JP2001077857A - フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 - Google Patents

フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体

Info

Publication number
JP2001077857A
JP2001077857A JP25387199A JP25387199A JP2001077857A JP 2001077857 A JP2001077857 A JP 2001077857A JP 25387199 A JP25387199 A JP 25387199A JP 25387199 A JP25387199 A JP 25387199A JP 2001077857 A JP2001077857 A JP 2001077857A
Authority
JP
Japan
Prior art keywords
filtering
client
server
connection
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP25387199A
Other languages
English (en)
Inventor
Masao Yamamoto
昌夫 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP25387199A priority Critical patent/JP2001077857A/ja
Publication of JP2001077857A publication Critical patent/JP2001077857A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 本発明は、フィルタリング処理装置に関し、
クライアントのセキュリティを向上することを目的とす
る。 【解決手段】 フィルタリング処理装置3はクライアン
ト1とサーバ4との間に設けられ、これらの間において
送受信されるデータのフィルタリングを行う。フィルタ
リング処理装置3は解析処理部6と動的条件設定処理部
7とを備える。解析処理部6はクライアント1からサー
バ4に対して送信されるデータを解析する。動的条件設
定処理部7は、解析処理部6における解析結果に基づい
て、サーバ4からクライアント1に対して送信されるデ
ータについてのフィルタリングの条件を設定する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、フィルタリング処
理装置及びこれを備えるネットワーク及びその記憶媒体
に関し、特に、クライアントのセキュリティを向上した
フィルタリング処理装置及びこれを備えるネットワーク
及びその記憶媒体に関する。
【0002】
【従来の技術】インターネットにおいては、クライアン
ト(WWWブラウザ)に対して、種々のサーバが接続し
てくる。そこで、セキュリティの確保のために、図7
(A)に示すように、インターネット102とクライア
ント101との間にファイアウォール103が設けられ
る。クライアント101又はサーバ104から送出され
たパケットは、ファイアウォール103を通過すること
が認められれば、これを越えて通信の相手方に到達する
ことができる。
【0003】ファイアウォール103がこのようなセキ
ュリティ機能を実現する方法には、例えばパケットフィ
ルタリング等の方法がある。このパケットフィルタリン
グは、例えば、以下のように行われる。即ち、サーバ1
04又はクライアント101から送られたパケットにつ
いて、ファイアウォール103が、パケットのIPアド
レスや上位アプリケーションの種類を示すポート番号等
に基づいて、当該パケットを通過させるか否かを決定す
る。通過させると決定されたパケットは、そのまま相手
方に転送される。
【0004】
【発明が解決しようとする課題】大量のデータ転送を頻
繁に行うようなネットワークでは、通信経済の観点か
ら、通常、クライアント101とサーバ104との間の
通信は、以下のように行われる。即ち、クライアント1
01からサーバ104への接続(以下、第1のコネクシ
ョンと言う)を確立し、この第1のコネクションにより
クライアント101からサーバ104へ要求を通知する
ための制御用の通信を行う。次に、第1のコネクション
とは別に、サーバ104からクライアント101への接
続(以下、第2のコネクションと言う)を確立し、この
第2のコネクションによりデータ送信用の通信を行う。
第2のコネクションにおいては、一般に、既に接続済の
通信路を使用した通信の待ち合わせ又は受信ポートの指
定が可能である。
【0005】そこで、ファイアウォール103を採用す
るネットワークにおいて、上記第2のコネクションを許
す場合、ファイアウォール103に、当該第2のコネク
ションにおけるパケットについてのパケットフィルタリ
ング(通過)の条件を、予め設定しておく必要がある。
【0006】このような第2のコネクションについての
パケットフィルタリングの一例として、例えばFTP
(ファイルトランスファープロトコル)の場合について
説明する。FTPにおいては、データ転送時にサーバ1
04の固定ポート(ポート番号20)からクライアント
101のANYポートに接続する(コネクションを確立
する)。ここで、ANYポートは、サーバ104がクラ
イアント101からの通知に基づいて当該通信毎に割り
当てるポートであり、そのポート番号は予め1024〜
65535の範囲とされる。従って、第2のコネクショ
ンについてのパケットフィルタリングの条件テーブル1
11は、図7(B)に示すように、送信先のポート番号
が1024〜65535であるパケットについて通過さ
せる設定とされる。即ち、ファイアウォール103は、
サーバIPアドレスSのポート番号20からのクライア
ントIPアドレスCへのパケットについては、送信先の
ポート番号が1024〜65535の範囲であれば、通
過させることになる。
【0007】このため、第2のコネクションにおいて
は、クライアント101から見ると、サーバIPアドレ
スSのポート番号20からのパケットであれば、ポート
番号が1024〜65535と言う広範囲のものがファ
