JP2004165761A - Communication system - Google Patents

Communication system Download PDF

Info

Publication number
JP2004165761A
JP2004165761A JP2002326397A JP2002326397A JP2004165761A JP 2004165761 A JP2004165761 A JP 2004165761A JP 2002326397 A JP2002326397 A JP 2002326397A JP 2002326397 A JP2002326397 A JP 2002326397A JP 2004165761 A JP2004165761 A JP 2004165761A
Authority
JP
Japan
Prior art keywords
data center
data
user terminal
public internet
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002326397A
Other languages
Japanese (ja)
Inventor
Maki Hirai
真樹 平井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002326397A priority Critical patent/JP2004165761A/en
Publication of JP2004165761A publication Critical patent/JP2004165761A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication system capable of strengthening the security for data communication and suppressing the facility introduction cost. <P>SOLUTION: In the communication system which is provided with a data center 2 having a firewall means connected to a plurality of user terminals 1 via a network and in which any user terminal 1 makes communication with other computers on a public Internet N via the firewall means FW of the data center 2, the network interconnecting the data center 2 and the user terminals 1 is a virtual private network wherein data are converted into a predetermined form on the public Internet and the data are mutually communicated. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、通信システムにかかり、特に、ユーザ端末がデータセンタのファイアフォールを介して公衆インターネット網上においてデータ通信を行う通信システムに関する。
【0002】
【従来の技術】
近年、インターネットの普及により、インターネットを利用したビジネスやサービスが加速度的に増加する一方で、「盗聴」や「なりすまし」などの問題が生じている。かかる問題を防止すべく、通信のセキュリティ強化がきわめて重要になっている。
【0003】
特に、ユーザを複数抱える企業などにおいては、ユーザ端末間の通信(LAN)のセキュリティを維持しつつ、公衆インターネット網上のウェブサイトを閲覧できるよう、インターネットの出入口までは専用線を用いるシステム等が構築されていた。その具体例を図6に示す。
【0004】
図6に示すように、セキュリティを考慮すると、ユーザ端末100及びそれを管理する管理サーバ101は、ファイアウォールFW102を有するデータセンタ102を経由して公衆インターネット網N110にアクセスすることが望ましい。従って、イントラネット網N101にて接続されたユーザ端末100群は、管理サーバ101のルータR101及び専用線110を介してデータセンタ102(ルータR102)にアクセスし、そこからファイアウォールFW102を介して公衆インターネット網N110に接続することとなる。これにより、外部からの攻撃やイントラネットN101への不正アクセスは、データセンタ102(またはインターネットサービスプロバイダ(ISP))のファイアウォールFW102にて防御することができる。換言すると、管理サーバ101すなわちユーザ端末100は、直接的には公衆インターネット網N110にアクセスせず、データセンタ102への専用線110に接続されているのみであるため、データの盗聴などを抑制することができ、セキュリティの強化を図っている。
【0005】
また、ユーザ端末1等との接続に専用線を用いることで、重要なデータを管理することの多いデータセンタ102自体を、公衆インターネット網に無造作に接続することを抑制することができ、よりセキュリティの高いデータ通信を実現できる。
【0006】
さらに、ユーザ端末間、すなわち、ユーザの拠点間におけるイントラネット通信は、IP網によるVPNを用いることで、十分なセキュリティを確保することができる。
【0007】
一方で、上述したユーザの拠点間の通信を行う別の手段として、特許文献1に示すように、公衆インターネット網上にプライベートネットワークを構築し、仮想的な専用線のように利用することができるVPN技術が開発されている。
【0008】
【特許文献1】
特開2002−208965号公報
【0009】
【発明が解決しようとする課題】
しかしながら、いずれにしてもデータセンタには、セキュリティの面から専用線やIP−VPN網にて接続する必要があり、これを実現すべく専用線を引いたり、IP網を利用することは、その回線コストやイントラネット構築に費やす費用が高価となるという問題点が生じる。
【0010】
【発明の目的】
本発明は、ユーザが公衆インターネット網においてデータ通信を行う際のセキュリティの強化を図ると共に、設備導入コストの抑制を図ることができる通信システムを提供すること、をその目的とする。
【0011】
【課題を解決するための手段】
そこで、本発明では、ネットワークを介して複数のユーザ端末に接続されたファイアウォール手段を有するデータセンタを備え、ユーザ端末がデータセンタのファイアウォール手段を介して公衆インターネット網上の他のコンピュータと通信を行うシステムであって、データセンタとユーザ端末とを接続するネットワークは、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網である、という構成を採っている。
【0012】
このような構成にすることにより、ユーザ端末とデータセンタ間は、既存の公衆インターネット網にて接続されているにも関わらず、仮想私設網にてセキュリティの強化が図られている。そして、データセンタのファイアウォールにて公衆インターネット網上の他のコンピュータからの攻撃や不正アクセスを抑制することができる。従って、特別に専用線を敷設することなく、低コストにてセキュリティの強化を実現することができる。
【0013】
そして、仮想私設網は、インターネットワーキングの標準化団体であるInternet Engineering Task Force(IETF)が策定するIPsec方式によるものを用いることで、その設計及び利用が容易となる。
【0014】
また、データセンタとユーザ端末とを接続するネットワークは、公衆インターネット網であると共に、当該公衆インターネット網とデータセンタ及びユーザ端末との各接続箇所に、データセンタとユーザ端末とが相互にデータ通信を行う際にあらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段をそれぞれ設けても、上記同様の効果を得ることができ、各接続中継手段は、IETFが策定するIPsec方式にて通信を行うIPsecルータであることとすると望ましい。
【0015】
さらに、公衆インターネット網への出入口となるデータセンタは、ユーザ端末が送受信するデータのうち、あらかじめ登録されたコンピュータウイルスデータを有するデータを検出するウイルス検出手段を備えていると望ましい。また、他にも、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトがあらかじめ定められたサイトである場合にユーザ端末のアクセスを制限するアクセス制限手段や、ユーザ端末が公衆インターネット網上のウェブサイトからダウンロードするコンテンツデータがあらかじめ記憶されたデータに基づいて不適切であると判断した場合に当該コンテンツのダウンロードを制限するコンテンツフィルタリング手段、そして、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトのコンテンツを一時的に保管するプロキシ手段、ユーザ端末のデータ通信状況を記憶する通信ログ管理手段などを備えていると望ましい。
【0016】
これにより、ユーザ端末におけるインターネット網への出入口であるデータセンタにおいて、ユーザが被害を被ることのあるウイルスデータや、ユーザにとって好ましくないコンテンツデータをそのユーザ端末に伝送することを抑制することができるため、よりセキュリティの強化を図りつつ、有害データの蔓延を抑制することができる。そして、データセンタがプロキシとして機能する場合には、ユーザ端末によるウェブサイトの閲覧の効率化を図ることができる。
【0017】
そして、上記のように、インターネット上において生じる問題を改善する機能をデータセンタに集めることで、各機能を実現すべく複数のコンピュータなどを用意する必要がなく、サービス提供者側はその運用が容易となると共に、サービスを受けるユーザにとっては、低額な導入コスト、ランニングコストにて利用することができる。
【0018】
【発明の実施の形態】
〈第1の実施形態〉
本発明の第1の実施形態を、図1乃至図4を参照して説明する。図1は、本発明のシステムの概要を示すブロック図である。図2は、本発明のシステム構成の詳細を示す機能ブロック図である。図3は、データ通信の方式を説明する説明図である。図4は、システムの動作を示す説明図である。
【0019】
(全体構成)
図1に示すように、本発明の第1の実施形態における通信システムは、ネットワークNを介して複数のユーザ端末1に接続されたファイアウォール手段FWを有するデータセンタ2を備え、ユーザ端末1がデータセンタ2のファイアウォール手段FWを介して公衆インターネット網上の他のコンピュータと通信を行うシステムである。すなわち、ユーザ端末1が公衆インターネット網N上のウェブサイトWなどにアクセスする際に、データセンタ2を介するシステムである。
【0020】
そして、本発明では特に、複数のユーザ端末1とデータセンタ2とを接続するネットワークNも、種々のウェブサイトが存在する公衆インターネット網Nであり、このような構成においても、ユーザ端末1とデータセンタ2間のセキュリティの強化を図ることを実現するシステムである。具体的には、図1の太線箇所(符号B)の通信に特徴のあるシステムである。以下、これを詳述する。
【0021】
(ユーザ端末)
本発明におけるユーザ端末1は、所定の企業内における従業員が操作するコンピュータである。そして、これらのユーザ端末1は、相互に社内イントラネット(LAN)に接続されており、これらは一つのユーザ端末群1Aを形成している。例えば、ユーザ端末群1Aは、所定の企業の本社内に構築されたLANであり、1B,1Cは、他の地域に位置する事業所内に構築されたLANであるとする。このように、本発明では、多拠点に位置するユーザが、一つのデータセンタを介してインターネット網に接続する。
【0022】
そして、各ユーザ端末群1A,1B,1Cには、それぞれデータセンタ2とユーザ端末1とが相互にデータ通信を行う際に、あらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段であるIPsecルータR1a,R1b,R1c(図2にて、VPNルータ)が備えられている。このIPsecルータR1a,R1b,R1cは、IETFが策定するIPsec方式にて通信を行うルータであり、後述するデータセンタ2に備えられたIPsecルータR2と対となってインターネットVPN(仮想私設網)を形成する。すなわち、ユーザ端末群1A側のIPsecルータR1aと、データセンタ2側のIPsecルータR2とは、それぞれ公衆インターネット網Nを介して接続されている。さらに換言すると、公衆インターネット網Nとユーザ端末1及びデータセンタ2との各接続箇所に、IPsecルータR1a,R1b,R1c,R2が設けられている。このようにすることで、インターネット網Nを仮想的な専用線のように利用することができる。
【0023】
(仮想私設網)
ここで、仮想施設網について図3を参照して説明する。仮想私設網とは、共有ネットワーク上にプライベートネットワークを構築すること、またはそのための技術であり、仮想的な専用線のように利用できることから、そのように呼ばれている。また、仮想私設網は、Virtual Private Networkの頭文字を取ってVPNとも呼ばれている。そして、通信相手との間に仮想的なトンネルをつくることにより(トンネリング)、本来ならインターネットを経由できないプライベートアドレスの通信が、公衆インターネット網を介して行うことができる。
【0024】
例えば、図3(a)に示すように、端末A1を含む一方のLAN(符号A側)の公衆インターネット網Nとの接続箇所に、上述したようなVPNを実現するためのIPsecルータA2を設け、同様に端末B1を含む他方のLAN(符号B側)の公衆インターネット網Nとの接続箇所には、上記ルータA2と対となるIPsecルータB2を設ける。すると、これらルータによって仮想的なトンネルが形成され(トンネリング)、当該ルータ間のデータ通信のセキュリティを確保することができる。
