JP2000253038A - ファイアウオール装置 - Google Patents
ファイアウオール装置Info
- Publication number
- JP2000253038A JP2000253038A JP11049409A JP4940999A JP2000253038A JP 2000253038 A JP2000253038 A JP 2000253038A JP 11049409 A JP11049409 A JP 11049409A JP 4940999 A JP4940999 A JP 4940999A JP 2000253038 A JP2000253038 A JP 2000253038A
- Authority
- JP
- Japan
- Prior art keywords
- host computer
- proxy
- server
- internet
- cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】セキュリテイを向上させ、かつトラッフィクを
軽くしたファイアウオール装置を提供する。 【解決手段】イントラネット内のクライアントに選択さ
れ、かつプロキシー/キャッシュサーバとして用いられ
るホストコンピュータ3、4、5から転送されてくる接
続要求中でFQDN形式のアドレスを判別して、デフォ
ルトルートはホストコンピュータ3、4、5側に向けら
れてインターネット側とは直接接続されず、かつプロキ
シーサーバーとして用いられるホストコンピュータ2に
よってルーチングを行わせ、インターネットへの接続を
デフォルトルートはインターネット側に向けられ、ホス
トコンピュータ2からのみ接続され、かつプロキシー/
キャッシュサーバーとして用いられるホストコンピュー
タ1にて行わせるようにした。
軽くしたファイアウオール装置を提供する。 【解決手段】イントラネット内のクライアントに選択さ
れ、かつプロキシー/キャッシュサーバとして用いられ
るホストコンピュータ3、4、5から転送されてくる接
続要求中でFQDN形式のアドレスを判別して、デフォ
ルトルートはホストコンピュータ3、4、5側に向けら
れてインターネット側とは直接接続されず、かつプロキ
シーサーバーとして用いられるホストコンピュータ2に
よってルーチングを行わせ、インターネットへの接続を
デフォルトルートはインターネット側に向けられ、ホス
トコンピュータ2からのみ接続され、かつプロキシー/
キャッシュサーバーとして用いられるホストコンピュー
タ1にて行わせるようにした。
Description
【0001】
【発明の属する技術分野】本発明はインターネットとイ
ントラネット間に設けられてデータを保護するファイア
ウオール装置に関する。
ントラネット間に設けられてデータを保護するファイア
ウオール装置に関する。
【0002】
【従来の技術】従来のこの種のファイアウオール装置
は、例えば図5、図6に示すように構成されている。
は、例えば図5、図6に示すように構成されている。
【0003】図5に示す従来のファイアウオール装置の
場合、イントラネット内のクライアント25はホストコ
ンピュータ23をプロキシーサーバーとして用いて、フ
ァイアウオールゲートウエイを構成するホストコンピュ
ータ22を越えて、プロキシー/キャッシュサーバーと
して用いたホストコンピュータ21に接続してからイン
ターネットにアクセスするように構成される。符号24
はルータを示し、符号26はネットワークを示してい
る。
場合、イントラネット内のクライアント25はホストコ
ンピュータ23をプロキシーサーバーとして用いて、フ
ァイアウオールゲートウエイを構成するホストコンピュ
ータ22を越えて、プロキシー/キャッシュサーバーと
して用いたホストコンピュータ21に接続してからイン
ターネットにアクセスするように構成される。符号24
はルータを示し、符号26はネットワークを示してい
る。
【0004】ホストコンピュータ22では、通過できる
アドレスとポート番号が制限されており、ホストコンピ
ュータ22では一般にホストコンピュータ23のアドレ
スからのみインターネット側のホストコンピュータ21
へ接続できるようになっていて、ファイアウオール装置
を構成している。
アドレスとポート番号が制限されており、ホストコンピ
ュータ22では一般にホストコンピュータ23のアドレ
スからのみインターネット側のホストコンピュータ21
へ接続できるようになっていて、ファイアウオール装置
を構成している。
【0005】図6に示す従来のファイアウオール装置の
場合、図5に示すファイアウオール装置よりも簡単にな
っていて、ホストコンピュータ23が省略されており、
イントラネット内のクライアント25は全てインターネ
ット接続を行うためにホストコンピュータ21をプロキ
シー/キャッシュサーバーとして使用する。
場合、図5に示すファイアウオール装置よりも簡単にな
っていて、ホストコンピュータ23が省略されており、
イントラネット内のクライアント25は全てインターネ
ット接続を行うためにホストコンピュータ21をプロキ
シー/キャッシュサーバーとして使用する。
【0006】
【発明が解決しようとする課題】しかし、上記のように
構成した図5に示すファイアウオール装置では、次のよ
うな問題点がある。(a)ホストコンピュータ23に多
