JP2002108729A - ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 - Google Patents

ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体

Info

Publication number
JP2002108729A
JP2002108729A JP2000301313A JP2000301313A JP2002108729A JP 2002108729 A JP2002108729 A JP 2002108729A JP 2000301313 A JP2000301313 A JP 2000301313A JP 2000301313 A JP2000301313 A JP 2000301313A JP 2002108729 A JP2002108729 A JP 2002108729A
Authority
JP
Japan
Prior art keywords
connection
request
data communication
permission information
port number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000301313A
Other languages
English (en)
Inventor
Hideaki Hirayama
秀昭 平山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2000301313A priority Critical patent/JP2002108729A/ja
Publication of JP2002108729A publication Critical patent/JP2002108729A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】インターネット環境においてC/S型のアプリ
ケーションを、安全に運用できるようにする。 【解決手段】コネクション許可設定部42は、ネットワ
ーク接続装置が属するネットワークセグメント上のクラ
イアント側ノードから当該ノードのIPアドレスとポー
ト番号とを含むコネクション許可設定要求R1を受け
て、そのIPアドレスとポート番号を含む情報をテーブ
ル41に登録する。コネクション要求処理部47は、任
意のネットワークセグメント上のサーバ側ノードからタ
ーゲットとなるノードアドレスとポート番号を含む他の
ネットワークセグメントへのコネクション要求R2を受
けて、その要求中のノードアドレスとポート番号との組
を含む情報がテーブル41に存在するか否かをコネクシ
ョン許可判定部43を用いて判定し、存在するときはそ
の要求を許可し、当該テーブル41上の情報を無効化す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、複数のネットワー
クセグメントを有するコンピュータネットワークシステ
ムに適用されて、異なるネットワークセグメント間を接
続するためのネットワーク接続装置に係り、特に外部か
らの不正侵入を防ぐのに好適なファイアウォール制御機
能を有するネットワーク接続装置及び同装置に適用され
るファイアウォール制御プログラムを記憶したコンピュ
ータ読み取り可能な記憶媒体に関する。
【0002】
【従来の技術】従来、クライアント/サーバ型(C/S
型)のアプリケーション(アプリケーションプログラ
ム)は、主としてイントラネットの環境で利用されてい
た。
【0003】C/S型のアプリケーションでは、サーバ
プロセスがサーバポートを開設し、クライアントプロセ
スからの接続要求を待ち受ける。そして、クライアント
プロセスから、TCP/IP(Transmission Control P
rotocol/Internet Protocol)と呼ばれるプロトコルに
よるコネクション要求が発行されると、両プロセスの間
に通信路(仮想回線)が張られ、以降、その通信路を用
いて両プロセスが通信を行う。
【0004】このようなC/S型のアプリケーション
を、インターネットの環境で利用する場合にはセキュリ
ティ上の問題が生じる。通常、インターネットの環境で
は、外部からの不正侵入を防ぐためにネットワーク接続
装置にファイアウォールを設置する。ファイアウォール
で外部からの不正侵入をどのように防ぐかは、ファイア
ウォールで守る計算機群の運用ポリシに基づき個々に設
定を行うことで決定される。
【0005】一般的なポリシとして、HTTP(Hyper
Text Transfer Protocol)等の特定プロトコル以外のT
CP/IPプロトコルによる外部からのコネクション要
求は拒絶するというものがある。
【0006】この場合、C/S型のアプリケーションを
インターネット環境で利用すると、クライアントプロセ
スからのTCP/IPプロトコルによるコネクション要
求は、ファイアウォールによって拒絶されてしまう。
【0007】なお、ここでのTCP/IPプロトコル
は、以下に述べるように狭義のTCP/IPプロトコル
である。例えば、HTTPやFTP(File Transfer Pr
otocol)といったプロトコルは、TCP/IPプロトコ
ルの上に乗った上位レイヤのプロトコルである。それゆ
え、広義には、HTTPやFTPも、TCP/IPプロ
トコルに含まれる。しかし、ここではTCP/IPプロ
トコルと表現した場合、それはHTTPやFTPといっ
た特定プロトコルを上位レイヤに持つTCP/IPプロ
トコルは含まないものとする。このような狭義のTCP
/IPプロトコルという表現は、一般に用いられてい
る。
【0008】
【発明が解決しようとする課題】上記したように従来の
技術にあっては、C/S型のアプリケーションを、イン
ターネットの環境で利用する場合には、クライアントプ
ロセスからのTCP/IPによるコネクション要求がフ
ァイアウォールによって拒絶されてしまう。このため従
来は、サーバプロセスがコネクションを待ち受けるポー
トに関しては、外部からのコネクションを許可するよう
に設定しなければならず、その結果、セキュリティホー
ルが発生するという問題があった。
【0009】本発明は上記事情を考慮してなされたもの
でその目的は、インターネット環境においてC/S(ク
ライアント/サーバ)型のアプリケーションを、安全に
運用できるようにすることにある。
【0010】
【課題を解決するための手段】本発明は、複数のネット
ワークセグメントを有するコンピュータネットワークシ
ステム内に上記各ネットワークセグメント毎に設けら
れ、当該ネットワークセグメントと他のネットワークセ
グメントとの間を接続するネットワーク接続装置におい
て、コネクション要求先のノードアドレスとポート番号
とを含むコネクション許可情報を保持するコネクション
許可情報保持手段と、上記ネットワーク接続装置が属す
るネットワークセグメント上のクライアント側ノードか
ら与えられる当該ノードのノードアドレスとポート番号
とを含むコネクション許可設定要求を受けて、当該ノー
ドアドレスとポート番号とにより特定されるポートへの
コネクションを許可するための当該ノードアドレスとポ
ート番号とを含むコネクション許可情報を上記コネクシ
ョン許可情報保持手段に設定するコネクション許可設定
手段と、任意のネットワークセグメント上のサーバ側ノ
ードから与えられるターゲットとなるノードアドレスと
ポート番号とを含む他のネットワークセグメントへのコ
ネクション要求を受け、当該要求中のノードアドレスと
ポート番号との組を含むコネクション許可情報が上記コ
ネクション許可情報保持手段に存在するか否かを判定
し、存在すると判定した場合には上記コネクション要求
を許可し、存在しないと判定した場合には上記コネクシ
ョン要求を拒絶するコネクション要求処理手段と、この
コネクション要求処理手段によって上記コネクション要
求が許可される際に、当該コネクション要求中のノード
アドレスとポート番号との組を含むコネクション許可情
報保持手段上のコネクション許可情報を無効化するコネ
クション許可取消手段とを備えたことを特徴とする。
【0011】このような構成においては、クライアント
側のノード(上で動作するクライアントプロセス)から
のコネクション許可設定要求により、当該ノードに開設
されたポートを指定するノードアドレスとポート番号と
を含むコネクション許可情報を上記コネクション許可情
報保持手段(コネクション許可テーブル)に設定登録す
ることで、その後、クライアント側のノード(上で動作
するクライアントプロセス)との間で協調動作する、当
該クライアント側のノードが属するネットワークセグメ
ントとは異なるネットワークセグメントに属するサーバ
側のノード(上で動作するサーバプロセス)から、上記
ポートを指定するノードアドレスとポート番号とを含む
コネクション要求が出された場合に、そのコネクション
要求を許可することができる。この際、コネクション許
可情報保持手段に登録された、上記ポートを指定するノ
ードアドレスとポート番号とを含むコネクション許可情
報は無効化(例えばクリア)されるため、その後上記ポ
ートを指定するノードアドレスとポート番号とを含むコ
ネクション要求が到来しても、そのコネクション要求は
許可されない。つまり、コネクション許可設定要求によ
り指定されたノードアドレスとポート番号(とにより特
定されるポート)へのコネクション要求は、1回のみし
か許可されず、以降は拒絶される。これにより、外部か
らの不正侵入が起きる可能性を極めて低い確率に抑えな
がら、外部から張られるコネクション要求を許可するこ
とが可能になる。
【0012】ここで、上記コネクション許可情報保持手
段に設定されるコネクション許可情報にタイムアウト時
刻(の情報)を含めると共に、上記コネクション許可取
消手段に代えて、上記コネクション許可情報保持手段を
