JP4362132B2 - アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 - Google Patents
アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 Download PDFInfo
- Publication number
- JP4362132B2 JP4362132B2 JP2006508513A JP2006508513A JP4362132B2 JP 4362132 B2 JP4362132 B2 JP 4362132B2 JP 2006508513 A JP2006508513 A JP 2006508513A JP 2006508513 A JP2006508513 A JP 2006508513A JP 4362132 B2 JP4362132 B2 JP 4362132B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- rule
- source
- network side
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Description
また、従来のアクセス制御技術では、セキュリティポリシーを動的に変更できて便利である。しかし、その認証依頼を行った利用者装置またはその利用装置になりすました装置が、当初のアクセスの目的での通信が終了した後(例えばLAN内のWebサーバからのコンテンツダウンロードを終了した後)、所定期間通過可能に設定されていることを利用して、不正なアクセスをする恐れがある。この点で、セキュリティを確保することができないという問題があった。
プライベートネットワーク側からのアクセス要求に対しては、データベース部に通信を希望する宛先と送信元との間のアクセス制御ルールとアドレス変換ルールがない場合には、送信元ごとのアクセス制御ルールとアドレス変換ルールとを定めてデータベース部に記録する。通信が終了すると追加したアクセス制御ルールとアドレス変換ルールとをデータベース部から削除する。
また、前記の方法をアドレス変換ルールのみに適用してアドレス変換方法とし、アクセス制御ルールのみに適用してファイアウォール方法とする。さらに、ファイアウォール技術に対しては、安全なセッションを確立中はそのセッションの通信状況をその安全なセッションにより要求元に通知する。
プライベートネットワークの端末からのパケットを受信した場合は、該パケットに対するアクセス制御ルールとアドレス変換ルールとが登録されていなければ、該パケットに対するアクセス制御ルールとアドレス変換ルールとを追加する。したがって、プライベートネットワークの端末から開始される通信のアクセス制御ルールとアドレス変換ルールとを自動的に登録することができ、事前のアクセス制御ルール及びアドレス変換ルールの登録無しに通信を行うことができる。
さらに、所定の認証サーバからの要求のみを受け付け、ファイアウォール装置の設定やアドレス変換ルールを変更する場合は、ポートスキャンにより、装置の存在やサービスの提供などを検知されることなく、グローバルなネットワークからアクセス制御やアドレス変換の設定を変更できる。
[図2]実施例1の中継装置の機能構成例を示す図。
[図3]実施例1でのアクセス制御テーブルの初期状態を示す図。
[図4]実施例1でのアドレス変換テーブルの初期状態を示す図。
[図5]実施例1の処理フローを示す図。
[図6]実施例1でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。
[図7]実施例1でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図8]実施例2での、インターネットを介して通信可能な第1の中継装置と第2の中継装置、及びそれらに接続されたLANと端末の構成を示す図。
[図9]実施例2の処理フローを示す図。
[図10]実施例2で、第1の中継装置に追加するアクセス制御ルールを示す図。
[図11]実施例2で、第1の中継装置に追加するアドレス変換ルールを示す図。
[図12]実施例2で、第2の中継装置に追加するアドレス変換ルールを示す図。
[図13]実施例2で、第2の中継装置に追加するアクセス制御ルールを示す図。
[図14]実施例3のWAN上の認証サーバを用いた場合の中継装置の機能構成例を示す図。
[図15]実施例3でのアクセス制御テーブルの初期状態を示す図。
[図16]実施例3でのアドレス変換テーブルの初期状態を示す図。
[図17]実施例3のインターネット上の認証サーバと端末及びLAN上の端末やサーバとの構成を示す図。
[図18]実施例3の処理フローを示す図。
[図19]実施例3の認証サーバが追加を求めるアクセス制御ルールを示す図。
[図20]実施例3の認証サーバが追加を求めるアドレス変換ルールを示す図。
[図21]実施例3でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。
[図22]実施例3でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図23]実施例4のアドレス変換装置の機能構成例を示す図。
[図24]実施例4のアドレス変換テーブルの初期状態を示す図。
[図25]実施例4のアドレス変換ルール追加後のアドレス変換テーブルを示す図。
[図26]実施例4のアドレス変換装置の通信開通までの処理フローを示す図。
[図27]実施例4のアドレス変換装置の通信開通後の処理フローを示す図。
[図28]ファイアウォール装置の機能構成例を示す図。
[図29]ファイアウォール装置の処理フローを示す図。
[図30]実施例5のアクセス制御テーブル(通過条件テーブル)の初期状態を示す図。
[図31]実施例5のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図32]実施例6のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図33]実施例7のアクセス制御ルール(通過条件)追加後のアクセス制御テーブル(通過条件テーブル)を示す図。
[図34]実施例8のファイアウォール装置の処理フローを示す図。
図2において、本実施例の中継装置10は、インターネットなどの広域通信網(WAN(Wide Area Network))200とのパケットの送受信を行うWANインターフェース部11と、LAN300とのパケットの送受信を行うLANインターフェース部12と、WANインターフェース部11及びLANインターフェース部12が受信したパケットを分析してアクセス制御を行うアクセス制御部13と、アクセス制御部13で通過が許可されたパケット及びLAN内からWAN側へ送信されるパケットを分析してアドレス変換を行うアドレス変換部14と、アクセス制御部13の要求によりユーザの認証処理を行う認証処理部15と、アクセス制御のためのデータやアドレス変換のためのデータや認証のデータを蓄えているデータベース部16とを備えている。
図3において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「プロトコル、ソースポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。
例えば、図3の1行目は、送信元IPアドレス、ポート番号に関係なく、宛先IPアドレスが「111.111.111.2」でかつプロトコル名が「http(HyperText Transport Protocol、例えばTCP(Transmission Control Protocol)80)」であるパケットは、LAN側に送信されることを示している(通過:accept)。
アクセス制御部13は、このようなテーブルを上の行から、受信したパケットと一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図3のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、LANインターフェース部12で受信したパケットのソースIPアドレスを、WANのIPアドレス(グローバルアドレス)に変換してアクセス制御部13に出力する。アクセス制御部13は、許可されたパケットを、WANインターフェース部11を介してWAN側に送信する。
図4の2行目は、送信元IPアドレスが「123.123.123.1」で、宛先IPアドレスが「111.111.111.2」でかつ宛先ポート番号が「TCP22(SSH)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信されることを示している。
ここで、アドレス変換部14は、図4に示すようなアドレス変換テーブルを上の行から検索し、受信したパケットが一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図4のアドレス変換テーブルでは、上の行に設定された条件が、より優先的に処理される。
図4は、アドレス変換テーブルの初期状態(通信中の端末が無い状態)を示している。中継装置10は、LAN内の端末からの通信要求またはWAN側の端末からの要求により、図3のアクセス制御テーブルにアクセス制御ルールを追加し、図4のアドレス変換テーブルにアドレス変換ルールを追加する。
