JP2003108255A - Group management fire wall system - Google Patents
Group management fire wall systemInfo
- Publication number
- JP2003108255A JP2003108255A JP2001296407A JP2001296407A JP2003108255A JP 2003108255 A JP2003108255 A JP 2003108255A JP 2001296407 A JP2001296407 A JP 2001296407A JP 2001296407 A JP2001296407 A JP 2001296407A JP 2003108255 A JP2003108255 A JP 2003108255A
- Authority
- JP
- Japan
- Prior art keywords
- program
- firewall
- software
- server
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Description
【発明の詳細な説明】Detailed Description of the Invention
【0001】[0001]
【発明が属する技術分野】本発明はインターネットに接
続された組織内ネットワークであるLAN及びイントラ
ネットなどで接続されたコンピュータグループおよび複
数の組織内ネットワークに対して利用可能である。The present invention can be used for a computer group and a plurality of in-house networks connected by LAN and an intranet, which are in-house networks connected to the Internet.
【0002】[0002]
【従来の技術】ファイアウォールは外部からの不正アク
セスに対して自社内システムを防御するために、インタ
ーネットの接続部分、即ちルータやアクセスサーバと自
社内システム(イントラネット等)とのあいだに設置さ
れる防火壁のことである。2. Description of the Related Art A firewall is a fire protection installed between the internal connection system, that is, between a router or access server and an in-house system (intranet) to protect the in-house system against unauthorized access from the outside. It is a wall.
【0003】図1は、基本的なファイアウォールの概略
図である。まずファイアウォールを含めた外部との接続
部分をバリアセグメント(防壁区切り)という。次にフ
ァイアウォールによって外部からの攻撃を遮断したディ
ミリタライズド・ゾーン(DMZ:非武装地域)を用意
し、その中に公開用ウエブサーバ、メールサーバ、DN
Sサーバ等を置き、これらのセキュリティレベルをさら
に高めるものとする。FIG. 1 is a schematic diagram of a basic firewall. First, the part that connects to the outside, including the firewall, is called a barrier segment. Next, prepare a demilitarized zone (DMZ: demilitarized zone) that blocks attacks from the outside by a firewall, in which a public web server, mail server, DN
An S server and the like will be installed to further enhance these security levels.
【0004】従来、組織内ネットワークに接続されたコ
ンピュータおよびコンピュータ上に保持されているデー
タを組織外からの不正な侵入者から守るための対策手段
の一つとしてファイアウォール技術が確立している。こ
れはインターネットなど組織外部との境界を移動するデ
ータパケットを監視して、不正なアクセスを検出・遮断
するものであった。これにより組織内部のデータの保全
・セキュリティ上の安全性を確保できるものとしてい
た。Conventionally, firewall technology has been established as one of the countermeasures for protecting a computer connected to an internal network and data held on the computer from an unauthorized intruder from outside the organization. This was to detect and block unauthorized access by monitoring data packets moving on the boundary with the outside of the organization such as the Internet. As a result, the internal data of the organization can be maintained and the security can be secured.
【0005】[0005]
【発明が解決しようとする課題】これまでのファイアウ
ォールは、組織内ネットワークごとにファイアウォール
のパッケージソフトウエアをインストールする必要があ
った。またそれぞれの組織内ネットワークごとに、管理
者が設定ならびに更新を行うという形態をとってきた。In the past firewalls, it was necessary to install firewall package software for each in-house network. Also, the administrator has taken the form of setting and updating for each in-house network.
【0006】このため、複数の組織内ネットワークを組
織外からの不正な侵入者から守るためには組織内ネット
ワーク数だけのファイアウォールのパッケージソフトウ
エアと管理者が必要となると共に同一のセキュリティレ
ベルを実現するには管理者の資質などが問われるという
問題点がある。Therefore, in order to protect a plurality of in-house networks from unauthorized intruders from outside the organization, firewall package software and an administrator for the number of in-house networks are required and the same security level is realized. In order to do so, there is a problem that the quality of the manager is questioned.
