JP2000259521A - System and device for managing network security rule - Google Patents
System and device for managing network security ruleInfo
- Publication number
- JP2000259521A JP2000259521A JP6387199A JP6387199A JP2000259521A JP 2000259521 A JP2000259521 A JP 2000259521A JP 6387199 A JP6387199 A JP 6387199A JP 6387199 A JP6387199 A JP 6387199A JP 2000259521 A JP2000259521 A JP 2000259521A
- Authority
- JP
- Japan
- Prior art keywords
- rule
- rule information
- information
- storage unit
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、ネットワークに
おけるセキュリティを実現するためのネットワークセキ
ュリティルール管理システム及びネットワークセキュリ
ティルール管理装置に関するものである。[0001] 1. Field of the Invention [0002] The present invention relates to a network security rule management system and a network security rule management device for realizing security in a network.
【0002】[0002]
【従来の技術】従来、ネットワークにおいては情報の漏
洩や破壊を防止する等の目的でセキュリティ装置が導入
されている。このセキュリティ装置としては、ファイア
ウオール(fire wall )装置が知られており、このファ
イアウオール装置はネットワークにおけるネットワーク
サイトの接続ポイントに設置される。ここで、ネットワ
ークサイトは、会社における本社、各支社等に対応して
設置されるサーバ計算機やクライアント計算等のコンピ
ュータ群である。2. Description of the Related Art Conventionally, a security device has been introduced in a network for the purpose of preventing leakage or destruction of information. As this security device, a firewall device is known, and the firewall device is installed at a connection point of a network site in a network. Here, the network site is a group of computers, such as a server computer and a client computer, which are installed corresponding to the head office and each branch office of the company.
【0003】上記ファイアウオール装置は、設置される
接続ポイントにおけるネットワークサイトが本社である
か支社であるか等の特性に応じて、伝送する情報に対し
通過・不通過を制御する。この場合、どの情報を通過さ
せるか不通過とするかを決定するためのネットワークセ
キュリティルール情報(以下、ルール情報)をセットす
る必要がある。[0003] The above-mentioned firewall device controls passing / non-passing of information to be transmitted according to characteristics such as whether a network site at a connection point to be installed is a head office or a branch office. In this case, it is necessary to set network security rule information (hereinafter, rule information) for determining which information is passed or not passed.
【0004】[0004]
【発明が解決しようとする課題】従来においては、保守
員等がファイアウオール装置の設置場所に赴き、上記ル
ール情報をセットしていた。このため、セットの際の入
力ミスにより適切なルール情報をセットできなかった
り、セットのために多大な時間を要するという問題が生
じていた。Conventionally, a maintenance person or the like goes to a place where the firewall device is installed and sets the above rule information. For this reason, there has been a problem that appropriate rule information cannot be set due to an input error at the time of setting, or a large amount of time is required for setting.
【0005】本発明は上記のような従来におけるネット
ワークセキュリティの問題点に鑑みなされたもので、そ
の目的は、ルール情報を適切にセットすることができ、
セットのために要する時間を短縮することの可能なネッ
トワークセキュリティルール管理システム及びネットワ
ークセキュリティルール管理装置を提供することであ
る。[0005] The present invention has been made in view of the above-described problems of the conventional network security, and has as its object to appropriately set rule information.
An object of the present invention is to provide a network security rule management system and a network security rule management device capable of reducing the time required for setting.
【0006】[0006]
【課題を解決するための手段】本発明に係るネットワー
クセキュリティルール管理システムは、ネットワークに
設けられ、当該ネットワークを伝送する情報に対し、通
過・不通過を制御するセキュリティ装置と、このセキュ
リティ装置に対して情報を通過させるか不通過とするか
を決定するためのネットワークセキュリティルール情報
を与えるネットワークセキュリティルール管理装置とを
具備するネットワークセキュリティルール管理システム
であって、前記セキュリティ装置と前記ネットワークセ
キュリティルール管理装置とには、それぞれ、全てのセ
キュリティ装置に共通する共通ルール情報を記憶する共
通ルール情報記憶部と、各セキュリティ装置に固有の個
別ルール情報を記憶する個別ルール情報記憶部とが備え
られており、前記ネットワークセキュリティルール管理
装置は、自装置に備えられた共通ルール情報記憶部に記
憶されている共通ルール情報を全てのセキュリティ装置
に備えられた共通ルール情報記憶部へ転送する一方、自
装置に備えられた個別ルール情報記憶部に記憶された個
別ルール情報を該当するセキュリティ装置に備えられた
個別ルール情報記憶部へ転送することを特徴とする。こ
れによって、ルール情報を共通ルール情報と個別ルール
情報に分けて作成編集し、また転送による配布を行うこ
とができ、各個別のセキュリティ装置が設置されている
場所へ赴く必要がなくなる。A network security rule management system according to the present invention is provided in a network, and controls a passage / non-passage of information transmitted through the network. A network security rule management apparatus for providing network security rule information for determining whether information is passed or not passed through the network, wherein the security apparatus and the network security rule management apparatus are provided. Includes a common rule information storage unit that stores common rule information common to all security devices, and an individual rule information storage unit that stores individual rule information unique to each security device. Said The network security rule management device transfers the common rule information stored in the common rule information storage unit provided in the own device to the common rule information storage units provided in all the security devices, while the The individual rule information stored in the stored individual rule information storage unit is transferred to the individual rule information storage unit provided in the corresponding security device. As a result, the rule information can be created and edited by dividing it into common rule information and individual rule information, and can be distributed by transfer, so that it is not necessary to go to the place where each individual security device is installed.
【0007】本発明に係るネットワークセキュリティル
ール管理装置は、ネットワークに設けられ当該ネットワ
ークを伝送する情報に対し通過・不通過を制御するセキ
ュリティ装置に対して、情報を通過させるか不通過とす
るかを決定するためのネットワークセキュリティルール
情報を与えるネットワークセキュリティルール管理装置
であって、前記ネットワークセキュリティルール管理装
置は、全てのセキュリティ装置に共通する共通ルール情
報を記憶する共通ルール情報記憶部と、各セキュリティ
装置に固有の個別ルール情報を記憶する個別ルール情報
記憶部と、自装置に備えられた共通ルール情報記憶部に
記憶されている共通ルール情報を全てのセキュリティ装
置へ転送するとともに、自装置に備えられた個別ルール
情報記憶部に記憶された個別ルール情報を該当するセキ
ュリティ装置へ転送する手段とを具備することを特徴と
する。これによって、ルール情報を共通ルール情報と個
別ルール情報に分けて作成編集し、また転送による配布
を行うことができる上に、各個別のセキュリティ装置が
設置されている場所へ赴く必要がない。A network security rule management device according to the present invention provides a security device that is provided in a network and controls the passage / non-passage of information transmitted through the network, and determines whether the information is passed or non-passed. A network security rule management device for providing network security rule information for determining, wherein the network security rule management device includes a common rule information storage unit that stores common rule information common to all security devices, An individual rule information storage unit for storing individual rule information unique to the device, and the common rule information stored in the common rule information storage unit provided in the own device is transferred to all the security devices, and provided in the own device. Stored in the individual rule information storage unit Characterized by comprising a means for transferring individual rule information corresponding to the security device. As a result, the rule information can be created and edited by dividing the rule information into the common rule information and the individual rule information, can be distributed by transfer, and it is not necessary to go to the place where each individual security device is installed.
【0008】また、ネットワークセキュリティルール管
理装置では、各ルール情報の更新が行われるとその時を
示す更新時情報がセットされると共に、各ルール情報の
転送が行われるとその時を示す転送時情報がセットさ
れ、転送する手段は、上記更新時情報と転送時情報に基
づき転送すべきルール情報を検出して転送を行うことを
特徴とする。これによって、更新が行われ未転送のルー
ル情報のみが転送されて配布され、無駄な配布を行うこ
とがない。In the network security rule management device, when each rule information is updated, update time information indicating the time is set, and when each rule information is transferred, transfer time information indicating the time is set. The transfer means detects the rule information to be transferred based on the update information and the transfer information and performs the transfer. As a result, only the untransferred rule information that has been updated is transferred and distributed, and unnecessary distribution is not performed.
【0009】また、ネットワークセキュリティルール管
理装置には、各ルール情報を更新した場合に記憶する更
新ルール情報記憶部が備えられ、転送する手段は、上記
更新ルール情報記憶部に更新されたルール情報が記憶さ
れたことを検出して転送を行うことを特徴とする。これ
によって、更新が行われたルール情報のみが転送されて
配布され、無駄な配布を行うことがない。Further, the network security rule management device is provided with an update rule information storage section for storing each rule information when the rule information is updated, and means for transferring the updated rule information in the update rule information storage section. The transfer is performed by detecting the storage. Thereby, only the updated rule information is transferred and distributed, and no unnecessary distribution is performed.
