JP3852017B2 - ファイアウォール装置 - Google Patents

ファイアウォール装置 Download PDF

Info

Publication number
JP3852017B2
JP3852017B2 JP2005504855A JP2005504855A JP3852017B2 JP 3852017 B2 JP3852017 B2 JP 3852017B2 JP 2005504855 A JP2005504855 A JP 2005504855A JP 2005504855 A JP2005504855 A JP 2005504855A JP 3852017 B2 JP3852017 B2 JP 3852017B2
Authority
JP
Japan
Prior art keywords
user
filtering
firewall
user terminal
individual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005504855A
Other languages
English (en)
Other versions
JPWO2004071038A1 (ja
Inventor
和彦 長田
大祐 岡
亮一 鈴木
隆司 池川
弘幸 市川
忠司 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2004071038A1 publication Critical patent/JPWO2004071038A1/ja
Application granted granted Critical
Publication of JP3852017B2 publication Critical patent/JP3852017B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、インターネットなどの外部ネットワークに接続するユーザを保護するためのファイアウォール装置に関する。
自己の端末、または、自己のネットワークのセキュリティを高める手段の1つとして、ファイアウォール(FWとも称する)がある。
ファイアウォールは、セキュリティを高めたい自己の端末または自己のネットワークと外部ネットワークとの間に配置され、予め決められたセキュリティポリシに従い、外部ネットワークから自己の端末またはネットワークに向かうパケット、または、自己の端末またはネットワークから外部ネットワークヘ向かうパケットに対して、通過が可能かどうかを判断し、可能な場合は、当該パケットを通過させ、可能でない場合は、当該パケットを破棄するフィルタリング処理を実施する。
セキュリティポリシは、アドレス、プロトコル種別、ポート番号、方向、通過の可否、または他の条件を結びつけ、1つのルールとし、当該ルールを複数まとめたものである。
また、ファイアウォールは設置場所により、3つに区分することができる。
1つは、図1に示すように、ファイアウォール10を自己の端末内部に保持するもの(以下、端末ベースファイアウォールと称する)で、自己の端末11を外部ネットワーク(例えば、インターネット)12から守るために利用されている。
もう1つは、図2に示すように、ファイアウォール10を自己のネットワーク13のエッジに設置され、外部ネットワーク12に接続するもの(以下、CPEベースファイアウォールと称する)で、自己のネットワーク13を外部ネットワーク12から守るために利用される。
もう1つは、図3に示すように、ファイアウォール10が、独立のポリシで運用されるセキュリティを高めたいネットワーク13または端末11を複数収容し、外部ネットワーク12に接続する位置に設置されるもの(以下、NWベースファイアウォールと称する)で、個々のネットワーク13または端末11を外部ネットワーク12から守るために利用される。
常時接続ユーザが増加するとともに、セキュリティの必要性が高まる中、セキュリティ知識が不十分なユーザに対し、低コストでスキル不足を解消するセキュリティサービスを提供することが求められているという観点からは、上記のファイアウォールのうち、ネットワーク側にファイアウォールを配備するNWベースファイアウォールが有効である。
すなわち、NWベースファイアウォールにより、収容ユーザの集約による経済化と、アウトソーシングによるユーザ稼動の軽減が期待される。ただし、セキュリティポリシをユーザ毎に提供する必要もあり、本方法によるファイアウォールでは、1台の物理的なファイアウォールにユーザ毎の仮想ファイアウォールを構築するアーキテクチャが求められる。
従来技術の仮想ファイアウォールの構築法を図4に示す。従来技術によるユーザの端末あるいはサーバ、またはユーザのネットワークと仮想ファイアウォールとの割り当ては、固定的なユーザIDと仮想ファイアウォールIDとを対応させることにより実現する。
ここで固定的なユーザIDとは、ユーザの端末やサーバが属するネットワークのVLAN−IDやユーザの端末やサーバのIPアドレスである。図4では、ユーザ#aのサーバ211のIPアドレス[a.a.a.a]、ユーザ♯bのサーバ212のIPアドレス[b.b.b.b]を、それぞれ固定的なユーザIDとして、また、これらをそれぞれ仮想ファイアウォールID202および203と対応づけ、振分け管理テーブル201に事前に登録される。
そして例えば、サーバ211とユーザ#aの接続相手端末213との間の通信において、サーバ211から送信されるパケット221に対し、その送信元IPアドレス[a.a.a.a]を検索キーとして振分け管理テーブル201を参照し、該送信元IPアドレス[a.a.a.a]と対応付けられている仮想ファイアウォールID202を検索し、該パケット221を仮想ファイアウォール202に振り分ける。また、接続相手端末213から送信されるパケット222に対し、その宛先IPアドレスb.b.b.bを検索キーとして振分け管理テーブル201を参照し、該宛先IPアドレスb.b.b.bと対応付けられている仮想ファイアウォールID203を検索し、該パケット222を仮想ファイアウォール203に振り分ける。
仮想ファイアウォール202、203には、それぞれユーザ#a、ユーザ#bが定めるセキュリティポリシに従うフィルタリングルールが記載されており、このルールに従い、パケット221および222は通過あるいは廃棄処理される。これによって不正アクセス者からのサーバ211に対する攻撃パケットをフィルタリングすることができる。
この従来技術は、主にデータセンタ等を適用先としており、そこでは固定的なユーザIDを用いているため、ユーザIDを振分け管理テーブル201に事前に登録することが可能である。
なお、上記の従来技術に関連する先行技術文献として、「データセンタにおけるセキュアなコンテンツ・フィルタリング方式の検討」(電子情報通信学会ソサイエティ大会(2002)B-6-38 2002.8.20発行)がある。
また、ユーザ毎のセキュリティ通信を設定するもう1つの従来技術として、「セキュリティ通信方法、通信システム及びその装置」(特開2001−298449号公報)がある。しかし本従来技術は、主にIPSec通信を想定しており、そこで定義されるユーザ毎のセキュリティ通信とは、通信に用いる認証アルゴリズムや暗号化アルゴリズムの強度を、ユーザの要求に応じ決定するというものにすぎず、不正アクセスからの攻撃パケットをフィルタリングする機能とは異なる。
ユーザが利用する常時接続サービスにおいては、ユーザID(ユーザIPアドレス)はユーザ端末とネットワークとの接続が確立されるときに初めて付与される。具体的には、PPP(Point to Point Protocol)セッションの確立時に初めて付与される。また、ユーザIPアドレスは一般に可変である。
従って、上記の従来技術における仮想ファイアウォールを常時接続サービスに適用しようとしても、振分け管理テーブルにユーザIPアドレスを事前登録することができないので、従来技術における仮想ファイアウォールを常時接続サービスに適用することは困難である。
また、常時接続サービスの場合、データセンタ等への適用の場合と比較し、収容ユーザ数が断然に多いことから、NWベースのファイアウォール装置に多重に収容するユーザ数を増大させることが求められている。
さて、ファイアウォールの配置場所という観点とは別に、ファイアウォールをセキュリティポリシの保持方法の観点から分類すると以下の2つに分類することができる。
1つは、セキュリティポリシをファイアウォール内部に保持するものであり、通常のファイアウォールはこの方法が用いられている。
もう1つは、図5、図6、図7に示すように、セキュリティポリシ15をファイアウォール10の外部に保持し、複数のファイアウォール10に、このセキュリティポリシを配布するものである。
先に示したどの種類のファイアウォール(端末ベースファイアウォール、CPEベースファイアウォール、あるいは、NWベースファイアウォール)も、その多くはセキュリティポリシをファイアウォール内部に保持するものである。
しかし、セキュリティポリシを分配する方法を用いるファイアウォールに関しても、特表2002−544607号公報により、端末ベースファイアウォールへの適用が示されており、また、文献(「Distributed FirewalIs」(Nov.1999, Special lssue on Security, ISSN l044-63971))により、CPEべースファイアウォールへの適用が示されている。
また、NWベースファイアウォールにおいても、収容するネットワークまたは端末が静的に接続される場合は、CPEベースファイアウォールと同様に考えられる。
しかし、NWベースファイアウォールで、収容するネットワークまたは端末が動的に接続、切断を行い、または、収容されるNWベースファイアウォールを変更する場合においては、ファイアウォール内部にセキュリティポリシを保持する方法は、ネットワークまたは端末の接続、切断に関係無く、ファイアウォールが収容する可能性のあるネットワークまたは端末に関するセキュリティポリシを全て保持しなければならないため有用でない。
よって、このような環境では、ネットワークまたは端末の接続、あるいは切断に合わせ、保持するセキュリティポリシ容量を最適に保つ手段を有するNWベースファイアウォール装置が必要になる。
また、NWベースファイアウォールには、複数のネットワークまたは端末が接続されるため、前記のネットワークまたは端末の接続に合わせてセキュリティポリシをロードする手段を有するNWベースファイアウォールでは、多量のセキュリティポリシをロードする場合があり、この場合、NWベースファイアウォールのCPUは、ロード用の処理が大きくなり、フィルタリングおよび転送用の処理ができず、フィルタリングおよび転送性能に影響を及ぼす。
また、セキュリティポリシを配布する装置においても、配布量が装置性能を超えた場合、セキュリティポリシを配布できなくなる。
さらに、セキュリティポリシの配布に用いられている回線においても、配布量が回線容量を超えた場合、セキュリティポリシの廃棄または遅延が生じることになる。
従って、配布するセキュリティポリシ量を抑える手段を有するNWベースファイアウォール装置が必要になる。
特開2001−298449号公報 特表2002−544607号公報 「データセンタにおけるセキュアなコンテンツ・フィルタリング方式の検討」(電子情報通信学会ソサイエティ大会(2002)B-6-38 2002.8.20発行) 「Distributed FirewalIs」(Nov.1999,Special lssue on Security,ISSN l044-63971)
本発明の第1の目的は、事前にユーザIDと仮想ファイアウォールIDとの対応付けができない通信形態に対してもサービス提供可能なファイアウォール装置を提供することである。
また、本発明の第2の目的は、収容するユーザ多重数を増大させることのできるファイアウォール装置を提供することである。
更に、本発明の第3の目的は、収容するネットワークまたは端末の接続または切断に応じて必要なセキュリティポリシを保持または破棄することを可能にし、且つ、ロードするセキュリティポリシ量を軽減することが可能なファイアウォール装置を提供することである。
上記の第1の目的は、複数の仮想ファイアウォールを有し、各仮想ファイアウォールはそれぞれ独立したフィルタリングポリシを有するファイアウォール装置であって、
ユーザ名と仮想ファイアウォールIDを管理する振分け管理テーブルと、
ユーザ端末からのネットワーク接続のための認証情報を受信すると、それに記載されているユーザ名を保持する手段と、
認証情報を認証サーバに通知する手段と、
前記認証サーバから、認証応答を受信すると、その応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
前記ユーザIDを前記ユーザ名と対応付けて前記振分け管理テーブルに登録するファイアウォール装置により達成できる。
本発明によれば、事前にユーザIDと仮想ファイアウォールIDとの対応付けができない通信形態に対しても、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザIDと仮想ファイアウォールIDとを対応付けることができる。そして、そのユーザIDのユーザ端末が送信あるいは受信するパケットに対し、そのユーザ端末に対応するセキュリティポリシに従うフィルタリングルールを適用することができる。
また、上記の第2の目的は、ユーザ名と、ユーザIDと、フィルタリングIDとを対応付けて管理する振分け管理テーブルと、
前記フィルタリングIDによって特定され、それぞれ独立したフィルタリングポリシを有するフィルタリングテーブルと、
ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、
前記認証情報を認証サーバに通知する手段と、
前記認証サーバから認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
前記ユーザIDを前記ユーザ名と対応付けて前記振分け管理テーブルに登録するファイアウォール装置によって達成できる。
本発明によれば、フィルタリングIDを導入し、ユーザ毎のフィルタリングポリシをフィルタリングIDによって識別するので、例えば、各仮想ファイアウォールに複数の独立したフィルタリングポリシを管理することができ、ユーザ多重数を向上させることができる。
また、ユーザ毎のパケットの検索範囲は、付与されたフィルタリングIDの値と一致するテーブルのみを検索対象とするため、検索処理時間が不必要に長くなるのを抑制することができる。
また、本願発明では、前述のフィルタリングIDを、さらに個別フィルタリングIDと共通フィルタリングIDに2分化し、各ユーザ個別のフィルタリングポリシは個別フィルタリングテーブルに記載し、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテーブルに記載することもできる。
これにより、例えば、10ユーザが2つの同じフィルタリングルールを利用している場合、従来技術を適用すると、合計20ルールがフィルタリングテーブルに記載されるのに対し、本発明によれば、2ルールのみフィルタリングテーブルに記載すればよので、フィルタリングポリシの管理を効率的に行うことが可能となる。
上記の第3の目的は、複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、
複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、
ユーザ端末情報と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとを管理する振分け管理テーブルと、
ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
ユーザと結び付けられた共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを管理する識別子管理サーバとの通信手段と、
前記個別フィルタリングテーブルに書込まれるユーザ固有のセキュリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、
前記ファイアウォール装置は、
ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
前記ユーザ名を、前記識別子管理サーバと前記セキュリティポリシサーバに通知し、
前記識別子管理サーバから受信した共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記個別フィルタリングテーブルに書込むファイアウォール装置により達成できる。
本発明によれば、ネットワークまたは端末の接続開始に合わせ必要なセキュリティポリシをロードすることが可能になる。
また、ネットワーク接続開始時にセキュリティポリシを書込む領域を示す識別子と、認証により接続開始するネットワークまたは端末に付与されるユーザ端末情報を結び付けておき、接続切断時に、切断するネットワークまたは端末のユーザ端末情報を元に、識別子を調べ、識別子に示される領域のセキュリティポリシを破棄するので、ネットワークまたは端末の接続切断に合わせセキュリティポリシを破棄することが可能になる。
また、本発明のファイアウォール装置は、セキュリティポリシを個別セキュリティポリシと、共通セキュリティポリシとに分け、共通セキュリティポリシは常にファイアウォール装置に保持しておき、個別セキュリティポリシのみを、ネットワークまたは端末の接続開始時にロードすることができるので、ロードするセキュリティポリシ量を軽減することが可能になる。
また、本発明のファイアウォール装置は、セキュリティポリシを配布する装置と、前述の識別子が調べられる装置を全てのファイアウォール装置と接続し、前述のセキュリティポリシのロードを行うことができるので、ネットワークまたは端末が収容されるファイアウォール装置を変更してネットワーク接続開始、あるいは切断を行っても、ファイアウォール装置は適切にセキュリティポリシをロードすることが可能になる。
以下、図面を参照して本発明の各実施例を説明する。
(実施例1−1〜実施例1−5)
[実施例1−1]
まず、本発明の実施例1−1を図8および図9を用いて説明する。本例では、ユーザからのネットワーク接続方式はPPP、認証用通信はRADIUSとする。
