在我工作的公司,有些计算机连接到互联网,有些计算机连接到局域网。局域网被视为“安全区”,驻留在那里的文件永远不应复制/移动到可以访问互联网的计算机上。因此,现在,如果我们想下载某个应用程序的安装程序,我们会将其下载到可以访问互联网的 PC 上,然后使用“安全 USB 棒”将其移动到局域网。
有没有办法在可以访问互联网的计算机和 LAN 中的计算机之间建立“安全的单向连接”?这实际上意味着只有可以访问互联网的计算机中的文件才能复制/移动到 LAN。除此之外,如果您想传输文件,您必须提供网络的安全凭证(这样,只有具有适当访问级别的用户才能传输文件)。
是否有可能创建这样的东西并使其完全安全(或至少与我们当前使用的 USB 方法“同样安全”),或者将可访问 Internet 的计算机通过有线方式连接到 LAN 本身就存在安全风险?
注意:LAN 设置涉及 2 个 Windows 2003 服务器,其中装有 Active Directory、Web 服务器以及您希望在 Windows 网络中找到的几乎所有服务。
答案1
没有办法完全避免网络渗透。如果具有互联网连接的计算机连接到 LAN,则 LAN 存在风险,无论您实施多少安全措施。继续按照您现在的方式去做。
答案2
互联网并非单向的。虽然你可以用任意数量的规则来近似实现这种类型,但许多人已经花费了数年时间(感谢 NAT 等),他们怀着强烈的动机寻找通过 DNS 这样看似无害(但必不可少)的东西反向传输双向流量的方法。
如果您需要将此网络以这种方式与 Internet 隔离,则确保可靠性的唯一方法是确保没有物理连接。因此,此类网络通常称为“隔离网络”。
还要记住,通过网络传输文件确实存在被入侵的可能性,尽管机会主义攻击的情况很少见;在互联网出现之前,病毒的传播方式大致就是这样的(当然是使用软盘而不是 USB 驱动器)。此外,正是这种机密数据从隔离的 LAN 传输到维基解密的模式,导致您经常会注意到,在具有安全许可的网络中,计算机上的 USB 端口被环氧树脂或热胶填满或被破坏。