数のクライアントの接続要求が生じ、プロキシーサーバ
ーの負荷を重くし、イントラネット側のトラフィックが
集中する。この結果、ルーチングが複雑になる。また、
IPアドレスを用いたセキュリティの維持が難しくな
る。
構成した図5に示すファイアウオール装置では、次のよ
うな問題点がある。(a)ホストコンピュータ23に多
数のクライアントの接続要求が生じ、プロキシーサーバ
ーの負荷を重くし、イントラネット側のトラフィックが
集中する。この結果、ルーチングが複雑になる。また、
IPアドレスを用いたセキュリティの維持が難しくな
る。
【0007】さらに、(b)ホストコンピュータ22に
トラフィックが集中する。(c)拡張性が少なく、イン
トラネット側の規模が大きくなったとき、トラフィック
管理が困難になる。
トラフィックが集中する。(c)拡張性が少なく、イン
トラネット側の規模が大きくなったとき、トラフィック
管理が困難になる。
【0008】図6に示すファイアウール装置では、構成
は簡単になっており、イントラネット内のクライアント
は全てインターネット接続を行うためにホストコンピュ
ータ21をプロキシー/キャッシュサーバーとして使用
するため、ホストコンピュータ22は内部の全てのクラ
イアントからホストコンピュータ21に接続できるよう
にする必要があり、次のような問題点を有する。
は簡単になっており、イントラネット内のクライアント
は全てインターネット接続を行うためにホストコンピュ
ータ21をプロキシー/キャッシュサーバーとして使用
するため、ホストコンピュータ22は内部の全てのクラ
イアントからホストコンピュータ21に接続できるよう
にする必要があり、次のような問題点を有する。
【0009】(a)セキュリティを実現する為に、グロ
ーバルなネットワークアドレスは一般的に大量に取得で
きず、イントラネット内のホストコンピュータのアドレ
スは全てプライベートアドレスにする必要がある。
(b)全てのクライアントをホストコンピュータ21や
22のアクセス制御に登録する必要があるため、ホスト
コンピュータ22のアクセス制御の設定が複雑になる。
(c)イントラネット側のネットワークの規模が大きく
なった場合、図5の例よりもルーチングがむずかしくな
り、トラフィックの影響を大きく受けてネットワークの
効率を下げる。(d)さらに、拡張性が図5に示すの場
合よりも低い。
ーバルなネットワークアドレスは一般的に大量に取得で
きず、イントラネット内のホストコンピュータのアドレ
スは全てプライベートアドレスにする必要がある。
(b)全てのクライアントをホストコンピュータ21や
22のアクセス制御に登録する必要があるため、ホスト
コンピュータ22のアクセス制御の設定が複雑になる。
(c)イントラネット側のネットワークの規模が大きく
なった場合、図5の例よりもルーチングがむずかしくな
り、トラフィックの影響を大きく受けてネットワークの
効率を下げる。(d)さらに、拡張性が図5に示すの場
合よりも低い。
【0010】本発明は、セキュリテイを向上させ、かつ
トラフィックを軽くすることができるファイアウオール
装置を提供することを目的とする。
トラフィックを軽くすることができるファイアウオール
装置を提供することを目的とする。
【0011】
【課題を解決するための手段】本発明のファイアウオー
ル装置は、イントラネット内部のクライアントが接続を
行い、オートプロキシーによってクライアントに選択さ
れ、かつプロキシー/キャッシュサーバとして用いられ
る複数の第1のホストコンピュータと、第1のホストコ
ンピュータから転送されてくる接続要求中でFQDN形
式のアドレスを判別してルーチングを行い、デフォルト
ルートは第1のホストコンピュータ側に向けられてイン
ターネット側とは直接接続されず、かつサーバーとして
用いられるときはプロキシーサーバーとして用いられる
第2のホストコンピュータと、デフォルトルートはイン
ターネット側に向けられ、第2のホストコンピュータか
らのみ接続され、かつサーバーとして用いられるときは
プロキシー/キャッシュサーバーとして用いられる第3
のホストコンピュータとを備えたことを特徴とする。
ル装置は、イントラネット内部のクライアントが接続を
行い、オートプロキシーによってクライアントに選択さ
れ、かつプロキシー/キャッシュサーバとして用いられ
る複数の第1のホストコンピュータと、第1のホストコ
ンピュータから転送されてくる接続要求中でFQDN形
式のアドレスを判別してルーチングを行い、デフォルト
ルートは第1のホストコンピュータ側に向けられてイン
ターネット側とは直接接続されず、かつサーバーとして
用いられるときはプロキシーサーバーとして用いられる
第2のホストコンピュータと、デフォルトルートはイン
ターネット側に向けられ、第2のホストコンピュータか
らのみ接続され、かつサーバーとして用いられるときは
プロキシー/キャッシュサーバーとして用いられる第3
のホストコンピュータとを備えたことを特徴とする。
【0012】本発明のファイアウオール装置によれば、
第1のホストコンピュータのプロキシー/キャッシュサ
ーバの記憶内容がクライアントからの要求内容とヒット
することが多くなり、第3のホストコンピュータからイ
ンターネットに接続されることは減少し、第2のホスト
