JP2002027012A - ネットワーク接続装置 - Google Patents
ネットワーク接続装置Info
- Publication number
- JP2002027012A JP2002027012A JP2000200684A JP2000200684A JP2002027012A JP 2002027012 A JP2002027012 A JP 2002027012A JP 2000200684 A JP2000200684 A JP 2000200684A JP 2000200684 A JP2000200684 A JP 2000200684A JP 2002027012 A JP2002027012 A JP 2002027012A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- port
- security
- network
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 86
- 238000004891 communication Methods 0.000 claims abstract description 30
- 230000004044 response Effects 0.000 claims description 27
- 238000012790 confirmation Methods 0.000 claims description 15
- 238000007405 data analysis Methods 0.000 abstract description 20
- 230000006870 function Effects 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 7
- 238000000034 method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
- Small-Scale Networks (AREA)
Abstract
で、クライアントやサーバにセキュリティがかけられて
いない場合でも、ネットワークの安全性が保たれ、且つ
ネットワーク内に不要なパケットを流すことによるパケ
ットの伝送効率の低下を防ぐことができるネットワーク
接続装置を提供せんとするものである。 【解決手段】 判定回路13bに、パソコン200によ
って変更可能な各ポート10a〜10d毎の通信プロト
コルが設定されており、パケットデータ解析回路13a
がFIFO12a内に格納されているデータパケットを
読み出して、通信プロトコルの解析を行い、判定回路1
3bにおいて、その送信先ポート用に設定された通信プ
ロトコルと一致すると判定された場合、判定回路13b
は、データパケットをFIFO12bに送り、ファイチ
ップ11a〜11dのいずれかを介して、いずれかのポ
ート10a〜10dにパケットを流す。
Description
を持たせて外部からの不当なアクセスを回避できるネッ
トワーク接続装置に関する。
等でも、近年はインターネットなどの外部のネットワー
クからのアクセスを可能にすることが多くなり、ネット
ワーク上でセキュリティをかける必要性が増大してい
る。そのためオープンなネットワークはもちろんのこ
と、クローズされた上記LANなどのネットワークで
も、サーバやクライアントなどにおいてセキュリティを
かけているのが現状である。
上にセキュリティのための不要なパケットが流れること
になるため、パケットの伝送効率をその分低下させるこ
とになる。
ワークの端部においてコンピュータ本体につなげるため
に使用されるLANボードなどのネットワークに接続す
る装置(以下ネットワーク接続装置と言う、これらは上
記サーバやクライアントの構成と共にネットワークを構
成する)では、それ自身にセキュリティ機能がなく、不
正なアクセスがあった場合でも、これらによってそれを
排除することはできない。
れたもので、上記ネットワーク接続装置自身にセキュリ
ティ機能を持たせることで、クライアントやサーバにセ
キュリティがかけられていない場合でも、ネットワーク
の安全性が保たれ、且つネットワーク内に不要なパケッ
トを流すことによるパケットの伝送効率の低下を防ぐこ
とができるようにせんとするものである。
ライアントなどにもセキュリティをかけることで、2重
のセキュリティを達成できるようにしようとするもので
ある。
を構成し、且つ少なくとも1つのポートを有するネット
ワーク接続装置において、各ポート毎に、通信プロトコ
ルを設定するセキュリティ制御手段を有することを基本
的特徴としている。
手段によって、各ポート毎に、通信プロトコルが設定さ
れることで、該セキュリティ制御手段は、通信プロトコ
ルの一致するパケットのみ流し、通信プロトコルの異な
るパケットについては、それを排除することができるよ
うになる。
くとも1つのポートを有すると規定しているのは、集線
装置やルータなどの構成だけでなく、LANボードなど
も、該ネットワーク接続装置の構成に含むからである。
構成し、且つ少なくとも1つのポートを有するネットワ
ーク接続装置において、各ポート毎に、任意のパケット
フォーマットを設定するセキュリティ制御手段を有する
ことを特徴としている。
手段によって、各ポート毎に、任意のパケットフォーマ
ットが設定されることで、該セキュリティ制御手段は、
フォーマットの一致しないパケットに関して、その送信
を排除することができるようになる。
れるパケットフォーマットとしては、セキュリティフォ
ーマットタイプ(セキュリティのために特別に付加され
るデータなど)を含んでいても良い。それに限られず、
パケット自身のフォーマットを、既存の規格のもの以外
に、独自のものに設定することもできる。
し、且つ少なくとも1つのポートを有するネットワーク
接続装置において、各ポート毎に、通信可能な他のポー
トを設定するセキュリティ制御手段を有することを特徴
としている。
て各ポート毎に設定された他のポート以外には、パケッ
トの送信ができなくなる。
有する構成において、セキュリティ制御手段によって、
あるポートが特定のポート(1つとは限らない)と通信
可能に設定されている場合に、送信先がそれ以外のポー
トであるパケットがきた時は、該パケットは送信されな
いことになる。
のみ有するネットワーク接続装置の構成においても、セ
キュリティ制御手段によって、該LANボード以外の特
