专利名称:复合结构层次化分区式信息网络装置的制作方法
技术领域:
本实用新型涉及一种第二代的信息网络装置,尤其是一种在网络安全上采用复合结构的防火墙体系、在信息传递和共享上将信息等级化、在系统结构上采用层次化和分区隔离的,集网络安全防护系、网络信息共享系、网络通讯三大功能为一体的,面向信息的等级化分级共享的新型网络装置。
背景技术:
人类对于信息的共享早期是通过语言。而后随着人类文明的发展出现了纸和笔,于是通过笔将信息记录在纸上加以保存或传递成为人类另一种有力的信息存储和共享方式。
现代计算机和网络的出现使人类对信息的记录、存储、共享产生了革命性的变革。然而相对于延续了数千年的使用纸和笔来记录信息、通过传递来共享信息的传统方式,这种革命是非常年轻的。正因如此,新的挑战,特别是在信息的共享上,也就不期而至。
局域网的出现解决了人们在一个区域内的信息交换问题。防火墙的出现保证了信息的不受侵犯。然而信息不仅是私有的,更重要的是自古以来信息是有等级的!传统的局域网只解决了信息在不同计算机之间的交换,但无法区分也无法识别信息的级别。虚拟局域网技术(VLAN)虽然可以将一个物理的局域网分割成若干个虚拟的局域子网,将不同级别的信息限制在特定的局域子网内,但由于这些局域子网之间是互不相通的,因此无法实现信息共享。虚拟私有网络技术(VPN)虽然解决构筑若干个相通但又相互隔离的私有网络的问题,但成本过于昂贵且设置复杂,一般仅适用于对跨区域局域通讯的整体保护,而无法用以在一个局域网内部构造大量的子网。而另一方面,传统的防火墙只能防止网络外部的攻击而对来自于网络内部的威胁则无能为力,同时,传统的防火墙虽然能够区分不同的应用服务,但同样无法区分和识别不同级别的信息。
目前在局域网络的建设上,网络的通讯和网络的防护属于二个不同的范畴,采用二种不同的设备。习惯上的做法是由网络工程师根据用户的具体要求,采用各种相关的技术,诸如局域网技术、VLAN技术、VPN技术、防火墙技术等,来专门设计一个网络系统。这样的方法虽然满足了用户的具体需求,但存在以下二大问题1)系统往往庞大而复杂且成本高昂。这种非产品化的系统不仅安装调试困难和耗费时日,同时也给用户在日后的维护中带来巨大困难;2)人类基于纸和笔的信息制作和共享有着数千年的历史,在长期的实践中,人们总结出了一套完整和行之有效的信息共享制度,但与此相比,网络化的信息共享目前缺乏相应的信息共享机制。鉴于不同的网络工程师在技术水平上和设计风格上有着不同程度上的差异,因此所设计出来的网络也不尽相同。这种不规范的设计使得不同的网络系统之间的不同等级的信息共享难以兼容,结果是信息共享只能被局限在一个局部区域内。
简而言之,从网络发展的角度来说,现在有互联网(Internet),内联网(Intranet)和局域网(LAN)。而从政府和企业的日常运行机制来说,有按行业而分的办用办公网络,有一般内部办公的普通办公网络,有负责公文/各种资料的发行、流转、控制、管理的机要办公网络,有供领导决策、沟通涌的设密办公网络。如何将这二种属于不同的范畴的东西有机地融合在一起,目前的网络结构为能提供有效的解决方案。
为了解决以上问题,复合结构层次化分区式信息网络装置提出了二大设想1)建立一个等级化的信息共享模型,将信息等级化并加以一定程度的隔离;2)在一定程度上规范网络设计,建立一个层次化分区式的网络结构。同时,将网络的通讯、防护、信息共享三大功能融于一体,并把着重点从网络通讯移到了信息的层次化分级共享。
实用新型内容本实用新型的目的是提供一种新型的,集合了网络安全防护体系、网络信息共享体系、网络通讯体系三者为一体的,以等级化的信息分级共享为主要目标、采用复合结构层次化分区式结构的集成化信息共享网络装置。这种装置包含了二个方面的关键内容;1)等级化的信息共享模型;2)包括复合结构的网络安全防护体系在内的层次化分区式的网络结构。同时,整个装置采用一体化的模块结构设计,而非由多个分散的分立式网络设备组成。此外,整个系统和端口均是预定义的,用户只需在预先定义好的端口上接入相应的设备即可,是典型的“傻瓜型网络”,而非如传统的网络设备那样由用户去自行配置系统和定义端口的用途。
