内外网两台电脑间如何快速方便传文件

二医院FTP安全交换网关应用场景

一、用户需求

1. 办公网与内网之间需文件隔离交互。

2. 采用U盘拷贝两网的文件，拷贝的文件中可能存在病毒、木马等，将外网的恶意代码扩散到内网的风险。

3. 只可传入院里用到的类型文件，如文档、图片、视音频等。

4. 传入内网的文件需进行病毒查杀。

5. 文件从内网拷出要有记录，事后可查，避免重要文件外流。

6. 每个部门相互独立，又有一个公用的文件夹。

7. 机子多不能每台机子安装客户端，需用标准的FTP直接在地址栏中输入，即可使用。

二、现状

1. 通过对防火墙、网闸穿透，在内网部署一个FTP，实现内外网的文件交互。

2. 整个医院使用同一帐号。

3. 无杀毒、文件类型限制，会传入病毒、木马等危险文件。

三、部署

现摆渡产品，部署在内外网两端，办公网接防火墙至公网。如下图，中间红框设备为摆渡产品。

四、平台功能

1、通过IB通信实现以太网隔离；

2、通过MIME(多用途互联网邮件扩展类型)，进行文件深度检测，实现类型限制。

3、外网使用卡巴斯基，调用命令查杀，内网使用clamav，调用接口查杀。

4、记录用户、IP、时间、目录、文件等信息到日志中。

5、外传的文件会自动备份到指定的目录，避免用户传完文件后，删除文件，无法查证。

6、通过Linux挂载文件fstab，将公用文件挂到每个用户目录下，实现每个部门相互独立，又有一个公用的文件夹。

五、使用

1.用户访问如下

外网通过FTP防问路径为ftp://aaa:aaa@192.168.0.111

内网通过FTP防问路径为ftp://aaa:aaa@192.168.130.247

2.通过添加网络位置,方便使用，如下图中的网络位置，直接打开如本地盘一样。

3.打开网络盘后，如下，gg为公用目录，其它为部门内部目录及文件。

4.各部门配置信息如下：

序号    科室    用户名    密码    路径    备注 

1    安全保卫科    /data/aqbwk  

2    财务科    /data/cwk  

3    党政综合办公室    /data/dzzhbgs  

4    干部保健办公室    /data/gbbjbgs  

5    工会    /data/gh  

6    公共    /data/gg  

7    公共卫生科    /data/ggwsk  

8    后勤保障中心    /data/hqbzzx  

9    护理部    /data/hlb  

10    基建科    /data/jjk  

11    纪委监察室    /data/jwjcs  

12    健康管理中心    /data/jkglzx  

13    健康教育科    /data/jkjyk  

14    科教科    /data/kjk  

15    门诊部    /data/mzb  

16    评审办    /data/psb  

17    签到单模板    /data/qddmb  

18    人事科    /data/rsk  

19    设备科    /data/sbk  

20    社工部    /data/sgk  

21    团委    /data/tw  

22    外网资料    /data/wwzl  

23    信息科    /data/xxk  

24    信息系统问题统计    /data/xxxtwttj  

25    宣传统战部    /data/xctzb  

26    医保（物价）办公室    /data/ybbgs  

27    医共体办公室    /data/ygtbgs  

28    医患沟通办公室    /data/yhgtbgs  

29    医技科室    /data/yjks  

30    医务管理中心    /data/ywglzx  

31    医院发展中心    /data/yyfzzx  

32    医院感染管理科    /data/yygrglk  

33    院领导    /data/yld  

34    质量管理办公室    /data/zlglbgs  

35    住院部    /data/zyb  

管理员人员    /data/  

很多大中型企业都在内部实施了内外网分离，互联网与内网隔离，生产网与办公网隔离，办公网与研发网隔离，以确保企业信息安全。

网络的物理隔离，给数据交换带来很多不便。因此企业在内外隔离的同时，又需要解决跨网文件传输的问题。目前，主要通过以下几种方式实现内外网数据交换：

1、通过移动硬盘在内外网间进行数据拷贝

企业内部，一般对U盘/移动硬盘的使用有所限制，所以一般是指定少数有权限的人，经常是IT部门，负责通过移动硬盘在内外间，按照业务部门的要求，进行数据拷贝。由于数据拷贝是人工完成的，很难对其所拷贝的内容范围进行监管，在这个过程中也更容易出错。

2、通过FTP或网络共享进行内外网文件移动

当企业内外网是通过防火墙等逻辑手段隔离的时候，企业可能架设一个FTP服务器或网络共享，在网络设备中将其设置为例外，以此实现内外网文件移动。不过，通过FTP进行大体量文件上传及下载的时候，经常可能出现错误中断的现象，需要占用人力资源持续跟踪。

3、通过网闸进行网间文件摆渡

一般网闸都会内置文件摆渡同步功能，用户可以设定在内外网指定的存储位置，由网闸实现文件同步。然而，网闸只能解决文件物理位置移动的问题，企业很难具体控制哪些文件可以被同步，哪些人有权限进行操作，同步之后的文件应该如何处理等问题，这种方式并不能完成一个具体业务的完整链条。

4、内外网双企业网盘+网闸摆渡

这种方式实际上是在文件物理移动的基础上，叠加了网盘的文件管理、易于访问等特性，因为要建设两套私有网盘，实施成本也会极大提高。另外，私有网盘一般是面向办公文档类型的数据，往往不具备发送大体量业务数据的传输能力。

5、基于数字包裹的企业内外网文件安全交换

“数字包裹”是飞驰传输提出的创新概念，可以实现全链条、高性能、自动化的跨网双向数据传输。可以支持《计算机信息系统安全保护等级》一级至五级的跨网数据传输安全要求，包括以防火墙、DMZ区为主要隔离手段的中级安全标准、以网闸、光闸、光盘摆渡机等为隔离手段的高级安全标准。

---