JP2001249866A - ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード - Google Patents
ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノードInfo
- Publication number
- JP2001249866A JP2001249866A JP2000059747A JP2000059747A JP2001249866A JP 2001249866 A JP2001249866 A JP 2001249866A JP 2000059747 A JP2000059747 A JP 2000059747A JP 2000059747 A JP2000059747 A JP 2000059747A JP 2001249866 A JP2001249866 A JP 2001249866A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- edge node
- firewall
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 ファィアウォール機能をネットワークにおい
て分散させる。 【解決手段】 ファィアウォール機能をネットワークを
構成する複数のエッジノードへ予め分散させて実現す
る。ファイアウォールサーバの負荷が高くなった場合
に、特定のエッジノードへフィルタリングルールの少な
くとも一部を分配し、特定のエッジノードは分配を受け
たフィルタリングルールを用いてフィルタリング処理を
行うように構成する。
て分散させる。 【解決手段】 ファィアウォール機能をネットワークを
構成する複数のエッジノードへ予め分散させて実現す
る。ファイアウォールサーバの負荷が高くなった場合
に、特定のエッジノードへフィルタリングルールの少な
くとも一部を分配し、特定のエッジノードは分配を受け
たフィルタリングルールを用いてフィルタリング処理を
行うように構成する。
Description
【0001】
【発明の属する技術分野】本発明は、インターネットに
おいてネットワークのセキュリティを高めるための機能
であるファイアウォールを実現するための方式に関す
る。特に、サービスプロバイダが提供するサービスであ
る仮想プライベート網 (VPN: Virtual Private Networ
k)サービスにおいて、企業の私的ネットワークとなるVP
Nをインターネットに接続する際に、VPNのセキュリティ
を保つために必要なファイアウォール機能を有するエッ
ジノード、ファイアウォールサーバ、及びファィアウォ
ール機能を分散させたネットワークに関する。
おいてネットワークのセキュリティを高めるための機能
であるファイアウォールを実現するための方式に関す
る。特に、サービスプロバイダが提供するサービスであ
る仮想プライベート網 (VPN: Virtual Private Networ
k)サービスにおいて、企業の私的ネットワークとなるVP
Nをインターネットに接続する際に、VPNのセキュリティ
を保つために必要なファイアウォール機能を有するエッ
ジノード、ファイアウォールサーバ、及びファィアウォ
ール機能を分散させたネットワークに関する。
【0002】近年、企業の事業所が各地に分散してきて
おり、企業にとっては離れた事業所間をつなぐネットワ
ークがほしいという要求がある。このとき、公衆のネッ
トワークを利用して、仮想的な企業の私的ネットワーク
をVPNとして、サービスプロバイダが提供するのがVPNサ
ービスである。このVPNをインターネットと接続する際
に、VPNに侵入しようとするなどの不正なアクセスを防
ぐために、ファイアウォール機能を提供する必要があ
る。
おり、企業にとっては離れた事業所間をつなぐネットワ
ークがほしいという要求がある。このとき、公衆のネッ
トワークを利用して、仮想的な企業の私的ネットワーク
をVPNとして、サービスプロバイダが提供するのがVPNサ
ービスである。このVPNをインターネットと接続する際
に、VPNに侵入しようとするなどの不正なアクセスを防
ぐために、ファイアウォール機能を提供する必要があ
る。
【0003】
【従来の技術】図6は、従来におけるファイアウォール
機能を有するネットワークを示す図である。
機能を有するネットワークを示す図である。
【0004】図6において、100は複数のノードから構
成されるサービスプロバイダのネットワークであり、説
明に必要な主なノートだけを示している。ネットワーク
100は、エッジノード40、50を介して他のサービ
スプロバイダの網であるインターネット200へ接続さ
れる。サービスプロバイダのネットワーク100は、A社
の事業所1と事業所2にVPN1を、B社の事業所1と事業所2
にVPN2をそれぞれ提供する。
成されるサービスプロバイダのネットワークであり、説
明に必要な主なノートだけを示している。ネットワーク
100は、エッジノード40、50を介して他のサービ
スプロバイダの網であるインターネット200へ接続さ
れる。サービスプロバイダのネットワーク100は、A社
の事業所1と事業所2にVPN1を、B社の事業所1と事業所2
にVPN2をそれぞれ提供する。
【0005】ファイアウォールサーバ60は、VPN1
とVPN2への不正アクセスを防止するためにVPN1
とVPN2に対して共通に設けられ、ここで集中的にフ
ァイアウォールの処理を行う。VPN1又はVPN2に
収容される端末とインターネット200の間でやり取り
されるパケットはすべてファイアウォールサーバ60を
経由する。ファイアウォールサーバ60は、入力パケッ
トに対してフィルタリング機能を実行する。パケットフ
ィルタリング機能は、パケットごとにパケットのヘッダ
情報を参照して、あらかじめ設定されたパケットフィル
タリングルールに基づいて、パケットを許可して転送す
るか、拒否して廃棄するかを決める機能である。ヘッダ
情報は、送信元/宛先のIPアドレス、送信元/宛先の
TCP/UDPポート番号などを参照する。
とVPN2への不正アクセスを防止するためにVPN1
とVPN2に対して共通に設けられ、ここで集中的にフ
ァイアウォールの処理を行う。VPN1又はVPN2に
収容される端末とインターネット200の間でやり取り
されるパケットはすべてファイアウォールサーバ60を
経由する。ファイアウォールサーバ60は、入力パケッ
トに対してフィルタリング機能を実行する。パケットフ
ィルタリング機能は、パケットごとにパケットのヘッダ
情報を参照して、あらかじめ設定されたパケットフィル
タリングルールに基づいて、パケットを許可して転送す
るか、拒否して廃棄するかを決める機能である。ヘッダ
情報は、送信元/宛先のIPアドレス、送信元/宛先の
TCP/UDPポート番号などを参照する。
【0006】ファイアウォールサーバ60は、A社のV
PN1パケットフィルタリングルール71とB社のVP
N2に対するパケットフィルタリングルール72を有し
ている。パケットフィルタリングルール71、72は、
パケットのヘッダ情報を特定し、そのヘッダ情報を持つ
パケットを許可するか拒否するかを順番に記述したもの
である。aは送信元IPアドレス、bは宛先IPアドレ
ス、cは送信元ポート番号、dは宛先ポート番号、eは
許可/許否の処理内容を示している。尚、B社のルール
の詳細は省略している。
PN1パケットフィルタリングルール71とB社のVP
N2に対するパケットフィルタリングルール72を有し
ている。パケットフィルタリングルール71、72は、
パケットのヘッダ情報を特定し、そのヘッダ情報を持つ
パケットを許可するか拒否するかを順番に記述したもの
である。aは送信元IPアドレス、bは宛先IPアドレ
ス、cは送信元ポート番号、dは宛先ポート番号、eは
許可/許否の処理内容を示している。尚、B社のルール
の詳細は省略している。
【0007】A社のパケットフィルタリングルール71
は、VPN1からインターネット200へ向かう(OU
T方向)パケットに対して、送信元IPアドレスがホス
トH1のIPパケットは拒否し、それ以外のパケットは
許可する。また、インターネット200からVPN1へ
向かう(IN方向)パケットに対して、宛先IPアドレ