【0007】[0007]
【課題を解決するための手段】「特許請求の範囲と同
じ」[Means for Solving the Problems] "Same as claims"
【0008】[0008]
【発明の実施の形態】本願のシステムでまず必要とされ
るのは、請求項1に示すソフトウェアセキュアシステム
である。このソフトウェアセキュアシステムをハッカー
等の組織外からの不正な侵入者が組織内のコンピュータ
ネットワークへ入る際の進入経路となるサーバへ導入す
れば、重要なデータやプログラムをメモリ上に展開して
おくことができるので、コンピュータの記憶装置に常駐
されない環境を構築することが可能となる。BEST MODE FOR CARRYING OUT THE INVENTION First, a software secure system shown in claim 1 is required in the system of the present application. If this software secure system is installed on a server that serves as an entry route for unauthorized intruders from outside the organization such as hackers to enter the computer network within the organization, important data and programs should be stored in memory. Therefore, it is possible to build an environment that does not reside in the storage device of the computer.
【0009】さらに、請求項2に示す動的オブジェクト
更新システムを用いれば、ソフトウェアセキュアシステ
ムを停止することなく、動的に更新することが可能とな
る。Furthermore, by using the dynamic object update system according to the second aspect, it is possible to update dynamically without stopping the software secure system.
【0010】動的オブジェクト更新システムはソフトウ
ェアであるため、動的な更新を行うのにハード的なスイ
ッチなどを走査する必要なない。そのため遠隔地からソ
フトウェアに対する動的更新をすることが可能となる。Since the dynamic object update system is software, it is not necessary to scan hardware switches or the like to perform dynamic update. Therefore, it is possible to dynamically update the software from a remote place.
【0011】そこで動的オブジェクト更新システムを用
いてサーバグループを構成し、サーバグループを構成す
る1サーバがハッカー等の組織外からの不正な侵入者か
ら攻撃を受け、その対処プログラムであるパッチが完成
すれば、そのパッチをサーバグループを構成する全ての
サーバに配信し動的に更新することで、サーバグループ
全体を守るグループ管理ファイアウォールシステムを構
築するものである。Therefore, a server group is constructed using the dynamic object update system, and one server constituting the server group is attacked by an unauthorized intruder from outside the organization such as a hacker, and a patch as a countermeasure program is completed. By doing so, the patch is distributed to all the servers forming the server group and dynamically updated, thereby constructing a group management firewall system that protects the entire server group.
【0012】[0012]
【実施例】次に本願の最適な実施例について述べる。図
2は本願のグループ管理ファイアウォールシステムシス
テムの概略構成図であり、以下図2に従ってこれを説明
する。ソフトウェアセキュアシステム11は、ハッカー
等の組織外からの不正な侵入者から守るべきデータ・プ
ログラム2をオブジェクト生成手段111を用いて、ソ
フトウェアオブジェクト112に変換する。これによ
り、重要なデータやプログラムをメモリ上に展開してお
くことができるので、コンピュータの記憶装置に常駐さ
れない環境を構築することが可能となる。コンピュータ
の記憶装置に常駐されない環境とは、すなわちハッカー
等の組織外からの不正な侵入者が攻撃対象とするデータ
・プログラム2が存在しない状態となるので、データ・
プログラム2の対ハッカー攻撃には非常に有効な効力を
示す。オブジェクト生成手段111を用いて、ソフトウ
ェアオブジェクト112に変換されたデータ・プログラ
ム2は、ソフトウェア構築手段113を用いることで、
基のソフトウェアに戻すことができるため、データ・プ
ログラム2を使用しなければならない時点で生成すれば
よい。さらに、本発明ではソフトウェアオブジェクト1
12を動的オブジェクト更新システム12を用いること
で、ソフトウェアセキュアシステム11を停止すること
なく、実行されている状態で動的に変更することが可能
となる。これは、プロセス管理手段121とメモリ管理
手段122により、常にコンピュータの処理実行の1単
位時間毎にプロセスおよびメモリの管理を行うことで実
施可能とするものである。これにより、ソフトウェアセ
キュアシステム11は、新たなハッカー等の組織外から
の不正な侵入者からの攻撃に対処できるシステムへと、
プログラムを実行したままで更新していくことが可能と
なる。さらに、この動的オブジェクト更新システム12
に対して、外部からの更新制御信号および更新すべきオ
ブジェクトを受信するオブジェクト受信手段14を適用
すれば、動的オブジェクト更新システム12はソフトウ
ェアであるため、動的な更新を行うのにハード的なスイ
ッチなどを走査する必要なないので、遠隔地からソフト
ウェアに対する動的更新をすることが可能となる。この
機能を用いれば、コンピュータネットワークを介してサ
ーバ上のソフトウェアセキュアシステム11を更新でき
るため、サーバ管理者の手間を激減させることが可能と
なり、ひいてはサーバのメンテナンス料金の軽減にもな
る動的ファイアウォール更新システム1を構築すること
が可能となる。またこの機能を利用すれば、常に新たな
ハッカーが生まれつつあるコンピュータネットワーク環
境において、そのハッカーからの攻撃を監視・発見・対
処する機関を作れば、その機関が対処を見つけた段階
で、その機関が関与する全てのサーバに対してパッチを
施すことが可能となる。そして、この動的ファイアウォ
ール更新システム1を用いて構築されたサーバをグルー
プ管理すれば、グループを構成する1台のサーバがハッ
カー等の組織外からの不正な侵入者からの攻撃にさらさ
れ、その対処プログラムであるパッチが完成すれば、瞬
時にサーバグループを構成する全てのサーバにパッチを
反映されることが可能となり、ハッカー等の組織外から
の不正な侵入者からの攻撃より先にその対処が取れるの
で、更なるセキュリティ向上が望める可能性がある。EXAMPLES Next, optimum examples of the present application will be described. FIG. 2 is a schematic configuration diagram of the group management firewall system of the present application, which will be described below with reference to FIG. The software secure system 11 converts the data program 2 to be protected from an unauthorized intruder from outside the organization such as a hacker into a software object 112 by using the object generating means 111. As a result, important data and programs can be expanded in the memory, so that it is possible to construct an environment that does not reside in the storage device of the computer. The environment that is not resident in the storage device of the computer means that the data program 2 targeted by an unauthorized intruder from outside the organization such as a hacker does not exist.