認証処理部15は、ユーザの識別情報とパスワードを受信すると、データベース部16に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したパスワードを比較する(ステップS6)。認証処理部15は、パスワードが一致していれば、認証が正常であることをアクセス制御部13に送信する。一致するユーザが見つからない場合またはパスワードが一致しない場合は、認証異常をアクセス制御部13に送信する(ステップS7)。
アクセス制御部13は、要求元の端末から、暗号化されたプライベートアドレスやプロトコルやポート番号を受信する(ステップS10)。次に、アクセス制御部13は、復号化を行い、記憶しているhttpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、受信したプロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアクセス制御ルールを、データベース部16のアクセス制御テーブルに追加する(ステップS11)。また、アクセス制御部13は、アドレス変換部14に、httpsのアクセス要求パケットの送信元IPアドレス、受信したプライベートアドレス、プロトコル、ポート番号を送り、アドレス変換ルールの追加を要求する。アドレス変換部14は、アドレス変換ルールの追加要求を受けると、httpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、受信したプライベートアドレスを「内部IPアドレス」、プロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアドレス変換ルールを、データベース部16のアドレス変換テーブルに追加する(ステップS12)。
その後、アクセス制御部13は、認証が正常でアドレス変換が設定された旨と、変換先のLAN内部のプライベートアドレスとプロトコルとポート番号などを表示するHTMLファイルを、暗号化して、端末に送信する(ステップS13)。なお、このHTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置10にアクセスするためのプログラムが埋め込まれている。
このようにしてアクセス制御ルール及びアドレス変換ルールを設定し、LAN内の端末との通信を行う。ユーザが通信を終了するときは、中継装置10から受信したHTMLファイルで表示された画面から、通信の終了のボタンを選択するか、HTMLファイルを表示しているブラウザを閉じるか、HTMLファイルを表示している端末を終了(電源オフ、ログオフ等)する。
なお、本実施例では、httpsのアクセスによりアドレス変換ルール、アクセス制御ルールの追加を受け付けるようにしたが、httpやSIP(Session Initiation Protocol)やSSHやtelnetなどを使ってもよい。
第1の中継装置10aは、httpsのアクセス要求パケットを受信すると、送信元の端末とSSLセッションの確立を行い(ステップS21)、ユーザの認証を行い(ステップS22)、認証されれば、アクセスしたいサーバのLAN内部のプライベートアドレスやプロトコルやポート番号などを入力させるHTMLファイルを要求元の端末410aに送信する。なお、このHTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置10aにアクセスするためのプログラムが埋め込まれている。
第1の中継装置10aは、プライベートアドレスとプロトコルを受信すると、データベース部16に記録しているhttpsのアクセス要求パケットの送信元IPアドレス(第2の中継装置10bのIPアドレス111.222.234.123)を「ソースIPアドレス」、IPsecを「プロトコル、ソースポート番号」、自装置のグローバルアドレス211.250.250.100を「ディスティネーションIPアドレス」、IPsecを「プロトコル、ディスティネーションポート番号」とした図10に示すアクセス制御ルールを追加する。また、httpsのアクセス要求パケットの送信元IPアドレスを「ソースIPアドレス」、自装置のグローバルアドレス211.250.250.100を「ディスティネーションIPアドレス」、IPsecを「プロトコル、ディスティネーションポート番号」、192.168.100.2を「内部IPアドレス」とした図11に示すアドレス変換ルールを追加する(ステップS24)。
この条件に合致するアドレス変換ルールがあれば、送信元IPアドレスをそのアドレス変換ルールのディスティネーションIPアドレスのアドレスに書き換え(ステップS27)、書き換えたパケットを、アクセス制御部13を通して送信する。
IPsecによる通信が終了すると、端末410aの利用者が、第1の中継装置10aから受信したHTMLファイルで表示された画面から、通信終了のボタンを選択するか、HTMLファイルを表示しているブラウザを閉じるか、HTMLファイルを表示している端末を終了する(ステップS30)。
また、LAN側から受信したIPsecのパケットの宛先IPアドレスと送信元IPアドレスに対するアドレス変換ルールが登録されていない場合でも、LAN内の端末から開始されるIPsec通信のアドレス変換ルールは、自動的に登録できるので、事前にアドレス変換ルールを登録すること無く、IPsec通信を行うことができる。
なお、本実施例では、IPsec通信の最初のパケットによりアドレス変換ルール、アクセス制御ルールを追加したが、IKE(Internet Key Exchange)の最初のパケットなどによりアドレス変換ルール、アクセス制御ルールを追加してもよい。
図15において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ソースポート番号」の列は、WANインターフェース部11で受信したパケットの送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。
例えば、図15の1行目では、送信元IPアドレス、ポート番号に関係なく、宛先IPアドレスが「123.123.123.123」で、かつプロトコル名が「https(HyperText Transfer Protocol Security、例えばTCP443)」であるパケットは、LAN側に送信される(通過:accept)。
アクセス制御部23は、このようなテーブルを上の行から受信したパケットが一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図15のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
図16において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部IPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先IPアドレスに設定するLANのプライベートアドレスを示し、「プロトコル及びポート番号」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。
同様に、図16の2行目では、送信元IPアドレスが「211.250.250.100」で、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP22(SSH)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
また、アドレス変換部24は、このようなテーブルを上の行から受信したパケットが一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図16のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、図16に示した状態は、初期状態(通信中の端末が無い状態)である。LAN内の端末からの通信要求により、また後述するWAN側のサーバからの要求により、アドレス変換ルールが追加されて、LAN内からWAN側へのパケット、WAN側からLAN内へのパケットのそれぞれのアドレスが図16のテーブルに従って変換され、送信される。
認証サーバ100は、中継装置20にアクセス可能なユーザを認証するための認証情報や、ユーザごとにアクセスが許可されている中継装置20のアドレス、追加するアクセス制御ルール及びアドレス変換ルールなどのアクセス情報をデータベース部106に記録している。認証サーバ100は、インターネット200上の端末からの要求があると、データベース部106に記録した認証情報に基づいてユーザの認証を行い、認証が正常ならば中継装置にアクセス制御ルール及びアドレス変換ルールの追加を要求する。
認証サーバ100は、認証要求を受けると、認証要求した端末220aのアドレスを送信元アドレスとして記憶し(ステップS41)、認証情報に基づいてユーザの認証を行う(ステップS42)。
認証サーバ100は、中継装置20から追加完了を受信すると、記憶している端末220aのアドレス、中継装置20のアドレス、追加したアクセス制御ルール及びアドレス変換ルールを関連付けて通信中情報として記憶する(ステップS45)。また、認証サーバ100は、端末220aに対して、アクセスが可能になった旨と、アクセスが許可されたサービス名(例えば、Webカメラなど、IPアドレスとポート番号でもよい)などを、アクセス可能情報として送信する。