イアウォール103を通過する。従って、極めて広範囲
のパケットについて、ファイアウォール103が存在し
ないように見えることになる。即ち、ファイアウォール
103の内側に保護されているはずのクライアント10
1が、極めて広範囲のパケットについて無防備な状態に
置かれていることになる。
【0008】本発明は、クライアントのセキュリティを
向上したフィルタリング処理装置を提供することを目的
とする。
【0009】また、本発明は、クライアントのセキュリ
ティを向上したネットワークを提供することを目的とす
る。
【0010】また、本発明は、クライアントのセキュリ
ティを向上したフィルタリング処理装置を実現するプロ
グラムを記憶する記憶媒体を提供することを目的とす
る。
【0011】
【課題を解決するための手段】図1は本発明の原理構成
図であり、本発明によるフィルタリング処理装置3を示
す。フィルタリング処理装置3はクライアント1とサー
バ4との間に設けられ、これらの間において送受信され
るデータのフィルタリングを行う。フィルタリング処理
装置3は解析処理部6と動的条件設定処理部7とを備え
る。解析処理部6はクライアント1からサーバ4に対し
て送信されるデータを解析する。動的条件設定処理部7
は、解析処理部6における解析結果に基づいて、サーバ
4からクライアント1に対して送信されるデータについ
てのフィルタリングの条件を設定する。
【0012】本発明のフィルタリング処理装置3によれ
ば、クライアント1からサーバ4に対して送信されるデ
ータの解析結果に基づいて、サーバ4からクライアント
1に対して送信されるデータについてのフィルタリング
の条件を動的に設定することができる。従って、当該条
件を満たすデータのみがフィルタリング処理装置3を通
過するように設定することができる。例えば、前述のよ
うに第2のコネクションを許す場合、クライアント1か
らサーバ4へのデータから、クライアント1におけるデ
ータの送受信の条件を検出する。これにより、第2のコ
ネクションにおいてサーバ4からクライアント1へのデ
ータがどのような条件で送信されるかを予め知り、これ
に基づいて、サーバ4からクライアント1へのデータの
内で当該送信の条件に合致するデータのみが、第2のコ
ネクションにおいてフィルタリング処理装置3を通過す
るように設定することができる。従って、第2のコネク
ションにおいて、クライアント1から見て、同一のサー
バ4からのデータであっても、フィルタリングの条件を
満たさないデータはフィルタリング処理装置3を通過す
ることができない。これにより、クライアント1をフィ
ルタリング処理装置3の内側に保護することができ、そ
のセキュリティを向上することができる。
【0013】
【発明の実施の形態】図2はフィルタリング処理装置説
明図であり、本発明のフィルタリング処理装置3及びこ
れを備えるネットワークの構成を示す。
【0014】図2において、フィルタリング処理装置3
は、例えばファイアウォール3からなる。ファイアウォ
ール3は、クライアント1のセキュリティの確保のため
に、ネットワーク2とクライアント1との間に設けら
れ、フィルタリングを行う。従って、サーバ4から見た
場合、クライアント1はファイアウォール3の内側にあ
り、これにより守られている。例えば、(複数の)クラ
イアント1はファイアウォール3と共にイントラネット
を構成する。ネットワーク2は、例えばインターネット
2からなる。サーバ4はウェブ(Web)サーバやプロ
キシサーバ等からなる。従って、全体をネットワークと
して見ると、クライアント1、サーバ4、ファイアウォ
ール3とを備える。
【0015】クライアント1は、例えば、インターネッ
ト2を介して、サーバ4にアクセスする。この時、クラ
イアント1は、ファイアウォール3にアクセスしてその
フィルタ処理部10を通過する必要がある。逆に、クラ
イアント1に応答するサーバ4も、ファイアウォール3
にアクセスしてそのフィルタ処理部10を通過する必要
がある。従って、ファイアウォール3は、その内側のク
ライアント1(の属するイントラネット)と外側のイン
ターネット2とを切り離す。フィルタ処理部10を通過
すれば、クライアント1とサーバ4とはファイアウォー
ル3を越えて相互にアクセスすることができる。
【0016】ファイアウォール3は、中央演算処理装置
(CPU)、主メモリ、補助記憶等(いずれも図示せ
ず)からなる。主メモリ上に、フィルタリング処理を行
うプログラムが存在する。フィルタリング処理プログラ
ムがCPU上で実行されることにより、以下に説明する
各処理部5、6、7、10によるフィルタリング処理が
行われる。なお、アドレスポートテーブル8、動的条件
テーブル11、静的条件テーブル12は磁気ディスク装
置等の補助記憶に設けられる。
【0017】ファイアウォール3は、前述のように、ク
ライアント1のセキュリティの実現のために、クライア
ント1とサーバ4との間に設けられ、これらの間におい
て送受信されるデータのフィルタリング処理を行う。ク
ライアント1とサーバ4との間において送受信されるデ
ータはパケットからなる。従って、ファイアウォール3
はパケットフィルタリングによりクライアント1のセキ
ュリティを実現する。このために、ファイアウォール3
は、中継モジュール9、フィルタ処理部10を備える。
中継モジュール9は、フィルタ処理部10を制御し、ま
た、そのための制御情報(フィルタリングの制御のため
の情報)を作成する。フィルタ処理部10は、中継モジ
ュール9の制御に従って、クライアント1又はサーバ4
から受信したパケットについてのフィルタリングを行
う。中継モジュール9は、中継処理部5、解析処理部
6、動的条件設定処理部7を備える。
【0018】フィルタ処理部10は、動的条件設定処理
部7により設定された条件に従って、当該ファイアウォ
ール3を通過しようとするデータについての実際のフィ
ルタリング処理及び通信処理を行う。即ち、フィルタ処
理部10は、クライアント1又はサーバ4から送信され
てきたパケットの受信処理を行い、フィルタリングの制
御のための情報(動的フィルタリング情報)を抽出する
ために、これを中継モジュール9に送る。また、フィル
タ処理部10は、中継モジュール9からのパケットを受
け取り、予め自己が備えるフィルタリングの制御のため
の情報(静的フィルタリング情報)と中継モジュール9