It is very effective against the hacker attack of Program 2. The data program 2 converted into the software object 112 using the object generation means 111 uses the software construction means 113,
Since it can be returned to the original software, it may be generated when the data program 2 has to be used. Furthermore, in the present invention, the software object 1
By using the dynamic object update system 12 for 12, it is possible to dynamically change the running state without stopping the software secure system 11. This can be implemented by the process management means 121 and the memory management means 122 always managing the process and the memory for each unit time of the processing execution of the computer. As a result, the software secure system 11 becomes a system that can cope with attacks from unauthorized intruders from outside the organization such as new hackers.
It is possible to update while the program is running. Furthermore, this dynamic object update system 12
If the object receiving means 14 for receiving the update control signal from the outside and the object to be updated is applied to the dynamic object update system 12, the dynamic object update system 12 is software. Since it is not necessary to scan switches and the like, it is possible to dynamically update the software from a remote location. By using this function, the software secure system 11 on the server can be updated via the computer network, so that the trouble of the server administrator can be drastically reduced, and the dynamic firewall update which also reduces the maintenance fee of the server. The system 1 can be constructed. In addition, if this function is used, in a computer network environment where new hackers are constantly being created, if an institution that monitors, discovers, and responds to attacks from that hacker is created, then that institution will find out what to do Will be able to patch all servers involved in. If the servers constructed using the dynamic firewall update system 1 are group-managed, one server forming the group is exposed to an attack from an unauthorized intruder from outside the organization such as a hacker, Once the patch, which is a countermeasure program, is completed, the patch can be instantly reflected on all the servers that make up the server group, and the countermeasure can be taken before attacks from unauthorized intruders from outside the organization such as hackers. Therefore, there is a possibility that further security improvement can be expected.
【0013】[0013]
【発明の効果】本発明のグループ管理ファイアウォール
システムを採用すれば、ソフトウェアセキュアシステム
により、重要なデータやプログラムをコンピュータの記
憶手段に常駐させることがなくなるので、ハッカー等の
組織外からの不正な侵入者からの攻撃対象そのものがな
くなるので、攻撃によりサーバが打撃を受ける可能性は
きわめて低くなる。更に、動的オブジェクト更新システ
ム機能を用いてファイアウォールを構築すれば、遠隔地
からの更新が容易に実現できるので、これまで、最低で
もサーバの設置場所数だけ必要であったサーバ管理者の
数を減らせることが可能となる。さらにグループ管理フ
ァイアウォールシステムを用いることで、サーバグルー
プの1つが攻撃を受けその対処であるパッチができれ
ば、瞬時にサーバグループを構成する全てのサーバにパ
ッチが反映されるため、効率的かつ正確にサーバグルー
プ全体をハッカー等の組織外からの不正な侵入者から守
ることが可能となるなど優れた効果をもたらす。When the group management firewall system of the present invention is adopted, important data and programs are not made to reside in the storage means of the computer by the software secure system, and thus unauthorized intrusion from outside the organization such as hackers. Since the attack target itself from the attacker disappears, it is extremely unlikely that the server will be hit by the attack. Furthermore, if you build a firewall using the dynamic object update system function, you can easily update from a remote location. So far, at least the number of server installation locations required for server administrators was reduced. It is possible to reduce. Furthermore, by using a group management firewall system, if one of the server groups is attacked and a patch is taken to deal with it, the patch will be instantly reflected on all the servers that make up the server group. It is possible to protect the entire group from unauthorized intruders from outside the organization such as hackers, which is an excellent effect.