スがホストH2かつ宛先ポート番号80のパケットは許
可し、それ以外は拒否する。このパケットフィルタリン
グ機能により、VPN1に対する不正なアクセスを防ぐ
ことができる。
は、VPN1からインターネット200へ向かう(OU
T方向)パケットに対して、送信元IPアドレスがホス
トH1のIPパケットは拒否し、それ以外のパケットは
許可する。また、インターネット200からVPN1へ
向かう(IN方向)パケットに対して、宛先IPアドレ
スがホストH2かつ宛先ポート番号80のパケットは許
可し、それ以外は拒否する。このパケットフィルタリン
グ機能により、VPN1に対する不正なアクセスを防ぐ
ことができる。
【0008】
【発明が解決しようとする課題】従来の技術では、ファ
イアウォールサーバ60でVPN1及びVPN2に対す
るIPパケットのフィルタリング処理を集中的に行うた
め、ファイアウォールサーバ60には大量のパケットを
高速に処理することが要求される。
イアウォールサーバ60でVPN1及びVPN2に対す
るIPパケットのフィルタリング処理を集中的に行うた
め、ファイアウォールサーバ60には大量のパケットを
高速に処理することが要求される。
【0009】しかし、ファイアウォールサーバ60の処
理にも限界があるため、過度のパケットが送られて来た
り、パケットフィルタリング機能によって多くのパケッ
トが廃棄されたりして、負荷が高くなると処理が追いつ
かなくなり、最悪の場合にはファイアウォールサーバ6
0がダウンしてサービスが停止してしまう可能性もあ
る。
理にも限界があるため、過度のパケットが送られて来た
り、パケットフィルタリング機能によって多くのパケッ
トが廃棄されたりして、負荷が高くなると処理が追いつ
かなくなり、最悪の場合にはファイアウォールサーバ6
0がダウンしてサービスが停止してしまう可能性もあ
る。
【0010】また、パケットフィルタリング機能によっ
て廃棄されるパケットが多くなる結果、サービスプロバ
イダのネットワーク100内に不要なパケットが多くな
るという問題も生じる。
て廃棄されるパケットが多くなる結果、サービスプロバ
イダのネットワーク100内に不要なパケットが多くな
るという問題も生じる。
【0011】本発明は、このような問題点に鑑みてなさ
れたものであり、パケットのフィルタリング機能の負荷
分散を実現することを目的とする。更に、ファイアウォ
ールサーバの負荷が高くなった場合にエッジノードへフ
ァイアウォール機能の負荷を分散できることを目的とす
る。
れたものであり、パケットのフィルタリング機能の負荷
分散を実現することを目的とする。更に、ファイアウォ
ールサーバの負荷が高くなった場合にエッジノードへフ
ァイアウォール機能の負荷を分散できることを目的とす
る。
【0012】
【課題を解決するための手段】本発明のネットワークで
は、ファイアウォール機能をネットワークの複数のエッ
ジノードへ静的に分散する。すなわち、インターネット
と接続されるエッジノード又は仮想プライベート網を収
容するエッジノードのうちの複数のエッジノードが、仮
想プライベート網に収容される端末からインターネット
へ向かうパケットの転送の許否、又はインターネットか
ら仮想プライベート網に収容される端末へ向かうパケッ
トの転送の許否をフィルタリングルールに基づいて制御
するファィアウォール機能を有する。
は、ファイアウォール機能をネットワークの複数のエッ
ジノードへ静的に分散する。すなわち、インターネット
と接続されるエッジノード又は仮想プライベート網を収
容するエッジノードのうちの複数のエッジノードが、仮
想プライベート網に収容される端末からインターネット
へ向かうパケットの転送の許否、又はインターネットか
ら仮想プライベート網に収容される端末へ向かうパケッ
トの転送の許否をフィルタリングルールに基づいて制御
するファィアウォール機能を有する。
【0013】また、本発明のネットワークでは、ファィ
アウォール機能をネットワークのエッシノードに動的に
分散する。すなわち、本発明のファイアウォールサーバ
は、所定の条件が発生したときに、ネットワークを構成
する複数のエッジノードのうちの少なくとも1つのエッ
ジノードへ、フィルタリングルールの少なくとも一部を
分散させる機能を有する。ファィアウォールサーバは、
負荷を高くしているパケットを送ってくるエッジノード
を特定できる場合には、このエッジノードへフィルタリ
ングルールの少なくとも一部を分配させるように構成す
る。また、ファィアウォールサーバは、負荷を高くする
フィルタリングルールを特定できる場合には、フィルタ
リングルールとの関係で決定されるエッジノードへフィ
ルタリングルールを分配させるように構成してもよい。
本発明のエッジノードは、ファイアウォールサーバから
フィルタリングルールを受け取り、受け取ったフィルタ
リングルールに基づいて、仮想プライベート網に収容さ
れる端末からのインターネットへのパケット転送の許
否、又はインターネットから仮想プライベート網に収容
される端末へのパケット転送の許否を制御するファィア
ウォール機能を有する。また、本発明のエッジノード
は、ファイアウォールサーバに設定されるフィルタリン
グルールと同じフィルタリングルールを、機能の有効の
有無を示す情報と共に予め記憶し、ファィアウォールサ
ーバから分配されるフィルタリングルールを特定するた
めの情報を受けてその機能を有効とし、機能が有効を示
すフィルタリングルールに基づいてアクセスの許否を制
御するファィアウォール機能を有する構成としてもよ
い。
アウォール機能をネットワークのエッシノードに動的に
分散する。すなわち、本発明のファイアウォールサーバ
は、所定の条件が発生したときに、ネットワークを構成
する複数のエッジノードのうちの少なくとも1つのエッ
ジノードへ、フィルタリングルールの少なくとも一部を
分散させる機能を有する。ファィアウォールサーバは、
負荷を高くしているパケットを送ってくるエッジノード
を特定できる場合には、このエッジノードへフィルタリ
ングルールの少なくとも一部を分配させるように構成す
る。また、ファィアウォールサーバは、負荷を高くする
フィルタリングルールを特定できる場合には、フィルタ
リングルールとの関係で決定されるエッジノードへフィ
ルタリングルールを分配させるように構成してもよい。
本発明のエッジノードは、ファイアウォールサーバから
フィルタリングルールを受け取り、受け取ったフィルタ
リングルールに基づいて、仮想プライベート網に収容さ
れる端末からのインターネットへのパケット転送の許
否、又はインターネットから仮想プライベート網に収容
される端末へのパケット転送の許否を制御するファィア
ウォール機能を有する。また、本発明のエッジノード
は、ファイアウォールサーバに設定されるフィルタリン
グルールと同じフィルタリングルールを、機能の有効の
有無を示す情報と共に予め記憶し、ファィアウォールサ
ーバから分配されるフィルタリングルールを特定するた
めの情報を受けてその機能を有効とし、機能が有効を示
すフィルタリングルールに基づいてアクセスの許否を制
御するファィアウォール機能を有する構成としてもよ
い。
【0014】更に、パケットフィルタリングルールの分
配によって、すべてのパケットフィルタリングルールが
分配されたエッジノードを通過したパケットは、ファイ
アウォールサーバの処理を不要とさせるために、ファイ
アウォールサーバの処理を必要としないパケットに対し
てマーキングする構成としてもよいし、あるいはファイ
アウォールサーバの処理を必要としないパケットを直接
エッジノードへ転送する構成としてもよい。
配によって、すべてのパケットフィルタリングルールが
分配されたエッジノードを通過したパケットは、ファイ
アウォールサーバの処理を不要とさせるために、ファイ
アウォールサーバの処理を必要としないパケットに対し
てマーキングする構成としてもよいし、あるいはファイ
アウォールサーバの処理を必要としないパケットを直接
エッジノードへ転送する構成としてもよい。
【0015】また更に、本発明におけるファィアウォー
ルサーバと、インターネットに接続される第1のエッジ
ノードと、及び仮想プライベート網を構成する第2のエ
ッジノードの有するテーブルは、各フィルタリングルー
ルと複数のVPNを識別するためのVPN−IDと対応
させて設定される。