このようにして、端末220aからのhttpアクセスは、サーバ311aに振り分けられ、その他の端末からのhttpアクセスは拒否されることになる。アクセスが可能になったことを知ったユーザは、LAN300内の端末やサーバと通信を開始する。
LAN300内の端末やサーバとの通信を行ったユーザが、通信を終了するときは、端末220aから終了情報を入力し(ステップS51)、認証サーバ100に通信終了を通知する。
中継装置20のアクセス制御部23は、アクセス制御ルールとアドレス変換ルールの削除要求を受信すると、受信したアクセス制御ルールをデータベース部26のアクセス制御テーブルから削除する。また、アクセス制御部23は、認証サーバ100から受信したアドレス変換ルールを削除するように、アドレス変換部24に要求する。アドレス変換部24は、アクセス制御部23からアドレス変換ルールの削除要求を受けると、該当するアドレス変換ルールをデータベース部26のアドレス変換テーブルから削除する(ステップS54)。
また、中継装置20は、アクセス制御ルールとアドレス変換ルールの追加や削除の要求を認証サーバ100からのみ受け付ければよく、ポートスキャンによりポートを検知されること無くアクセス制御ルールとアドレス変換ルールを変更することができる。
なお、端末220aからの通信終了の通知により、アクセス制御ルールとアドレス変換ルールを削除したが、パケットの送受信が一定時間以上無くなったときや、通信開始時から一定時間経過したときに通信終了と判断して、アクセス制御ルールとアドレス変換ルールを削除するようにしてもよい。
また、認証サーバ100にhttpサーバとしての機能を持たせ、認証の受付やアクセス可能情報の表示や通信終了の通知などを、ホームページ上で行えるようにしてもよい。また、認証サーバ100としてSIP(Session Initiation Protocol)サーバを用いてもよい。
また、アクセス制御ルールを、すべてのアクセスに対して通過と設定することで、アドレス変換装置として機能させることもできる。
図24にアドレス変換テーブルの一例を示す。また、図25は、図24のアドレス変換テーブルに、後述する送信元IPアドレスをソースIPアドレスとして含むアドレス変換ルールが追加された後のアドレス変換テーブルの一例を示すものである。
図24、図25において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示している(ただし、「any」の場合は任意のアドレスで良い。)。また、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示している。また、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットのプロトコル及び宛先ポート番号を示している。また、「内部IPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致した時に、そのパケットの宛先IPアドレスに設定するLAN内のプライベートアドレスを示している。また、「プロトコル及びポート番号」の列は、WANインターフェース部11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致した時に、そのパケットの宛先ポート番号に設定するポート番号を示している。アドレス変換部34は、アドレス変換テーブルに対するアドレス変換ルールの追加と削除を行うとともに、該アドレス変換テーブルに基づいてWANインターフェース部11及びLANインターフェース部12で受信したパケットのアドレス変換を行う。
例えば、図24の1行目では、送信元IPアドレスに関係なく、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCP443(https)」であるパケットは、宛先IPアドレスが「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
また、アドレス変換部34は、LANインターフェース部12で受信したパケットについては、パケットの宛先IPアドレスをソースIPアドレスと読み替えた上で、パケットの送信元IPアドレスと同じ内部IPアドレスをアドレス変換テーブル内で検索し、パケットの送信元IPアドレスをWAN内のグローバルIPアドレスに変換し、WANインターフェース部11を介してWAN側に送信する。
認証処理部35は、アドレス変換部34の要求により、ユーザの認証処理を行う。
図26、図27はアドレス変換装置の処理フローを示すフローチャートであり、以下、これに従って本アドレス変換装置の動作を詳細に説明する。
認証処理部35は、ユーザの識別情報及びパスワードを受信すると、データベース部33に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したパスワードを比較し、一致していれば、認証正常をアドレス変換部34に送信する(ステップS66)。一致するユーザが見つからなかった場合とパスワードが一致しなかった場合は、認証異常をアドレス変換部34に送信する。なお、この際、ユーザに再度、ユーザの識別情報やパスワードの入力を求め、所定の回数繰り返しても一致しない場合に認証異常とするようにしても良い。
アクセス要求元の端末装置220からプライベートアドレスやプロトコル、ポート番号等を受信する(ステップS68)と、アドレス変換部34は、記録しているhttpのアクセス要求パケットの送信元IPアドレスをソースIPアドレス、受信したプライベートアドレスを内部IPアドレス、プロトコル及びポート番号をプロトコル及びディスティネーションポート番号としたアドレス変換ルールを、データベース部33のアドレス変換テーブルに追加する(ステップS69)。
これにより、送信元IPアドレスが「111.222.234.123」、宛先ポート番号が「TCP22」のパケットは、宛先IPアドレスが「192.168.100.4」に書き替えられてLANに送信され、それ以外の送信元IPアドレスの宛先ポート番号が「TCP22」のパケットは、宛先IPアドレスが「192.168.100.5」に書き替えられてLANに送信されるようになる。
アクセス要求元の端末装置220では、送信されたHTMLファイルを表示することにより、設定されたアドレス変換の情報を確認することができる。また、この後、端末装置220は、HTMLファイル内に埋め込まれたスクリプトなどのプログラムにより、一定時間ごとに自動的に、アドレス変換装置30へhttp通信を行う。
また、アドレス変換部34は、LANインターフェース部12からパケットを受信する(ステップS72,ステップS74)と、その内部IPアドレスにより前記アドレス変換テーブルを参照する(ステップS77)。次に、アドレス変換部34は、パケットの送信元IPアドレスを、内部IPアドレスからWAN内のグローバルIPアドレスに変換し(ステップS78)、WANインターフェース部11を介してWANに送信する。
アドレス変換装置30のアドレス変換部34は、アクセス要求元の端末装置220のHTML画面の終了により通信の切断を検出する(ステップS71)か、通信終了のパケットを受信する(ステップS73)と、図25のように書き替えられていたアドレス変換テーブルから、追加されていたアドレス変換ルールを削除し(ステップS79)、図24の初期状態に戻す。
また、ユーザのリクエストにより、または通信の切断により、変更したアドレス変換ルールの設定を元に戻しているので、変更した設定による誤ったアクセスを防ぐことができる。
この実施の形態のファイアウォール装置40は、インターネットなどの広域通信網(WAN:Wide Area Network)200に接続され、WAN200とのパケットの送受信を行うWANインターフェース部11と、LAN300とのパケットの送受信を行うLANインターフェース部12と、WANインターフェース部11及びLANインターフェース部12が受信したパケットを分析してアクセス制御を行うアクセス制御部46と、アクセス制御部46の要求により利用者(ユーザ)の認証処理を行う認証処理部47と、アクセス制御のためのデータや認証のデータを蓄えているデータベース部48とを備えている。
図30において、「ソースIPアドレス」の列は、WANインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ソースポート番号」の列は、WANインターフェース部11で受信したパケットの送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WANインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WANインターフェース部11で受信したパケットの宛先ポート番号(ここでは、ポート番号に対応したプロトコル名により示している)を示し、「動作」の列は、WANインターフェース部11で受信したパケットの送信元情報と宛先情報が、通過条件テーブル(アクセス制御テーブル)48a中のソースIPアドレス及びソースポート番号とディスティネーションIPアドレス及びプロトコル、ディスティネーションポート番号とそれぞれ一致した行に示される動作を、そのパケットに対して行うことを示している。