【0025】
このとき、トンネリングには、図3(b)〜(d)に示すような手法がある。(b)に示すトンネリングのみの場合、端末A1が端末B1に送信したデータをルータA2がルータB2宛のヘッダをつけて送信する。すると、公衆インターネット網Nを通過する間は、ルータA2からルータB2へのデータとして扱われ、受信したルータB2がデータを元に戻して端末B1に送ることで端末A1から端末B1へのデータ通信を実現することができる。また、図3(c)に示す手法では、端末A1からのデータをヘッダ(From:A1,To:B1)も含めて暗号化し、これにルータA2がルータB2宛のヘッダをつけてトンネリングする。これにより、データ自身の安全を確保しさらに、送信元や宛先の情報を隠すことも可能になる。また、図3(d)に示す手法では、ヘッダの変換は行わずにデータ部のみ暗号化する。かかる場合には、ヘッダはそのまま送信されるため、端末A1から端末B1へのデータはインターネットを通過可能なデータでなければならないため、NAT機能を使ってインターネットに接続することとなる。このように、VPNによるトンネリングの手法はいくつか種類があるが、いずれの手法を用いてもよい。本実施形態では、図3(c)の手法を用いることとする。
【0026】
そして、IPsec方式によるVPN通信では、対となる通信相手との間で暗号アルゴリズムや鍵データの設定など、SA(Security Association)と呼ばれる論理的なコネクションを確立する。例えば、図1に示す本発明では、対となる通信相手とは、各ユーザ端末群1A,1B,1CのVPNルータR1a,R1b,R1c毎に対してデータセンタR2が対応する。すなわち、R1a−R2,R1b−R2,R1c−R3がそれぞれ対となってVPNを形成する。
【0027】
ちなみに、IPsecとは、インターネットワーキングの標準化団体であるIETF(Internet Engineering Task)において、IPレベルの暗号化方式として標準化されている機能である。
【0028】
(データセンタ)
次に、データセンタ2について説明する。データセンタ2は、主に委託を受けた企業に代わって当該企業のサーバを管理したり、公衆インターネット網Nへの接続の出入口となり、企業内のデータの盗聴や改竄、なりすましなどを防止する働きをする。このため、データセンタ2には、公衆インターネット網の出入口にファイアウォールFWが備えられている。
【0029】
また、上述したように、データセンタ2とユーザ端末1とは公衆インターネットNを介して接続されているが、当該データセンタ2と公衆インターネットNとの接続箇所にはIPsecルータR2が設けられている。これにより、ユーザ端末1とデータセンタ2との間は、公衆インターネット網Nを用いているにも関わらずセキュリティの強化を図ることができ、専用線などを構築するよりも低コスト化を図ることができる。また、データセンタ2のファイアウォールFWにてユーザ端末1を含む社内LANに対する外部からの攻撃や不正アクセスを防ぐことが可能になり、しかも、複数の拠点に位置しているユーザ端末(群)をまとめてデータセンタ2においてセキュリティ強化を図ることができるため、管理の効率化を図ることができる。
【0030】
ここで、データセンタ2は、一つのサーバコンピュータにて構成されており、その内部にIPsecルータR2が内蔵されていたり、ファイアウォール機能FWが組み込まれていてもよい。但し、本実施形態では、データセンタ2は、一群のサーバコンピュータの集合体を指すこととし、IPsecルータR2は単独の機器であり、ファイアウォールFWなどは個別のサーバコンピュータにて構成されている。
【0031】
(動作)
次に、本実施形態におけるシステムの動作を、図4を参照して説明する。この図において、符号Cは企業側のユーザ端末群1A,1Bを示し、符号wwwは、公衆インターネット網N上のウェブサイト群を示す。
【0032】
まず、企業内でイントラネット通信を行う場合を説明する。ユーザ端末群1A(例えば本社)の所定のユーザ端末1が、別のユーザ端末群1B(例えば事業所)の所定のユーザ端末1とデータ通信を行う場合には、かかる情報を送信すると、IPsecルータR1aにてトンネリングされた状態でデータセンタ2のIPsecルータR2に伝送され、その後、トンネリングされた状態のまま送信先であるユーザ端末群1Bに設置されているIPsecルータR1bに送信される。そして、かかるルータR1bにてトンネリング状態が解除され、他のユーザ端末1にて受信される(図4の矢印D1参照)。
【0033】
また、ユーザ端末1が公衆インターネット網上のウェブサイトにアクセスする際には、そのときに送信する情報はデータセンタ2まではトンネリングされた状態で公衆インターネット網を伝送するため(矢印D2参照)、その間にデータが盗聴されることは抑制される。たとえ、盗聴されたとしても、その内容が認識されることはない。そして、ユーザ端末1は、データセンタ2からはインターネット網にアクセスすることができ、種々のウェブサイトを閲覧することができる。逆に、ウェブサイトWなど公衆インターネット網上の外部コンピュータからは、データセンタ2のファイアウォールFWにて防御されているため(矢印D3参照)、企業LAN内(符号C)への不正アクセスなどを抑制することができる。
【0034】
このようにすることにより、ユーザ端末1とデータセンタ2との間に専用線を敷設する必要がなく、既存の公衆インターネット網を用いてもセキュリティの向上を図ることができ、設備の低コスト化を図ることができる。
【0035】
〈第2の実施形態〉
以下、本発明の第2の実施形態を、図5を参照して説明する。第2の実施形態における通信システムは、上述した第1の実施形態とほぼ同一の構成であるが、データセンタ20が以下のような機能を有する点で異なる。本実施形態のデータセンタ20の構成を図5のブロック図に示す。ちなみに、本実施形態においてもユーザは企業の従業者であり、かかる従業者を管理する企業が本システムを利用している場合を例示する。但し、ユーザはこれに限定されない。
【0036】
図5に示すデータセンタ20は、ユーザ端末1が送受信するデータのうち、あらかじめ登録されたコンピュータウイルスデータを有するデータを検出するウイルス検出手段21を備えている。このウイルス検出手段21は、データセンタ20としての一つのサーバに備えられている機能であってもよく、データセンタ20を一つの施設として捉える場合には、IPsecルータR2やファイアウォールFWに接続されているウイルス検出サーバコンピュータ21であってもよい。これにより、ユーザ端末1が公衆インターネット網上のウェブサイトWからダウンロードするデータや、他のコンピュータから受信する電子メールなどのデータのウイルスチェックを、データセンタ20の時点で実行することができ、チェックをクリアしたデータのみがユーザ端末1へと伝送されることとなる。従って、公衆インターネット網に対する出入口となるデータセンタ20がウイルスチェックをすることにより、ユーザ端末1及びこれらによるLANなど、企業全体のセキュリティの強化を一括して実現することができる。
【0037】
また、データセンタ20には、ユーザ端末1がアクセスする公衆インターネット網上のウェブサイトがあらかじめ定められたサイトである場合に、ユーザ端末1のアクセスを制限するアクセス制限手段も備えられている。このアクセス制限手段も上記ウイルス検出手段21と同様に、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。かかる手段には、あらかじめアクセスが禁止されているサイト(例えば、公序良俗に反するサイトなど)のアドレス情報が記憶されていて、ユーザ端末1からそのサイトへのアクセス要求があったときにそのアドレスをチェックし、記憶しているアドレスと一致したときに当該サイトへの接続を禁止するというものである。これにより、企業内において従業者がユーザ端末にて不適切なサイトにアクセスすることを抑制することができ、当該従業者に与える悪影響を抑制したり、業務の効率化を図ることができる。
【0038】
また、データセンタ20には、ユーザ端末1が公衆インターネット網上のウェブサイトWからダウンロードするコンテンツデータがあらかじめ定められたデータに基づいて不適切であると判断した場合に当該コンテンツのダウンロードを制限するコンテンツフィルタリング手段22を備えている。このコンテンツフィルタリング手段22もデータセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。コンテンツフィルタリング手段22は、例えば、猥褻な画像のダウンロードを制限する機能であって、ユーザ端末1がダウンロードしようとしている画像の色彩と、あらかじめ記憶されている、猥褻画像と判断する基準となる色彩データとに基づいて、当該ダウンロード画像が猥褻画像であると判断するとユーザ端末1には伝送しない。これにより、ユーザの不適切なサイトアクセスを自動的に制限することができる。
【0039】
さらに、データセンタ20は、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトのコンテンツを一時的に保管するプロキシ手段23を備えている。このプロキシ手段23も、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。プロキシ手段は、以前に自身あるいは他人がダウンロードしたサイトのコンテンツを一時的にデータセンタ20に保管し、次に当該コンテンツのダウンロード要求がユーザ端末1からあった場合には、一時保管されたデータを送信する。このようなキャッシュ機能により、コンテンツのダウンロードの高速化を図ることができ、ウェブサイトの閲覧の効率化を図ることができる。
【0040】
また、データセンタ20は、ユーザ端末1のデータ通信状況を記憶する通信ログ管理手段24を備えている。この通信ログ管理手段23も、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。通信ログ管理手段23は、例えば、ユーザ端末1のアクセス時間、回数、アクセス先のURLなどを記憶する。そして、場合によっては、記憶した通信ログデータをユーザである企業の従業員を管理する者の端末1へと送信する機能をも有する。これにより、企業のユーザの通信管理が容易となり、業務の迅速化を図ることができる。
【0041】
このように、あらゆる機能、すなわち、公衆インターネット網上において生じる問題を改善する機能をデータセンタに集めることで、各機能を実現する複数のコンピュータなどを用意する必要がなく、サービス提供側にとって運用が容易となる。また、これにより、サービスを受ける側も低コストにて当該サービスを受けることができる。
【0042】
〈第3の実施形態〉
次に、本発明の第3の実施形態について説明する。第3の実施形態においては、ユーザ端末1が一般的なユーザであって、データセンタ20が一般的なユーザがウェブサイトを閲覧する際に利用するインターネットサービスプロバイダ(ISP)である。そして、ユーザ端末1やデータセンタ20が有する機能は、上述した第1,第2の実施形態と相違はない。
【0043】
このように、一般ユーザに対して本システムを利用することにより、外部からの不正アクセスを抑制できると共に、ユーザがコンテンツフィルタリングやウイルスチェック、プロキシなど、種々の機能を容易に利用するができ、安心してウェブサイトの閲覧など、データ通信を行うことができる。
【0044】
【発明の効果】
本発明は、以上のように構成され機能するので、これによると、ユーザ端末がデータセンタのファイアウォール手段を介して公衆インターネット網にアクセスする際に、データセンタとユーザ端末とを接続するネットワークとして、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網(例えば、インターネットワーキングの標準化団体であるInternet Engineering Task Force(IETF)が策定するIPsec方式によるもの)を用いているので、ユーザ端末とデータセンタ間は、既存の公衆インターネット網にて接続されているにも関わらずセキュリティの強化が図られ、そして、データセンタのファイアウォールにて公衆インターネット網上の他のコンピュータからの攻撃や不正アクセスを抑制することができ、これにより、低コストにてセキュリティの強化を実現することができる、という従来にない優れた効果を有する。
【0045】
また、公衆インターネット網への出入口となるデータセンタに、ユーザ端末が通信するデータに対して様々な処理を行う機能を設けた場合には、さらなるセキュリティの強化や、有害データのフィルタリングによるユーザの健全化、また、通信の高速化などを実現することができる。そして、これらの機能がデータセンタにまとめて備えられることにより、サービス提供者側はその運用が容易となると共に、サービスを受けるユーザにとっては、低額な導入コスト、ランニングコストにて利用することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態におけるシステム概要を示すブロック図である。
【図2】図1に開示したシステムの詳細を示す機能ブロック図である。
【図3】図3(a)は、本発明に用いるデータ通信の方式であるIPsec方式についての説明図である。図3(b)〜(d)は、伝送されるデータ構造を示す図である。
【図4】本発明である通信システムの動作を示す説明図である。
【図5】本発明の第2の実施形態におけるデータセンタの構成を示すブロック図である。
【図6】従来例における通信システムの構成を示すブロック図である。
【符号の説明】
1 ユーザ端末
2,20 データセンタ
21 ウイルス検出手段
22 コンテンツフィルタリング手段
23 プロキシ手段
24 通信ログ管理手段
R1a,R1b,R1c,R2 接続中継手段(IPsecルータ)
N ネットワーク(公衆インターネット網)
FW ファイアウォール[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication system, and more particularly, to a communication system in which a user terminal performs data communication on a public Internet network via a data center firewall.