ルサーバと、インターネットに接続される第1のエッジ
ノードと、及び仮想プライベート網を構成する第2のエ
ッジノードの有するテーブルは、各フィルタリングルー
ルと複数のVPNを識別するためのVPN−IDと対応
させて設定される。
【0016】
【作用】本発明のネットワークにファイアウォール機能
を静的に分散する方式では、各エッジノードが、仮想プ
ライベート網に収容される端末からインターネットへ向
かうパケットの転送の許否、又はインターネットから仮
想プライベート網に収容される端末へ向かうパケットの
転送の許否を行う。
を静的に分散する方式では、各エッジノードが、仮想プ
ライベート網に収容される端末からインターネットへ向
かうパケットの転送の許否、又はインターネットから仮
想プライベート網に収容される端末へ向かうパケットの
転送の許否を行う。
【0017】また、本発明のネットワークにファイアウ
ォール機能を動的に分散する方式では、ファイアウォー
ルサーバのフィルタリング処理の負荷が所定の条件を超
えると、特定のエッジノードへフィルタリング機能を分
散させる。この特定のエッジノードは、ファィアウォー
ルサーバから分散されたフィルタリングルールを受け取
ると、その後、受け取ったルールを用いて、仮想プライ
ベート網に収容される端末からインターネットへ向かう
パケットの転送の許否、又はインターネットから仮想プ
ライベート網に収容される端末へ向かうパケットの転送
の許否を行う。エッジノードにおいてすべてのルールに
ついてフィルタリング処理がなされたパケットを、ファ
ィアウォールサーバはマーキングにより識別してフィル
タリング処理を不要とする。また、ファイアウォールサ
ーバの処理を必要としないパケットは、ファィアウォー
ルサーバを経由することなく、直接エッジノードへ転送
される。
ォール機能を動的に分散する方式では、ファイアウォー
ルサーバのフィルタリング処理の負荷が所定の条件を超
えると、特定のエッジノードへフィルタリング機能を分
散させる。この特定のエッジノードは、ファィアウォー
ルサーバから分散されたフィルタリングルールを受け取
ると、その後、受け取ったルールを用いて、仮想プライ
ベート網に収容される端末からインターネットへ向かう
パケットの転送の許否、又はインターネットから仮想プ
ライベート網に収容される端末へ向かうパケットの転送
の許否を行う。エッジノードにおいてすべてのルールに
ついてフィルタリング処理がなされたパケットを、ファ
ィアウォールサーバはマーキングにより識別してフィル
タリング処理を不要とする。また、ファイアウォールサ
ーバの処理を必要としないパケットは、ファィアウォー
ルサーバを経由することなく、直接エッジノードへ転送
される。
【0018】
【発明の実施の形態】本発明の実施例として、ファィア
ウォール機能を複数のエッジノードに予め静的に分散す
る方式と、ファイアウォールサーバの負荷に応じてファ
ィアウォール機能をエッジノードへ動的に分散する方式
とを示す。
ウォール機能を複数のエッジノードに予め静的に分散す
る方式と、ファイアウォールサーバの負荷に応じてファ
ィアウォール機能をエッジノードへ動的に分散する方式
とを示す。
【0019】図1はファイアウォール機能を静的に分散
する方式の実施例である。図1において、図6と同じも
のは同一の符号が付してあるが、各エッジノード10〜
50はファイアウォール機能を有しているノードである
点で従来のものと異なる。ネットワーク100はコネク
ションを設定することができるネットワークであり、例
えばフレームリレー網のDLCI、ATM網のVC、M
PLSのラベル等を用いてVPN毎に論理的なコネクシ
ョンを設定できるものである。各エッジノード10〜5
0は、ネットワーク100がフレームリレー網で構成さ
れる場合にはIPパケット処理機能を有するフレームリ
レー交換機であり、ATM網で構成される場合にはIP
パケット処理機能を有するATM交換機であり、MPL
Sで構成される場合にはIPパケット処理機能を有する
ラベル交換機である。
する方式の実施例である。図1において、図6と同じも
のは同一の符号が付してあるが、各エッジノード10〜
50はファイアウォール機能を有しているノードである
点で従来のものと異なる。ネットワーク100はコネク
ションを設定することができるネットワークであり、例
えばフレームリレー網のDLCI、ATM網のVC、M
PLSのラベル等を用いてVPN毎に論理的なコネクシ
ョンを設定できるものである。各エッジノード10〜5
0は、ネットワーク100がフレームリレー網で構成さ
れる場合にはIPパケット処理機能を有するフレームリ
レー交換機であり、ATM網で構成される場合にはIP
パケット処理機能を有するATM交換機であり、MPL
Sで構成される場合にはIPパケット処理機能を有する
ラベル交換機である。
【0020】図1では、VPN1,VPN2からインタ
ーネット200へ向かう(OUT方向)パケットに対す
るルールを、対応する事業所と接続されている各エッジ
ノード10〜30へ予め設定する。また、インターネッ
ト200から各VPN1、VPN2へ向かう(IN方
向)パケットに対するルールを、インターネット200
と接続されているエッジノード40、50へ予め設定す
る。
ーネット200へ向かう(OUT方向)パケットに対す
るルールを、対応する事業所と接続されている各エッジ
ノード10〜30へ予め設定する。また、インターネッ
ト200から各VPN1、VPN2へ向かう(IN方
向)パケットに対するルールを、インターネット200
と接続されているエッジノード40、50へ予め設定す
る。
【0021】具体的には、インターネット200へ接続
されるエッジノード40、50は、A社とB社のIN方
向のパケットフィルタリングルール81を有しており、
これを用いながらインターネット200からVPN1又
はVPN2へ向かうパケットのフィルタリング処理を行
う。また、A社の事業所1を収容するエッジノード10
はA社のOUT方向のパケットフィルタリングルール8
2を、B社の事業所2を収容するエッジノード30はB
社のOUT方向のパケットフィルタリングルール84
を、A社の事業所2とB社の事業所1の双方を収容する
エッジノード20はA社とB社のOUT方向のフィルタ
リングルール83をそれぞれ有しており、これらを用い
ながらVPN1又はVPN2からインターネット200
へ向かうパケットのフィルタリング処理を行う。
されるエッジノード40、50は、A社とB社のIN方
向のパケットフィルタリングルール81を有しており、
これを用いながらインターネット200からVPN1又
はVPN2へ向かうパケットのフィルタリング処理を行
う。また、A社の事業所1を収容するエッジノード10
はA社のOUT方向のパケットフィルタリングルール8
2を、B社の事業所2を収容するエッジノード30はB
社のOUT方向のパケットフィルタリングルール84
を、A社の事業所2とB社の事業所1の双方を収容する
エッジノード20はA社とB社のOUT方向のフィルタ
リングルール83をそれぞれ有しており、これらを用い
ながらVPN1又はVPN2からインターネット200
へ向かうパケットのフィルタリング処理を行う。
【0022】このように、IN方向のフィルタリング機
能をインターネット200と接続されるエッジノードへ
分配しているため、フィルタリングルールにより廃棄さ
れるようなパケットがネットワーク100に入ることを
予め防ぐことができる。また、OUT方向のフィルタリ
ング機能を各企業の事業所を収容するエッジノードへ分
配しているため、フィルタリングルールにより廃棄され
るようなパケットがVPNからネットワーク100に出
ることを予め防ぐことができる。この結果、ネットワー
ク100においてフィルタリング機能を効果的に分散さ
せることができ、ひいてはパケットの廃棄、パケットフ
ィルタリング機能のダウン等の問題を少なくすることが
できる。
能をインターネット200と接続されるエッジノードへ
分配しているため、フィルタリングルールにより廃棄さ
れるようなパケットがネットワーク100に入ることを
予め防ぐことができる。また、OUT方向のフィルタリ
ング機能を各企業の事業所を収容するエッジノードへ分
配しているため、フィルタリングルールにより廃棄され
るようなパケットがVPNからネットワーク100に出
