專利名稱:復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種第二代的信息網(wǎng)絡(luò)裝置,尤其是一種在網(wǎng)絡(luò)安全上采用復(fù)合結(jié)構(gòu)的防火墻體系���、在信息傳遞和共享上將信息等級化、在系統(tǒng)結(jié)構(gòu)上采用層次化和分區(qū)隔離的�,集網(wǎng)絡(luò)安全防護(hù)系、網(wǎng)絡(luò)信息共享系�、網(wǎng)絡(luò)通訊三大功能為一體的,面向信息的等級化分級共享的新型網(wǎng)絡(luò)裝置����。
背景技術(shù):
人類對于信息的共享早期是通過語言。而后隨著人類文明的發(fā)展出現(xiàn)了紙和筆��,于是通過筆將信息記錄在紙上加以保存或傳遞成為人類另一種有力的信息存儲(chǔ)和共享方式����。
現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)的出現(xiàn)使人類對信息的記錄、存儲(chǔ)、共享產(chǎn)生了革命性的變革�。然而相對于延續(xù)了數(shù)千年的使用紙和筆來記錄信息、通過傳遞來共享信息的傳統(tǒng)方式���,這種革命是非常年輕的�。正因如此���,新的挑戰(zhàn)����,特別是在信息的共享上���,也就不期而至���。
局域網(wǎng)的出現(xiàn)解決了人們在一個(gè)區(qū)域內(nèi)的信息交換問題。防火墻的出現(xiàn)保證了信息的不受侵犯����。然而信息不僅是私有的,更重要的是自古以來信息是有等級的���!傳統(tǒng)的局域網(wǎng)只解決了信息在不同計(jì)算機(jī)之間的交換���,但無法區(qū)分也無法識(shí)別信息的級別��。虛擬局域網(wǎng)技術(shù)(VLAN)雖然可以將一個(gè)物理的局域網(wǎng)分割成若干個(gè)虛擬的局域子網(wǎng)����,將不同級別的信息限制在特定的局域子網(wǎng)內(nèi)���,但由于這些局域子網(wǎng)之間是互不相通的��,因此無法實(shí)現(xiàn)信息共享�。虛擬私有網(wǎng)絡(luò)技術(shù)(VPN)雖然解決構(gòu)筑若干個(gè)相通但又相互隔離的私有網(wǎng)絡(luò)的問題��,但成本過于昂貴且設(shè)置復(fù)雜�,一般僅適用于對跨區(qū)域局域通訊的整體保護(hù)�����,而無法用以在一個(gè)局域網(wǎng)內(nèi)部構(gòu)造大量的子網(wǎng)���。而另一方面�����,傳統(tǒng)的防火墻只能防止網(wǎng)絡(luò)外部的攻擊而對來自于網(wǎng)絡(luò)內(nèi)部的威脅則無能為力��,同時(shí)���,傳統(tǒng)的防火墻雖然能夠區(qū)分不同的應(yīng)用服務(wù)�,但同樣無法區(qū)分和識(shí)別不同級別的信息���。
目前在局域網(wǎng)絡(luò)的建設(shè)上�����,網(wǎng)絡(luò)的通訊和網(wǎng)絡(luò)的防護(hù)屬于二個(gè)不同的范疇�,采用二種不同的設(shè)備���。習(xí)慣上的做法是由網(wǎng)絡(luò)工程師根據(jù)用戶的具體要求�,采用各種相關(guān)的技術(shù)�����,諸如局域網(wǎng)技術(shù)���、VLAN技術(shù)���、VPN技術(shù)�����、防火墻技術(shù)等�,來專門設(shè)計(jì)一個(gè)網(wǎng)絡(luò)系統(tǒng)�����。這樣的方法雖然滿足了用戶的具體需求����,但存在以下二大問題1)系統(tǒng)往往龐大而復(fù)雜且成本高昂。這種非產(chǎn)品化的系統(tǒng)不僅安裝調(diào)試?yán)щy和耗費(fèi)時(shí)日����,同時(shí)也給用戶在日后的維護(hù)中帶來巨大困難;2)人類基于紙和筆的信息制作和共享有著數(shù)千年的歷史�,在長期的實(shí)踐中��,人們總結(jié)出了一套完整和行之有效的信息共享制度����,但與此相比��,網(wǎng)絡(luò)化的信息共享目前缺乏相應(yīng)的信息共享機(jī)制����。鑒于不同的網(wǎng)絡(luò)工程師在技術(shù)水平上和設(shè)計(jì)風(fēng)格上有著不同程度上的差異���,因此所設(shè)計(jì)出來的網(wǎng)絡(luò)也不盡相同���。這種不規(guī)范的設(shè)計(jì)使得不同的網(wǎng)絡(luò)系統(tǒng)之間的不同等級的信息共享難以兼容,結(jié)果是信息共享只能被局限在一個(gè)局部區(qū)域內(nèi)��。
簡而言之��,從網(wǎng)絡(luò)發(fā)展的角度來說,現(xiàn)在有互聯(lián)網(wǎng)(Internet)���,內(nèi)聯(lián)網(wǎng)(Intranet)和局域網(wǎng)(LAN)。而從政府和企業(yè)的日常運(yùn)行機(jī)制來說���,有按行業(yè)而分的辦用辦公網(wǎng)絡(luò)�,有一般內(nèi)部辦公的普通辦公網(wǎng)絡(luò)���,有負(fù)責(zé)公文/各種資料的發(fā)行����、流轉(zhuǎn)、控制�����、管理的機(jī)要辦公網(wǎng)絡(luò)���,有供領(lǐng)導(dǎo)決策�、溝通涌的設(shè)密辦公網(wǎng)絡(luò)�。如何將這二種屬于不同的范疇的東西有機(jī)地融合在一起,目前的網(wǎng)絡(luò)結(jié)構(gòu)為能提供有效的解決方案��。