コンピュータを通過するデータ量は減少して、トラッフ
ィクは軽減される。また、第2のホストコンピュータは
FQDNを用いてルーチングを切り替える為に、ネーム
サービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが向上される。
第1のホストコンピュータのプロキシー/キャッシュサ
ーバの記憶内容がクライアントからの要求内容とヒット
することが多くなり、第3のホストコンピュータからイ
ンターネットに接続されることは減少し、第2のホスト
コンピュータを通過するデータ量は減少して、トラッフ
ィクは軽減される。また、第2のホストコンピュータは
FQDNを用いてルーチングを切り替える為に、ネーム
サービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが向上される。
【0013】
【発明の実施の形態】以下、本発明にかかるファイアウ
オール装置を実施の形態によって説明する。
オール装置を実施の形態によって説明する。
【0014】図1は本発明の実施の一形態にかかるファ
イアウオール装置の構成を示すブロック図であり、図2
は本発明の実施の一形態にかかるファイアウオール装置
におけるルーチングを示す模式図である。
イアウオール装置の構成を示すブロック図であり、図2
は本発明の実施の一形態にかかるファイアウオール装置
におけるルーチングを示す模式図である。
【0015】本発明の実施の一形態にかかるファイアウ
オール装置は、図1に示すように3層に構成してある。
オール装置は、図1に示すように3層に構成してある。
【0016】最下層の第3層目Aには、イントラネット
内のクライアントと接続するホストコンピュータ3〜5
が設けてあり、プロトコルやルーチングの管理を行わせ
る。ホストコンピュータ3〜5をサーバーとして用いる
ときはプロキシー/キャッシュサーバーとして用い、こ
れらのプロキシー/キャッシュサーバーはオートプロキ
シー機能を使用し、クライアントが任意に選択する。さ
らに、これらのプロキシー/キャッシュサーバーはさら
に後記する上位のホストコンピュータ2へスタテイック
に中継されている。
内のクライアントと接続するホストコンピュータ3〜5
が設けてあり、プロトコルやルーチングの管理を行わせ
る。ホストコンピュータ3〜5をサーバーとして用いる
ときはプロキシー/キャッシュサーバーとして用い、こ
れらのプロキシー/キャッシュサーバーはオートプロキ
シー機能を使用し、クライアントが任意に選択する。さ
らに、これらのプロキシー/キャッシュサーバーはさら
に後記する上位のホストコンピュータ2へスタテイック
に中継されている。
【0017】第2層目Bには、ホストコンピュータ2が
設けてあり、ホストコンピュータ2をサーバーとして用
いるときはプロキシーサーバーとして用いる。ホストコ
ンピュータ2を設けた理由は、ホストコンピュータ3、
4、5からの接続要求を後記のホストコンピュータ1へ
中継するためであり、また、ファイアウオールの機能と
してアクセス制御を行うためである。プロキシーサーバ
の中継は他のサブドメインのhttpサーバーへアクセ
スするために、他のプロキシーサーバーへの中継も行
う。
設けてあり、ホストコンピュータ2をサーバーとして用
いるときはプロキシーサーバーとして用いる。ホストコ
ンピュータ2を設けた理由は、ホストコンピュータ3、
4、5からの接続要求を後記のホストコンピュータ1へ
中継するためであり、また、ファイアウオールの機能と
してアクセス制御を行うためである。プロキシーサーバ
の中継は他のサブドメインのhttpサーバーへアクセ
スするために、他のプロキシーサーバーへの中継も行
う。
【0018】第1層目Cには、ホストコンピュータ1が
設けてあり、ホストコンピュータ1をサーバーとして用
いるときはプロキシー/キャッシュサーバーとして用い
る。ホストコンピュータ1はイントラネットからの要求
は受付、インターネットからの接続はできないようにア
クセス制御を行い、キャッシュ用のデイスクメモリを持
つている。
設けてあり、ホストコンピュータ1をサーバーとして用
いるときはプロキシー/キャッシュサーバーとして用い
る。ホストコンピュータ1はイントラネットからの要求
は受付、インターネットからの接続はできないようにア
クセス制御を行い、キャッシュ用のデイスクメモリを持
つている。
【0019】上記のような3層構成にしたのは、ファイ
アウオールの構成と、他のドメインとのルーテイングを
行う必要のためでもある。
アウオールの構成と、他のドメインとのルーテイングを
行う必要のためでもある。
【0020】なお、図1において符号6〜8はルータを
示し、ルータ6はインターネット接続を行うためのルー
タである。図2において符号9はクライアントを示し、
符号11および31はそれぞれホストコンピュータ1の
キャッシュ用デイスクメモリ、ホストコンピュータ3、
4、5のキャッシュ用デイスクを示している。
示し、ルータ6はインターネット接続を行うためのルー
タである。図2において符号9はクライアントを示し、
符号11および31はそれぞれホストコンピュータ1の
キャッシュ用デイスクメモリ、ホストコンピュータ3、
4、5のキャッシュ用デイスクを示している。
【0021】さらに説明する。ホストコンピュータ1
は、サーバーとして用いるときはプロキシー/キャッシ