【0010】また、ネットワークセキュリティルール管
理装置には、各ルール情報を更新した場合に記憶する更
新ルール情報記憶部が備えられ、各ルール情報の更新が
行われるとその時を示す更新時情報がセットされると共
に、各ルール情報の転送が行われるとその時を示す転送
時情報がセットされ、転送する手段は、上記更新時情報
と転送時情報に基づき転送すべきルール情報を検出して
前記更新ルール情報記憶部に記憶された該当ルール情報
の転送を行うことを特徴とする。これによって、更新が
行われたルール情報のみが転送されて配布され、無駄な
配布を行うことがない。[0010] The network security rule management device is provided with an update rule information storage section for storing when each rule information is updated, and when each rule information is updated, update time information indicating the time is set. When the transfer of each rule information is performed, transfer time information indicating the time is set, and the transfer means detects the rule information to be transferred based on the update time information and the transfer time information, and detects the update rule information. The transfer of the corresponding rule information stored in the storage unit is performed. Thereby, only the updated rule information is transferred and distributed, and no unnecessary distribution is performed.
【0011】更に、ネットワークセキュリティルール管
理装置では、ネットワークセキュリティルール管理装置
には、各ルール情報を転送した場合に転送したルール情
報を記憶するバックアップ記憶部が備えられ、転送する
手段は、転送したルール情報を前記バックアップ記憶部
へ記憶することを特徴とする。これにより、転送したル
ール情報のバックアップが図られ、転送の不具合等が発
生した場合に備えることができる。Further, in the network security rule management device, the network security rule management device is provided with a backup storage unit for storing the transferred rule information when each rule information is transferred, and the transferring means includes a transfer rule. Information is stored in the backup storage unit. As a result, the transferred rule information is backed up, and it is possible to prepare for a transfer failure or the like.
【0012】[0012]
【発明の実施の形態】以下添付図面を参照して本発明の
実施の形態に係るネットワークセキュリティルール管理
システム及びネットワークセキュリティルール管理装置
を説明する。各図において同一の構成要素には同一の符
号を付して重複する説明を省略する。図1には、本発明
の実施の形態に係るネットワークセキュリティルール管
理システム及びネットワークセキュリティルール管理装
置が示されている。図1においては、ネットワーク1に
NSR管理装置(ネットワークセキュリティルール管理
装置)2が接続されると共に、セキュリティ装置である
ファイアウオール装置3−1、3−2が接続されてい
る。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A network security rule management system and a network security rule management device according to an embodiment of the present invention will be described below with reference to the accompanying drawings. In each drawing, the same components are denoted by the same reference numerals, and redundant description will be omitted. FIG. 1 shows a network security rule management system and a network security rule management device according to an embodiment of the present invention. In FIG. 1, an NSR management device (network security rule management device) 2 is connected to a network 1, and firewall devices 3-1 and 3-2 as security devices are connected.
【0013】NSR管理装置2は、全てのファイアウオ
ール装置に共通する共通ルール情報を記憶する共通ルー
ル情報記憶部4と、各ファイアウオール装置に固有の個
別ルール情報を記憶する個別ルール情報記憶部5とが備
えられている。また、ファイアウオール装置3−1、3
−2にも、それぞれ、全てのファイアウオール装置に共
通する共通ルール情報を記憶する共通ルール情報記憶部
6−1、6−2と、当該ファイアウオール装置に固有の
個別ルール情報を記憶する個別ルール情報記憶部7−
1、7−2が備えられている。ファイアウオール装置3
−1、3−2は、ネットワーク1と既に説明したような
ネットワークサイト8−1、8−2との接続点にセット
され、ネットワーク1とネットワークサイト8−1、8
−2との間で伝送される情報に対し、通過・不通過を制
御する。この制御には、共通ルール情報記憶部6−1、
6−2と、個別ルール情報記憶部7−1、7−2に記憶
されているルール情報が用いられる。尚、上記各共通ル
ール情報記憶部と、各個別ルール情報記憶部とは、必ず
しも物理的に分けられている必要はない。The NSR management device 2 has a common rule information storage unit 4 for storing common rule information common to all firewall devices, and an individual rule information storage unit 5 for storing individual rule information unique to each firewall device. Provided. In addition, the firewall devices 3-1 and 3
-2, common rule information storage units 6-1 and 6-2 for storing common rule information common to all firewall devices, and individual rule information storage for storing individual rule information unique to the firewall device. Part 7-
1, 7-2 are provided. Firewall equipment 3
-1 and 3-2 are set at the connection points between the network 1 and the network sites 8-1 and 8-2 as described above, and the network 1 and the network sites 8-1 and 8-2 are set.
-2, passing / non-passing is controlled for information transmitted between -2. This control includes a common rule information storage unit 6-1,
6-2 and the rule information stored in the individual rule information storage units 7-1 and 7-2 are used. The common rule information storage units and the individual rule information storage units do not necessarily need to be physically separated.
【0014】全てのファイアウオール装置に共通する共
通ルール情報には、「ファイル転送プロトコル(ft
p)は通過させない」、「特定の共通サーバに対するパ
ケットは通過させる」など、汎用的なルール情報が含ま
れ、各ファイアウオール装置に固有の個別ルール情報に
は、ネットワークサイト8−1、8−2に含まれるサー
バ計算機群やクライアント計算機群のネットワークアド
レス、或いは特定の計算機に対する発信や着信規制等の
ようなルール情報が含まれる。The common rule information common to all the firewall devices includes “file transfer protocol (ft)
p) does not pass "," passes packets for a specific common server ", and the like, and individual rule information unique to each firewall device includes network sites 8-1, 8-2. , The network address of the server computer group and the client computer group included in the server, or rule information such as regulation of outgoing and incoming calls to a specific computer.
【0015】NSR管理装置2には、編集・格納手段2
a、管理情報記憶手段2b、配布手段2cが備えられて
いる。編集・格納手段2aは、ルール情報を編集し、こ
れをファイルとして共通ルール情報記憶部4、個別ルー
ル情報記憶部5へ格納するものである。管理情報記憶手
段2bは、ルール情報の所在(格納アドレス、ディレク
トリ等)、ルール情報の最終更新日時、ルール情報の最
終配布日時等の情報が記憶されるテーブルである。配布
手段2cは、所要のときに共通ルール情報記憶部4、個
別ルール情報記憶部5からルール情報を取出し、これを
ファイアウオール装置3−1、3−2へ配布し、ファイ
アウオール装置3−1、3−2に備えられている共通ル
ール情報記憶部6−1、6−2、個別ルール情報記憶部
7−1、7−2へ転送する。The NSR management device 2 has an editing / storage means 2
a, management information storage means 2b, and distribution means 2c. The editing / storage means 2a edits the rule information and stores it as a file in the common rule information storage unit 4 and the individual rule information storage unit 5. The management information storage unit 2b is a table that stores information such as the location (storage address, directory, etc.) of rule information, the last update date and time of rule information, and the last distribution date and time of rule information. The distribution means 2c extracts the rule information from the common rule information storage unit 4 and the individual rule information storage unit 5 when necessary, distributes the rule information to the firewall devices 3-1 and 3-2, and outputs the rule information to the firewall devices 3-1 and 3-2. -2 provided to the common rule information storage units 6-1 and 6-2 and the individual rule information storage units 7-1 and 7-2.
【0016】共通ルール情報記憶部4、個別ルール情報
記憶部5を含むNSR管理装置2は、必ずしも全ての構
成を含む必要はないが、例えば、図2に示されるように
構成されている。つまり、CPU10が主メモリ11に
記憶されているプログラム及びデータを用いて各部を制
御し及びデータ処理する構成となっている。The NSR management device 2 including the common rule information storage unit 4 and the individual rule information storage unit 5 does not necessarily need to include all components, but is configured as shown in FIG. 2, for example. That is, the configuration is such that the CPU 10 controls each unit using the programs and data stored in the main memory 11 and performs data processing.
【0017】CPU10には、バス12を介してキーボ
ード制御部13、表示制御部14、マウス制御部15、
プリンタ制御部16、磁気ディスク制御部17、通信イ
ンタフェース18が接続されている。キーボード制御部
13にはキーボード入力装置19が接続されており、各
ノードのオペレータがこのキーボード入力装置19を用
いて情報を入力可能となっている。表示制御部14には
例えばCRTを有するCRT表示装置20が接続されて
おり、必要な情報が表示されるようになっている。マウ
ス制御部15にはポインティングディバイスであるマウ
ス21が接続されており、必要な場合に位置情報を入力
することが可能となっている。The CPU 10 has a keyboard control unit 13, a display control unit 14, a mouse control unit 15,
The printer controller 16, the magnetic disk controller 17, and the communication interface 18 are connected. A keyboard input device 19 is connected to the keyboard control unit 13, and an operator of each node can input information using the keyboard input device 19. A CRT display device 20 having, for example, a CRT is connected to the display control unit 14 so that necessary information is displayed. A mouse 21 as a pointing device is connected to the mouse control unit 15 so that position information can be input when necessary.
