Kết nối mạng một chiều

Tôi có một khách hàng rất hoang tưởng chạy hai mạng riêng biệt (một ngoại tuyến, một trực tuyến) với các PC riêng biệt, v.v.

Tôi có một thách thức ở chỗ tôi đã viết một ứng dụng cho họ sẽ chạy trên mạng ngoại tuyến tuy nhiên mạng cần có khả năng gửi email cho khách hàng. Ý tưởng của tôi là có một kết nối mạng một chiều (như một diode) từ máy chủ ngoại tuyến đến một PC trực tuyến sẽ gửi email.

Cách hiệu quả nhất để làm điều này là bán hiệu quả là gì? Tôi có thể lấy thẻ mạng một chiều không?

Mạng Windows Server 2008, PC Windows.

Về cơ bản, bạn chỉ cần một tường lửa giữa hai quy tắc thực sự chặt chẽ, về cơ bản một thứ gọi là quy tắc 'Từ chối tất cả' và sau đó chỉ cho phép một điểm duy nhất chỉ ra quy tắc đi ra khỏi cổng duy nhất cho những gì bạn cần. Điều này là dễ dàng cho một anh chàng bảo mật / mạng và nên thỏa đáng cho khách hàng của bạn.

Tôi chính xác sẽ không gọi họ là hoang tưởng, và tôi hoan nghênh thái độ của họ đối với an ninh.

Nếu họ gặp rắc rối với các mạng riêng biệt, có lẽ họ cũng đã gặp rắc rối khi cài đặt tường lửa. Một lỗ nhỏ trên tường lửa chỉ cho phép lưu lượng truy cập trên cổng 25 chuyển từ một địa chỉ IP cụ thể trong mạng ngoại tuyến của bạn sang một địa chỉ IP cụ thể trong mạng trực tuyến của bạn nên thực hiện thủ thuật một cách hoàn hảo.

Tôi sẽ sử dụng một liên kết nối tiếp chỉ có GND và TX trên máy chủ được bảo mật và GNS và RX trên mạng không bảo mật. Không kiểm soát luồng vì điều này có thể được sử dụng để rò rỉ thông tin từ mạng không an toàn đến mạng được bảo mật.

Tôi sẽ tạo một proxy SMTP-UDP-SMTP nhỏ được cấu thành trong 2 trình nền. SMTP2UDP và UDP2SMTP.

SMTP2UDP sẽ là một MTA không đồng bộ sẽ chạy trên mạng an toàn và chấp nhận các email sẽ gửi bằng UDP trên liên kết nối tiếp.

UDP2SMTP sẽ chạy trên mạng không an toàn và chấp nhận email qua UDP và gửi chúng đến một MTA thực.

Trên liên kết nối tiếp, tôi sẽ sử dụng một bộ ghép quang để sử dụng diode trong các yêu cầu.

Nếu bạn muốn thực hiện các yêu cầu đối với thư, bạn có thể sử dụng liên kết IP một chiều đã gửi email của mình qua UDP (hoặc giao thức đơn hướng tương tự) đến một trình nền tùy chỉnh nghe các gói này và gửi chúng qua SMTP đến người nhận dự định.

Tất nhiên, hệ thống gửi (ngoại tuyến) sẽ không biết họ có thực sự ra ngoài hay không. Để xác nhận này xảy ra, bạn cần thiết lập tường lửa tối thiểu vì Ben và Chopper3 đã trả lời.

Giao thức TCP cần giao tiếp hai chiều. Thiết lập này nghe có vẻ giống với thiết kế DMZ , nơi ứng dụng của bạn chạy trong mạng nội bộ đáng tin cậy và máy chủ thư và / hoặc người nhận tồn tại trong vùng DMZ không tin cậy.

Một tường lửa được cấu hình tốt sẽ chỉ có thể cho phép các kết nối được bắt đầu từ mạng nội bộ đáng tin cậy chứ không phải theo cách khác. Nếu điều đó là không đủ, tôi nghi ngờ bất kỳ kết nối vật lý nào giữa hai mạng sẽ làm hài lòng khách hàng của bạn, điều đó có nghĩa là bạn sẽ không thể gửi thư tự động.

Nếu họ đã đi đến mức này để tách các mạng, sẽ có hai tường lửa được đặt ở đây với một hộp kích hoạt thư ở giữa. Về phía ngoại tuyến, chỉ cho phép các kết nối đến hộp này kết xuất tin nhắn để gửi qua ứng dụng tùy chỉnh của bạn. Về mặt trực tuyến, chỉ cho phép kết nối smtp với máy chủ thư.

Bạn có thể thực hiện cùng một chi phí rất hiệu quả với một hộp hai lớp duy nhất có tường lửa phần mềm chạy trên mỗi giao diện nhưng việc tách rời sẽ tạo ra một số lớp bảo vệ bổ sung và sẽ tốt hơn.

Tôi sẽ chỉ có hai máy chủ mail, một bên trong và bên ngoài. Yêu cầu các máy chủ liên tục nối các email gửi đi vào một tệp và cứ sau đó thường đổi tên tệp, sao chép nó trên khóa USB và thả nó vào một thư mục đến trên máy chủ khác. Đây là cách nhiều cài đặt thực hiện các khoảng trống không khí trong các máy chủ mạng.

Nếu quá quan trọng để trì hoãn, nó có thể được gửi từ một trong các khách hàng bên ngoài.