内外网隔离条件下如何实现邮件转发

杨杰

摘 要：文章将详细分析内外网隔离技术的原理、主要功能及特点，还提出了内外网隔离状态下的办公解决方案。

关键词：内网；外网；邮件转发；办公解决方案

1 概述

信息化发展的速度越来越快，计算机网络技术也得到越来越广泛地应用。如今，计算机网络技术需要进行安全维护的重点和难点是网络基础建设。现在很多的企业、学校都拥有了自己内部的网络，而这种内网是进行内部的信息共享及传输的专用网络，它能够提供办公自动化、内部运行管理系统、在线教育等应用的基础网络环境。内网的设置大大地提高了工作人员的办公效率，同时，还实现了信息的实时传输，例如邮件的转发。

2 内外网隔离技术的原理及其主要功能

2.1 基本原理

有线网广泛地运用了双网隔离技术，而这种技术可以解决公安、金融、电子政务系统等有关专用网络与公共网络相互转换的问题。

内外网隔离技术的基本原理是通过将不同网络的通用协议的连接截断，分解外网的IP数据包后，再对其进行重组，从而构成静态数据包。内外网隔离技术还需要检查静态数据包的安全性，其中，包括检查各个网络协议以及扫描代码进等具体步骤。该技术最后一步是在确认静态数据的安全后，将IP数据包传送到内网，其中，内网（专用网）的用户必须通过身份验证才能得到所需数据。

公用网络是通过像隔离网闸此类的网络隔离设备，连接专用网络。隔离网闸将先按照TCP/IP协议将由公用网络传送的IP数据包全部剥离出去，再将原始数据包放入存储的介质中，最后通过“摆渡”将这些数据传送到内部的主机系统中，以达到实现信息的交换的目的。“摆渡”指的是在任何时候，隔离网闸只能和一个网络的主机进行非TCP/IP协议的数据连接的建立，也就是说，当隔离网闸与外部的主机连接时，它就必须断开与内部主机的连接；反之，当隔离网闸与内部主机相连接时，就必须断开与外部主机的连接，必须确保专用网络、公用网络不能同时连接在隔离网闸上。数据“摆渡”的机制将实现原始数据在存储介质中的存储和转发。

在网络的第七层中，隔离网闸将IP数据包转换成原始数据后，通过“摆渡文件”来传送原始数据。同时，隔离网闸不允许通过任何形式的信息传输命令、数据包，甚至TCP/IP协议。

2.2 简述双网隔离技术的功能

内外网隔离技术解决的主要问题是专用网和公用网之间的数据交换，从内外网共享的数据类型以及速度的需要出发，总结了几个内外网隔离技术的功能。

能够进行文件交换，就是说，用户不仅可以在专用网络的服务器上进行实时或是定时的单向或者双向的文件隔离交换，还可以在公用网络的服务器上进行这些操作。能够进行邮件交换。因为内外网的邮件服务器之间进行了邮件隔离交换，所以用户可以安全地收发邮件。能够进行安全浏览，并且支持非透明以及透明模式的安全上网。还有就是能够防护病毒。该技术可以检查交换的数据中是否存在病毒，从而及时防止用户遭受未知或者已知病毒的攻击。能够通过用户名、口令等对用户进行身份验证。

3 内外网隔离状态下的办公解决方案

3.1 安全接入体系

终端加固指的是通过设置硬件密码来对终端的安全进行加固，从而更加安全地控制终端计算的环境、网络访问以及信息资源。信道加密则是指采用加密算法对从移动终端传送到安全隔离区端（或者反向）的通信数据进行加密，以此来确保在传输过程中专用网的数据以及信息能够保持它们的完整性以及机密性，同时，该加密信道应该是建立在通信运营商提供的VPN专线中的。安全隔离区与移动终端接入的不同设备之间的双向身份认证是通过认证接入来实现的，只有合法的身份证书才能通过身份验证，并且将移动终端接入安全隔离区中。访问控制则是控制只有已授权的移动终端才能访问专用网的数据信息资源，除此之外，还必须阻断可能出现的异常访问。网闸隔离非常好地实现了专用网与公用网之间的隔离，对内网中输入、输出的信息、数据进行协议剥夺和内容过滤。

双网隔离技术中对安全性不同的网络之间进行数据交换，采用的是专用安全协议、通信硬件、加密验证机制及提取、鉴别和认证应用层数据的技术，以此来阻断专用网和公用网之间的直接网络协议连接，除此之外，对内外网之间的通信设置了严格的内容过滤、身份验证、安全审计等等的安全防护机制，以确保内外网数据交换的安全性和可控性，同时，避免出现因操作系统和网络协议自身的漏洞携带来的风险。

3.2 采用虚拟专用网络技术解决双网隔离下的邮件转发

3.2.1 虚拟专用网络

在公用网络上创建专用网络的技术就是虚拟专用网络（Virtual Private Network，简称VPN）技术。具体来说，VPN实际上是远程访问技术，在公用网络的传输链路上创建专用网络。一个机构要构建自己的VPN就必须为它的每一个场所购买专门的硬件和软件，并进行配置，使每一个场所的VPN系统都知道其他场所的地址。

VPN是通过IP隧道技术实现的。IP隧道技术就是先对专用网不同网点之间需要传送的内部数据报加密后，再通过因特网的隧道，最后将数据报传送到目的网点。

3.2.2 具体实例

随着科技的发展，VPN的技术也日渐成熟，同时还发展了更多的种类。因此，我们可以从实际需求出发，利用SSL VPN来实现双网隔离状态下的移动办公。如果用户采用SSL VPN发布一些应用，就能避免专用网服务器直接连接在公用网上可能会产生的风险。如果外出时，用户需要连接公司内部的专用网络，可以直接通过浏览器打开网页完成SSL VPN的登录，同时建立起相应的安全隧道。这些操作就和登录网银、支付宝一样特别容易上手。因为SSL协议在网络协议中的安全等级较高，所以现在的网上银行一般都是采用 SSL协议对数据传输的安全进行保护，同时，采用标准的AES、RC4等加密算法来加密数据的传输过程和内容，提高了数据传输的安全性。

3.3 移动办公网络组网方案

从移动办公安全体系架构出发，建立一个以内外网隔离技术为基础的端到端的移动办公解决方案。该方案中将办公网络分为3个部分，分别为外网、内网、安全隔离区。

整个隔离区设置了IPS、审计安全、评估鉴别、身份认证等有关的安全防护措施，并且，连接移动终端与专用网之前需要防护相应的安全。除此之外，网络隔离技术的相关设备已经从物理链路上断开了专用网和公用网之间的直接连接。因此，网络隔离区足够解决有关移动办公的安全问题，也能保证内网的信息资源遭到非法窃取。

4 结束语

进入21世纪以来，计算机网路技术一直在迅猛发展，并且滲透到社会的各个行业。为了确保企业的应用系统能够正常、安全地运行，企业内部的信息资源不被泄露，也为了避免遭受外网对企业内部网络的攻击，必须采用内外网隔离技术。而在内网隔离状态下，引入VPN或者采用移动办公网络组网的方案都可以使得办公的数据、信息能够安全地传递。

参考文献

[1]王明刚，赵军.浅析内外网隔离方案[J].传输网络，2009（04）：108-110.

[2]孙庆和，刘道群.网络隔离技术在3G移动办公中的应用探讨[J].计算机科学，2013（06）：381-383.