為了解決以上問題�����,復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置提出了二大設(shè)想1)建立一個(gè)等級化的信息共享模型�,將信息等級化并加以一定程度的隔離;2)在一定程度上規(guī)范網(wǎng)絡(luò)設(shè)計(jì)�����,建立一個(gè)層次化分區(qū)式的網(wǎng)絡(luò)結(jié)構(gòu)�����。同時(shí)�,將網(wǎng)絡(luò)的通訊、防護(hù)��、信息共享三大功能融于一體�����,并把著重點(diǎn)從網(wǎng)絡(luò)通訊移到了信息的層次化分級共享��。
實(shí)用新型內(nèi)容本實(shí)用新型的目的是提供一種新型的���,集合了網(wǎng)絡(luò)安全防護(hù)體系��、網(wǎng)絡(luò)信息共享體系��、網(wǎng)絡(luò)通訊體系三者為一體的����,以等級化的信息分級共享為主要目標(biāo)�����、采用復(fù)合結(jié)構(gòu)層次化分區(qū)式結(jié)構(gòu)的集成化信息共享網(wǎng)絡(luò)裝置。這種裝置包含了二個(gè)方面的關(guān)鍵內(nèi)容��;1)等級化的信息共享模型���;2)包括復(fù)合結(jié)構(gòu)的網(wǎng)絡(luò)安全防護(hù)體系在內(nèi)的層次化分區(qū)式的網(wǎng)絡(luò)結(jié)構(gòu)����。同時(shí)��,整個(gè)裝置采用一體化的模塊結(jié)構(gòu)設(shè)計(jì)���,而非由多個(gè)分散的分立式網(wǎng)絡(luò)設(shè)備組成��。此外����,整個(gè)系統(tǒng)和端口均是預(yù)定義的����,用戶只需在預(yù)先定義好的端口上接入相應(yīng)的設(shè)備即可,是典型的“傻瓜型網(wǎng)絡(luò)”���,而非如傳統(tǒng)的網(wǎng)絡(luò)設(shè)備那樣由用戶去自行配置系統(tǒng)和定義端口的用途�����。
等級化信息共享模型將信息分成六個(gè)等級的層次���,(1)互聯(lián)網(wǎng)(Internet)信息(最低等級);(2)內(nèi)聯(lián)網(wǎng)(Intranet)信息����;(3)內(nèi)部局域網(wǎng)信息;(4)專網(wǎng)信息���;(5)機(jī)要信息�����;(6)內(nèi)部涉密信息(最高等級)����。
信息只有在同等級別上才能實(shí)現(xiàn)雙向交換���。
高等級的信息可以單向共享低等級的信息����。
機(jī)要信息和專網(wǎng)信息只能在垂直方向上實(shí)現(xiàn)同種機(jī)要網(wǎng)和同種專網(wǎng)內(nèi)的共享。
局域網(wǎng)信息只能在整個(gè)局域網(wǎng)內(nèi)實(shí)現(xiàn)橫向共享���。
涉密網(wǎng)信息只能在涉密網(wǎng)內(nèi)共享�����。
層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)層次化分區(qū)隔離�����。根據(jù)信息的等級次序建立相應(yīng)的六個(gè)層次的網(wǎng)絡(luò)��。這六個(gè)層次分別是(1)互聯(lián)網(wǎng)信息共享層�����;(2)內(nèi)聯(lián)網(wǎng)信息共享層�����;(3)局域網(wǎng)信息共享層���;(4)專網(wǎng)信息共享層�����;(5)機(jī)要信息共享層����;(6)涉密信息層�。
除涉密信息層外�,每個(gè)層次的網(wǎng)絡(luò)內(nèi)有一個(gè)與外部用戶用于信息共享的緩沖區(qū)(DMZ)。共有5種緩沖區(qū)����,分別是物理的互聯(lián)網(wǎng)信息共享緩沖區(qū),物理的內(nèi)聯(lián)網(wǎng)信息共享緩沖區(qū)�,虛擬的局域網(wǎng)信息共享緩沖區(qū)、虛擬的機(jī)要網(wǎng)信息共享緩沖區(qū)�,邏輯隔離專網(wǎng)虛擬的信息共享緩沖區(qū)。
每個(gè)信息層外的用戶只能訪問緩沖區(qū)內(nèi)的信息�,不能訪問信息層內(nèi)網(wǎng)絡(luò)上的其它信息。
同一層次的網(wǎng)絡(luò)內(nèi)又可以分為若干個(gè)有獨(dú)立防護(hù)的區(qū)域���,每一個(gè)這樣的區(qū)域之間也可以進(jìn)行邏輯隔離�。
層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)同時(shí)還具有構(gòu)成復(fù)合結(jié)構(gòu)安全防護(hù)體系的能力整個(gè)網(wǎng)絡(luò)采用梯次配備大縱深復(fù)合結(jié)構(gòu)的防火墻體系����。整個(gè)體系的防護(hù)梯次依次有前沿防護(hù)�、VPN加密���、縱深防護(hù)1��、縱深防護(hù)2�、分區(qū)防護(hù)和邏輯隔離�����。其中前沿防護(hù)用于對互聯(lián)網(wǎng)信息共享層的保護(hù)����,VPN加密用于對通過互聯(lián)網(wǎng)的內(nèi)聯(lián)網(wǎng)信息共享、機(jī)要信息共享�����、專網(wǎng)信息共享加以保護(hù)����,縱深防護(hù)1用于對機(jī)要網(wǎng)信息共享層、局域網(wǎng)信息共享層的保護(hù)��,縱深防護(hù)2用于對內(nèi)部涉密信息層和內(nèi)部辦公網(wǎng)絡(luò)的保護(hù),分區(qū)防護(hù)用戶于對單個(gè)的專網(wǎng)信息共享層的保護(hù)��,邏輯隔離用于對不同的專網(wǎng)進(jìn)行邏輯隔離�����。