例えば、図30の通過条件の1行目では、ソースIPアドレス及びソースポート番号は「any(任意)」であるから、これらIPアドレス及びポート番号に関係なく、宛先IPアドレスが「111.111.111.2」でかつ宛先ポート番号が「http(Hypertext Transport Protocol、例えばTCP(Transmission Control Protocol)80)」であるパケットは、LAN12に転送される(通過:accept)。
アクセス制御部46中の検索部46aは、このような通過条件テーブル48aを上の行から、受信したパケットの送信元及び送信先情報と一致するか検証し、一致すれば指定された動作を転送制御部46bで行い、そのパケットに対する処理は終了する。この例では、図30の通過条件テーブル48aに対し、上の行に設定された条件がより優先的に処理される条件となっている。
認証処理部47は、ユーザの識別情報とパスワードを受信すると、データベース部48中の認証情報部48bに蓄積してあるユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、認証情報部48bに蓄積してあるそのユーザのパスワードと、受信したパスワードとを比較し、一致していれば、認証正常をアクセス制御部46に送信する。一致するユーザがない場合、またはパスワードが一致しなかった場合は、認証処理部47は認証異常をアクセス制御部46に送信する。
例えば、認証正常となったIPアドレス「123.123.111.1」の要求元利用者端末220に、IPアドレス「111.111.111.3」のサーバ(例えばLAN300に接続されたWebサーバ310)のftp(File Transfer Protocol)へのアクセスを許可する(通過させる)場合、図31に示すように、図30の通過条件テーブル28aの一番上の行に、要求元利用者端末220及びWebサーバ310のアドレス情報と「動作」が「通過」のアクセス制御ルール(通過条件)を追加する。一般の通過条件としては、送信元アドレスは「any」でも良いが、この例では要求元利用者端末220のIPアドレスも設定する。
このように確立した利用者端末220とWebサーバ310とのSSLセッション中において、アクセス制御部46は、利用者端末220からのアクセスを監視部46gで監視し(ステップS91)、利用者端末220からのアクセスの異常を異常検出部46g1で検出すると(ステップS92)、その異常通知を通知情報生成部46dの異常部46d4で生成し、そのSSLセッションを通して利用者端末220へ送信する(ステップS93)。具体的には、例えば以下の通りである。
ファイアウォール装置40のアクセス制御部46は、通信終了のパケットを受信した場合や、SSLセッションの切断を検出した場合には(ステップS94)、図31に示したように書き替えた通過条件テーブル48aを、図30に示した元の状態に戻す(ステップS95)。通信終了パケット受信の場合は、通過条件テーブル48aを元の状態に戻すと共に、そのSSLセッションを切断する。
なおステップS91,S92及びS93は通信状況監視ステップを構成している。また、図28中において、制御部49は各部を順次動作させることや、データベース部48に対する読み出し書き込み、消去などを行う。
また、この実施例では追加設定の通過条件に認証された通過条件設定要求元の端末のIPアドレス情報が含まれているので、この点からも不正アクセスを防止できる。
また、ユーザの要求により、またはhttpsセッションの切断により、そのhttpsセッションを利用する通信が終了すれば直ちに変更したアクセス許可(通過条件)の設定状態を元に戻しているので、変更した通過条件設定を利用しての不正アクセスを防ぐことができる。
本実施例では、ネットワーク単位でのアクセス制御ルール(通過条件)の追加方法を、実施例5で示した構成に適用した例を示す。例えば、図28中に破線で示す家庭内のホームネットワーク210がWAN200に接続され、このホームネットワーク210に複数の利用者端末220が接続されているとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ユーザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部46は、SSLセッション確立時に取得したIPアドレスのネットワークアドレスに対し、アクセスの許可(「動作」を「通過」にした通過条件)を設定する。
例えば、図2中に破線で示す家庭内のホームネットワーク210がWAN200に接続され、このホームネットワーク210に複数の利用者端末220が接続されているとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ユーザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部13は、SSLセッション確立時に取得したIPアドレスのネットワークアドレスに対し、アクセスの許可(「動作」を「通過」にした通過条件)を設定する。
このようにすることにより、SSLセッションが確立中はネットワーク210内の利用者端末220のいずれからのアクセスでも許可することができ、しかもネットワーク210内のブラウザを持たない利用者端末からも許可された宛先に対しアクセスできるようになる。
要求に対する回答が受信されると(ステップS97c)、アクセス制御部46でその回答をチェックする。その利用者端末220からの回答が、「その追加設定を許可する。(追加通過条件設定を認める。)」であれば(ステップS97d)、アクセス制御部46は、その追加設定要求の通過条件を通過条件テーブル48aに追加設定する(ステップS97e)。その後は、追加された通過条件を満すパケットは、既に確立しているSSLセッションにより、LAN内の宛先のサーバに転送される。なお、ステップS97dで利用者端末からの回答が、「接続を拒否する。」であれば、アクセス制御部46は、新たな接続要求(追加設定要求)のパケットを廃棄する(ステップS97f)。
上記の方法では、異なるサービスを提供するサーバへの接続のために、確立済のSSLセッションを利用して、通過条件テーブル48aに新しい通過条件を追加した。別の方法として、以下のように処理することもできる。アクセス制御部46が図34に示したステップS97a,S97b,S97c及びS97dの処理を行い、ステップS97dの回答が許可であれば、そのサービス要求パケットを対応するサーバへ転送する(ステップS97eの括弧書)ようにしてもよい。つまり、確立したSSLセッションを用いて、要求元の利用者端末220からの追加条件設定要求や他宛先へのアクセス要求などに対しては、認証処理を特に行うことなく、既に確立済のSSLセッションを用いて宛先サーバへ転送させてもよい。
なお、この実施例5から7では、利用者端末からの安全なセッションとしてhttpsを用いたが、SSH(Secure Shell)などによる安全なセッションを使っても良い。また、ファイアウォール装置40に、図28に破線で示すようにサーバ310が直接接続されていてもよい。また、通過条件設定要求があれば、その要求元端末と安全なセッションを先ず確立し、その後認証処理を行ったが、先ず認証処理を行ってもよい。つまりステップS81で通過条件設定要求が受信されると図29中に破線で示すように直ちにステップS84に移り、認証処理を行い、その認証に合格すれば、ステップS89でデータベース部48にその通過条件を設定し、かつ要求元端末との間に安全なセッションを確立してもよい。また、認証処理部47をファイアウォール装置40内に設けたが、外部に設けてもよいし、例えばLAN300に接続された認証サーバであってもよい。その場合はデータベース部48から認証情報部48bは省略される。さらに認証処理としてはユーザ識別情報及びパスワードを要求し、これが認証情報部48b内に在るかないかで認証の合格か否かを決定したが、認証サーバを用いることで、より安全度が高い認証方法を利用することも可能となる。
Claims (25)
- グローバルネットワークでのアドレスを持たないプライベートネットワークの装置また
はサーバが、前記グローバルネットワークを介して通信を行うための中継装置であって、
前記グローバルネットワークとの通信を行うWANインターフェース部と、
前記プライベートネットワークとの通信を行うLANインターフェース部と、
送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールに従って、前記グローバルネットワークから前記プライベートネットワークへのアクセスを制御する手段を有するアクセス制御部と、
前記グローバルネットワーク側の装置からの情報を前記プライベートネットワーク側の装置に伝えるために、アドレス変換テーブルの上の行から検索して当該情報に該当するアドレス変換ルールに従ってアドレスの変換を行う手段と、
前記プライベートネットワーク側の装置からの情報を前記グローバルネットワーク側の装置に伝えるために、送信元の装置ごとに定めたルールに従ってアドレスの変換を行う手段と
を有するアドレス変換部と、
前記アクセス制御ルールと、前記アドレス変換ルールから構成される前記アドレス変換テーブルとを記録するデータベース部と、