定期的に探索し、当該コネクション許可情報保持手段に
保持されているコネクション許可情報のうちタイムアウ
ト時刻を経過したコネクション許可情報を無効化するコ
ネクション許可定期取消手段を備える構成とすることも
可能である。
【0013】このような構成においては、コネクション
許可情報保持手段を対象とする定期的な探索でタイムア
ウト時刻を経過したコネクション許可情報が検出された
場合、当該コネクション許可情報は無効化される。つま
り、コネクション許可設定要求により指定されたノード
アドレスとポート番号(とにより特定されるポート)へ
のコネクション要求は一時的に許可されるだけであり、
タイムアウト時刻を経過したことが検出された以降は拒
絶される。これにより、外部からの不正侵入が起きる可
能性を極めて低い確率に抑えながら、外部から張られる
コネクション要求を許可することが可能になる。この効
果は、上記コネクション許可取消手段と上記コネクショ
ン許可定期取消手段とを併用するならば、一層顕著とな
る。なお、上記タイムアウト時刻を決定するには、例え
ばコネクション許可設定要求中にタイムアウト時間(つ
まりタイムアウトとするまでの時間)の情報を含め、コ
ネクション許可設定要求を受け付けた時刻に、このタイ
ムアウト時間を加算すればよい。
【0014】また、コネクション要求処理手段によりコ
ネクション要求が許可された結果コネクションが確立さ
れた後の通信の制御手段として、コネクションが確立さ
れた経路上の通信は全て許可する手段、或いは当該経路
上のコネクション要求以外の通信は全て許可する手段を
備えるとよい。
【0015】また、上記コネクション許可設定要求、コ
ネクション要求及びコネクション許可情報に、上記コネ
クション許可設定要求に対しては要求元となり上記コネ
クション要求に対しては要求先となるノードのノードア
ドレスとポート番号とに加えて、上記コネクション要求
の要求元ノードのノードアドレスを含め、コネクション
要求処理手段が上記コネクション要求を受けた場合に、
当該コネクション要求中のコネクション要求先のノード
アドレスとポート番号及びコネクション要求元のノード
アドレスを含むコネクション許可情報が上記コネクショ
ン許可情報保持手段に存在することをもって、当該コネ
クション要求を許可する構成とするならば、外部からの
不正侵入が起きる可能性をより一層低い確率に抑えるこ
とが可能となる。
【0016】また、コネクション要求処理手段によって
コネクション要求が許可された時点から一定時間内に、
当該コネクション要求と要求先のノードアドレスとポー
ト番号とが同一の新たなコネクション要求が到来した場
合に、当該コネクション要求処理手段にて新たなコネク
ション要求を拒絶すると共に、現在設定されている当該
ノードアドレスとポート番号とにより特定されるポート
へのコネクションを切断する構成としても、外部からの
不正侵入が起きる可能性をより一層低い確率に抑えるこ
とが可能となる。
【0017】また、コネクション要求処理手段によって
コネクション要求が許可された結果、当該コネクション
要求の要求先のノードアドレスとポート番号との間にコ
ネクションが設定されている状態で、当該コネクション
要求と要求先のノードアドレスとポート番号とが同一の
新たなコネクション要求が到来した場合に、当該新たな
コネクション要求を拒絶すると共に、当該設定されてい
るコネクションを切断する構成としても、外部からの不
正侵入が起きる可能性をより一層低い確率に抑えること
が可能となる。
【0018】また、上記ノードアドレスとしては、例え
ばIP(インターネットプロトコル)アドレスが適用可
能である。
【0019】また本発明のネットワーク接続装置は、コ
ネクション要求のみでなく、全てのデータ通信を対象に
制御するために、データ通信要求先のノードアドレスと
ポート番号とを含むデータ通信許可情報を保持するデー
タ通信許可情報保持手段と、上記ネットワーク接続装置
が属するネットワークセグメント上のクライアント側ノ
ードから与えられる当該ノードのノードアドレスとポー
ト番号とを含むデータ通信許可設定要求を受けて、当該
ノードアドレスとポート番号とにより特定されるポート
へのデータ通信を許可するための当該ノードアドレスと
ポート番号とを含むデータ通信許可情報を上記データ通
信許可情報保持手段に設定するデータ通信許可設定手段
と、任意のネットワークセグメント上のサーバ側ノード
から与えられるターゲットとなるノードアドレスとポー
ト番号とを含む他のネットワークセグメントへのデータ
通信要求を受け、当該要求中のノードアドレスとポート
番号との組を含むデータ通信許可情報が上記データ通信
許可情報保持手段に存在するか否かを判定し、存在する
と判定した場合には上記データ通信要求を許可し、存在
しないと判定した場合には上記データ通信要求を拒絶す
るデータ通信要求処理手段と、このデータ通信要求処理
手段によって上記データ通信要求が許可される際に、当
該データ通信要求中のノードアドレスとポート番号との
組を含むデータ通信許可情報保持手段上のデータ通信許
可情報を無効化するデータ通信許可取消手段とを備えた
ことを特徴とする。
【0020】このような構成においては、クライアント
側のノードからのデータ通信許可設定要求により指定さ
れたノードアドレスとポート番号へのデータ通信要求
は、1回のみしか許可されず、以降は拒絶される。これ
により、外部からの不正侵入が起きる可能性を極めて低
い確率に抑えながら、外部からのデータ通信要求を許可
することが可能になる。
【0021】ここで、上記データ通信許可情報保持手段
に設定されるデータ通信許可情報にタイムアウト時刻を
含めると共に、上記データ通信許可取消手段に代えて、
次の手段、即ち上記データ通信許可情報保持手段を定期
的に探索し、当該データ通信許可情報保持手段に保持さ
れているデータ通信許可情報のうちタイムアウト時刻を
経過したデータ通信許可情報を無効化するデータ通信許
可定期取消手段を備える構成とするならば、データ通信
許可設定要求により指定されたノードアドレスとポート
番号へのデータ通信要求は一時的に許可されるだけであ
り、タイムアウト時刻を経過したことが検出された以降
は拒絶される。これによっても、外部からの不正侵入が
起きる可能性を極めて低い確率に抑えながら、外部から
のデータ通信要求を許可することが可能になる。この効
果は、上記データ通信許可取消手段と上記データ通信許
可定期取消手段とを併用するならば、一層顕著となる。
【0022】以上に述べたネットワーク接続装置に係る
本発明は、当該装置の制御(ファイアウォール制御)機
能に着目すると、当該装置にその機能に相当する手順を
実行させるための(または当該装置にその機能を実現さ
せるための、または当該装置をその機能を持つ手段とし
て機能させるための)ファイアウォール制御プログラム
を記憶したコンピュータ読み取り可能な記憶媒体として
捉えることも可能である。
【0023】また、ネットワーク接続装置に係る本発明
は、当該装置の制御(ファイアウォール制御)機能に相
当する手順に着目すると、当該手順を備えたファイアウ
ォール制御方法として捉えることも可能である。
【0024】
【発明の実施の形態】以下、本発明の実施の形態につき
図面を参照して説明する。
【0025】[第1の実施形態]図1は本発明の第1の
実施形態に係るネットワーク接続装置を適用したコンピ
ュータネットワークシステムのシステム構成を示すブロ
ック図である。図1のシステムでは、複数、例えば4つ
のネットワークセグメント10a,10b,10c,1
0dが、ネットワーク接続装置102a,102b,1
02c,102dによりワイドエリアネットワーク(以
下、WANと称する)11を介して相互接続されてい
る。
【0026】各ネットワーク接続装置102i(i=a
〜d)は、ネットワークセグメント10iと他のネット
ワークセグメントとの間の通信を許可/拒絶するファイ
アウォール制御機能を有する。
【0027】ネットワークセグメント10i(i=a〜
d)は、ローカルエリアネットワーク(以下、LANと
称する)101iを有している。このLAN101iに
は、複数のノード(ノード装置)、例えば3台のノード
Ni1〜Ni3がネットワーク接続装置102iと共に
接続されている。ノードNij(j=1〜3)はクライ
アント計算機、或いはWWW(World Wide Web)サーバ
などに用いられるサーバ計算機等である。
【0028】図1のシステムでは、WAN11がインタ
ーネット環境であるとすると、WWWサーバをなすノー
ドNij(サーバ計算機)は、当該ノードNijが属す
るネットワークセグメント10iのネットワーク接続装
置102iによって実現されるファイアウォールで保護
されている。このファイアウォールは、汎用通信プロト
コルによるリクエストとしての例えばHTTPリクエス
トの受け付けは許可していて、それを当該リクエストで
指定されたノード(WWWサーバ)に送っている。
【0029】図1のシステムでは、あるノード上のクラ
イアントプロセスとあるノード上のサーバプロセスとの
間にコネクション(仮想回線)を設定するのに特別の仕
組みを適用している。そこでこの仕組みについて、図2
を参照して説明する。
【0030】まず図2においては、図1中のノードNa
1,Nb1,Nc1が、クライアントプロセス(クライ
アントアプリケーション)201a,201b,201
cを実装(インストール)したクライアント計算機であ
ることを想定している。また、図1中のノードNd1
が、WWWサーバ203と、クライアントプロセス20
1a,201b,201cからの要求に応じて当該クラ
イアントプロセスと協調動作するサーバプロセス(サー
バアプリケーション)204とを実装したサーバ計算機
であることも想定している。
【0031】図2では、基本的には、クライアントプロ
セス201a,201b,201cからサーバプロセス
204にコネクションを張るのではなく、サーバプロセ
ス204からクライアントプロセス201a,201
