专利名称:服务网关系统的制作方法
技术领域:
本发明涉及计算机网络系统,尤其是涉及一种服务网关系统。
背景技术:
传统的网络模型如图1所示,各项服务功是独立的,每项服务都分别实现,各种服务器之间没有关系,资源不能共享。构建网络工作复杂,导致管理很困难。比如购买网络设备,安装电脑,安装软件系统,申请ADSL线路,规划内部网络,建立公司网站,建立企业邮件系统,管理员工上网,文件和打印服务系统,等等。这些服务由多家机构提供,网络维护是一家,杀毒是一家,数据安全又是另外一家,网站邮件又是一家,一旦出现问题,不能够有力得进行协同工作,维护很困难。由于采用多种部件构成,系统之间的配合往往容易冲突。分项采购也增加了企业的采购成本。
发明内容本发明所要解决的技术问题在于提供一种服务网关系统,将各种服务进行整合,将多项服务整合在一台平台中,增强了网络安全和网络管理,采用统一的界面来管理各种服务。
为解决上述技术问题,本发明所采用的技术方案是提供一种服务网关系统,该服务网关系统包括a、硬件平台,为系统提供运算和存储,支持软件运行和计算;b、网络层,包括网络安全、网络维护和网络路由系统;c、应用层,实现各种具体的网络应用,包括网站,邮件,文件传输系统以及客户自己开发的各种应用系统;内部网络或外部网络连接于硬件平台,须经由网络层与应用层进行数据传输。
上述技术方案的进一步改进在于
所述的网络安全层包括了防火墙模块,IPS模块,病毒查杀模块,数据过虑模块和开发接口模块,每个模块具有相同的数据进入机制和数据流出机制,数据流从硬件层流出以后依次进入安全模块的过滤队列,最后进入上一层。
所述的网络维护层分为两大部分数据分析部分和系统工具部分;数据分析部分进行数据记录,协议分析和报告,数据分析包括至少一个分析模块和一个模块注册接口;系统工具部分由工具软件构成,这些工具软件一方面是进行各种网络状况的测试,另一方面是设置网络完全规则和路由规则。
所述的网络路由系统,实现数据的顺利发送,本机接受的数据进入本机系统;非本机系统的数据重新进入内网或者外网。
服务网关系统前端或后端设置有内部网络或外部网络的接入设备,内部网络和外部网络不直接连接,通过服务网关系统进行数据交换。
还具有动态域名解析模块,将ISP提供动态的互联网IP地址解析为固定的域名。
数据自动备份到硬件平台的存储。
该系统具有统一的配置管理界面,可以通过一次统一的界面更改各种配置。
本发明的有益效果是由于本发明服务网关系统,将硬件平台、网络层、应用层有机地整合在一起,将多项服务整合在一台平台中,增强了网络安全和网络管理。硬件平台与应用层之间设置网络层而不直接进行数据交换,网络安全、网络维护和网络路由系统保证了系统的安全。内部网络或外部网络连接于硬件平台,须经由网络层与应用层进行数据传输。构成一种能够提供安全的网络接入和管理的设备系统,能够帮助诊断网络故障,同时提供企业常用的网站邮件服务,能够自由的增加服务应用程序。这种系统是一种信息一体化设备系统,以单一的设备实现了中小规模组织机构信息化的很多需求,使得这些组织机构能够专注于专业化方面的信息建设。该服务网关系统解决了中小企业信息化的网络的安全性、网络的稳定性、网络的易维护性以及实施的价格问题。为中小企业实现信息化提供了基础。
图1为本发明服务网关系统的组织结构图;图2为服务网关系统与外部设备部署示意图;图3为系统服务流程图;图4为服务网关系统管理流程。
下面结合附图对本发明做进一步描述具体实施方式请参见图1,为本发明服务网关系统的组织结构图,包括硬件平台、网络层、应用层。
硬件平台,为系统提供运算和存储,支持软件运行和计算,可以采用标准的市场通用设备,也可以是自行研发的硬件设备。