ュサーバとして用い、デフォルトのルーチングはルータ
6に向けてあり、プロキシー/キャッシュサーバーへの
接続は、ホストコンピュータ2からのみ接続できるよう
にアクセス制御がかけてある。
は、サーバーとして用いるときはプロキシー/キャッシ
ュサーバとして用い、デフォルトのルーチングはルータ
6に向けてあり、プロキシー/キャッシュサーバーへの
接続は、ホストコンピュータ2からのみ接続できるよう
にアクセス制御がかけてある。
【0022】ホストコンピュータ2は、キャッシュを持
っていない。ホストに対する負担を軽くするためにホス
トコンピュータ3、4、5等から転送されてくる接続要
求の中で、IPアドレスによる表現ではなくFQDN
(フルリー、クオリファイド、ドメイン、ネーム)形式
のアドレスを判断し、インターネット側もしくは別のサ
ブドメインへのルーチングを行う。例えば、foo.b
ar.com以外のbar.comというドメイン宛の
接続は別のドメインへ、bar.com以外のドメイン
への要求はホストコンピュータ1へ接続を行う。
っていない。ホストに対する負担を軽くするためにホス
トコンピュータ3、4、5等から転送されてくる接続要
求の中で、IPアドレスによる表現ではなくFQDN
(フルリー、クオリファイド、ドメイン、ネーム)形式
のアドレスを判断し、インターネット側もしくは別のサ
ブドメインへのルーチングを行う。例えば、foo.b
ar.com以外のbar.comというドメイン宛の
接続は別のドメインへ、bar.com以外のドメイン
への要求はホストコンピュータ1へ接続を行う。
【0023】なお、ホストコンピュータ2へはホストコ
ンピュータ3、4、5のいずれかのみが接続できるよう
にアクセス制御を行い、デフォルトルートは内部に向け
られ、インターネット側からはこのホストコンピュータ
3、4、5に接続はできない。
ンピュータ3、4、5のいずれかのみが接続できるよう
にアクセス制御を行い、デフォルトルートは内部に向け
られ、インターネット側からはこのホストコンピュータ
3、4、5に接続はできない。
【0024】ホストコンピュータ3、4、5は、プロキ
シー/キャッシュサーバーであり、各々キャッシュの機
能を持っている。内部のネットワークに属するクライア
ントはこれらホストコンピュータ3、4、5のプロキシ
ー/キャッシュサーバーを次のような基準ルールで選択
して接続を行い、各サーバーのディスクやネットワーク
の負担を軽くしている。
シー/キャッシュサーバーであり、各々キャッシュの機
能を持っている。内部のネットワークに属するクライア
ントはこれらホストコンピュータ3、4、5のプロキシ
ー/キャッシュサーバーを次のような基準ルールで選択
して接続を行い、各サーバーのディスクやネットワーク
の負担を軽くしている。
【0025】クライアントによるホストコンピュータ
3、4、5のプロキシー/キャッシュサーバーの切替基
準ルールは、接続要求をしているURLキャラクターを
論理加算しさらに3で割り(3台のプロキシー/キャッ
シュサーバーを使用した場合)、剰余でホストコンピュ
ータ3、ホストコンピュータ4、またはホストコンピュ
ータ5を選択する。また、例えば、その過程でホストコ
ンピュータ3が選択されたが、ホストコンピュータ3が
動作停止している場合はホストコンピュータ4に、さら
にホストコンピュータ4が停止している場合はホストコ
ンピュータ5を使用するようにプロキシーの切り替えの
ルールが定めてある。具体的な切り替えはクライアント
へ供給されているプログラムでブラウザが実施する。
3、4、5のプロキシー/キャッシュサーバーの切替基
準ルールは、接続要求をしているURLキャラクターを
論理加算しさらに3で割り(3台のプロキシー/キャッ
シュサーバーを使用した場合)、剰余でホストコンピュ
ータ3、ホストコンピュータ4、またはホストコンピュ
ータ5を選択する。また、例えば、その過程でホストコ
ンピュータ3が選択されたが、ホストコンピュータ3が
動作停止している場合はホストコンピュータ4に、さら
にホストコンピュータ4が停止している場合はホストコ
ンピュータ5を使用するようにプロキシーの切り替えの
ルールが定めてある。具体的な切り替えはクライアント
へ供給されているプログラムでブラウザが実施する。
【0026】そこで、本発明の実施の一形態にかかるフ
ァイアウオール装置では、インターネット接続を行うと
き、ホストコンピュータ3、4、5をプロキシー/キャ
ッシュサーバーとして用い、キャッシュのヒット率をあ
げることができて、ホストコンピュータ2を介してホス
トコンピュータ1への接続要求が減少し、ホストコンピ
ュータ1、2の負担が軽減され、ホストコンピュータ2
に対するトラフィックが軽減される。
ァイアウオール装置では、インターネット接続を行うと
き、ホストコンピュータ3、4、5をプロキシー/キャ
ッシュサーバーとして用い、キャッシュのヒット率をあ
げることができて、ホストコンピュータ2を介してホス
トコンピュータ1への接続要求が減少し、ホストコンピ
ュータ1、2の負担が軽減され、ホストコンピュータ2
に対するトラフィックが軽減される。
【0027】次に、ホストコンピュータ1、3、4およ
び5に充分大きな記憶容量のキャッシュサーバー用のデ
ィスクメモリ11、31を設け、さらに、各々のホスト