b,201cにコネクションを張るようにしている。
【0032】ここでは、従来のC/S型のアプリケーシ
ョンとは異なり、クライアントプロセス201a(20
1b,201c)は、サーバプロセス204へのコネク
ション実行要求をHTTPプロトコルで矢印21a(2
1b,21c)で示すようにWWWサーバ203に送
る。このとき、クライアントプロセス201a(201
b,201c)は、サーバプロセス204側からコネク
ションを張るためのクライアントポート202a(20
2b,202c)を開設し、そのクライアントポート番
号をクライアント計算機であるノードNa1(Nb1,
Nc1)のノードアドレスとしてのIPアドレスと共
に、コネクション実行要求に付加して、WWWサーバ2
03に送る。
【0033】WWWサーバ203は、クライアントプロ
セス201a(201b,201c)から受け取ったコ
ネクション実行要求を矢印22で示すようにサーバプロ
セス204に渡す。
【0034】サーバプロセス204は受け取ったコネク
ション実行要求に付加されているIPアドレス及びクラ
イアントポート番号をもとに、当該IPアドレスのノー
ドNa1(Nb1,Nc1)の当該ポート番号のクライ
アントポート202a(202b,202c)に対し
て、矢印23a(23b,23c)で示すようにTCP
/IPプロトコルでコネクション要求を行う。なお、こ
のような仕組みは、特願2000−163574号に記
載されている。
【0035】図2の仕組みを1つのクライアントプロセ
スに着目して簡略化し、クライアント側とサーバ側にそ
れぞれファイアウォールを加えた構成を図3に示す。ま
ず、(図2中のクライアントプロセス201a,201
b,201cに相当する)クライアントプロセス201
が実行されるクライアント計算機をなすノード(Ni
j)は、そのノードが属するネットワークセグメント
(10i)に設けられたネットワーク接続装置(102
i)が有するファイアウォール(クライアント側ファイ
アウォール)301で外部(他のネットワークセグメン
ト)からの不正侵入を防いでいる。
【0036】同様にWWWサーバ203及びサーバプロ
セス204が実行されるサーバ計算機をなすノード(N
d1)は、そのノードが属するネットワークセグメント
(10d)に設けられたネットワーク接続装置(102
d)が有するファイアウォール(サーバ側ファイアウォ
ール)302で外部(他のネットワークセグメント)か
らの不正侵入を防いでいる。
【0037】このようなファイアウォールの環境設定の
中、クライアントプロセス201はコネクション実行要
求をHTTPプロトコルで矢印31で示すようにWWW
サーバ203に送る。
【0038】この場合のコネクション実行要求はHTT
Pプロトコルであるので、クライアント側ファイアウォ
ール301とサーバ側ファイアウォール302のいずれ
においても通過が許可され、無事にWWWサーバ203
に到達する。WWWサーバ203に到達したコネクショ
ン実行要求は、矢印32で示すようにサーバプロセス2
04に送られる。
【0039】WWWサーバ203経由でコネクション実
行要求を受け取ったサーバプロセス204は、当該要求
に付加されているIPアドレス及びクライアントポート
番号をもとに、当該IPアドレスのノードの当該ポート
番号のクライアントポートに対して、矢印33で示すよ
うにTCP/IPプロトコルでコネクション要求を出
す。
【0040】このコネクション要求は、サーバ側ファイ
アウォール302にとっては外部に対してコネクション
(アウトバウンドコネクション)を張る要求なので、当
該ファイアウォール302では通過が許可される。
【0041】しかし、クライアント側ファイアウォール
301にとっては、上記コネクション要求は外部から内
部に対してコネクション(インバウンドコネクション)
を張られる要求なので、従来であれば当該ファイアウォ
ール301では通過が拒絶される。
【0042】本実施形態のネットワーク接続装置102
iは、このようなクライアント側ファイアウォールに適
用して、外部から(内部に対して)張られるコネクショ
ン要求を安全に許可する仕組みを実現するものである。
【0043】以下、ネットワーク接続装置102iのフ
ァイアウォール制御部の構成について、図4のブロック
構成図を参照して説明する。図3中のクライアントプロ
セス201は、サーバプロセス204との間にコネクシ
ョンを設定する必要がある場合、同図に示したようにコ
ネクション実行要求をWWWサーバ203経由で当該サ
ーバプロセス204に送る。クライアントプロセス20
1は、このコネクション実行要求を送出するのに先立
ち、図4に示すようにコネクション許可設定要求R1を
ネットワーク接続装置102iに出しておく。このコネ
クション許可設定要求R1には、上記コネクション実行
要求と同様に、クライアント側のノード(クライアント
計算機)のIPアドレスとクライアントプロセス201
が開設したクライアントポートのポート番号とが付され
る他に、タイムアウト時間(の情報)も付されている。
【0044】クライアントプロセス201からのコネク
ション許可設定要求R1は、コネクション許可設定部4
2によって処理され、指定されたIPアドレスとポート
番号との組(を含むコネクション許可情報)がコネクシ
ョン許可テーブル41のエントリに登録される。このエ
ントリには、登録時刻とタイムアウト時間とから決定さ
れるタイムアウト時刻(の情報)も(コネクション許可
情報の一部として)同時に設定される。このタイムアウ
ト時刻は、指定時間以内に外部から、当該タイムアウト
時刻と共に同一エントリに登録されているIPアドレス
とポート番号とにより指定されるポート(クライアント
ポート)にコネクション要求が到来しなかった場合に、
当該エントリを無効化するために利用される。
【0045】このエントリの無効化処理は、タイマ45
で定期的に起動されるコネクション許可定期リセット部
46が、コネクション許可テーブル41を探索してい
き、タイムアウト時刻を経過しているエントリを削除し
ていくことで実現される。
【0046】一方、クライアントプロセス201からW
WWサーバ203経由でコネクション実行要求が送られ
たサーバプロセス204は、当該要求に付されているI
Pアドレス及びクライアントポート番号をもとに、当該
IPアドレスのノードの当該ポート番号のクライアント
ポートに対してTCP/IPプロトコルでコネクション
要求R2を送る。このコネクション要求R2は、サーバ
側ファイアウォール(302)にとっては外部に対して
コネクションを張る要求なので後述するように通過が許
可され、クライアント側ファイアウォール(301)を
なすクライアント側のネットワーク接続装置102i
(のファイアウォール制御部)に送られる。
【0047】すると、サーバプロセス204からのコネ
クション要求R2は、図4のネットワーク接続装置10
2iのコネクション要求処理部47で受け取られる。コ
ネクション要求処理部47は、受け取ったコネクション
要求R2を以下に述べるようにして許可或いは拒絶す
る。
【0048】まずコネクション要求処理部47は、受け
取ったコネクション要求R2がこの例のように“外部か
らコネクションを張られる要求”であった場合は、許可
するか拒絶するかをコネクション許可判定部43に問い
合わせる。なお、コネクション要求R2を受け取ったコ
ネクション要求処理部47が、サーバ側ファイアウォー
ル(302)を実現するネットワーク接続装置102i
であった場合には、当該コネクション要求処理部47
は、受け取ったコネクション要求R2が“外部にコネク
ションを張る要求”であることから、そのコネクション
要求R2の通過を許可する。
【0049】コネクション許可判定部43は、コネクシ
ョン要求処理部47からの問い合わせを受けると、当該
コネクション要求処理部47で受け取られたコネクショ
ン要求R2に付されているIPアドレスとポート番号の
組が、コネクション許可テーブル41に登録されている
か否かを調べる。
【0050】そしてコネクション許可判定部43は、上
記IPアドレスとポート番号との組が登録されていた場
合には「許可」を、登録されていなかった場合には「拒
絶」を判定して、その判定結果をコネクション要求処理
部47に通知する。更にコネクション許可判定部43
は、「許可」と判定した場合には、コネクション許可リ
セット部44により、コネクション要求R2に付されて
いたIPアドレスとポート番号との組からなるエントリ
をコネクション許可テーブル41から削除させる。つま
り、コネクション要求R2中のIPアドレスとポート番
号との組がコネクション許可テーブル41内のエントリ
に登録されていたために、当該コネクション要求R2が
許可される場合、このエントリ(の登録情報)が無効化
される。
【0051】これにより特定のIPアドレスのポート番
号へのコネクション要求は、1回のみしか許可されない
ことになる。
【0052】これらの動作により、クライアント側のフ
ァイアウォール301では、通常は外部(サーバプロセ
ス204側)から張られるTCP/IPプロトコルのコ
ネクション要求は拒絶されるが、クライアントプロセス
201が事前にコネクション許可設定要求R1を出して
おくことで、指定されたIPアドレスの指定されたポー
トへのコネクション要求R2のみ一時的に許可されるよ
うになる。
【0053】しかも、この一時的に許可されているコネ
クション要求R2が1つ到来したら、当該コネクション
要求R2により示されるIPアドレス/ポートへのコネ
クション要求許可はリセットされる。
【0054】更に、コネクション要求R2が一時的に許
可されたIPアドレス/ポートへの新たなコネクション
要求が到来しなくても、タイムアウト時刻を経過したな
らばコネクション要求許可はリセットされる。
【0055】よって、ネットワーク接続装置102iの
ファイアウォール制御部では、外部からの不正侵入が起
きる可能性を極めて低い確率に抑えながら、外部から張