网络层,这些模块在系统内类似于数据管道。每个模块具有相同的数据进入机制和数据流出机制,各自实现自己的功能,数据进入不同模块的顺序不同不会影响到最终的结果。数据流从硬件层流出以后进入依次进入安全模块的过滤队列,最后进入上一层。如果在网络安全层没有注册任何模块,数据流相当于流过一个空的管道,直接进入上层。在每一个安全管道内,模块按照自己的算法和意愿对数据进行检查,过滤,合并,丢弃,更改。系统通过配置每个模块的产生来影响最终的结果,但是系统不直接参与数据的处理。
网络维护层分为两大部分数据分析部分和系统工具部分。数据分析部分进行数据记录,协议分析和报告。数据分析包括至少一个分析模块和一个模块注册接口。如果不需要对于数据进行收集和分析,这个分析模块是一个空的管道或者队列,直接把数据传送到上层。可以通过注册一系列的分析模块形成类似网络安全层的管道队列,数据依次流过这些管道最终到达生长,相应的形成一系列的报告。与网络安全层不同的是,数据在进入这个层以后就不再进行更改。这层的另外一个显著特点是具备许多系统工具软件。这些系统工具部分由一系列小的工具软件构成,这些工具软件一方面是进行各种网络状况的测试,另一方面是设置网络完全规则和路由规则。依赖与这些工具,系统管理员可以直接对于网络进行控制。
网络路由系统,实现数据的顺利发送,本机接受的数据进入本机系统。非本机系统的数据从新进入内网或者外网。
应用层,应用层实现各种具体的网络应用,包括网站,邮件,文件传输系统以及客户自己开发的各种应用系统。这些应用系统之间可能存在各种相互的依赖关系,但是和中间三层没有直接的依赖关系,这些应用软件不知道也不需要知道数据经过了什么的处理。
系统之间的数据流向分为四类A.从外部网络到服务平台,B.服务平台到外部网络,C.外部网络到内部网络,D.内部网络到外部网络。
四类数据流的处理顺序是A类外部网络->硬件平台->网络安全系统->网络维护系统->路由系统->应用服务。
B类应用服务->路由系统->网络维护系统->网络安全系统->外部网络。
C类外部网络->硬件平台->网络安全系统->网络维护系统->路由系统->网络维护系统->网络安全系统->硬件平台->内部网络。
D类内部网络->硬件平台->网络安全系统->网络维护系统->路由系统->网络维护系统->网络安全系统->硬件平台->外部网络。
这样,硬件平台与应用层之间设置网络层而不直接进行数据交换,网络安全、网络维护和网络路由系统保证了系统的安全。内部网络或外部网络连接于硬件平台,须经由网络层与应用层进行数据传输。
下面详细描述该系统的功能网关功能,使得网络内部用户访问国际互联网成为可能。网络服务的提供商可多样的,上网的方式和认证方法也是多样的。例如ISP在中国包括中国电信,中国网通,长城宽带,有线视讯等等,上网方式可以是ADSL,小区宽带和专线等等。
动态域名解析,将ISP提供动态的互联网IP地址解析为组织自己固定的域名,使世界各地的用户访问本系统成为可能。对于具备静态IP地址的企业,比如采用DDN线路,这个功能没有必要使用。
WEB服务,电子邮件和数据存储功能,使得组织内部的数据,资料信息能够在网络上发布。即使公司已经有网站,WEB服务的功能也是需要的,提供WEB服务大大增强了企业自主开发和使用专有软件的能力。
网络安全功能,保护服务网关上的数据安全和组织机构网络内部数据的安全性。网络安全要求必须给服务平台网关本身和组织机构内部提供足够强度的保护。不同企业具有不同的安全方面的要求,具体的选择的内容是下列的一种或者多种工具系统的组合●防火墙系统,保护服务平台网关自身和组织机构内部网络不受外部攻击,控制内部人员能够享用的互联网资源。
●杀毒系统,保护系统本身不受到病毒和木马程序的攻击。
●IPS系统,保护服务平台网关自身和组织机构内部网络不受外部攻击。
●数据流过滤系统,保护组织内部关键和敏感数据不从内部泄漏,病毒和某些内部人员的有意或者无意行为是组织机构面临这样的威胁。
●数据流杀毒系统,对于进入和流出系统的数据进行杀毒,消除由于内部人员不当使用互联网资源引入病毒,尽而是组织机构面临数据泄漏的威胁。