定のネットワーク接続装置の所定のポートとのみ通信可
能に設定されている場合に、それ以外の送信元ポートか
ら送信されたパケットは、該ネットワーク接続装置には
受信されないし、その逆もできないことになる。
し、且つ少なくとも1つのポートを有するネットワーク
接続装置において、各ポート毎に、パスワードを設定す
るセキュリティ制御手段を有することを特徴としてい
る。
によって、各ポート毎に、パスワードを設定すること
で、送信パケットが送られてきた時に、前記セキュリテ
ィ制御手段は、パスワード入力要求パケットを送信元に
返し、該セキュリティ制御手段が受け取ったパスワード
入力要求パケットに対応する応答パケット中にあるパス
ワードが、設定されたパスワードと一致する場合に、送
信パケットの送信を許すことになる。ここで送信パケッ
トの送信を許すとは、たとえば、集線装置のようなポー
トを複数有する構成では、送信先の接続されたポートへ
送信パケットを送信することであり、またLANボード
のような通常1のポートのみ有する構成の場合は、該送
信パケットを受信し、該構成がセットされたコンピュー
タなどに渡すことが、それに相当する。
構成し、且つ2以上のポートを有するネットワーク接続
装置において、送信パケットを受信した時に、送信先の
接続されているポートに接続確認パケットを送り、送信
先の接続されている当該ポートに前記接続確認パケット
に対応する応答パケットが返送された場合に、前記送信
パケットを送信先の接続されている該ポートに送るセキ
ュリティ制御手段を有することを特徴としている。
た時に、前記セキュリティ制御手段は、送信先の接続さ
れているポートに接続確認パケットを送り、送信先の接
続されている当該ポートに前記接続確認パケットに対応
する応答パケットが返送された場合に、該セキュリティ
制御手段は、前記送信パケットを送信先の接続されてい
る該ポートに送ることになる。
に行われなかった場合に、前記セキュリティ制御手段
は、送信パケットの送信を行わないようにしても良い。
ットワーク接続装置の構成自身に、セキュリティ機能が
備えられており、クライアントやサーバにセキュリティ
がかけられていない場合でも、ネットワークの安全性が
保たれ、且つセキュリティ用のパケットも流す必要がな
くなる。またクライアントやサーバにもセキュリティを
かけることで、2重のセキュリティ設定が可能になる。
ワーク装置の構成と、それにネットワーク上でつながる
送信元や送信先の他の構成との間で、特定のパケットの
やり取りを行い、安全であることの確認を行ってから、
送信パケットの送信を行うので、クライアントやサーバ
自身へセキュリティがかけられていない場合でも、ネッ
トワークの安全性が保たれるようになる。またクライア
ントやサーバ自身にもセキュリティをかけることで、2
重のセキュリティ設定が可能になる。
各種機能(通信プロトコルの設定、パケットフォーマッ
トの設定、通信可能なポートの設定、パスワードの設定
など)は、製品出荷の際、デフォルトで予め設定されて
いても良いし、ユーザがパソコンなどを使って外部から
設定・変更などができるようにしても良いことは、言う
までもない。
例と共に説明する。 (実施形態1)図1は、発明を実施する形態の一例とな
る集線装置(ハブ)100の構成を示すものであって、
該集線装置100には、後述する内部に備えられたセキ
ュリティ制御部13の機能設定を行うパソコン200が
接続されている状態が示されている。
示すブロック図である。該集線装置100は、同図に示
すように、パケット信号の4つの入出力ポート10a〜
10dと、パケット信号をデータパケット形式に変換す
る或いはデータパケットをパケット信号に復調する4つ
のファイチップ11a〜11dと、データパケットを一
時的に格納しておく2つのFIFO12a及び12b
と、前記FIFO12a内に入ったデータパケットの解
析及び判定を行うセキュリティ制御部13とを備えてい
る。
IFO12a内に格納されているデータパケットを読み
出して、その解析を行うパケットデータ解析回路13a
と、その解析結果からセキュリティ判定を行う判定回路
13bとを有している。
ティ判定結果によって、前記データパケットを、送信先
に接続されている入出力ポート(以下送信先ポートと言
う)10a〜10dに対し、FIFO12b及びファイ
チップ11a〜11dを介して送信したり、送らずそれ
を破棄する機能を有している。
に、前記パソコン200によって変更可能な各ポート1
0a〜10d毎の通信プロトコルが設定されており、パ
ケットデータ解析回路13aが前記FIFO12a内に
格納されているデータパケットを読み出して、通信プロ
トコルの解析を行い、判定回路13bにおいて、その送
信先ポート用に設定された通信プロトコルと一致すると
判定された場合、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、いずれかのポート10a〜1
0d(送信先ポート)にパケットを流すことになる。
うに、最初にプリアンブル20、送信先アドレス21、
送信元アドレス22、通信プロトコル判定用のタイプ2
3、そしてパケットの本来的データを格納したデータ2
4、データのエラーチェックを行うフレームチェックシ
ーケンス(FCS)25と続くフォーマットを有してい
る。上記タイプ23に、通信プロトコルの形式を示すコ
ード(プロトコル識別用のコード)が格納されることに
なる。たとえば、このコードが“0800”であれば、
IPプロトコルであり、容易にTCP/IPのプロトコ
ルであることが分かる。
aは、送信先アドレス21の送信先データと該タイプ2
3の通信プロトコルコードデータを解析し、その結果を
判定回路13bに渡す。そして該判定回路13bでは、
前記送信先データがどの送信先ポートに対応するもので
あるかを判定し、且つ解析された前記通信プロトコルコ
ードが、送信先ポートに対応して設定された通信プロト
コルと一致するか否かを判定する。
のである場合は、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、ポート10a〜10dのいず
れか(送信先ポート)に該パケットを流すことになる。
定回路13bは、上記データパケットを破棄する。たと
えばポート10aからポート10bへパケットが送信さ
れる時、そのデータパケットの通信プロトコルが一致し
ない場合は、ポート10bへはパケットが送信されな
い。尚、破棄する場合は、その旨を送信元に通知する
(プロトコル不一致というパケットをポート10a側に