られるコネクション要求を許可することが可能になる。
【0056】次に、図4中のコネクション許可設定部4
2の処理の流れの詳細を図5のフローチャートを参照し
て説明する。まずコネクション許可設定部42は、クラ
イアントプロセス201から、IPアドレス、ポート番
号及びタイムアウト時間が付されているコネクション許
可設定要求R1を受け取る(ステップS1)。
【0057】するとコネクション許可設定部42は、ク
ライアントプロセス201から受け取ったコネクション
許可設定要求R1に付されているタイムアウト時間を現
在時刻に加算することでタイムアウト時刻を決定し、当
該要求R1に付されているIPアドレスとポート番号と
決定したタイムアウト時刻との組を、コネクション許可
テーブル41内のエントリに登録する(ステップS
2)。
【0058】次に、図4中のコネクション許可判定部4
3の処理の流れの詳細を図6のフローチャートを参照し
て説明する。まずコネクション許可判定部43は、コネ
クション要求処理部47で受け取られたコネクション要
求R2に付されているIPアドレスとポート番号との組
が、コネクション許可テーブル41に登録されているか
否かを調べるために、当該テーブル41を探索する(ス
テップS11)。そしてコネクション許可判定部43
は、コネクション許可テーブル41の探索の結果から、
コネクション要求されたIPアドレスとポート番号との
組がコネクション許可テーブル41に登録されているか
否かを判定する(ステップS12)。
【0059】もし、上記IPアドレスとポート番号との
組が登録されていない場合、コネクション許可判定部4
3は「コネクション要求を拒絶する」と判定し、その判
定結果をコネクション要求処理部47に通知する(ステ
ップS13)。
【0060】これに対し、上記IPアドレスとポート番
号との組が登録されている場合は、コネクション許可判
定部43はまず、コネクション許可リセット部44に対
し、“コネクション要求されたIPアドレスとポート番
号との組からなるエントリ”をコネクション許可テーブ
ル41から削除するように指示する(ステップS1
4)。そしてコネクション許可判定部43は、「コネク
ション要求を許可する」と判定する(ステップS1
5)。
【0061】次に、図4中のコネクション許可リセット
部44の処理の流れの詳細を図7のフローチャートを参
照して説明する。まずコネクション許可リセット部44
は、コネクション許可判定部43からIPアドレスとポ
ート番号との組を含むコネクション許可リセット要求を
受け取る(ステップS21)。
【0062】するとコネクション許可リセット部44
は、コネクション許可テーブル41から、上記受け取っ
たコネクション許可リセット要求により指定されたIP
アドレスとポート番号との組からなるエントリを削除す
る(ステップS22)。
【0063】次に、図4中のコネクション許可定期リセ
ット部46の処理の流れの詳細を図8のフローチャート
を参照して説明する。まずコネクション許可定期リセッ
ト部46は、タイマ45で一定時間が計測されるのを待
つ(ステップS31)。
【0064】そして一定時間が経過すると、コネクショ
ン許可定期リセット部46はコネクション許可テーブル
41の全エントリを1エントリずつ探索する(ステップ
S32)。コネクション許可定期リセット部46は1回
の探索毎に、新たに探索可能なエントリはないか否か、
つまり全てのエントリを探索し終えたか否かを判定し
(ステップS33)、全エントリの探索をし終えたと判
定したならば、ステップS31に戻って再び一定時間の
経過を待つ。
【0065】これに対し、全てのエントリを探索し終え
ていないと判定した場合には、コネクション許可定期リ
セット部46は、現在時刻が、上記ステップS32で探
索できたエントリに登録されているタイムアウト時刻を
経過しているか否かを判定する(ステップS34)。
【0066】もし、現在時刻がタイムアウト時刻を経過
していない場合は、コネクション許可定期リセット部4
6は何もする必要がないので、ステップS32に戻っ
て、次のエントリを探索する。
【0067】これに対し、現在時刻がタイムアウト時刻
を経過している場合は、コネクション許可定期リセット
部46は当該タイムアウト時刻が登録されているエント
リをコネクション許可テーブル41から削除する(ステ
ップS35)。その後、コネクション許可定期リセット
部46はステップS32に戻って、次のエントリを探索
する。
【0068】次に、図4中のコネクション要求処理部4
7の処理の流れの詳細を図9のフローチャートを参照し
て説明する。まずコネクション要求処理部47は、サー
バプロセス204から送られるIPアドレスとポート番
号との組を含むコネクション要求R2を受け取る(ステ
ップS41)。
【0069】するとコネクション要求処理部47は、受
け取ったコネクション要求R2が、“外部からコネクシ
ョンを張られる要求”であるか否かを判定する(ステッ
プS42)。もし、“外部からコネクションを張られる
要求”でない場合は、コネクション許可判定部43はコ
ネクション要求R2の通過を許可する(ステップS4
3)。
【0070】これに対し、“外部からコネクションを張
られる要求”である場合は、コネクション要求処理部4
7はコネクション許可判定部43に対し、コネクション
要求R2で指定されたIPアドレスとポート番号との組
がコネクション許可テーブル41に登録されているか否
かを問い合わせ、その問い合わせに対する判定結果の通
知を待つ(ステップS44)。
【0071】コネクション要求処理部47は、上記問い
合わせに対してコネクション許可判定部43から判定結
果が通知されると、その判定結果に基づいて指定のIP
アドレスとポート番号との組がコネクション許可テーブ
ル41に登録されているか否かを判定する(ステップS
45)。
【0072】もし、登録されていないと判定された場
合、コネクション要求処理部47はコネクション許可判
定部43でコネクション要求の拒絶が判定されたものと
して、上記受け取ったコネクション要求R2の通過を拒
絶する(ステップS46)。
【0073】これに対し、登録されていると判定された
場合は、コネクション要求処理部47はコネクション許
可判定部43でコネクション要求の許可が判定されたも
のとして、上記受け取ったコネクション要求R2の通過
を許可する(ステップS47)。
【0074】以上、ネットワーク接続装置102iのフ
ァイアウォール制御部における、コネクションが張られ
る(設定される)までのファイアウォール制御について
詳述した。
【0075】以下では、コネクションが張られた後の通
信について簡単に説明する。まず、コネクションが張ら
れた後の通信をどう扱うかについては、以下の2通りが
考えられる。 (a)コネクションが張られているポートを管理し、既
にコネクションが張られているIPアドレス/ポートに
対する通信は許可する。 (b)コネクション要求以外の通信は全て許可する。
【0076】(a)の方法に比べ、(b)の方法はコネ
クション要求以外の通信は全て許可してしまうので、安
全性が低いように見える。しかし実際には、通信路(仮
想回線)が確立されていない限り、データ通信は行え
ず、本実施形態のネットワーク接続装置102iによっ
てコネクション要求の不正侵入を防いでいるため、
(b)の安全性も(a)と同等である。
【0077】[第2の実施形態]前記第1の実施形態で
は、ネットワーク接続装置102i(のファイアウォー
ル制御部)によりコネクション要求のみを制御する場合
について説明したが、これに限るものではなく、全ての
データ通信についてのファイアウォール制御に適用する
ことも可能である。
【0078】そこで、コネクション要求のみでなく、全
てのデータ通信を対象にファイアウォール制御を行う本
発明の第2の実施形態に係るネットワーク接続装置につ
いて図面を参照して説明する。
【0079】図10は本発明の第2の実施形態に係るネ
ットワーク接続装置のファイアウォール制御部のブロッ
ク構成を示す。図10において、データ通信許可設定要
求R11は図3中のコネクション許可設定要求R1に相
当する。このデータ通信許可設定要求R11は、(図3
中のクライアントプロセス201に相当する)クライア
ントプロセスが(図3中のサーバプロセス204に相当
する)サーバプロセスとの間でデータ通信を行いたい場
合に、当該クライアントプロセスから、クライアント側
のネットワーク接続装置のファイアウォール制御部に出
される。このクライアントプロセスからのデータ通信許
可設定要求R12は、データ通信許可設定部142よっ
て処理され、指定されたIPアドレスとポート番号の組
(を含むデータ通信許可情報)が(図3中のコネクショ
ン許可テーブル41に相当する)データ通信許可テーブ
ル141に登録される。このデータ通信許可テーブル1
41のエントリには、登録時刻とタイムアウト時間とか
ら決定されるタイムアウト時刻(の情報)も(データ通
信許可情報の一部として)同時に設定される。このタイ
ムアウト時刻は、指定時間以内に外部から、当該タイム
アウト時刻と同一エントリに登録されているIPアドレ
スとポート番号とにより指定されるポート(クライアン
トポート)にデータ通信要求が到来しなかった場合に、
当該エントリを無効化するために利用される。
【0080】このエントリの無効化処理は、タイマ14
5で定期的に起動されるデータ通信許可定期リセット部
146が、データ通信許可テーブル141を探索してい
き、タイムアウト時刻を経過しているエントリを削除し
ていくことで実現される。
【0081】さて、クライアントプロセスは、データ通
信許可設定要求R12を出した後、前記第1の実施形態
におけるコネクション実行要求に相当するデータ通信実
行要求をHTTPプロトコルによりWWWサーバに送
り、当該WWWサーバによりデータ通信相手となるサー
バプロセスに転送させる。サーバプロセスはクライアン
トプロセスからのデータ通信実行要求をWWWサーバ経