等级化信息共享模型将信息分成六个等级的层次,(1)互联网(Internet)信息(最低等级);(2)内联网(Intranet)信息;(3)内部局域网信息;(4)专网信息;(5)机要信息;(6)内部涉密信息(最高等级)。
信息只有在同等级别上才能实现双向交换。
高等级的信息可以单向共享低等级的信息。
机要信息和专网信息只能在垂直方向上实现同种机要网和同种专网内的共享。
局域网信息只能在整个局域网内实现横向共享。
涉密网信息只能在涉密网内共享。
层次化分区式网络结构层次化分区隔离。根据信息的等级次序建立相应的六个层次的网络。这六个层次分别是(1)互联网信息共享层;(2)内联网信息共享层;(3)局域网信息共享层;(4)专网信息共享层;(5)机要信息共享层;(6)涉密信息层。
除涉密信息层外,每个层次的网络内有一个与外部用户用于信息共享的缓冲区(DMZ)。共有5种缓冲区,分别是物理的互联网信息共享缓冲区,物理的内联网信息共享缓冲区,虚拟的局域网信息共享缓冲区、虚拟的机要网信息共享缓冲区,逻辑隔离专网虚拟的信息共享缓冲区。
每个信息层外的用户只能访问缓冲区内的信息,不能访问信息层内网络上的其它信息。
同一层次的网络内又可以分为若干个有独立防护的区域,每一个这样的区域之间也可以进行逻辑隔离。
层次化分区式网络结构同时还具有构成复合结构安全防护体系的能力整个网络采用梯次配备大纵深复合结构的防火墙体系。整个体系的防护梯次依次有前沿防护、VPN加密、纵深防护1、纵深防护2、分区防护和逻辑隔离。其中前沿防护用于对互联网信息共享层的保护,VPN加密用于对通过互联网的内联网信息共享、机要信息共享、专网信息共享加以保护,纵深防护1用于对机要网信息共享层、局域网信息共享层的保护,纵深防护2用于对内部涉密信息层和内部办公网络的保护,分区防护用户于对单个的专网信息共享层的保护,逻辑隔离用于对不同的专网进行逻辑隔离。
整个装置由若干个具有防火墙和路由交换功能的复合防护模块和具有VLAN能力的逻辑隔离模块组成,其中复合防护模块还可以选择具有VPN加密功能。每个复合防护模块可以有1到2个外部接口(WAN口)和4到24个内部接口(LAN口),每个逻辑隔离模块可以有1到2个外部接口(Up Link)和多个内部接口(LAN口)。
这些复合防护模块和逻辑隔离模块分别是前沿防护层复合防护模块,可缺省的VPN加密层复合防护模块,3个纵深防护层1复合防护模块,3个纵深防护层2复合防护模块,可缺省的逻辑隔离层逻辑隔离模块,若干个可缺省的分区防护层复合防护模块,共同构成了层次化分区式网络结构。其中
1)1个前沿防护层复合防护模块构成了互联网访问的数据缓冲区(DMZ)和对来自于互联网威胁的防护,该模块的外部接口与互联网相连,内部接口与VPN加密层复合防护模块的外部接口和外部的互联网访问服务器相连;2)1个VPN加密层复合防护模块构成了内联网访问的数据缓冲区(DMZ)和对来自于互联网和内联网威胁的防护,该模块有二个外部接口,分别与内联网和前沿防护层复合防护模块的内部接口相连,内部接口则与分别与三个纵深防护层1复合防护模块的外部接口和外部的内联网访问服务器相连;3)1个逻辑隔离层逻辑隔离模块和1~24个分区防护层复合防护模块构成了1~24个专网访问的数据缓冲区(DMZ)和内部专网办公网络,同时提供了对来自于互联网、内联网、专网的威胁的防护,该模块的外部接口与第一个纵深防护层1复合防护模块的内部接口相连,而内部接口则与1~24个分区防护层复合防护模块的外部接口相连;4)第一个纵深防护层1复合防护模块构成了内部局域网访问的数据缓冲区(DMZ)并连接原有局域网络,同时提供了对来自于互联网、内联网、内部局域网的威胁的防护,该模块的外部接口与VPN加密层复合防护模块的内部接口相连,而内部接口则与外接的内部局域网、内部局域网信息共享服务器、逻辑隔离层逻辑隔离模块的外部接口和第一个纵深防护层2复合防护模块的外部接口相连。第二、第三个纵深防护层1复合防护模块分别构成了机要网访问的数据缓冲区(DMZ)和内部机要办公网络,同时提供了对来自于互联网、内联网、专网、机要网的威胁的防护,该模块的外部接口与VPN加密层复合防护模块的内部接口相连,而内部接口则分别与外接的内部机要办公网络和第二、第三个纵深防护层2复合防护模块的外部接口和机要办公网络相连。
