JP2000207238A - ネットワ―クシステムおよび情報記録媒体 - Google Patents

ネットワ―クシステムおよび情報記録媒体

Info

Publication number
JP2000207238A
JP2000207238A JP11004493A JP449399A JP2000207238A JP 2000207238 A JP2000207238 A JP 2000207238A JP 11004493 A JP11004493 A JP 11004493A JP 449399 A JP449399 A JP 449399A JP 2000207238 A JP2000207238 A JP 2000207238A
Authority
JP
Japan
Prior art keywords
unit
security
information
rule
enhancing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11004493A
Other languages
English (en)
Inventor
Teruyuki Beppu
府 輝 之 別
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP11004493A priority Critical patent/JP2000207238A/ja
Publication of JP2000207238A publication Critical patent/JP2000207238A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 【課題】 各セキュリティ強化部を有効利用でき、障害
の起きたセキュリティ強化部のルール情報や接続情報を
保持したまま代用処理を行う。 【解決手段】 本発明のネットワークシステムは、イン
ターネットに接続された複数のセキュリティ強化部1
と、各セキュリティ強化部1を介して外部ネットワーク
とデータ通信を行う複数のコンピュータ端末3とを備え
る。各コンピュータ端末3とセキュリティ強化部1は内
部ネットワーク4に接続される。セキュリティ強化部1
はそれぞれ、ファイアウォールモジュール部11と、デ
ータ保持部12と、ルール処理部13と、状態監視部1
4と、情報テーブル15とを有する。データ保持部12
は、他のセキュリティ強化部1のルール情報や接続情報
を保持するため、他のセキュリティ強化部1のルール情
報や接続情報を維持したまま代用処理を行うことがで
き、データ通信中に回線が遮断する等の障害が少なくな
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】ネットワークを介してデータ
通信を行う場合に、一台のコンピュータに障害が起こっ
ても、他のコンピュータを用いてデータ通信を継続でき
るようにしたネットワーク環境に関する。
【0002】
【従来の技術】インターネット等の外部ネットワークと
限られた範囲に構築された内部ネットワークとの間に設
置され、通信プロトコルの種類等により、データ通信を
行うコンピュータを自動選択するファイアウォール処理
機能を備えたネットワークシステムが提案されている。
【0003】また、この種のネットワークシステムにお
いて、あるコンピュータに障害が起こった場合に、自動
的に他のコンピュータに切り替えてデータ通信を継続さ
せるようにした高可用性システムも提案されている。
【0004】このような高可用性システムでは、データ
伝送の受け渡し条件やネットワークへの接続条件が共通
なコンピュータ等からなるセキュリティ強化部を複数用
意しておき、一部のセキュリティ強化部に障害が起きた
ときに他のセキュリティ強化部で代用処理を行ったり、
複数のセキュリティ強化部で処理を分担したりする。こ
れにより、通信負荷を分散でき、また、複数のセキュリ
ティ強化部で分散処理していたものを一台のセキュリテ
ィ強化部で処理する縮退運転も可能となる。
【0005】
【発明が解決しようとする課題】しかしながら、代用処
理を行うためには、一部のセキュリティ強化部をホット
スタンバイ状態で常に待機させておかなければならず、
実際に使用される数よりも多くのセキュリティ強化部が
必要となるという問題がある。すなわち、ホットスタン
バイ状態のセキュリティ強化部は障害時にしか利用でき
ず、すべてのセキュリティ強化部を有効利用できなかっ
た。
【0006】また、従来のファイアウォール処理では、
外部ネットワーク側のインターフェースと内部ネットワ
ーク側のインターフェースに、それぞれ別々にIP(Int
ernet Protocol)アドレスを動的に割り振っていたた
め、ルーティング情報や接続情報を統括的に管理するこ
とができなかった。さらに、従来は、障害を起こしたセ
キュリティ強化部の処理を他のセキュリティ強化部に引
き継ぐ場合に、いったんデータ通信を遮断しなければな
らず、通信効率が悪かった。
