大家幫我看下我這個內外網隔離,檔案只進不出單向傳輸的方案是否可靠?
這是一個單向網閘:
要求是內外網隔離,檔案只進不出單向傳輸:
我的方案:
內網用一個內網前置機,外網用一個外網前置機。
內網前置機和外網前置機都放在機房,機柜,密封鎖起來。
內網前置機和外網前置機之間放單向網卡,保證物理層、資料層和網路層都是單向的。
自己寫一個基于UDP的檔案單向傳輸,沒有握手信號和反饋機制,所有完全是單向的資料。
----------
大家看靠譜不靠譜?
謝謝!
uj5u.com熱心網友回復:
UDP沒有握手如果你的檔案傳輸程序都是在你的程式里進行的,那就封掉所有埠,只留你的程式需要用的放行,然后設定一個“角色”(內網,外網),通信的時候在程式里控制允許不允許就行
uj5u.com熱心網友回復:
就怕這兩個前置機被人攻破(內網前置機 被 從內網攻破, 外網前置機被從外網攻破)。有沒有什么好的防范措施?
uj5u.com熱心網友回復:
你現在的問題是需求沒有梳理清楚,建議你再重新分解一下需求——不是告訴我,是你在自己的腦子里過一遍完整的流程,每一個細節都深入分析一下,分析完以后,把它寫出來,可以讓大家對這個經過認真分析的方案提建議。比如:有沒有外網前置機,區別在哪?
也就是說檔案通過外網到外網前置再經過防火墻到內網前置,和檔案直接經過防火墻到內網前置有什么不一樣的地方?
另外,檔案到了內網前置機后,怎么去使用這個檔案,這個檔案會從內網前置上流向哪兒?或者說這個檔案只在內網前置上處理,處理完不會再動?
你的通信是怎么進行的?外網機器到外網前置機,外網前置到內網前置,內網前置再到后面的機器,在這些程序中,是你自己寫的軟體來處理?還是用了標準協議?
uj5u.com熱心網友回復:
你的需求大概有兩部分:服務器安全,通信安全uj5u.com熱心網友回復:
有沒有外網前置機,區別在哪?我們是分內網機和外網機的。員工同時擁有內網機和外網機。外網機用于上網搜集資料。內網機用于作業(軟體開發)。
外網前置機的用處是把外網機搜集的資料傳到外網前置機。
內網前置機的用處是待外網前置機的資料單向傳入內網前置機之后。內網機可以去取資料。
內網前置機和外網前置機都密閉于機房中。
內網前置機和外網前置機加上通訊軟體,合起來,就是一個單向網閘,網路隔離帶。
這個通訊軟體如果用現成的單向檔案同步軟體,不知道會不會不安全。
這個“內網前置機和外網前置機加上通訊軟體” 如何才能不被攻破?
uj5u.com熱心網友回復:
取消外網前置機看資料怎么分類,是每個人有自己的上傳目錄還是所有人共用一個上傳目錄
在內網前置機上共享出上傳目錄(每個人或者所有人的),設定這個共享目錄的NTFS權限:只允許創建檔案和創建檔案夾。這樣的話,這個共享檔案夾就只能往里傳東西,不能打開,不能查看檔案串列,不能修改。
如果一定要用現在的結構,那就只需要屏蔽外網前置機所有埠,和內網前置機所有埠,打開內網前置機接收檔案的偵聽埠就可以。
uj5u.com熱心網友回復:
各人分開檔案夾。取消外網前置機,只依靠內網前置機,就少了一重隔離。實際上外網和內網就通了。
而我現在的結構,至少只要“隔離帶”設計合理,應該只是“單向導通”的。
uj5u.com熱心網友回復:
防火墻可以進行屏蔽,做策略,除了檔案共享埠,其它埠一律屏蔽,類似的,也可以用FTP來實作只能上傳不能讀取檔案夾的需求你現在的結構沒有問題,只是多了個可有可無的前置機,你要做的仍然是在防火墻上兩個方向上屏蔽所有埠,開通外網前置機到內網前置機方向的接收檔案的偵聽埠就可以。
uj5u.com熱心網友回復:
但這樣網路物理上還是通的呀。如果防火墻被攻破怎么辦?還請推薦一個靠譜的防火墻。多謝啊!
uj5u.com熱心網友回復:
我們公司就是這么做的,不過性能很難保證,又要不丟包,又要傳的快,還要對資料做封裝,不好做轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/130695.html
標籤:安全技術/病毒
上一篇:雙網卡上網
下一篇:centos7安裝死機問題