5)第一个纵深防护层2复合防护模块构成了内部普通办公网络,同时提供了对来自于互联网、内联网、内部局域网、专网的威胁的防护,该模块的外部接口与第一个纵深防护层2复合防护模块的内部接口相连,而内部接口则与外接的内部普通办公网络相连。第二、第三个纵深防护层2复合防护模块分别构成了内部涉密办公网络,同时提供了对来自于互联网、内联网、内部局域网、专网、机要网的威胁的防护,该模块的外部接口分别与第二、第三个纵深防护层1复合防护模块的内部接口相连,而内部接口则分别与外接的内部涉密办公网络相连为了更好地满足不同层次用户的需求,以上结构又有另外三种派生的结构,分别是结构A,结构B,和结构C。其中结构A与基本结构相比少了第三个纵深防护层1复合防护模块和第三个纵深防护层2复合防护模块,结构B与结构A相比少了分区防护层复合防护模块,结构C与结构A相比少了分区防护层复合防护模块和逻辑隔离层逻辑隔离模块。
图1等级化信息共享模型。
图2层次化分区式网络结构原理框图。
图3等级化信息共享和层次化分区式网络结构的关系。
图4复合结构层次化分区式信息网络装置结构。
图5复合结构层次化分区式信息网络装置结构A。
图6复合结构层次化分区式信息网络装置结构B。
图7复合结构层次化分区式信息网络装置结构C。
具体实施方式
现参照附图1至附图7,结合实施例对本新型所述的复合结构层次化分区式信息网络装置详细说明如下等级化信息共享模型(见图1等级化信息共享协议模型)的实现由一个具有层与层通讯能力的(peer-to-peer communication)层次化分区式网络结构(见图2层次化分区式网络结构原理框图)来保证(见图3等级化信息共享和层次化分区式网络结构的关系)。
在等级化信息共享协议模型中,信息服务器和用户网络被分成了六个级别/层次,某一级别/层次的用户只允许访问同等级别/层次或较低级别/层次的服务器。所有的这些级别/层次的区分和隔离均是由层次化分区式网络结构来实现。等级化信息共享模型是本实用新型的理论基础,保证了1)不同的用户之间,不同级别和层次的信息可以相互共享。
2)用户信息共享时只能访问对方的信息服务器,而不能访问对方的整个网络。
3)为不同的用户和网络设计者制订了一个统一的信息共享方法。
层次化分区式网络结构是实现本实用新型的关键,保证了1)不同级别的信息只能在相对应的层次上流动。
2)保护了不同层次的信息不受其他较低层次的用户的侵犯。
3)保证了不同层次的网络之间的相互隔离。
4)提供了大纵深、梯次配备的网络安全防护。
层次化分区式网络结构由若干个具有防火墙和路由交换功能的复合防护模块,和具有VLAN能力的逻辑隔离模块组成,其中复合防护模块还可以选择具有VPN加密功能。每个复合防护模块可以有1~2个外部接口(WAN口)和多个内部接口(LAN口),每个逻辑隔离模块可以有1到2个外部接口(Up Link)和多个内部接口(LAN口)。
这些复合防护模块和逻辑隔离模块分别是前沿防护层复合防护模块,可缺省的VPN加密层复合防护模块,3个纵深防护层1复合防护模块,3个纵深防护层复2合防护模块,可缺省的逻辑隔离层逻辑隔离模块,若干个可缺省的分区防护层复合防护模块,共同构成了层次化分区式网络结构。其中1)1个前沿防护层复合防护模块构成了互联网访问的数据缓冲区(DMZ)和对来自于互联网威胁的防护;2)1个VPN加密层复合防护模块构成了内联网访问的数据缓冲区(DMZ)和对来自于互联网和内联网威胁的防护;3)1个逻辑隔离层逻辑隔离模块和1~24个分区防护层复合防护模块构成了专网访问的数据缓冲区(DMZ)和内部专网办公网络,同时提供了对来自于互联网、内联网、专网的威胁的防护;4)1个纵深防护层1复合防护模块构成了内部局域网访问的数据缓冲区(DMZ)并连接原有局域网络,同时提供了对来自于互联网、内联网、专网的威胁的防护,另一个纵深防护层1复合防护模块构成了机要网访问的数据缓冲区(DMZ)和内部机要办公网络,同时提供了对来自于互联网、内联网、专网、机要网的威胁的防护;5)1个纵深防护层2复合防护模块构成了内部普通办公网络,同时提供了对来自于互联网、内联网、内部局域网、专网的威胁的防护,另一个纵深防护层2复合防护模块构成了内部涉密网,同时提供了对来自于互联网、内联网、内部局域网、专网、机要网的威胁的防护。