を備え、
前記アドレス変換ルールは、
グローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けており、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、
当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、
当該パケットの宛先を前記プライベートネットワーク側の宛先に変換するものである
ことを特徴とする中継装置。 - 請求項1記載の中継装置であって、
前記グローバルネットワーク側の装置からのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
前記認証が正常に終了した場合には、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
有する前記アクセス制御部と、
前記認証が正常に終了した場合には、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
有する前記アドレス変換部と、
を備える中継装置。 - 請求項1記載の中継装置であって、
グローバルネットワーク側の装置の認証を行う認証サーバからの要求があると、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
有する前記アクセス制御部と、
前記認証サーバからの要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
有する前記アドレス変換部と、
を備える中継装置。 - 請求項3記載の中継装置へのアクセスを許可する認証サーバであって、
前記グローバルネットワーク側の装置及び前記中継装置との通信を行うインターフェース部と、
前記グローバルネットワークの装置からの前記中継装置へのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
前記認証処理部での認証が合格した場合に、前記グローバルネットワークの装置からのパケットのファイアウォール機能のルールであるアクセス制御ルールと前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールの追加を、前記中継装置へ要求する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールとアドレス変換ルールの削除を、前記中継装置へ要求する手段とを有する制御部と
前記認証処理部が認証を行うために用いる利用者情報と、追加を要求したアクセス制御ルールとアドレス変換ルールとを関連つける情報とを記録するデータベース部と
を備える認証サーバ。 - 請求項1から3のいずれかに記載の中継装置であって、
プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も有する前記アクセス制御部と、
プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したルールを前記データベース部から削除する手段も有する前記アドレス変換部と、
を備える中継装置。 - グローバルネットワークでのアドレスを持たないプライベートネットワークの装置また
はサーバが、前記グローバルネットワークを介して通信を行うためのアドレス変換装置であって、
前記グローバルネットワークとの通信を行うWANインターフェース部と、
前記プライベートネットワークとの通信を行うLANインターフェース部と、
前記グローバルネットワーク側の装置からの情報を前記プライベートネットワーク側の装置に伝えるために、アドレス変換テーブルの上の行から検索して当該情報に該当するアドレス変換ルールに従ってアドレスの変換を行う手段と、
前記プライベートネットワーク側の装置からの情報を前記グローバルネットワーク側の装置に伝えるために、送信元の装置ごとに定めたルールに従ってアドレスの変換を行う手段と
を有するアドレス変換部と、
前記アドレス変換ルールから構成される前記アドレス変換テーブルを記録するデータベース部と、
を備え、
前記アドレス変換ルールは、
グローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けており、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換するものである
ことを特徴とするアドレス変換装置。 - 請求項6記載のアドレス変換装置であって、
グローバルネットワーク側の装置からの通信開始要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したルールを前記データベース部から削除する手段も
有する前記アドレス変換部と、
を備えるアドレス変換装置。 - 請求項7記載のアドレス変換装置であって、
グローバルネットワーク側の装置からの通信開始要求があると、認証処理を行う認証処理部と、
前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
グローバルネットワーク側の装置からの通信開始要求に対しては、前記認証が正常に終了した場合に限り、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する前記アドレス変換部と、
を備えるアドレス変換装置。 - 請求項7記載のアドレス変換装置であって、
グローバルネットワーク側の装置からの通信開始要求に対しては、認証処理を行う認証サーバからの要求がある場合に限り、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する前記アドレス変換部
を備えるアドレス変換装置。 - 請求項9記載のアドレス変換装置へのアクセスを許可する認証サーバであって、
前記グローバルネットワーク側の装置及び前記アドレス変換装置との通信を行うインターフェース部と、
前記グローバルネットワークの装置からの前記アドレス変換装置へのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
前記認証処理部での認証が合格した場合に、前記グローバルネットワークの装置を送信元とするアドレス変換ルールの追加を、前記アドレス変換装置へ要求する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールの削除を、前記アドレス変換装置へ要求する手段と
を有する制御部と
前記認証処理部が認証を行うために用いる利用者情報を記録するデータベース部と
を備える認証サーバ。 - 請求項1記載の中継装置であって、
前記アクセス制御ルールおよび前記アドレス変換ルールが、送信元の装置のIPアドレスまたは送信元のネットワークのIPアドレスを用いた条件を含む
ことを特徴とする中継装置。 - 請求項11記載の中継装置であって、
前記グローバルネットワーク側の装置からのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、
前記認証処理部が認証を行うために用いる利用者情報も記録する前記データベース部と、
前記認証が正常に終了した場合には、送信元の装置または送信元のネットワークごとに定めたファイアウォール機能のルールであるアクセス制御ルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も
有する前記アクセス制御部と、
前記認証が正常に終了した場合には、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
有する前記アドレス変換部と、
を備える中継装置。 - 請求項2、3、5、12のいずれかに記載の中継装置であって、
あらかじめ定めた一定時間ごとに当該中継装置に信号を送るプログラムを埋め込んだファイルを装置に送信する手段も有し、
前記あらかじめ定めた通信終了の判断基準とは、
通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
ことを特徴とする中継装置。 - 請求項2記載の中継装置であって、
前記データベース部に追加されるアドレス変換ルールの送信元は、前記認証が正常に終了した前記グローバルネットワーク側の装置のIPアドレスである
ことを特徴とする中継装置。 - 請求項4記載の認証サーバであって、
前記追加を要求するアドレス変換ルールの送信元は、前記認証が合格した前記グローバルネットワーク側の装置のIPアドレスである
ことを特徴とする認証サーバ。 - 請求項6記載のアドレス変換装置であって、
前記アドレス変換ルールが、送信元の装置のIPアドレスまたは送信元のネットワークのIPアドレスを用いた条件を含む
ことを特徴とするアドレス変換装置。 - 請求項16記載のアドレス変換装置であって、
グローバルネットワーク側の装置からの通信開始要求があると、前記グローバルネットワーク側の装置を送信元とするアドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加する手段
と、
プライベートネットワーク側の装置からの通信開始要求があると、送信元の装置ごとに定めたルールを前記データベース部に追加する手段と、
あらかじめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する手段も
有する前記アドレス変換部と、
を備えるアドレス変換装置。 - 請求項7から9、17のいずれかに記載のアドレス変換装置であって、
あらかじめ定めた一定時間ごとに当該アドレス変換装置に信号を送るプログラムを埋め込んだファイルを装置に送信する手段も有し、
前記あらかじめ定めた通信終了の判断基準とは、
通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
ことを特徴とするアドレス変換装置。 - 請求項8記載のアドレス変換装置であって、
前記データベース部に追加されるアドレス変換ルールの送信元は、前記認証が正常に終了した前記グローバルネットワーク側の装置のIPアドレスである
ことを特徴とするアドレス変換装置。 - 請求項10記載の認証サーバであって、
前記追加を要求するアドレス変換ルールの送信元は、前記認証が合格した前記グローバルネットワーク側の装置のIPアドレスである
ことを特徴とする認証サーバ。 - グローバルネットワークでのアドレスを持たないプライベートネットワークの装置が、
前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、
あらかじめグローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けたアドレス変換ルールをデータベース部のアドレス変換テーブルに記録しておき、
前記グローバルネットワーク側からのパケットをWANインターフェース部が受信すると、
アドレス変換部で、前記アドレス変換テーブルの上の行から検索して、WANインターフェース部が受信したパケットに該当するアドレス変換ルールに従ってアドレス変換するものであり、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記WANインターフェース部で受信したパケットの送信元アドレス及び宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換し、
前記アドレス変換ルールの前記グローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記WANインターフェース部で受信したパケットの宛先が、前記アドレス変換ルールの前記グローバルネットワーク側の宛先と一致した場合に、当該パケットの宛先を前記プライベートネットワーク側の宛先に変換して、
LANインターフェース部が、当該アドレス変換されたパケットを前記プライベートネットワーク側に伝え、
前記プライベートネットワーク側からのパケットをLANインターフェース部が受信すると、
アドレス変換部で、送信元の装置ごとに定めたルールに従って送信元アドレスを変換し、
WANインターフェース部が、当該アドレス変換されたパケットを前記グローバルネットワーク側に伝える
ことを特徴とするアドレス変換方法。 - グローバルネットワークでのアドレスを持たないプライベートネットワークの装置が、
前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、
あらかじめグローバルネットワーク側の送信元アドレスまたは任意の送信元アドレスを示す値からなる送信元及び宛先と、プライベートネットワーク側の宛先とを対応付けたアドレス変換ルールから構成されるアドレス変換テーブルをデータベース部に記録しておき、
前記グローバルネットワーク側からのパケットをWANインターフェース部が受信した場合に、
認証処理部で認証処理を行い、認証が合格すると、
前記アドレス変換部で、前記アドレス変換テーブルの上の行から検索して、WANインターフェース部が受信したパケットに該当するアドレス変換ルールに従ってアドレス変換するものであり、
前記アドレス変換ルールのグローバルネットワーク側の送信元に送信元アドレスが設定されている場合は、前記パケットの送信元アドレス及び宛先と、前記アドレス変換ルールの前記グローバルネットワーク側の送信元アドレス及び宛先が一致するアドレス変換ルールがデータベース部の前記アドレス変換テーブルに記録されていることを調べ、
前記アドレス変換ルールのグローバルネットワーク側の送信元に任意の送信元アドレスを示す値が設定されている場合は、前記パケットの宛先と、前記アドレス変換ルールの前記グローバルネットワーク側の宛先が一致するアドレス変換ルールがデータベース部の前記アドレス変換テーブルに記録されていることを調べ、
一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットの宛先をプライベートネットワーク側の宛先に変換し、
一致するアドレス変換ルールが存在しない場合は、アドレス変換ルールを前記データベース部の前記アドレス変換テーブルに追加して、当該追加したアドレス変換ルールに従って前記パケットの宛先をプライベートネットワーク側の宛先に変換し、
LANインターフェース部が、当該アドレス変換されたパケットを前記プライベートネットワーク側に伝え、
前記プライベートネットワーク側からのパケットをLANインターフェース部が受信
した場合に、
前記アドレス変換部で、前記パケットの送信元と前記アドレス変換ルールのプライベートネットワーク側の宛先とが一致するアドレス変換ルールがデータベース部に記録されていることを調べ、
一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットの送信元をWANインターフェース部のグローバルネットワーク内のアドレスに変換し、
一致するアドレス変換ルールが存在しない場合は、アドレス変換ルールを前記データベース部に追加して、当該追加したアドレス変換ルールに従って前記パケットの送信元をWANインターフェース部のグローバルネットワーク内のアドレスに変換し、
WANインターフェース部が、当該アドレス変換されたパケットを前記グローバルネットワーク側に伝え
あらかじめ定めた通信終了の判断基準を満足すると、
前記アドレス変換部で追加したアドレス変換ルールがある場合には、当該アドレス変換ルールを前記データベース部の前記アドレス変換テーブルから削除する
ことを特徴とするアドレス変換方法。 - 請求項22記載のアドレス変換方法であって、
認証処理部で認証処理を行う代わりに、前記グローバルネットワーク側の装置の認証を行う認証サーバからの要求があると、認証が合格したと判断する
ことを特徴とするアドレス変換方法。 - 請求項22または23記載のアドレス変換方法であって、
前記認証が合格すると、または前記認証が合格したと判断すると、
あらかじめ定めた一定時間ごとに信号を送るプログラムを埋め込んだファイルを装置に送信する過程も有し、
前記あらかじめ定めた通信終了の判断基準とは、
通信終了のパケットを受信したこと、装置からの前記信号が一定時間送信されてこないことである
ことを特徴とするアドレス変換方法。 - 請求項22または23記載のアドレス変換方法であって、
前記データベース部の前記アドレス変換テーブルに追加されるアドレス変換ルールの送信元は、前記認証が合格した、または前記認証が合格したと判断した前記グローバルネットワーク側の装置のIPアドレスである
ことを特徴とするアドレス変換方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004118740 | 2004-04-14 | ||
JP2004118740 | 2004-04-14 | ||
JP2004209367 | 2004-07-16 | ||
JP2004209367 | 2004-07-16 | ||
PCT/JP2005/007254 WO2005101217A1 (ja) | 2004-04-14 | 2005-04-14 | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2005101217A1 JPWO2005101217A1 (ja) | 2008-03-06 |
JP4362132B2 true JP4362132B2 (ja) | 2009-11-11 |
Family
ID=35150177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006508513A Active JP4362132B2 (ja) | 2004-04-14 | 2005-04-14 | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8667170B2 (ja) |
EP (1) | EP1632862B1 (ja) |
JP (1) | JP4362132B2 (ja) |
WO (1) | WO2005101217A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100667333B1 (ko) * | 2004-12-16 | 2007-01-12 | 삼성전자주식회사 | 홈 네트워크에서 디바이스 및 사용자 인증 시스템 및 방법 |
JP4498984B2 (ja) * | 2005-06-16 | 2010-07-07 | 富士通株式会社 | サービス提供装置および通信制御プログラム |
