大型通信工程集团的内外网隔离方案
国内从事通信工程的大型企业,都是集信息技术产品的研究开发和产业化、通信工程的勘察设计、施工建设、监理咨询等服务为一体的高科技企业。对于这类集研究开发和工程建设一体的高科技企业而言,企业内的核心技术和科技成果创新是其立足市场和扩展未来的根本,因此在整个邮件系统项目中,实现对数据传送的严密保护就成为项目实施的首要条件,也是最重要的条件。
大型通信工程集团都拥有自己的研发团队,企业内部的核心技术和产品就是公司生存的根本。因此,在邮件系统项目上,对数据信息的传递就有严格的要求。
根据办公和业务需要,整个公司的网络划分为内网和外网,其中研发团队处于内部网络,外网用户能正常收发邮件,内部网络用户也能对外网进行正常收发,但内部网络与互联网是不可以直接通信的。特别是外网在受到病毒或者黑客攻击时,要能及时断开内网和外网的联系,保证内部网络数据的绝对安全。
从系统需求中看出,整个项目都是围绕着对内网数据的安全通讯来设置。根据这类企业的需求,TurboMail邮件系统提出了内外网隔离方案,一方面可以彻底保护内网的数据安全,另一方面保证了外网的正常邮件收发,同时实现了内外网信息的安全传递。在这个方案中,利用企业本身具备的网闸设备,实现物理隔离。
该内外网隔离方案采取物理隔离的方式,需要两台服务器和一个网闸。方案中,在内部研发网络建立一个内部邮件服务器,在办公网络上建立一个外网邮件服务器,并通过网闸设备将内部研发网络与办公网络进行物理隔离,同时在网闸设备上安装一个TurboMail网关进行邮件的转发,以保证内网与外网的信息互通。
借助网闸设备实现物理隔离。在网闸设备上做了切换IP的限制,设置每五分钟连接一个网络,即同一时间只能和一个网络连通,和另一个网络是断开状态,实现了在能够访问内网的情况下不能访问外网,在能够访问外网的情况下不能访问内网的功能。当企业网络受到病毒或者黑客恶意攻击时,网闸能够迅速的断开和外网的联系,保护内部网络的数据安全。
普通的内外网隔离方案普遍采取逻辑隔离的方式,即同一时间可以和两个网络互通,不需要借助网闸设备,只需要两台服务器就可以完成搭建。具体的方式,还是要根据企业的实际需求来决定采取何种方式实现内外网隔离。
内网用户外发邮件时,在内网与网闸互通的时候将邮件投递到网闸的TurboMail邮件网关上,当网闸执行ip切换后,网闸就和内部网络断开,同时与外部网络连通,此时网闸上的TurboMail网关再将邮件投递到外网TurboMail邮件系统上,最后通过外网TurboMail邮件系统投递出去。外网发邮件给内网用户,路径刚好和内网发往外网的路径相反。当研发团队员工在家或者出差时,使用外网收发邮件,通过“外网邮件系统→网关→内网邮件系统”的路径到达内网。
在整个收发过程中,网闸上的TurboMail邮件网关起着非常重要的中转站地位,通过设置邮件系统的过滤器,把符合条件的外网邮件投递到内网邮件系统,同样的,也把内网需要外发的邮件投递到外网邮件系统上,整个过程不需要一条条的设置转发规则,实现内网邮件系统和外网邮件系统的互通。