为了更好地满足不同层次用户的需求,以上结构又有另外三种派生的结构,分别是结构A,结构B,和结构C。其中结构A与基本结构相比少了第三个纵深防护层1复合防护模块和第二个纵深防护层2复合防护模块,结构B与结构A相比少了分区防护层复合防护模块,结构C与结构A相比少了分区防护层复合防护模块和逻辑隔离层逻辑隔离模块。
基本结构由1个前沿防护层复合防护单元,1个可缺省的VPN加密层复合防护单元,3个纵深防护层1复合防护单元,3个纵深防护层2复合防护单元,1个可缺省的逻辑隔离层逻辑隔离单元,若干个可缺省的分区防护层复合防护单元共同组成(见图4)。基本结构主要用于在一个物理位置上有一个由2个独立的机要和涉密的办公网络,1个普通的办公网络,1个可扩的局域网络,若干个独立的专网共同组成的综合办公网络和信息共享系统。
结构A由1个前沿防护层复合防护单元,1个可缺省的VPN加密层复合防护单元,2个纵深防护层1复合防护单元,2个纵深防护层2复合防护单元,1个可缺省的逻辑隔离层逻辑隔离单元,若干个可缺省的分区防护层复合防护单元,共同组成(见图5)。结构A主要用于在一个物理位置上有一个由1个机要和涉密的办公网络,1个普通的办公网络,1个可扩的局域网络,若干个独立的专网共同组成的综合办公网络和信息共享系统。
结构B由1个前沿防护层复合防护单元,1个可缺省的VPN加密层复合防护单元,2个纵深防护层1复合防护单元,2个纵深防护层2复合防护单元,1个可缺省的逻辑隔离层逻辑隔离单元共同组成(见图6)。结构B主要用于在一个物理位置上有一个由2个独立的机要和涉密的办公网络,1个可扩的局域网络,若干个独立的专网共同组成的综合办公网络和信息共享系统。
结构C由1个前沿防护层复合防护单元,1个可缺省的VPN加密层复合防护单元,2个纵深防护层1复合防护单元,2个纵深防护层2复合防护单元,共同组成(见图7)。结构C主要用于在一个物理位置上有一个由1个独立的机要和涉密的办公网络,1个普通的办公网络,1个可扩的局域网络共同组成的综合办公网络和信息共享系统。
效益分析1)社会效益复合结构层次化分区式信息网络装置是我国乃至世界上第一种面向信息共享的网络设备,特别适合我国广大中小城市的各级政府及下属机构、部门、行业办公室用于开展电子政务和信息化建设。它的出现解决了我国广大中小城市各级政府及下属机构、部门、行业办公室在开展电子政务时缺乏相关计算机网络人才的问题,同时为电子政务中的信息共享和网络化办公提供了一个规范的,安全的,和低成本的解决方案。所有这些都将极大地加强我国的信息和网络的安全,大力推进我国的电子政务的发展,特别是我国中小城市的电子政务的发展。而电子政务的广泛开展又将大大提高我党和政府的执政能力。
2)经济效益复合结构层次化分区式信息网络装置不仅在政府中,同时在军队和大中型企业中也拥有广泛的市场。初步统计,全国各级政府及下属机构、部门、行业办公室,军队师团大队级单位,大中型企业等对共计有近二十万个,以每个单位需要复合结构层次化分区式信息网络装置一台计算,则市场容量接近10亿元人民币。
权利要求1.复合结构层次化分区式信息网络装置,这种装置是一个集合了网络安全防护体系、网络信息共享体系、网络通讯体系三者为一体的,集成化的信息共享网络系统,其特征在于采用了复合结构层次化分区式的网络结构,该结构的基本构成是具有(1)个前沿防护层复合防护模块,1个可缺省的VPN加密层复合防护模块,3个纵深防护层(1)复合防护模块,3个纵深防护层(2)复合防护模块,1个可缺省的逻辑隔离层逻辑隔离模块,若干个可缺省的分区防护层复合防护模块,每个复合防护模块具有防火墙和路由交换功能,有1~2个外部接口(WAN口)和多个内部接口(LAN口),而逻辑隔离模块具有VLAN能力的逻辑隔离功能,每个逻辑隔离模块可以有1到2个外部接口(Up