送信する)ようにすると良い。
の通信プロトコルが、送信先ポート用に設定された通信
プロトコルと一致しているか否かの判定を行っている
が、それに限られるわけはない。たとえば、送信元に接
続されたポート(以下送信元ポートと言う)用に通信プ
ロトコルを設定しておき、送ろうとしているパケットの
通信プロトコルが、前記送信元ポート用に設定された該
通信プロトコルと一致するか否かの判定を行い、一致す
る場合にのみ、送信先ポートにパケットを送るようにし
ても良い。
に、夫々設定された通信プロトコルが異なる場合は、前
記セキュリティ制御部13内に、通信プロトコル変換用
の構成を別に備えておき、前記判定回路13bで送信許
可が出た際、その変換を行って、パケットの送信を行え
るようにしても良い。
成において行われる処理の流れを示すフローチャートで
ある。まず、パソコン200により、判定回路13bに
対し、各入出力ポート10a〜10dのプロトコルが設
定される(ステップS101)。そしていずれかのポー
トでパケット信号が受信され、ファイチップ11a〜1
1dでデータパケット形式に変換され、FIFO12a
に一旦格納される(ステップS102)。セキュリティ
制御部13のパケットデータ解析回路13aにより、F
IFO12a内のデータパケットが読み出されて、その
解析が行われる(ステップS103)。
れ、該回路13bにおいて、送信先ポートの設定通信プ
ロトコルとデータパケットのタイプ23が一致するか否
かがチェックされる(ステップS104)。それらが一
致すれば(ステップS104;Yes)、前記判定回路
13bにより、送信先ポートへ(FIFO12b及びい
ずれかのファイチップ11を介して)データパケットが
送信される(ステップS105)。
4;No)、データパケットは破棄され(ステップS1
06)、送信元ポートへプロトコル不一致のパケットが
送信される(ステップS107)。
は、各ポート毎に通信可能な任意のパケットフォーマッ
トが設定される集線装置の構成であり、図1及び図2と
同様な回路構成をしており、その詳細については省略す
る。
に、前記パソコン200によって変更可能な各ポート1
0a〜10d毎のセキュリティフォーマットタイプが設
定されており、パケットデータ解析回路13aが前記F
IFO12a内に格納されているデータパケットを読み
出して、パケットフォーマットの解析を行い、判定回路
13bにおいて、その送信先ポート用に設定されたセキ
ュリティフォーマットタイプと一致するか否かをチェッ
クする。一致すると判定された場合、該判定回路13b
は、上記データパケットをFIFO12bに送り、ファ
イチップ11a〜11dのいずれかを介して、いずれか
のポート10a〜10d(送信先ポート)にパケットを
流すことになる。
3に示されたパケットフォーマットのうち、データ24
に、セキュリティフォーマットタイプの設定箇所を設け
ると共に、前記判定回路13bには、前記パソコン20
0によって各ポート毎にパケットフォーマットのセキュ
リティフォーマットタイプが設定される。たとえば該セ
キュリティフォーマットタイプとしては、”FFFFFFFFFF
FF000000000000FFFFFFFFFFFF000000000000h”といった
値が設定される。
aは、送信先アドレス21の送信先データと該データ2
4のパケットフォーマットを解析し、その結果を判定回
路13bに渡す。そして該判定回路13bでは、前記送
信先データがどの送信先ポートに対応するものであるか
を判定し、且つ解析された前記セキュリティフォーマッ
トタイプが、送信先ポートに対応して設定されたセキュ
リティフォーマットタイプと一致するか否かを判定す
る。
のである場合は、該判定回路13bは、上記データパケ
ットをFIFO12bに送り、ファイチップ11a〜1
1dのいずれかを介して、ポート10a〜10dのいず
れか(送信先ポート)に該パケットを流すことになる。
定回路13bは、上記データパケットを破棄する。たと
えばポート10aからポート10bへパケットが送信さ
れる時、そのデータパケットのパケットフォーマットが
一致しない場合は、ポート10bへはパケットが送信さ
れない。尚、破棄する場合は、その旨を送信元に通知す
る(パケットフォーマット不一致というパケットをポー
ト10a側に送信する)ようにすると良い。
ケットのセキュリティフォーマットタイプが、送信先ポ
ート用に設定されたパケットフォーマットと一致してい
るか否かの判定を行っているが、それに限られるわけは
ない。たとえば、送信元ポート用にパケットフォーマッ
トを設定しておき、送ろうとしているデータパケットの
セキュリティフォーマットタイプが、前記送信元ポート
用に設定されたパケットフォーマットと一致するか否か
の判定を行い、一致する場合にのみ、送信先ポートにパ
ケットを送るようにしても良い。
に、夫々設定されたパケットフォーマットが異なる場合
は、前記セキュリティ制御部13内に、パケットフォー
マット変換用の構成を別に備えておき、前記判定回路1
3bで送信許可が出た際、その変換を行って、パケット
の送信を行えるようにしても良い。
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10dのセキュリティフォーマ
ットタイプが設定される(ステップS201)。そして
いずれかのポートでパケット信号が受信され、ファイチ
ップ11a〜11dでデータパケット形式に変換され、
FIFO12aに一旦格納される(ステップS20
2)。セキュリティ制御部13のパケットデータ解析回
路13aにより、FIFO12a内のデータパケットが
読み出されて、その解析が行われる(ステップS20
3)。
れ、該回路13bにおいて、送信先ポート用に設定され
たセキュリティフォーマットタイプとデータパケットの
セキュリティフォーマットタイプが一致するか否かがチ
ェックされる(ステップS204)。それらが一致すれ
ば(ステップS204;Yes)、前記判定回路13b
により、送信先ポートへ(FIFO12b及びいずれか
のファイチップ11を介して)データパケットが送信さ
れる(ステップS205)。
4;No)、データパケットは破棄され(ステップS2
06)、送信元ポートへパケットフォーマット不一致の
パケットが送信される(ステップS207)。
は、各ポート毎に通信可能な任意の他のポートが設定さ
れる集線装置の構成であり、ここでも図1及び図2と同
様な回路構成をしており、その詳細については省略す
