单向网络连接

我有一个非常偏执的客户端，它使用单独的PC等运行两个单独的网络（一个脱机，一个在线）。

我面临的挑战是，我已经为他们编写了一个可以在脱机网络上运行的应用程序，但是该网络需要能够向客户端发送电子邮件。我的想法是建立一种从脱机服务器到在线PC的单向网络连接（如二极管），该PC将发送电子邮件。

半成本有效的最有效的解决方法是什么？我可以单向获取网卡吗？

Windows Server 2008网络，Windows PC。

基本上，您只需要在两者之间设置严格规则的防火墙，基本上就是所谓的“全部拒绝”规则，然后只允许一个单向点指向您需要的单端口传出规则即可。这对于安全/网络人员来说很容易，并且应该对您的客户满意。

我不会完全称他们为偏执狂，我赞扬他们对安全的态度。

如果他们遇到了单独网络的麻烦，那么他们可能也遇到了安装防火墙的麻烦。防火墙上的一个小孔仅允许端口25上的流量从脱机网络中的特定IP地址传递到在线网络中的特定IP地址，应该可以很好地解决这一问题。

我使用的串行链路在受保护的服务器上只有GND和TX，在不安全的网络上只有GNS和RX。没有流量控制，因为它可以用于将信息从不安全的网络泄漏到安全的网络。

我将创建一个由2个守护程序组成的小型SMTP-UDP-SMTP代理。SMTP2UDP和UDP2SMTP。

SMTP2UDP将是不兼容的MTA，它将在安全网络上运行并接受将在串行链接上使用UDP发送的电子邮件。

UDP2SMTP将在不安全的网络上运行，并通过UDP接收电子邮件并将其发送到真实的MTA。

在串行链路上，我将使用光耦合器来满足要求。

如果您想实现这封信的要求，则可以使用单向IP链接，该链接通过UDP（或类似的单向协议）将其电子邮件发送到自定义守护程序，该守护程序侦听这些数据包并通过SMTP发送到预期的收件人。

当然，发送（脱机）系统实际上不知道是否出去也不知道。为使此确认发生，您需要最小的防火墙设置，因为Ben和Chopper3已回答。

TCP协议需要双向通信。此设置听起来与DMZ设计类似，在该设计中，您的应用程序在受信任的Intranet中运行，邮件服务器和/或收件人位于不受信任的DMZ区域中。

配置良好的防火墙将只能允许从受信任的Intranet发起连接，而不能相反。如果这还不够的话，我怀疑这两个网络之间的任何物理连接都可以满足您的客户端的需求，这意味着您将无法自动发送邮件。

如果他们已经达到分隔网络的程度，则这里应该有两个防火墙，中间有一个启用邮件的框。在离线方面，仅允许连接到此框转储通过自定义应用发送的消息。在联机方面，仅允许smtp连接到邮件服务器。

您可以使用一个双宿主盒子，在每个接口上运行软件防火墙，以非常经济有效的方式进行同样的操作，但是将它们隔离开会创建多个附加保护层，因此是更好的选择。

我将只有两个邮件服务器，一个内部和一个外部。让服务器不断将传出的电子邮件追加到文件中，并且每隔一段时间就要重命名该文件，将其复制到USB密钥上，然后将其放入另一台服务器的传入文件夹中。这就是有多少安装会在网络服务器中造成气隙。

如果延迟太重要，可以从外部客户端之一发送。