Link)和多个内部接口(LAN口),其中1)1个前沿防护层复合防护模块构成了互联网访问的数据缓冲区(DMZ)和对来自于互联网威胁的防护,该模块的外部接口与互联网相连,内部接口与VPN加密层复合防护模块的外部接口和外部的互联网访问服务器相连;2)1个VPN加密层复合防护模块构成了内联网访问的数据缓冲区(DMZ)和对来自于互联网和内联网威胁的防护,该模块有二个外部接口,分别与内联网和前沿防护层复合防护模块的内部接口相连,内部接口则与分别与三个纵深防护层1复合防护模块的外部接口和外部的内联网访问服务器相连;3)1个逻辑隔离层逻辑隔离模块和1~24个分区防护层复合防护模块构成了1~24个专网访问的数据缓冲区(DMZ)和内部专网办公网络,同时提供了对来自于互联网、内联网、专网的威胁的防护,该模块的外部接口与第一个纵深防护层1复合防护模块的内部接口相连,而内部接口则与1~24个分区防护层复合防护模块的外部接口相连;4)第一个纵深防护层(1)复合防护模块构成了内部局域网访问的数据缓冲区(DMZ)并连接原有局域网络,同时提供了对来自于互联网、内联网、内部局域网的威胁的防护,该模块的外部接口与VPN加密层复合防护模块的内部接口相连,而内部接口则与外接的内部局域网、内部局域网信息共享服务器、逻辑隔离层逻辑隔离模块的外部接口和第一个纵深防护层(2)复合防护模块的外部接口相连,第二、第三个纵深防护层(1)复合防护模块分别构成了机要网访问的数据缓冲区(DMZ)和内部机要办公网络,同时提供了对来自于互联网、内联网、专网、机要网的威胁的防护,该模块的外部接口与VPN加密层复合防护模块的内部接口相连,而内部接口则分别与外接的内部机要办公网络和第二、第三个纵深防护层(2)复合防护模块的外部接口和机要办公网络相连;5)第一个纵深防护层(2)复合防护模块构成了内部普通办公网络,同时提供了对来自于互联网、内联网、内部局域网、专网的威胁的防护,该模块的外部接口与第一个纵深防护层(2)复合防护模块的内部接口相连,而内部接口则与外接的内部普通办公网络相连,第二、第三个纵深防护层(2)复合防护模块分别构成了内部涉密办公网络,同时提供了对来自于互联网、内联网、内部局域网、专网、机要网的威胁的防护,该模块的外部接口分别与第二、第三个纵深防护层(1)复合防护模块的内部接口相连,而内部接口则分别与外接的内部涉密办公网络相连。
2.根据权利要求1所述的复合结构层次化分区式信息网络装置,其特征在于根据不同规模和级别的用户派生出结构A,结构A与基本结构相比少了第三个纵深防护层(1)复合防护模块和第三个纵深防护层(2)复合防护模块。
3.根据权利要求1所述的复合结构层次化分区式信息网络装置,其特征在于根据不同规模和级别的用户派生出结构B,结构B与基本结构相比少了第三个纵深防护层(1)复合防护模块,第三个纵深防护层(2)复合防护模块和分区防护层复合防护模块。
4.根据权利要求1所述的复合结构层次化分区式信息网络装置,其特征在于根据不同规模和级别的用户派生出结构C,结构C与基本结构相比少了第三个纵深防护层(1)复合防护模块,第三个纵深防护层(2)复合防护模块,分区防护层复合防护模块和逻辑隔离层逻辑隔离模块。
专利摘要本实用新型公开了一种复合结构层次化分区式信息网络装置,这种装置的与众不同之处是一种集网络安全防护体系、网络信息共享体系、网络通讯体系三者为一体的,采用复合结构层次化分区式结构的、以信息的等级化共享和层次化分区式网络为主要目标的网络化信息共享和网络化办公系统,而非传统的以通讯为主的局域网系统。整个装置采用一体化的模块结构设计和预定义的系统端口,具有典型的“傻瓜型网络”特征。本实用新型在理论上和结构上规范了网络用户如何使各种行业办公专网,内部普通办公网络,内部机要办公网络和内部设密办公网络之间通过互联网,内联网,局域网实现纵向的和横向的等级化的和层次化的信息共享。
文档编号H04L29/06GK2759069SQ20042009916
公开日2006年2月15日 申请日期2004年12月27日 优先权日2004年12月27日
发明者奚伟祖 申请人:奚伟祖