[0002]
[Prior art]
2. Description of the Related Art In recent years, with the spread of the Internet, businesses and services using the Internet are increasing at an accelerating rate, while problems such as "wiretapping" and "spoofing" have arisen. In order to prevent such a problem, it is extremely important to enhance communication security.
[0003]
Particularly, in a company having a plurality of users, a system using a dedicated line up to the entrance of the Internet, etc., so that a website on a public Internet network can be browsed while maintaining the security of communication (LAN) between user terminals is maintained. Had been built. FIG. 6 shows a specific example.
[0004]
As shown in FIG. 6, in consideration of security, it is desirable that the user terminal 100 and the management server 101 that manages the user terminal 100 access the public Internet network N110 via the data center 102 having the firewall FW102. Accordingly, the user terminals 100 connected via the intranet network N101 access the data center 102 (router R102) via the router R101 and the dedicated line 110 of the management server 101, and from there access via the firewall FW102 to the public Internet network. N110. Accordingly, an external attack and an unauthorized access to the intranet N101 can be prevented by the firewall FW102 of the data center 102 (or the Internet service provider (ISP)). In other words, the management server 101, that is, the user terminal 100 does not directly access the public Internet network N110, but only connects to the dedicated line 110 to the data center 102, thereby suppressing data eavesdropping and the like. It is possible to strengthen security.
[0005]
Further, by using a dedicated line for connection with the user terminal 1 or the like, it is possible to suppress the casual connection of the data center 102, which often manages important data, to the public Internet network. High data communication can be realized.
[0006]
Furthermore, for intranet communication between user terminals, that is, between user sites, sufficient security can be ensured by using a VPN over an IP network.
[0007]
On the other hand, as another means for performing the above-mentioned communication between user bases, as shown in Patent Document 1, a private network can be constructed on a public Internet network and used like a virtual dedicated line. VPN technology has been developed.
[0008]
[Patent Document 1]
JP 2002-208965 A
[Problems to be solved by the invention]
However, in any case, it is necessary to connect to the data center with a dedicated line or an IP-VPN network from the viewpoint of security. To achieve this, drawing a dedicated line or using an IP network is not possible. There is a problem that the line cost and the cost for constructing the intranet are high.
[0010]
[Object of the invention]
An object of the present invention is to provide a communication system capable of enhancing security when a user performs data communication in a public Internet network and suppressing the facility introduction cost.
[0011]
[Means for Solving the Problems]
Therefore, in the present invention, a data center having a firewall unit connected to a plurality of user terminals via a network is provided, and the user terminal communicates with another computer on the public Internet network via the firewall unit of the data center. A system for connecting a data center and a user terminal in a system is a virtual private network that performs data conversion in a predetermined format on a public Internet network and performs data communication with each other. I have.
[0012]
By adopting such a configuration, the security between the user terminal and the data center is enhanced by the virtual private network, despite being connected by the existing public Internet network. Then, an attack or an unauthorized access from another computer on the public Internet network can be suppressed by the firewall of the data center. Accordingly, security can be enhanced at low cost without laying a special line.
[0013]
The design and use of the virtual private network can be facilitated by using an IPsec scheme formulated by the Internet Engineering Task Force (IETF), which is a standardization organization for internetworking.
[0014]
The network connecting the data center and the user terminal is a public Internet network, and the data center and the user terminal communicate with each other at each connection point between the public Internet network and the data center and the user terminal. The same effect as described above can be obtained even if connection relay means for performing data conversion to perform communication by performing data conversion in a predetermined format at the time of performing the connection, and each connection relay means uses the IPsec method formulated by IETF. It is desirable to be an IPsec router that performs communication.
[0015]
Further, it is desirable that the data center serving as the gateway to the public Internet network be provided with a virus detecting means for detecting data having computer virus data registered in advance among data transmitted and received by the user terminal. In addition, there are other access restriction means for restricting the access of the user terminal when the website on the public Internet network accessed by the user terminal is a predetermined site, Content filtering means for restricting downloading of content data to be downloaded from a public terminal when the content data is determined to be inappropriate based on data stored in advance, and content of a website on a public Internet network accessed by a user terminal It is desirable to include a proxy means for temporarily storing the data, a communication log management means for storing the data communication status of the user terminal, and the like.
[0016]
As a result, in the data center, which is the gateway to the Internet network in the user terminal, it is possible to suppress transmission of virus data that may cause damage to the user and content data that is undesirable for the user to the user terminal. Thus, the spread of harmful data can be suppressed while further enhancing security. When the data center functions as a proxy, the efficiency of browsing the website by the user terminal can be improved.