から与えられたフィルタリングの制御のための情報(動
的フィルタリング情報)とに従ってフィルタリングした
後、通過させるべきパケットの当該クライアント1又は
サーバ4への送信処理を行う。
【0019】このために、フィルタ処理部10は、図3
(B)に示すように、動的条件テーブル11を備える。
動的条件テーブル11は、中継モジュール9からのフィ
ルタリングの制御のための情報(動的フィルタリング情
報)を格納する。動的フィルタリング情報は、第2のコ
ネクションにおけるフィルタリングについての条件を規
定する情報である。動的フィルタリング情報は、後述す
るように、動的条件設定処理部7により設定され、削除
される。
【0020】フィルタ処理部10は、動的条件テーブル
11とは別に、第2のコネクションにおけるフィルタリ
ング以外のフィルタリング(例えば、第1のコネクショ
ンにおけるフィルタリング)についての条件(静的フィ
ルタリング情報)を備える。このために、フィルタ処理
部10は、図3(A)に示すように、静的条件テーブル
12を備える。静的条件テーブル12は、静的フィルタ
リング情報を格納する。静的フィルタリング情報は、第
1のコネクションにおけるフィルタリングについての条
件を規定する情報である。
【0021】図3(A)に示す静的条件テーブル12
は、例えばFTPの場合について示す。FTPにおいて
は、処理「通過」の対象として、送信元アドレスとして
クライアント1の「クライアントIPアドレスC」、そ
のポート(送信元ポート)番号として「1024〜65
535」、送信先アドレスとしてサーバ4の「サーバI
PアドレスS」、そのポート(送信先ポート)番号とし
て「21」が設定される。クライアント1の送信ポート
番号が「1024〜65535」のように広範囲である
が、ファイアウォール3の内側であるので、セキュリテ
ィ上の問題はない。サーバ4の受信ポート番号「21」
は固定である。従って、第1のコネクションについての
パケットフィルタリング(静的フィルタリング)は、ク
ライアントIPアドレスCのポート番号1024〜65
535からのサーバIPアドレスSのポート番号21へ
のパケットについては、通過させることになる。
【0022】また、このようなパケットに対する第1の
コネクション上の応答パケットについても、通過させる
ことになる。例えば、クライアント1からのパケットの
送信ポートが1024であるとすると、サーバIPアド
レスSのポート番号21からのクライアントIPアドレ
スCのポート番号1024へのパケットについても、通
過させることになる。これは、一旦確立された第1のコ
ネクションに接続する特定のサーバ4及びクライアント
1の間での通信であり、かつ、一旦静的フィルタリング
を通過した送受信のポートの間での通信だからである。
即ち、同一のクライアント1及びサーバ4の間の同一の
ポートでの通信だからである。
【0023】このために、フィルタ処理部10は、図3
(A)に示す静的条件テーブル12において、処理「通
過」の対象として、送信元アドレスとしてサーバ4の
「サーバIPアドレスS」、そのポート(送信元ポー
ト)番号として「21」、送信先アドレスとしてクライ
アント1の「クライアントIPアドレスC」、そのポー
ト(送信先ポート)番号として「1024」を設定す
る。このフィルタリングの条件は、図3(A)に示す条
件の裏返しの条件である。
【0024】中継モジュール9において、中継処理部5
はデータの中継を行う。即ち、中継処理部5は、フィル
タ処理部10からパケットを受け取り、動的フィルタリ
ング情報を抽出するために、これを解析処理部6へ送
る。また、中継処理部5は、解析処理部6からパケット
を受け取り、フィルタリングのために、これをフィルタ
処理部10に送る。
【0025】解析処理部6は、クライアント1からサー
バ4に対して送信されるデータを解析する。具体的に
は、解析処理部6の解析するデータは、クライアント1
からサーバ4に対して確立されたコネクション(第1の
コネクション)を介して、クライアント1から送信され
るデータである。このデータは、第1のコネクションと
は別に、サーバ4からクライアント1に対してその時点
以後に確立される(又はその時点前に確立された)コネ
クション(第2のコネクション)についての情報を含
む。第2のコネクションについての情報は、第2のコネ
クションを開設するための情報、又は、第2のコネクシ
ョンを閉塞するための情報である。
【0026】この明細書において、第1及び第2のコネ
クションは、トランスポート層でのTCP(トランスミ
ッションコントロールプロトコル)の接続である。第2
のコネクションは、第1のコネクションが確立された後
にそれが存在する状態で確立され、クライアント1から
サーバ4へのコネクションである第1のコネクションと
は逆に、サーバ4からクライアント1へのコネクション
である。従って、第2のコネクションは、第1のコネク
ションの存在が前提であって、前提である当該第1のコ
ネクションに対応する。
【0027】前述のように、パケットフィルタリングに
おいては、パケットのIPアドレスや上位アプリケーシ
ョンの種類を示すポート番号等に基づいて、当該パケッ
トを通過させるか否かを決定する。従って、解析処理部
6は、第2のコネクションを使用するネットワークアプ
リケーションのプロトコルデータを解析し、IPアドレ
スやポート番号等の接続に関する情報を、第2のコネク
ションについての情報として取得する。
【0028】例えば、FTPにおいては、第1のコネク
ションを介して、第2のコネクションについての情報
が、所定のコマンドによりクライアント1からサーバ4
に通知される。具体的には、クライアント1からのポー
ト(PORT)コマンド及びこれに続くデータ受信コマ
ンドにより、当該第1のコネクションを介しての通信の
後、サーバ4からクライアント1への第2のコネクショ
ンが確立される。データ受信コマンドとしてはLIS
T、RETR又はSTOR等がある。また、当該ポート
コマンドにより、第2のコネクションの利用時にクライ
アント1においてデータを受信するポートのアドレス及
び当該ポートについての情報が、クライアント1からサ
ーバ4に通知される。この情報は、(ASCII) 文字列とし
て通知され、例えば、ポートアドレス「192.168.1.1.4.