ることを予め防ぐことができる。この結果、ネットワー
ク100においてフィルタリング機能を効果的に分散さ
せることができ、ひいてはパケットの廃棄、パケットフ
ィルタリング機能のダウン等の問題を少なくすることが
できる。
【0023】図2はファイアウォール機能を動的に分散
する方式の第一の実施例である。図2において、図6と
同じものは同一の符号が付してあるが、エッジノード1
0〜50は、後述するようなファイアウォール機能を有
するノードである点で図1、図6のものと異なり、ファ
イアウォールサーバ60は、後述するようなフィルタリ
ングルール分散機能を有するサーバである点で図6のも
のと異なる。エッジノード10〜50には、最初はパケ
ットフィルタリングルールは設定されておらず、所定の
条件になったときにファイアウォールサーバ60が特定
のエッジノードにルールを渡すことで、ファイアウォー
ル機能をエッジノードへ分散する。この所定の条件とし
てはサーバの負荷が高くなった場合が考えられる。サー
バの負荷を示す指標パラメータとしては、単位時間あた
りに入力するデータ量またはパケット数、単位時間あた
りに廃棄されるパケット数、あるルールにより廃棄され
るパケット数、あるエッジノードから転送されて廃棄さ
れるパケット数等が考えられ、これらの値があるしきい
値を超えた場合にサーバの負荷が高くなったと判断す
る。
する方式の第一の実施例である。図2において、図6と
同じものは同一の符号が付してあるが、エッジノード1
0〜50は、後述するようなファイアウォール機能を有
するノードである点で図1、図6のものと異なり、ファ
イアウォールサーバ60は、後述するようなフィルタリ
ングルール分散機能を有するサーバである点で図6のも
のと異なる。エッジノード10〜50には、最初はパケ
ットフィルタリングルールは設定されておらず、所定の
条件になったときにファイアウォールサーバ60が特定
のエッジノードにルールを渡すことで、ファイアウォー
ル機能をエッジノードへ分散する。この所定の条件とし
てはサーバの負荷が高くなった場合が考えられる。サー
バの負荷を示す指標パラメータとしては、単位時間あた
りに入力するデータ量またはパケット数、単位時間あた
りに廃棄されるパケット数、あるルールにより廃棄され
るパケット数、あるエッジノードから転送されて廃棄さ
れるパケット数等が考えられ、これらの値があるしきい
値を超えた場合にサーバの負荷が高くなったと判断す
る。
【0024】図3は、ファイアウォール機能を動的に分
散する方式の第二の実施例である。エッジノード10〜
50は、ファイアウォールサーバ60が有するパケット
フィルタリングルールと同じものを予めコピーして持っ
ている点で、図2のものと異なる。エッジノード10〜
50のパケットフィルタリングルールの機能は最初は無
効となっている。ファイアウォール60は、各エッジノ
ードと同じように、ネットワーク100がフレームリレ
ー網で構成される場合にはIPパケット処理機能を有す
るフレームリレー交換機であり、ATM網で構成される
場合にはIPパケット処理機能を有するATM交換機で
あり、MPLSで構成される場合にはIPパケット処理
機能を有するラベル交換機である。ファィアウォールサ
ーバ60は、図2で説明したような所定の条件になった
ときにファイアウォールサーバ60から特定のルールを
有効にさせる指示をエッジノードへ送る。エッジノード
は、この指示を受けて初めて当該ルールに関するファィ
アウォール機能を有効とする。
散する方式の第二の実施例である。エッジノード10〜
50は、ファイアウォールサーバ60が有するパケット
フィルタリングルールと同じものを予めコピーして持っ
ている点で、図2のものと異なる。エッジノード10〜
50のパケットフィルタリングルールの機能は最初は無
効となっている。ファイアウォール60は、各エッジノ
ードと同じように、ネットワーク100がフレームリレ
ー網で構成される場合にはIPパケット処理機能を有す
るフレームリレー交換機であり、ATM網で構成される
場合にはIPパケット処理機能を有するATM交換機で
あり、MPLSで構成される場合にはIPパケット処理
機能を有するラベル交換機である。ファィアウォールサ
ーバ60は、図2で説明したような所定の条件になった
ときにファイアウォールサーバ60から特定のルールを
有効にさせる指示をエッジノードへ送る。エッジノード
は、この指示を受けて初めて当該ルールに関するファィ
アウォール機能を有効とする。
【0025】尚、図2、3のフィルタリングルールのテ
ーブル91〜96は、複数のVPNを識別するためのV
PN−IDを有している。このため、ファイアウォール
サーバや各エッジノードでVPNごとに異なるパケット
フィルタリングルールを1つのテーブル上に設定するこ
とが可能になる。ネットワーク100の外側から入って
くるパケット、すなわちエッジノート10〜30が各事
業所から受信するパケットに対してはコネクション又は
ポート番号を識別してVPN−IDを取得する。また、
ファィアウォールサーバ60は、ネットワーク100内
を通ってきたパケットに対してパケットに記された識別
子(例えば、ATMセルのVPI/VCIやMPLSのラ
ベルなどの一部または全部)によって直接または間接的
にVPN−IDを取得する。
ーブル91〜96は、複数のVPNを識別するためのV
PN−IDを有している。このため、ファイアウォール
サーバや各エッジノードでVPNごとに異なるパケット
フィルタリングルールを1つのテーブル上に設定するこ
とが可能になる。ネットワーク100の外側から入って
くるパケット、すなわちエッジノート10〜30が各事
業所から受信するパケットに対してはコネクション又は
ポート番号を識別してVPN−IDを取得する。また、
ファィアウォールサーバ60は、ネットワーク100内
を通ってきたパケットに対してパケットに記された識別
子(例えば、ATMセルのVPI/VCIやMPLSのラ
ベルなどの一部または全部)によって直接または間接的
にVPN−IDを取得する。
【0026】次に、図2,3におけるファイアウォール
サーバの分散処理フローの例を2つ示す。
サーバの分散処理フローの例を2つ示す。
【0027】図4は、ファイアウォールサーバの分散処
理フローの第一の実施例であり、単位時間あたりに入力
するパケット数を負荷の指標パラメータとしたときに一
定時間毎に行う処理内容の例を示している。ファイアウ
ォールサーバ60は、各ポートから入力してくるパケッ
ト数を測定している(ステップ11)。入力パケット数
がしきい値に達した場合(ステップ12でYes)、サ
ーバが過負荷状態であると判断してフィルタリングルー
ルの分配を行う。分配すべきルールを決定するため、パ
ケットを多く送ってきて負荷を大きくしているエッジノ
ードを特定できるかを調べる(ステップ13)。例え
ば、パケットが多く入力してくるポートを使用している
コネクションがある場合には、当該コネクションの相手
先であるエッジノートを特定することができる。このコ
ネクションは、ネットワーク100がフレームリレー網
のときはDLCI、ATM網のときはVPI及び又はV
CI、ラベル網のときはラベルである。もしエッジノー
ドを特定できる場合には、その特定されたエッジノード
と対応するルールを決定(ステップ14)して、エッジ
ノードへルールを分配する(ステップ17)。他方、パ
ケットを多く送ってくるエッジノードが特定できない場
合(ステップ13でNo)には、次に、送信元が特定可
能なルールがあるか否かを判断する(ステップ15)。
送信元が特定できる場合(ステップ15でYES)に
は、その送信元が特定可能なルールと対応するエッジノ
ードへ分散することを決定(ステップ16)し、エッジ
ノードへ分配を実行する(ステップ17)。送信元が特
定できない場合(ステップ15でNO)には、ルールの
分配は行わない。
理フローの第一の実施例であり、単位時間あたりに入力
するパケット数を負荷の指標パラメータとしたときに一
定時間毎に行う処理内容の例を示している。ファイアウ
ォールサーバ60は、各ポートから入力してくるパケッ
ト数を測定している(ステップ11)。入力パケット数
がしきい値に達した場合(ステップ12でYes)、サ
ーバが過負荷状態であると判断してフィルタリングルー
ルの分配を行う。分配すべきルールを決定するため、パ