[0017]
As described above, by collecting functions that improve problems that occur on the Internet in the data center, there is no need to prepare multiple computers to realize each function, and the service provider can easily operate it. In addition, the service receiving user can use the service at low introduction cost and running cost.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
<First embodiment>
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a block diagram showing an outline of the system of the present invention. FIG. 2 is a functional block diagram showing details of the system configuration of the present invention. FIG. 3 is an explanatory diagram illustrating a data communication method. FIG. 4 is an explanatory diagram showing the operation of the system.
[0019]
(overall structure)
As shown in FIG. 1, the communication system according to the first embodiment of the present invention includes a data center 2 having a firewall unit FW connected to a plurality of user terminals 1 via a network N. This system communicates with other computers on the public Internet network via the firewall means FW of the center 2. That is, when the user terminal 1 accesses a website W or the like on the public Internet network N, the system is via the data center 2.
[0020]
In the present invention, in particular, the network N connecting the plurality of user terminals 1 and the data center 2 is also a public Internet network N on which various websites exist. This is a system that realizes enhancement of security between centers 2. Specifically, the system is characterized by the communication at the thick line portion (symbol B) in FIG. Hereinafter, this will be described in detail.
[0021]
(User terminal)
The user terminal 1 in the present invention is a computer operated by an employee in a predetermined company. These user terminals 1 are mutually connected to a company intranet (LAN), and form one user terminal group 1A. For example, it is assumed that the user terminal group 1A is a LAN constructed in the head office of a predetermined company, and that the user terminals 1B and 1C are LANs constructed in offices located in other areas. As described above, in the present invention, users located at multiple locations connect to the Internet network via one data center.
[0022]
In each of the user terminal groups 1A, 1B, and 1C, connection relay means for performing data conversion into a predetermined format and performing communication when the data center 2 and the user terminal 1 perform data communication with each other. The IPsec routers R1a, R1b, R1c (in FIG. 2, a VPN router) are provided. The IPsec routers R1a, R1b, R1c are routers that perform communication according to the IPsec scheme formulated by the IETF, and form an Internet VPN (virtual private network) by pairing with an IPsec router R2 provided in the data center 2 described later. Form. That is, the IPsec router R1a on the user terminal group 1A side and the IPsec router R2 on the data center 2 side are connected via the public Internet network N, respectively. In other words, IPsec routers R1a, R1b, R1c, and R2 are provided at each connection point between the public Internet network N, the user terminal 1, and the data center 2. By doing so, the Internet network N can be used like a virtual dedicated line.
[0023]
(Virtual private network)
Here, the virtual facility network will be described with reference to FIG. The virtual private network is a technology for constructing a private network on a shared network, or a technology for that purpose, and is so called because it can be used like a virtual dedicated line. The virtual private network is also called a VPN, taking the initials of Virtual Private Network. Then, by creating a virtual tunnel with a communication partner (tunneling), communication of a private address that cannot otherwise pass through the Internet can be performed via the public Internet network.
[0024]
For example, as shown in FIG. 3A, an IPsec router A2 for implementing the above-described VPN is provided at a connection point of one LAN (reference numeral A) including the terminal A1 to the public Internet network N. Similarly, an IPsec router B2 paired with the router A2 is provided at a connection point of the other LAN (reference numeral B) including the terminal B1 with the public Internet network N. Then, a virtual tunnel is formed (tunneling) by these routers, and security of data communication between the routers can be secured.
[0025]
At this time, there is a tunneling method as shown in FIGS. In the case of only the tunneling shown in (b), the data transmitted from the terminal A1 to the terminal B1 is transmitted by the router A2 with a header addressed to the router B2. Then, while passing through the public Internet network N, the data is handled as data from the router A2 to the router B2, and the received data is transmitted from the terminal A1 to the terminal B1 by the router B2 returning the data to the terminal B1. Can be realized. In the method shown in FIG. 3C, the data from the terminal A1 is encrypted including the header (From: A1, To: B1), and the router A2 attaches a header addressed to the router B2 to perform tunneling. This makes it possible to ensure the security of the data itself and to hide the information of the source and destination. In the method shown in FIG. 3D, only the data portion is encrypted without performing header conversion. In such a case, since the header is transmitted as it is, the data from the terminal A1 to the terminal B1 must be data that can pass through the Internet, so that the connection to the Internet is performed using the NAT function. As described above, there are several types of tunneling methods using VPN, and any of these methods may be used. In the present embodiment, the method shown in FIG. 3C is used.
[0026]