【図1】従来のファイアウォールシステムの概略構成図
である。FIG. 1 is a schematic configuration diagram of a conventional firewall system.
【図2】本願のグループ管理ファイアウォールシステム
の概略構成図である。FIG. 2 is a schematic configuration diagram of a group management firewall system of the present application.
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 15/00 330 G06F 9/06 660L (72)発明者 津田 和彦 東京都文京区大塚3丁目29番1号 筑波大 学内 Fターム(参考) 5B017 AA07 BB09 CA01 CA15 5B076 AC03 AC09 BA04 BB02 BB06 FD04 FD08 5B082 EA11 HA01 HA08 5B085 AE00 BG07 5B089 GA11 GB02 GB10 KA17 KB04 KB09 KB13 KC13 ─────────────────────────────────────────────────── ─── Continuation of front page (51) Int.Cl. 7 Identification code FI theme code (reference) G06F 15/00 330 G06F 9/06 660L (72) Inventor Kazuhiko Tsuda 3-29-1 Otsuka, Bunkyo-ku, Tokyo Issue University of Tsukuba F-term (Reference) 5B017 AA07 BB09 CA01 CA15 5B076 AC03 AC09 BA04 BB02 BB06 FD04 FD08 5B082 EA11 HA01 HA08 5B085 AE00 BG07 5B089 GA11 GB02 GB10 KA17 KB04 KB09 KB13 KC13
Claims (4)
トワークであるLAN及びイントラネットなどで接続さ
れたコンピュータグループに対してネットワークのコン
ピュータおよびコンピュータ上に保持されているデータ
をハッカー等の組織外からの不正な侵入者から守ること
を目的に、データやプログラムなどのソフトウェアをソ
フトウェアオブジェクトに変換するオブジェクト生成手
段と、オブジェクト生成手段により生成されたソフトウ
ェアオブジェクトより、データやプログラムなどのソフ
トウェアを再構築するソフトウェア構築手段を用い、デ
ータ送信要求があった時点でオブジェクトからソフトウ
ェアを生成することで、ハッカー等の組織外からの不正
な侵入者が改ざんする対象となるデータを記憶手段に常
駐させない環境を構築することで、コンピュータおよび
コンピュータ上に保持されているデータを守るソフトウ
ェアセキュアシステム。1. A computer in a network and data held on the computer are illegally sent from outside the organization such as a hacker to a computer group connected to a LAN, an intranet or the like which is an in-house network connected to the Internet. An object generating means for converting software such as data and programs into software objects and a software constructing means for reconstructing software such as data and programs from software objects generated by the object generating means for the purpose of protecting from intruders. By creating software from an object when a data transmission request is made, an environment where hackers and other illegal intruders from outside the organization falsify the data to be stored in storage means is not created. A software secure system that, when built, protects your computer and the data held on it.
アシステムにおいて、実行中のプログラムが管理してい
るメモリ空間を管理するメモリ管理手段と、実行中のプ
ログラムのプロセスを1単位時間毎に管理するプロセス
管理手段とを有することで、実行中のプログラムを構成
するソフトウェアオブジェクトを更新することを可能と
し、プログラムを停止することなく、動的に更新できる
ことを特徴とする動的オブジェクト更新システム。2. The software secure system according to claim 1, wherein a memory management unit that manages a memory space managed by a program being executed, and a process of managing a process of the program being executed every one unit time. A dynamic object update system characterized in that it has a management means, thereby making it possible to update a software object that constitutes a program being executed, and dynamically updating it without stopping the program.