【0018】プリンタ制御部16にはプリンタ装置22
が接続されており、情報のプリントアウトが可能となっ
ている。磁気ディスク制御部17には磁気ディスク装置
23が接続され、磁気ディスク装置23にはプログラム
やデータが記憶され、CPU10により必要に応じてリ
ードライトされる。通信インタフェース18には通信処
理部24が接続され、ネットワーク1との間でデータの
送受が行われるようにされている。The printer controller 16 includes a printer 22
Is connected, and information can be printed out. A magnetic disk device 23 is connected to the magnetic disk control unit 17, and programs and data are stored in the magnetic disk device 23, and read and written by the CPU 10 as needed. A communication processing unit 24 is connected to the communication interface 18 so that data can be transmitted / received to / from the network 1.
【0019】図1に示した管理情報記憶手段2bは、例
えば、主メモリ11にメモリテーブルとして具備され、
共通ルール情報記憶部4、個別ルール情報記憶部5は、
磁気ディスク装置23に該当する。図1に示されている
編集・格納手段2a及び配布手段2cは、CPU10が
主メモリ11内のプログラムを実行することにより実現
される。尚、ファイアウオール装置3−1、3−2は、
例えば図2の構成において、プリンタ装置22、キーボ
ード入力装置19、CRT表示装置20、マウス21及
びそれらの制御部がなく、通信処理部24を介してネッ
トワークを伝送する情報の通過・非通過に係る制御を行
う構成を備える。The management information storage means 2b shown in FIG. 1 is provided in the main memory 11 as a memory table, for example.
The common rule information storage unit 4 and the individual rule information storage unit 5
This corresponds to the magnetic disk device 23. The editing / storage means 2a and the distribution means 2c shown in FIG. 1 are realized by the CPU 10 executing a program in the main memory 11. In addition, the firewall devices 3-1 and 3-2
For example, in the configuration shown in FIG. A configuration for performing control is provided.
【0020】図1に示した管理情報記憶手段2bには、
図3に示されるようなメモリテーブルM1、M2が含ま
れる。メモリテーブルM1は、共通ルール情報のファイ
ル(共通ルールファイル)の所在(パス名)が記憶され
たテーブルであり、メモリテーブルM2は、各ファイア
ウオール装置3−1、3−2に対する個別ルール情報の
ファイル(個別ルールファイル)の所在(パス名)が記
憶されたテーブルである。ここでは、ファイアウオール
装置3−1、3−2のセキュリティシステム名をそれぞ
れ、セキュリティシステムA、セキュリティシステムB
としてある。The management information storage means 2b shown in FIG.
Memory tables M1 and M2 as shown in FIG. 3 are included. The memory table M1 is a table in which the location (path name) of a file of the common rule information (common rule file) is stored. The memory table M2 is a file of the individual rule information for each of the firewall devices 3-1 and 3-2. 6 is a table in which the locations (path names) of (individual rule files) are stored. Here, the security system names of the firewall devices 3-1 and 3-2 are respectively referred to as security system A and security system B.
There is.
【0021】以上のように構成されたシステムにおいて
は、既に述べたようにCPU10が主メモリ11に記憶
されている図4に示されるようなプログラムを実行する
ことにより、編集・格納手段2a及び配布手段2cが実
現されるので、以下に説明を行う。CPU10は、共通
ルールファイルの更新指示が入力されたかを監視してい
る(S1)。更新指示の入力は、例えば、キーボード入
力装置19を用いて行われる。In the system configured as described above, as described above, the CPU 10 executes the program as shown in FIG. Since the means 2c is realized, a description will be given below. The CPU 10 monitors whether an instruction to update the common rule file has been input (S1). The input of the update instruction is performed using, for example, the keyboard input device 19.
【0022】上記において更新指示の入力があると、メ
モリテーブルM1の情報を参照して共通ルール情報記憶
部4から共通ルールファイルを主メモリ11上へ読み出
す(S2)。勿論、当初には共通ルールファイルには共
通ルール情報が含まれていない。そして、オペレータに
よりキーボード入力装置19を用いて共通ルールファイ
ルの編集(新規作成を含む)がなされるのを受付け(S
3)、編集終了となると結果のファイルを共通ルール情
報記憶部4の元の所在へ記憶する(S4)。In the above, when an update instruction is input, a common rule file is read from the common rule information storage unit 4 onto the main memory 11 with reference to the information in the memory table M1 (S2). Of course, initially, the common rule file does not include the common rule information. Then, it is accepted that the operator edits (including new creation) the common rule file using the keyboard input device 19 (S
3) When the editing is completed, the resulting file is stored in the original location of the common rule information storage unit 4 (S4).
【0023】また、CPU10は、個別ルールファイル
の更新指示が入力されたかを監視している(S5)。こ
こにおいて更新指示の入力があると、メモリテーブルM
2の情報を参照して指示された個別ルールファイルの所
在を得ておき、個別ルール情報記憶部5から該当の個別
ルールファイルを主メモリ11上へ読み出す(S6)。
勿論、当初には個別ルールファイルには個別ルール情報
が含まれていない。そして、オペレータによりキーボー
ド入力装置19を用いて個別ルールファイルの編集(新
規作成を含む)がなされるのを受付け(S7)、編集終
了となると結果のファイルを個別ルール情報記憶部5の
元の所在へ記憶する(S8)。The CPU 10 monitors whether an instruction to update the individual rule file has been input (S5). Here, when an update instruction is input, the memory table M
The location of the specified individual rule file is obtained by referring to the information of item 2, and the relevant individual rule file is read from the individual rule information storage unit 5 onto the main memory 11 (S6).
Of course, initially, the individual rule file does not include the individual rule information. Then, it is accepted that the individual rule file is edited (including new creation) by the operator using the keyboard input device 19 (S7), and when the editing is completed, the resulting file is stored in the individual rule information storage unit 5 at the original location. (S8).
【0024】また、CPU10は、ルールファイルの配
布指示が入力されたかを監視している(S9)。この指
示は、例えば、キーボード入力装置19を用いて直接
に、或いはタイマのセットにより間接的に行われる。こ
こにおいてファイル配布指示の入力があると、メモリテ
ーブルM1、メモリテーブルM2の該当する情報を参照
してファイルの所在を得て、ファイアウオール装置3−
1、3−2の該当する装置へファイルを送信する(S1
0)。The CPU 10 monitors whether an instruction to distribute a rule file has been input (S9). This instruction is performed, for example, directly using the keyboard input device 19 or indirectly by setting a timer. Here, when a file distribution instruction is input, the location of the file is obtained by referring to the corresponding information in the memory tables M1 and M2, and the firewall device 3
The file is transmitted to the corresponding device of 1, 3-2 (S1
0).
【0025】ファイアウオール装置3−1、3−2は、
共通ルールファイルが配布されてくるとこれを共通ルー
ル情報記憶部6−1、6−2へ記憶し、個別ルールファ
イルが配布されてくるとこれをを記憶する個別ルール情
報記憶部7−1、7−2へ記憶する。The firewall devices 3-1 and 3-2 include:
When the common rule file is distributed, it is stored in the common rule information storage units 6-1 and 6-2, and when the individual rule file is distributed, the individual rule information storage unit 7-1 that stores this is stored. 7-2.
【0026】以上のようにして共通ルール情報と個別ル
ール情報とを分けて管理しているため、共通ルール情報
をNSR管理装置2において入力するだけで済み、従来
ファイアウオール装置毎に行っていた入力作業少なく
し、入力ミスを減少させることができる。また、共通ル
ール情報と個別ルール情報とを分けて管理しているた
め、必要な方のルール情報に編集を加えることができ、
効率的である。Since the common rule information and the individual rule information are separately managed as described above, it is only necessary to input the common rule information in the NSR management device 2, and the input work conventionally performed for each firewall device is performed. Input errors can be reduced. In addition, since the common rule information and the individual rule information are managed separately, it is possible to edit the necessary rule information,
It is efficient.
【0027】次に、上記図1に示したシステム及び装置
の第1の変形例を説明する。この変形例では、NSR管
理装置2に備えられる管理情報記憶手段2bに代えて図
5に示される管理情報記憶手段2b−1が備えられ、当
該管理情報記憶手段2b−1には、図5に示されるよう
に、メモリテーブルM1−1、M2−1、M3−1が含
まれている。メモリテーブルM1−1は、共通ルール情
報のファイル(共通ルールファイル)の所在(パス名)
と共に、当該共通ルールファイルの最終更新日時が記憶
されたテーブルであり、メモリテーブルM2−1は、各
ファイアウオール装置3−1、3−2に対する個別ルー
ル情報のファイル(個別ルールファイル)の所在(パス
名)と共に、当該各個別ルールファイルの最終更新日時
が記憶されたテーブルである。更に、メモリテーブルM
3−1は、ファイルについて配布を行った最終配布日時
が記憶されたテーブルである。Next, a first modification of the system and apparatus shown in FIG. 1 will be described. In this modification, a management information storage unit 2b-1 shown in FIG. 5 is provided in place of the management information storage unit 2b provided in the NSR management device 2, and the management information storage unit 2b-1 has the configuration shown in FIG. As shown, memory tables M1-1, M2-1, and M3-1 are included. The memory table M1-1 stores the location (path name) of the common rule information file (common rule file).