る。
に、各ポートがどのポートと通信可能であるかが設定さ
れ、その設定は、前記パソコン200によって変更可能
になっている。そしてパケットデータ解析回路13aが
前記FIFO12a内に格納されているデータパケット
を読み出して、送信先アドレス21と送信元アドレス2
2におけるアドレス解析を行う。そして送信先アドレス
で特定されるポートにおいて、送信元アドレスで特定さ
れるポートが、通信可能なポートであると、判定回路1
3bにおいて判定された場合は、該判定回路13bは、
上記データパケットをFIFO12bに送り、ファイチ
ップ11a〜11dのいずれかを介して、通信可能ない
ずれかのポート10a〜10d(送信先ポート)にパケ
ットを流すことになる。
パケットが送信される時、ポート10aとポート10b
が通信可能に設定されていれば、ポート10bへパケッ
トが送信され、通信可能に設定されていなければ、該パ
ケットは送信されない。尚、破棄する場合は、その旨を
送信元に通知する(ポート10bとの通信を許可してい
ないというパケットをポート10a側に送信する)よう
にすると良い。
可能なポートの設定を行い、該送信先ポートに送られて
きたパケット信号の送信元アドレスに対応するポート
が、通信可能なポートに一致しているか否かの判定を行
っているが、それに限られるわけはない。たとえば、送
信元ポートに対し、通信可能なポートの設定を行い、該
送信元ポートに送られてきたパケット信号の送信先アド
レスに対応するポートが、通信可能なポートに一致して
いるか否かの判定を行い、一致する場合にのみ、送信先
ポートにパケットを送るようにしても良い。これは、夫
々のポートに設定された通信可能なポートが、各ポート
毎に相互に対応していないといった設定が行われる場合
もあるからである。
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10d毎に通信可能な他のポー
トの設定がなされる(ステップS301)。そしていず
れかのポートでパケットが受信され、ファイチップ11
a〜11dでデータパケット形式に変換され、FIFO
12aに一旦格納される(ステップS302)。セキュ
リティ制御部13のパケットデータ解析回路13aによ
り、FIFO12a内のデータパケットが読み出され
て、その解析が行われる(ステップS303)。
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信元アドレス22に対応するポートが、通信可能
な送信元ポートであるか否かがチェックされる(ステッ
プS304)。通信可能な送信元ポートであれば(ステ
ップS304;Yes)、前記判定回路13bにより、
送信先ポートへ(FIFO12b及びいずれかのファイ
チップ11を介して)データパケットが送信される(ス
テップS305)。
ップS304;No)、データパケットは破棄され(ス
テップS306)、送信元ポートに対し、目的とするポ
ートへの通信を許可していない旨のパケットが送信され
る(ステップS307)。
は、各ポート毎にパスワードが設定される集線装置の構
成であり、ここでも図1及び図2と同様な回路構成をし
ており、その詳細については省略する。
において、パソコン200により、各ポート毎にパスワ
ードが設定される。
設定に関しては、メール形式で送信元にパスワード要求
パケットが送られ、該パケットに対応した応答パケット
が送信元から送られてきて、さらにその応答パケットに
含まれるパスワードが、設定されたパスワードに一致す
る場合にのみ、パケットの送信を許すことになる。
リを持たせ、そこにパスワードを要求するメールデータ
(送る内容はいつも同じ内容であるのでメールデータは
1つで良い)を記憶させておく。
回路13aが受信した際、該パケットデータ解析回路1
3aが送信先アドレス21と送信元アドレス22の各ア
ドレス解析を行い、送信元アドレスで特定されるポート
に対し、判定回路13bは、前記パスワード要求パケッ
トを送る。
信元からの応答パケットを受け、そこに含まれるパスワ
ードを解析して、判定回路13bに渡す。
と、前記ポートに設定されたパスワードが一致するかを
判定し、一致する場合に、前記送信パケットをFIFO
12bに流し、ファイチップ11a〜11dのいずれか
を介して、送信先ポートに送信する。反対に一致しない
場合は、該パケットを破棄し、その旨を送信元に通知す
る(パスワード不一致というパケットを送信元ポート側
に送信する)ようにする。
パケットが送信される時、ポート10bに”1234”
というパスワードが設定されていれば、判定回路13b
は、ポート10aにパスワード要求パケットをメールに
して送る。ポート10aから応答パケットが送られ、そ
の中に含まれるパスワードが、ポート10bに設定され
た”1234”というパスワードと一致すれば、最初に
送信されたパケットは、ポート10bに送られることに
なる。反対に上記パスワードが一致しない場合は、該パ
ケットは送信されず、パスワード不一致というパケット
をポート10a側に送信する。
ワードが設定され、それによるセキュリティが実施され
ているが、それに限られるわけはない。たとえば、送信
元ポートに対し、パスワードの設定を行い、それによっ
て上記と同様なセキュリティをかけるようにしても良
い。
いて行われる処理の流れを示すフローチャートである。
まず、パソコン200により、判定回路13bに対し、
各入出力ポート10a〜10d毎にパスワードが設定さ
れる(ステップS401)。そしていずれかのポートで
パケットが受信され、ファイチップ11a〜11dでデ
ータパケット形式に変換され、FIFO12aに一旦格
納される(ステップS402)。セキュリティ制御部1
3のパケットデータ解析回路13aにより、FIFO1
2a内のデータパケットが読み出されて、その解析が行
われる(ステップS403)。
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信元アドレス22に対応するポートに対し、前記
パスワード要求パケットが送信される(ステップS40
4)。
答パケットをパケットデータ解析回路13aが受け、そ
の中に含まれるパスワードの解析が行われる(ステップ
S405)。
され、該回路13bにおいて、送信先ポート用に設定さ
れたパスワードと応答パケットのパスワードが一致する
か否かがチェックされる(ステップS406)。両パス
ワードが一致すれば(ステップS406;Yes)、前