JP4190521B2 (ja) * | 2005-07-14 | 2008-12-03 | 株式会社東芝 | マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末 |
US8185642B1 (en) * | 2005-11-18 | 2012-05-22 | Juniper Networks, Inc. | Communication policy enforcement in a data network |
US8873555B1 (en) * | 2006-02-02 | 2014-10-28 | Marvell Israel (M.I.S.L.) Ltd. | Privilege-based access admission table |
JP4224084B2 (ja) | 2006-06-26 | 2009-02-12 | 株式会社東芝 | 通信制御装置、通信制御方法および通信制御プログラム |
DE102006046212A1 (de) * | 2006-09-29 | 2008-04-17 | Siemens Home And Office Communication Devices Gmbh & Co. Kg | Verfahren zur Verbindungs-Zugangs-Steuerung und Vorrichtungen |
US8316427B2 (en) * | 2007-03-09 | 2012-11-20 | International Business Machines Corporation | Enhanced personal firewall for dynamic computing environments |
US8695081B2 (en) * | 2007-04-10 | 2014-04-08 | International Business Machines Corporation | Method to apply network encryption to firewall decisions |
JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
US7990947B2 (en) * | 2007-06-12 | 2011-08-02 | Robert W. Twitchell, Jr. | Network watermark |
US20100275008A1 (en) | 2009-04-27 | 2010-10-28 | Motorola, Inc. | Method and apparatus for secure packet transmission |
JP5266165B2 (ja) * | 2009-08-25 | 2013-08-21 | 日本電信電話株式会社 | 中継装置、中継方法,プログラム、およびアクセス制御システム |
US8448235B2 (en) | 2010-08-05 | 2013-05-21 | Motorola Solutions, Inc. | Method for key identification using an internet security association and key management based protocol |
KR20120065131A (ko) * | 2010-12-10 | 2012-06-20 | 한국전자통신연구원 | 다중 단말 가상화 장치 및 그 방법 |
US8918835B2 (en) * | 2010-12-16 | 2014-12-23 | Futurewei Technologies, Inc. | Method and apparatus to create and manage virtual private groups in a content oriented network |
US9369370B2 (en) | 2011-01-12 | 2016-06-14 | Adaptive Spectrum And Signal Alignment, Inc. | Systems and methods for jointly optimizing WAN and LAN network communications |
US8886756B2 (en) * | 2011-05-13 | 2014-11-11 | Qualcomm Incorporated | Exchanging data between a user equipment and an application server |
US8825879B2 (en) * | 2012-02-02 | 2014-09-02 | Dialogic, Inc. | Session information transparency control |
US20130254553A1 (en) * | 2012-03-24 | 2013-09-26 | Paul L. Greene | Digital data authentication and security system |
JP6127618B2 (ja) * | 2013-03-15 | 2017-05-17 | 株式会社リコー | 情報処理装置、情報処理システム、中継方法およびプログラム |
GB2515674B (en) * | 2013-03-15 | 2021-02-24 | Pismo Labs Technology Ltd | Methods and systems for receiving and transmitting internet protocol (IP) data packets |
US9641551B1 (en) * | 2013-08-13 | 2017-05-02 | vIPtela Inc. | System and method for traversing a NAT device with IPSEC AH authentication |
JP6260283B2 (ja) | 2014-01-07 | 2018-01-17 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
US9774707B2 (en) * | 2014-06-04 | 2017-09-26 | Nicira, Inc. | Efficient packet classification for dynamic containers |
US10110712B2 (en) | 2014-06-04 | 2018-10-23 | Nicira, Inc. | Efficient packet classification for dynamic containers |
CN105471828B (zh) * | 2014-09-05 | 2019-07-26 | 联想(北京)有限公司 | 网络接入设备及其控制方法 |
CN104539752B (zh) * | 2014-12-31 | 2018-03-09 | 浙江宇视科技有限公司 | 多级域平台间的访问方法及系统 |
CN105100109B (zh) * | 2015-08-19 | 2019-05-24 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
JP2018061201A (ja) * | 2016-10-07 | 2018-04-12 | 株式会社リコー | 通信制御装置、通信制御プログラム、及び、ネットワーク通信システム |
US10554633B2 (en) * | 2017-09-19 | 2020-02-04 | ColorTokens, Inc. | Enhanced packet formating for security inter-computing system communication |
CN108390944B (zh) * | 2018-03-28 | 2021-05-04 | 北京小米移动软件有限公司 | 信息交互方法及装置 |
US11876790B2 (en) * | 2020-01-21 | 2024-01-16 | The Boeing Company | Authenticating computing devices based on a dynamic port punching sequence |
CN112532639B (zh) * | 2020-12-03 | 2023-03-14 | 中盈优创资讯科技有限公司 | 一种地址开放端口核查方法及装置 |
CN116579019B (zh) * | 2023-06-05 | 2023-11-17 | 山东泰航信息技术有限公司 | 一种计算机信息安全监管系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10308756A (ja) | 1997-03-06 | 1998-11-17 | Toshiba Corp | 通信装置および通信方法 |
JP4236364B2 (ja) * | 2000-04-04 | 2009-03-11 | 富士通株式会社 | 通信データ中継装置 |
