邮件系统中的部署

电子邮件是互联网上最受欢迎的功能之一，根据可靠数据统计，世界上平均每人每天收发邮件达五十多封。在现代社会中，人们的工作和生活时刻离不开电子邮件，如何才能有效提高电子邮件系统的网络安全性？采用中网网络安全隔离网闸，利用内外网络物理隔离的网络特性，保护内网中的电子邮件系统。

基于中网网闸的解决方案

电子邮件系统的安全需求，一是要保证邮件服务系统自身服务的安全性；二是要保证电子邮件主体的安全性，既邮件不包含非法脚本及病毒；三是要保证授权用户在发送和接收电子邮件时合法操作的安全性。 　　

中网凭借网络运营和安全服务的多年经验，针对性地提出了下面电子邮件系统内外隔离的解决方案。该方案首先确保内外网隔离，然后保证电子邮件系统内外的隔离，再实现电子邮件与附件的隔离，具有三个隔离的特点。在三隔离条件下，仍然可对交互数据进行协议分析和内容过滤。本方案的特点是电子邮件系统采用中网物理隔离网闸X-GAP 8500来进行内外隔离。

中网物理隔离网闸的部署不仅实现了内外网的隔离，而且实现了内外网邮件的自由收发。在保证内外网完全断开的情况下，通过模拟拷盘的方式来实现文件数据的交换。中网网闸断开了OSI模型的全部七层，剥离了IP协议，剥离了TCP/UDP协议。剥离了应用协议，确保传输的是原始文件，而不是协议和包。由于剥离了协议和包，因此不存在基于TCP/IP协议的攻击；不存在基于由于协议的攻击；由于网络是断开的，不存在基于通信连接的攻击。网络隔离后，中网网闸通过应用的代理和重建机制，实现了内网用户不改变原来使用习惯的前提下自由收发电子邮件。

典型应用举例，见附图1。

1. 网络环境

非可信外网客户机： 202.106.169.20

非可信外网邮件服务器： 202.106.169.19

中网物理隔离网闸外网地址： 202.106.169.18

中网物理隔离网闸内网地址： 192.168.8.200

可信内网邮件服务器： 192.168.8.17

可信内网客户机： 192.168.8.99

2. 中网物理隔离网闸邮件系统隔离交换规则

1.邮件TCP准入规则：

不可信外网，可在隔离条件下访问可信内网邮件系统。

WEBPOST 202.106.169.18:80 -> 192.168.8.17:80

SMTP 202.106.169.18:25 -> 192.168.8.17:25

POP3 202.106.169.18:110 -> 192.168.8.17:110

2.邮件TCP准出规则：

可信内网，可在隔离条件下访问非可信外网邮件系统。

WEBPOST 192.168.8.200:80 -> 202.106.169.19:80

SMTP 192.168.8.200:25 -> 202.106.169.19:25

POP3 192.168.8.200:110 -> 202.106.169.19:110

3. 非可信外网的邮件用户访问可信内网邮件系统，Outlook设置图例

4. 

D.可信内网的邮件用户访问非可信外网的邮件系统, Outlook设置图例

E. 中网物理隔离网闸邮件内容过滤设置

F. 中网物理隔离网闸邮件黑白名单过滤设置