記判定回路13bにより、送信先ポートへ(FIFO1
2b及びいずれかのファイチップ11を介して)データ
パケットが送信される(ステップS407)。
S406;No)、データパケットは破棄され(ステッ
プS408)、送信元ポートに対し、パスワード不一致
というパケットが送信される(ステップS409)。
は、送信先ポートに接続確認パケットを送るタイプの集
線装置の構成であり、ここでも図1及び図2と同様な回
路構成をしており、その詳細については省略する。
ポートに接続確認パケットが送られるような構成にして
あるため、前記判定回路13bの内部にメモリを持た
せ、そこに送信先での受信許可を要求するメールデータ
(送る内容はいつも同じ内容であるのでメールデータは
1つで良い)を記憶させておく。このメールデータは必
要に応じて、パソコン200によって、変更できるよう
になっている。
パケットデータ解析回路13aが受信した際、該パケッ
トデータ解析回路13aが送信先アドレス21と送信元
アドレス22の各アドレス解析を行い、送信先アドレス
で特定されるポートに対し、判定回路13bは、前記接
続確認パケットを送る。
定時間内に送信先からの応答パケットを受けた場合、そ
こに含まれる内容を解析して、判定回路13bに渡す。
内容が受信を可とする内容であると判定した場合、前記
送信パケットをFIFO12bに流し、ファイチップ1
1a〜11dのいずれかを介して、送信先ポートに送信
する。反対に応答パケットの内容が受信を不可とする内
容であると判定した場合は、該パケットを破棄し、その
旨を送信元に通知する(送信不可というパケットを送信
元ポート側に送信する)ようにする。また一定時間内に
上記応答パケットの返信がなかった場合も同様である。
パケットが送信される時、判定回路13bは、ポート1
0bに接続確認パケットをメールにして送る。ポート1
0bから応答パケットが送られ、その内容が受信を可と
する内容であれば、最初に送信されたパケットは、ポー
ト10bに送られることになる。反対にその内容が受信
を不可とする内容である場合は、該パケットは送信され
ず、送信不可というパケットをポート10a側に送信す
る。
いて行われる処理の流れを示すフローチャートである。
まず、いずれかの入出力ポート10a〜10dでパケッ
トが受信され、ファイチップ11a〜11dでデータパ
ケット形式に変換され、FIFO12aに一旦格納され
る(ステップS501)。セキュリティ制御部13のパ
ケットデータ解析回路13aにより、FIFO12a内
のデータパケットが読み出されて、その解析が行われる
(ステップS502)。
れ、該回路13bにおいて、そのパケットデータに含ま
れる送信先アドレス21に対応するポートに対し、前記
接続確認パケットが送信される(ステップS503)。
ットが、パケットデータ解析回路13aによって受信さ
れる(ステップS504)。そして該応答パケットが行
って時間内に戻ってきたかがチェックされる(ステップ
S505)。
5;Yes)は、その中に含まれる内容が解析され(ス
テップS506)、さらにその内容が受信可とする内容
であるか否かがさらにチェックされる(ステップS50
7)。該応答パケットの内容が受信可である場合(ステ
ップS507;Yes)は、前記判定回路13bによ
り、送信先ポートへ(FIFO12b及びいずれかのフ
ァイチップ11を介して)データパケットが送信される
(ステップS508)。
ップS505;No)又は応答パケットの内容が受信不
許可である場合(ステップS507;No)は、データ
パケットは破棄され(ステップS509)、送信元ポー
トに対し、接続不可というパケットが送信される(ステ
ップS510)。
集線装置の構成自身に、セキュリティ機能が備えられて
おり、他のネットワーク接続装置やクライアント或いは
サーバにセキュリティがかけられていない場合でも、ネ
ットワークの安全性が保たれ、且つセキュリティ用のパ
ケットも流す必要がなくなる。また該集線装置がつなが
ったネットワークに接続されるクライアントやサーバに
もセキュリティをかけることで、2重のセキュリティ設
定が可能になる。
集線装置の構成と、それにネットワーク上でつながる送
信元や送信先の他の構成との間で、特定のパケットのや
り取りを行い、安全であることの確認を行ってから、送
信パケットの送信を行うので、クライアントやサーバ自
身へセキュリティがかけられていない場合でも、ネット
ワークの安全性が保たれるようになる。またクライアン
トやサーバ自身にもセキュリティをかけることで、2重
のセキュリティ設定が可能になる。
述の実施例にのみ限定されるものではなく、本発明の要
旨を逸脱しない範囲内において種々変更を加え得ること
は勿論である。たとえば前記セキュリティ制御手段の上
述した各種機能(通信プロトコルの設定、パケットフォ
ーマットの設定、通信可能なポートの設定、パスワード
の設定など)は、製品出荷の際、デフォルトで予め設定
されていても良い。
少なくとも1つのポートを有するネットワーク接続装置
において、各ポート毎に、通信プロトコルを設定するセ
キュリティ制御手段を有することを特徴とするネットワ
ーク接続装置。 (付記2) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、任意のパケットフォーマットを設定するセ
キュリティ制御手段を有することを特徴とするネットワ
ーク接続装置。 (付記3) 前記セキュリティ制御手段で設定されるパ
ケットフォーマットに、セキュリティフォーマットタイ
プを含むことを特徴とする付記2記載のネットワーク接
続装置。 (付記4) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、通信可能な他のポートを設定するセキュリ
ティ制御手段を有することを特徴とするネットワーク接
続装置。 (付記5) ネットワークを構成し、且つ少なくとも1
つのポートを有するネットワーク接続装置において、各
ポート毎に、パスワードを設定するセキュリティ制御手
段を有することを特徴とするネットワーク接続装置。 (付記6) 送信パケットが送られてきた時に、前記セ
キュリティ制御手段は、パスワード入力要求パケットを
送信元に返し、該セキュリティ制御手段が受け取ったパ
スワード入力要求パケットに対応する応答パケット中に
あるパスワードが、設定されたパスワードと一致する場
合に、前記送信パケットの送信を許すことを特徴とする
付記5記載のネットワーク接続装置。 (付記7) ネットワークを構成し、且つ2以上のポー