US6931437B2 (en) * | 2000-04-27 | 2005-08-16 | Nippon Telegraph And Telephone Corporation | Concentrated system for controlling network interconnections |
JP4524906B2 (ja) | 2000-11-06 | 2010-08-18 | ソニー株式会社 | 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体 |
JP3760767B2 (ja) * | 2000-12-21 | 2006-03-29 | 株式会社日立製作所 | ネットワーク管理装置及びネットワーク管理方法 |
JP2002232450A (ja) | 2001-01-31 | 2002-08-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム |
EP1368952A1 (en) * | 2001-03-16 | 2003-12-10 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for setting up a firewall |
JP2003085059A (ja) | 2001-03-16 | 2003-03-20 | Matsushita Electric Ind Co Ltd | ファイアウォール設定方法およびその装置 |
JP4352645B2 (ja) | 2001-10-09 | 2009-10-28 | 日本電気株式会社 | 端末装置、中継装置、通信方法及びその通信プログラムを記録した記録媒体 |
JP2003132020A (ja) | 2001-10-26 | 2003-05-09 | Cyber Sign Japan Inc | アクセス制御装置及び認証装置及びそれらに関連する装置 |
TWI234969B (en) * | 2002-11-26 | 2005-06-21 | Ind Tech Res Inst | Dynamic network address translation system and method of transparent private network device |
-
2005
- 2005-04-14 US US10/558,629 patent/US8667170B2/en not_active Expired - Fee Related
- 2005-04-14 EP EP05730621A patent/EP1632862B1/en not_active Expired - Fee Related
- 2005-04-14 JP JP2006508513A patent/JP4362132B2/ja active Active
- 2005-04-14 WO PCT/JP2005/007254 patent/WO2005101217A1/ja not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013150925A1 (ja) | 2012-04-03 | 2013-10-10 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びパケット認証方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2005101217A1 (ja) | 2005-10-27 |
EP1632862A1 (en) | 2006-03-08 |
EP1632862B1 (en) | 2011-11-30 |
EP1632862A4 (en) | 2008-02-13 |
US20060259583A1 (en) | 2006-11-16 |
US8667170B2 (en) | 2014-03-04 |
JPWO2005101217A1 (ja) | 2008-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4362132B2 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
JP4648148B2 (ja) | 接続支援装置 | |
KR101038612B1 (ko) | 정보 처리 장치, 및 정보 처리 방법 | |
KR100758733B1 (ko) | 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 | |
JP5494816B2 (ja) | 通信制御装置、システム、方法及びプログラム | |
JP3890398B2 (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
US20060005008A1 (en) | Security gateway utilizing ssl protocol protection and related method | |
US7334126B1 (en) | Method and apparatus for secure remote access to an internal web server | |
MX2008014855A (es) | Delegacion de credencial, conducida por politica para signo individual y acceso seguro para recursos de red. | |
JP2002314549A (ja) | ユーザ認証システム及びそれに用いるユーザ認証方法 | |
JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
US20170111269A1 (en) | Secure, anonymous networking | |
Valente et al. | Privacy and security in Internet-connected cameras | |
Keromytis | Voice over IP: Risks, threats and vulnerabilities | |
JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
CN114143788A (zh) | 一种基于msisdn实现5g专网认证控制的方法和系统 | |
JP2012064007A (ja) | 情報処理装置、通信中継方法およびプログラム | |
JP2004295166A (ja) | リモートアクセスシステムおよびリモートアクセス方法 | |
JP2006270431A (ja) | 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法 | |
CN100470518C (zh) | 地址变换方法、访问控制方法及使用这些方法的装置 | |
JP4619059B2 (ja) | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム | |
JP2008199497A (ja) | ゲートウェイ装置および認証処理方法 | |
CN114301967A (zh) | 窄带物联网控制方法、装置及设备 | |
RU2316126C2 (ru) | Персональный удаленный межсетевой экран |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081202 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090130 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090324 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090521 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090605 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090806 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090814 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 4362132 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120821 Year of fee payment: 3 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090909 |
|
A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20100119 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130821 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |