网络隔离开源方案（单向数据导入模式）

建设注意事项：隔离网络建设的过程中，注意要把涉密的服务器全部迁移到隔离网络，以方便策略的实施。

隔离网络逻辑设计

单向交换服务器设计和管理

设计思想：

隔离网络不能把信息发送到非隔离网络，防止信息泄露。而非隔离网络可以把信息发送到隔离网络。

实现原理：

         利用FTP服务器账号的读写控制功能来达到访问控制的目的。非隔离网络登录的账号可写可读。用于发数据发送到中转服务器。隔离网络登录的账号不可写，仅可读。从而达到数据单向导入的效果。

单向信息交换服务器结构：

数据单向导入流程（默认仅允许从非隔离网络导入隔离网络）：

1）用户把文件复制到wan.ftp.oa.com

2）隔离网络内的机器登录lan.ftp.oa.com

3）读取/下载lan.ftp.oa.com上的文件

数据脱密流程：

1） 走数据脱密流程（提供文件url）

2） 管理员登录lan.ftp.oa.com，下载相关的脱密文件

3） 发送给指定对象/位置

优化措施：

加增域名A记录wan.ftp.oa.com（非隔离网络FTP）和lan.ftp.oa.com（隔离网络FTP）