トを有するネットワーク接続装置において、送信パケッ
トを受信した時に、送信先の接続されているポートに接
続確認パケットを送り、送信先の接続されている当該ポ
ートに前記接続確認パケットに対応する応答パケットが
返送された場合に、前記送信パケットを送信先の接続さ
れている該ポートに送るセキュリティ制御手段を有する
ことを特徴とするネットワーク接続装置。 (付記8) 前記応答パケットの返送が、所定の時間内
に行われなかった場合に、前記セキュリティ制御手段
は、送信パケットの送信を行わないことを特徴とする付
記7記載のネットワーク接続装置。
〜3記載のネットワーク接続装置によれば、ネットワー
ク接続装置の構成自身に、セキュリティ機能が備えられ
ており、クライアントやサーバにセキュリティがかけら
れていない場合でも、ネットワークの安全性が保たれ、
且つセキュリティ用のパケットも流す必要がなくなるの
で、不要なパケットの送信によるパケットの伝送効率の
低下を防ぐことができるという優れた効果を奏し得る。
またクライアントやサーバにもセキュリティをかけるこ
とで、2重のセキュリティ設定が可能になる。
ワーク装置の構成と、それにネットワーク上でつながる
送信元や送信先の他の構成との間で、特定のパケットの
やり取りを行い、安全であることの確認を行ってから、
送信パケットの送信を行うので、クライアントやサーバ
自身へセキュリティがかけられていない場合でも、ネッ
トワークの安全性が保たれるようになる。またこの場合
も、クライアントやサーバ自身にもセキュリティをかけ
ることで、2重のセキュリティ設定が可能になる。
00の構成を示す説明図である。
図である。
われる処理の流れを示すフローチャートである。
われる処理の流れを示すフローチャートである。
われる処理の流れを示すフローチャートである。
われる処理の流れを示すフローチャートである。
われる処理の流れを示すフローチャートである。
Claims (5)
- 【請求項1】 ネットワークを構成し、且つ少なくとも
1つのポートを有するネットワーク接続装置において、
各ポート毎に、通信プロトコルを設定するセキュリティ
制御手段を有することを特徴とするネットワーク接続装
置。 - 【請求項2】 ネットワークを構成し、且つ少なくとも
1つのポートを有するネットワーク接続装置において、
各ポート毎に、任意のパケットフォーマットを設定する
セキュリティ制御手段を有することを特徴とするネット
ワーク接続装置。 - 【請求項3】 ネットワークを構成し、且つ少なくとも
1つのポートを有するネットワーク接続装置において、
各ポート毎に、通信可能な他のポートを設定するセキュ
リティ制御手段を有することを特徴とするネットワーク
接続装置。 - 【請求項4】 ネットワークを構成し、且つ少なくとも
1つのポートを有するネットワーク接続装置において、
各ポート毎に、パスワードを設定するセキュリティ制御
手段を有することを特徴とするネットワーク接続装置。 - 【請求項5】 ネットワークを構成し、且つ2以上のポ
ートを有するネットワーク接続装置において、送信パケ
ットを受信した時に、送信先の接続されているポートに
接続確認パケットを送り、送信先の接続されている当該
ポートに前記接続確認パケットに対応する応答パケット
が返送された場合に、前記送信パケットを送信先の接続
されている該ポートに送るセキュリティ制御手段を有す
ることを特徴とするネットワーク接続装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000200684A JP2002027012A (ja) | 2000-07-03 | 2000-07-03 | ネットワーク接続装置 |
US09/814,760 US20020010787A1 (en) | 2000-07-03 | 2001-03-23 | Network connecting device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000200684A JP2002027012A (ja) | 2000-07-03 | 2000-07-03 | ネットワーク接続装置 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007285805A Division JP2008092595A (ja) | 2007-11-02 | 2007-11-02 | ネットワーク接続装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2002027012A true JP2002027012A (ja) | 2002-01-25 |
Family
ID=18698515
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000200684A Pending JP2002027012A (ja) | 2000-07-03 | 2000-07-03 | ネットワーク接続装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20020010787A1 (ja) |
JP (1) | JP2002027012A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7385980B2 (en) | 2002-05-31 | 2008-06-10 | Fujitsu Limited | Network relay device |
US7756045B2 (en) | 2004-01-26 | 2010-07-13 | Hitachi, Ltd. | Optical cross connect apparatus and network |
JP2010283586A (ja) * | 2009-06-04 | 2010-12-16 | Fujitsu Ltd | 冗長化ペア検出方法、通信装置、冗長化ペア検出プログラム、記録媒体 |
JP2014150438A (ja) * | 2013-02-01 | 2014-08-21 | Toshiba Corp | 受信データ処理装置および受信データ処理方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7436826B2 (en) * | 2001-07-25 | 2008-10-14 | Dell Products L.P. | System and method for detecting and indicating communication protocols |