コンピュータ1、3、4および5では同時に開くことが
できるファイルの数を充分大きくし、要求の待ち時間を
短くしキャッシュのパラメータを調整し一度に上記のプ
ロキシーサーバーであるホストコンピュータ1への要求
を出す大きさを大きくすることによりヒット率が向上
し、インターネットへの接続要求が減少し、トラフィッ
クが軽減された。
び5に充分大きな記憶容量のキャッシュサーバー用のデ
ィスクメモリ11、31を設け、さらに、各々のホスト
コンピュータ1、3、4および5では同時に開くことが
できるファイルの数を充分大きくし、要求の待ち時間を
短くしキャッシュのパラメータを調整し一度に上記のプ
ロキシーサーバーであるホストコンピュータ1への要求
を出す大きさを大きくすることによりヒット率が向上
し、インターネットへの接続要求が減少し、トラフィッ
クが軽減された。
【0028】この結果、各週における実線、破線および
一点鎖線で示すホストコンピュータ3、4、5における
ヒット率の変化は、図3に示すように本発明の実施の一
形態にかかるファイアウオール装置を用いた第2週目か
ら増加し、一点差線で示すホストコンピュータ1に対す
るインターネットへの接続要求は第2週目から減少して
いる。図4は、さらに第6週目を加えたときの例を示し
ている。図3および図4において、二点差線はホストコ
ンピュータにおけるヒット率を示している。
一点鎖線で示すホストコンピュータ3、4、5における
ヒット率の変化は、図3に示すように本発明の実施の一
形態にかかるファイアウオール装置を用いた第2週目か
ら増加し、一点差線で示すホストコンピュータ1に対す
るインターネットへの接続要求は第2週目から減少して
いる。図4は、さらに第6週目を加えたときの例を示し
ている。図3および図4において、二点差線はホストコ
ンピュータにおけるヒット率を示している。
【0029】また、上記したように、オートプロキシー
の実装にあたり、クライアントは要求したプロキシー/
キャッシュサーバーが動作を停止している場合、次のプ
ロキシー/キャッシュサーバーへ要求を自動的に切り替
えるようにプログラムすることにより、この切り替え時
には、多少時間はかかるが、次のタイミングからは通常
どうりになる。
の実装にあたり、クライアントは要求したプロキシー/
キャッシュサーバーが動作を停止している場合、次のプ
ロキシー/キャッシュサーバーへ要求を自動的に切り替
えるようにプログラムすることにより、この切り替え時
には、多少時間はかかるが、次のタイミングからは通常
どうりになる。
【0030】キャッシュサーバー用のディスクメモリを
ホストコンピュータ3、4、5に分割し、また、オート
プロキシーしてプロキシーサーバーを切り換える効果に
より、一つのページを読むときに一般に複数のURLへ
の要求が出されるが、この要求を複数のプロキシー/キ
ャッシュサーバーで処理されるためディスクの待ち時間
を低減することができ、また一台のプロキシー/キャッ
シュサーバーへ上記のような複数のURLの要求が集中
しないため、ディスクメモリやネットワークへの負担が
軽くなり一台のホストコンピュータにて行うより速度が
改善される。
ホストコンピュータ3、4、5に分割し、また、オート
プロキシーしてプロキシーサーバーを切り換える効果に
より、一つのページを読むときに一般に複数のURLへ
の要求が出されるが、この要求を複数のプロキシー/キ
ャッシュサーバーで処理されるためディスクの待ち時間
を低減することができ、また一台のプロキシー/キャッ
シュサーバーへ上記のような複数のURLの要求が集中
しないため、ディスクメモリやネットワークへの負担が
軽くなり一台のホストコンピュータにて行うより速度が
改善される。
【0031】また、ホストコンピュータ1とホストコン
ピュータ3、4、5との2段のキャッシュを行っている
ために、見かけ上の速度が向上する。これは、まず、ホ
ストコンピュータ3、4、5のプロキシー/キャッシュ
サーバーに要求されたデータが残されている確率が高く
なり、ホストコンピュータ3、4、5のプロキシー/キ
ャッシュサーバー間での中継を行い、ホストコンピュー
タ1のプロキシー/キャッシュサーバーがオブジェクト
を取り込む時は一度に大量のオブジェクトを要求するよ
うにし、ホストコンピュータ3、4、5のプロキシー/
キャッシュサーバーではホストコンピュータ1のプロキ
シー/キャッシュサーバーに対して小さな量で分割して
処理し、一回にセッションをはっている時間を短くし他
の目的に使用するセッションをはりやすくすることで、
ホストコンピュータ1とホストコンピュータ2、3、4
のプロキシー/キャッシュサーバー間のネットワークの
負担を少なくしているためである。
ピュータ3、4、5との2段のキャッシュを行っている
ために、見かけ上の速度が向上する。これは、まず、ホ
ストコンピュータ3、4、5のプロキシー/キャッシュ
サーバーに要求されたデータが残されている確率が高く
なり、ホストコンピュータ3、4、5のプロキシー/キ
ャッシュサーバー間での中継を行い、ホストコンピュー
タ1のプロキシー/キャッシュサーバーがオブジェクト
を取り込む時は一度に大量のオブジェクトを要求するよ
うにし、ホストコンピュータ3、4、5のプロキシー/
キャッシュサーバーではホストコンピュータ1のプロキ