1 」と、IPアドレス「192.168.1.1」とポート番号「1
025」とからなる(図3(B)参照)。
【0029】従って、解析処理部6は、第1のコネクシ
ョン上のクライアント1からのパケットを解析し、ポー
トコマンドに続くデータ受信コマンドを検出すると、ポ
ートコマンドにおける前記3個のデータを第2のコネク
ションについてのそれを開設させるための情報として抽
出する。従って、第2のコネクションを用いた通信のフ
ィルタリングにおいては、当該IPアドレスのクライア
ント1の当該ポート(及びアドレス)に対して当該サー
バ4から送信されるパケットのみを通過させれば良い。
【0030】また、クライアント1からのポートコマン
ド及びこれに続くデータ受信完了コマンドにより、当該
第1のコネクションを介しての通信の後、第2のコネク
ションが閉塞される。従って、解析処理部6は、第1の
コネクション上のクライアント1からのパケットを解析
し、ポートコマンドに続くデータ受信完了コマンドを検
出すると、前記と同様にポートコマンドにおける前記3
個のデータを第2のコネクションについてのそれを閉塞
させるための情報として抽出する。
【0031】なお、実際は、第1のコネクションに対し
て既に第2のコネクションが開設された状態で、更に、
ポートコマンド及びこれに続くデータ受信コマンドが検
出されると、当該既設の第2のコネクションは閉塞さ
れ、これとは別に新たな第2のコネクションが開設され
る。従って、既設の第2のコネクションについての動的
フィルタリング条件は削除され、新たな第2のコネクシ
ョンについての動的フィルタリング条件が設定される。
【0032】解析処理部6は、第2のコネクションにお
けるフィルタリングについての条件(動的フィルタリン
グ情報)を作成するために、アドレスポートテーブル8
を備える。アドレスポートテーブル8は、アドレスポー
ト情報を格納する。アドレスポート情報は、第2のコネ
クションが対応する第1のコネクションのサーバ4のサ
ーバIPアドレスとそのデータ送信ポートとからなる。
【0033】例えば、FTPにおいては、サーバ4にお
けるデータの送信ポートは、第1のコネクションのサー
バIPアドレス「192.168.1.1 」と固定ポート20番と
に固定されている。これらが、サーバ4についてのアド
レスポート情報として、当該アドレスポートテーブル8
に格納される。
【0034】従って、FTPにおいては、解析処理部6
により、図3(B)に示すように、動的フィルタリング
情報が作成される。即ち、前述の3個のデータの内、ポ
ートアドレス「192.168.1.1.4.1 」を用いてサーバ4の
サーバIPアドレスを求め、また、当該ポートアドレス
を用いてアドレスポートテーブル8を参照し、当該アド
レスのサーバ4のデータ送信(送信元)ポート(ポート
番号20)を求める。このポート番号20は、前述のよ
うに、固定である。また、3個のデータの内、IPアド
レス「192.168.1.1 」をクライアント1のクライアント
IPアドレスとし、ポート番号「1025」をクライア
ント1のデータ受信(送信先)ポートとする。これによ
り、第2のコネクションにおいて、サーバ4から送信さ
れるパケットは、送信先ポートが1025であるものの
みがフィルタリングを通過できることになる。
【0035】動的条件設定処理部7は、解析処理部6に
おける解析結果に基づいて、サーバ4からクライアント
1に対して送信されるデータについてのフィルタリング
の条件(動的フィルタリング情報)を設定する。具体的
には、動的条件設定処理部7の設定する条件は、第1の
コネクションに対応するサーバ4からのクライアント1
に対する第2のコネクションを介して、サーバ4から送
信されるデータについての動的フィルタリングの条件で
ある。従って、動的条件設定処理部7は、第2のコネク
ションを開設するための情報に基づいて動的フィルタリ
ングの条件を設定し、又は、第2のコネクションを閉塞
するための情報に基づいて動的フィルタリングの条件を
削除する。
【0036】クライアント1からのサーバ4に対する第
1のコネクションが存在する場合に、第2のコネクショ
ンについての動的フィルタリングの条件が設定される。
具体的には、第2のコネクションの使用(又は設定)の
直前に、その直前に行われた第1のコネクションを使用
した通信を解析した結果に基づいて設定される。即ち、
動的に設定される。このために、解析処理部6が、クラ
イアント1から送信されるデータを解析し、動的条件設
定処理部7が、この解析結果に基づいて、第1のコネク
ションに対応するサーバ4からのクライアント1に対す
る第2のコネクションにおいて、サーバ4から送信され
るデータについてのフィルタリングの条件を動的に設定
する。従って、第2のコネクションにおけるフィルタリ
ングの条件を、必要な場合にのみ、その直前に動的に設
定し、フィルタリングを行うことができる。
【0037】また、クライアント1からのサーバ4に対
する第2のコネクションが存在する場合に、動的フィル
タリングの条件が削除される。具体的には、第2のコネ
クションの使用(又は切断)の直後に、その直後に行わ
れた第1のコネクションを使用した通信を解析した結果
に基づいて、削除される。即ち、動的に削除される。こ
のために、解析処理部6が、クライアント1から送信さ
れるデータを解析し、動的条件設定処理部7が、解析結
果に基づいて、第2のコネクションにおける動的フィル
タリングの条件を削除する。従って、第2のコネクショ
ンにおけるフィルタリングの条件を、その直後に動的に
削除することができる。
【0038】なお、実際は、第2のコネクションが対応
する第1のコネクションが切断される場合、当該第2の
コネクションも切断(閉塞)される。従って、この場合
にも、その動的フィルタリングの条件が削除される。具
体的には、クライアント1からサーバ4に対して第1の
コネクションの切断が通知されたら、これを解析処理部
6が検出して、動的条件設定処理部7により当該第2の
コネクションが閉塞される。
【0039】例えば、前述のFTPにおいては、動的条
件設定処理部7は、解析処理部6により図3(B)に示
すように作成された動的フィルタリング情報を当該情報