US11196665B1 (en) * | 2020-11-12 | 2021-12-07 | Sap Se | Routing application calls |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4922486A (en) * | 1988-03-31 | 1990-05-01 | American Telephone And Telegraph Company | User to network interface protocol for packet communications networks |
US5867666A (en) * | 1994-12-29 | 1999-02-02 | Cisco Systems, Inc. | Virtual interfaces with dynamic binding |
US6393486B1 (en) * | 1995-06-23 | 2002-05-21 | Cisco Technology, Inc. | System and method using level three protocol information for network centric problem analysis and topology construction of actual or planned routed network |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US6400715B1 (en) * | 1996-09-18 | 2002-06-04 | Texas Instruments Incorporated | Network address matching circuit and method |
JPH10154995A (ja) * | 1996-11-20 | 1998-06-09 | Fujitsu Ltd | ゲートウェイ装置及びパケット中継方法 |
US5961646A (en) * | 1997-01-02 | 1999-10-05 | Level One Communications, Inc. | Method and apparatus employing an invalid symbol security jam for communications network security |
JP3228182B2 (ja) * | 1997-05-29 | 2001-11-12 | 株式会社日立製作所 | 記憶システム及び記憶システムへのアクセス方法 |
US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
US6370583B1 (en) * | 1998-08-17 | 2002-04-09 | Compaq Information Technologies Group, L.P. | Method and apparatus for portraying a cluster of computer systems as having a single internet protocol image |
JP3697114B2 (ja) * | 1998-08-28 | 2005-09-21 | キヤノン株式会社 | 情報処理装置及び情報処理方法及び情報処理システム及び情報処理プログラムを記憶した記憶媒体及び情報処理プログラムを送出する送出装置及び情報処理プログラム製品 |
US6243778B1 (en) * | 1998-10-13 | 2001-06-05 | Stmicroelectronics, Inc. | Transaction interface for a data communication system |
US6700872B1 (en) * | 1998-12-11 | 2004-03-02 | Cisco Technology, Inc. | Method and system for testing a utopia network element |
US6515963B1 (en) * | 1999-01-27 | 2003-02-04 | Cisco Technology, Inc. | Per-flow dynamic buffer management |
US6662223B1 (en) * | 1999-07-01 | 2003-12-09 | Cisco Technology, Inc. | Protocol to coordinate network end points to measure network latency |
US6718424B1 (en) * | 1999-12-10 | 2004-04-06 | Intel Corporation | Bridge circuit for use in a computing platform |
US6574240B1 (en) * | 2000-01-19 | 2003-06-03 | Advanced Micro Devices, Inc. | Apparatus and method for implementing distributed layer 3 learning in a network switch |
-
2000
- 2000-07-03 JP JP2000200684A patent/JP2002027012A/ja active Pending
-
2001
- 2001-03-23 US US09/814,760 patent/US20020010787A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7385980B2 (en) | 2002-05-31 | 2008-06-10 | Fujitsu Limited | Network relay device |
US7756045B2 (en) | 2004-01-26 | 2010-07-13 | Hitachi, Ltd. | Optical cross connect apparatus and network |