整個(gè)裝置由若干個(gè)具有防火墻和路由交換功能的復(fù)合防護(hù)模塊和具有VLAN能力的邏輯隔離模塊組成��,其中復(fù)合防護(hù)模塊還可以選擇具有VPN加密功能�����。每個(gè)復(fù)合防護(hù)模塊可以有1到2個(gè)外部接口(WAN口)和4到24個(gè)內(nèi)部接口(LAN口)����,每個(gè)邏輯隔離模塊可以有1到2個(gè)外部接口(Up Link)和多個(gè)內(nèi)部接口(LAN口)�。
這些復(fù)合防護(hù)模塊和邏輯隔離模塊分別是前沿防護(hù)層復(fù)合防護(hù)模塊,可缺省的VPN加密層復(fù)合防護(hù)模塊��,3個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊��,3個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊�����,可缺省的邏輯隔離層邏輯隔離模塊,若干個(gè)可缺省的分區(qū)防護(hù)層復(fù)合防護(hù)模塊���,共同構(gòu)成了層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)���。其中
1)1個(gè)前沿防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了互聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)威脅的防護(hù)��,該模塊的外部接口與互聯(lián)網(wǎng)相連,內(nèi)部接口與VPN加密層復(fù)合防護(hù)模塊的外部接口和外部的互聯(lián)網(wǎng)訪問服務(wù)器相連����;2)1個(gè)VPN加密層復(fù)合防護(hù)模塊構(gòu)成了內(nèi)聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)威脅的防護(hù)��,該模塊有二個(gè)外部接口,分別與內(nèi)聯(lián)網(wǎng)和前沿防護(hù)層復(fù)合防護(hù)模塊的內(nèi)部接口相連�,內(nèi)部接口則與分別與三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊的外部接口和外部的內(nèi)聯(lián)網(wǎng)訪問服務(wù)器相連���;3)1個(gè)邏輯隔離層邏輯隔離模塊和1~24個(gè)分區(qū)防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了1~24個(gè)專網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部專網(wǎng)辦公網(wǎng)絡(luò)�,同時(shí)提供了對來自于互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、專網(wǎng)的威脅的防護(hù),該模塊的外部接口與第一個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊的內(nèi)部接口相連�,而內(nèi)部接口則與1~24個(gè)分區(qū)防護(hù)層復(fù)合防護(hù)模塊的外部接口相連�����;4)第一個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部局域網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)并連接原有局域網(wǎng)絡(luò),同時(shí)提供了對來自于互聯(lián)網(wǎng)����、內(nèi)聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)的威脅的防護(hù)�,該模塊的外部接口與VPN加密層復(fù)合防護(hù)模塊的內(nèi)部接口相連�,而內(nèi)部接口則與外接的內(nèi)部局域網(wǎng)�、內(nèi)部局域網(wǎng)信息共享服務(wù)器、邏輯隔離層邏輯隔離模塊的外部接口和第一個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊的外部接口相連��。第二���、第三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊分別構(gòu)成了機(jī)要網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部機(jī)要辦公網(wǎng)絡(luò)�,同時(shí)提供了對來自于互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)、專網(wǎng)���、機(jī)要網(wǎng)的威脅的防護(hù)��,該模塊的外部接口與VPN加密層復(fù)合防護(hù)模塊的內(nèi)部接口相連,而內(nèi)部接口則分別與外接的內(nèi)部機(jī)要辦公網(wǎng)絡(luò)和第二����、第三個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊的外部接口和機(jī)要辦公網(wǎng)絡(luò)相連�����。