の設定指示と共に受け取り、当該情報をフィルタ処理部
10の動的条件テーブル11に書き込む。これにより、
フィルタ処理部10における動的フィルタリングの条件
が設定される。この結果、第2のコネクションにおい
て、サーバ4から送信されるパケットは、送信先ポート
が1025であるもののみがフィルタリングを通過でき
ることになる。
【0040】図4は、ファイアウォール3が実行するフ
ィルタリング処理フローを示す。
【0041】フィルタ処理部10が、パケットを受信し
たか否かを調べる(ステップS1)。受信していない場
合、ステップS1を繰り返す。
【0042】受信した場合、フィルタ処理部10が、静
的条件テーブル12及び動的条件テーブル11を用い
て、静的フィルタリング処理及び動的フィルタリング処
理を行う(ステップS2)。この時、フィルタ処理部1
0は、当該パケットが第1又は第2のコネクション上の
ものか及びクライアント1又はサーバ4からのものかを
意識することはなく、また、静的フィルタリングか動的
フィルタリングかを意識することはない。
【0043】フィルタ処理部10が、フィルタリング処
理の結果、当該パケットが通過の条件を満足するか否か
を調べる(ステップS3)。
【0044】満足する場合、フィルタ処理部10が、当
該パケットを中継モジュール9に送る(ステップS
4)。当該パケットは、中継モジュール9において、中
継処理部5を介して、解析処理部6に送られる。
【0045】解析処理部6が、当該パケットを解析する
(ステップS5)。
【0046】この解析の結果に基づいて、所定の処理が
行われる(ステップS6)。これについては、図5を参
照して後述する。
【0047】解析処理部6が、当該パケットをフィルタ
処理部10に送る(ステップS7)。
【0048】フィルタ処理部10が、当該パケットを中
継処理する(ステップS8)。即ち、当該パケットをそ
の宛て先(送信先)に転送する。
【0049】ステップS3において通過の条件を満足し
ない場合、フィルタ処理部10が、当該パケットを廃棄
する(ステップS9)。
【0050】図5は、図4のステップS6においてファ
イアウォール3が実行するフィルタリング条件設定処理
フローを示す。
【0051】解析処理部6が、中継処理部5から受け取
ったパケットについて解析する(ステップS11)。
【0052】解析処理部6が、当該解析結果に基づい
て、第2のコネクションの開設についての情報か否かを
調べる(ステップS12)。当該情報でない場合、ステ
ップS15に進む。なお、このパケットは、フィルタ処
理部10がクライアント1から受け取って中継処理部5
に渡し、更に、中継処理部5が解析処理部6に渡したも
のである。
【0053】当該情報である場合、解析処理部6が、当
該解析結果に基づいて、第2のコネクションにおけるパ
ケットフィルタリングの条件を作成し、動的条件設定処
理部7に条件の設定を依頼する(ステップS13)。
【0054】依頼を受けた動的条件設定処理部7が当該
条件をフィルタ処理部10に設定する(ステップS1
4)。この後、中継処理部5がパケットの中継処理を行
う(図4のステップS7及びS8)。即ち、解析処理部
6が、必要に応じてパケットのデータを書き替えた上
で、当該パケットをフィルタ処理部10に返し、フィル
タ処理部10が当該パケットをサーバ4に送信する。
【0055】ステップS12において第2のコネクショ
ンの開設についての情報でない場合、更に、解析処理部
6が、第2のコネクションの閉塞についての情報か否か
を調べる(ステップS15)。当該情報でない場合、図
4のステップS7に進む。
【0056】当該情報である場合、解析処理部6が、当
該解析結果に基づいて、第2のコネクションにおけるパ
ケットフィルタリングの条件の削除を、動的条件設定処
理部7に依頼し、依頼を受けた動的条件設定処理部7
が、当該条件をフィルタ処理部10から削除する(ステ
ップS16)。
【0057】図6は、クライアント1とサーバ4との間
における通信について、ファイアウォール3が実行する
フィルタリング処理説明図を示す。
【0058】クライアント1からファイアウォール3を
介してサーバ4に対するコネクション(第1のコネクシ
ョン)を張る()。
【0059】クライアント1が、第1のコネクション上
でサーバ4に対する制御用のパケットを送信すると、フ
ァイアウォール3が図3(A)に示す静的フィルタリン
グ条件によりフィルタリングを行い(のa)、当該パ
ケットを通過させるか否かを判断し、条件を満たすパケ
ットであればサーバ4に転送する()。この時、当該
パケットがクライアント1からのものであるので、解析
処理部6が当該パケットを解析する。この結果、第2の
コネクションを開設するための情報が抽出されないの
で、動的条件設定処理部7による動的フィルタリング条
件の設定は行われない。
【0060】パケットを受信したサーバ4が、クライア
ント1に対する応答のパケットを送信すると、ファイア
ウォール3が図3(A)に示す静的フィルタリング条件
の裏返しの条件によりフィルタリングを行い(の
a)、当該パケットを通過させるか否かを判断し、条件
を満たすパケットであればクライアント1に転送する
()。
【0061】クライアント1がサーバ4に対するデータ
転送要求(制御用)のパケットを送信すると、ファイア
ウォール3が図3(A)に示す静的フィルタリング条件
によりフィルタリングを行い(のa)、当該パケット
を通過させるか否かを判断し、条件を満たすパケットで
あればサーバ4に転送する()。この時、当該パケッ
トがクライアント1からのものであるので、解析処理部
6が当該パケットを解析する。この結果、第2のコネク
ションを開設するための情報が抽出されるので、動的条
件設定処理部7により、フィルタ処理部10の動的条件
テーブル11への図3(B)に示す動的フィルタリング
条件の設定が行われる。
【0062】パケットを受信したサーバ4が、第1のコ
ネクションとは別に、当該サーバ4からファイアウォー
ル3を介してクライアント1に対するコネクション(第
2のコネクション)を張る()。
【0063】サーバ4が、クライアント1に対する転送
データのパケットを送信すると、ファイアウォール3が
図3(B)に示す動的フィルタリング条件によりフィル