●用户认证系统,保护只有经过授权的合法用户才能使用该系统。
●访问日志记录,追溯用户的使用状况,追查黑客和攻击行为。
●企业自己开发或者购买的安全系统,有能力的组织机构可以针对自己的需求定制一些安全软件,进而是组织机构达到更高程度的安全。
网络诊断功能,能够判断排除组织内部网络的各种异常,分析原因,帮助企业排除问题。各种不同组织机构对于网络稳定和维护的要求也很不相同。小型的企业网络简单,但是可能只有业余的维护人员,对于这方面的要求可能高过有专业维护技术人员的大型企业。一般而言中等规模而没有专业维护人员的的组织机构对于这方面的需求是最强烈的。大型机构没有而没有专业的维护人员的情况太罕有了。帮助进行网络诊断的具体方法是下列一种或者多种工具系统的组合●流量监控分析,检查进入流出网络的数据,形成关于内部网络使用状况的报告,维护人员可以根据流量的异常情况判断网络故障。
●网络测试工具,帮助网络维护人员验证网络的状态,模拟网络出现问题,以及测试某个网络的节点的状态,比如速度,数量,质量等等。
●网络控制工具和方法,帮助网络维护在分析完成以后能够从平台这个环节解决网络的不稳定。尽管不是所有的故障都能够从网关处解决,比如交换机问题。但是很多软件方面的故障包括病毒问题,黑客问题,如果能从网关解决成本是最低的,这部分的工作对于组织机构仍然是非常重要的。
●企业自主开发或者购买的网络诊断工具。
数据备份功能,服务平台网关需要能够自动数据备份,以利于企业进行灾难恢复,保证企业业务的顺利进行。同时由于提供了自动备份功能,组织机构在自己开发的应用软件的时候就不用再考虑这方面的影响,从而实现快速开发。
扩展开发能力,使得组织机构能够根据自己的需求自行定制开发独特功能。组织机构可以使用通用的开发工具比如C,C++,JAVA,PHP等开发自己需要的软件。组织机构也可以使用专用的开发工具,只要这种专用的开发功能能够运行于服务网关之上。服务网关平台提供了企业软件的运行环境,提供了软件开发的部分环境,比如C++的编译器,SQL数据库,java开发库等等,这些集成的系统降低了企业的开发成本。
●多种功能的结合使得企业的网络构架非常简单,有利于企业网络的稳定。
●单一的设备使得企业的采购非常简单,成本降低。
●单一的设备提供使得企业的维护责任问题能够很好的解决。
●动态域名解析解除了企业对于静态IP地址的依赖,使得网络接入的费用大大降低。
●成熟的开发方法的提供使企业能够开发符合自己需要的个性化软件。
●系统开发环境的集成降低了企业开发的成本。
●综合的网络安全和管理系统增加了企业网络的安全性。
●网络诊断和故障排除功能使极大的降低了企业的维护成本,使得专业技术人员能维护更大的网络系统,非专业技术人员能更好的适应网络维护工作,部分小型企业实现了网络的零维护。
图2为服务网关系统与外部设备部署示意图,服务网关系统位于公司内部网络的入口,具有一个或多个网卡设备接口。外部接国际互联网,内部接企业局域网。在企业服务网关之前可以有前端接入设备,比如ADSL调制解调器,光纤收发器,额外的安全设备。在企业网关之后也可以有后端的接入设备,比如内部路由器,额外的网络安全设备,交换机等等。数据在企业内部的流动的路径包括●以1-2-3-4的顺序进入企业,以4-3-2-1的顺序进入外部网络。
●以1-2-3-4的顺序进入企业,以6-2-1的顺序进入外部网络。
●以5-3-4的顺序进入企业,以4-3-2-1的顺序进入外部网络。
●以5-3-4的顺序进入企业,以6-2-1的顺序进入外部网络。
所有的路径都可以到达服务平台网关但是都不能允许直接进入对方网络,网关服务平台是实现网络安全的一个关键节点。
图3为系统服务流程图,系统启动以后,逐项加载应用程序,最后进入系统调度。在系统调度中检查更行功能和配置,保证自身系统的稳定和各项服务的稳定运行。