シー/キャッシュサーバーに対して小さな量で分割して
処理し、一回にセッションをはっている時間を短くし他
の目的に使用するセッションをはりやすくすることで、
ホストコンピュータ1とホストコンピュータ2、3、4
のプロキシー/キャッシュサーバー間のネットワークの
負担を少なくしているためである。
【0032】インターネットとの間でネームサービスを
交換しないため、セキュリティは改善される。さらにホ
ストコンピュータ2を通過するデータ量が減少し、セキ
ュリティ面のみでなくトラフィックを大幅に少なくする
ことができ、ホストコンピュータ1とホストコンピュー
タ3、4、5の間の接続が円滑になる。
交換しないため、セキュリティは改善される。さらにホ
ストコンピュータ2を通過するデータ量が減少し、セキ
ュリティ面のみでなくトラフィックを大幅に少なくする
ことができ、ホストコンピュータ1とホストコンピュー
タ3、4、5の間の接続が円滑になる。
【0033】
【発明の効果】以上説明したように本発明にかかるファ
イアウオール装置によれば、第2のホストコンピュータ
はFQDNを用いてルーチングを切り替える為に、ネー
ムサービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが改善される。
イアウオール装置によれば、第2のホストコンピュータ
はFQDNを用いてルーチングを切り替える為に、ネー
ムサービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが改善される。
【0034】また、本発明にかかるファイアウオール装
置によれば、第2のホストコンピュータのスイッチ機能
を用いることで別のサブドメインとのプロキシー/キャ
ッシュサーバーの中継を任意に作成できる拡張性を持
つ。中継を行う事でサブドメイン間のルーチングを簡単
にし、トラフィックを軽くする事ができる。
置によれば、第2のホストコンピュータのスイッチ機能
を用いることで別のサブドメインとのプロキシー/キャ
ッシュサーバーの中継を任意に作成できる拡張性を持
つ。中継を行う事でサブドメイン間のルーチングを簡単
にし、トラフィックを軽くする事ができる。
【0035】さらに、本発明にかかるファイアウオール
装置によれば、第2のホストコンピュータのアクセス制
御はイントラネット側の第1のホストコンピュータのみ
の接続を許可するため、またインターネット側の第3の
ホストコンピュータも第2のホストコンピュータを通過
したプロトコルのみの接続を許可するためセキュリティ
が改善される。
装置によれば、第2のホストコンピュータのアクセス制
御はイントラネット側の第1のホストコンピュータのみ
の接続を許可するため、またインターネット側の第3の
ホストコンピュータも第2のホストコンピュータを通過
したプロトコルのみの接続を許可するためセキュリティ
が改善される。
【0036】さらにまた、本発明にかかるファイアウオ
ール装置によれば、イントラネット側のプロキシー/キ
ャッシュサーバーは分散されているため、負荷を分散す
る事ができると共に、何れかが動作を停止しても動作し
ているイントラネット側のプロキシー/キャッシュサー
バーが代行し全くインターネット接続がでないというこ
とは少なくなる。
ール装置によれば、イントラネット側のプロキシー/キ
ャッシュサーバーは分散されているため、負荷を分散す
る事ができると共に、何れかが動作を停止しても動作し
ているイントラネット側のプロキシー/キャッシュサー
バーが代行し全くインターネット接続がでないというこ
とは少なくなる。
【0037】また、本発明にかかるファイアウオール装
置によれば、イントラネット側の第1のホストコンピュ
ータさらに下にプロキシー/キャッシュサーバーを設け
中継を行う事でさらにネットワークを拡張する事ができ
て、その実施によってトラフィックやルーチングの管理
が容易になる。
置によれば、イントラネット側の第1のホストコンピュ
ータさらに下にプロキシー/キャッシュサーバーを設け
中継を行う事でさらにネットワークを拡張する事ができ
て、その実施によってトラフィックやルーチングの管理
が容易になる。
【0038】また、本発明にかかるファイアウオール装
置によれば、イントラネット側とインターネット側にプ
ロキシー/キャッシュサーバーとして用いる第1、第3
のホストコンピュータを設けているために、第2のホス
トコンピュータにかかるトラフィックを軽減することが
できる。ネットワークは拡張や変更が行われていき、そ
れに従いルーチングもトラフィックも変わってきても、
本発明にかかるファイアウオール装置では、機能分担が
なされているために、容易にネットワークを拡張しなが
らセキュルテイを維持することが可能となる。
置によれば、イントラネット側とインターネット側にプ
ロキシー/キャッシュサーバーとして用いる第1、第3
のホストコンピュータを設けているために、第2のホス
トコンピュータにかかるトラフィックを軽減することが
できる。ネットワークは拡張や変更が行われていき、そ
れに従いルーチングもトラフィックも変わってきても、
本発明にかかるファイアウオール装置では、機能分担が
なされているために、容易にネットワークを拡張しなが
らセキュルテイを維持することが可能となる。
【図1】本発明の実施の一形態にかかるファイアウオー