タリングを行い(のb)、当該パケットを通過させる
か否かを判断し、条件を満たすパケットであればクライ
アント1に転送する()。
【0064】データを受信したクライアント1は、サー
バ4に対するデータ受信完了通知(制御用)のパケット
を送信すると、ファイアウォール3が図3(A)に示す
静的フィルタリング条件によりフィルタリングを行い
(のa)、当該パケットを通過させるか否かを判断
し、条件を満たすパケットであればサーバ4に転送する
()。この時、当該パケットがクライアント1からの
ものであるので、解析処理部6が当該パケットを解析す
る。この結果、第2のコネクションを閉塞するための情
報が抽出されるので、動的条件設定処理部7により、フ
ィルタ処理部10の動的条件テーブル11からの図3
(B)に示す動的フィルタリング条件の削除が行われ
る。
【0065】サーバ4が、当該サーバ4からクライアン
ト1に対するコネクション(第2のコネクション)を切
断する()。
【0066】以上、本発明をその実施の態様により説明
したが、本発明はその主旨の範囲において種々の変形が
可能である。
【0067】例えば、動的フィルタリング条件の作成
は、解析処理部6ではなく、動的条件設定処理部7又は
フィルタ処理部10が行ってもよい。また、解析処理部
6と動的条件設定処理部7とを一体に設けてもよい。
【0068】また、本発明は、FTPに限らず、例えば
telnet等の種々の通信プロトコルに適用すること
ができる。例えば、telnetにおいては、フィルタ
処理部10における静的フィルタリングの後、そのまま
中継処理を行うのではなく、当該パケットを中継モジュ
ール9に送るようにすればよい。
【0069】
【発明の効果】以上説明したように、本発明によれば、
フィルタリング処理装置において、第1のコネクション
においてクライアントからサーバに対して送信されるデ
ータの解析結果に基づいて、第2のコネクションにおい
てサーバからクライアントに対して送信されるデータに
ついてのフィルタリングの条件を動的に設定することに
より、第2のコネクションにおいてサーバからクライア
ントへのデータがどのような条件で送信されるかを予め
知ることができるので、当該送信の条件に合致するサー
バからクライアントへのデータのみがフィルタリング処
理装置を通過するように設定することができ、結果とし
て、第2のコネクションにおいて通過条件を満たさない
データをフィルタリング処理により除去することがで
き、クライアントをフィルタリング処理装置の内側に保
護してそのセキュリティを向上することができる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】フィルタリング処理装置説明図である。
【図3】フィルタリング条件説明図である。
【図4】フィルタリング処理フローチャートである。
【図5】フィルタリング条件設定処理フローチャートで
ある。
【図6】フィルタリング処理説明図である。
【図7】従来技術説明図である。
【符号の説明】
1 クライアント 2 インターネット 3 ファイアウォール 4 サーバ 5 中継処理部 6 解析処理部 7 動的条件設定処理部 8 アドレスポートテーブル 9 中継モジュール 10 フィルタ処理部 11 動的条件テーブル 12 静的条件テーブル
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA11 GA21 HA10 HB04 JA40 KA17 KB13 KC52 KC58 5K030 GA15 HC01 HC14 HD03 HD06 KA07 LA01 LC15 LD20 LE17 MA04 MB00 5K033 AA01 AA03 CB03 CB06 CB08 DA05 DB12 DB14 DB16 DB18 DB20

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 クライアントとサーバとの間に設けら
    れ、これらの間において送受信されるデータのフィルタ
    リングを行うフィルタリング処理装置であって、 前記クライアントから前記サーバに対して送信されるデ
    ータを解析する解析処理部と、 前記解析処理部における解析結果に基づいて、前記サー
    バから前記クライアントに対して送信されるデータにつ
    いてのフィルタリングの条件を設定する動的条件設定処
    理部とを備えることを特徴とするフィルタリング処理装
    置。
  2. 【請求項2】 前記クライアントとサーバとの間におい
    て送受信されるデータはパケットからなることを特徴と
    する請求項1に記載のフィルタリング処理装置。
  3. 【請求項3】 当該フィルタリング処理装置が、更に、 前記動的条件設定処理部により設定された条件に従っ
    て、当該フィルタリング処理装置を通過しようとするデ
    ータについてのフィルタリングを行うフィルタ処理部を
    備えることを特徴とする請求項1に記載のフィルタリン
    グ処理装置。
  4. 【請求項4】 前記解析処理部の解析するデータは、前
    記クライアントからの前記サーバに対する第1のコネク
    ションを介して、前記クライアントから送信されるデー
    タであり、 前記動的条件設定処理部の設定する条件は、前記第1の
    コネクションに対応する前記サーバからの前記クライア
    ントに対する第2のコネクションを介して、前記サーバ
    から送信されるデータについてのフィルタリングの条件
    であることを特徴とする請求項1に記載のフィルタリン
    グ処理装置。
  5. 【請求項5】 前記解析処理部の解析するデータは、前
    記サーバ及びクライアントの間における前記第2のコネ
    クションについての制御情報を含むことを特徴とする請
    求項4に記載のフィルタリング処理装置。
  6. 【請求項6】 前記第2のコネクションについての制御
    情報は、前記第2のコネクションを開設するための制御
    情報であり、 前記第2のコネクションを開設するための制御情報に基
    づいて、前記動的条件設定処理部が前記フィルタリング