ファイアウォール装置100は、ユーザ毎に仮想ファイアウォールを具備している。例えば、ユーザ#aのセキュリティポリシが適用され、ユーザ#aの端末111を保護する仮想ファイアウォール102、ユーザ♯bのセキュリティポリシが適用され、ユーザ♯bの端末112を保護する仮想ファイアウォール103が、ファイアウォール装置100内に存在する。
また、振分け管理テーブル101には、事前に設定可能なユーザ名および仮想ファイアウォールIDが登録されている。すなわち振分け管理テーブル101には、ユーザ名#aと仮想ファイアウォールID102、ユーザ名♯bと仮想ファイアウォールID103との対応付けが登録されている。ただし、各ユーザ端末のユーザIDとなるユーザIPアドレスは未確定のため、この時点では登録することができない(振分け管理テーブル101−1の状態)。
本例ではユーザ#aの端末111がインターネット110にネットワーク接続し、その後、接続相手端末113とIP通信を行うものとする。まず、ユーザ端末111からのネットワーク接続要求として、ユーザ端末111とファイアウォール装置100との間でLCP(Link Control Protocol)の情報がやりとりされる(139)。この後行われる認証情報のやりとり140により、ファイアウォール装置100はユーザ端末111から送信されるユーザ名#aを抽出し、ユーザ名#aを保持する(処理ポイント150)。
そして認証情報(ユーザ名およびパスワード)をRADIUSサーバ130に通知する(141)。RADIUSサーバ130にて認証され、その応答142を受信すると、ファイアウォール装置100はその応答142に記載されているユーザ端末に付与すべきユーザIPアドレスを保持する。このユーザIPアドレスを[a.a.a.a]とする。そして、ユーザ名#aを検索キーとして、振分け管理テーブル101の中のユーザ名が#aと記載されている行にこのユーザIPアドレス[a.a.a.a]を登録する(処理ポイント151。振分け管理テーブル101−2の状態)。
また、ファイアウォール装置100は、これと同時に、NCP(Network Control Protocol)の情報をユーザ端末111とファイアウォール装置100との間でやりとりする(143)中で、ユーザIPアドレス[a.a.a.a]をユーザ端末111に送り、ユーザ端末111は自ユーザIPアドレスが[a.a.a.a]であると認識する。
NCPが終了後、ユーザ端末とネットワークとの間でPPP接続が確立される。その後、ユーザ端末111から接続相手端末113に向け送信されるパケット121を、ファイアウォール装置100が受信すると、その送信元IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル101を参照し、[a.a.a.a]の行に記載されている仮想ファイアウォールID=102を抽出し、該パケット121を仮想ファイアウォール102に振り分ける(処理ポイント152)。これにより、パケット121は、ユーザ#aが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
また、通信相手端末113からユーザ端末111に向け送信されるパケット122をファイアウォール装置100が受信すると、その宛先IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル101を参照し、[a.a.a.a]の行に記載されている仮想ファイアウォールID=102を抽出し、該パケット122を仮想ファイアウォール102に振り分ける(処理ポイント153)。これにより、パケット122は、ユーザ#aが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
ユーザ♯bの端末112がインターネット110にネットワーク接続し、その後、接続相手端末113とIP通信を行う場合も、同様の手順により、端末112が送受信するパケットは仮想ファイアウォール103に振り分けられ、ユーザ♯bが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
[実施例1−2]
本発明の実施例1−2を、図10を用い説明する。本例は、実施例1−1において、ユーザ#aから送られるユーザ名あるいはパスワードに誤りがあるなどの理由により、ユーザ名およびパスワードの通知141によって送られたユーザ名とパスワードの組合せが、RADIUSサーバ130に登録されているユーザ名とパスワードの組合せと一致しない場合を示すものである。
なお、LCP139からユーザ名およびパスワードの通知141の処理は実施例1−1と同様であるため、説明を省略する。
前述の理由により、RADIUSサーバ130からの認証エラー通知642が送られると、ファイアウォール装置100は、ユーザ端末111に認証エラー通知643を送信し、PPPの確立処理を終了する。このときファイアウォール装置100は、振分け管理テーブル101には何も処理を行わない。
[実施例1−3]
本発明の第3の実施例を、図8、図11および図12を用い説明する。本例は、実施例1−1において、ファイアウォールサービス未登録ユーザ♯cの端末114が、インターネット110にネットワーク接続し、その後、接続相手端末113とIP通信を行う形態を示すものである。なお、ファイアウォールサービス未登録ユーザ♯cは、振分け管理テーブル101−3には、ユーザ名および仮想ファイアウォールの登録はないが、端末114を通じてインターネット110への通信サービスは享受しており、RADIUSサーバ130にユーザ名およびパスワードが登録されている。
図12において、ユーザIPアドレスの通知142までの動作は、実施例1−1と同様であり、説明は省略する。
ユーザIPアドレスの通知142を受信すると、ファイアウォール装置100はユーザIPアドレスの通知142に記載されているユーザ端末に付与すべきユーザIPアドレス[c.c.c.c]を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル101−3に対し、ユーザ名♯cの検索を行うが、ユーザ名♯cは存在しないため、ユーザIPアドレス[c.c.c.c]を振分け管理テーブル101−3には登録しない。
また、ファイアウォール装置100は、これと同時に、NCPの情報をユーザ端末114とファイアウォール装置100との間でやりとりする(143)中で、ユーザIPアドレス[c.c.c.c]をユーザ端末114に送り、ユーザ端末114は自ユーザIPアドレスが[c.c.c.c]であると認識する。
NCPが終了後、ユーザ端末とネットワークとの間でPPP接続が確立される。その後、ユーザ端末114から接続相手端末113に向け送信されるパケット121を、ファイアウォール装置100が受信すると、その送信元IPアドレスとして記載される[c.c.c.c]を検索キーとして振分け管理テーブル101を参照した結果、該送信元IPアドレスが登録されていないことが判明する。
該送信元IPアドレスが登録されていない場合、図11に示す振分け管理テーブル101−3の最下行にあるように、振り分けるべき仮想ファイアウォールは仮想ファイアウォール104と記載されているため、該パケット121を未登録ユーザ用の仮想ファイアウォール104に振り分ける(処理ポイント152)。
同様にして、通信相手端末113から送信されるパケット122に対しても、その宛先ユーザIPアドレス[c.c.c.c]を検索キーとして振分け管理テーブル101を参照した結果、該宛先IPアドレスが登録されていないことが判明すると、該パケット122を未登録ユーザ用の仮想ファイアウォール104に振り分ける(処理ポイント153)。
なお、未登録ユーザ用の仮想ファイアウォール104は、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。
[実施例1−4]
本発明の第4の実施例を、図8、図13および図14を用い説明する。本例は、実施例1−3と同様の条件であり、ファイアウォールサービス未登録ユーザ♯cの端末114が、インターネット110にネットワーク接続し、その後、接続相手端末113とIP通信を行う形態を示すものである。なお、ファイアウォールサービス未登録ユーザ♯cは、振分け管理テーブル101−4には、ユーザ名および仮想ファイアウォールの登録はないが、端末114を通じてインターネット110への通信サービスは享受しており、RADIUSサーバ130にユーザ名およびパスワードが登録されている。
図14において、ユーザIPアドレスの通知142までの動作は、実施例1−1と同様であり、説明は省略する。
ユーザIPアドレスの通知142を受信すると、ファイアウォール装置100はユーザIPアドレスの通知142に記載されているユーザ端末に付与すべきユーザIPアドレス[c.c.c.c]を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル101−4に対し、ユーザ名♯cの検索を行うが、ユーザ名♯cは存在しない。ユーザ名が存在しない場合、図13に示すように、ユーザIPアドレス[c.c.c.c]および未登録ユーザ用の仮想ファイアウォール104のID=104を振分け管理テーブル101−4に登録する。
また、ファイアウォール装置100は、これと同時に、NCPの情報をユーザ端末114とファイアウォール装置100との間でやりとりする(143)中で、ユーザIPアドレス[c.c.c.c]をユーザ端末114に送り、ユーザ端末114は自ユーザIPアドレスが[c.c.c.c]であると認識する。
NCPが終了後、ユーザ端末とネットワークとの間でPPP接続が確立される。その後、ユーザ端末114から接続相手端末113に向け送信されるパケット121を、ファイアウォール装置100が受信すると、その送信元IPアドレスとして記載される[c.c.c.c]を検索キーとして振分け管理テーブル101を参照し、該送信元IPアドレスと対応付けられている仮想ファイアウォールID=104を検索し、該パケット121を未登録ユーザ用の仮想ファイアウォール104に振り分ける(処理ポイント152)。
同様にして、通信相手端末113から送信されるパケット122に対しても、その宛先ユーザIPアドレス[c.c.c.c]を検索キーとして振分け管理テーブル101−4を参照し、該送信宛先IPアドレスと対応付けられている仮想ファイアウォールID=104を検索し、該パケット122を未登録ユーザ用の仮想ファイアウォール104に振り分ける(処理ポイント153)。
なお、未登録ユーザ用の仮想ファイアウォール104は実施例1−3と同様、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。
また、該送信元IPアドレスが登録されていない場合、図13に示す振分け管理テーブル101−4の最下行にあるように、パケットを廃棄する。これによって、ある悪意ユーザがIP Spoofing攻撃などにより、どのユーザにも付与されていないIPアドレスを持つパケットを大量に送出した場合に、ファイアウォール装置100にてこれらのパケットを廃棄することができる。
[実施例1−5]
本発明の実施例1−5を、図8、図15および図16を用い説明する。本例は、実施例1−1において、ファイアウォールサービス未登録ユーザ♯dの端末115が、インターネット110にネットワーク接続し、その後、接続相手端末113とIP通信を行う形態を示すものである。なお、ユーザ♯dは本来、ファイアウォールサービスに登録されるべきユーザであるが、本例では、ファイアウォール装置100の管理者が振分け管理テーブル101−5にその登録をし忘れたあるいは誤った登録を行ったなどの理由により、ユーザ名♯dが振分け管理テーブル101−5に正しく登録されていない形態となっている。なお、RADIUSサーバ130には正しくユーザ名♯dおよびパスワードが登録されている。
図15において、ユーザIPアドレスの通知142までの動作は、実施例1−1と同様であり、説明は省略する。
ユーザIPアドレスの通知142を受信すると、ファイアウォール装置100はユーザIPアドレスの通知142に記載されているユーザ端末に付与すべきユーザIPアドレス[d.d.d.d]を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル101−5に対し、ユーザ名♯dの検索を行うが、ユーザ名♯dは存在しない。ユーザ名が存在しない場合、ファイアウォール装置100は、ユーザ端末115に認証エラー通知943を送信し、PPPの確立処理を終了する。
(実施例1−1〜1−5の効果)
実施例1−1のファイアウォール装置は、常時接続サービスのようにユーザIPアドレスが、ユーザ端末とネットワークとの接続が確立されるときに初めて付与され、かつ、ユーザIPアドレスの値が可変である場合に対し、動的に振分け管理テーブルにユーザIPアドレスを登録する手段を有する。また、本発明の動的ユーザ識別子対応ファイアウォール装置は、ユーザ毎に仮想ファイアウォールを有する。
これにより、事前にユーザIPアドレスと仮想ファイアウォールIDとの対応付けができない通信形態に対し、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザIPアドレスと仮想ファイアウォールIDとを対応づけ、該ユーザ端末が送信あるいは受信するパケットに対し、該ユーザが定めるセキュリティポリシに従うフィルタリングルールを適用することができる。また、収容ユーザの集約による経済化と、アウトソーシングによるユーザ稼動の軽減を可能とする。
また、実施例1−2のファイアウォール装置は、ユーザから送られるユーザ名あるいはパスワードに誤りがあり、RADIUSサーバからの認証エラー通知が送られる場合に、振分け管理テーブルには何も処理を行わず、ユーザ端末に認証エラー通知を送信する。これにより、ネットワーク接続が拒絶される場合の振分け管理テーブル検索および登録処理を排除し、その分余った処理能力を、他の処理に注力することができる。
また、実施例1−3および実施例1−4のファイアウォール装置は、ファイアウォールサービスを享受しないユーザのユーザ端末も収容することができ、本ファイアウォールサービスを享受しない各ユーザが、サービスを享受する度に発生する物理的な接続の収容替えの煩わしさを排除することができる。
さらに、実施例1−3に示す手段の場合、未登録ユーザを振分け管理テーブルに登録させず、未登録ユーザの送受信パケットを自動的に未登録ユーザ用の仮想ファイアウォールに振り分けるため、振分け管理テーブルに登録される件数は、現在ネットワーク接続確立中の登録ユーザに限ることができ、検索時間の短縮に貢献する。
一方、実施例1−4に示す手段の場合、未登録ユーザを振分け管理テーブルに登録させ、未登録ユーザの送受信パケットを陽に未登録ユーザ用の仮想ファイアウォールに振分け、また、振分け管理テーブルに登録されていない場合は、パケットを廃棄するため、ある悪意ユーザがIP Spoofing攻撃などにより、どのユーザにも付与されていないIPアドレスを持つパケットを大量に送出した場合に、ファイアウォール装置にてこれらのパケットを廃棄することができる。
このように実施例1−3と実施例1−4の各手段は、用途により使い分けられる。
実施例1−5のファイアウォール装置は、ファイアウォール装置の管理者が振分け管理テーブルに対し、ユーザ名および仮想ファイアウォールの登録をし忘れたあるいは誤った登録を行った場合に対し、セキュリティの観点から、もはや成立してはいけない通信を、強制的に終了させることが出来る。
(実施例2−1〜実施例2−7)
次に、実施例2−1〜実施例2−7について説明する。
実施例1−1等に示した動作により、事前にユーザIPアドレスと仮想ファイアウォールIDとの対応付けができない通信形態に対し、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザIPアドレスと仮想ファイアウォールIDとを対応付け、該ユーザ端末が送信あるいは受信するパケットに対し、該ユーザが定めるセキュリティポリシに従うフィルタリングルールを適用することができる。
ただし、常時接続サービスの場合、データセンタ等への適用の場合と比較し、収容ユーザ数が断然に多い。
想定される規模として、データセンタの場合、収容ユーザ数は数百〜数千であるのに対し、常時接続サービスの場合、収容ユーザ数は数万〜数十万規模となる。
現在、装置化され、サービスとして導入されている信頼性の高い仮想ファイアウォール装置の多くは、データセンタ向けに開発されており、実際に収容できるユーザ数は前述の通り、数百〜数千となっている。
収容ユーザ数の規模は異なるものの、常時接続サービス向けの仮想ファイアウォール装置を開発するにあたり、開発の効率化や既存技術の活用の観点から、前記データセンタ向け仮想ファイアウォール装置を土台に流用開発や追加開発する手法が極めて有効となる。
したがって、常時接続サービス向けの仮想ファイアウォール装置を提供するための課題は、ユーザ多重数の向上にある。
また、常時接続サービスではユーザ多重数が多いため、ユーザ毎に独立のセキュリティポリシを提供するサービス性を確保する場合、フィルタリングルールの合計数もユーザ多重数に比例し、多くなる。
しかし実際のところ、各ユーザのフィルタリングルールには、多くのユーザに共通するルールもあるため、ファイアウォール装置全体の観点から見た場合に、ルールの重複となり非効率である。その結果、フィルタリングテーブル量の増大に繋がる。
以上のように常時接続サービス向けの仮想ファイアウォール装置を開発するには、ユーザ多重数の向上とフィルタリングテーブルの効率化が課題となる。
実施例2−1〜実施例2−7では、ユーザ多重数を向上させ、かつ、フィルタリングテーブルの効率化を実現するファイアウォール装置について説明する。
[実施例2−1]
図17は、本発明の実施例2−1のファイアウォール装置の概略構成を示すブロック図であり、図18は、本実施例の仮想ファイアウォール内のフィルタリングテーブルの構成を示す図である。
なお、本実施例では、ユーザからのネットワーク接続方式はPPP(Point to point Protocol)、認証用通信はRADIUSとする。
ファイアウォール装置300は、複数の仮想ファイアウォール(302,303,…,304)を具備する。
さらに、図18に示すように、各仮想ファイアウォール(302,303)には、それぞれ、フィルタリングIDによって特定される複数のフィルタリングテーブル(561,562,563)が存在し、各フィルタリングテーブル(561,562,563)には、各ユーザの独立した1つ以上のフィルタリングポリシが記載される。
本実施例では、ユーザ#aとユーザ#bが定めるセキュリティポリシが仮想ファイアウォール302に、ユーザ#dが定めるセキュリティポリシが仮想ファイアウォール303に格納される。