In addition, the memory table M2-1 stores the last update date and time of the common rule file. The memory table M2-1 stores the location (path) of the file (individual rule file) of the individual rule information for each of the firewall devices 3-1 and 3-2. Is a table in which the last update date and time of each individual rule file are stored together with the name of the individual rule file. Further, the memory table M
3-1 is a table in which the last distribution date and time when the file was distributed is stored.
【0028】このシステムでは、図1に示したシステム
と同様に、図4に示されるフローチャートに対応するプ
ログラムをCPU10が実行する。このとき、ルールフ
ァイルの新規作成を含む更新の際に、メモリテーブルM
1−1、メモリテーブルM2−1の該当する欄に最終更
新日時を記憶する。そして、ステップS9、S10にお
ける配布の際にの処理に代えて、図7に示されるフロー
チャートに対応するプログラムをCPU10が実行す
る。In this system, similarly to the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, when updating including new creation of a rule file, the memory table M
1-1, the last update date and time is stored in a corresponding column of the memory table M2-1. Then, instead of the processing at the time of distribution in steps S9 and S10, the CPU 10 executes a program corresponding to the flowchart shown in FIG.
【0029】CPU10は、共通ルールファイルに関す
るメモリテーブルM1−1に記憶されている最終更新日
時とメモリテーブルM3−1記憶された最終配布日時と
を比較し(S11)、最終更新日時が最終配布日時より
後であるかを検出する(S12)。ここで、最終更新日
時が最終配布日時より後であることが検出されると、更
新されたファイルが配布されていないのであるから、共
通ルール情報記憶部4から共通ルールファイルを取出
し、ファイアウオール装置3−1、3−2へファイルを
送信する(S13)。次に、個別ルールファイルのナン
バN(N=1はファイアウオール装置3−1に対応のフ
ァイル、N=2はファイアウオール装置3−2に対応の
ファイルである。)を「1」として(S14)、当該N
(=1)の個別ルールファイルに関するメモリテーブル
M2−1に記憶されている最終更新日時とメモリテーブ
ルM3−1に記憶された最終配布日時とを比較し(S1
5)、最終更新日時が最終配布日時より後であるかを検
出する(S16)。The CPU 10 compares the last update date and time stored in the memory table M1-1 relating to the common rule file with the last distribution date and time stored in the memory table M3-1 (S11). It is detected whether it is later (S12). Here, if it is detected that the last update date and time is later than the last distribution date and time, the updated file is not distributed, so the common rule file is taken out from the common rule information storage unit 4 and the firewall device 3 -1, 3-2 (S13). Next, the number N of the individual rule file (N = 1 is a file corresponding to the firewall device 3-1 and N = 2 is a file corresponding to the firewall device 3-2) is set to “1” (S14). The N
The last update date and time stored in the memory table M2-1 for the (= 1) individual rule file is compared with the last distribution date and time stored in the memory table M3-1 (S1).
5) It is detected whether the last update date is later than the last distribution date (S16).
【0030】ここで、最終更新日時が最終配布日時より
後であることが検出されると、更新されたファイルが配
布されていないのであるから、個別ルール情報記憶部5
からファイアウオール装置3−1に対応の個別ルールフ
ァイルを取出し、ファイアウオール装置3−1へファイ
ルを送信する(S17)。次に、Nを「1」増加させ
て、個別ルールファイルのナンバNを「2」として(S
18)、当該N(=2)の個別ルールファイルが存在す
るかを検出する(S19)。ここでは存在するから、N
(=2)の個別ルールファイルに関するメモリテーブル
M2−1に記憶されている最終更新日時とメモリテーブ
ルM3−1記憶された最終配布日時とを比較し(S1
5)、最終更新日時が最終配布日時より後であるかを検
出する(S16)。Here, when it is detected that the last update date and time is later than the last distribution date and time, since the updated file has not been distributed, the individual rule information storage unit 5
Then, the individual rule file corresponding to the firewall device 3-1 is taken out from the server, and the file is transmitted to the firewall device 3-1 (S17). Next, N is increased by “1”, and the number N of the individual rule file is set to “2” (S
18), it is detected whether or not the N (= 2) individual rule files exist (S19). Because it exists here, N
The last update date and time stored in the memory table M2-1 for the (= 2) individual rule file is compared with the last distribution date and time stored in the memory table M3-1 (S1).
5) It is detected whether the last update date is later than the last distribution date (S16).
【0031】ここで、最終更新日時が最終配布日時より
後であることが検出されると、更新されたファイルが配
布されていないのであるから、個別ルール情報記憶部5
からファイアウオール装置3−2に対応の個別ルールフ
ァイルを取出し、ファイアウオール装置3−2へファイ
ルを送信する(S17)。次に、Nを「1」増加させ
て、個別ルールファイルのナンバNを「3」として(S
18)、当該N(=3)の個別ルールファイルが存在す
るかを検出する(S19)。ここではファイアウオール
装置3−3が存在せず、対応する個別ルールファイルが
存在しないので、メモリテーブルM3−1の最終配布日
時を現在日時に応じて更新し(S20)、処理を終了す
る。Here, when it is detected that the last update date and time is later than the last distribution date and time, since the updated file has not been distributed, the individual rule information storage unit 5
Then, the individual rule file corresponding to the firewall device 3-2 is taken out from the server, and the file is transmitted to the firewall device 3-2 (S17). Next, N is increased by “1”, and the number N of the individual rule file is set to “3” (S
18) It is detected whether or not the N (= 3) individual rule files exist (S19). Here, since the firewall device 3-3 does not exist and the corresponding individual rule file does not exist, the last distribution date and time of the memory table M3-1 is updated according to the current date and time (S20), and the process ends.
【0032】この第1の変形例によれば、更新がなされ
たルール情報のファイルのみが配布されるので、無駄の
ないデータ転送を行うことができる。尚、この変形例で
は、ファイルの最終配布日時を共通に1つ持つようにし
たが、ファイル対応にファイルの最終配布日時を持たせ
て配布の管理を行うようにしても良い。According to the first modification, only the file of the updated rule information is distributed, so that the data transfer can be performed without waste. In this modification, the file has one final distribution date and time in common. However, distribution management may be performed by giving the final distribution date and time of the file corresponding to the file.
【0033】次に、上記図1に示したシステム及び装置
の第2の変形例を説明する。この変形例のNSR管理装
置2には、図8に示されるように、各ルール情報を更新
した場合に記憶する更新ルール情報記憶部9が備えられ
ている。この更新ルール情報記憶部9は、他の記憶部と
物理的に分けられている必要はない。また、この変形例
に係るシステムでは、NSR管理装置2に備えられる管
理情報記憶手段2bに代えて図6に示される管理情報記
憶手段2b−2が備えられ、当該管理情報記憶手段2b
−2には、図6に示されるように、メモリテーブルM1
−2、M2−2が含まれている。Next, a second modification of the system and apparatus shown in FIG. 1 will be described. As shown in FIG. 8, the NSR management device 2 of this modified example is provided with an update rule information storage unit 9 that stores when each rule information is updated. The update rule information storage unit 9 does not need to be physically separated from other storage units. In the system according to this modification, a management information storage unit 2b-2 shown in FIG. 6 is provided instead of the management information storage unit 2b provided in the NSR management device 2, and the management information storage unit 2b
-2, as shown in FIG.
-2 and M2-2.
【0034】メモリテーブルM1−2は、共通ルール情
報のファイル(共通ルールファイル)の所在(パス名)
と共に、当該共通ルールファイルの更新されたファイル
の格納先(例えば、更新ルール情報記憶部9におけるデ
ィレクトリ)が記憶されたテーブルであり、また、メモ
リテーブルM2−2は、各ファイアウオール装置3−
1、3−2に対する個別ルール情報のファイル(個別ル
ールファイル)の所在(パス名)と共に、当該各個別ル
ールファイルの更新されたファイルの格納先(例えば、
更新ルール情報記憶部9におけるディレクトリ)が記憶
されたテーブルである。The memory table M1-2 stores the location (path name) of the common rule information file (common rule file).