5)第一個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部普通辦公網(wǎng)絡(luò),同時(shí)提供了對來自于互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)���、專網(wǎng)的威脅的防護(hù),該模塊的外部接口與第一個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊的內(nèi)部接口相連���,而內(nèi)部接口則與外接的內(nèi)部普通辦公網(wǎng)絡(luò)相連�。第二���、第三個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊分別構(gòu)成了內(nèi)部涉密辦公網(wǎng)絡(luò)�����,同時(shí)提供了對來自于互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)�、專網(wǎng)、機(jī)要網(wǎng)的威脅的防護(hù),該模塊的外部接口分別與第二��、第三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊的內(nèi)部接口相連����,而內(nèi)部接口則分別與外接的內(nèi)部涉密辦公網(wǎng)絡(luò)相連為了更好地滿足不同層次用戶的需求,以上結(jié)構(gòu)又有另外三種派生的結(jié)構(gòu)��,分別是結(jié)構(gòu)A�����,結(jié)構(gòu)B,和結(jié)構(gòu)C�。其中結(jié)構(gòu)A與基本結(jié)構(gòu)相比少了第三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊和第三個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊,結(jié)構(gòu)B與結(jié)構(gòu)A相比少了分區(qū)防護(hù)層復(fù)合防護(hù)模塊��,結(jié)構(gòu)C與結(jié)構(gòu)A相比少了分區(qū)防護(hù)層復(fù)合防護(hù)模塊和邏輯隔離層邏輯隔離模塊��。
圖1等級化信息共享模型。
圖2層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)原理框圖。
圖3等級化信息共享和層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)的關(guān)系��。
圖4復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置結(jié)構(gòu)�。
圖5復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置結(jié)構(gòu)A。
圖6復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置結(jié)構(gòu)B�。
圖7復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置結(jié)構(gòu)C�。
具體實(shí)施方式
現(xiàn)參照附圖1至附圖7���,結(jié)合實(shí)施例對本新型所述的復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置詳細(xì)說明如下等級化信息共享模型(見圖1等級化信息共享協(xié)議模型)的實(shí)現(xiàn)由一個(gè)具有層與層通訊能力的(peer-to-peer communication)層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)(見圖2層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)原理框圖)來保證(見圖3等級化信息共享和層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)的關(guān)系)���。
在等級化信息共享協(xié)議模型中�����,信息服務(wù)器和用戶網(wǎng)絡(luò)被分成了六個(gè)級別/層次,某一級別/層次的用戶只允許訪問同等級別/層次或較低級別/層次的服務(wù)器。所有的這些級別/層次的區(qū)分和隔離均是由層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)來實(shí)現(xiàn)。等級化信息共享模型是本實(shí)用新型的理論基礎(chǔ)�,保證了1)不同的用戶之間,不同級別和層次的信息可以相互共享����。
2)用戶信息共享時(shí)只能訪問對方的信息服務(wù)器,而不能訪問對方的整個(gè)網(wǎng)絡(luò)。
3)為不同的用戶和網(wǎng)絡(luò)設(shè)計(jì)者制訂了一個(gè)統(tǒng)一的信息共享方法��。
