我有一个非常偏执的客户,他运行两个独立的网络(一个离线,一个在线),并配备独立的电脑等。
我面临的挑战是,我为他们编写了一个可以在离线网络上运行的应用程序,但网络需要能够向客户端发送电子邮件。我的想法是从离线服务器到可以发送电子邮件的在线 PC 建立单向网络连接(如二极管)。
最有效且成本最低的解决方法是什么?我可以买一张单向网卡吗?
Windows Server 2008 网络,Windows PC。
答案1
基本上,您只需要在两者之间设置一个防火墙,并制定非常严格的规则,基本上就是所谓的“全部拒绝”规则,然后只允许一个单向点对点单端口传出规则来满足您的需要。这对于安全/网络人员来说很容易,并且应该会让您的客户满意。
答案2
我不会称他们为偏执狂,而且我赞赏他们对安全的态度。
如果他们不怕麻烦,就不怕麻烦地安装了防火墙。在防火墙上开一个小洞,只允许端口 25 上的流量从离线网络中的特定 IP 地址传递到在线网络中的特定 IP 地址,这应该可以完美解决问题。
答案3
我将使用串行链路,该链路在安全服务器上只有 GND 和 TX,在非安全网络上只有 GNS 和 RX。没有流量控制,因为这可用于将信息从非安全网络泄露到安全网络。
我将创建一个由 2 个守护进程组成的小型 SMTP-UDP-SMTP 代理。SMTP2UDP 和 UDP2SMTP。
SMTP2UDP 将是一个不兼容的 MTA,它将在安全网络上运行并接受通过串行链路使用 UDP 发送的电子邮件。
UDP2SMTP 将在不安全的网络上运行并通过 UDP 接受电子邮件并将其发送到真正的 MTA。
在串行链路上我将使用光耦合器按照要求使用二极管。
答案4
TCP 协议需要双向通信。这种设置听起来类似于DMZ 设计,其中您的应用程序在受信任的内联网中运行,而邮件服务器和/或收件人存在于不受信任的 DMZ 区域中。
配置良好的防火墙将只允许从受信任的内部网发起连接,而不允许反过来。如果这还不够,我怀疑两个网络之间的任何物理连接都无法满足您的客户,这意味着您将无法自动发送邮件。