In addition, the storage destination of the updated file of the common rule file (for example, the directory in the update rule information storage unit 9) is a table, and the memory table M2-2 is stored in each firewall device 3-
The location (path name) of the individual rule information file (individual rule file) for each of the individual rule files 1 and 3-2 and the storage location of the updated file of each individual rule file (for example,
This is a table in which a directory in the update rule information storage unit 9 is stored.
【0035】このシステムでは、図1に示したシステム
と同様に、図4に示されるフローチャートに対応するプ
ログラムをCPU10が実行する。このとき、ルールフ
ァイルの新規作成を含む更新の際に、メモリテーブルM
1−2、メモリテーブルM2−2の該当する欄に更新ル
ール情報記憶部9における格納先を記憶する。そして、
ステップS9、S10における配布の際にの処理に代え
て、図9に示されるフローチャートに対応するプログラ
ムをCPU10が実行する。In this system, as in the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, when updating including new creation of a rule file, the memory table M
1-2, the storage destination in the update rule information storage unit 9 is stored in a corresponding column of the memory table M2-2. And
Instead of the processing at the time of distribution in steps S9 and S10, the CPU 10 executes a program corresponding to the flowchart shown in FIG.
【0036】CPU10は、共通ルールファイルに関す
るメモリテーブルM1−2に格納先が記憶されているか
を検出し(S21)、格納先が記憶されているかを判定
する(S22)。ここで、格納先が記憶されている場合
には、格納先に基づき更新ルール情報記憶部9から更新
に係る共通ルールファイルを取出し、ファイアウオール
装置3−1、3−2へファイルを送信すると共に、更新
に係る共通ルールファイルを共通ルール情報記憶部4へ
格納し、メモリテーブルM1−2に記憶されている格納
先を削除する(S23)。次に、個別ルールファイルの
ナンバN(N=1はファイアウオール装置3−1に対応
のファイル、N=2はファイアウオール装置3−2に対
応のファイルである。)を「1」として(S14)、当
該N(=1)の個別ルールファイルに関するメモリテー
ブルM2−2に格納先が記憶されているかを検出し(S
25)、格納先の情報が記憶されているかを判定する
(S26)。The CPU 10 detects whether the storage destination is stored in the memory table M1-2 relating to the common rule file (S21), and determines whether the storage destination is stored (S22). Here, when the storage destination is stored, the common rule file relating to the update is extracted from the update rule information storage unit 9 based on the storage destination, and the file is transmitted to the firewall devices 3-1 and 3-2. The common rule file related to the update is stored in the common rule information storage unit 4, and the storage destination stored in the memory table M1-2 is deleted (S23). Next, the number N of the individual rule file (N = 1 is a file corresponding to the firewall device 3-1 and N = 2 is a file corresponding to the firewall device 3-2) is set to “1” (S14). It is detected whether the storage destination is stored in the memory table M2-2 relating to the N (= 1) individual rule file (S
25), it is determined whether the information of the storage destination is stored (S26).
【0037】ここで、格納先が記憶されていることが検
出されると、格納先に基づき更新ルール情報記憶部9か
ら更新に係る該当個別ルールファイルを取出し、ファイ
アウオール装置3−1へファイルを送信すると共に、更
新に係る個別ルールファイルを個別ルール情報記憶部5
へ格納し、メモリテーブルM2−2に記憶されている格
納先を削除する(S27)。次に、Nを「1」増加させ
て、個別ルールファイルのナンバNを「2」として(S
28)、当該N(=2)の個別ルールファイルが存在す
るかを検出する(S29)。ここでは存在するから、N
(=2)の個別ルールファイルに関するメモリテーブル
M2−2に格納先が記憶されているかを検出し(S2
5)、格納先が記憶されているかを判定する(S2
6)。Here, when it is detected that the storage destination is stored, the corresponding individual rule file relating to the update is retrieved from the update rule information storage unit 9 based on the storage destination, and the file is transmitted to the firewall device 3-1. And stores the individual rule file relating to the update in the individual rule information storage unit 5.
And the storage destination stored in the memory table M2-2 is deleted (S27). Next, N is increased by “1”, and the number N of the individual rule file is set to “2” (S
28), it is detected whether or not the N (= 2) individual rule files exist (S29). Because it exists here, N
It is detected whether the storage destination is stored in the memory table M2-2 relating to the individual rule file of (= 2) (S2).
5), it is determined whether the storage destination is stored (S2)
6).
【0038】ここで、格納先が記憶されていることが検
出されると、格納先に基づき更新ルール情報記憶部9か
ら更新に係る該当個別ルールファイルを取出し、ファイ
アウオール装置3−2へファイルを送信すると共に、更
新に係る個別ルールファイルを個別ルール情報記憶部5
へ格納し、メモリテーブルM2−2に記憶されている格
納先を削除する(S27)。次に、Nを「1」増加させ
て、個別ルールファイルのナンバNを「3」として(S
28)、当該N(=3)の個別ルールファイルが存在す
るかを検出する(S29)。ここではファイアウオール
装置3−3が存在せず、対応する個別ルールファイルが
存在しないので、処理を終了する。このように第2の変
形例によれば、ルール情報のファイル更新がなされた場
合、格納先が記憶されるので、これを検出してファイル
の配布を行うことにより、ファイルのみが配布されるの
で、無駄のないデータ転送を行うことができる。Here, when it is detected that the storage destination is stored, the relevant individual rule file relating to the update is retrieved from the update rule information storage unit 9 based on the storage destination, and the file is transmitted to the firewall apparatus 3-2. And stores the individual rule file relating to the update in the individual rule information storage unit 5.
And the storage destination stored in the memory table M2-2 is deleted (S27). Next, N is increased by “1”, and the number N of the individual rule file is set to “3” (S
28), it is detected whether or not the N (= 3) individual rule files exist (S29). Here, since the firewall device 3-3 does not exist and the corresponding individual rule file does not exist, the process ends. As described above, according to the second modified example, when the file of the rule information is updated, the storage destination is stored. Since the storage location is detected and the file is distributed, only the file is distributed. Thus, data transfer without waste can be performed.
【0039】次に、上記図1に示したシステム及び装置
の第3の変形例を説明する。この変形例のNSR管理装
置2には、図8に示されるように、各ルール情報を更新
した場合に記憶する更新ルール情報記憶部9が備えられ
ている点では第2の変形例と同様の構成を備える。この
更新ルール情報記憶部9は、他の記憶部と物理的に分け
られている必要はない。また、この変形例に係るシステ
ムでは、NSR管理装置2に備えられる管理情報記憶手
段2bに代えて図10に示される管理情報記憶手段2b
−3が備えられ、当該管理情報記憶手段2b−3には、
図10に示されるように、メモリテーブルM1−3、M
2−3、M3−3が含まれている。Next, a third modification of the system and apparatus shown in FIG. 1 will be described. As shown in FIG. 8, the NSR management device 2 of this modification is provided with an update rule information storage unit 9 for storing each rule information when it is updated, in the same manner as the second modification. It has a configuration. The update rule information storage unit 9 does not need to be physically separated from other storage units. Further, in the system according to this modification, the management information storage means 2b shown in FIG.
-3, and the management information storage means 2b-3 includes
As shown in FIG. 10, the memory tables M1-3, M1
2-3 and M3-3 are included.
【0040】メモリテーブルM1−3は、共通ルール情
報のファイル(共通ルールファイル)の所在(パス名)
と共に、当該共通ルールファイルの最終更新日時及び当
該共通ルールファイルの更新されたファイルの格納先
(例えば、更新ルール情報記憶部9におけるディレクト
リ)が記憶されたテーブルであり、また、メモリテーブ
ルM2−3は、各ファイアウオール装置3−1、3−2
に対する個別ルール情報のファイル(個別ルールファイ
ル)の所在(パス名)と共に、当該各個別ルールファイ
ルの最終更新日時及び当該各個別ルールファイルの更新
されたファイルの格納先(例えば、更新ルール情報記憶
部9におけるディレクトリ)が記憶されたテーブルであ
る。更に、メモリテーブルM3−3は、ファイルについ
て配布を行った最終配布日時が記憶されたテーブルであ
る。The memory table M1-3 stores the location (path name) of the common rule information file (common rule file).
In addition, it is a table storing the last update date and time of the common rule file and the storage location of the updated file of the common rule file (for example, a directory in the update rule information storage unit 9), and a memory table M2-3. Are the respective firewall devices 3-1, 3-2
Of the individual rule information file (individual rule file) (path name), the last update date and time of each individual rule file, and the storage location of the updated file of each individual rule file (for example, an update rule information storage unit). 9) is a table in which is stored. Further, the memory table M3-3 is a table in which the last distribution date and time when the file was distributed is stored.