由で受け取ると、当該要求に付されているIPアドレス
及びクライアントポート番号をもとに、当該IPアドレ
スのノードの当該ポート番号のクライアントポートに対
してTCP/IPプロトコルで(図4中のコネクション
要求R2に相当する)データ通信要求R12を送る。こ
のデータ通信要求R12は、サーバ側ファイアウォール
にとっては外部にデータ通信を行う要求なので通過が許
可され、クライアント側ファイアウォールをなすクライ
アント側のネットワーク接続装置のファイアウォール制
御部に送られる。
【0082】すると、サーバプロセスからのデータ通信
要求R12はデータ通信要求処理部147で受け取られ
る。データ通信要求処理部147は受け取ったデータ通
信要求R12を許可或いは拒絶する。データ通信要求処
理部147は、受け取ったデータ通信要求R12がこの
例と異なって“外部にデータ通信を行う要求”であった
場合には、当該データ通信要求R12の通過を許可す
る。これに対し、データ通信要求R12がこの例のよう
に“外部からデータ通信が行われる要求”であった場合
は、許可するか拒絶するかをデータ通信許可判定部14
3に問い合わせる。
【0083】データ通信許可判定部143は、データ通
信要求処理部147からの問い合わせを受けると、当該
データ通信要求処理部147で受け取られたデータ通信
要求R12に付されているIPアドレスとポート番号の
組が、データ通信許可テーブル141登録されているか
否かを調べる。
【0084】そしてデータ通信許可判定部143は、上
記IPアドレスとポート番号との組が登録されていた場
合には「許可」を、登録されていなかった場合には「拒
絶」を判定して、その判定結果をデータ通信要求処理部
147に通知する。更にデータ通信許可判定部143
は、「許可」と判定した場合には、データ通信許可リセ
ット部144により、データ通信要求R12に付されて
いたIPアドレスとポート番号との組を含むエントリを
データ通信許可テーブル141から削除させる。つま
り、データ通信要求R12中のIPアドレスとポート番
号との組がデータ通信許可テーブル141内のエントリ
に登録されていたために、当該データ通信要求R12が
許可される場合、このエントリ(の登録情報)が削除さ
れる。
【0085】これにより特定のIPアドレスのポート番
号へのデータ通信要求は、1回のみしか許可されないこ
とになる。
【0086】以上に述べた図4(図10)の構成におけ
るコネクション許可設定部42、コネクション許可判定
部43、コネクション許可リセット部44、コネクショ
ン許可定期リセット部46及びコネクション要求処理部
47(データ通信許可設定部142、データ通信許可判
定部143、データ通信許可リセット部144、データ
通信許可定期リセット部146及びデータ通信要求処理
部147)の処理機能は、CD−ROM等の記憶媒体に
記憶されているファイアウォール制御プログラムをネッ
トワーク接続装置102iにインストールして当該ネッ
トワーク接続装置102iにて読み取り実行することで
実現される。なお、このプログラムが通信媒体を介して
ダウンロードされるものであっても構わない。
【0087】なお、前記第1(第2)の実施形態におい
ては、コネクション許可設定要求R1(データ通信許可
設定要求R11)には、タイムアウト時間の他に、クラ
イアント計算機のIPアドレス、即ちサーバ計算機上の
サーバプロセスからみた場合にはコネクション要求先
(データ通信要求先)のIPアドレスとポート番号とが
付加されているものとして説明したが、コネクション要
求R2(データ通信要求R12)を発行する側、つまり
コネクション要求元(データ通信要求元)のIPアドレ
スを更に付加するようにしても構わない。この場合、コ
ネクション要求R2(データ通信要求R12)にも、コ
ネクション要求先(データ通信要求先)のIPアドレス
とポート番号に加えてコネクション要求元(データ通信
要求元)のIPアドレスを付加し、コネクション許可判
定部43(データ通信許可判定部143)では、コネク
ション要求先(データ通信要求先)のIPアドレスとポ
ート番号だけでなく、コネクション要求元(データ通信
要求元)のIPアドレスも一致することをもってコネク
ション(データ通信)の許可判定を行うとよい。
【0088】また前記第1の実施形態では、許可された
コネクションが張られている間に、コネクション先のク
ライアントポートを指すIPアドレス/ポート番号に対
するコネクション要求が到来した場合の扱いについて特
に考慮されていなかったが、このようなコネクション要
求は不正侵入であるとコネクション要求処理部47がみ
なして、当該コネクション要求を拒絶すると共に、既に
張られている、そのIPアドレス/ポート番号で指定さ
れるクライアントポートとの間のコネクションをリセッ
ト(切断)してしまうことも可能である。
【0089】また前記第1の実施形態では、コネクショ
ン要求に対してコネクションが許可されてから一定時間
の間に、コネクション先のクライアントポートを指すI
Pアドレス/ポート番号に対するコネクション要求が到
来した場合の扱いについて特に考慮されていなかった
が、このようなコネクション要求は不正侵入であるとコ
ネクション要求処理部47がみなして、当該コネクショ
ン要求を拒絶すると共に、既に張られている、そのIP
アドレス/ポート番号で指定されるクライアントポート
との間のコネクションをリセット(切断)してしまうこ
とも可能である。
【0090】また、前記第1(第2)の実施形態では、
ネットワーク接続装置におけるファイアウォール制御
を、“外部から張られるコネクション要求”(“外部か
らデータ通信が行われる要求”)に適用するものとして
説明したが、“外部に張るコネクション要求”(“外部
にデータ通信を行う要求”)にも適用可能である。
【0091】更に、前記第1(第2)の実施形態では、
TCP/IPプロトコルのコネクション要求(データ通
信要求)に対して適用するものとして説明したが、TC
P/IPプロトコル以外のプロトコルに対しても適用可
能である。
【0092】なお、本発明は、上記各実施形態に限定さ
れるものではなく、実施段階ではその要旨を逸脱しない
範囲で種々に変形することが可能である。更に、上記実
施形態には種々の段階の発明が含まれており、開示され
る複数の構成要件における適宜な組み合わせにより種々
の発明が抽出され得る。例えば、実施形態に示される全
構成要件から幾つかの構成要件が削除されても、発明が
解決しようとする課題の欄で述べた課題が解決でき、発
明の効果の欄で述べられている効果が得られる場合に
は、この構成要件が削除された構成が発明として抽出さ
れ得る。
【0093】
【発明の効果】以上詳述したように本発明によれば、ク
ライアント側ノードからのコネクション許可設定要求
(またはデータ通信許可設定要求)により指定されたノ
ードアドレスとポート番号とを含む情報を設定登録して
おき、この設定されたノードアドレスとポート番号への
サーバ側ノードからのコネクション要求(データ通信要
求)を一時的に許可する構成としたので、外部からの不
正侵入が起きる可能性を極めて低い確率に抑えながら、
外部から張られるコネクション要求(または外部からの
データ通信要求)を許可することができる。これによ
り、インターネット環境においてC/S型のアプリケー
ションを、セキュリティ上安全に実行することができ
る。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るネットワーク接
続装置を適用したコンピュータネットワークシステムの
システム構成を示すブロック図。
【図2】同第1の実施形態で適用される、クライアント
プロセスとサーバプロセスとの間にコネクションを設定
する仕組みを説明するための図。
【図3】図2の仕組みを1つのクライアントプロセスに
着目して簡略化し、クライアント側とサーバ側にそれぞ
れファイアウォールを加えた構成を示す図。
【図4】図1中のネットワーク接続装置のファイアウォ
ール制御部のブロック構成を示す図。
【図5】図4中のコネクション許可設定部の処理の流れ
を説明するためのフローチャート。
【図6】図4中のコネクション許可判定部の処理の流れ
を説明するためのフローチャート。
【図7】図4中のコネクション許可リセット部の処理の
流れを説明するためのフローチャート。
【図8】図4中のコネクション許可定期リセット部の処
理の流れを説明するためのフローチャート。
【図9】図4中のコネクション要求処理部の処理の流れ
を説明するためのフローチャート。
【図10】本発明の第2の実施形態に係るネットワーク
接続装置のファイアウォール制御部のブロック構成を示
す図。
【符号の説明】
10a〜10d…ネットワークセグメント 11…WAN(ワイドエリアネットワーク) 41…コネクション許可テーブル(コネクション許可情
報保持手段) 42…コネクション許可設定部 43…コネクション許可判定部 44…コネクション許可リセット部(コネクション許可
取消手段) 45,145…タイマ 46…コネクション許可定期リセット部(コネクション
許可定期取消手段) 47…コネクション要求処理部 101a〜101d…LAN(ローカルエリアネットワ
ーク) 141…データ通信許可テーブル(データ通信許可情報
保持手段) 142…データ通信許可設定部 143…データ通信許可判定部 144…データ通信許可リセット部(データ通信許可取
消手段) 146…データ通信許可定期リセット部(データ通信許
可定期取消手段) 147…データ通信要求処理部 201,201a〜201c…クライアントプロセス 202a〜202c…クライアントポート 203…WWWサーバ 204…サーバプロセス 301,302…ファイアウォール Na1〜Na3,Nb1〜Nb3,Nc1〜Nc3,N
d1〜Nd3…ノード R1…コネクション許可設定要求 R2…コネクション要求 R11…データ通信許可設定要求 R12…データ通信要求