層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)是實(shí)現(xiàn)本實(shí)用新型的關(guān)鍵����,保證了1)不同級別的信息只能在相對應(yīng)的層次上流動(dòng)。
2)保護(hù)了不同層次的信息不受其他較低層次的用戶的侵犯。
3)保證了不同層次的網(wǎng)絡(luò)之間的相互隔離。
4)提供了大縱深、梯次配備的網(wǎng)絡(luò)安全防護(hù)�����。
層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)由若干個(gè)具有防火墻和路由交換功能的復(fù)合防護(hù)模塊���,和具有VLAN能力的邏輯隔離模塊組成���,其中復(fù)合防護(hù)模塊還可以選擇具有VPN加密功能�。每個(gè)復(fù)合防護(hù)模塊可以有1~2個(gè)外部接口(WAN口)和多個(gè)內(nèi)部接口(LAN口)�,每個(gè)邏輯隔離模塊可以有1到2個(gè)外部接口(Up Link)和多個(gè)內(nèi)部接口(LAN口)。
這些復(fù)合防護(hù)模塊和邏輯隔離模塊分別是前沿防護(hù)層復(fù)合防護(hù)模塊����,可缺省的VPN加密層復(fù)合防護(hù)模塊�,3個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊����,3個(gè)縱深防護(hù)層復(fù)2合防護(hù)模塊�����,可缺省的邏輯隔離層邏輯隔離模塊,若干個(gè)可缺省的分區(qū)防護(hù)層復(fù)合防護(hù)模塊��,共同構(gòu)成了層次化分區(qū)式網(wǎng)絡(luò)結(jié)構(gòu)�����。其中1)1個(gè)前沿防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了互聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)威脅的防護(hù)��;2)1個(gè)VPN加密層復(fù)合防護(hù)模塊構(gòu)成了內(nèi)聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)威脅的防護(hù)�����;3)1個(gè)邏輯隔離層邏輯隔離模塊和1~24個(gè)分區(qū)防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了專網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部專網(wǎng)辦公網(wǎng)絡(luò)����,同時(shí)提供了對來自于互聯(lián)網(wǎng)��、內(nèi)聯(lián)網(wǎng)�、專網(wǎng)的威脅的防護(hù)����;4)1個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部局域網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)并連接原有局域網(wǎng)絡(luò)�����,同時(shí)提供了對來自于互聯(lián)網(wǎng)����、內(nèi)聯(lián)網(wǎng)�、專網(wǎng)的威脅的防護(hù)����,另一個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊構(gòu)成了機(jī)要網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部機(jī)要辦公網(wǎng)絡(luò)���,同時(shí)提供了對來自于互聯(lián)網(wǎng)����、內(nèi)聯(lián)網(wǎng)���、專網(wǎng)�����、機(jī)要網(wǎng)的威脅的防護(hù)���;5)1個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部普通辦公網(wǎng)絡(luò)����,同時(shí)提供了對來自于互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)��、內(nèi)部局域網(wǎng)���、專網(wǎng)的威脅的防護(hù),另一個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部涉密網(wǎng)�,同時(shí)提供了對來自于互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)��、內(nèi)部局域網(wǎng)���、專網(wǎng)�����、機(jī)要網(wǎng)的威脅的防護(hù)�����。
為了更好地滿足不同層次用戶的需求��,以上結(jié)構(gòu)又有另外三種派生的結(jié)構(gòu)�����,分別是結(jié)構(gòu)A�����,結(jié)構(gòu)B��,和結(jié)構(gòu)C��。其中結(jié)構(gòu)A與基本結(jié)構(gòu)相比少了第三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊和第二個(gè)縱深防護(hù)層2復(fù)合防護(hù)模塊�����,結(jié)構(gòu)B與結(jié)構(gòu)A相比少了分區(qū)防護(hù)層復(fù)合防護(hù)模塊��,結(jié)構(gòu)C與結(jié)構(gòu)A相比少了分區(qū)防護(hù)層復(fù)合防護(hù)模塊和邏輯隔離層邏輯隔離模塊�。