【0041】このシステムでは、図1に示したシステム
と同様に、図4に示されるフローチャートに対応するプ
ログラムをCPU10が実行する。このとき、ルールフ
ァイルの新規作成を含む更新処理の際に、メモリテーブ
ルM1−3、メモリテーブルM2−3の該当する欄に最
終更新日時及び更新ルール情報記憶部9における格納先
を記憶する。そして、ステップS9、S10における配
布の際にの処理に代えて、図12に示されるフローチャ
ートに対応するプログラムをCPU10が実行する。In this system, as in the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, at the time of the update process including the new creation of the rule file, the last update date and time and the storage destination in the update rule information storage unit 9 are stored in the corresponding columns of the memory tables M1-3 and M2-3. Then, instead of the processing at the time of distribution in steps S9 and S10, the CPU 10 executes a program corresponding to the flowchart shown in FIG.
【0042】CPU10は、共通ルールファイルに関す
るメモリテーブルM1−3に記憶されている最終更新日
時とメモリテーブルM3−3記憶された最終配布日時と
を比較し(S11)、最終更新日時が最終配布日時より
後であるかを検出する(S12)。ここで、最終更新日
時が最終配布日時より後であることが検出されると、更
新されたファイルが配布されていないのであるから、更
新ファイル名に基づき更新ルール情報記憶部9から共通
ルールファイルを取出し、ファイアウオール装置3−
1、3−2へファイルを送信すると共に、更新に係る共
通ルールファイルを共通ルール情報記憶部4へ格納し、
メモリテーブルM1−3に記憶されている格納先を削除
する(S23)。次に、個別ルールファイルのナンバN
(N=1はファイアウオール装置3−1に対応のファイ
ル、N=2はファイアウオール装置3−2に対応のファ
イルである。)を「1」として(S14)、当該N(=
1)の個別ルールファイルに関するメモリテーブルM2
−3に記憶されている最終更新日時とメモリテーブルM
3−3に記憶された最終配布日時とを比較し(S1
5)、最終更新日時が最終配布日時より後であるかを検
出する(S16)。The CPU 10 compares the last update date and time stored in the memory table M1-3 relating to the common rule file with the last distribution date and time stored in the memory table M3-3 (S11). It is detected whether it is later (S12). Here, if it is detected that the last update date and time is later than the last distribution date and time, since the updated file has not been distributed, the common rule file is stored in the update rule information storage unit 9 based on the update file name. Removal, firewall device 3-
1 and 3-2, and a common rule file relating to the update is stored in the common rule information storage unit 4,
The storage destination stored in the memory table M1-3 is deleted (S23). Next, the number N of the individual rule file
(N = 1 is a file corresponding to the firewall device 3-1 and N = 2 is a file corresponding to the firewall device 3-2.) Is set to “1” (S14), and the N (=
Memory table M2 for individual rule file of 1)
-3 and the last update date and time stored in the memory table M
The last distribution date and time stored in 3-3 are compared (S1).
5) It is detected whether the last update date is later than the last distribution date (S16).
【0043】ここで、最終更新日時が最終配布日時より
後であることが検出されると、更新されたファイルが配
布されていないのであるから、更新ファイル名に基づき
更新ルール情報記憶部9からファイアウオール装置3−
1に対応の個別ルールファイルを取出し、ファイアウオ
ール装置3−1へファイルを送信すると共に、更新に係
る個別ルールファイルを個別ルール情報記憶部5へ格納
し、メモリテーブルM2−3に記憶されている格納先を
削除する(S27)。次に、Nを「1」増加させて、個
別ルールファイルのナンバNを「2」として(S1
8)、当該N(=2)の個別ルールファイルが存在する
かを検出する(S19)。ここでは存在するから、N
(=2)の個別ルールファイルに関するメモリテーブル
M2−3に記憶されている最終更新日時とメモリテーブ
ルM3−3記憶された最終配布日時とを比較し(S1
5)、最終更新日時が最終配布日時より後であるかを検
出する(S16)。Here, if it is detected that the last update date is later than the last distribution date, the updated file is not distributed, so that the update rule information storage unit 9 sends the updated file to the firewall based on the update file name. Device 3-
1 and sends the file to the firewall device 3-1 and stores the updated individual rule file in the individual rule information storage unit 5, and stores the file in the memory table M2-3. The destination is deleted (S27). Next, N is increased by “1”, and the number N of the individual rule file is set to “2” (S1
8) It is detected whether or not the N (= 2) individual rule files exist (S19). Because it exists here, N
The last update date and time stored in the memory table M2-3 for the (= 2) individual rule file is compared with the last distribution date and time stored in the memory table M3-3 (S1).
5) It is detected whether the last update date is later than the last distribution date (S16).
【0044】ここで、最終更新日時が最終配布日時より
後であることが検出されると、更新されたファイルが配
布されていないのであるから、更新ファイル名に基づき
更新ルール情報記憶部9からファイアウオール装置3−
2に対応の個別ルールファイルを取出し、ファイアウオ
ール装置3−2へファイルを送信すると共に、更新に係
る個別ルールファイルを個別ルール情報記憶部5へ格納
し、メモリテーブルM2−3に記憶されている格納先を
削除する(S27)。If it is detected that the last update date and time is later than the last distribution date and time, the updated file has not been distributed. Device 3-
2 and sends the file to the firewall device 3-2, stores the updated individual rule file in the individual rule information storage unit 5, and stores it in the memory table M2-3. The destination is deleted (S27).
【0045】次に、Nを「1」増加させて、個別ルール
ファイルのナンバNを「3」として(S18)、当該N
(=3)の個別ルールファイルが存在するかを検出する
(S19)。ここではファイアウオール装置3−3が存
在せず、対応する個別ルールファイルが存在しないの
で、メモリテーブルM3−3の最終配布日時を現在日時
に応じて更新し(S20)、処理を終了する。Next, N is incremented by "1", and the number N of the individual rule file is set to "3" (S18).
It is detected whether or not the (= 3) individual rule file exists (S19). Here, since the firewall device 3-3 does not exist and the corresponding individual rule file does not exist, the last distribution date and time of the memory table M3-3 is updated according to the current date and time (S20), and the process ends.
【0046】この第3の変形例によれば、更新がなされ
たルール情報のファイルのみが配布されるので、無駄の
ないデータ転送を行うことができる。尚、この変形例で
は、ファイルの最終配布日時を共通に1つ持つようにし
たが、ファイル対応にファイルの最終配布日時を持たせ
て配布の管理を行うようにしても良い。According to the third modification, only the file of the updated rule information is distributed, so that the data transfer can be performed without waste. In this modification, the file has one final distribution date and time in common. However, distribution management may be performed by giving the final distribution date and time of the file corresponding to the file.
【0047】次に、上記図1に示したシステム及び装置
の第4の変形例を説明する。この変形例のNSR管理装
置2には、図8に示される構成に加えて図13に示され
るように、各ルール情報を配布した場合にバックアップ
ファイルを記憶するバックアップ記憶部9Aが備えられ
ている。また、この変形例に係るシステムでは、NSR
管理装置2に備えられる図10の管理情報記憶手段2b
−3に代えて図11に示される管理情報記憶手段2b−
4が備えられ、当該管理情報記憶手段2b−3には、図
11に示されるように、メモリテーブルM1−3、M2
−3、M3−4が含まれている。メモリテーブルM1−
3、M2−3における記憶内容は第3の変形例に等し
い。メモリテーブルM3−4には、ファイルについて配
布を行った最終配布日時と共に、バックアップファイル
のファイル名が記憶されている。バックアップファイル
のファイル名は、配布の都度に作成されるバックアップ
ファイルの性質に鑑み、連番や日付や共通ルールファイ
ルと個別ルールファイルの別などをが付加情報としてセ
ットされる(図11に図示のものは、連番が付されてい
る)。Next, a fourth modification of the system and apparatus shown in FIG. 1 will be described. As shown in FIG. 13, the NSR management device 2 of this modification includes a backup storage unit 9A that stores a backup file when each rule information is distributed, in addition to the configuration shown in FIG. . In the system according to this modification, the NSR
Management information storage means 2b of FIG.
Management information storage means 2b shown in FIG.
4, the management information storage means 2b-3 has memory tables M1-3, M2 as shown in FIG.
-3 and M3-4. Memory table M1-
3. The storage contents in M2-3 are equal to those in the third modification. The memory table M3-4 stores the file name of the backup file together with the last distribution date and time when the file was distributed. In consideration of the nature of the backup file created each time the backup file is created, a serial number, a date, a distinction between a common rule file and an individual rule file, and the like are set as additional information (see FIG. 11). Things are numbered sequentially).
【0048】この変形例では、第3の変形例と大略同じ
図14に示すフローチャート対応の動作を基本に実行す
る。ただ、第3の変形例と異なるのは、図13のフロー
チャートと比べて、ステップS23A、ステップS27
Aにおいてバックアップファイルをバックアップ記憶部
9Aへ格納し、メモリテーブルM3−4には、ファイル
について配布を行った最終配布日時と共に、バックアッ
プファイルのファイル名を記憶する点である。In this modified example, the operation corresponding to the flowchart shown in FIG. 14 which is substantially the same as that of the third modified example is basically executed. However, what is different from the third modification is that steps S23A and S27 are different from the flowchart of FIG.
