數據中轉服務器的設計與實現

山毓俊 王玥 王軼男

【摘要】 為實現檢測數據在物理隔離的網絡間交換傳輸，本文設計了一套數據中轉服務器，包含硬件配置和軟件代碼設計，相較于市面上的網閘設備，易于部署，安全、性價比高。

【關鍵詞】 數據中轉;物理隔離;涉密網絡;網閘

Abstract： In order to realize the exchange and transmission of test data between physically isolated networks，this paper designs a set of data transfer server， including hardware configuration and software code design. Compared with the gateway equipment on the market，it is easy to deploy，safe and cost-effective.

Key words： data transfer;physical isolation;classified network;gateway

隨著互聯網應用的飛速發展，互聯網給人們的生活帶來了極大的便利。然而互聯網暗藏的風險也如懸在頭頂的利劍，隨時可能帶來致命的傷害。因此，即便是今天，依然有許多涉密單位和網絡，既存在與互聯網交換數據的實際需求，又希望能與互聯網能夠物理隔離。傳統解決的辦法是在兩個網絡之間增加安全網閘。然而，安全網閘本身結構比較復雜，購置成本較高，而且配置部署需要專業人士，安全性甚至由網絡管理員技術水平決定。

本文提出建立個數據中轉服務器，在兩個物理隔離的網絡之間進行數據中轉。并通過程序代碼予以實現。

1 建立中轉服務器

在兩個物理隔離的網絡之間設置一臺普通的計算機作為數據中轉站。該計算機安裝兩個網卡，分別連接兩個網絡。平時兩個網卡均為禁用狀態，連路斷開，兩個網絡與數據中轉站為物理隔離狀態。

數據中轉站中安裝有數據中轉應用服務器，由計劃任務或者其他喚醒程序啟動。運行分三步：

1.開啟源服務器網絡連接，連接源服務器，約定下次通訊的方式（可選），獲取數據;

2.關閉與源服務器網絡的連接，開啟目標服務器網絡連接，向目標服務器寫入數據;

3.關閉與目標服務器網絡的連接，進入緘默模式，等待下一次被喚醒。

2 中轉應用服務器實現代碼

本文的中轉應用服務器實現的功能是定期從內部涉密網絡數據庫讀取預先設定好的可以公開的信息，寫入Internet中的數據庫中。

3 中轉服務器與網閘比較

中轉服務器能夠實現網閘的功能，確保在兩個物理隔離的網絡間就是定期交換預先設定好的數據。其部署過程可以由用戶參與，自行設定交換哪些數據信息。而一旦數據交換完畢，中轉服務器立即斷開物理連接。這種斷開用戶也可以直觀的檢查其工作狀態，也能極大地降低被掃描、入侵的風險。

相比網閘，中轉服務器更易于部署。而且價格比網閘便宜多了。一臺當下最普通的個人電腦，可以作為工作站，再安裝一個如前文所提及的幾十K字節的中轉服務器小程序即可工作。

【參考文獻】

[1] 騰訊科技（深圳）有限公司.一種數據處理方法和數據中轉站：CN201810213702.6[P].2019-10-08.

[2] 網宿科技股份有限公司.一種數據傳輸方法、中轉服務器及接入網點服務器：CN201910251968.4[P].2019-07-23.

[3] 廖光忠，劉思遠.基于Socks5代理的FTD協議網閘研究與設計[J].計算機與數字工程，2019（10）：2613-2616+2626.

[4] 高小清.基于網閘的內外網安全交互設計與實現[J].廣播電視信息，2019（8）：74-76.

[5] Anonymous.VASCO Data Security aXsGUARD Gatekeeper[J].SC Magazine，2013（3）.

【作者簡介】

山毓俊（1978-），男，高級工程師，碩士，研究方向為信息技術、包括自動化檢測、圖像模擬、圖像識別。

王玥（1983-），女，高級工程師，碩士，研究方向為通信與信息系統。

王軼男（1992-），女，助理工程師，學士，研究方向為質量管理，計算機通訊。