。

FTP和Ftrans的传输能力对比 

一、传输机制

传输协议

Ftrans：自有的CUTP传输协议，对网络拥塞和波动有优化处理机制，传输效率不受影响。

FTP：TCP协议，网络拥塞或波动后，传输速率差。

大文件传输

Ftrans：内置智能拆分传输机制，能友好支持TB级大体量文件，提升传输速率和传输成功率。

FTP：没有优化处理机制，在传输中易出现传输中断、传输错误等情况。

海量文件传输

Ftrans：内置虚拟拼接技术传输机制，即使是百万量级海量文，也能确保稳定可靠传输。

FTP：没有优化处理机制，传输过程中易出现传输中断、文件丢失等现象。

文件秒传

Ftrans：对传输的文件数据进行标识，对于已经传输过或已经存在的数据，自动采用“文件秒传”方式以提高传输效率。

FTP：不支持。

增量传输

Ftrans：已传输的文件内容发生变化，传输系统只传输文件变化的部分，提高传输效率。

FTP：不支持。

并行传输机制

Ftrans：传输系统支持并行传输机制和处理技术，支持多个任务、多个文件以及单一文件内的不同部分同时并行发送和接收。

FTP：仅支持文件队列并行传输。

二、传输可靠性

断点续传

Ftrans：因断电或网络中断等情况导致传输中断时，可自动启动断点续传策略，自动接续之前的传输进度继续传输，无需人工干预。

FTP：需要其他命令配合进行，耗费大量人力成本。

错误重传

Ftrans：当传输任务发生错误时，无需用户干预，传输系统自动开启校验功能，重传错误部分。

FTP：不支持。

一致性校验

Ftrans：用户文件进行上传或下载时，自动对所传文件进行多重校验功能，确保传输源文件与目标文件100%的一致性。

FTP：不支持。

三、安全性

传输加密

Ftrans：采用金融级别的安全加密机制，对数据传输内容加密和解密，在数据收发两端之间形成加密隧道，以保证在传输过程中，文件不会被窃取或泄露。

FTP：只有FTPS/SFTP才能支持。

由此可见，在文件的传输效率、安全性和可靠性方面，FTP是满足不了企业的需求的。