【0007】本発明は、このような点に鑑みてなされた
ものであり、その目的は、各セキュリティ強化部を有効
利用でき、かつ、障害の起きたセキュリティ強化部のル
ール情報や接続情報を保持したまま他のセキュリティ強
化部に処理を引き継ぐことができるネットワークシステ
ムを提供することにある。
【0008】
【課題を解決するための手段】上述した課題を解決する
ために、請求項1の発明は、ネットワークに接続された
複数のセキュリティ強化部を備え、あるセキュリティ強
化部に障害が起こったときに、そのセキュリティ強化部
が行っていた処理を代用して他のセキュリティ強化部が
継続処理するネットワークシステムにおいて、前記セキ
ュリティ強化部のそれぞれは、代用処理が可能な自己以
外の前記セキュリティ強化部の動作が異常になると、異
常になった前記セキュリティ強化部におけるデータ伝送
の受け渡し条件に関するルール情報とネットワークへの
接続条件に関する接続情報とに基づいて、自己の前記ル
ール情報と前記接続情報とをそれぞれ自動更新する。
【0009】請求項1の発明によれば、異常になった自
己以外のセキュリティ強化部のルール情報と接続情報を
引き継いで代用処理を行うため、セキュリティ性が向上
する。
【0010】請求項3の発明によれば、複数のセキュリ
ティ強化部は、例えばインターネットからなる第1のネ
ットワークと、内部ネットワークからなる第2のネット
ワークの間に接続される。
【0011】請求項4の発明によれば、セキュリティ強
化部は、ネットワークの端末機能を兼ねており、セキュ
リティ強化部の内部には、業務アプリケーションを実行
する実行部が設けられる。
【0012】請求項5の発明によれば、他のセキュリテ
ィ強化部が送受するパケットを逐次記憶しておき、その
記憶内容に基づいてデータ保持部にルール情報や接続情
報を格納するため、データ通信を継続しながら、セキュ
リティ強化部の切替が可能になる。
【0013】請求項6または7の発明によれば、情報記
録媒体に含まれるプログラムをコンピュータに読み込ま
せることで、異常になった自己以外のセキュリティ強化
部のルール情報と接続情報を引き継いで代用処理を行う
ことができる。
【0014】
【発明の実施の形態】以下、本発明に係るネットワーク
システムについて、図面を参照しながら具体的に説明す
る。
【0015】図1は本発明に係るネットワークシステム
の一実施形態のブロック図である。図1のネットワーク
システムは、データ通信の信頼性向上のために設けられ
る複数のセキュリティ強化部1と、各セキュリティ強化
部1を介して外部ネットワーク(例えばインターネッ
ト)2とデータ通信を行う複数のコンピュータ端末3と
を備える。各コンピュータ端末3とセキュリティ強化部
1は内部ネットワーク4に接続されている。
【0016】図1のセキュリティ強化部1はそれぞれ、
ファイアウォールモジュール部11と、データ保持部1
2と、ルール処理部13と、状態監視部14と、情報テ
ーブル15とを有する。
【0017】ファイアウォールモジュール部11は、セ
キュリティ強化を図るために、データ通信されるパケッ
トをフィルタリングする。このファイアウォールモジュ
ール部11は、例えば、ファイアウォール処理を行うプ
ログラムからなる。
【0018】データ保持部12は、代用処理が可能な他
のセキュリティ強化部1のルール情報や接続情報を保持
する。ルール情報は、データ伝送の受け渡し条件に関す
る情報であり、例えば、メールの送受信は許可するが、
端末エミュレーション・ソフトウェアであるtelnetは許
可しない等の情報を指す。また、接続情報は、ネットワ
ークへの接続条件に関する情報であり、例えば、ユーザ
端末がどういう経路でネットワークに接続されるか等の
情報を指す。
【0019】ルール処理部13は、障害の起きた他のセ
キュリティ強化部1のルール情報や接続情報を自己のセ
キュリティ強化部1に追加したり、新たなルール情報等
をインストールする処理を行う。
【0020】状態監視部14は、セキュリティ強化部1
を介して接続される機器の通信状態の監視や、代用処理
が可能な他のセキュリティ強化部1の動作状態の監視を
行う。また、状態監視部14は、ルール情報や接続情報
の受け渡しも行う。
【0021】情報テーブル15は、障害の起きたセキュ
リティ強化部1のルール情報や接続情報をデータ通信を
遮断せずに受信できるように、通信中のデータの要求パ
ケット等をキューイング(逐次蓄積)する。情報テーブ
ル15に記憶されたデータからルール情報や接続情報が
抽出されてデータ保持部12に記憶される。
【0022】図2は図1の状態監視部14の処理の流れ
を示すフローチャートである。まず、代用処理が可能な
他のセキュリティ強化部1の動作状態を確認する(ステ
ップS1)。すなわち、セキュリティ強化部1が正常動
作しているか否かを状態監視する。
【0023】次に、代用処理が可能な他のセキュリティ
強化部1が正常動作しているか否かを判定する(ステッ
プS2)。他のセキュリティ強化部1が正常動作してい