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】 少なくとも1つのノードが接続されたネ
    ットワークセグメントを複数有するコンピュータネット
    ワークシステム内に前記各ネットワークセグメント毎に
    設けられ、当該ネットワークセグメントと他のネットワ
    ークセグメントとの間を接続するネットワーク接続装置
    において、 コネクション要求先のノードアドレスとポート番号とを
    含むコネクション許可情報を保持するコネクション許可
    情報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むコネクシ
    ョン許可設定要求を受けて、当該ノードアドレスとポー
    ト番号とにより特定されるポートへのコネクションを許
    可するための当該ノードアドレスとポート番号とを含む
    コネクション許可情報を前記コネクション許可情報保持
    手段に設定するコネクション許可設定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのコネクショ
    ン要求を受け、当該要求中の前記ノードアドレスとポー
    ト番号との組を含む前記コネクション許可情報が前記コ
    ネクション許可情報保持手段に存在するか否かを判定
    し、存在すると判定した場合には前記コネクション要求
    を許可し、存在しないと判定した場合には前記コネクシ
    ョン要求を拒絶するコネクション要求処理手段と、 前記コネクション要求処理手段によって前記コネクショ
    ン要求が許可される際に、当該コネクション要求中の前
    記ノードアドレスとポート番号との組を含む前記コネク
    ション許可情報保持手段上の前記コネクション許可情報
    を無効化するコネクション許可取消手段とを具備するこ
    とを特徴とするネットワーク接続装置。
  2. 【請求項2】 少なくとも1つのノードが接続されたネ
    ットワークセグメントを複数有するコンピュータネット
    ワークシステム内に前記各ネットワークセグメント毎に
    設けられ、当該ネットワークセグメントと他のネットワ
    ークセグメントとの間を接続するネットワーク接続装置
    において、 コネクション要求先のノードアドレスとポート番号とタ
    イムアウト時刻とを含むコネクション許可情報を保持す
    るコネクション許可情報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むコネクシ
    ョン許可設定要求を受けて、当該ノードアドレスとポー
    ト番号とにより特定されるポートへのコネクションを許
    可するための当該ノードアドレスとポート番号とタイム
    アウト時刻とを含むコネクション許可情報を前記コネク
    ション許可情報保持手段に設定するコネクション許可設
    定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのコネクショ
    ン要求を受け、当該要求中の前記ノードアドレスとポー
    ト番号との組を含む前記コネクション許可情報が前記コ
    ネクション許可情報保持手段に存在するか否かを判定
    し、存在すると判定した場合には前記コネクション要求
    を許可し、存在しないと判定した場合には前記コネクシ
    ョン要求を拒絶するコネクション要求処理手段と、 前記コネクション許可情報保持手段を定期的に探索し、
    当該コネクション許可情報保持手段に保持されている前
    記コネクション許可情報のうち前記タイムアウト時刻を
    経過したコネクション許可情報を無効化するコネクショ
    ン許可定期取消手段とを具備することを特徴とするネッ
    トワーク接続装置。
  3. 【請求項3】 少なくとも1つのノードが接続されたネ
    ットワークセグメントを複数有するコンピュータネット
    ワークシステム内に前記各ネットワークセグメント毎に
    設けられ、当該ネットワークセグメントと他のネットワ
    ークセグメントとの間を接続するネットワーク接続装置
    において、 コネクション要求先のノードアドレスとポート番号とタ
    イムアウト時刻とを含むコネクション許可情報を保持す
    るコネクション許可情報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むコネクシ
    ョン許可設定要求を受けて、当該ノードアドレスとポー
    ト番号とにより特定されるポートへのコネクションを許
    可するための当該ノードアドレスとポート番号とタイム
    アウト時刻とを含むコネクション許可情報を前記コネク
    ション許可情報保持手段に設定するコネクション許可設
    定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのコネクショ
    ン要求を受け、当該要求中の前記ノードアドレスとポー
    ト番号との組を含む前記コネクション許可情報が前記コ
    ネクション許可情報保持手段に存在するか否かを判定
    し、存在すると判定した場合には前記コネクション要求
    を許可し、存在しないと判定した場合には前記コネクシ
    ョン要求を拒絶するコネクション要求処理手段と、 前記コネクション要求処理手段によって前記コネクショ
    ン要求が許可される際に、当該コネクション要求中の前
    記ノードアドレスとポート番号との組を含む前記コネク
    ション許可情報保持手段上の前記コネクション許可情報
    を無効化するコネクション許可取消手段と、 前記コネクション許可情報保持手段を定期的に探索し、
    当該コネクション許可情報保持手段に保持されている前
    記コネクション許可情報のうちタイムアウト時刻を経過
    したコネクション許可情報を無効化するコネクション許
    可定期取消手段とを具備することを特徴とするネットワ
    ーク接続装置。
  4. 【請求項4】 前記コネクション要求処理手段により前
    記コネクション要求が許可された結果コネクションが確
    立された経路上の通信は全て許可する手段を更に具備す
    ることを特徴とする請求項1乃至請求項3のいずれかに
    記載のネットワーク接続装置。
  5. 【請求項5】 前記コネクション要求処理手段により前
    記コネクション要求が許可された結果コネクションが確
    立された経路上のコネクション要求以外の通信は全て許
    可する手段を更に具備することを特徴とする請求項1乃
    至請求項3のいずれかに記載のネットワーク接続装置。
  6. 【請求項6】 前記コネクション許可設定要求、前記コ
    ネクション要求及び前記コネクション許可情報は、前記
    コネクション許可設定要求に対しては要求元となり前記
    コネクション要求に対しては要求先となるノードのノー
    ドアドレスとポート番号とに加えて、前記コネクション
    要求の要求元ノードのノードアドレスを含んでおり、 前記コネクション要求処理手段は、前記コネクション要
    求を受けた場合、当該コネクション要求中の前記コネク
    ション要求先のノードアドレスとポート番号及び前記コ
    ネクション要求元のノードアドレスを含む前記コネクシ
    ョン許可情報が前記コネクション許可情報保持手段に存
    在することをもって、前記コネクション要求を許可する
    ことを特徴とする請求項1乃至請求項3のいずれかに記
    載のネットワーク接続装置。
  7. 【請求項7】 前記コネクション要求処理手段は、前記
    コネクション要求処理手段によって前記コネクション要
    求が許可された時点から一定時間内に、当該コネクショ
    ン要求と要求先のノードアドレスとポート番号とが同一
    のコネクション要求が到来した場合、当該到来したコネ
    クション要求を拒絶すると共に、現在設定されている当
    該ノードアドレスとポート番号とにより特定されるポー
    トへのコネクションを切断することを特徴とする請求項
    1乃至請求項3のいずれかに記載のネットワーク接続装
    置。
  8. 【請求項8】 前記コネクション要求処理手段は、前記
    コネクション要求処理手段によって前記コネクション要
    求が許可された結果、当該コネクション要求の要求先の
    ノードアドレスとポート番号とにより特定されるポート
    との間にコネクションが設定されている状態で、当該コ
    ネクション要求と要求先のノードアドレスとポート番号
    とが同一のコネクション要求が到来した場合、当該到来
    したコネクション要求を拒絶すると共に、当該設定され
    ているコネクションを切断することを特徴とする請求項
    1乃至請求項3のいずれかに記載のネットワーク接続装
    置。
  9. 【請求項9】 少なくとも1つのノードが接続されたネ
    ットワークセグメントを複数有するコンピュータネット
    ワークシステム内に前記各ネットワークセグメント毎に
    設けられ、当該ネットワークセグメントと他のネットワ
    ークセグメントとの間を接続するネットワーク接続装置
    において、 データ通信要求要求先のノードアドレスとポート番号と
    を含むデータ通信許可情報を保持するデータ通信許可情
    報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むデータ通
    信許可設定要求を受けて、当該ノードアドレスとポート
    番号とにより特定されるポートへのデータ通信を許可す
    るための当該ノードアドレスとポート番号とを含むデー
    タ通信許可情報を前記データ通信許可情報保持手段に設