のネットワークと接続されているサーバをハッカー等の
組織外からの不正な侵入者から守ることを目的に構築さ
れたファイアウォールプログラムを、請求項2に記載す
る動的オブジェクト更新システムを用いて構築し、動的
オブジェクト更新システムに遠隔から配信されたプログ
ラムオブジェクトを受信し反映させるオブジェクト受信
手段を持たせることで、ファイアウォールプログラムを
停止することなく、遠隔からファイアウォールプログラ
ムを更新できることを特徴とする動的ファイアウォール
更新システム。3. The dynamic program according to claim 2, wherein a firewall program is constructed for the purpose of protecting a server connected to an external network in a computer network from an unauthorized intruder from outside the organization such as a hacker. Constructed using the object update system, and the dynamic object update system is provided with the object receiving means for receiving and reflecting the program object distributed from the remote, thereby updating the firewall program remotely without stopping the firewall program. A dynamic firewall update system characterized by what it can do.
のネットワークと接続されているサーバにおいて、サー
バのファイアウォールプログラムを請求項3に記載する
動的ファイアウォール更新システムを用いて構築し、動
的ファイアウォール更新システムを要した複数のサーバ
からなるサーバグループを構成し、サーバクループを構
成するサーバの1台がファイアウォールを破られ、破ら
れた仕組みに対抗するプログラムであるパッチを開発し
た場合、そのパッチをサーバグループへ配信するオブジ
ェクト配信手段を用いることで、サーバクループを構成
する全てのサーバに対してそのパッチを反映すること
で、ファイアウォールとしての機能を向上させるグルー
プファイアウォールシステム。4. A server connected to an external network in a computer network, wherein a firewall program for the server is constructed by using the dynamic firewall update system according to claim 3, and a plurality of dynamic firewall update systems are required. When a patch that is a program that counters the broken mechanism is developed when one of the servers that configures the server group and the server group that configures the server group is broken, and that patch is distributed to the server group A group firewall system that improves the function as a firewall by reflecting the patch on all the servers that make up the server group by using distribution means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001296407A JP2003108255A (en) | 2001-09-27 | 2001-09-27 | Group management fire wall system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001296407A JP2003108255A (en) | 2001-09-27 | 2001-09-27 | Group management fire wall system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003108255A true JP2003108255A (en) | 2003-04-11 |
Family
ID=19117655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001296407A Pending JP2003108255A (en) | 2001-09-27 | 2001-09-27 | Group management fire wall system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003108255A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7716373B2 (en) | 2004-10-12 | 2010-05-11 | Fujitsu Limited | Method, apparatus, and computer product for updating software |
-
2001
- 2001-09-27 JP JP2001296407A patent/JP2003108255A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7716373B2 (en) | 2004-10-12 | 2010-05-11 | Fujitsu Limited | Method, apparatus, and computer product for updating software |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266639B (en) | System and method for endpoint hardware assisted network firewall in a secure environment | |
| KR100604604B1 (en) | Method for securing system using server security solution and network security solution, and security system implementing the same | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| US7281270B2 (en) | Attack impact prediction system | |
| US8260961B1 (en) | Logical / physical address state lifecycle management | |
| US7624444B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
| US11171985B1 (en) | System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints | |
| US11303669B1 (en) | System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| Mell et al. | A denial-of-service resistant intrusion detection architecture | |
| WO2007124206A2 (en) | System and method for securing information in a virtual computing environment | |
| CN106797378B (en) | Apparatus and method for controlling a communication network | |
| Andalibi et al. | Throwing {MUD} into the {FOG}: Defending {IoT} and Fog by expanding {MUD} to Fog network | |
| Ferozkhan et al. | The Embedded Framework for Securing the Internet of Things. | |
| US20050076236A1 (en) | Method and system for responding to network intrusions | |
| JP2003283572A (en) | Distributed disability-of-service attack preventing method, gate device, communication device, and program | |
| TWI682644B (en) | Dynamic protection method for network node and network protection server | |
| US20040143761A1 (en) | Method for protecting security of network intrusion detection sensors | |
| JP2003108255A (en) | Group management fire wall system | |
| JP5393286B2 (en) | Access control system, access control apparatus and access control method | |
| KR100422807B1 (en) | Security gateway apparatus for controlling of policy-based network security and its proceeding method | |
| KR100447896B1 (en) | network security system based on black-board, and method for as the same | |
| Gairola et al. | A review on dos and ddos attacks in cloud environment & security solutions | |
| JP3309961B2 (en) | Network attack defense system by traffic shaping | |
| JP7243329B2 (en) | Computer program, event anomaly detection method, and computer |