ル装置の構成を示すブロック図である。
ル装置の構成を示すブロック図である。
【図2】本発明の実施の一形態にかかるファイアウオー
ル装置におけるルーチングを示す模式図である。
ル装置におけるルーチングを示す模式図である。
【図3】本発明の実施の一形態にかかるファイアウオー
ル装置の作用の説明に供する説明図である。
ル装置の作用の説明に供する説明図である。
【図4】本発明の実施の一形態にかかるファイアウオー
ル装置の作用の説明に供する説明図である。
ル装置の作用の説明に供する説明図である。
【図5】従来のファイアウオール装置の構成を示すブロ
ック図である。
ック図である。
【図6】従来の他のファイアウオール装置の構成を示す
ブロック図である。
ブロック図である。
1〜5 ホストコンピュータ 6〜8 ルータ 11および31 デイスクメモリ 26 ネットワーク
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B082 GA11 HA08 5B089 GA01 GA19 GA21 GA31 GB01 HA10 KA07 KA17 KB06 KG08 5K030 HA08 HC01 HC14 HD03 HD06 JT06 LB05 LD11 LD20 5K033 AA03 AA08 CB06 CB08 DA06 DB12 DB14 DB16 DB18 9A001 BB03 CC08 JJ25 KK31 LZ03
Claims (1)
- 【請求項1】イントラネット内部のクライアントが接続
を行い、オートプロキシーによってクライアントに選択
され、かつプロキシー/キャッシュサーバとして用いら
れる複数の第1のホストコンピュータと、 第1のホストコンピュータから転送されてくる接続要求
中でFQDN形式のアドレスを判別してルーチングを行
い、デフォルトルートは第1のホストコンピュータ側に
向けられてインターネット側とは直接接続されず、かつ
サーバーとして用いられるときはプロキシーサーバーと
して用いられる第2のホストコンピュータと、 デフォルトルートはインターネット側に向けられ、第2
のホストコンピュータからのみ接続され、かつサーバー
として用いられるときはプロキシー/キャッシュサーバ
ーとして用いられる第3のホストコンピュータとを備え
たことを特徴とするファイアウオール装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049409A JP2000253038A (ja) | 1999-02-26 | 1999-02-26 | ファイアウオール装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049409A JP2000253038A (ja) | 1999-02-26 | 1999-02-26 | ファイアウオール装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000253038A true JP2000253038A (ja) | 2000-09-14 |
Family
ID=12830268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11049409A Pending JP2000253038A (ja) | 1999-02-26 | 1999-02-26 | ファイアウオール装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000253038A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003256392A (ja) * | 2002-03-04 | 2003-09-12 | Ntt Comware Corp | ロードバランス制御装置及びロードバランス制御方法 |
| EP1469651A2 (en) * | 2003-04-17 | 2004-10-20 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126440A (ja) * | 1996-10-18 | 1998-05-15 | Hitachi Ltd | ネットワーク通信方法および装置 |
| JPH10222411A (ja) * | 1997-02-05 | 1998-08-21 | Nippon Telegr & Teleph Corp <Ntt> | プロキシキャッシュサーバ制御方法及びプロキシキャッシュサーバ |
-
1999
- 1999-02-26 JP JP11049409A patent/JP2000253038A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126440A (ja) * | 1996-10-18 | 1998-05-15 | Hitachi Ltd | ネットワーク通信方法および装置 |
| JPH10222411A (ja) * | 1997-02-05 | 1998-08-21 | Nippon Telegr & Teleph Corp <Ntt> | プロキシキャッシュサーバ制御方法及びプロキシキャッシュサーバ |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003256392A (ja) * | 2002-03-04 | 2003-09-12 | Ntt Comware Corp | ロードバランス制御装置及びロードバランス制御方法 |