    定するデータ通信許可設定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのデータ通信
    要求を受け、当該要求中の前記ノードアドレスとポート
    番号との組を含む前記データ通信許可情報が前記データ
    通信許可情報保持手段に存在するか否かを判定し、存在
    すると判定した場合には前記データ通信要求を許可し、
    存在しないと判定した場合には前記データ通信要求を拒
    絶するデータ通信要求処理手段と、 前記データ通信要求処理手段によって前記データ通信要
    求が許可される際に、当該データ通信要求中の前記ノー
    ドアドレスとポート番号との組を含む前記データ通信許
    可情報保持手段上の前記データ通信許可情報を無効化す
    るデータ通信許可取消手段とを具備することを特徴とす
    るネットワーク接続装置。
  10. 【請求項10】少なくとも1つのノードが接続されたネ
    ットワークセグメントを複数有するコンピュータネット
    ワークシステム内に前記各ネットワークセグメント毎に
    設けられ、当該ネットワークセグメントと他のネットワ
    ークセグメントとの間を接続するネットワーク接続装置
    において、 データ通信要求先のノードアドレスとポート番号とタイ
    ムアウト時刻とを含むデータ通信許可情報を保持するデ
    ータ通信許可情報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むデータ通
    信許可設定要求を受けて、当該ノードアドレスとポート
    番号とにより特定されるポートへのデータ通信を許可す
    るための当該ノードアドレスとポート番号とタイムアウ
    ト時刻とを含むデータ通信許可情報を前記データ通信許
    可情報保持手段に設定するデータ通信許可設定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのデータ通信
    要求を受け、当該要求中の前記ノードアドレスとポート
    番号との組を含む前記データ通信許可情報が前記データ
    通信許可情報保持手段に存在するか否かを判定し、存在
    すると判定した場合には前記データ通信要求を許可し、
    存在しないと判定した場合には前記データ通信要求を拒
    絶するデータ通信要求処理手段と、 前記データ通信許可情報保持手段を定期的に探索し、当
    該データ通信許可情報保持手段に保持されている前記デ
    ータ通信許可情報のうちタイムアウト時刻を経過したデ
    ータ通信許可情報を無効化するデータ通信許可定期取消
    手段とを具備することを特徴とするネットワーク接続装
    置。
  11. 【請求項11】 少なくとも1つのノードが接続された
    ネットワークセグメントを複数有するコンピュータネッ
    トワークシステム内に前記各ネットワークセグメント毎
    に設けられ、当該ネットワークセグメントと他のネット
    ワークセグメントとの間を接続するネットワーク接続装
    置において、 データ通信要求先のノードアドレスとポート番号とタイ
    ムアウト時刻とを含むデータ通信許可情報を保持するデ
    ータ通信許可情報保持手段と、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから与えられる当該
    ノードのノードアドレスとポート番号とを含むデータ通
    信許可設定要求を受けて、当該ノードアドレスとポート
    番号とにより特定されるポートへのデータ通信を許可す
    るための当該ノードアドレスとポート番号とタイムアウ
    ト時刻とを含むデータ通信許可情報を前記データ通信許
    可情報保持手段に設定するデータ通信許可設定手段と、 任意のネットワークセグメント上のサーバ側ノードから
    与えられるターゲットとなるノードアドレスとポート番
    号とを含む他のネットワークセグメントへのデータ通信
    要求を受け、当該要求中の前記ノードアドレスとポート
    番号との組を含む前記データ通信許可情報が前記データ
    通信許可情報保持手段に存在するか否かを判定し、存在
    すると判定した場合には前記データ通信要求を許可し、
    存在しないと判定した場合には前記データ通信要求を拒
    絶するデータ通信要求処理手段と、 前記データ通信要求処理手段によって前記データ通信要
    求が許可される際に、当該データ通信要求中の前記ノー
    ドアドレスとポート番号との組を含む前記データ通信許
    可情報保持手段上の前記データ通信許可情報を無効化す
    るデータ通信許可取消手段と、 前記データ通信許可情報保持手段を定期的に探索し、当
    該データ通信許可情報保持手段に保持されている前記デ
    ータ通信許可情報のうちタイムアウト時刻を経過したデ
    ータ通信許可情報を無効化するデータ通信許可定期取消
    手段とを具備することを特徴とするネットワーク接続装
    置。
  12. 【請求項12】 少なくとも1つのノードが接続された
    ネットワークセグメントを複数有するコンピュータネッ
    トワークシステム内に前記各ネットワークセグメント毎
    に設けられ、当該ネットワークセグメントと他のネット
    ワークセグメントとの間を接続するネットワーク接続装
    置に、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから当該ノードのノ
    ードアドレスとポート番号とを含むコネクション許可設
    定要求を受けた場合に、当該ノードアドレスとポート番
    号とにより特定されるポートへのコネクションを許可す
    るための当該ノードアドレスとポート番号とを含むコネ
    クション許可情報をコネクション許可情報保持手段に設
    定するステップと、 任意のネットワークセグメント上のサーバ側ノードから
    ターゲットとなるノードアドレスとポート番号とを含む
    他のネットワークセグメントへのコネクション要求を受
    けた場合に、当該要求中の前記ノードアドレスとポート
    番号との組を含む前記コネクション許可情報が前記コネ
    クション許可情報保持手段に存在するか否かを判定する
    ステップと、 前記コネクション要求中の前記ノードアドレスとポート
    番号との組を含む前記コネクション許可情報が前記コネ
    クション許可情報保持手段に存在すると判定された場合
    には当該コネクション要求を許可し、存在しないと判定
    された場合には当該コネクション要求を拒絶するステッ
    プと、 前記コネクション要求中の前記ノードアドレスとポート
    番号との組を含む前記コネクション許可情報が前記コネ
    クション許可情報保持手段に存在すると判定された場
    合、前記コネクション許可情報保持手段上の当該コネク
    ション許可情報を無効化するステップとを実行させるた
    めのファイアウォール制御プログラムを記憶したコンピ
    ュータ読み取り可能な記憶媒体。
  13. 【請求項13】 少なくとも1つのノードが接続された
    ネットワークセグメントを複数有するコンピュータネッ
    トワークシステム内に前記各ネットワークセグメント毎
    に設けられ、当該ネットワークセグメントと他のネット
    ワークセグメントとの間を接続するネットワーク接続装
    置に、 前記ネットワーク接続装置が属する前記ネットワークセ
    グメント上のクライアント側ノードから当該ノードのノ
    ードアドレスとポート番号とを含むコネクション許可設
    定要求を受けた場合に、当該ノードアドレスとポート番
    号とにより特定されるポートへのコネクションを許可す
    るための当該ノードアドレスとポート番号とタイムアウ
    ト時刻とを含むコネクション許可情報をコネクション許
    可情報保持手段に設定するステップと、 任意のネットワークセグメント上のサーバ側ノードから
    ターゲットとなるノードアドレスとポート番号とを含む
    他のネットワークセグメントへのコネクション要求を受
    けた場合に、当該要求中の前記ノードアドレスとポート
    番号との組を含む前記コネクション許可情報が前記コネ
    クション許可情報保持手段に存在するか否かを判定する
    ステップと、 前記コネクション要求中の前記ノードアドレスとポート
    番号との組を含む前記コネクション許可情報が前記コネ
    クション許可情報保持手段に存在すると判定された場合
    には当該コネクション要求を許可し、存在しないと判定
    された場合には当該コネクション要求を拒絶するステッ
    プと、 前記コネクション許可情報保持手段を定期的に探索し、
    当該コネクション許可情報保持手段に保持されている前
    記コネクション許可情報のうち前記タイムアウト時刻を
    経過したコネクション許可情報を無効化するステップと
    を実行させるためのファイアウォール制御プログラムを
    記憶したコンピュータ読み取り可能な記憶媒体。
JP2000301313A 2000-09-29 2000-09-29 ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 Pending JP2002108729A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000301313A JP2002108729A (ja) 2000-09-29 2000-09-29 ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000301313A JP2002108729A (ja) 2000-09-29 2000-09-29 ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体

