内外网物理隔离环境下的邮件系统方案

b.s.d

内外网物理隔离环境下的邮件系统方案

一.        背景
随着企业、行业信息化的深入，随着各地“电子政府”项目的投入力度不断加大，许多单位出现两套网络系统：一套是基于原来的比较分散的局域网连接、扩充而成的企业内部网（intranet ），构成内部网共享、协作、办公平台和业务应用子系统运行平台；一套是基于互联网的外部网（extranet），主要用于信息收集、网站发布、电子邮件等，同时完成与外单位或行业内其他兄弟单位的业务协作和数据交换。
出于安全考虑，现在很少有单位将内网和外网直接连接。一般的做法是在网关处设置防火墙，内部网主机通过NAT或应用代理访问互联网。但是对安全性要求极高的单位，如政府机关、军区部队、金融证券等单位，一般要求内网与外网实现物理隔离。
在物理隔离的情况下，一般的业务，可以通过磁盘、磁带、CD-R（W）等磁、光媒质定期完成数据交换，但对于电子邮件来说，实时性比较强，用这种方式，显然失去电子邮件的意义。
有没有一种两全其美的办法呢？
春笛公司在长期的电子邮件系统实施过程中，逐渐摸索出一套比较成熟的方案，采用这些方案，不需要改动原来的网络环境，不需要增加额外投入，就可以实现内外部邮件系统可靠地、实时地互通互发，同时保证内网的网络安全。

二.        几种可行方案
一般说来，安全级别最高的方式有：网卡软开关、堡垒主机、UUCP协议点对点通讯。安全级别较高的方式有：PPP协议或TCP/IP协议下的定时同步。
        假设企业的网络环境如下：




1.        堡垒主机网卡软开关方式
堡垒主机只设置一块网卡，如果绑定外部网址，则与外部邮件服务器联通；如果绑定内部网址，则和内部邮件服务器联通。同一时刻，不可能与内外网同时连接。通过定时修改IP地址，可在堡垒主机的硬盘上完成内外部邮件数据的交换。

步骤        第1步        第2步        第3步        第4步        第5步
时间片        上午10:00        上午10:15        上午10:30        上午10:45        上午11:00
定时器触发动作        主机地址
202.106.12.3        从外部邮件服务器下载新邮件        地址改为
192.168.0.3        将新邮件转发到内部邮件服务器        回到第一步

        优缺点：实现方式简单，不需要有大的硬件投入；缺点是实时性依赖于同步时间，
如果有大量的新邮件，同步时间要加长，实效性差一些。
        如果感兴趣，请致电春笛公司技术部，索取详细资料和同步程序。

2.        内外部邮件服务器点对点通讯UUCP方式

内部邮件服务器                                   外部邮件服务器










        用电话线将内外部邮件服务器的串口连接起来，通过UUCP协议进行内外部邮件服务器的数据同步。UUCP连接的一个很好的特性是本地邮件服务器从不连接internet. 对于PPP 或 Tcp/IP会话，本地邮件服务器成为网络上的一个节点，能够被远程internet客户端连接到。这可能使一些高级黑客连接到你的邮件服务器。

3.        内外部邮件服务器点对点通讯：PPP方式

内部邮件服务器                                   外部邮件服务器











实现方法：
（1）        下载serialmail (http://cr.yp.to/serialmail.html)
（2）        # tar xvzf serialmail-0.75.tar.gz
# make
# make setup check
        maildirserial : 从远程邮件服务器读取邮件
        Serialsmtp: 从标准输入读取邮件，发给本地邮件服务器。
        Maildirsmtp: 将本地的邮件传给远程服务器。


二.        结论
在物理隔离状态下邮件系统收发的方式方法有很多，各有利弊，可以根据自己的实际情况取舍。没有最适合您的产品，只有最适合您的方案。
三.        春笛公司的建议
邮件系统日益成为一种重要的通讯手段，在给您带来无比方便的同时，不要忽略邮件系统的安全防范。春笛公司是一家专业提供邮件系统产品、技术、方案的IT厂商，可以为您度身订制邮件系统方案。