基本結(jié)構(gòu)由1個(gè)前沿防護(hù)層復(fù)合防護(hù)單元,1個(gè)可缺省的VPN加密層復(fù)合防護(hù)單元�,3個(gè)縱深防護(hù)層1復(fù)合防護(hù)單元,3個(gè)縱深防護(hù)層2復(fù)合防護(hù)單元����,1個(gè)可缺省的邏輯隔離層邏輯隔離單元�,若干個(gè)可缺省的分區(qū)防護(hù)層復(fù)合防護(hù)單元共同組成(見圖4)�。基本結(jié)構(gòu)主要用于在一個(gè)物理位置上有一個(gè)由2個(gè)獨(dú)立的機(jī)要和涉密的辦公網(wǎng)絡(luò)�����,1個(gè)普通的辦公網(wǎng)絡(luò)��,1個(gè)可擴(kuò)的局域網(wǎng)絡(luò)�,若干個(gè)獨(dú)立的專網(wǎng)共同組成的綜合辦公網(wǎng)絡(luò)和信息共享系統(tǒng)。
結(jié)構(gòu)A由1個(gè)前沿防護(hù)層復(fù)合防護(hù)單元�,1個(gè)可缺省的VPN加密層復(fù)合防護(hù)單元,2個(gè)縱深防護(hù)層1復(fù)合防護(hù)單元�����,2個(gè)縱深防護(hù)層2復(fù)合防護(hù)單元��,1個(gè)可缺省的邏輯隔離層邏輯隔離單元�,若干個(gè)可缺省的分區(qū)防護(hù)層復(fù)合防護(hù)單元,共同組成(見圖5)�。結(jié)構(gòu)A主要用于在一個(gè)物理位置上有一個(gè)由1個(gè)機(jī)要和涉密的辦公網(wǎng)絡(luò),1個(gè)普通的辦公網(wǎng)絡(luò)���,1個(gè)可擴(kuò)的局域網(wǎng)絡(luò)��,若干個(gè)獨(dú)立的專網(wǎng)共同組成的綜合辦公網(wǎng)絡(luò)和信息共享系統(tǒng)��。
結(jié)構(gòu)B由1個(gè)前沿防護(hù)層復(fù)合防護(hù)單元��,1個(gè)可缺省的VPN加密層復(fù)合防護(hù)單元��,2個(gè)縱深防護(hù)層1復(fù)合防護(hù)單元���,2個(gè)縱深防護(hù)層2復(fù)合防護(hù)單元,1個(gè)可缺省的邏輯隔離層邏輯隔離單元共同組成(見圖6)����。結(jié)構(gòu)B主要用于在一個(gè)物理位置上有一個(gè)由2個(gè)獨(dú)立的機(jī)要和涉密的辦公網(wǎng)絡(luò),1個(gè)可擴(kuò)的局域網(wǎng)絡(luò)�,若干個(gè)獨(dú)立的專網(wǎng)共同組成的綜合辦公網(wǎng)絡(luò)和信息共享系統(tǒng)。
結(jié)構(gòu)C由1個(gè)前沿防護(hù)層復(fù)合防護(hù)單元��,1個(gè)可缺省的VPN加密層復(fù)合防護(hù)單元��,2個(gè)縱深防護(hù)層1復(fù)合防護(hù)單元����,2個(gè)縱深防護(hù)層2復(fù)合防護(hù)單元���,共同組成(見圖7)。結(jié)構(gòu)C主要用于在一個(gè)物理位置上有一個(gè)由1個(gè)獨(dú)立的機(jī)要和涉密的辦公網(wǎng)絡(luò)��,1個(gè)普通的辦公網(wǎng)絡(luò)��,1個(gè)可擴(kuò)的局域網(wǎng)絡(luò)共同組成的綜合辦公網(wǎng)絡(luò)和信息共享系統(tǒng)���。
效益分析1)社會(huì)效益復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置是我國乃至世界上第一種面向信息共享的網(wǎng)絡(luò)設(shè)備�����,特別適合我國廣大中小城市的各級政府及下屬機(jī)構(gòu)����、部門����、行業(yè)辦公室用于開展電子政務(wù)和信息化建設(shè)。它的出現(xiàn)解決了我國廣大中小城市各級政府及下屬機(jī)構(gòu)����、部門、行業(yè)辦公室在開展電子政務(wù)時(shí)缺乏相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)人才的問題�����,同時(shí)為電子政務(wù)中的信息共享和網(wǎng)絡(luò)化辦公提供了一個(gè)規(guī)范的,安全的�����,和低成本的解決方案�����。所有這些都將極大地加強(qiáng)我國的信息和網(wǎng)絡(luò)的安全����,大力推進(jìn)我國的電子政務(wù)的發(fā)展,特別是我國中小城市的電子政務(wù)的發(fā)展��。而電子政務(wù)的廣泛開展又將大大提高我黨和政府的執(zhí)政能力��。
2)經(jīng)濟(jì)效益復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置不僅在政府中��,同時(shí)在軍隊(duì)和大中型企業(yè)中也擁有廣泛的市場�����。初步統(tǒng)計(jì)����,全國各級政府及下屬機(jī)構(gòu)、部門�、行業(yè)辦公室,軍隊(duì)師團(tuán)大隊(duì)級單位����,大中型企業(yè)等對共計(jì)有近二十萬個(gè),以每個(gè)單位需要復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置一臺(tái)計(jì)算�����,則市場容量接近10億元人民幣�����。