Publications (1)

Publication Number Publication Date
JP2002108729A true JP2002108729A (ja) 2002-04-12

Family

ID=18782871

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000301313A Pending JP2002108729A (ja) 2000-09-29 2000-09-29 ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体

Country Status (1)

Country Link
JP (1) JP2002108729A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004310774A (ja) * 2003-04-01 2004-11-04 Microsoft Corp ネットワークゾーン
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
JP2007048002A (ja) * 2005-08-09 2007-02-22 Canon Inc 情報処理装置及びその制御方法、並びにコンピュータプログラム及びコンピュータ可読記憶媒体
JP2011150704A (ja) * 2011-02-09 2011-08-04 Fujitsu Ltd 接続支援装置
US8353024B2 (en) 2007-04-09 2013-01-08 Samsung Electronics Co., Ltd. Method of transmitting information effectively in server/client network and server and client apparatuses using the same
US8537841B2 (en) 2005-02-24 2013-09-17 Fujitsu Limited Connection support apparatus and gateway apparatus

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004310774A (ja) * 2003-04-01 2004-11-04 Microsoft Corp ネットワークゾーン
JP4575696B2 (ja) * 2003-04-01 2010-11-04 マイクロソフト コーポレーション ネットワークゾーン
US9003048B2 (en) 2003-04-01 2015-04-07 Microsoft Technology Licensing, Llc Network zones
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
US8537841B2 (en) 2005-02-24 2013-09-17 Fujitsu Limited Connection support apparatus and gateway apparatus
JP2007048002A (ja) * 2005-08-09 2007-02-22 Canon Inc 情報処理装置及びその制御方法、並びにコンピュータプログラム及びコンピュータ可読記憶媒体
JP4614392B2 (ja) * 2005-08-09 2011-01-19 キヤノン株式会社 情報処理装置及びその制御方法、並びにコンピュータプログラム及びコンピュータ可読記憶媒体
US8353024B2 (en) 2007-04-09 2013-01-08 Samsung Electronics Co., Ltd. Method of transmitting information effectively in server/client network and server and client apparatuses using the same
JP2011150704A (ja) * 2011-02-09 2011-08-04 Fujitsu Ltd 接続支援装置

Similar Documents

Publication Publication Date Title
US8874789B1 (en) Application based routing arrangements and method thereof
EP1231754B1 (en) Handling information about packet data connections in a security gateway element
US7860988B2 (en) Congestion control and avoidance method in a data processing system
US8185933B1 (en) Local caching of endpoint security information
JP3596400B2 (ja) Dnsサーバフィルタ
US7360242B2 (en) Personal firewall with location detection
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
US20020143965A1 (en) Server application initiated affinity within networks performing workload balancing
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
EP2235908B1 (en) Selectively loading security enforcement points with security association information
US20080104241A1 (en) Terminal device management system, data relay device, internetwork connection device, and quarantine method of terminal device
US20100125668A1 (en) Methods, Systems, and Computer Program Products for Enhancing Internet Security for Network Subscribers
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
JP4082613B2 (ja) 通信サービスを制限するための装置
US11874845B2 (en) Centralized state database storing state information
US11689458B2 (en) Control device, control method, and program
JP2002108729A (ja) ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP6330814B2 (ja) 通信システム、制御指示装置、通信制御方法及びプログラム
JP5979304B2 (ja) プログラム、情報処理装置および更新方法
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP2001077857A (ja) フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体
KR101535381B1 (ko) Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP2002199003A (ja) 移動端末位置登録方法及びその実施装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040915

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070305

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070514

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070605