一方向ネットワーク接続

私は非常に偏執的なクライアントを持ち、別々のPCなどで2つの別々のネットワーク（1つはオフライン、1つはオンライン）を実行しています。

オフラインネットワークで実行するアプリケーションを作成しましたが、ネットワークはクライアントに電子メールを送信できる必要があります。私のアイデアは、電子メールを送信するオフラインサーバーからオンラインPCへの一方向のネットワーク接続（ダイオードなど）を持つことです。

これについて最も効果的な方法は何ですか？一方向のネットワークカードを入手できますか？

Windows Server 2008ネットワーク、Windows PC。

基本的には、2つの間に非常に厳密なルール（基本的に「すべて拒否」ルールと呼ばれるルール）を備えたファイアウォールが必要です。その後、必要なものに対して単一の単一方向のポイントツーポイントルールを許可します。これはセキュリティ/ネットワーク担当者にとっては簡単であり、クライアントにとっては満足できるはずです。

私は彼らを偏執狂とは呼べません。私は彼らの安全に対する態度を称賛します。

別々のネットワークの問題に直面した場合、おそらくファイアウォールのインストールの問題にも直面しているでしょう。ポート25のトラフィックがオフラインネットワークの特定のIPアドレスからオンラインネットワークの特定のIPアドレスにのみ通過できるようにするファイアウォールの小さな穴は、このトリックを完璧に行う必要があります。

セキュリティで保護されたサーバーではGNDとTX、セキュリティで保護されていないネットワークではGNSとRXのみを持つシリアルリンクを使用します。安全でないネットワークから安全なネットワークに情報を漏洩するために使用できるため、フロー制御はありません。

2つのデーモンで構成される小さなSMTP-UDP-SMTPプロキシを作成します。SMTP2UDPおよびUDP2SMTP。

SMTP2UDPは、セキュリティで保護されたネットワークで実行され、シリアルリンクでUDPを使用して送信される電子メールを受け入れる非準拠のMTAです。

UDP2SMTPは、セキュリティで保護されていないネットワーク上で実行され、UDPを介して電子メールを受け入れ、実際のMTAに送信します。

シリアルリンクでは、必要に応じてフォトカプラを使用してダイオードを使用します。

レターの要件を実装する場合は、UDP（または同様の単​​方向プロトコル）経由で電子メールを送信する一方向IPリンクを使用して、これらのパケットをリッスンし、SMTP経由で送信するカスタムデーモンを使用できます。意図した受信者。

もちろん、送信（オフライン）システムには、実際に送信されたかどうかはわかりません。この確認を行うには、BenとChopper3が答えたように、最小限のファイアウォール設定が必要です。

TCPプロトコルには双方向通信が必要です。この設定は、DMZ設計に似ており、信頼できるイントラネットでアプリを実行し、信頼できないDMZゾーンにメールサーバーや受信者が存在します。

適切に構成されたファイアウォールは、信頼できるイントラネットからの接続のみを許可し、その逆は許可しません。それだけでは不十分な場合、2つのネットワーク間の物理的な接続がクライアントを満足させるとは思えません。つまり、自動的にメールを送信することはできません。

ネットワークを分離するためにこの程度まで進んだ場合、ここに2つのファイアウォールがあり、中央にメールが有効なボックスがあります。オフライン側では、このボックスへの接続のみを許可し、カスタムアプリ経由で送信するメッセージをダンプします。オンライン側では、メールサーバーへのsmtp接続のみを許可します。

各インターフェイスで実行されるソフトウェアファイアウォールを備えた単一のデュアルホームボックスで同じ費用対効果を実現できますが、分離することでいくつかの追加の保護層が作成され、望ましいでしょう。

内部サーバーと外部サーバーの2つのメールサーバーだけが必要です。サーバーが継続的に送信メールをファイルに追加し、頻繁にファイルの名前を変更し、USBキーにコピーして、他のサーバーの受信フォルダーにドロップします。これは、ネットワークサーバーでエアギャップを実行するインストールの数です。

遅すぎることが重要すぎる場合は、外部クライアントの1つから送信できます。