数据在服务器(HOST)内流动

　　数据流后端的流动，最初就是在服务器内部移动。当前，大部分服务器上的操作系统主流就是Unix、Linux、Windows，但是不管具体采用那种OS，其数据的流向都可以抽象为图-2所示。

图-2 数据在服务器中的通路


　　所有网络上发送过来的数据请求通过NIC以及TCP/IP协议被发送到对应的应用上去，此时数据就正式进入了服务器上；然后数据自应用层开始，一直被传递到操作系统内核。然而，由于现在各种应用发展日新月异，随着它们的膨胀其安全漏洞也随之上升，比如针对一些邮件服务器、数据库服务的病毒和攻击；对于应用程序的攻击，在PC平台上就更为显著了，比如QQ、MSN、WORD等应用的病毒，以及目前的各种流氓软件都是大家深恶而痛绝之地。

　　通过了应用程序之后，其下层就是文件系统了。通常，到了这里存储也就是开始神神秘秘了，因为OS都把存储的细节封装的很好，对于外界来说只需要找好文件进行读写就可以了，非常地透明。但是，这里却存在安全问题，常被提起的文件系统崩溃、误删除文件之类就出现在这个地方。因此，才出现了日志文件系统，以及基于文件系统的CDP技术。

　　走过文件系统，数据会被传递到卷管理层，卷和通常在Windows平台上看到的分区类似，只不过卷可能是有几个分区构成；卷基本上都是建立在由下层驱动软件汇报的raw设备上面，有些数据库也可以不通过文件系统和卷直接建立在这样的raw设备上。但是单一分区构成的卷，不能提供冗余功能，一旦破坏，那么在此卷上的数据都被损坏，因此卷级的数据安全性也非常重要。从而有VxVM (Veritas Volume Manager)、LVM (Logical Volume Management)、EVMS (Enterprise Volume Management System)、MD (Linux下的software RAID)以及Windows上的动态卷技术，同时还有基于卷的快照技术(snapshot)，它们都在卷级提供了数据安全能力。

　　走过这些，数据最后就要到达硬件设备HBA了，通过HBA就可以访问DAS以及SAN网络中的存储设备了。尽管很多HBA内建了Firmware，甚至里面就运行专门的操作系统，但是要让HBA在OS里面运行起来，一定要加载对应的驱动程序，它们是不可分割的。而这个HBA将会提供服务器访问存储网络的路径，而这个路径如果是独木桥，那么就会成为数据安全的一个潜在隐患。因此设计了多路径技术(Multipath)，它专门解决因为单点故障造成的数据安全问题。

　　从整个服务器内的数据流向可以看出，数据在存储路径上流动中的每一个模块都可能出现安全问题，因此在每个模块都需要实施对应的方案来解决数据安全问题。

　　数据在NAS系统中前行

　　当服务器在文件系统层向NAS服务器发送文件处理请求，如图-3中那样，那么数据就会流向NAS中去。数据在NAS里面如何流动对于大部分人来说，都是一个谜。其实，从某种意义上来讲，可以把NAS看着一个服务器，只不过这个服务器主要提供存储服务，并提供文件访问接口给外界，从而真正的外部服务器主机就通过NFS或者CIFS来访问。

图-3 数据在NAS中流动通路


　　同样，NAS也有操作系统，比如一些定制的UNIX系统或者裁减的Linux系统，甚至采用Windows操作系统；只不过，这些操作系统都针对NAS应用做了相关的改动，将一些不需要的功能去掉，同时增强在存储和网络方面的功能。因此，和服务器内数据流动类似，也要经过文件系统、卷管理，以及HBA和其驱动。但是，在高端为了提高可靠性，在每个模块都加入了相关的功能，来避免出现单点故障，同时由于是针对存储的应用，所以管理的磁盘比较多，通常采用了RAID技术来提高数据存储的安全性。

　　在采用一些比较常用的操作系统做NAS时，要注意这些OS的漏洞，否则就会出现NAS机器中病毒的事情。