ケットを多く送ってきて負荷を大きくしているエッジノ
ードを特定できるかを調べる(ステップ13)。例え
ば、パケットが多く入力してくるポートを使用している
コネクションがある場合には、当該コネクションの相手
先であるエッジノートを特定することができる。このコ
ネクションは、ネットワーク100がフレームリレー網
のときはDLCI、ATM網のときはVPI及び又はV
CI、ラベル網のときはラベルである。もしエッジノー
ドを特定できる場合には、その特定されたエッジノード
と対応するルールを決定(ステップ14)して、エッジ
ノードへルールを分配する(ステップ17)。他方、パ
ケットを多く送ってくるエッジノードが特定できない場
合(ステップ13でNo)には、次に、送信元が特定可
能なルールがあるか否かを判断する(ステップ15)。
送信元が特定できる場合(ステップ15でYES)に
は、その送信元が特定可能なルールと対応するエッジノ
ードへ分散することを決定(ステップ16)し、エッジ
ノードへ分配を実行する(ステップ17)。送信元が特
定できない場合(ステップ15でNO)には、ルールの
分配は行わない。
【0028】図5は、ファイアウォールサーバ60の分
散処理フローの第二の実施例であり、あるルールによっ
て廃棄されるパケット数を負荷の指標パラメータとした
ときの例を示している。ファイアウォールサーバ60
は、一定時間ごとに各ルールごとの廃棄パケット数を測
定する(ステップ21)。あるルールによって廃棄され
るパケット数がしきい値を超えるルールがある場合(ス
テップ22でYES)には、廃棄パケット数がしきい値
を超えたルールと対応するエッジノードを決定し(ステ
ップ23)、そのルールを対応するエッジノードに分配
する(ステップ24)。
散処理フローの第二の実施例であり、あるルールによっ
て廃棄されるパケット数を負荷の指標パラメータとした
ときの例を示している。ファイアウォールサーバ60
は、一定時間ごとに各ルールごとの廃棄パケット数を測
定する(ステップ21)。あるルールによって廃棄され
るパケット数がしきい値を超えるルールがある場合(ス
テップ22でYES)には、廃棄パケット数がしきい値
を超えたルールと対応するエッジノードを決定し(ステ
ップ23)、そのルールを対応するエッジノードに分配
する(ステップ24)。
【0029】以下、図2〜5を用いながら本発明の実施
例の動作を説明する。
例の動作を説明する。
【0030】図2は、ファイアウォールサーバ60の負
荷を高くしているパケットをエッジノード40が送り、
エッジノード40が特定できる場合を示している。ファ
イアウォールサーバ60が図4に示すソフトを持ってい
る場合、パケットを多く送っているエッジノード40を
特定し(図4のステップ13)、IN方向のすべてのル
ールをエッジノード40へ分配することを決定する(図
4のステップ14)。そして、IN方向のルールすべて
をコピーし、特殊パケットを用いてエッジノード40に
対してルールを分配する(図4のステップ17)。エッ
ジノード40はルールを受信すると、内部のメモリにル
ールを書き込んで保持する。その後、エッジノード40
はパケット受信時にメモリ内のルールを参照してパケッ
トのヘッタ情報と一致するルールの検索を行い、その結
果でパケットを転送するか廃棄するかを決定する。パケ
ットを転送する場合には、パケットのヘッダ内にVPN
−IDを挿入する。エッジノード40からパケットの転
送を受けたファイアウォールサーバ60は、VPN−I
Dとパケットのヘッタ情報(送信元IPアドレス、宛て
先IPアドレス、送信元ポート番号、宛先ポート番号)
に基づいてフィルタリング処理を行う。
荷を高くしているパケットをエッジノード40が送り、
エッジノード40が特定できる場合を示している。ファ
イアウォールサーバ60が図4に示すソフトを持ってい
る場合、パケットを多く送っているエッジノード40を
特定し(図4のステップ13)、IN方向のすべてのル
ールをエッジノード40へ分配することを決定する(図
4のステップ14)。そして、IN方向のルールすべて
をコピーし、特殊パケットを用いてエッジノード40に
対してルールを分配する(図4のステップ17)。エッ
ジノード40はルールを受信すると、内部のメモリにル
ールを書き込んで保持する。その後、エッジノード40
はパケット受信時にメモリ内のルールを参照してパケッ
トのヘッタ情報と一致するルールの検索を行い、その結
果でパケットを転送するか廃棄するかを決定する。パケ
ットを転送する場合には、パケットのヘッダ内にVPN
−IDを挿入する。エッジノード40からパケットの転
送を受けたファイアウォールサーバ60は、VPN−I
Dとパケットのヘッタ情報(送信元IPアドレス、宛て
先IPアドレス、送信元ポート番号、宛先ポート番号)
に基づいてフィルタリング処理を行う。
【0031】また、図2のようにVPN1のIN方向の
フィルタリングルールすべてをエッジノードで処理する
場合には、エッジノードにフィルタリング処理がすべて
完了していることを示すビットをパケットにマーキング
させるようにし、ファィアウォールサーバ60ではこの
マーキングを検出してフィルタリング処理を行わず、パ
ケットを転送するようにしてもよい。更には、図2のよ
うにVPN1のIN方向のフィルタリングルールすべて
をエッジノードで処理する場合には、ファィアウォール
サーバ60を経由させる必要がないため、エッジノード
40からVPN1内のいずれかのノード(もちろんエッ
ジノード10、20であってもよい)へのダイレクトな
コネクションを使ってパケットを転送するようにしても
よい。
フィルタリングルールすべてをエッジノードで処理する
場合には、エッジノードにフィルタリング処理がすべて
完了していることを示すビットをパケットにマーキング
させるようにし、ファィアウォールサーバ60ではこの
マーキングを検出してフィルタリング処理を行わず、パ
ケットを転送するようにしてもよい。更には、図2のよ
うにVPN1のIN方向のフィルタリングルールすべて
をエッジノードで処理する場合には、ファィアウォール
サーバ60を経由させる必要がないため、エッジノード
40からVPN1内のいずれかのノード(もちろんエッ
ジノード10、20であってもよい)へのダイレクトな
コネクションを使ってパケットを転送するようにしても
よい。
【0032】尚、インターネット200からエッジノー
ド50を介してネットワーク100へ入力してくるパケ
ットについては、従来どおりファイアウォールサーバ6
0にてファイアウォール処理がなされる。
ド50を介してネットワーク100へ入力してくるパケ
ットについては、従来どおりファイアウォールサーバ6
0にてファイアウォール処理がなされる。
【0033】図3は、ホストH1からのインターネット
200へ向かうパケットが多い場合を示している。ファ
イアウォールサーバ60が図5に示すソフトを持ってい
る場合、パケットの廃棄数がしきい値を超えると(図5
のステップ22でYES)、廃棄パケット数がしきい値
を超えたルール(「送信元アドレスがH1で許否」)を
特定し、これに対応するエッジノードを決定する(図5
のステップ23)。このエッジノード決定に際して、フ
ァイアウォールサーバ60は、各企業の端末がどのエッ
ジノードに収容されるのかを示す図示省略のテーブルを
使用する。エッジノード10がホストH1の端末を収容
していると判明すると、ファイアウォールサーバ60は
エッジノード10へ該当ルールを分配するために、該当
ルールを有効にさせる指示を指示パケットで送る(図5
のステップ24)。エッジノード10は指示パケットを
受信すると、パケットフィルタリングテーブルにおける
該当ルールの機能を有効とする。その結果、ホストH1
からインターネット200へ向かうパケットは、その後
エッジノード10でフィルタリング処理される。
200へ向かうパケットが多い場合を示している。ファ
イアウォールサーバ60が図5に示すソフトを持ってい
る場合、パケットの廃棄数がしきい値を超えると(図5
のステップ22でYES)、廃棄パケット数がしきい値
を超えたルール(「送信元アドレスがH1で許否」)を
特定し、これに対応するエッジノードを決定する(図5
のステップ23)。このエッジノード決定に際して、フ
ァイアウォールサーバ60は、各企業の端末がどのエッ