Then, in the VPN communication by the IPsec method, a logical connection called SA (Security Association) is established between a communication partner to be paired, such as setting of an encryption algorithm and key data. For example, in the present invention shown in FIG. 1, the communication partner to be paired corresponds to the data center R2 for each of the VPN routers R1a, R1b, R1c of the user terminal groups 1A, 1B, 1C. That is, R1a-R2, R1b-R2, and R1c-R3 are paired to form a VPN.
[0027]
Incidentally, IPsec is a function standardized as an IP-level encryption system in the Internet Engineering Task (IETF), which is a standardization group of internetworking.
[0028]
(Data center)
Next, the data center 2 will be described. The data center 2 mainly manages the company's server on behalf of the company entrusted to the company, serves as a gateway for connection to the public Internet network N, and functions to prevent eavesdropping, falsification, spoofing, etc. of data within the company. do. For this reason, the data center 2 is provided with a firewall FW at the entrance to the public Internet network.
[0029]
Further, as described above, the data center 2 and the user terminal 1 are connected via the public Internet N, and an IPsec router R2 is provided at a connection point between the data center 2 and the public Internet N. . As a result, the security between the user terminal 1 and the data center 2 can be enhanced despite the use of the public Internet network N, and the cost can be reduced as compared with the case where a dedicated line is constructed. Can be. In addition, the firewall FW of the data center 2 can prevent external attacks and unauthorized access to the in-house LAN including the user terminal 1, and can collect user terminals (groups) located at a plurality of bases. As a result, security can be enhanced in the data center 2, so that management efficiency can be improved.
[0030]
Here, the data center 2 is configured by one server computer, and may have the IPsec router R2 built therein or the firewall function FW incorporated therein. However, in the present embodiment, the data center 2 refers to an aggregate of a group of server computers, the IPsec router R2 is a single device, and the firewall FW and the like are configured by individual server computers.
[0031]
(motion)
Next, the operation of the system according to the present embodiment will be described with reference to FIG. In this figure, the symbol C indicates a group of user terminals 1A and 1B on the company side, and the symbol www indicates a group of websites on the public Internet N.
[0032]
First, a case where intranet communication is performed in a company will be described. When a predetermined user terminal 1 of the user terminal group 1A (for example, the head office) performs data communication with a predetermined user terminal 1 of another user terminal group 1B (for example, a business office), the IPsec router transmits the information. The packet is transmitted to the IPsec router R2 of the data center 2 in a tunneled state at R1a, and then transmitted to the IPsec router R1b installed in the user terminal group 1B as the transmission destination in the tunneled state. Then, the tunneling state is released by the router R1b and received by another user terminal 1 (see the arrow D1 in FIG. 4).
[0033]
When the user terminal 1 accesses a website on the public Internet network, information transmitted at that time is transmitted to the data center 2 through the public Internet network in a tunneled state (see arrow D2). Eavesdropping of data during that time is suppressed. Even if eavesdropping, the content is not recognized. The user terminal 1 can access the Internet network from the data center 2 and can browse various websites. Conversely, since the external computer on the public Internet network such as the website W is protected by the firewall FW of the data center 2 (see arrow D3), unauthorized access to the corporate LAN (code C) is suppressed. can do.
[0034]
By doing so, it is not necessary to lay a dedicated line between the user terminal 1 and the data center 2, and the security can be improved even when using the existing public Internet network, and the cost of the equipment can be reduced. Can be achieved.
[0035]
<Second embodiment>
Hereinafter, a second embodiment of the present invention will be described with reference to FIG. The communication system according to the second embodiment has substantially the same configuration as that of the first embodiment described above, but differs in that the data center 20 has the following functions. The configuration of the data center 20 of the present embodiment is shown in the block diagram of FIG. Incidentally, also in the present embodiment, the user is an employee of a company, and an example is shown in which a company that manages the employee uses the present system. However, the user is not limited to this.
[0036]
The data center 20 shown in FIG. 5 includes a virus detection unit 21 that detects data having computer virus data registered in advance among data transmitted and received by the user terminal 1. The virus detection means 21 may be a function provided in one server as the data center 20. When the data center 20 is regarded as one facility, it is connected to the IPsec router R2 or the firewall FW. Virus detection server computer 21 may be used. This allows the user terminal 1 to execute a virus check on data downloaded from the website W on the public Internet network and data such as e-mail received from another computer at the data center 20. Is transmitted to the user terminal 1 only. Therefore, the data center 20 serving as the gateway to the public Internet network performs a virus check, whereby the security of the entire company such as the user terminal 1 and the LAN can be enhanced in a lump.
[0037]
Further, the data center 20 is also provided with an access restricting means for restricting access of the user terminal 1 when a website on the public Internet network accessed by the user terminal 1 is a predetermined site. This access restriction unit may be a function in the data center 20 as in the case of the virus detection unit 21 or may be realized by a server computer. Such means stores in advance address information of a site for which access is prohibited (for example, a site that violates public order and morals), and checks the address when a user terminal 1 requests access to the site. When the address matches the stored address, connection to the site is prohibited. As a result, it is possible to suppress an employee from accessing an inappropriate site with a user terminal in a company, to suppress an adverse effect on the employee, and to improve work efficiency.