A is that the backup file is stored in the backup storage unit 9A in A, and the file name of the backup file is stored in the memory table M3-4 together with the last distribution date and time when the file was distributed.
【0049】この第4の変形例によれば、配布に係るフ
ァルのバックアップが作成されているので、配布が適切
に実行されなかった場合に、メモリテーブルM3−4の
ファイル名及びその付加情報を基に該当ファイルを検索
し、これをバックアップ記憶部9Aから取出し再度配布
するなど、時間経過後の処理を可能とする。尚、バック
アップに係る当該変形例の構成は、第2の変形例にも適
用し得るものである。また、図1に示した実施の形態を
含め、各例では、ファイアウオール装置を2台とした
が、システム構成に応じて3台以上とできることは言う
までもない。According to the fourth modified example, since a file related to distribution is backed up, if the distribution is not properly executed, the file name of the memory table M3-4 and its additional information are deleted. Based on this, processing after a lapse of time, such as retrieving the corresponding file from the backup storage unit 9A and distributing it again, is enabled. Note that the configuration of the modified example relating to the backup can be applied to the second modified example. Further, in each example including the embodiment shown in FIG. 1, the number of the firewall devices is two, but it goes without saying that the number of the firewall devices can be three or more depending on the system configuration.
【0050】[0050]
【発明の効果】以上説明したように、本発明に係るネッ
トワークセキュリティルール管理システムとネットワー
クセキュリティルール管理装置によれば、ルール情報を
共通ルール情報と個別ルール情報に分けて作成編集及び
転送による配布を行うようにしたので、各個別のセキュ
リティ装置が設置されている場所へ赴く必要がなく、ル
ール情報を適切にセットすることができ、セットのため
に要する時間を短縮することが可能である。As described above, according to the network security rule management system and the network security rule management apparatus according to the present invention, the rule information is divided into common rule information and individual rule information, and is created, edited, and distributed by transfer. Since it is performed, it is not necessary to go to the place where each individual security device is installed, the rule information can be set appropriately, and the time required for setting can be reduced.
【図1】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の構成図。FIG. 1 is a configuration diagram of a network security rule management system and its device according to an embodiment of the present invention.
【図2】本発明の実施の形態に係るネットワークセキュ
リティルール管理装置のブッロック図。FIG. 2 is a block diagram of the network security rule management device according to the embodiment of the present invention.
【図3】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置に採用される管
理情報記憶手段の内容を示す図。FIG. 3 is a diagram showing the contents of a management information storage means employed in the network security rule management system and the device according to the embodiment of the present invention.
【図4】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の動作を示すフ
ローチャート。FIG. 4 is a flowchart showing the operation of the network security rule management system and its device according to the embodiment of the present invention.
【図5】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の第1の変形例
に採用される管理情報記憶手段の内容を示す図。FIG. 5 is a diagram showing the contents of a management information storage unit employed in a network security rule management system and a first modification of the device according to the embodiment of the present invention;
【図6】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の第2の変形例
に採用される管理情報記憶手段の内容を示す図。FIG. 6 is a diagram showing the contents of a management information storage unit employed in a network security rule management system and a second modification of the device according to the embodiment of the present invention.
【図7】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の第1の変形例
の動作を示すフローチャート。FIG. 7 is a flowchart showing the operation of a first modification of the network security rule management system and the network security rule management system according to the embodiment of the present invention.
【図8】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の第2の変形例
の構成図。FIG. 8 is a configuration diagram of a second modified example of the network security rule management system and its device according to the embodiment of the present invention.
【図9】本発明の実施の形態に係るネットワークセキュ
リティルール管理システム及びその装置の第2の変形例
の動作を示すフローチャート。FIG. 9 is a flowchart showing an operation of a second modification of the network security rule management system and the network security rule management system according to the embodiment of the present invention.
【図10】本発明の実施の形態に係るネットワークセキ
ュリティルール管理システム及びその装置の第3の変形
例に採用される管理情報記憶手段の内容を示す図。FIG. 10 is a diagram showing the contents of a management information storage means employed in a network security rule management system and a third modification of the device according to the embodiment of the present invention.
【図11】本発明の実施の形態に係るネットワークセキ
ュリティルール管理システム及びその装置の第4の変形
例に採用される管理情報記憶手段の内容を示す図。FIG. 11 is a diagram showing contents of a management information storage means employed in a network security rule management system and a fourth modification of the device according to the embodiment of the present invention.
【図12】本発明の実施の形態に係るネットワークセキ
ュリティルール管理システム及びその装置の第3の変形
例の動作を示すフローチャート。FIG. 12 is a flowchart showing an operation of a third modification of the network security rule management system and the network security rule management system according to the embodiment of the present invention.
【図13】本発明の実施の形態に係るネットワークセキ
ュリティルール管理システム及びその装置の第4の変形
例の構成図。FIG. 13 is a configuration diagram of a fourth modified example of the network security rule management system and its device according to the embodiment of the present invention.
【図14】本発明の実施の形態に係るネットワークセキ
ュリティルール管理システム及びその装置の第4の変形
例の動作を示すフローチャート。FIG. 14 is a flowchart showing an operation of a fourth modified example of the network security rule management system and the network security rule management system according to the embodiment of the present invention.
1 ネットワーク 2 NSR管理装置 3−1、3−2 ファイアウオール装置 4、6−1、6−2共通ルール情報記憶部 5、7−、7−2 個別ルール情報記憶部 8−1、8−2 ネットワークサイト 9 更新ルール情報記憶部 9A バックアップ記憶部 2a 編集・格納手段 2b、2b−1〜4 管理情報記憶手段 2c 配布手段 REFERENCE SIGNS LIST 1 Network 2 NSR management device 3-1, 3-2 Firewall device 4, 6-1, 6-2 Common rule information storage unit 5, 7-, 7-2 Individual rule information storage unit 8-1, 8-2 Network Site 9 Update rule information storage unit 9A Backup storage unit 2a Editing / storage unit 2b, 2b-1 to 4 Management information storage unit 2c Distribution unit
Claims (6)
ークを伝送する情報に対し、通過・不通過を制御するセ
キュリティ装置と、このセキュリティ装置に対して情報
を通過させるか不通過とするかを決定するためのネット
ワークセキュリティルール情報を与えるネットワークセ
キュリティルール管理装置とを具備するネットワークセ
キュリティルール管理システムであって、 前記セキュリティ装置と前記ネットワークセキュリティ
ルール管理装置とには、それぞれ、全てのセキュリティ
装置に共通する共通ルール情報を記憶する共通ルール情
報記憶部と、各セキュリティ装置に固有の個別ルール情
報を記憶する個別ルール情報記憶部とが備えられてお
り、 前記ネットワークセキュリティルール管理装置は、自装
置に備えられた共通ルール情報記憶部に記憶されている
共通ルール情報を全てのセキュリティ装置に備えられた
共通ルール情報記憶部へ転送する一方、自装置に備えら
れた個別ルール情報記憶部に記憶された個別ルール情報
を該当するセキュリティ装置に備えられた個別ルール情
報記憶部へ転送することを特徴とするネットワークセキ
ュリティルール管理システム。1. A security device that is provided in a network and controls the passage / non-passage of information transmitted through the network, and determines whether information is passed or non-passed by the security device. A network security rule management system, comprising: a network security rule management device that provides network security rule information according to any one of claims 1 to 3, wherein the security device and the network security rule management device each have a common rule common to all security devices. A common rule information storage unit for storing information; and an individual rule information storage unit for storing individual rule information unique to each security device, wherein the network security rule management device has a common Rule information While transferring the common rule information stored in the storage unit to the common rule information storage unit provided in all the security devices, the individual rule information stored in the individual rule information storage unit provided in the own device corresponds to A network security rule management system wherein the information is transferred to an individual rule information storage unit provided in a security device.