ジノードに収容されるのかを示す図示省略のテーブルを
使用する。エッジノード10がホストH1の端末を収容
していると判明すると、ファイアウォールサーバ60は
エッジノード10へ該当ルールを分配するために、該当
ルールを有効にさせる指示を指示パケットで送る(図5
のステップ24)。エッジノード10は指示パケットを
受信すると、パケットフィルタリングテーブルにおける
該当ルールの機能を有効とする。その結果、ホストH1
からインターネット200へ向かうパケットは、その後
エッジノード10でフィルタリング処理される。
【0034】尚、エッジノードにすべてのフィルタリン
グ処理が分配されているときには、そのエッジノードを
通過したパケットはファィアウォールサーバ60の処理
が不要になる。このため、すでに説明したように、パケ
ットにマーキングして転送してファィアウォールサーバ
での処理を省略させるようにしてもよいし、あるいはイ
ンターネットに接続されるエッジノード40、50への
ダイレクトなコネクションを使ってパケットをファイア
ウォールサーバ60を経由することなく転送するように
してもよい。
グ処理が分配されているときには、そのエッジノードを
通過したパケットはファィアウォールサーバ60の処理
が不要になる。このため、すでに説明したように、パケ
ットにマーキングして転送してファィアウォールサーバ
での処理を省略させるようにしてもよいし、あるいはイ
ンターネットに接続されるエッジノード40、50への
ダイレクトなコネクションを使ってパケットをファイア
ウォールサーバ60を経由することなく転送するように
してもよい。
【0035】
【発明の効果】以上説明したように、本発明によれば、
ファイアウォール機能をエッジノードに分散させること
により、従来はサーバに集中していた処理負荷をエッジ
ノードに分散させることができる。また、エッジノード
のパケットフィルタリング機能によって、不要なパケッ
トをネットワークの入り口で廃棄する事ができるので、
ネットワーク内に不要なパケットが流れ込むこともなく
なる。サービスプロバイダの提供するネットーワクの状
態を良好に保つことが可能になる。
ファイアウォール機能をエッジノードに分散させること
により、従来はサーバに集中していた処理負荷をエッジ
ノードに分散させることができる。また、エッジノード
のパケットフィルタリング機能によって、不要なパケッ
トをネットワークの入り口で廃棄する事ができるので、
ネットワーク内に不要なパケットが流れ込むこともなく
なる。サービスプロバイダの提供するネットーワクの状
態を良好に保つことが可能になる。
【0036】更に、請求項3の発明によれば、サーバは
負荷を高くしている原因となっているエッジノードにて
パケットのフィルタリング処理を行うことができるため
とても効果的である。また、請求項4の発明によれば、
多くのパケットを廃棄させているパケットフィルタリン
グルールを適切なエッジノードでフィルタリング処理さ
せるためとても効果的である。更に、請求項7〜9の発
明によれば、ファィアウォールサーバでの無駄なフィル
タリング処理を省略でき、ファィアウォールサーバの負
荷の軽減に一層効果的である。また、更に、請求項11
〜13の発明によれば、フィルタリングルールのための
テーブルを複数のVPNに対して共通に持たせることが
可能となるという効果がある。
負荷を高くしている原因となっているエッジノードにて
パケットのフィルタリング処理を行うことができるため
とても効果的である。また、請求項4の発明によれば、
多くのパケットを廃棄させているパケットフィルタリン
グルールを適切なエッジノードでフィルタリング処理さ
せるためとても効果的である。更に、請求項7〜9の発
明によれば、ファィアウォールサーバでの無駄なフィル
タリング処理を省略でき、ファィアウォールサーバの負
荷の軽減に一層効果的である。また、更に、請求項11
〜13の発明によれば、フィルタリングルールのための
テーブルを複数のVPNに対して共通に持たせることが
可能となるという効果がある。
【図1】図1は、ファイアウォール機能を静的に分散す
る方式の実施例である。
る方式の実施例である。
【図2】図2は、ファイアウォール機能を動的に分散す
る方式の第一の実施例である。
る方式の第一の実施例である。
【図3】図3は、ファイアウォール機能を動的に分散す
る方式の第二の実施例である。
る方式の第二の実施例である。
【図4】図4は、ファイアウォールサーバの分散処理フ
ローの第一の実施例である。
ローの第一の実施例である。
【図5】図5は、ファイアウォールサーバの分散処理フ
ローの第二の実施例である。
ローの第二の実施例である。
【図6】図6は、従来におけるファイアウォール機能を
有するネットワークを示す図である。
有するネットワークを示す図である。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 江崎 裕 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5B089 GA11 GA31 HA10 HB19 KA06 KB06 KB13 KC15 KC28 5J104 AA01 NA21 PA07 5K030 GA13 HA08 HB29 HC01 HD01 JA11 KX24 LB09 MA01 MA12 MB02 5K033 AA03 CC01 DA05 DA06 DB18 EA03 9A001 CC07 JJ25 JJ27 LL03
Claims (13)
- 【請求項1】インターネットと接続可能な仮想プライベ
ート網を含むネットワークにおいて、 前記インターネットと接続されるエッジノード、又は前
記仮想プライベート網を収容する複数のエッジノードの
うちの複数のエッジノードに、前記仮想プライベート網
に収容される端末から前記インターネットへ向かうパケ
ットの転送の許否、又は前記インターネットから前記仮
想プライベート網に収容される端末へ向かうパケットの
転送の許否をフィルタリングルールに基づいて制御する
構成としたことを特徴とするファィアウォール機能を分
散させたネットワーク。 - 【請求項2】インターネットと接続可能な仮想プライベ
ート網を含むネットワークに設けられ、前記仮想プライ
ベート網に収容される端末から前記インターネットへの
パケット転送の許否、又は前記インターネットから前記
仮想プライベート網に収容される端末へのパケット転送
の許否をフィルタリングルールに基づいて制御するファ
イアウォール機能を有するサーバにおいて、 所定の条件が発生したときに、前記ネットワークを構成
する複数のエッジノードのうちの少なくとも1つのエッ
ジノードへ、前記フィルタリングルールの少なくとも一
部を分散させることを特徴とするファィアウォールサー
バ。 - 【請求項3】負荷を高くしているパケットを送ってくる
エッジノードを特定できる場合、前記エッジノードへ前
記フィルタリングルールの少なくとも一部を分配させる
ことを特徴とした請求項2に記載のファィアウォールサ
ーバ。 - 【請求項4】負荷を高くするフィルタリングルールを特
定できる場合、前記フィルタリングルールとの関係で決
定されるエッジノードへ前記フィルタリングルールを分
配させることを特徴とした請求項2に記載のファィアウ
ォールサーバ。 - 【請求項5】請求項2乃至4のいずれかに記載のファイ
アウォールサーバと同じネットワークに収容され、前記
ファイアウォールサーバから前記フィルタリングルール
を受け取り、受け取った前記フィルタリングルールに基
づいて、前記仮想プライベート網に収容される端末から
の前記インターネットへのパケット転送の許否、又は前
記インターネットから前記仮想プライベート網に収容さ
れる端末へのパケット転送の許否を制御することを特徴
とするエッジノード。 - 【請求項6】インターネットと接続可能な仮想プライベ
ート網に収容される端末から前記インターネットへのパ
ケット転送の許否、又は前記インターネットから前記仮
想プライベート網に収容される端末へのパケット転送の
許否をフィルタリングルールに基づいて制御するファイ
アウォールサーバと同じネットワークに収容されるエッ
ジノードにおいて、 前記ファイアウォールサーバに設定されるフィルタリン
グルールと同じフィルタリングルールを、機能の有効の