    の条件を設定することを特徴とする請求項5に記載のフ
    ィルタリング処理装置。
  7. 【請求項7】 前記第2のコネクションについての制御
    情報は、前記第2のコネクションを閉塞するための制御
    情報であり、 前記第2のコネクションを閉塞するための制御情報に基
    づいて、前記動的条件設定処理部が前記フィルタリング
    の条件を削除することを特徴とする請求項5に記載のフ
    ィルタリング処理装置。
  8. 【請求項8】 前記クライアントからの前記サーバに対
    する第1のコネクションが存在する場合に、 前記解析処理部が、前記クライアントから送信されるデ
    ータを解析し、 前記動的条件設定処理部が、前記解析結果に基づいて、
    前記第1のコネクションに対応する前記サーバからの前
    記クライアントに対する第2のコネクションにおいて前
    記サーバから送信されるデータについてのフィルタリン
    グの条件を設定することを特徴とする請求項1に記載の
    フィルタリング処理装置。
  9. 【請求項9】 前記クライアントからの前記サーバに対
    する第2のコネクションが存在する場合に、 前記解析処理部が、前記クライアントから送信されるデ
    ータを解析し、 前記動的条件設定処理部が、前記解析結果に基づいて、
    前記第2のコネクションにおけるフィルタリングの条件
    を削除することを特徴とする請求項8に記載のフィルタ
    リング処理装置。
  10. 【請求項10】 前記解析処理部が、第2のコネクショ
    ンにおけるフィルタリング以外のフィルタリングについ
    ての条件を備えることを特徴とする請求項1に記載のフ
    ィルタリング処理装置。
  11. 【請求項11】 クライアントと、 サーバと、 前記クライアントとサーバとの間に設けられ、これらの
    間において送受信されるデータのフィルタリングを行う
    フィルタリング処理装置とを備え、 前記フィルタリング処理装置が、 前記クライアントから前記サーバに対して送信されるデ
    ータを解析する解析処理部と、 前記解析処理部における解析結果に基づいて、前記サー
    バから前記クライアントに対して送信されるデータにつ
    いてのフィルタリングの条件を設定する動的条件設定処
    理部と、 前記動的条件設定処理部により設定された条件に従っ
    て、当該フィルタリング処理装置を通過しようとするデ
    ータについてのフィルタリングを行うフィルタ処理部を
    備えることを特徴とするネットワーク。
  12. 【請求項12】 クライアントとサーバとの間において
    送受信されるデータのフィルタリングを行うプログラム
    を格納したコンピュータ読取可能な記憶媒体において、 当該プログラムは、 前記クライアントから前記サーバに対して送信されるデ
    ータを解析する第1のプログラムコードと、 前記解析結果に基づいて、前記サーバから前記クライア
    ントに対して送信されるデータについてのフィルタリン
    グの条件を設定する第2のプログラムコードとを有する
    ことを特徴とするコンピュータ読取可能な記憶媒体。
JP25387199A 1999-09-08 1999-09-08 フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 Pending JP2001077857A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP25387199A JP2001077857A (ja) 1999-09-08 1999-09-08 フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP25387199A JP2001077857A (ja) 1999-09-08 1999-09-08 フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体

Publications (1)

Publication Number Publication Date
JP2001077857A true JP2001077857A (ja) 2001-03-23

Family

ID=17257304

Family Applications (1)

Application Number Title Priority Date Filing Date
JP25387199A Pending JP2001077857A (ja) 1999-09-08 1999-09-08 フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体

Country Status (1)

Country Link
JP (1) JP2001077857A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002103964A1 (en) * 2001-06-18 2002-12-27 Sony Corporation Data transmission apparatus, data transmission method, and data transmission method program
JP2005293246A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp サーバ計算機保護装置及びサーバ計算機保護プログラム
JP2006521776A (ja) * 2003-03-28 2006-09-21 ジュニパー ネットワークス, インコーポレイテッド インテリジェント統合ネットワークセキュリティ装置
US7154890B2 (en) 2001-04-27 2006-12-26 Fujitsu Limited Packet transfer device, semiconductor device, and packet transfer system