クを伝送する情報に対し通過・不通過を制御するセキュ
リティ装置に対して、情報を通過させるか不通過とする
かを決定するためのネットワークセキュリティルール情
報を与えるネットワークセキュリティルール管理装置で
あって、 前記ネットワークセキュリティルール管理装置は、 全てのセキュリティ装置に共通する共通ルール情報を記
憶する共通ルール情報記憶部と、各セキュリティ装置に
固有の個別ルール情報を記憶する個別ルール情報記憶部
と、 自装置に備えられた共通ルール情報記憶部に記憶されて
いる共通ルール情報を全てのセキュリティ装置へ転送す
るとともに、自装置に備えられた個別ルール情報記憶部
に記憶された個別ルール情報を該当するセキュリティ装
置へ転送する手段とを具備することを特徴とするネット
ワークセキュリティルール管理装置。2. A security device, which is provided in a network and controls passage / non-passage of information transmitted through the network, transmits network security rule information for determining whether the information is passed or not. A network security rule management device to be provided, wherein the network security rule management device stores a common rule information storage unit that stores common rule information common to all security devices, and stores individual rule information unique to each security device. The individual rule information storage unit and the common rule information stored in the common rule information storage unit provided in the own device are transferred to all security devices, and are stored in the individual rule information storage unit provided in the own device. Transferred individual rule information to the corresponding security device A network security rule management device comprising:
置では、 各ルール情報の更新が行われるとその時を示す更新時情
報がセットされると共に、各ルール情報の転送が行われ
るとその時を示す転送時情報がセットされ、 転送する手段は、上記更新時情報と転送時情報に基づき
転送すべきルール情報を検出して転送を行うことを特徴
とする請求項2に記載のネットワークセキュリティルー
ル管理装置。In the network security rule management device, when each rule information is updated, update time information indicating the time is set, and when each rule information is transferred, transfer time information indicating the time is set. 3. The network security rule management device according to claim 2, wherein the transferring unit detects rule information to be transferred based on the update information and the transfer information and transfers the rule information.
置には、 各ルール情報を更新した場合に記憶する更新ルール情報
記憶部が備えられ、 転送する手段は、上記更新ルール情報記憶部に更新され
たルール情報が記憶されたことを検出して転送を行うこ
とを特徴とする請求項2に記載のネットワークセキュリ
ティルール管理装置。4. The network security rule management device is provided with an update rule information storage unit for storing each rule information when the rule information is updated, and means for transferring the updated rule information in the update rule information storage unit. 3. The network security rule management device according to claim 2, wherein the transfer is performed by detecting the storage.
置には、 各ルール情報を更新した場合に記憶する更新ルール情報
記憶部が備えられ、 各ルール情報の更新が行われるとその時を示す更新時情
報がセットされると共に、各ルール情報の転送が行われ
るとその時を示す転送時情報がセットされ、 転送する手段は、上記更新時情報と転送時情報に基づき
転送すべきルール情報を検出して前記更新ルール情報記
憶部に記憶された該当ルール情報の転送を行うことを特
徴とする請求項2に記載のネットワークセキュリティル
ール管理装置。5. The network security rule management device is provided with an update rule information storage unit for storing each rule information when it is updated, and when each rule information is updated, update time information indicating the time is set. When the transfer of each rule information is performed, transfer time information indicating the time is set, and the transfer means detects the rule information to be transferred based on the update time information and the transfer time information and transmits the update rule information. 3. The network security rule management device according to claim 2, wherein the corresponding rule information stored in the storage unit is transferred.
置には、 各ルール情報を転送した場合に転送したルール情報を記
憶するバックアップ記憶部が備えられ、 転送する手段は、転送したルール情報を前記バックアッ
プ記憶部へ記憶することを特徴とする請求項5に記載の
ネットワークセキュリティルール管理装置。6. The network security rule management device is provided with a backup storage unit that stores the transferred rule information when each rule information is transferred, and the transfer unit transfers the transferred rule information to the backup storage unit. The network security rule management device according to claim 5, wherein the network security rule management device stores the information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6387199A JP3732672B2 (en) | 1999-03-10 | 1999-03-10 | Network security rule management system and network security rule management device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6387199A JP3732672B2 (en) | 1999-03-10 | 1999-03-10 | Network security rule management system and network security rule management device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000259521A true JP2000259521A (en) | 2000-09-22 |
| JP3732672B2 JP3732672B2 (en) | 2006-01-05 |
Family
ID=13241805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6387199A Expired - Fee Related JP3732672B2 (en) | 1999-03-10 | 1999-03-10 | Network security rule management system and network security rule management device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3732672B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004070590A1 (en) * | 2003-02-04 | 2004-08-19 | Fujitsu Limited | Software maintenance service providing system, software maintenance service method, and program for causing computer to execute the method |
| JP2006040274A (en) * | 2004-07-09 | 2006-02-09 | Thomson Licensing | Firewall for protecting group of appliance, appliance participating in system and method of updating firewall rule within system |
| JP2006252471A (en) * | 2005-03-14 | 2006-09-21 | Ricoh Co Ltd | Network monitoring method, network monitoring system and network monitoring program |
| JP2007122749A (en) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | Warning system, illegal access track method, illegal access detection system, security management method and attack protection method |
| CN103227750A (en) * | 2013-04-26 | 2013-07-31 | 华为技术有限公司 | Method, device and system for controlling message transmission |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02287730A (en) * | 1989-04-28 | 1990-11-27 | Hitachi Ltd | History control system |
| JPH07141296A (en) * | 1993-11-15 | 1995-06-02 | Hitachi Ltd | Security management device in open decentralized environment |
| JPH07302192A (en) * | 1994-05-09 | 1995-11-14 | Yuri Tazawa | Application program setting device and application program setting method |
| JPH09293010A (en) * | 1996-04-26 | 1997-11-11 | Mitsubishi Electric Corp | Information synchronizing method |
| WO1998054644A1 (en) * | 1997-05-29 | 1998-12-03 | 3Com Corporation | Multilayer firewall system |
-
1999
- 1999-03-10 JP JP6387199A patent/JP3732672B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02287730A (en) * | 1989-04-28 | 1990-11-27 | Hitachi Ltd | History control system |
| JPH07141296A (en) * | 1993-11-15 | 1995-06-02 | Hitachi Ltd | Security management device in open decentralized environment |
| JPH07302192A (en) * | 1994-05-09 | 1995-11-14 | Yuri Tazawa | Application program setting device and application program setting method |
| JPH09293010A (en) * | 1996-04-26 | 1997-11-11 | Mitsubishi Electric Corp | Information synchronizing method |
| WO1998054644A1 (en) * | 1997-05-29 | 1998-12-03 | 3Com Corporation | Multilayer firewall system |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007122749A (en) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | Warning system, illegal access track method, illegal access detection system, security management method and attack protection method |
| WO2004070590A1 (en) * | 2003-02-04 | 2004-08-19 | Fujitsu Limited | Software maintenance service providing system, software maintenance service method, and program for causing computer to execute the method |
| JPWO2004070590A1 (en) * | 2003-02-04 | 2006-05-25 | 富士通株式会社 | Software maintenance service providing system, software maintenance service method, and program for causing computer to execute the method |
| JP2006040274A (en) * | 2004-07-09 | 2006-02-09 | Thomson Licensing | Firewall for protecting group of appliance, appliance participating in system and method of updating firewall rule within system |
| JP2006252471A (en) * | 2005-03-14 | 2006-09-21 | Ricoh Co Ltd | Network monitoring method, network monitoring system and network monitoring program |
| JP4713186B2 (en) * | 2005-03-14 | 2011-06-29 | 株式会社リコー | Network monitoring method and network monitoring system |
| CN103227750A (en) * | 2013-04-26 | 2013-07-31 | 华为技术有限公司 | Method, device and system for controlling message transmission |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3732672B2 (en) | 2006-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5862346A (en) | Distributed group activity data network system and corresponding method | |
| US6961764B2 (en) | Description distributed computer system and method of applying maintenance thereto | |
| JP3732672B2 (en) | Network security rule management system and network security rule management device | |
| US7085784B2 (en) | System and method for eliminating duplicate copies of activity history logs in bridging two or more backend database systems | |
| JP6977740B2 (en) | Computer systems, computer equipment and license management methods | |
| US7693840B1 (en) | Method and system for distribution of common elements | |
| JP2943695B2 (en) | Shared file management device | |
| JP2008090485A (en) | Job management device, system and program | |
| US20100131463A1 (en) | Mobile observation management solutions | |
| JP3679429B2 (en) | File resource management system and method | |
| JP2010204946A (en) | System, method and program for supporting corporate edition | |
| JP2003273875A (en) | Data server | |
| JP3527756B2 (en) | How to update system files | |
| JP2021144405A (en) | Program, information processing device, and method of controlling information processing device | |
| JPH11345180A (en) | Distributed processing system and processing method therefor | |
| JP4374524B2 (en) | Field equipment management system | |
| JPH09146861A (en) | Remote maintenance data distribution device | |
| JP3498422B2 (en) | Computer system | |
| JPH10240595A (en) | Data managing device | |
| JP2001327102A (en) | Electric power system supervisory control equipment | |
| JPH10334149A (en) | Work flow system | |
| JPH0844544A (en) | Execution module management system for decentralized transaction system | |
| US6816892B1 (en) | Web-on-cd | |
| JP2005056148A (en) | Driver update system, driver update method and program | |
| CN110990668A (en) | Document data display method and related device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050111 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050314 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050712 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050912 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051011 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051013 |
|
| LAPS | Cancellation because of no payment of annual fees |