[0038]
The data center 20 restricts the download of the content when the user terminal 1 determines that the content data downloaded from the website W on the public Internet network is inappropriate based on predetermined data. A content filtering unit 22 is provided. The content filtering means 22 may also be a function in the data center 20, or may be realized by a server computer. The content filtering means 22 is, for example, a function for restricting download of an obscene image, and includes a color of an image which the user terminal 1 is going to download and a previously stored color data which is a reference for judging an obscene image. If the download image is determined to be an obscene image based on the above, it is not transmitted to the user terminal 1. This makes it possible to automatically restrict inappropriate site access by the user.
[0039]
Further, the data center 20 is provided with a proxy means 23 for temporarily storing the contents of a website on the public Internet network accessed by the user terminal. The proxy means 23 may also be a function in the data center 20, or may be realized by a server computer. The proxy means temporarily stores the content of the site previously downloaded by itself or another person in the data center 20, and then, when a request for downloading the content is received from the user terminal 1, the temporarily stored data is stored in the data center 20. Send. With such a cache function, it is possible to speed up the download of the content and improve the efficiency of browsing the website.
[0040]
Further, the data center 20 includes a communication log management unit 24 that stores the data communication status of the user terminal 1. The communication log management unit 23 may be a function in the data center 20 or may be realized by a server computer. The communication log management unit 23 stores, for example, the access time, the number of times of the user terminal 1, the URL of the access destination, and the like. In some cases, the communication log data storage device has a function of transmitting the stored communication log data to the terminal 1 of a person who manages an employee of a company as a user. As a result, communication management of the user of the company becomes easy, and the business can be speeded up.
[0041]
In this way, by collecting all functions in the data center, that is, functions that improve problems that occur on the public Internet network, there is no need to prepare multiple computers that realize each function, and the service provider can operate it. It will be easier. This also allows the service receiving side to receive the service at low cost.
[0042]
<Third embodiment>
Next, a third embodiment of the present invention will be described. In the third embodiment, the user terminal 1 is a general user, and the data center 20 is an Internet service provider (ISP) used when a general user browses a website. The functions of the user terminal 1 and the data center 20 are not different from those of the first and second embodiments.
[0043]
In this way, by using this system for general users, unauthorized access from the outside can be suppressed, and various functions such as content filtering, virus check, and proxy can be easily used by users. Data communication, such as browsing websites, can be performed with care.
[0044]
【The invention's effect】
Since the present invention is configured and functions as described above, according to this, when the user terminal accesses the public Internet network through the firewall means of the data center, as a network connecting the data center and the user terminal, A virtual private network that performs data conversion by performing data conversion on a public Internet network in a predetermined format and performs data communication with each other (for example, an IPsec system formulated by the Internet Engineering Task Force (IETF), a standardization organization for internetworking). , Security is enhanced between the user terminal and the data center despite being connected by the existing public Internet network, and the public Internet network is established by the data center firewall. Of it is possible to suppress the attack and unauthorized access from other computers, which makes it possible to achieve enhanced security at a low cost, it has an excellent effect unprecedented called.
[0045]
Also, if the data center serving as the gateway to the public Internet network is provided with a function to perform various processes on the data communicated by the user terminal, the security will be further enhanced and the user's soundness will be improved by filtering harmful data. And speeding up of communication can be realized. By providing these functions collectively in the data center, the service provider can easily operate the data center and can use the service with low introduction cost and running cost for the user receiving the service. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing an outline of a system according to a first embodiment of the present invention.
FIG. 2 is a functional block diagram showing details of the system disclosed in FIG. 1;
FIG. 3A is an explanatory diagram of an IPsec system which is a data communication system used in the present invention. FIGS. 3B to 3D are diagrams showing a data structure to be transmitted.
FIG. 4 is an explanatory diagram showing an operation of the communication system according to the present invention.
FIG. 5 is a block diagram showing a configuration of a data center according to a second embodiment of the present invention.
FIG. 6 is a block diagram showing a configuration of a communication system in a conventional example.
[Explanation of symbols]
1 User terminal 2, 20 Data center 21 Virus detection means 22 Content filtering means 23 Proxy means 24 Communication log management means R1a, R1b, R1c, R2 Connection relay means (IPsec router)
N network (public Internet network)
FW firewall