JP2010283586A (ja) * | 2009-06-04 | 2010-12-16 | Fujitsu Ltd | 冗長化ペア検出方法、通信装置、冗長化ペア検出プログラム、記録媒体 |
JP2014150438A (ja) * | 2013-02-01 | 2014-08-21 | Toshiba Corp | 受信データ処理装置および受信データ処理方法 |
Also Published As
Publication number | Publication date |
---|---|
US20020010787A1 (en) | 2002-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7260840B2 (en) | Multi-layer based method for implementing network firewalls | |
Braden | Rfc1122: Requirements for internet hosts-communication layers | |
US6826627B2 (en) | Data transformation architecture | |
EP2362586B1 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
US20030058863A1 (en) | Method for transmitting compressed data in packet-oriented networks | |
EP1484884A2 (en) | Multi-layered firewall architecture | |
US7471690B2 (en) | Packet transfer device, semiconductor device and packet transfer system | |
RU2316129C2 (ru) | Безопасность в сетях произвольного уровня локализации | |
US20060198356A1 (en) | Method and apparatus for router port configuration | |
US8725843B2 (en) | Method and apparatus for adaptively configuring a router | |
US20070124489A1 (en) | Nat access control with ipsec | |
US7895360B2 (en) | Method and apparatus for adaptively configuring a router | |
RU2214623C2 (ru) | Вычислительная сеть с межсетевым экраном и межсетевой экран | |
US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
US20020194353A1 (en) | Method for distinguishing clients in a communication system, a communication system, and a communication device | |
JP3563714B2 (ja) | ネットワーク間接続装置 | |
JP2002027012A (ja) | ネットワーク接続装置 | |
US20110153841A1 (en) | Operation setting method of relay apparatus, relay apparatus, and storage medium stored with program | |
US20050165956A1 (en) | MAC controller of network printing device and method for enlarging bus bandwidth of network printing device | |
JP2007129534A (ja) | データ通信方法 | |
WO2002052795A1 (en) | Method and apparatus extending a server to a wireless-router server | |
US6658472B1 (en) | Communication systems, firewall devices, and communication methods | |
JP4542053B2 (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム | |
US20040230830A1 (en) | Receiver, connection controller, transmitter, method, and program | |
EP3185510B1 (en) | Method for data packet inspection, related device and computer-program product |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050520 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070823 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071102 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080408 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080519 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080708 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080902 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080919 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20081017 |