權(quán)利要求1.復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置����,這種裝置是一個(gè)集合了網(wǎng)絡(luò)安全防護(hù)體系、網(wǎng)絡(luò)信息共享體系�、網(wǎng)絡(luò)通訊體系三者為一體的,集成化的信息共享網(wǎng)絡(luò)系統(tǒng)�����,其特征在于采用了復(fù)合結(jié)構(gòu)層次化分區(qū)式的網(wǎng)絡(luò)結(jié)構(gòu),該結(jié)構(gòu)的基本構(gòu)成是具有(1)個(gè)前沿防護(hù)層復(fù)合防護(hù)模塊����,1個(gè)可缺省的VPN加密層復(fù)合防護(hù)模塊,3個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊�����,3個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊�,1個(gè)可缺省的邏輯隔離層邏輯隔離模塊,若干個(gè)可缺省的分區(qū)防護(hù)層復(fù)合防護(hù)模塊���,每個(gè)復(fù)合防護(hù)模塊具有防火墻和路由交換功能����,有1~2個(gè)外部接口(WAN口)和多個(gè)內(nèi)部接口(LAN口)�����,而邏輯隔離模塊具有VLAN能力的邏輯隔離功能����,每個(gè)邏輯隔離模塊可以有1到2個(gè)外部接口(Up Link)和多個(gè)內(nèi)部接口(LAN口)���,其中1)1個(gè)前沿防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了互聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)威脅的防護(hù)�����,該模塊的外部接口與互聯(lián)網(wǎng)相連����,內(nèi)部接口與VPN加密層復(fù)合防護(hù)模塊的外部接口和外部的互聯(lián)網(wǎng)訪問服務(wù)器相連;2)1個(gè)VPN加密層復(fù)合防護(hù)模塊構(gòu)成了內(nèi)聯(lián)網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和對來自于互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)威脅的防護(hù)����,該模塊有二個(gè)外部接口,分別與內(nèi)聯(lián)網(wǎng)和前沿防護(hù)層復(fù)合防護(hù)模塊的內(nèi)部接口相連�����,內(nèi)部接口則與分別與三個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊的外部接口和外部的內(nèi)聯(lián)網(wǎng)訪問服務(wù)器相連��;3)1個(gè)邏輯隔離層邏輯隔離模塊和1~24個(gè)分區(qū)防護(hù)層復(fù)合防護(hù)模塊構(gòu)成了1~24個(gè)專網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部專網(wǎng)辦公網(wǎng)絡(luò)�,同時(shí)提供了對來自于互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)���、專網(wǎng)的威脅的防護(hù)�,該模塊的外部接口與第一個(gè)縱深防護(hù)層1復(fù)合防護(hù)模塊的內(nèi)部接口相連,而內(nèi)部接口則與1~24個(gè)分區(qū)防護(hù)層復(fù)合防護(hù)模塊的外部接口相連�����;4)第一個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部局域網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)并連接原有局域網(wǎng)絡(luò)�����,同時(shí)提供了對來自于互聯(lián)網(wǎng)�����、內(nèi)聯(lián)網(wǎng)�����、內(nèi)部局域網(wǎng)的威脅的防護(hù)���,該模塊的外部接口與VPN加密層復(fù)合防護(hù)模塊的內(nèi)部接口相連��,而內(nèi)部接口則與外接的內(nèi)部局域網(wǎng)��、內(nèi)部局域網(wǎng)信息共享服務(wù)器���、邏輯隔離層邏輯隔離模塊的外部接口和第一個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊的外部接口相連,第二�����、第三個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊分別構(gòu)成了機(jī)要網(wǎng)訪問的數(shù)據(jù)緩沖區(qū)(DMZ)和內(nèi)部機(jī)要辦公網(wǎng)絡(luò)�����,同時(shí)提供了對來自于互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)、專網(wǎng)�����、機(jī)要網(wǎng)的威脅的防護(hù)���,該模塊的外部接口與VPN加密層復(fù)合防護(hù)模塊的內(nèi)部接口相連����,而內(nèi)部接口則分別與外接的內(nèi)部機(jī)要辦公網(