さらに、ユーザ#aは、仮想ファイアウォール302の中で、フィルタリングIDがαのフィルタリングテーブル561に、ユーザ#bはフィルタリングIDがβのフィルタリングテーブル562に、ユーザ#dは仮想ファイアウォール303の中で、フィルタリングIDがγのフィルタリングテーブル563に、それぞれのセキュリティポリシが記載されている。
ここで、ユーザ#aとユーザ#bとを同じ仮想ファイアウォール302に収容するのは、例えば、ユーザ#aとユーザ#bの共通すべきフィルタリングポリシが同じである場合や、仮想ファイアウォールがインターネットプロバイダ毎に構築されており、ユーザ#aとユーザ#bとが同じインターネットプロバイダに属する場合、等の理由が挙げられる。
振分け管理テーブル301には、事前に設定可能なユーザ名、仮想ファイアウォールIDおよびフィルタリングIDが登録されている。
すなわち、振分け管理テーブル301には、ユーザ名#a、仮想ファイアウォールID(302)およびフィルタリングID(α)の対応付け、ユーザ名#b、仮想ファイアウォールID(302)およびフィルタリングID(β)の対応付け、ユーザ名#d、仮想ファイアウォールID(303)およびフィルタリングID(γ)の対応付けが登録される。
ただし、各ユーザ端末のユーザIDとなるユーザIPアドレスは未確定のため、この時点では登録することができない(図19に示す振分け管理テーブル301−1の状態)。
ユーザIPアドレスが振分け管理テーブル301に登録されない限り、各ユーザからのパケットをそれぞれの仮想ファイアウォールに振分けること、フィルタリングIDの付与を行うことができない。
本実施例ではユーザ#aの端末311がインターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行うものとする。
以下、図19を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図19は、本実施例のファイアウォール装置の動作を示すシーケンス図である。
まず、ユーザ端末311からのネットワーク接続要求として、ユーザ端末311とファイアウォール装置300との間でLCP(Link Control Protocol)の情報がやりとりされる(図19の839)。
この後行われる認証情報のやりとり(図19の840)により、ファイアウォール装置300は、ユーザ端末311から送信されるユーザ名#aを抽出し、ユーザ名#aを保持する(図19の処理ポイント850)。
そして認証情報(ユーザ名およびパスワード)を、RADIUSサーバ330に通知する(図19の841)。
RADIUSサーバ330にて認証され、その応答を受信すると(図19の842)、ファイアウォール装置300はその応答に記載されているユーザ端末に付与すべきユーザIPアドレスを保持する。このユーザIPアドレスを[a.a.a.a]とする。
そして、ユーザ名#aを検索キーとして、振分け管理テーブル301の中のユーザ名が#aと記載されている行に、このユーザIPアドレス[a.a.a.a]を登録する(図19の処理ポイント851、図19の振分け管理テーブル301−2の状態)。
また、ファイアウォール装置300は、これと同時に、NCP(Network Control Protocol)の情報をユーザ端末311とファイアウォール装置300との問でやりとりする(843)中で、ユーザIPアドレス[a.a.a.a]をユーザ端末311に送り、ユーザ端末311は自ユーザIPアドレスが[a.a.a.a]であると認識する。
NCPが終了後、ユーザ端末311とインターネット310との間でPPP接続が確立される。
その後、ユーザ端末311から接続相手端末313に向け送信されるパケット321を、ファイアウォール装置300が受信すると、その送信元IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル(図19の301−2)を検索し、[a.a.a.a]の行に記載されている仮想ファイアウォールID(ID=302)、フィルタリングID(ID=α)を抽出し、当該パケット321を仮想ファイアウォール302に振り分けるとともに、当該パケット321に、αのフィルタリングIDを付与する(図19の処理ポイント852)。
フィルタリングIDを付与されたパケット322は、図18に示すように、振り分けられた仮想ファイアウォール302内において、フィルタリングIDがαのフィルタリングテーブル561に記載されているユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
また、通信相手端末313からユーザ端末311に向け送信されるパケット323をファイアウォール装置300が受信すると、その宛先IPアドレスとして記載される[a.a.a.a]を検索キーとして、振分け管理テーブル(図19の301−2)を検索し、[a.a.a.a]の行に記載されている仮想ファイアウォールID(ID=302)、フィルタリングID(ID=α)を抽出し、当該パケット323を仮想ファイアウォール302に振り分けるとともに、当該パケット323に、αのフィルタリングIDを付与する(図19の処理ポイント853)。
フィルタリングIDを付与されたパケット324は、振り分けられた仮想ファイアウォール302内において、フィルタリングIDがαのフィルタリングテーブル561に記載されているユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
ユーザ#bの端末312がインターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行う場合も、同様の手順により、端末312が送受信するパケットは仮想ファイアウォール302に振り分けられ、その後、フィルタリングテーブル562に記載されているユーザ#bのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
以上説明したように、本実施の形態では、フィルタリングID(α,β,γ)を導入することにより、各仮想ファイアウォール(302,303,304)に複数の独立したフィルタリングポリシを管理することができ、ユーザ多重数を向上させることができる。
また、ユーザ毎のパケットの検索範囲は、付与されたフィルタリングIDの値と一致するテーブルのみを検索対象とするため、検索処理時間が不必要に長くなるのを抑制することができる。
[実施例2−2]
本発明の実施例2−2のファイアウォール装置は、仮想ファイアウォールを備えていない点で、前述の実施例2−1のファイアウォール装置と相異する。
以下、本実施例のファイアウォール装置について、前述の実施例2−1のファイアウォール装置との相異点を中心に説明する。
なお、実施例においても、ユーザからのネットワーク接続方式はPPP、認証用通信はRADIUSとする。
図20は、本発明の実施例2−2のファイアウォール装置の概略構成を示すブロック図である。
図20に示すように、本実施例のファイアウォール装置300は、フィルタリングIDによって特定される複数のフィルタリングテーブル(561,562)を有し、各フィルタリングテーブルには、各ユーザの独立したフィルタリングポリシが記載される。
本実施例では、ユーザ#aはフィルタリングIDがαのフィルタリングテーブル561に、ユーザ#bはフィルタリングIDがβのフィルタリングテーブル562に、それぞれのセキュリティポリシが記載されている。
振分け管理テーブル301には、事前に設定可能なユーザ名およびフィルタリングIDが登録されている。
すなわち振分け管理テーブル301には、ユーザ名#aおよびフィルタリングID αの対応付け、ユーザ名#bおよびフィルタリングID
βの対応付けが登録される。
ただし、各ユーザ端末のユーザIDとなるユーザIPアドレスは未確定のため、この時点では登録することができない(図21に示す振分け管理テーブル301−1の状態)。
ユーザIPアドレスが振分け管理テーブル301に登録されない限り、各ユーザからのパケットに対し、フィルタリングIDの付与を行うことができない。
本実施例ではユーザ#aの端末311がインターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行うものとする。
以下、図21を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図21は、本実施例のファイアウォール装置の動作を示すシーケンス図である。
ユーザ端末311とファイアウォール装置300との間でのLCPの情報のやりとり(図21の839)から、ユーザ端末311とファイアウォール装置300との間でのNCPの情報をやりとり(図21の843)までの動作は、実施例2−1と同様であるので、再度の説明は省略する。
NCPが終了後、ユーザ端末311とインターネット310との間でPPP接続が確立される。その後、ユーザ端末311から接続相手端末313に向け送信されるパケット321を、ファイアウォール装置300が受信すると、その送信元IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル(図21の301−2)を検索し、[a.a.a.a]の行に記載されているフィルタリングID(ID=α)を抽出し、当該パケット321に対し、αのフィルタリングIDを付与する(図21の処理ポイント852)。
フィルタリングIDを付与されたパケット322は、フィルタリングIDがαのフィルタリングテーブル561に記載されているユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
また、通信相手端末313からユーザ端末311に向け送信されるパケット323をファイアウォール装置300が受信すると、その宛先IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル(図21の301−2)を検索し、[a.a.a.a]の行に記載されているフィルタリングID(ID=α)を抽出し、当該パケット323に対して、αのフィルタリングIDを付与する(図21の処理ポイント853)。
フィルタリングIDを付与されたパケット324は、フィルタリングIDがαのフィルタリングテーブル561に記載されているユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
ユーザ#bの端末312がインターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行う場合も、同様の手順により、端末312が送受信するパケットはフィルタリングテーブル562に記載されているユーザ#bのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。
[実施例2−3]
本発明の実施例2−3のファイアウォール装置は、フィルタリングIDを、個別フィルタリングIDと共通フィルタリングIDに2分化した点で、前述の実施例2−1のファイアウォール装置と相異する。
以下、本実施例のファイアウォール装置について、前述の実施例2−1のファイアウォール装置との相違点を中心に説明する。
なお、本実施例2−3のファイアウォール装置の概略構成は、図17と同じである。また、本実施例においても、ユーザからのネットワーク接続方式はPPP、認証用通信はRADIUSとする。
本実施例のファイアウォール装置では、前述の実施例2−1のフィルタリングIDを、さらに個別フィルタリングIDと共通フィルタリングIDに2分化し、各ユーザ個別のフィルタリングポリシは個別フィルタリングテーブルに記載し、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテーブルに記載する。
したがって、本実施例において、図17に示す振分け管理テーブル301および図19に示す振分け管理テーブル(301−1)は、図22に示す振分け管理テーブル601に置き換えられ、図19に示す振分け管理テーブル(301−2)は、図23の振分け管理テーブル1101に置き換えられる。
また、図24は、本実施例のファイアウォール装置の仮想ファイアウォール内のフィルタリングテーブルの構成を示す図である。
本実施の形態のファイアウォール装置300は、複数の仮想ファイアウォール(302,303,…,304)を具備している。
さらに、図24に示すように、各仮想ファイアウォール(302,303)にはそれぞれ、個別フィルタリングIDによって特定される複数のフィルタリングテーブル(561,562,563)、および共通フィルタリングIDによって特定される複数のフィルタリングテーブル(571,572)が存在する。
各ユーザ個別のフィルタリングポリシは個別フィルタリングテーブル(561,562,563)に、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテーブル(571,572)に記載されている。
また、これに伴い、図22に示すように振分け管理テーブル601は、ユーザ名、仮想ファイアウォールID、個別フィルタリングIDおよび共通フィルタリングIDを管理する。
本実施例では、ユーザ#aとユーザ#bが定めるセキュリティポリシが仮想ファイアウォール302に、ユーザ#dが定めるセキュリティポリシが仮想ファイアウォール303に格納されており、さらに、ユーザ#aの個別フィルタリングポリシは仮想ファイアウォール302の中で、フィルタリングIDがαの個別フィルタリングテーブル561に、ユーザ#bの個別フィルタリングポリシはフィルタリングIDがβの個別フィルタリングテーブル562に、ユーザ#dの個別フィルタリングポリシは仮想ファイアウォール303の中で、フィルタリングIDがγの個別フィルタリングテーブル563に、それぞれ記載されている。
また、ユーザ#aとユーザ#bは、フィルタリングIDがIの共通フィルタリングテーブル571に記載のフィルタリングポリシも適用される。
同様に、ユーザ#dは、フィルタリングIDがIIの共通フィルタリングテーブル572に記載のフィルタリングポリシも適用される。
振分け管理テーブル601には、事前に設定可能なユーザ名、仮想ファイアウォールID、個別フィルタリングIDおよび共通フィルタリングIDが登録されている。
すなわち振分け管理テーブル601には、ユーザ名#a、仮想ファイアウォールID(302)、個別フィルタリングID(α)および共通フィルタリングID(I)の対応付け、ユーザ名#b、仮想ファイアウォールID(302)、個別フィルタリングID(β)および共通フィルタリングID(I)の対応付け、ユーザ名#d、仮想ファイアウォールID(303)、個別フィルタリングID(γ)および共通フィルタリングID(II)の対応付けが登録される。
ただし、各ユーザ端末のユーザIDとなるユーザIPアドレスは未確定のため、この時点では登録することができない(図22の振分け管理テーブル601の状態)。
ユーザIPアドレスが振分け管理テーブル601に登録されない限り、各ユーザからのパケットをそれぞれの仮想ファイアウォールに振分けること、個別フィルタリングIDおよび共通フィルタリングIDの付与を行うことができない。
本実施例では、ユーザ#aの端末311がインターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行うものとする。
以下、図19を用いて、本実施例のファイアウォール装置の動作について説明する。
ユーザ端末311とファイアウォール装置300との間でのLCPの情報のやりとりから、ユーザ端末311とファイアウォ一ル装置300との間でのNCPの情報をやりとりまでの動作は、実施例2−1と同様であるので、再度の説明は省略する。
NCPが終了後、ユーザ端末311とインターネット310との問でPPP接続が確立される。その後、図17に示すように、ユーザ端末311から接続相手端末313に向け送信されるパケット321をファイアウォール装置300が受信すると、その送信元IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル1101を検索し、[a.a.a.a]の行に記載されている仮想ファイアウォールID(ID=302)、個別フィルタリングID(ID=α)および共通フィルタリングID(ID=I)を抽出し、当該パケット321を仮想ファイアウォール302に振り分けるとともに、αの個別フィルタリングID、およびIの共通フィルタリングIDを付与する(図19の処理ポイント852)。
個別フィルタリングIDおよび共通フィルタリングIDが付与されたパケット322は、図24に示すように、仮想ファイアウォール302内において、個別フィルタリングIDがαの個別フィルタリングテーブル561に記載されたユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が行われる。
もし個別フィルタリングテーブル561に記載のフィルタリングポリシに、適用すべきルールが存在しなかった場合、パケット322は、次に、共通フィルタリングIDがIの共通フィルタリングテーブル571に記載されたフィルタリングポリシに従い、通過あるいは廃棄処理が行われる。
また、通信相手端末313からユーザ端末311に向け送信されるパケット323をファイアウォール装置300が受信すると、その宛先IPアドレスとして記載される[a.a.a.a]を検索キーとして振分け管理テーブル1101を検索し、[a.a.a.a]の行に記載されている仮想ファイアウォールID(ID=302)、個別フィルタリングID(ID=α)および共通フィルタリングID(ID=I)を抽出し、当該パケット323を仮想ファイアウォール302に振り分けるとともに、αの個別フィルタリングIDおよびIの共通フィルタリングIDを付与する(図19の処理ポイント853)。
個別フィルタリングIDおよび共通フィルタリングIDが付与されたパケット324は、個別フィルタリングIDがαの個別フィルタリングテーブル561に記載されたユーザ#aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が行われる。
もし個別フィルタリングテーブル561に記載されたフィルタリングポリシに、適用すべきルールが存在しなかった場合、パケット324は、次に、共通フィルタリングIDがIの共通フィルタリングテーブル571に記載されたフィルタリングポリシに従い、通過あるいは廃棄処理が行われる。