| EP1469651A2 (en) * | 2003-04-17 | 2004-10-20 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
| EP1469651A3 (en) * | 2003-04-17 | 2004-12-29 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6789125B1 (en) | Distributed network traffic load balancing technique implemented without gateway router | |
| JP4236303B2 (ja) | リンクレベルサーバ/スイッチトランキング方法 | |
| US7571470B2 (en) | One arm data center topology with layer 4 and layer 7 services | |
| US6085234A (en) | Remote file services network-infrastructure cache | |
| US7102996B1 (en) | Method and system for scaling network traffic managers | |
| Barish et al. | World wide web caching: Trends and techniques | |
| EP2853077B1 (en) | Method of seamless integration and independent evolution of information-centric networking via software defined networking | |
| US6470389B1 (en) | Hosting a network service on a cluster of servers using a single-address image | |
| US7315541B1 (en) | Methods and apparatus for routing a content request | |
| US7653747B2 (en) | Resolving virtual network names | |
| JP4592184B2 (ja) | 静的な識別子が付され、かつネットワークに断続的に接続される装置へのアクセス方法および装置 | |
| US7185100B2 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
| US7363347B2 (en) | Method and system for reestablishing connection information on a switch connected to plural servers in a computer network | |
| US6742044B1 (en) | Distributed network traffic load balancing technique implemented without gateway router | |
| US7353276B2 (en) | Bi-directional affinity | |
| US20070094361A1 (en) | Multipath routing process | |
| US10708767B2 (en) | Anycast manifest retrieval, unicast content retrieval | |
| NO331320B1 (no) | Balansering av nettverksbelastning ved bruk av informasjon om vertsmaskin-status | |
| CN112398902B (zh) | 高可用负载均衡方法、系统及计算机可读存储介质 | |
| US20020138660A1 (en) | Method and system for the redirection of client requests | |
| CN115086312A (zh) | 实现kubernetes服务跨集群通信的方法及系统 | |
| US6724724B1 (en) | System and method for resolving an electronic address | |
| JP2007180963A (ja) | クラスタノード制御プログラム、クラスタノード、クラスタシステム制御方法 | |
| JP2000253038A (ja) | ファイアウオール装置 | |
| Cisco | Configuring Network Proximity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040127 |