网络服务系统不同于传统的网络结构的另外一个方面在于,传统的各项服务之间是分离,帐号,配置都是单独进行了。而网络应用服务平台提供了统一的配置管理管理界面,可以通过一次统一的界面更改各种配置,简化了管理和维护。管理的施行的步骤如图4所示。部分模块比如网络配置,域名配置等等比较简单,更改仅涉及一项功能,只需要进行验证就可以保持和启动。用户配置和模块的单独配置选项很多,可以进行细节的调整,使系统能够在性能方面达到最优化。其中模块设置部分是可选的,即使不提供或者不开放给用户,也需要能够保证系统的稳定运行,这样的好处是对网络管理者而言,系统维护非常简单,最好的情况下能够达到零维护。
用户管理功能最重要的功能是协调各个应用程序之间的关系,对用户来说只增加一次帐号,系统在后台完成所有帐号的分配和协调。
当管理员选择各个模块的具体配置时候,就转入n所定义的相应模块。因为各个模块具体的配置的参数和方法各不相同,具体的实现过程要根据模块和应用的自身特点独立制作。
该服务网关系统解决了中小企业信息化的网络的安全性、网络的稳定性、网络的易维护性以及实施的价格问题。为中小企业实现信息化提供了基础。
权利要求
1.一种服务网关系统,其特征在于该服务网关系统包括a、硬件平台,为系统提供运算和存储,支持软件运行和计算;b、网络层,包括网络安全、网络维护和网络路由系统;c、应用层,实现各种具体的网络应用,包括网站,邮件,文件传输系统以及客户自己开发的各种应用系统;内部网络或外部网络连接于硬件平台,须经由网络层与应用层进行数据传输。
2.如权利要求1所述的服务网关系统,其特征在于所述的网络安全层包括了防火墙模块,IPS模块,病毒查杀模块,数据过虑模块和开发接口模块,每个模块具有相同的数据进入机制和数据流出机制,数据流从硬件层流出以后依次进入安全模块的过滤队列,最后进入上一层。
3.如权利要求1所述的服务网关系统,其特征在于所述的网络维护层分为两大部分数据分析部分和系统工具部分;数据分析部分进行数据记录,协议分析和报告,数据分析包括至少一个分析模块和一个模块注册接口;系统工具部分由工具软件构成,这些工具软件一方面是进行各种网络状况的测试,另一方面是设置网络完全规则和路由规则。
4.如权利要求1所述的服务网关系统,其特征在于所述的网络路由系统,实现数据的顺利发送,本机接受的数据进入本机系统;非本机系统的数据重新进入内网或者外网。
5.如权利要求1所述的服务网关系统,其特征在于服务网关系统前端或后端设置有内部网络或外部网络的接入设备,内部网络和外部网络不直接连接,通过服务网关系统进行数据交换。
6.如权利要求1所述的服务网关系统,其特征在于还具有动态域名解析模块,将ISP提供动态的互联网IP地址解析为固定的域名。
7.如权利要求1所述的服务网关系统,其特征在于数据自动备份到硬件平台的存储。
8.如权利要求1所述的服务网关系统,其特征在于该系统具有统一的配置管理界面,可以通过一次统一的界面更改各种配置。
全文摘要
本发明公开了一种服务网关系统,该服务网关系统包括a.硬件平台,为系统提供运算和存储,支持软件运行和计算;b.网络层,包括网络安全、网络维护和网络路由系统;c.应用层,实现各种具体的网络应用,包括网站,邮件,文件传输系统以及客户自己开发的各种应用系统内部网络或外部网络连接于硬件平台,须经由网络层与应用层进行数据传输。将多项服务整合在一台平台中,增强了网络安全和网络管理。该服务网关系统解决了中小企业信息化的网络的安全性、网络的稳定性、网络的易维护性以及实施的价格问题。为中小企业实现信息化提供了基础。
文档编号H04L29/06GK1937565SQ200610062810
公开日2007年3月28日 申请日期2006年9月27日 优先权日2006年9月27日
发明者王春皓 申请人:深圳市皓峰通讯技术有限公司