ない場合には、自己のセキュリティ強化部1が高可用性
か否かを判定する(ステップS3)。この判定処理を設
けた理由は、高可用性でなければ、他のセキュリティ強
化部1の代用処理ができないためであり、このような場
合は、ステップS4以後の処理は行わない。
【0024】ステップS3において、自己のセキュリテ
ィ強化部1が高可用性であると判定されると、自己のセ
キュリティ強化部1のルール情報および接続情報と、デ
ータ保持部12に保持されている障害を起こした他のセ
キュリティ強化部1のルール情報および接続情報とをマ
ージさせる処理を行い(ステップS4)、マージさせた
ルール情報と接続情報をルール処理部13にインストー
ルする処理を行ってルール情報等を更新する(ステップ
S5)。
【0025】ここで、ルール情報や接続情報をマージす
る際、図1に示す情報テーブル15に通信中のデータの
要求パケットを蓄積(キューイング)するようにすれ
ば、データ通信を遮断せずにルール情報や接続情報を取
得でき、通信効率がよくなる。
【0026】一方、ステップS2でセキュリティ強化部
1が正常動作していると判断された場合、あるいは、ス
テップS3で高可用性コンピュータでないと判断された
場合には、処理を終了する。
【0027】このように、本実施形態は、インターネッ
トと内部ネットワーク4の間に複数のセキュリティ強化
部1を設け、他のセキュリティ強化部1のルール情報や
接続情報をセキュリティ強化部1内のデータ保持部12
に常に保持するようにしたため、一部のセキュリティ強
化部1に障害が起こっても、そのセキュリティ強化部1
のルール情報や接続情報を他のセキュリティ強化部1で
自動的に引き継ぐことができ、データ通信のセキュリテ
ィ性を向上できるとともに、データ通信中に回線が遮断
する等の障害が少なくなる。
【0028】また、本実施形態は、障害の有無により各
セキュリティ強化部1の負荷分散を動的に切り替えるた
め、各セキュリティ強化部1をホットスタンバイ状態で
待機させておく必要がなくなり、各セキュリティ強化部
1を有効利用できる。
【0029】(第2の実施形態)図3は本発明に係るネ
ットワークシステムの第2の実施形態のブロック図であ
る。図3のネットワークシステムは、各セキュリティ強
化部1の間にルール情報や接続情報を格納した共有記録
装置21を設けた点に特徴がある。この共有記録装置2
1は、各セキュリティ強化部1が個別にアクセス可能で
あり、各セキュリティ強化部1は共有記録装置21を介
して他のセキュリティ強化部1のルール情報等を読み出
す。このため、各セキュリティ強化部1内には、データ
保持部12は設けられていない。
【0030】図3のような共有記録装置21を設けるこ
とにより、内部ネットワーク4を介することなく、ダイ
レクトに他のセキュリティ強化部1のルール情報等を取
得でき、他のセキュリティ強化部1の代用処理を簡易か
つ迅速に行うことができる。
【0031】上述した各実施形態では、インターネット
等の外部ネットワーク2と限られた範囲に構築される内
部ネットワーク4との間に複数のセキュリティ強化部1
を接続する例を説明したが、複数の内部ネットワーク4
間や、複数の外部ネットワーク間にセキュリティ強化部
1を接続してもよい。
【0032】また、上述した各実施形態では、セキュリ
ティ強化部1が2つのネットワークの間でデータ伝送を
行う例を説明したが、セキュリティ強化部1がネットワ
ークの端末機能を果たすものであってもよい。この場
合、セキュリティ強化部1の内部に、業務アプリケーシ
ョンを実行する実行部を設ければよい。
【0033】なお、上述した各実施形態で説明したセキ
ュリティ強化部1の一部または全部は、ソフトウェアで
構成しても、ハードウェアで構成してもよい。ソフトウ
ェアで構成した場合には、そのソフトウェアをCD−R
OMやフロッピディスク等記録媒体に格納し、この記録
媒体の記録内容をコンピュータに読み込んで実行させて
もよい。
【0034】
【発明の効果】以上詳細に説明したように、本発明によ
れば、ネットワークに接続された各セキュリティ強化部
のルール情報や接続情報を他のセキュリティ強化部に引
き継ぐことができるようにしたため、一部のセキュリテ
ィ強化部を障害対策のためにホットスタンバイ状態で待
機させておく必要がなくなり、各セキュリティ強化部を
有効利用できる。また、ルール情報や接続情報を維持し
た状態で代用処理を行えるため、データ通信のセキュリ
ティ性を向上できるとともに、データ通信中に回線が遮
断する等の障害も少なくなる。
【図面の簡単な説明】
【図1】本発明に係るネットワークシステムの一実施形
態のブロック図。
【図2】状態監視部の処理の流れを示すフローチャー
ト。
【図3】本発明に係るネットワークシステムの第2の実
施形態のブロック図。
【符号の説明】
1 セキュリティ強化部 2 インターネット 3 コンピュータ端末 4 内部ネットワーク 11 ファイアウォールモジュール部 12 データ保持部 13 ルール処理部 14 状態監視部 15 情報テーブル