wǎng)絡(luò)和第二�、第三個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊的外部接口和機(jī)要辦公網(wǎng)絡(luò)相連;5)第一個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊構(gòu)成了內(nèi)部普通辦公網(wǎng)絡(luò)�,同時(shí)提供了對來自于互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)��、內(nèi)部局域網(wǎng)、專網(wǎng)的威脅的防護(hù)���,該模塊的外部接口與第一個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊的內(nèi)部接口相連��,而內(nèi)部接口則與外接的內(nèi)部普通辦公網(wǎng)絡(luò)相連�����,第二���、第三個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊分別構(gòu)成了內(nèi)部涉密辦公網(wǎng)絡(luò),同時(shí)提供了對來自于互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)、內(nèi)部局域網(wǎng)����、專網(wǎng)、機(jī)要網(wǎng)的威脅的防護(hù)��,該模塊的外部接口分別與第二�����、第三個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊的內(nèi)部接口相連���,而內(nèi)部接口則分別與外接的內(nèi)部涉密辦公網(wǎng)絡(luò)相連�。
2.根據(jù)權(quán)利要求1所述的復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置,其特征在于根據(jù)不同規(guī)模和級別的用戶派生出結(jié)構(gòu)A�����,結(jié)構(gòu)A與基本結(jié)構(gòu)相比少了第三個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊和第三個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊�。
3.根據(jù)權(quán)利要求1所述的復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置�����,其特征在于根據(jù)不同規(guī)模和級別的用戶派生出結(jié)構(gòu)B��,結(jié)構(gòu)B與基本結(jié)構(gòu)相比少了第三個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊�,第三個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊和分區(qū)防護(hù)層復(fù)合防護(hù)模塊。
4.根據(jù)權(quán)利要求1所述的復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置�,其特征在于根據(jù)不同規(guī)模和級別的用戶派生出結(jié)構(gòu)C,結(jié)構(gòu)C與基本結(jié)構(gòu)相比少了第三個(gè)縱深防護(hù)層(1)復(fù)合防護(hù)模塊��,第三個(gè)縱深防護(hù)層(2)復(fù)合防護(hù)模塊�����,分區(qū)防護(hù)層復(fù)合防護(hù)模塊和邏輯隔離層邏輯隔離模塊�����。
專利摘要本實(shí)用新型公開了一種復(fù)合結(jié)構(gòu)層次化分區(qū)式信息網(wǎng)絡(luò)裝置,這種裝置的與眾不同之處是一種集網(wǎng)絡(luò)安全防護(hù)體系��、網(wǎng)絡(luò)信息共享體系�、網(wǎng)絡(luò)通訊體系三者為一體的,采用復(fù)合結(jié)構(gòu)層次化分區(qū)式結(jié)構(gòu)的���、以信息的等級化共享和層次化分區(qū)式網(wǎng)絡(luò)為主要目標(biāo)的網(wǎng)絡(luò)化信息共享和網(wǎng)絡(luò)化辦公系統(tǒng)��,而非傳統(tǒng)的以通訊為主的局域網(wǎng)系統(tǒng)�����。整個(gè)裝置采用一體化的模塊結(jié)構(gòu)設(shè)計(jì)和預(yù)定義的系統(tǒng)端口����,具有典型的“傻瓜型網(wǎng)絡(luò)”特征�����。本實(shí)用新型在理論上和結(jié)構(gòu)上規(guī)范了網(wǎng)絡(luò)用戶如何使各種行業(yè)辦公專網(wǎng)�����,內(nèi)部普通辦公網(wǎng)絡(luò),內(nèi)部機(jī)要辦公網(wǎng)絡(luò)和內(nèi)部設(shè)密辦公網(wǎng)絡(luò)之間通過互聯(lián)網(wǎng)��,內(nèi)聯(lián)網(wǎng)��,局域網(wǎng)實(shí)現(xiàn)縱向的和橫向的等級化的和層次化的信息共享����。
文檔編號H04L29/06GK2759069SQ20042009916
公開日2006年2月15日 申請日期2004年12月27日 優(yōu)先權(quán)日2004年12月27日
發(fā)明者奚偉祖 申請人:奚偉祖