有無を示す情報と共に予め記憶する手段と、 前記ファィアウォールサーバから分配される前記フィル
タリングルールを特定するための情報を受けてその機能
を有効とする手段と、 機能が有効を示すフィルタリングルールに基づいて前記
アクセスの許否を制御することを特徴とするエッジノー
ド。 - 【請求項7】前記パケットフィルタリングルールの分配
によって、すべてのパケットフィルタリングルールが分
配されたエッジノードを通過したパケットは、ファイア
ウォールサーバの処理を不要とさせることを特徴とする
請求項5又は6に記載のエッジノード。 - 【請求項8】ファイアウォールサーバの処理を不要とさ
せるために、ファイアウォールサーバの処理を必要とし
ないパケットに対してマーキングすることを特徴とする
請求項7に記載のエッジノード。 - 【請求項9】ファイアウォールサーバの処理を不要とさ
せるために、ファイアウォールサーバの処理を必要とし
ないパケットを前記ファィアウォールサーバを経由する
ことなく直接エッジノードへ転送することを特徴とする
請求項7に記載のエッジノード。 - 【請求項10】インターネットと接続可能な複数の仮想
プライベート網を構築したネットワークに収容され、前
記仮想プライベート網に収容される端末から前記インタ
ーネットへのパケット転送の許否、又は前記インターネ
ットから前記仮想プライベート網に収容される端末への
パケット転送の許否をフィルタリングルールに基づいて
制御するファイアウォールサーバと、前記インターネッ
トに接続される第1のエッジノードと、前記仮想プライ
ベート網を構成する第2のエッジノードとから構成され
るネットーワにおいて、 前記ファイアウォールサーバは、所定の条件が発生した
ときに第1のエッジノード又は第2のエッジノードへ、
前記フィルタリングルールの少なくとも一部を分散する
ように構成し、第1のエッジノード又は第2のエッジノ
ードにおいて分散された前記フィルタリングルールの処
理を行うようにしたことを特徴とするファィアウォール
機能を分散させたネットワーク。 - 【請求項11】前記ファィアウォールサーバ、第1のエ
ッジノード、及び第2のエッジノードの有する前記フィ
ルタリングルールは複数のVPNを識別するためのVP
N−IDと共に同一のテーブルとして構成されることを
特徴とした請求項10に記載のファィアウォール機能を
分散させたネットワーク。 - 【請求項12】第2のエッジノードは、前記ネットワー
クの外側から入ってくるパケットに対して、コネクショ
ン番号又はポート番号に対応してVPN−IDを取得す
ることを特徴とする請求項11に記載のファィアウォー
ル機能を分散させたネットワーク。 - 【請求項13】前記ファイアウォールサーバは、前記ネ
ットワーク内を通ってきたパケットに対して、パケット
に記された識別子によって直接または間接的にVPN−
IDを取得することを特徴とする請求項11に記載のフ
ァィアウォール機能を分散させたネットワーク。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000059747A JP2001249866A (ja) | 2000-03-06 | 2000-03-06 | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000059747A JP2001249866A (ja) | 2000-03-06 | 2000-03-06 | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001249866A true JP2001249866A (ja) | 2001-09-14 |
Family
ID=18580158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000059747A Withdrawn JP2001249866A (ja) | 2000-03-06 | 2000-03-06 | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001249866A (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100476237B1 (ko) * | 2002-08-13 | 2005-03-10 | 시큐아이닷컴 주식회사 | 복수 방화벽에서의 효율적 부하 분산을 위한 비대칭 트래픽 처리 방법 |
| JP2005293246A (ja) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | サーバ計算機保護装置及びサーバ計算機保護プログラム |
| JP2006067293A (ja) * | 2004-08-27 | 2006-03-09 | Canon Inc | 情報処理装置及び受信パケットのフィルタリング処理方法 |
| JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
| JP2007173925A (ja) * | 2005-12-19 | 2007-07-05 | Fujitsu Ltd | パケット中継システム |
| JP2008042506A (ja) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | ネットワーク装置およびフィルタリングプログラム |
| JP2008533556A (ja) * | 2005-02-11 | 2008-08-21 | ノキア コーポレイション | エンド・ポイントによってファイアウォールの機能のネゴシエーションを有効にするための方法、装置、およびコンピュータ・プログラム製品 |
| JP2009105716A (ja) * | 2007-10-24 | 2009-05-14 | Hitachi Ltd | ネットワークシステム、管理計算機、及びフィルタ再構成方法 |
| JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
| WO2012114398A1 (en) * | 2011-02-24 | 2012-08-30 | Nec Corporation | Network system, controller, and flow control method |
| WO2014181452A1 (ja) * | 2013-05-10 | 2014-11-13 | 株式会社 日立製作所 | パケットフィルタ装置および通信制御システム |
| JP5967739B1 (ja) * | 2015-07-23 | 2016-08-10 | Necプラットフォームズ株式会社 | フィルタリングシステム、管理装置、フィルタリング方法及び管理プログラム |
| JP2017069614A (ja) * | 2015-09-28 | 2017-04-06 | 富士通株式会社 | ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法 |
| US10931593B2 (en) | 2016-03-30 | 2021-02-23 | Nec Corporation | Management node, management system, management method and computer-readable recording medium |
-
2000
- 2000-03-06 JP JP2000059747A patent/JP2001249866A/ja not_active Withdrawn
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100476237B1 (ko) * | 2002-08-13 | 2005-03-10 | 시큐아이닷컴 주식회사 | 복수 방화벽에서의 효율적 부하 분산을 위한 비대칭 트래픽 처리 방법 |
| JP2005293246A (ja) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | サーバ計算機保護装置及びサーバ計算機保護プログラム |
| JP2006067293A (ja) * | 2004-08-27 | 2006-03-09 | Canon Inc | 情報処理装置及び受信パケットのフィルタリング処理方法 |
| JP4579623B2 (ja) * | 2004-08-27 | 2010-11-10 | キヤノン株式会社 | 情報処理装置及び受信パケットのフィルタリング処理方法 |
| JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
| JP2008533556A (ja) * | 2005-02-11 | 2008-08-21 | ノキア コーポレイション | エンド・ポイントによってファイアウォールの機能のネゴシエーションを有効にするための方法、装置、およびコンピュータ・プログラム製品 |
| JP2007173925A (ja) * | 2005-12-19 | 2007-07-05 | Fujitsu Ltd | パケット中継システム |
| JP4648182B2 (ja) * | 2005-12-19 | 2011-03-09 | 富士通株式会社 | パケット中継システム |
| US8223756B2 (en) * | 2006-08-04 | 2012-07-17 | Fujitsu Limited | Network device and computer product |
| JP2008042506A (ja) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | ネットワーク装置およびフィルタリングプログラム |
| JP2009105716A (ja) * | 2007-10-24 | 2009-05-14 | Hitachi Ltd | ネットワークシステム、管理計算機、及びフィルタ再構成方法 |
| US8081640B2 (en) | 2007-10-24 | 2011-12-20 | Hitachi, Ltd. | Network system, network management server, and access filter reconfiguration method |
| JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
| WO2012114398A1 (en) * | 2011-02-24 | 2012-08-30 | Nec Corporation | Network system, controller, and flow control method |
| JP2014506739A (ja) * | 2011-02-24 | 2014-03-17 | 日本電気株式会社 | ネットワークシステム、コントローラ、及びフロー制御方法 |
| US9614747B2 (en) | 2011-02-24 | 2017-04-04 | Nec Corporation | Network system, controller, and flow control method |
| WO2014181452A1 (ja) * | 2013-05-10 | 2014-11-13 | 株式会社 日立製作所 | パケットフィルタ装置および通信制御システム |
| JP5967739B1 (ja) * | 2015-07-23 | 2016-08-10 | Necプラットフォームズ株式会社 | フィルタリングシステム、管理装置、フィルタリング方法及び管理プログラム |
| WO2017013894A1 (ja) * | 2015-07-23 | 2017-01-26 | Necプラットフォームズ株式会社 | フィルタリングシステム、管理装置、フィルタリング方法及び管理プログラム |
| US10135787B2 (en) | 2015-07-23 | 2018-11-20 | Nec Platforms, Ltd. | Filtering system, management device, filtering method and management program |
| JP2017069614A (ja) * | 2015-09-28 | 2017-04-06 | 富士通株式会社 | ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法 |
| US10931593B2 (en) | 2016-03-30 | 2021-02-23 | Nec Corporation | Management node, management system, management method and computer-readable recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9407605B2 (en) | Routing a packet by a device | |
| US7496955B2 (en) | Dual mode firewall | |
| US7873038B2 (en) | Packet processing | |
| US8054833B2 (en) | Packet mirroring | |
| US7774836B1 (en) | Method, apparatus and computer program product for a network firewall | |
| US6877041B2 (en) | Providing secure access to network services | |
| AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
| US8559429B2 (en) | Sequential frame forwarding | |
| US7869442B1 (en) | Method and apparatus for specifying IP termination in a network element | |
| US20100100616A1 (en) | Method and apparatus for controlling traffic between different entities on a network | |
| US8327014B2 (en) | Multi-layer hardware-based service acceleration (MHSA) | |
| JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
| US7643496B1 (en) | Application specified steering policy implementation | |
| US7577737B2 (en) | Method and apparatus for controlling data to be routed in a data communications network | |
| Cisco | Configuring Network Security | |
| Cisco | mls exclude protocol | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security with ACLs | |
| Cisco | Configuring Network Security with ACLs | |
| Cisco | Catalyst 6000 and Cisco 7600 Supervisor Engine and MSFC - Cisco IOS Release 12.2(9)YO | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| JP2001313663A (ja) | 排他的論理ネットワークアクセス制御方法及び装置 | |
| Corbridge et al. | Packet filtering in an ip router |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070605 |