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】ネットワークに接続された信頼性向上のた
    めの複数のセキュリティ強化部を備え、あるセキュリテ
    ィ強化部に障害が起こったときに、そのセキュリティ強
    化部が行っていた処理を他のセキュリティ強化部が代わ
    りに継続処理するネットワークシステムにおいて、 前記セキュリティ強化部のそれぞれは、代用処理が可能
    な自己以外の前記セキュリティ強化部の動作が異常にな
    ると、異常になった前記セキュリティ強化部におけるデ
    ータ伝送の受け渡し条件に関するルール情報とネットワ
    ークへの接続条件に関する接続情報とに基づいて、自己
    の前記ルール情報と前記接続情報とをそれぞれ自動更新
    することを特徴とするネットワークシステム。
  2. 【請求項2】前記セキュリティ強化部のそれぞれは、 代用処理が可能な自己以外の前記セキュリティ強化部の
    前記ルール情報と前記接続情報とを格納するデータ保持
    部と、 代用処理が可能な自己以外の前記セキュリティ強化部の
    動作が異常か否かを判断する状態監視部と、 前記状態監視部により異常と判断された前記セキュリテ
    ィ強化部の前記ルール情報と前記接続情報とに基づい
    て、自己の前記ルール情報と前記接続情報とをそれぞれ
    修正するルール処理部と、を有することを特徴とする請
    求項1に記載のネットワークシステム。
  3. 【請求項3】前記セキュリティ強化部の少なくとも一部
    は、第1および第2のネットワーク間で伝送される通信
    パケットを分配処理することを特徴とする請求項1また
    は2に記載のネットワークシステム。
  4. 【請求項4】前記セキュリティ強化部の少なくとも一部
    は、ネットワーク経路の端部に接続され、 これら端部に接続された前記セキュリティ強化部は、業
    務アプリケーションを実行する実行部を有することを特
    徴とする請求項1または2に記載のネットワークシステ
    ム。
  5. 【請求項5】前記他のセキュリティ強化部が送受するパ
    ケットをキューイングする逐次記憶部を備え、 前記データ保持部は、前記逐次記憶部に記憶されたパケ
    ットに基づいて、前記ルール情報と前記接続情報とを記
    憶することを特徴とする請求項1〜4のいずれかに記載
    のネットワークシステム。
  6. 【請求項6】ネットワークに接続された信頼性向上のた
    めの複数のセキュリティ強化ステップを備え、あるセキ
    ュリティ強化ステップに障害が起こったときに、そのセ
    キュリティ強化ステップが行っていた処理を他のセキュ
    リティ強化ステップが代わりに継続処理するプログラム
    を記録した機械読み取り可能な情報記録媒体において、 前記セキュリティ強化ステップのそれぞれは、代用処理
    が可能な自己以外の前記セキュリティ強化ステップの動
    作が異常になると、異常になった前記セキュリティ強化
    ステップにおけるデータ伝送の受け渡し条件に関するル
    ール情報とネットワークへの接続条件に関する接続情報
    とに基づいて、自己の前記ルール情報と前記接続情報と
    をそれぞれ自動更新するプログラムを記録した機械読み
    取り可能な情報記録媒体。
  7. 【請求項7】前記セキュリティ強化ステップのそれぞれ
    は、 代用処理が可能な自己以外の前記セキュリティ強化部の
    前記ルール情報と前記接続情報とを格納するデータ保持
    ステップと、 代用処理が可能な自己以外の前記セキュリティ強化部の
    動作が異常か否かを判断する状態監視ステップと、 前記状態監視ステップにより異常と判断された前記セキ
    ュリティ強化ステップの前記ルール情報と前記接続情報
    とに基づいて、自己の前記ルール情報と前記接続情報と
    をそれぞれ修正するルール処理ステップと、を有するこ
    とを特徴とする請求項6に記載の情報記録媒体。
JP11004493A 1999-01-11 1999-01-11 ネットワ―クシステムおよび情報記録媒体 Pending JP2000207238A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11004493A JP2000207238A (ja) 1999-01-11 1999-01-11 ネットワ―クシステムおよび情報記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11004493A JP2000207238A (ja) 1999-01-11 1999-01-11 ネットワ―クシステムおよび情報記録媒体