JP2007043483A (ja) * 2005-08-03 2007-02-15 Nec Corp 情報処理装置、通信制御方法および通信制御用プログラム
JP2009141450A (ja) * 2007-12-04 2009-06-25 Nec Access Technica Ltd 中継装置、プログラム及び中継方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7154890B2 (en) 2001-04-27 2006-12-26 Fujitsu Limited Packet transfer device, semiconductor device, and packet transfer system
WO2002103964A1 (en) * 2001-06-18 2002-12-27 Sony Corporation Data transmission apparatus, data transmission method, and data transmission method program
US8332948B2 (en) 2002-02-08 2012-12-11 Juniper Networks, Inc. Intelligent integrated network security device
US8726016B2 (en) 2002-02-08 2014-05-13 Juniper Networks, Inc. Intelligent integrated network security device
US9100364B2 (en) 2002-02-08 2015-08-04 Juniper Networks, Inc. Intelligent integrated network security device
JP2006521776A (ja) * 2003-03-28 2006-09-21 ジュニパー ネットワークス, インコーポレイテッド インテリジェント統合ネットワークセキュリティ装置
JP2005293246A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp サーバ計算機保護装置及びサーバ計算機保護プログラム
JP2007043483A (ja) * 2005-08-03 2007-02-15 Nec Corp 情報処理装置、通信制御方法および通信制御用プログラム
JP4507104B2 (ja) * 2005-08-03 2010-07-21 日本電気株式会社 情報処理装置、通信制御方法および通信制御用プログラム
JP2009141450A (ja) * 2007-12-04 2009-06-25 Nec Access Technica Ltd 中継装置、プログラム及び中継方法

Similar Documents

Publication Publication Date Title
US8782260B2 (en) Network access control system and method using adaptive proxies
KR100437169B1 (ko) 네트워크 트래픽 흐름 제어 시스템
US8250214B2 (en) System, method and computer program product for communicating with a private network
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
US6854063B1 (en) Method and apparatus for optimizing firewall processing
US7480707B2 (en) Network communications management system and method
US8149705B2 (en) Packet communications unit
EP2892189A1 (en) System and method for diverting established communication sessions
CN102761534B (zh) 实现媒体接入控制层透明代理的方法和装置
RU2641233C2 (ru) Способ, устройство и машиночитаемый носитель данных для зависящей от приложения фильтрации пакетов протокола передачи файлов
JPH11167537A (ja) ファイアウォールサービス提供方法
JPH11163940A (ja) パケット検証方法
CN110351233A (zh) 一种基于安全隔离网闸的双向透明传输技术
KR101472685B1 (ko) 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템
JP4120415B2 (ja) トラフィック制御計算装置
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
JP4550145B2 (ja) アクセス制御のための方法、装置、およびコンピュータ・プログラム
JP2001077857A (ja) フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体
US20050086325A1 (en) Method and apparatus for network content insertion and phase insertion
JP2003179647A (ja) パケット転送装置およびパケット転送方法
Cisco Configuring IP Services
WO2021135493A1 (zh) 一种家庭网关访问方法、装置、系统处理器及存储介质
Cisco Configuring IP Services
US20040230830A1 (en) Receiver, connection controller, transmitter, method, and program
Cisco Configuring IP Services