Claims (9)

ネットワークを介して複数のユーザ端末に接続されたファイアウォール手段を有するデータセンタを備え、前記ユーザ端末が前記データセンタのファイアウォール手段を介して公衆インターネット網上の他のコンピュータと通信を行うシステムであって、
前記データセンタと前記ユーザ端末とを接続するネットワークは、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網であることを特徴とする通信システム。A system comprising a data center having a firewall connected to a plurality of user terminals via a network, wherein the user terminal communicates with another computer on a public Internet network through a firewall of the data center. ,
A communication system, wherein the network connecting the data center and the user terminal is a virtual private network that performs data conversion in a predetermined format on a public Internet network and performs data communication with each other. 前記仮想私設網は、インターネットワーキングの標準化団体であるIETF(Internet Engineering Task Force)が策定するIPsec方式によるものであることを特徴とする請求項1記載の通信システム。2. The communication system according to claim 1, wherein the virtual private network is based on an IPsec scheme developed by an Internet Engineering Task Force (IETF), which is a standardization organization of internetworking. ネットワークを介して複数のユーザ端末に接続されたファイアウォール手段を有するデータセンタを備え、前記ユーザ端末が前記データセンタのファイアウォール手段を介して公衆インターネット網上の他のコンピュータと通信を行うシステムであって、
前記データセンタと前記ユーザ端末とを接続するネットワークは、公衆インターネット網であると共に、
当該公衆インターネット網と前記データセンタ及び前記ユーザ端末との各接続箇所に、前記データセンタと前記ユーザ端末とが相互にデータ通信を行う際にあらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段をそれぞれ設けたことを特徴とする通信システム。A system comprising a data center having a firewall connected to a plurality of user terminals via a network, wherein the user terminal communicates with another computer on a public Internet network through a firewall of the data center. ,
The network connecting the data center and the user terminal is a public Internet network,
When the data center and the user terminal perform data communication with each other at the connection points between the public Internet network and the data center and the user terminal, the data center and the user terminal perform data conversion to a predetermined format to perform communication. A communication system comprising connection relay means. 前記各接続中継手段は、インターネットワーキングの標準化団体であるIETF(Internet Engineering Task Force)が策定するIPsec方式にて通信を行うIPsecルータであることを特徴とする請求項3記載の通信システム。4. The communication system according to claim 3, wherein each of the connection relay units is an IPsec router that performs communication according to an IPsec scheme formulated by an IETF (Internet Engineering Task Force), which is a standardization organization of internetworking. 前記データセンタは、前記ユーザ端末が送受信するデータのうち、あらかじめ登録されたコンピュータウイルスデータを有するデータを検出するウイルス検出手段を備えたことを特徴とする請求項1,2,3又は4記載の通信システム。5. The data center according to claim 1, wherein the data center further comprises a virus detection unit for detecting data having computer virus data registered in advance among data transmitted and received by the user terminal. Communications system. 前記データセンタは、前記ユーザ端末がアクセスする前記公衆インターネット網上のウェブサイトがあらかじめ定められたサイトである場合に前記ユーザ端末のアクセスを制限するアクセス制限手段を備えたことを特徴とする請求項1,2,3,4又は5記載の通信システム。The data center further comprises access restriction means for restricting access of the user terminal when a website on the public Internet network accessed by the user terminal is a predetermined site. The communication system according to 1, 2, 3, 4 or 5. 前記データセンタは、前記ユーザ端末が前記公衆インターネット網上のウェブサイトからダウンロードするコンテンツデータがあらかじめ記憶されたデータに基づいて前記ユーザに対して不適切であると判断した場合に当該コンテンツのダウンロードを制限するコンテンツフィルタリング手段を備えたことを特徴とする請求項1,2,3,4,5又は6記載の通信システム。The data center downloads the content when the user terminal determines that the content data downloaded from the website on the public Internet network is inappropriate for the user based on data stored in advance. 7. The communication system according to claim 1, further comprising a content filtering means for limiting. 前記データセンタは、前記ユーザ端末がアクセスする前記公衆インターネット網上のウェブサイトのコンテンツを一時的に保管するプロキシ手段を備えたことを特徴とする請求項1,2,3,4,5,6又は7記載の通信システム。7. The data center according to claim 1, further comprising proxy means for temporarily storing contents of a website on said public Internet network accessed by said user terminal. Or the communication system according to 7. 前記データセンタは、前記ユーザ端末のデータ通信状況を記憶する通信ログ管理手段を備えたことを特徴とする請求項1,2,3,4,5,6,7又は8記載の通信システム。9. The communication system according to claim 1, wherein said data center includes communication log management means for storing a data communication status of said user terminal.
JP2002326397A 2002-11-11 2002-11-11 Communication system Pending JP2004165761A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002326397A JP2004165761A (en) 2002-11-11 2002-11-11 Communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002326397A JP2004165761A (en) 2002-11-11 2002-11-11 Communication system

Publications (1)

Publication Number Publication Date
JP2004165761A true JP2004165761A (en) 2004-06-10

Family

ID=32805313

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002326397A Pending JP2004165761A (en) 2002-11-11 2002-11-11 Communication system

Country Status (1)

Country Link
JP (1) JP2004165761A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008038386A1 (en) * 2006-09-28 2008-04-03 Fujitsu Limited Service providing device, service providing system, and service providing method
JP2018510576A (en) * 2015-03-30 2018-04-12 アマゾン・テクノロジーズ、インコーポレイテッド Network flow log for multi-tenant environments

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008038386A1 (en) * 2006-09-28 2008-04-03 Fujitsu Limited Service providing device, service providing system, and service providing method
JP2018510576A (en) * 2015-03-30 2018-04-12 アマゾン・テクノロジーズ、インコーポレイテッド Network flow log for multi-tenant environments
US10187427B2 (en) 2015-03-30 2019-01-22 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
US10469536B2 (en) 2015-03-30 2019-11-05 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
US11659004B2 (en) 2015-03-30 2023-05-23 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments

Similar Documents

Publication Publication Date Title
US11659385B2 (en) Method and system for peer-to-peer enforcement
US7616597B2 (en) System and method for integrating mobile networking with security-based VPNs
JP4727125B2 (en) Secure dual channel communication system and method through a firewall
US7533409B2 (en) Methods and systems for firewalling virtual private networks
KR100758733B1 (en) System and method for managing a proxy request over a secure network using inherited security attributes
JP4707992B2 (en) Encrypted communication system
JP3464610B2 (en) Packet verification method
JP3492920B2 (en) Packet verification method
US7536715B2 (en) Distributed firewall system and method
US8011000B2 (en) Public network access server having a user-configurable firewall
US20020069356A1 (en) Integrated security gateway apparatus
KR20070053345A (en) Architecture for routing and ipsec integration
CN1949705B (en) Dynamic tunnel construction method for safety access special LAN and apparatus therefor
CN100352220C (en) Safety access method based on dynamic host configuration arrangment and network gate verification
CN1521993A (en) Network control method and equipment
Forbacha et al. Design and Implementation of a Secure Virtual Private Network Over an Open Network (Internet)
JP2004165761A (en) Communication system
KR20170017860A (en) Network virtualization system based of network vpn
EP1290852A2 (en) Distributed firewall system and method
JP3596489B2 (en) VPN system, VPN device and program
Jørstad Personalised ubiquitous file access with XML Web Services
KR20160119549A (en) Network virtualization system based of network vpn
TWI254533B (en) A method of data communication control applying package-oriented filtering mechanism
Tsuda et al. Design and implementation of Network CryptoGate-IP-layer security and mobility support
Libonati Virtual Private Networks Finding Privacy in a Public Network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040427

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060110