Publications (1)

Publication Number Publication Date
JP2000207238A true JP2000207238A (ja) 2000-07-28

Family

ID=11585617

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11004493A Pending JP2000207238A (ja) 1999-01-11 1999-01-11 ネットワ―クシステムおよび情報記録媒体

Country Status (1)

Country Link
JP (1) JP2000207238A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004070590A1 (ja) * 2003-02-04 2004-08-19 Fujitsu Limited ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
JP2010061556A (ja) * 2008-09-05 2010-03-18 Toshiba Corp 情報処理システムおよび情報処理システムの制御方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0685883A (ja) * 1992-09-02 1994-03-25 Hitachi Ltd 情報通信システム
JPH086910A (ja) * 1994-06-23 1996-01-12 Hitachi Ltd クラスタ型計算機システム
JPH0991233A (ja) * 1995-09-27 1997-04-04 Nec Corp ネットワーク接続装置
JPH10334008A (ja) * 1997-05-16 1998-12-18 Internatl Business Mach Corp <Ibm> ネットワーク・セキュリティ・システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0685883A (ja) * 1992-09-02 1994-03-25 Hitachi Ltd 情報通信システム
JPH086910A (ja) * 1994-06-23 1996-01-12 Hitachi Ltd クラスタ型計算機システム
JPH0991233A (ja) * 1995-09-27 1997-04-04 Nec Corp ネットワーク接続装置
JPH10334008A (ja) * 1997-05-16 1998-12-18 Internatl Business Mach Corp <Ibm> ネットワーク・セキュリティ・システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004070590A1 (ja) * 2003-02-04 2004-08-19 Fujitsu Limited ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
JPWO2004070590A1 (ja) * 2003-02-04 2006-05-25 富士通株式会社 ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
JP2010061556A (ja) * 2008-09-05 2010-03-18 Toshiba Corp 情報処理システムおよび情報処理システムの制御方法
JP4521456B2 (ja) * 2008-09-05 2010-08-11 株式会社東芝 情報処理システムおよび情報処理システムの制御方法

Similar Documents

Publication Publication Date Title
US10673938B2 (en) Method and system for load balancing over a cluster of authentication, authorization and accounting (AAA) servers
US7720047B1 (en) Managing periodic communications
US20180316607A1 (en) Providing non-interrupt failover using a link aggregation mechanism
US8189579B1 (en) Distributed solution for managing periodic communications in a multi-chassis routing system
US7225356B2 (en) System for managing operational failure occurrences in processing devices
US7050392B2 (en) In-order delivery of frames during topology change
AU2004306913B2 (en) Redundant routing capabilities for a network node cluster
US6067569A (en) Fast-forwarding and filtering of network packets in a computer system
US7710899B1 (en) System and method for speeding border gateway protocol graceful restart
US20060256801A1 (en) Gateway system
US20130304805A1 (en) Network system and network relay apparatus
US20060039384A1 (en) System and method for preventing erroneous link aggregation due to component relocation
JPH11154979A (ja) 多重化ルータ装置
US7864666B2 (en) Communication control apparatus, method and program thereof
WO2003096206A1 (en) Methods and systems for processing network data packets
US7263061B2 (en) Packet routing apparatus for routing packets via a pre-established connection in a store and forward network
JP4964666B2 (ja) 冗長化された通信経路を切り替える計算機、プログラム及び方法
US20030221015A1 (en) Preventing at least in part control processors from being overloaded
JPH09319689A (ja) サーバ選択方式
EP1566034B1 (en) Method and appliance for distributing data packets sent by a computer to a cluster system
CN112217718A (zh) 一种业务处理方法、装置、设备及存储介质
JP2000207238A (ja) ネットワ―クシステムおよび情報記録媒体
US20070064690A1 (en) Method and system for routing protocol outbound route control
JP4028627B2 (ja) クライアントサーバシステムおよびクライアントサーバシステムの通信管理方法
CN109039680B (zh) 一种切换主宽带网络网关bng和备bng的方法、系统和bng

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070921

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071120

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071214