以上説明したように、本実施例によれば、例えば、10ユーザが2つの同じフィルタリングルールを利用している場合、従来技術を適用すると、合計20ルールがフィルタリングテーブルに記載されるのに対し、本実施例では、2ルールのみフィルタリングテーブルに記載すればよいことになる。
すなわち、共通フィルタリングIDおよび共通フィルタリングテーブルの導入により、フィルタリングポリシを効率的に管理することが可能となる。
なお、実施例2−2における仮想ファイアウォールを用いない形態においても、本実施例における個別フィルタリングテーブル、共通フィルタリングテーブルを導入することが可能である。その場合、実施例2−2において、フィルタリングIDに代えて、振り分け管理テーブルに本実施例と同様の個別フィルタリングIDと共通フィルタリングIDを設け、また、フィルタリングテーブルに代えて、本実施例と同様の個別フィルタリングテーブルと共通フィルタリングテーブルを備える。
[実施例2−4]
本実施例のファイアウォール装置は、前述の実施例2−1、2−2のファイアウォール装置において、ユーザ#aから送られるユーザ名あるいはパスワードに誤りがあるなどの理由により、ユーザ名およびパスワードの通知によって送られたユーザ名とパスワードの組合せが、RADIUSサ一バ330に登録されているユーザ名とパスワードの組合せと一致しない場合の実施の形態である。
実施例2−4のファイアウォール装置の動作を、図25を用いて説明する。なお、図25は、実施例2−4のファイアウォール装置の動作を示すシーケンス図である。
また、LCP(図25の339)からユーザ名およびパスワードの通知(図25の341)の処理は、実施例2−1と同様であるので、再度の説明は省略する。
前述の理由により、RADIUSサーバ330へのユーザ名およびパスワードの通知(図25の341)に対する応答として、RADIUSサーバ330からの認証エラー通知が送られると(図25の1242)、ファイアウォール装置300は、ユーザ端末311に認証エラー通知を送信し(図25の1243)、PPPの確立処理を終了する。
このときファイアウォール装置300は、振分け管理テーブル301には何も処理を行わない。
[実施例2−5]
本発明の実施例2−5のファイアウォール装置は、前述の実施例2−1のファイアウォール装置において、ファイアウォールサービス未登録ユーザ#cの端末314が、インターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行う形態の実施の形態である。
本実施例2−5のファイアウォール装置の概略構成は、図17と同じであり、図26は、本実施例の振分け管理テーブルの内容を示す図である。
なお、ファイアウォールサービス未登録ユーザ#cは、振分け管理テーブル(301−3)には、ユーザ名および仮想ファイアウォールの登録はないが、端末314を通じてインターネット310への通信サービスは享受しており、RADIUSサーバ330にユーザ名およびパスワードが登録されている。
以下、図27を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図27は、本実施例のファイアウォール装置の動作を示すシーケンス図である。
図27において、LCP(図27の339)から、ユーザIPアドレスの通知(図27の342)までの動作は、実施例2−1と同じであるので、再度の説明は省略する。
ユーザIPアドレスの通知(図27の342)を受信すると、ファイアウォール装置300は、ユーザIPアドレスの通知に記載されているユーザ端末に付与すべきユーザIPアドレス[c.c.c.c]を保持する。
そして、ユーザ名を検索キーとして、振分け管理テーブル(301−3)に対し、ユーザ名#cの検索を行うが、ユーザ名#cは存在しないため、ユーザIPアドレス[c.c.c.c]を振分け管理テーブル(301−3)には登録しない。
また、ファイアウォール装置300は、これと同時に、NCPの情報をユーザ端末314とファイアウォール装置300との間でやりとりする(図27の343)中で、ユーザIPアドレス[c.c.c.c]をユーザ端末314に送り、ユーザ端末314は自ユーザIPアドレスが[c.c.c.c]であると認識する。
NCPが終了後、ユーザ端末314とインターネット310との間でPPP接続が確立される。その後、ユーザ端末314から接続相手端末313に向け送信されるパケット321を、ファイアウォール装置300が受信すると、その送信元IPアドレスとして記載される[c.c.c.c]を検索キーとして振分け管理テーブル(301−3)を検索した結果、該送信元IPアドレスが登録されていないことが判明する。
該送信元IPアドレスが登録されていない場合、図26に示す振分け管理テーブル(301−3)の最下行にあるように、振分けるべき仮想ファイアウォールは仮想ファイアウォール304と記載されているため、該パケット321を未登録ユーザ用の仮想ファイァウォール304に振り分ける(図27の処理ポイント352)。
同様にして、通信相手端末313から送信されるパケット323に対しても、その宛先ユーザIPアドレス[c.c.c.c]を検索キーとして振分け管理テーブル(301−3)を検索した結果、該宛先IPアドレスが登録されていないことが判明すると、当該パケット323を未登録ユーザ用の仮想ファイアウォール304に振り分ける(図27の処理ポイント353)。
なお、未登録ユーザ用の仮想ファイアウォール304は、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。
なお、本実施例のファイアウォール装置は、前述の実施例2−2のファイアウォール装置にも適用可能である。この場合に、ファイアウォールサービス未登録ユーザ#cの端末314からのパケット、ファイアウォールサービス未登録ユーザ#cの端末314宛のパケットは、図20に示す迂回ルート305を通過する。
[実施例2−6]
本発明の実施例2−6のファイアウォール装置は、前述の実施例2−5のファイアウォール装置と同様の条件であり、ファイアウォールサービス未登録ユーザ#cの端末314が、インターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行う形態である。
本実施例のファイアウォール装置の概略構成は、図17と同じであり、図28は、本実施例の振分け管理テーブルの内容を示す図である。
なお、ファイアウォールサービス未登録ユーザ#cは、振分け管理テーブル(301−4)には、ユーザ名および仮想ファイアウォールの登録はないが、端末314を通じてインターネット310への通信サービスは享受しており、RADIUSサーバ330にユーザ名およびパスワードが登録されている。
以下、図29を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図29は、本実施例のファイアウォール装置の動作を示すシーケンス図である。
図29において、LCP(図29の339)から、ユーザIPアドレスの通知(図29の342)までの動作は、実施例2−1と同じであるので、再度の説明は省略する。
ユーザIPアドレスの通知(図29の342)を受信すると、ファイアウォール装置300は、ユーザIPアドレスの通知に記載されているユーザ端末に付与すべきユーザIPアドレス[c.c.c.c]を保持する。
そして、ユーザ名を検索キーとして、振分け管理テーブル(301−4)に対し、ユーザ名#cの検索を行うが、ユーザ名#cは存在しない。
ユーザ名が存在しない場合、図28に示すように、ユーザIPアドレス[c.c.c.c]および未登録ユーザ用の仮想ファイアウォール304のID(ID=304)を振分け管理テーブル(301−4)に登録する。
また、ファイアウォール装置300は、これと同時に、NCPの情報をユーザ端末314とファイアウォール装置300との間でやりとりする(図29の343)中で、ユーザIPアドレス[c.c.c.c]をユーザ端末314に送り、ユーザ端末314は自ユーザIPアドレスが[c.c.c.c]であると認識する。
NCPが終了後、ユーザ端末314とインターネット310との間でPPP接続が確立される。その後、ユーザ端末314から接続相手端末313に向け送信されるパケット321を、ファイアウォール装置300が受信すると、その送信元IPアドレスとして記載される[c.c.c.c]を検索キーとして振分け管理テーブル(301−4)を検索し、当該送信元IPアドレスと対応付けられている仮想ファイアウォールID(ID=304)を抽出し、当該パケット321を未登録ユーザ用の仮想ファイアウォール304に振り分ける(図29の処理ポイント352)。
同様にして、通信相手端末313から送信されるパケット323に対しても、その宛先ユーザIPアドレス[c.c.c.c]を検索キーとして振分け管理テーブル(301−4)を検索し、当該送信先IPアドレスと対応付けられている仮想ファイアウォールID(ID=304)を抽出し、当該パケット323を未登録ユーザ用の仮想ファイアウォール304に振り分ける(図29の処理ポイント353)。
なお、未登録ユーザ用の仮想ファイアウォール304は、前述の実施例2−5と同様、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。
また、送信元IPアドレスが登録されていない場合、図28に示す振分け管理テーブル3014の最下行にあるように、パケットを廃棄する。
これよって、ある悪意ユーザがIP Spoofing攻撃などにより、どのユーザにも付与されていないIPアドレスを持つパケットを大量に送出した場合に、ファイアウォール装置300にてこれらのパケットを廃棄することができる。
なお、本実施例のファイアウォール装置は、前述の実施例2−2のファイアウォール装置にも適用可能である。
この場合に、振分け管理テーブル(301−4)には、ユーザIPアドレス[c.c.c.c]および未登録ユーザ用のフィルタリングIDを登録する。そして、ファイアウォールサービス未登録ユーザ#cの端末314からのパケット、ファイアウォールサービス未登録ユーザ#cの端末314宛のパケットは、図20に示す迂回ルート305を通過する。
[実施例2−7]
本発明の実施例2−7のファイアウォール装置は、前述の実施例2−1のファイアウォール装置において、ファイアウォールサービス未登録ユーザ#dの端末315が、インターネット310にネットワーク接続し、その後、接続相手端末313とIP通信を行う形態を示すものである。
本実施例のファイアウォール装置の概略構成は、図17と同じであり、図30は、本実施例の振分け管理テーブルの内容を示す図である。
なお、ユーザ#dは本来、ファイアウォールサービスに登録されるべきユーザであるが、本実施例では、ファイアウォール装置300の管理者が振分け管理テーブル(301−5)にその登録をし忘れた、あるいは誤った登録を行ったなどの理由により、ユーザ名#dが振分け管理テーブル(301−5)に正しく登録されていない形態となっている。
なお、RADIUSサーバ330には正しくユーザ名#dおよびパスワードが登録されている。
以下、図31を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図31は、本実施例のファイアウォール装置の動作を示すシーケンス図である。
図31において、LCP(図31の339)から、ユーザIPアドレスの通知(図31の342)までの動作は、前述の実施例2−1と同じであるので、再度の説明は省略する。
ユーザIPアドレスの通知(図31の342)を受信すると、ファイアウォール装置300は、ユーザIPアドレスの通知に記載されているユーザ端末に付与すべきユーザIPアドレス[d.d.d.d]を保持する。
そして、ユーザ名を検索キーとして、振分け管理テーブル(301−5)に対し、ユーザ名#dの検索を行うが、ユーザ名#dは存在しない。
ユーザ名が存在しない場合、ファイアウォール装置300は、ユーザ端末315に認証エラー通知(図31の1743)を送信し、PPPの確立処理を終了する。
なお、本実施の形態のファイアウォール装置は、前述の実施例2−2のファイアウォール装置にも適用可能である。
一般にフィルタリングテーブルは、図32に示すように、ユーザ端末側や接続相手先端末側のIPアドレス、ユーザ端末側や接続相手先端末側のポート番号などを元に作成する。
前述の通り、常時接続サービスの場合、ユーザ端末側IPアドレスは、PPPの接続毎に変化する。
したがって、図32のフィルタリングテーブル1961内に登録すべきユーザ端末側IPアドレスは、PPPの接続毎に動的に設定する必要があり、その設定処理量はルール数に比例して大きくなる。
それに対し、図33に示す本発明に基づく個別フィルタリングテーブルは、振分け管理テーブル2001にて、パケットに個別フィルタリングIDを付与し、個別フィルタリングテーブル2061では、ユーザ端末側IPアドレスの代わりに個別フィルタリングIDを用いる。
個別フィルタリングIDは、ユーザ端末側IPアドレスの値に依存せず、固定値であるため、PPPの接続を何度繰り返しても、個別フィルタリングテーブル2061には全く影響がない。
PPPの接続毎にユーザ端末側IPアドレスが変動することによって影響を及ぼす箇所は、振分け管理テーブル2001のユーザ端末側IPアドレスと個別フィルタリングIDの対応付け部分のみであり、これは個別フィルタリングテーブル2061のルール数に依存せず、1行のみの変更ですむ。
このようにフィルタリングIDの導入は、フィルタリング装置内部の処理量の抑制にも貢献する。
また、本発明の共通フィルタリングIDの導入により、複数のユーザにて共通化することが可能なフィルタリングポリシを1つにまとめ、該当ユーザ全てに共通的にフィルタリングテーブルを提供することができるため、ファイアウォール装置全体のフィルタリングテーブル量の削減に貢献する。
(実施例2−1〜2−7の効果)
実施例2−1〜2−7のフィルタリング装置によれば、ユーザ多重数を向上させ、かつ、フィルタリングテーブルの効率化を実現することが可能となる。
(実施例3−1〜3−6)
以下、図面を参照して実施例3−1〜3−6を詳細に説明する。
[実施例3−1]
図34は、本発明の実施例3−1の認証連携型分散ファイアウォール装置の概略構成と、本発明の実施例3−1の認証連携型分散ファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
認証連携型分散ファイアウォール装置(以下、単に、ファイアウォール装置という。)501は、認証により接続を開始するユーザ(515−1)が使用するユーザ端末(502−1)と、ユーザ(515−2)が使用するユーザ端末(502−2)を収容し、外部ネットワーク(例えば、インターネット)503に接続されている。
また、ファイアウォール装置501は、ユーザ固有のセキュリティポリシを保持するセキュリティポリシテーブル511を備えるセキュリティポリシサーバ504、およびファイアウォール装置501へ配布する識別子を保持する識別子管理テーブル512を備える識別子管理サーバ505と接続されている。
さらに、ファイアウォール装置501は、ユーザの認証情報513と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持するユーザ端末情報部514を備える認証サーバ506とも接続されている。
ここで、前記認証サーバは、例えば、RAIDUS(Remote Authentication Dial-in User Service)サーバが使用可能であり、また、ユーザ端末情報部514に格納されるユーザ端末情報は、ユーザ端末に付与されるIPアドレスが使用可能である。
さらに、ユーザ端末(502−1,502−2)からネットワークヘの接続はPPP(Point to Point Protoco1)を使用し、認証にはPAP(Password Authentication Protocol)、または、CHAP(Challenge Handshake Authentication Protocol)が使用可能である。
また、ファイアウォール装置501は、受信パケットに付属しているユーザ端末情報と、受信パケットをフィルタリングするフィルタリングテーブルを指し示す識別子とを結びつける振分け管理テーブル507と、実際のフィルタリングを行うファイアウォール部508を有している。
さらに、ファイアウォール部508は、ユーザ(515−1)とユーザ(515−2)に共通するセキュリティポリシを保持する共通フィルタリングテーブル509と、ユーザ(515−1)、または、ユーザ(515−2)の個別セキュリティボリシを保持するための領域である個別フィルタリングテーブル領域を有する。
この個別フィルタリングテーブル領域510は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキュリティポリシを書込む領域に分かれている。
図35は、図34に示す認証サーバ内の認証情報513の詳細を示す図、図36は、図34に示す認証サーバ内のユーザ端末情報部514に保持されるプールテーブルの詳細を示す図である。
また、図37は、図34に示す識別子管理サーバ内の識別子管理テーブル512の詳細を示す図、図38は、図34に示すセキュリティポリシサーバ内のセキュリティポリシテーブル511の詳細を示す図、図39は、図34に示すファイアウォール装置内の初期状態の振分け管理テーブルの詳細を示す図である。
図40、図41は、図34のネットワークモデルの動作を示すシーケンスの一例を示す図であり、ユーザ(515−1)が外部ネットワーク503へ接続後、切断し、その後、ユーザ(515−2)が外部ネットワーク503へ接続後、切断を行うシーケンスを示したものである。
始めに、ユーザ(515−1)の接続開始シーケンスについて説明する。
まず、ユーザ(515−1)はユーザ端末を介して、ファイアウォール装置501に、ユーザ名(ユーザ515−1)とパスワード(α)を送信する(図40の11−1,11−2)。
このユーザ名(ユーザ515−1)とパスワード(α)を受信したファイアウォール装置501は、ユーザ名(ユーザ515−1)を保持(図40の11−3)するとともに、認証サーバ506ヘユーザ名(ユーザ515−1)とパスワード(α)を送信する(図40の11−4)。
認証サーバ506では、受信したユーザ名(ユーザ515−1)とパスワード(α)から認証情報513を検索し、認証可能と判定する(図40の11−5)。
また、ユーザ端末情報部514のプールテーブルから使用中フラグが「0」である使用可能なユーザ端末情報(IP_1)を抽出し、抽出した使用可能フラグを「1」にし、認証了承通知とともに、抽出したユーザ端末情報(IP_1)をファイアウォール装置501通知する(図40の11−6,11−7)。
ファイアウォール装置501は、受信したユーザ端末情報(IP_1)を保持し、このユーザ端末情報とユーザ端末が接続する回線を結びつける(図40の11−8)とともに、前記保持したユーザ名(ユーザ515−1)を識別子管理サーバ505に送信する(図40の11−9)。
識別子管理サーバ505は、受信したユーザ名(ユーザ515−1)を元に識別子管理テーブル512を検索し、ユーザ名に結びつられた共通フィルタリングテーブルID(共通509)と個別フィルタリングテーブルID(個別510−1)を抽出し、ファイアウォール装置501へこの識別子(共通509,個別510−1)を送信する(図40の11−10、11−11)。
ファイアウォール装置501は、受信した個別フィルタリングテーブルID(個別510−1)を保持するとともに、受信した共通フィルタリングテーブルID(共通509)と、個別フィルタリングテーブルID(個別510−1)と、保持しているユーザ端末情報(IP_1)とを、図39に示す振分け管理テーブル507に書き込む(図40の11−12)。
また、保持しているユーザ名(ユーザ515−1)をセキュリティポリシサーバ504へ送信する(図40の11−13)。
セキュリティポリシサーバ504は、受信したユーザ名(ユーザ515−1)を元に、保持するセキュリティポリシテーブル512を検索し、ユーザ名と結び付けられた個別セキュリティポリシ(ルール1−1〜ルール1−m)を抽出し(図40の11−14)、ファイアウォール装置501へ送信する(図40の11−15)。
ファイアウォール装置501は、保持している個別フィルタリングテーブルID(個別510−1)を個別フィルタリングテーブル領域510の識別情報に書込むとともに、受信した個別セキュリティポリシ(ルール1−1〜ルール1−m)をセキュリティポリシ領域へ書き込む(図40の11−16)。
この一連の処理を実施後、保持しているユーザ端末情報(IP_1)を含む認証成功通知をユーザ端末(502−1)へ通知する(図40の11−17)。
以上で接続開始シーケンスが終了し、これにより、ユーザ(515−1)は、ユーザ端末(502−1)を介して外部ネットワーク503と接続可能になる。
次に、ユーザ端末(502−1)と外部ネットワーク503との通信シーケンスについて説明する。
ユーザ端末(502−1)から外部ネットワーク503ヘパケットを転送する場合、ユーザ端末(502−1)は接続開始シーケンスの最後に受けたユーザ端末情報(IP_1)を自身のアドレスとし、当該アドレスをパケットに付与してファイアウォール装置501へ転送する(図40の11−18)。
ファイアウォール装置501は、受信したパケットからユーザ端末情報(IP_1)を抽出し、このユーザ端末情報(IP_1)をキーにして、振分け管理テーブル507を検索し、共通フィルタリングテーブルID(共通509)と個別フィルタリングテーブルID(個別510−1)を抽出する(図40の11−19)。
次に、ファイアウォール部508において、抽出した共通フィルタリングテーブルID(共通509)と、個別フィルタリングテーブルID(個別510−1)で示されるフィルタリングテーブルを用い、パケットをフィルタリング(図40の11−20、11−21)した後、外部ネットワーク503へ転送する(図40の11−22)。
また、外部ネットワーク503からユーザ端末(502−1)に対するパケットを受信し(図40の11−23)、ユーザ端末(502−1)に転送する場合、外部ネットワーク503からのパケットには、宛先アドレスとしてユーザ端末情報(IP_1)が付与されているので、ファイアウォール装置501は、受信したパケットから、このユーザ端末情報(IP_1)を抽出し(図40の11−24)、前述したユーザ端末(502−1)から外部ネットワーク503へ転送するパケットと同様のシーケンスにより、パケットをフィルタリング(図40の11−25、11−26)した後、ユーザ端末(502−1)ヘパケットを転送する(図40の11−27)。
本実施例のファイアウォール装置501は、以上の処理により、ユーザ端末側および外部ネットワーク側の両方向から送信されるパケットに対するフィルタリング処理を行い、パケットを転送する。
次に、ユーザ(515−1)からの切断シーケンスについて説明する。
切断時には、ユーザ(515−1)からユーザ端末(502−1)を介して、切断要求がファイアウォール装置501へ通知される(図40の11−28、11−29)。
ファイアウォール装置501は、切断要求を受信すると、受信した回線を調べ、接続開始シーケンス時に、結びつけたユーザ端末情報(IP_1)を導き出す。
このユーザ端末情報を元に、振分け管理テーブル507のユーザ端末情報(IP_1)と関連するエントリから個別フィルタリングテーブルID(個別510−1)を抽出後、このエントリを削除する(図40の11−30)。
ファイアウォール部508の個別フィルタリングテーブル領域510の中で、抽出した個別フィルタリングテーブルID(個別510−1)が記された識別情報とそれに関連するセキュリティポリシ領域を削除する(図40の11−31)。
また、導き出したユーザ端末情報(IP_1)を認証サーバ506に送信し(図40の11−32)、認証サーバ506は、受信したユーザ端末情報が関連するユーザ端末情報部514のプールテーブルのエントリの使用中フラグを「0」に戻す(図40の11−33)。
このように、接続シーケンスで変更した各種テーブル内容を接続前の状態に戻し、切断シーケンスが終了する。
続いて、ユーザ(515−2)の接続開始シーケンス、通信シーケンス、切断シーケンスともユーザ(515−1)と同様の手段をとり、実施される(図41の11−34〜11−66)。
ユーザ(515−2)のシーケンスの特徴としては、ユーザ(515−1)の切断シーケンスにより、ユーザ(515−1)に関する情報は、ファイアウォール装置501の振分け管理テーブル507、個別フィルタリングテーブル領域510にないため、同じ領域にユーザ(515−2)に関する情報を書込むことができ、また、ユーザ端末(515−1)が使用したユーザ端末情報(IP_1)も使用可能であり、ユーザ端末情報が、ユーザ(515−1)と同じユーザ端末情報(IP_1)であっても、ユーザ(515−2)用のセキュリティポリシでフィルタリングすることができる点である。
これにより、本発明が解決しようとする課題の内、個別フィルタリングテーブル領域510、共通フィルタリングテーブル509を用い、個別フィルタリングテーブル領域510に書込むセキュリティポリシのみロードすることで、ロード負荷を軽減することが可能となる。
また、ユーザ端末が接続中のみ、個別フィルタリングテーブル領域510と振分け管理テーブル507の領域を使用し、切断中は、この領域を使用しないことで、ファイアウォール装置501の個別フィルタリングテーブル領域510と振分け管理テーブル507の内容を、同時に接続するユーザ端末数分だけ保持すれば良いので、保持するセキュリティポリシの容量を少なくすることが可能となる。
また、接続毎に付与されるユーザ端末情報とセキュリティポリシを関連付けることで、過去の別ユーザ端末のユーザ端末情報と重複しても、使用ユーザに対応したフィルタリングを実施することが可能となる。
[実施例3−2]
図42は、本発明の実施例3−2のファイアウォール装置の概略構成と、本発明の実施例3−2のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
図42に示すネットワークモデルでは、図34に示すネットワークモデルに、ファイアウォール装置1201と、このファイアウォール装置1201に接続するユーザ端末1202が新たに追加される。
また、このファイアウォール装置1201に、ユーザ(515−1)が接続可能であり、さらに、ファイアウォール装置1201は、外部ネットワーク503と、セキュリティポリシサーバ504と、識別子管理サーバ505と、認証サーバ506とに接続される。
ファイアウォール装置1201は、受信パケットに付属しているユーザ端末情報と受信パケットをフィルタリングするテーブルを指し示す識別子を結びつける情報を保持する振分け管理テーブル1207を有し、実際のフィルタリングを行うファイアウォール部1208を有している。
さらに、ファイアウォール部1208は、ユーザ(515−1)を含めた複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブル1209と、ユーザ(515−1)の個別セキュリティポリシを保持するための領域である個別フィルタリングテーブル領域1210を有している。
この個別フィルタリングテーブル領域1210は、識別情報を書き込む領域とセキュリティポリシを書込む領域に分かれている。
図43は、図42のネットワークモデルの動作を示すシーケンスの一例を示す図であり、図40で示すシーケンスの後、ユーザ(515−1)が、ファイアウォール装置1201に接続するユーザ端末1202から再度外部ネットワーク503へ接続し、通信を行い、切断するシーケンスを示したものである。
図43の12−1〜12−33に示す、ユーザ(515−1)が、ユーザ端末1202へ移動し、再接続を行う接続シーケンス、通信を行うシーケンス、および切断をシーケンスは、図40に示すファイアウォール装置501で行うシーケンスと同様であるので、再度の説明は省略する。
また、ファイアウォール装置1201に、セキュリティポリシサーバ504から送信される、ユーザ(515−1)用の個別セキュリティポリシも、識別子管理サーバ505から送信される各種識別子も、図40において、ファイアウォール装置501に送信される情報と同じである。
これにより、本実施例では、ユーザが、収容されるファイアウォール装置を変更しても、このユーザに対応したセキュリティポリシを適用することが可能となる。
[実施例3−3]
図44は、本発明の実施例3−3のファイアウォール装置の概略構成と、本発明の実施例3−3のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
本実施例は、識別子管理サーバ505に保持される、ユーザ名と各種識別子を対応付ける識別子管理テーブル512を、ファイアウォール装置501の内部に保持する点で、前述の実施例3−1と相異する。
図45は、図44のネットワークモデルの動作を示すシーケンスの一例を示す図であり、識別子管理サーバ505との通信部分が削除され、新たに、ファイアウォール装置501の内部に保持される識別子管理テーブル512とのシーケンスが付加されている点で、図40に示すシーケンスと相異する。
図40のシーケンスからの変更部分のシーケンスは、図45の11−8において、認証サーバ506から受信したユーザ情報を保持し、ユーザ端末(502−1)の接続回線とこのユーザ情報を結びつけた後、図45の11−3で保持したユーザ名を検索キーとし、識別子管理テーブル512を検索し、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを抽出(図45の15−9,15−10,15−11)する点である。
本実施例では、ファイアウォール装置501が、収容する可能性のある全ユーザの各種識別子を含む識別子管理テーブル512を保持しなければ成らなくなるため、ファイアウォール装置501のメモリ容量が余分に必要になるか、または、収容可能なユーザ数が減少するが、識別子管理サーバと通信を行うこと無く、動作が可能となる。
[実施例3−4]
図46は、本発明の実施例3−4のファイアウォール装置の概略構成と、本発明の実施例3−4のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
本実施例は、セキュリティポリシサーバ504に保持される、ユーザ名と個別セキュリティポリシを対応付けるセキュリティポリシテーブル511を、ファイアウォール装置501の内部に保持する点で、前述の実施例3−1と相異する。
図47は、図46のネットワークモデルの動作を示すシーケンスの一例を示す図であり、セキュリティポリシサーバ504との通信部分が削除され、新たに、ファイアウォール装置501の内部に保持されるセキュリティポリシテーブル511とのシーケンスが付加されている点で、図40に示すシーケンスと相異する。
図40のシーケンスからの変更部分のシーケンスは、図47の11−12で振分け管理テーブル507に各種識別子を書き込んだ後に、図47の11−3で保持したユーザ名を検索キーとし、セキュリティポリシテーブル511を検索し、ユーザ名に対応したセキュリティポリシを抽出(図47の17−13,17−14,17−15)する点である。
本実施例では、ファイアウォール装置501が、収容する可能性のある全ユーザの個別セキュリティポリシを含むセキュリティポリシテーブル511を保持しなければ成らなくなるため、ファイアウォール装置501のメモリ容量が余分に必要になるか、または、収容可能なユーザ数が減少するが、セキュリティポリシサーバと通信を行うこと無く、動作が可能となる。
[実施例3−5]
図48は、本発明の実施例3−5のファイアウォール装置の概略構成と、本発明の実施例3−5のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
本実施例は、セキュリティポリシサーバ504に保持される、ユーザ名と個別セキュリティポリシを対応付けるセキュリティポリシテーブル511と、識別子管理サーバ505に保持される、ユーザ名と各種識別子を対応付ける識別子管理テーブル512とを、ファイアウォール装置501の内部に保持する点で、前述の実施例3−1と相異する。
図49は、図48のネットワークモデルの動作を示すシーケンスの一例を示す図であり、セキュリティポリシサーバ504との通信部分と識別子管理サーバ505との通信部分が削除され、新たに、ファイアウォール装置501の内部に保持されるセキュリティポリシテーブル511と、識別子管理テーブル512のシーケンスが付加された点で、図40に示すシーケンスと相異する。
図40のシーケンスからの変更部分のシーケンスは、図49の11−8において、認証サーバ506から受信したユーザ情報を保持し、ユーザ端末(502−1)の接続回線とこのユーザ情報を結びつけた後、図49の11−3で保持したユーザ名を検索キーとし、識別子管理テーブル512を検索し、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを抽出(図49の19−9,19−10,19−11)する点と、図49の11−12で振分け管理テーブル507に各種識別子を書き込んだ後に、図49の11−3で保持したユーザ名を検索キーとし、セキュリティポリシテーブル511を検索し、ユーザ名に対応したセキュリティポリシを抽出(図49の19−13,19−14,19−15)する点である。
本実施例では、ファイアウォール装置501が、収容する可能性のある全ユーザの個別セキュリティポリシを含むセキュリティポリシテーブル511を保持しなければ成らなくなるため、ファイアウォール装置501のメモリ容量が余分に必要になるか、または、収容可能なユーザ数が減少し、および、収容する可能性のある全ユーザの各種識別子を含む識別子管理テーブル512を保持しなければ成らなくなるため、ファイアウォール装置501のメモリ容量がさらに余分に必要になるか、または、収容可能なユーザ数がさらに減少するが、セキュリティポリシサーバ、識別子管理サーバと通信を行うこと無く、動作が可能となる。
[実施例3−6]
図50は、本発明の実施例3−6のファイアウォール装置の概略構成と、本発明の実施例3−6のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。
ファイアウォール装置2001は、契約ネットワーク1(例えば、ISP;Internet Service Provider)(2016−1)を介して外部ネットワーク2003に接続し、認証によりこの接続を開始するユーザ(2015−1)が使用するユーザ端末(2002−1)と、契約ネットワーク2(2016−2)を介して外部ネットワーク2003に接続し、認証によりこの接続を開始するユーザ(2015−2)が使用するユーザ端末(2002−2)を収容する。
また、ファイアウォール装置2001は、ユーザ固有のセキュリティポリシを保持するセキュリティポリシテーブル2011を有するセキュリティポリシサーバ2004、および、ファイアウォール装置2001へ配布する識別子を保持する識別子管理テーブル2012を有する識別子管理サーバ2005とも接続されている。
さらに、ファイアウォール装置2001は、ユーザの認証情報(2013−1)と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持しているユーザ端末情報部(2014−1)を有し、契約ネットワーク1を介して外部ネットワークに接続するユーザを認証する認証サーバ1(2006−1)とも接続されている。
さらに、ファイアウォール装置2001は、ユーザの認証情報(2013−2)と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持しているユーザ端末情報部(2014−2)を有し、契約ネットワーク2を介して外部ネットワークに接続するユーザを認証する認証サーバ2(2006−2)とも接続されている。
また、ファイアウォール装置2001は、受信パケットに付属しているユーザ端末情報と受信パケットをフィルタリングする仮想ファイアウォール(2014−1,2014−2)と、フィルタリングテーブルを指し示す識別子を結びつける振分け管理テーブル2007を有している。
さらに、ファイアウォール装置2001は、実際のフィルタリングを行うファイアウォール部2008を有し、このファイアウォール部2008は、契約ネットワーク1(2016−1)を介して外部ネットワーク2003と接続するユーザ端末に関係するパケットのフィルタリングを行う仮想ファイアウォール1(2014−1)と、契約ネットワーク2(2016−2)を介して外部ネットワーク2003と接続するユーザ端末に関係するパケットのフィルタリングを行う仮想ファイアウォール2(2014−2)を有している。
仮想ファイアウォール1(2014−1)は、仮想ファイアウォール1(2014−1)により、フィルタリングを行う複数のユーザに共通するセキュリティポリシが保持される共通フィルタリングテーブル(2009−1)と、個別ユーザ毎のセキュリティポリシを保持する領域である個別フィルタリングテーブル領域(2010−1)を有している。
また、個別フィルタリングテーブル領域(2010−1)は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキュリティポリシを書き込む領域に分かれている。
仮想ファイアウォール1(2014−1)と同様に、仮想ファイアウォール2(2014−2)も、共通フィルタリングテーブル(2009−2)と、個別フィルタリングテーブル領域(2010−2)とを有し、個別フィルタリングテーブル領域(2010−2)は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキュリティポリシを書き込む領域に分かれている。
図51は、図50に示す認証サーバ1内の認証情報(2013−1)の詳細を示す図であり、図52は、図50に示す認証サーバ1内のユーザ端末情報部(2014−1)に保持されるプールテーブルの詳細を示す図である。
同様に、図53は、図50に示す認証サーバ2内の認証情報(2013−2)の詳細を示す図であり、図54は、図50に示す認証サーバ2内のユーザ端末情報部(2014−2)に保持されるプールテーブルの詳細を示す図である。
図55は、ユーザ(2015−1)が、ユーザ端末(2002−1)を介してファイアウォール装置2001に送信するユーザ名を示す図であり、図56は、ユーザ(2015−2)が、ユーザ端末(2002−2)を介してファイアウォール装置2001に送信するユーザ名を示す図である。
図57は、図50に示す識別子管理サーバ内の識別子管理テーブル2012の詳細を示す図であり、図58は、図50に示すセキュリティポリシサーバ内のセキュリティポリシテーブル2011の詳細を示す図である。
図59、図60は、図50のネットワークモデルの動作を示すシーケンスの一例を示す図であり、ユーザ(2015−1)が、契約ネットワーク1(2016−1)を介して、外部ネットワーク2003へ接続後、切断するシーケンスと、ユーザ(2015−2)が、契約ネットワーク2(2016−2)を介して外部ネットワーク2003へ接続後、切断するシーケンスを示すものである。
始めに、ユーザ(2015−1)の接続開始シーケンスについて説明する。
まず、ユーザ(2015−1)は、ユーザ端末(2002−1)を介して、ファイアウォール装置2001に、ユーザ名(ユーザ2015−1_2016−1)とパスワード(α)を送信する(図59の21−1,21−2)。
このユーザ名(ユーザ2015−1_2016−1)とパスワード(α)を受信したファイアウォール装置2001は、ユーザ名の前半部(ユーザ2015−1)を保持(図59の21−3)するとともに、ユーザ名の後半部(2016−1)から、認証サーバ1(2006−1)へ認証情報を送信することを決定し、ユーザ名の前半部(ユーザ2015−1)とパスワード(α)を送信する(図59の21−4)。
認証サーバ1(2003−1)では、受信したユーザの前半部(ユーザ2015−1)とパスワード(α)から認証情報(2013−1)を検索し、認証可能と判定する(図59の21−5)。
また、ユーザ端末情報部(2014−1)のプールテーブルから使用中フラグが「0」である使用可能なユーザ端末情報(IP_1)を抽出し(図59の21−6)、抽出した使用可能フラグを「1」にし、認証了承通知とともに、このユーザ端末情報(IP_1)をファイアウォール装置2001へ通知する(図59の21−7)。
ファイアウォール装置2001は、受信したユーザ端末情報(IP_1)を保持し(図59の21−8)、このユーザ端末情報(IP_1)と、ユーザ端末(2002−1)が接続する回線を結びつけるとともに、保持したユーザ名の前半部(ユーザ2015−1)を識別子管理サーバ2005に送信する(図59の21−9)。
識別子管理サーバ2005は、受信したユーザ名の前半部(ユーザ2015−1)を元に識別子管理テーブル2012を検索し、ユーザ名の前半部(ユーザ2015−1)に結びつられた仮想ファイアウォールID(仮想2014−1)と、共通フィルタリングテーブルID(共通2009−1)と、個別フィルタリングテーブルID(個別2010−1)を抽出し(図59の21−10)、ファイアウォール装置2001へこの識別子を送信する(図59の21−11)。
ファイアウォール装置2001は、受信した個別フィルタリングテーブルID(個別2010−1)を保持すると伴に、受信した仮想ファイアウォールID(仮想2014−1)と、共通フィルタリングテーブルID(共通2009−1)と、個別フィルタリングテーブルID(個別2010−1)と、保持しているユーザ端末情報(IP_1)を、振分け管理テーブル2007に書き込む(図59の21−12)。
また、保持しているユーザ名の前半部(ユーザ2015−1)をセキュリティポリシサーバ2004へ送信する(図59の21−13)。
セキュリティポリシサーバ2004は、受信したユーザ名の前半部(ユーザ2015−1)を元に、保持するセキュリティポリシテーブル2011を検索し、ユーザ名の前半部(ユーザ2015−1)と結び付けられた個別セキュリティポリシ(ルール1−1〜ルール1−m)を抽出し(図59の21−14)、ファイアウォール装置2001へ送信する(図59の21−15)。
ファイアウォール装置2001は、保持している個別フィルタリングテーブルID(個別2010−1)を個別フィルタリングテーブル領域(2010−1)の識別情報領域に書込むとともに、受信した個別セキュリティポリシをセキュリティポリシ領域へ書き込む(図59の21−16)。
この一連の処理を実施後、保持しているユーザ端末情報(IP_1)を含む認証成功通知をユーザ端末(2002−1)へ通知する(図59の21−17)。
以上で接続開始シーケンスが終了し、これにより、ユーザ(2015−1)は、ユーザ端末(2002−1)を介して外部ネットワーク2003と接続可能になる。
次に、ユーザ端末(2002−1)と外部ネットワーク2003との通信シーケンスについて説明する。
ユーザ端末(2002−1)から外部ネットワーク2003ヘパケットを転送する場合、ユーザ端末(2002−1)は接続開始シーケンスの最後に受けたユーザ端末情報(IP_1)を自身のアドレスとして、パケットに付与してファイアウォール装置2001へ転送する(図59の21−18)。
ファイアウォール装置2001は、受信したパケットからユーザ端末情報(IP_1)を抽出し、このユーザ端末情報(IP_1)をキーに、振分け管理テーブル2007を検索し、仮想ファイアウォールID(仮想2014−1)と、共通フィルタリングテーブルID(共通2009−1)と、個別フィルタリングテーブルID(個別2010−1)を抽出する(図59の21−19)。
次に、受信したパケットを、抽出した仮想ファイアウォールID(仮想2014−1)で示される仮想ファイアウォール1(2014−1)ヘ振分けるとともに、抽出した仮想ファイアウォール(仮想2014−1)で示される仮想ファイァウォールのフィルタリングテーブルの内、抽出した共通フィルタリングテーブルID(共通2009−1)と、個別フィルタリングテーブルID(個別2010−1)で示されるフィルタリングテーブルを用いパケットをフィルタリング(図59の21−20,21−21)した後、契約ネットワーク1(2016−1)を介して、外部ネットワーク2003へ転送する(図59の21−22)。
また、外部ネットワーク2003から契約ネットワーク1(2016−1)を介して、ユーザ端末(2002−1)宛のパケットを受信し(図59の21−23)、ユーザ端末(2002−1)ヘ転送する場合、外部ネットワーク2003からのパケットには、宛先アドレスとしてユーザ端末情報(IP_1)が付与されており、ファイアウォール装置2001は、受信したパケットからこのユーザ端末情報(IP_1)を抽出し(図59の21−24)、前述したユーザ端末(2002−1)から外部ネットワーク2003へのパケットと同様のシーケンスにより、パケットをフィルタリング(図59の21−25,21−26)した後、ユーザ端末(2002−1)ヘパケットを転送する(図59の21−27)。
本実施例のファイアウォール装置2001は、以上の処理により、ユーザ端末側および外部ネットワーク側の両方向から送信されるパケットに対するフィルタリング処理を行い、パケットを転送する。
次に、ユーザ(2015−1)からの切断シーケンスについて説明する。
切断時には、ユーザ(2015−1)からユーザ端末(2002−1)を介して、切断要求がファイアウォール装置2001へ通知される(図59の21−28,21−29)。
ファイアウォール装置2001は、切断要求を受信すると、受信した回線を調べ、接続開始シーケンス時に、結びつけたユーザ端末情報(IP_1)を導き出す。
このユーザ端末情報(IP_1)を元に、振分け管理テーブル2007のユーザ端末情報(IP_1)と関連するエントリから仮想ファイアウォールID(仮想2014−1)と個別フィルタリングテーブルID(個別2010−1)を抽出後、このエントリを削除する(図59の21−30)。
次に、抽出した仮想ファイアウォールID(仮想2014−1)で示される仮想ファイアウォール1(2014−1)の個別フィルタリングテーブル領域(2010−1)の中で、抽出した個別フィルタリングテーブルID(個別2010−1)が記された識別情報とそれに関連するセキュリティポリシ領域を削除する(図59の21−31)。
また、切断要求を受信して導き出したユーザ端末情報(IP_1)を認証サーバ1(2006−1)に送信する(図59の21−32)。
認証サーバ1(2006−1)は、受信したユーザ端末情報(IP_1)が関連するユーザ端末情報部(2014−1)のプールテーブルのエントリの使用中フラグを「0」に戻す(図59の21−33)。
このように、接続シーケンスで変更した各種テーブル内容を接続前の状態に戻し、切断シーケンスが終了する。
また、ユーザ(2015−2)の接続開始シーケンス、通信シーケンス、切断シーケンスも、ユーザ(2015−1)と同様の手段をとり、実施される(図60の21−34〜21−66)。
このように、本実施例では、ファイアウォール装置2001を複数のファイアウォールとして動作させ、ファイアウォール毎に、個別認証サーバ(2006−1,2006−2)でユーザを認証し、ファイアウォール毎に、契約ネットワーク(2016−1,2016−2)を介して外部ネットワーク2003に接続でき、且つ、ユーザ毎にセキュリティポリシをロードすることが可能となる。
なお、前述の説明では、セキュリティポリシサーバ(504,2004)、および、識別子管理サーバ(505,2005)が一台の場合について説明したが、本実施例の各ファイアウォール装置を、同じセキュリティポリシテーブルを有する2台のセキュリティポリシサーバ、あるいは、同じ識別子管理テーブルを有する2台のセキュリティポリシサーバと接続可能としてもよい。
(実施例3−1〜3−6の効果)
実施例3−1〜3−6のファイアウォール装置によれば、収容するネットワークまたは端末が、動的に接続、切断を行い、あるいは、収容されるファイアウォール装置を変更する場合に、保持するセキュリティポリシ容量を最適に保つことが可能になり、ファイアウォール装置にロードするセキュリティポリシ量を軽減することが可能となる。
なお、これまでに説明した各実施例におけるファイアウォール装置は、例えば、通信装置を備えたコンピュータシステムに、各実施例において説明した処理を実行するプログラムを搭載することにより実現できる。当該コンピュータシステムは、例えば、図61に示すように、CPU600、メモリ60、ハードディスク601、入出力装置603、通信装置604を備えている。各実施例の処理において保持されるデータは、例えばメモリ60に保持される。また、他のサーバとの通信手段として通信装置604が用いられる。なお、ルータなども上記のコンピュータシステムに含まれるものである。
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
図1は、従来のファイアウォール装置の一例を示すブロック図である。 図2は、従来のファイアウォール装置の他の例を示すブロック図である。 図3は、従来のファイアウォール装置の他の例を示すブロック図である。 図4は、従来技術における仮想ファイアウォール構築法を示す図である。 図5は、従来の、セキュリティポリシを外部に保持するファイアウォール装置の一例を示すブロック図である。 図6は、従来の、セキュリティポリシを外部に保持するファイアウォール装置の他の例を示すブロック図である。 図7は、従来の、セキュリティポリシを外部に保持するファイアウォール装置の他の例を示すブロック図である。 図8は、本発明の実施例1−1におけるファイアウォール装置の構成を示す図である。 図9は、実施例1−1におけるファイアウォール装置の動作を示すシーケンス図である。 図10は、実施例1−2におけるファイアウォール装置の動作を示すシーケンス図である。 図11は、実施例1−3における振分け管理テーブルの例を示す図である。 図12は、実施例1−3におけるファイアウォール装置の動作を示すシーケンス図である。 図13は、実施例1−4における振分け管理テーブルの例を示す図である。 図14は、実施例1−4におけるファイアウォール装置の動作を示すシーケンス図である。 図15は、実施例1−5におけるファイアウォール装置の動作を示すシーケンス図である。 図16は、実施例1−5における振分け管理テーブルの例を示す図である。 図17は、本発明の実施例2−1のファイアウォール装置の概略構成を示すブロック図である。 図18は、実施例2−1のファイアウォール装置の仮想ファイアウォール内のフィルタリングテーブルの構成を示す図である。 図19は、実施例2−1のファイアウォール装置の動作を示すシーケンス図である。 図20は、実施例2−2のファイアウォール装置の概略構成を示すブロック図である。 図21は、実施例2−2のファイアウォール装置の動作を示すシーケンス図である。 図22は、実施例2−3の振分け管理テーブルの初期状態を示す図である。 図23は、実施例2−3の振分け管理テーブルのIPアドレスが登録された状態を示す図である。 図24は、実施例2−3のファイアウォール装置の仮想ファイアウォール内のフィルタリングテーブルの構成を示す図である。 図25は、実施例2−4のファイアウォール装置の動作を示すシーケンス図である。 図26は、実施例2−5の振分け管理テーブルの内容を示す図である。 図27は、実施例2−5のファイアウォール装置の動作を示すシーケンス図である。 図28は、実施例2−6の振分け管理テーブルの内容を示す図である。 図29は、実施例2−6のファイアウォール装置の動作を示すシーケンス図である。 図30は、実施例2−7の振分け管理テーブルの内容を示す図である。 図31は、実施例2−7のファイアウォール装置の動作を示すシーケンス図である。 図32は、フィルタリングテーブルの内容を示す図である。 図33は、個別フィルタリングテーブルの内容を示す図である。 図34は、本発明の実施例3−1のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図35は、図34に示す認証サーバ内の認証情報の詳細を示す図である。 図36は、図34に示す認証サーバ内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。 図37は、図34に示す識別子管理サーバ内の識別子管理テーブルの詳細を示す図である。 図38は、図34に示すセキュリティポリシサーバ内のセキュリティポリシテーブルの詳細を示す図である。 図39は、図34に示すファイアウォール装置内の初期状態の振分け管理テーブルの詳細を示す図である。 図40は、図34のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図41は、図34のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図42は、実施例3−2のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図43は、図42のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図44は、実施例3−3のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図45は、図44のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図46は、実施例3−4のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図47は、図46のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図48は、実施例3−5のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図49は、図48のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図50は、実施例3−6のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。 図51は、図50に示す認証サーバ1内の認証情報の詳細を示す図である。 図52は、図50に示す認証サーバ1内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。 図53は、図50に示す認証サーバ2内の認証情報の詳細を示す図である。 図54は、図50に示す認証サーバ2内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。 図55は、図50に示すユーザ(2015−1)が、ユーザ端末(2002−1)を介してファイアウォール装置に送信するユーザ名を示す図である。 図56は、図50に示すユーザ(2015−2)が、ユーザ端末(2002−2)を介してファイアウォール装置に送信するユーザ名を示す図である。 図57は、図50に示す識別子管理サーバ内の識別子管理テーブルの詳細を示す図である。 図58は、図50に示すセキュリティポリシサーバ内のセキュリティポリシテーブルの詳細を示す図である。 図59は、図50のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図60は、図50のネットワークモデルの動作を示すシーケンスの一例を示す図である。 図61は、コンピュータシステムの構成例を示す図である。

Claims (42)

  1. 複数の仮想ファイアウォールを有し、各仮想ファイアウォールはそれぞれ独立したフィルタリングポリシを有するファイアウォール装置であって、
    ユーザ名と仮想ファイアウォールIDを管理する振分け管理テーブルと、
    ユーザ端末からのネットワーク接続のための認証情報を受信すると、それに記載されているユーザ名を保持する手段と、
    認証情報を認証サーバに通知する手段と、
    前記認証サーバから、認証応答を受信すると、その応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
    前記ユーザIDを前記ユーザ名と対応付けて前記振分け管理テーブルに登録することを特徴とするファイアウォール装置。
  2. 前記ファイアウォール装置は、
    前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対し、その送信元ユーザIDを検索キーとして前記振分け管理テーブルを参照し、該送信元ユーザIDと対応付けられている仮想ファイアウォールIDを検索し、該パケットを該仮想ファイアウォールIDを有する仮想ファイアウォールに振り分け、
    前記ユーザ端末の通信相手端末から送信されるパケットに対し、その宛先ユーザIDを検索キーとして前記振分け管理テーブルを参照し、該宛先ユーザIDと対応付けられている仮想ファイアウォールIDを検索し、該パケットを該仮想ファイアウォールIDを有する仮想ファイアウォールに振り分ける
    請求項1に記載のファイアウォール装置。
  3. 前記認証サーバは、ネットワーク接続要求をするユーザの認証を行い、
    前記ユーザ端末に付与すべきユーザIDは前記ユーザ端末に通知され、
    前記ユーザ端末は、前記ユーザIDの通知によってはじめてユーザIDが付与される請求項1に記載のファイアウォール装置。
  4. 前記認証サーバからの認証応答が認証エラーのとき、前記振分け管理テーブルに前記ユーザIDを登録せず、前記ユーザ端末に認証エラーを通知する請求項1に記載のファイアウォール装置。
  5. 前記ユーザ端末からのネットワーク接続のための認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記認証サーバからの認証応答に記載されるユーザIDを前記振分け管理テーブルに登録せず、
    前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザIDに対応する前記ユーザ端末から送信されるパケットを未登録ユーザ用の仮想ファイアウォールに振り分け、
    前記ユーザIDに対応する前記ユーザ端末の通信相手端末から送信されるパケットを未登録ユーザ用の仮想ファイアウォールに振り分ける請求項1に記載のファイアウォール装置。
  6. 前記ユーザ端末からのネットワーク接続のための認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記認証サーバからの認証応答に記載されるユーザIDおよび未登録ユーザ用の仮想ファイアウォールIDを前記振分け管理テーブルに登録する請求項1に記載のファイアウォール装置。
  7. 前記ユーザ端末からのネットワーク接続のための認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記ユーザ端末に認証エラーを通知する請求項1に記載のファイアウォール装置。
  8. 前記認証サーバはRadiusサーバであり、前記ユーザIDはユーザIPアドレスであり、前記ネットワークはインターネットであり、前記ユーザ端末からネットワーク接続はPPP(Point to Point Protocol)を用いる請求項1ないし7のうちいずれか1項に記載のファイアウォール装置。
  9. ユーザ名と、ユーザIDと、フィルタリングIDとを対応付けて管理する振分け管理テーブルと、
    前記フィルタリングIDによって特定され、それぞれ独立したフィルタリングポリシを有するフィルタリングテーブルと、
    ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、
    前記認証情報を認証サーバに通知する手段と、
    前記認証サーバから認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
    前記ユーザIDを前記ユーザ名と対応付けて前記振分け管理テーブルに登録することを特徴とするファイアウォール装置。
  10. 前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対して、その送信元ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該送信元ユーザIDと対応付けられるフィルタリングIDを抽出し、前記ユーザ端末から送信されるパケットに対して、前記抽出したフィルタリングIDを付与し、
    前記ユーザ端末の通信相手端末から送信されるパケットに対しては、その宛先ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザIDと対応付けられるフィルタリングIDを抽出し、前記ユーザ端末の通信相手端末から送信されるパケットに対して、前記抽出したフィルタリングIDを付与し、
    フィルタリングIDが付与されたパケットを、前記付与されたフィルタリングIDによって特定されるフィルタリングテーブルに記載されたフィルタリングポリシに従い、通過あるいは廃棄する請求項9に記載のファイアウォール装置。
  11. ユーザ名と、ユーザIDと、個別フィルタリングIDと、共通フィルタリングIDとを対応付けて管理する振分け管理テーブルと、
    前記個別フィルタリングIDと対応付けられた個別フィルタリングテーブルと、
    前記共通フィルタリングIDと対応付けられた共通フィルタリングテーブルと、
    ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、
    前記認証情報を認証サーバに通知する手段と、
    前記認証サーバから認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
    前記ユーザIDを前記ユーザ名と対応付けて前記振分け管理テーブルに登録することを特徴とするファイアウォール装置。
  12. 前記ファイアウォール装置は、
    前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対して、その送信元ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該送信元ユーザIDと対応付けられる個別フィルタリングIDおよび共通フィルタリングIDを抽出し、前記ユーザ端末から送信されるパケットに対して、前記抽出した個別フィルタリングIDおよび共通フィルタリングIDを付与し、
    前記ユーザ端末の通信相手端末から送信されるパケットに対しては、その宛先ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザIDと対応付けられる個別フィルタリングIDおよび共通フィルタリングIDを抽出し、前記ユーザ端末の通信相手端末から送信されるパケットに対して、前記抽出した個別フィルタリングIDおよび共通フィルタリングIDを付与し、
    個別フィルタリングIDおよび共通フィルタリングIDが付与されたパケットを、前記付与された個別フィルタリングIDによって特定される個別フィルタリングテーブルに記載のフィルタリングポリシ、および、前記付与された共通フィルタリングIDによって特定される共通フィルタリングテーブルに記載のフィルタリングポリシに従い、通過あるいは廃棄する請求項11に記載のファイアウォール装置。
  13. 前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から発行される認証情報に含まれているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバからの認証応答に記載されるユーザIDを前記振分け管理テーブルに登録せず、
    前記ユーザIDに対応する前記ユーザ端末から送信されるパケットまたは当該ユーザ端末の通信相手端末から送信されるパケットを、未登録ユーザ用のフィルタリングポリシに従い処理する請求項9に記載のファイアウォール装置。
  14. 前記ファイアウォール装置は、
    ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバから認証応答に記載されているユーザIDと、未登録ユーザ用のフィルタリングIDを前記振分け管理テーブルに登録する請求項9に記載のファイアウォール装置。
  15. ユーザ名と、ユーザIDと、仮想ファイアウォールIDと、フィルタリングIDとを対応付けて管理する振分け管理テーブルと、
    前記仮想ファイアウォールIDによって特定され、前記フィルタリングIDによって特定される少なくとも1つのフィルタリングテーブルを有する複数の仮想ファイアウォールと、
    ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、
    前記認証情報を認証サーバに通知する手段と、
    前記認証サーバから、認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
    前記ユーザIDを前記ユーザ名に対応付けて前記振分け管理テーブルに登録することを特徴とするフィルタリング装置。
  16. 前記フィルタリング装置は、
    前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対して、その送信元ユーザIDを検索キーとして前記振分け管理テーブルを検索し、該送信元ユーザIDと対応付けられる仮想ファイアウォールIDおよびフィルタリングIDを抽出し、前記ユーザ端末から送信されるパケットを、前記抽出した仮想ファイアウォールIDで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末から送信されるパケットに対して、前記抽出したフィルタリングIDを付与し、
    前記ユーザ端末の通信相手端末から送信されるパケットに対しては、その宛先ユーザIDを検索キーとして前記振分け管理テーブルを検索し、該宛先ユーザIDと対応付けられる仮想ファイアウォールIDおよびフィルタリングIDを抽出し、前記ユーザ端末の通信相手端末から送信されるパケットを、前記抽出した仮想ファイアウォールIDで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末の通信相手端末から送信されるパケットに対して、前記抽出したフィルタリングIDを付与し、
    フィルタリングIDが付与されたパケットを、前記振り分けられた仮想ファイアウォール内において、前記付与されたフィルタリングIDによって特定されるフィルタリングテーブルに記載されたフィルタリングポリシに従い、通過あるいは廃棄する請求項15に記載のファイアウォール装置。
  17. ユーザ名と、ユーザIDと、仮想ファイアウォールIDと、個別フィルタリングIDと、共通フィルタリングIDとを対応付けて管理する振分け管理テーブルと、
    前記個別フィルタリングIDに対応する個別フィルタリングテーブルと、前記共通フィルタリングIDに対応する共通フィルタリングテーブルとを有する仮想ファイアウォールと、
    ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、
    前記認証情報を認証サーバに通知する手段と、
    前記認証サーバから、認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザIDを保持する手段とを備え、
    前記ユーザIDを前記ユーザ名に対応付けて前記振分け管理テーブルに登録することを特徴とするファイアウォール装置。
  18. 前記ファイアウォール装置は、
    前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対して、その送信元ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該送信元ユーザIDと対応付けられる仮想ファイアウォールID、個別フィルタリングIDおよび共通フィルタリングIDを抽出し、前記ユーザ端末から送信されるパケットを、前記抽出した仮想ファイアウォールIDで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末から送信されるパケットに対して、前記抽出した個別フィルタリングIDおよび共通フィルタリングIDを付与し、
    前記ユーザ端末の通信相手端末から送信されるパケットに対し、その宛先ユーザIDを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザIDと対応付けられる仮想ファイアウォールID、個別フィルタリングIDおよび共通フィルタリングIDを抽出し、前記ユーザ端末の通信相手端末から送信されるパケットを、前記仮想ファイアウォールIDで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末の通信相手端末から送信されるパケットに対して、前記抽出した個別フィルタリングIDおよび共通フィルタリングIDを付与し、
    前記個別フィルタリングIDおよび共通フィルタリングIDが付与されたパケットを、前記振り分けられた仮想ファイアウォール内において、前記付与された個別フィルタリングIDによって特定される個別フィルタリングテーブルに記載のフィルタリングポリシ、および、前記付与された共通フィルタリングIDによって特定される共通フィルタリングテーブルに記載のフィルタリングポリシに従い、通過あるいは廃棄する請求項17に記載のファイアウォール装置。
  19. 前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から発行される認証情報に含まれているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバからの認証応答に記載されるユーザIDを前記振分け管理テーブルに登録せず、
    前記ユーザIDに対応する前記ユーザ端末から送信されるパケット、または前記ユーザIDに対応する前記ユーザ端末の通信相手端末から送信されるパケットを、未登録ユーザ用のフィルタリングポリシに従って処理する請求項15に記載のファイアウォール装置。
  20. 前記ファイアウォール装置は、
    ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバから認証応答に記載されているユーザIDと、未登録ユーザ用の仮想ファイアウォールIDを前記振分け管理テーブルに登録する請求項15に記載のファイアウォール装置。
  21. 前記ファイアウォール装置は、
    前記認証サーバからの認証応答が認証エラーのとき、前記振分け管理テーブルに前記ユーザIDを登録せず、前記ユーザ端末に認証エラーを通知する請求項9に記載のファイアウォール装置。
  22. 前記ファイアウォール装置は、
    ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記ユーザ端末に認証エラーを通知する請求項9に記載のファイアウォール装置。
  23. 前記フィルタリングテーブルは、そのフィルタリングポリシの要素として、前記ユーザ端末に付与すべきユーザIDを含まない請求項9ないし請求項22のうちいずれか1項に記載のファイアウォール装置。
  24. 前記認証サーバはRADIUSサーバであり、前記ユーザIDはユーザIPアドレスであり、前記ネットワークはインターネットであり、前記ユーザ端末からのネットワーク接続はPPPを用いる請求項9ないし請求項23のうちいずれか1項に記載のファイアウォール装置。
  25. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、
    ユーザ端末情報と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとを管理する振分け管理テーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    ユーザと結び付けられた共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを管理する識別子管理サーバとの通信手段と、
    前記個別フィルタリングテーブルに書込まれるユーザ固有のセキュリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記識別子管理サーバと前記セキュリティポリシサーバに通知し、
    前記識別子管理サーバから受信した共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  26. 前記ファイアウォール装置は、
    前記接続要求を発行したユーザ端末とネットワークとの接続が確立された後に、当該ユーザ端末から送信されるパケット、または、当該ユーザ端末宛のパケットを受信し、
    受信したパケットに含まれるユーザ端末情報を検索キーとして、前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられる共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、
    前記受信したパケットを、抽出した共通フィルタリングテーブルIDに対応する共通フィルタリングテーブル、および個別フィルタリングテーブルIDに対応する個別フィルタリングテーブルによりフィルタリングする請求項25に記載のファイアウォール装置。
  27. 前記ファイアウォール装置は、
    ネットワークとの接続切断時に、ユーザ端末から切断要求を受信し、前記ユーザ端末情報を検索キーに、前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられるエントリから個別フィルタリングテーブルIDを抽出するとともに、当該ユーザ端末情報と対応付けられるエントリを無効にし、
    前記抽出した個別フィルタリングテーブルIDに対応する個別フィルタリングテーブルの内容を無効にする請求項25に記載のファイアウォール装置。
  28. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    複数のユーザに対して、パケットフィルタリングを実施する少なくとも1つの仮想ファイアウォールと、
    ユーザ毎のセキュリティポリシを保持する少なくとも1つの個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する少なくとも1つの共通フィルタリングテーブルと、
    ユーザ端末情報、仮想ファイアウォールID、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを管理する振分け管理テーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    ユーザと結び付けられた仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを管理する識別子管理サーバとの通信手段と、
    前記個別フィルタリングテーブルに書込まれるユーザ固有のセキュリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記識別子管理サーバとセキュリティポリシサーバに通知し、
    前記識別子管理サーバから受信した仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記仮想ファイアウォールIDで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  29. 前記ファイアウォール装置は、
    前記接続要求を発行したユーザ端末とネットワークとの接続が確立された後に、当該ユーザ端末から送信されるパケット、または、当該ユーザ端末宛のパケットを受信し、
    受信したパケットに含まれるユーザ端末情報を検索キーとして、前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられる仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、
    前記受信したパケットを、前記抽出した仮想ファイアウォールIDに示される仮想ファイアウォールヘ振分けるとともに、当該パケットを、前記抽出した共通フィルタリングテーブルIDに対応する共通フィルタリングテーブル、および個別フィルタリングテーブルIDに対応する個別フィルタリングテーブルによりフィルタリングする請求項28に記載のファイアウォール装置。
  30. 前記ファイアウォール装置は、
    ネットワークとの接続切断時に、ユーザ端末から切断要求を受信し、前記保持したユーザ端末情報を検索キーに、前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられるエントリから仮想ファイアウォールIDと個別フィルタリングテーブルIDを抽出するとともに、当該ユーザ端末情報と対応付けられるエントリを無効し、
    抽出した仮想ファイアウォールIDに対応する仮想ファイアウォール内に保持される、前記個別フィルタリングテーブルIDに対応する個別フィルタリングテーブルの内容を無効にする請求項28に記載のファイアウォール装置。
  31. 前記仮想ファイアウォールは、前記ネットワークと接続される契約ネットワークと1対1で対応付けられており、
    前記ファイアウォール装置は、前記仮想ファイアウォール数分の前記契約ネットワークを収納する請求項28に記載のファイアウォール装置。
  32. 前記認証サーバは、前記契約ネットワーク毎に複数設けられ、
    前記ユーザ端末から発行される接続要求に含まれるユーザ名から認証を行う認証サーバを決定し、認証処理を行う請求項31に記載のファイアウォール装置。
  33. 前記セキュリティポリシサーバは、ユーザ名と、少なくとも1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルを有し、
    前記ファイアウォール装置は、同じセキュリティポリシテーブルを有する少なくとも1台のセキュリティポリシサーバと通信する請求項25に記載のファイアウォール装置。
  34. 前記識別子管理サーバは、ユーザ名と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルを有し、
    前記ファイアウォール装置は、同じ識別子管理テーブルを有する少なくとも1台の識別子管理サーバと通信する請求項25に記載のファイアウォール装置。
  35. 前記識別子管理サーバは、ユーザ名と、仮想ファイアウォールIDと、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルを有し、
    前記ファイアウォール装置は、同じ識別子管理テーブルを有する少なくとも1台の識別子管理サーバと通信することを特徴とする請求項28に記載のファイアウォール装置。
  36. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、
    ユーザ名と、少なくとも1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、
    ユーザ端末情報と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとを管理する振分け管理テーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    ユーザと結び付けられた共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを管理する識別子管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記識別子管理サーバに通知し、
    前記識別子管理サーバから受信した共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  37. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、
    ユーザ端末情報と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとを管理する振分け管理テーブルと、
    ユーザ名と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルと、 ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    前記個別フィルタリングテーブルに書込まれるユーザ固有のセキュリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記セキュリティポリシサーバに通知し、
    前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、当該抽出した共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  38. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、
    ユーザ端末情報と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとを管理する振分け管理テーブルと、
    ユーザ名と、少なくとも1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、
    ユーザ名と、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルと、 ユーザ端末が接続可能かを判断する認証サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、当該抽出した共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  39. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    複数のユーザに対して、パケットフィルタリングを実施する少なくとも1つの仮想ファイアウォールと、
    ユーザ毎のセキュリティポリシを保持する少なくとも1つの個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する少なくとも1つの共通フィルタリングテーブルと、
    ユーザ端末情報、仮想ファイアウォールID、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを管理する振分け管理テーブルと、
    ユーザ名と、少なくとも1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    ユーザと結び付けられた仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを管理する識別子管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記識別子管理サーバに通知し、
    前記識別子管理サーバから受信した仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記仮想ファイアウォールIDで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  40. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    複数のユーザに対して、パケットフィルタリングを実施する少なくとも1つの仮想ファイアウォールと、
    ユーザ毎のセキュリティポリシを保持する少なくとも1つの個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する少なくとも1つの共通フィルタリングテーブルと、
    ユーザ端末情報、仮想ファイアウォールID、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを管理する振分け管理テーブルと、
    ユーザ名と、仮想ファイアウォールIDと、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、
    前記個別フィルタリングテーブルに書込まれるユーザ固有のセキュリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記ユーザ名を、前記セキュリティポリシサーバに通知し、
    前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、当該抽出した仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記仮想ファイアウォールIDで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  41. 複数のユーザ端末とネットワークの間に設置され、複数のユ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、
    複数のユーザに対して、パケットフィルタリングを実施する少なくとも1つの仮想ファイアウォールと、
    ユーザ毎のセキュリティポリシを保持する少なくとも1つの個別フィルタリングテーブルと、
    複数のユーザに共通するセキュリティポリシを保持する少なくとも1つの共通フィルタリングテーブルと、
    ユーザ端末情報、仮想ファイアウォールID、共通フィルタリングテーブルID、個別フィルタリングテーブルIDを管理する振分け管理テーブルと、
    ユーザ名と、少なくとも1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、
    ユーザ名と、仮想ファイアウォールIDと、共通フィルタリングテーブルIDと、個別フィルタリングテーブルIDとが対応付けられた識別子管理テーブルと、
    ユーザ端末が接続可能かを判断する認証サーバとの通信手段とを備え、
    前記ファイアウォール装置は、
    ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、
    前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、
    前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDを抽出し、当該抽出した仮想ファイアウォールID、共通フィルタリングテーブルID、および個別フィルタリングテーブルIDと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、
    前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテーブルIDとを、前記仮想ファイアウォールIDで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。
  42. 前記認証サーバは、RADIUSサーバであり、前記ユーザ端末情報は、ユーザ端末に付与されるIPアドレスであり、前記ユーザ端末からネットワークヘの接続はPPPであり、認証には、PAP、または、CHAPを用いる請求項25ないし請求項41のうちいずれか1項に記載のファイアウォール装置。
JP2005504855A 2003-02-05 2004-02-04 ファイアウォール装置 Expired - Fee Related JP3852017B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
JP2003027828 2003-02-05
JP2003027828 2003-02-05
JP2003044770 2003-02-21
JP2003044770 2003-02-21
JP2003045222 2003-02-24
JP2003045222 2003-02-24
PCT/JP2004/001124 WO2004071038A1 (ja) 2003-02-05 2004-02-04 ファイアウォール装置

Publications (2)

Publication Number Publication Date
JPWO2004071038A1 JPWO2004071038A1 (ja) 2006-06-01
JP3852017B2 true JP3852017B2 (ja) 2006-11-29

Family

ID=32854102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005504855A Expired - Fee Related JP3852017B2 (ja) 2003-02-05 2004-02-04 ファイアウォール装置

Country Status (4)

Country Link
US (1) US7735129B2 (ja)
EP (1) EP1592189A4 (ja)
JP (1) JP3852017B2 (ja)
WO (1) WO2004071038A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190043921A (ko) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7475424B2 (en) * 2004-09-02 2009-01-06 International Business Machines Corporation System and method for on-demand dynamic control of security policies/rules by a client computing device
US7917944B2 (en) 2004-12-13 2011-03-29 Alcatel Lucent Secure authentication advertisement protocol
CN101128805B (zh) * 2005-02-24 2010-05-12 富士通株式会社 连接支持装置及网关装置
CN100563246C (zh) 2005-11-30 2009-11-25 华为技术有限公司 一种基于ip的语音通信边界安全控制系统及方法
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8234361B2 (en) * 2006-01-13 2012-07-31 Fortinet, Inc. Computerized system and method for handling network traffic
US8024787B2 (en) * 2006-05-02 2011-09-20 Cisco Technology, Inc. Packet firewalls of particular use in packet switching devices
US8151337B2 (en) * 2006-06-30 2012-04-03 Microsoft Corporation Applying firewalls to virtualized environments
US8055760B1 (en) * 2006-12-18 2011-11-08 Sprint Communications Company L.P. Firewall doctor
US8127347B2 (en) * 2006-12-29 2012-02-28 02Micro International Limited Virtual firewall
FR2915598A1 (fr) * 2007-04-27 2008-10-31 France Telecom Procede de filtrage de flots indesirables en provenance d'un terminal presume malveillant
US8635686B2 (en) * 2007-05-25 2014-01-21 Apple Inc. Integrated privilege separation and network interception
US7853992B2 (en) * 2007-05-31 2010-12-14 Microsoft Corporation Configuring security mechanisms utilizing a trust system
WO2009007985A2 (en) * 2007-07-06 2009-01-15 Elitecore Technologies Limited Identity and policy-based network security and management system and method
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
KR101018435B1 (ko) * 2008-08-14 2011-02-28 한국전자통신연구원 사용자 단말기의 보안 관리 장치 및 방법
US20110131648A1 (en) * 2009-11-30 2011-06-02 Iwebgate Technology Limited Method and System for Digital Communication Security Using Computer Systems
US9531670B2 (en) * 2009-11-30 2016-12-27 Iwebgate Technology Limited System and method for network virtualization and security using computer systems and software
FR2958478B1 (fr) * 2010-04-02 2012-05-04 Sergio Loureiro Procede de securisation de donnees et/ou des applications dans une architecture informatique en nuage
CN101888374B (zh) * 2010-05-19 2013-06-26 山东中创软件商用中间件股份有限公司 基于内嵌的对响应内容进行缓存过滤的方法、装置及系统
US8904511B1 (en) * 2010-08-23 2014-12-02 Amazon Technologies, Inc. Virtual firewalls for multi-tenant distributed services
JP2012070225A (ja) * 2010-09-24 2012-04-05 Hitachi Cable Ltd ネットワーク中継装置及び転送制御システム
JP5824911B2 (ja) 2011-06-29 2015-12-02 富士通株式会社 情報処理装置、情報処理プログラムおよび管理方法
US8887263B2 (en) * 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8763106B2 (en) * 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
EP2575313A1 (en) * 2011-09-27 2013-04-03 NorCom Information Technology AG Morphing firewall
US9100366B2 (en) * 2012-09-13 2015-08-04 Cisco Technology, Inc. Early policy evaluation of multiphase attributes in high-performance firewalls
RU2552135C2 (ru) * 2013-09-09 2015-06-10 Общество с ограниченной ответственностью "СмартТелеМакс" Устройство защиты от атак для сетевых систем
CN103973673B (zh) * 2014-04-09 2017-11-03 汉柏科技有限公司 划分虚拟防火墙的方法和设备
US9497165B2 (en) * 2015-03-26 2016-11-15 International Business Machines Corporation Virtual firewall load balancer
US9641485B1 (en) * 2015-06-30 2017-05-02 PacketViper LLC System and method for out-of-band network firewall
US10051075B1 (en) * 2015-09-09 2018-08-14 Google Llc Systems and methods for maintaining an asynchronous communication via an intermediary
US10728218B2 (en) * 2018-02-26 2020-07-28 Mcafee, Llc Gateway with access checkpoint
US11595902B2 (en) 2018-09-19 2023-02-28 Samsung Electronics Co., Ltd. Electronic device for filtering packet and method for operating same
US11343228B2 (en) * 2020-05-13 2022-05-24 Arbor Networks, Inc. Automatically configuring clustered network services

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7272625B1 (en) * 1997-03-10 2007-09-18 Sonicwall, Inc. Generalized policy server
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6442588B1 (en) * 1998-08-20 2002-08-27 At&T Corp. Method of administering a dynamic filtering firewall
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US7181766B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Methods and system for providing network services using at least one processor interfacing a base network
JP2001298449A (ja) 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
US6931437B2 (en) * 2000-04-27 2005-08-16 Nippon Telegraph And Telephone Corporation Concentrated system for controlling network interconnections
CN1448017A (zh) 2000-07-05 2003-10-08 恩斯特&扬有限责任合伙公司 提供计算机服务的方法和设备
JP3566198B2 (ja) 2000-09-13 2004-09-15 日本電信電話株式会社 仮想プライベートネットワーク間通信における接続管理方法及びその装置
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
WO2003021978A1 (en) * 2001-08-10 2003-03-13 Strix Systems, Inc. Virtual linking using a wireless device
US7313606B2 (en) * 2001-11-27 2007-12-25 The Directv Group, Inc. System and method for automatic configuration of a bi-directional IP communication device
JP3776821B2 (ja) * 2002-03-28 2006-05-17 富士通株式会社 アドレスアクセスシステム及び方法
DE60202863T2 (de) * 2002-08-30 2005-06-30 Errikos Pitsos Verfahren, Gateway und System zur Datenübertragung zwischen einer Netzwerkvorrichtung in einem öffentlichen Netzwerk und einer Netzwerkvorrichtung in einem privaten Netzwerk

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190043921A (ko) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법
KR102333028B1 (ko) * 2017-10-19 2021-11-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법

Also Published As

Publication number Publication date
US7735129B2 (en) 2010-06-08
WO2004071038A1 (ja) 2004-08-19
EP1592189A1 (en) 2005-11-02
EP1592189A4 (en) 2012-05-23
JPWO2004071038A1 (ja) 2006-06-01
US20060143699A1 (en) 2006-06-29

Similar Documents

Publication Publication Date Title
JP3852017B2 (ja) ファイアウォール装置
US7477648B2 (en) Packet forwarding apparatus and access network system
JP3262689B2 (ja) 遠隔操作システム
JP4023240B2 (ja) ユーザ認証システム
JP4105722B2 (ja) 通信装置
EP1234411B1 (en) Access to data networks
JP4376711B2 (ja) アクセス管理方法及びその装置
CN1199418C (zh) 安全会话定序的代理系统及其方法
US10491561B2 (en) Equipment for offering domain-name resolution services
US8990573B2 (en) System and method for using variable security tag location in network communications
EP1379046A1 (en) A personal firewall with location detection
EP1766860B1 (en) Method and system for dynamic device address management
JP2001356973A (ja) ネットワークシステム
US20040177158A1 (en) Network address translation techniques for selective network traffic diversion
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
US20090122798A1 (en) Ip network system and its access control method, ip address distributing device, and ip address distributing method
JP2006148648A (ja) ユーザ端末接続制御方法および装置
EP1830520B1 (en) Method and system for redirecting of the client
US20040158643A1 (en) Network control method and equipment
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
JP2013134711A (ja) 医療クラウドシステム
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
EP3799351B1 (en) Communication relay program, relay device communication relay method, and communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060821

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090915

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100915

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100915

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110915

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120915

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130915

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees