JP2002199025A - ネットワーク防御装置 - Google Patents

ネットワーク防御装置

Info

Publication number
JP2002199025A
JP2002199025A JP2000395909A JP2000395909A JP2002199025A JP 2002199025 A JP2002199025 A JP 2002199025A JP 2000395909 A JP2000395909 A JP 2000395909A JP 2000395909 A JP2000395909 A JP 2000395909A JP 2002199025 A JP2002199025 A JP 2002199025A
Authority
JP
Japan
Prior art keywords
network
external
internal
information
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000395909A
Other languages
English (en)
Inventor
Toru Inada
徹 稲田
Shinobu Atozawa
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000395909A priority Critical patent/JP2002199025A/ja
Publication of JP2002199025A publication Critical patent/JP2002199025A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク防御装置の過負荷攻撃への耐性
を高めること。 【解決手段】 外部ネットワーク5と内部ネットワーク
6との間で送受信される情報は、パケット分岐部24ま
たはパケット分岐部25で分岐され、外部アタック監視
ボード3または内部アタック監視ボード4と、メインボ
ード2にそれぞれ送信される。外部アタック監視ボード
3および内部アタック監視ボード4は、受信した情報が
不正な情報であるか否かを判定し、判定結果をもとに情
報の処理内容を決定し、内部バスを介してメインボード
に送信する。メインボード2は、外部アタック監視ボー
ド3または内部アタック監視ボード4から受信した処理
内容に従って、情報の中継または棄却を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、企業内ネットワ
ークなどの内部ネットワークとインターネットなどの開
放された外部ネットワークとの間に配置され、外部ネッ
トワークに接続される外部端末や外部ネットワークに接
続される他の内部ネットワーク内の内部端末などによる
内部ネットワークに対する攻撃を防御するネットワーク
防御装置に関し、特に過負荷攻撃に対する耐性が高く、
また物理防御も容易なネットワーク防御装置に関するも
のである。
【0002】
【従来の技術】従来から、インターネットなどの外部ネ
ットワークと、イントラネットなどの内部ネットワーク
を接続する場合、不正なアクセスや内部ネットワークへ
の攻撃を防ぐために、ネットワーク防御システムが導入
されている。
【0003】また、インターネットなどの外部ネットワ
ークを介して、内部ネットワークが相互に接続される場
合、VPN(仮想暗号通信網:Virtual Pri
vate Network)を構築し、物理的に離れた
複数の内部ネットワークを仮想的な一つの内部ネットワ
ークとして構築し、外部からの不正アクセスや攻撃を防
いでいる。
【0004】図5は、従来のネットワーク防御システム
の構成を示すブロック図である。図5において、ネット
ワーク防御システム11は、通信室10内に配置され、
フィルタ/VPN装置11a、外部アタック監視装置1
1b、内部アタック監視装置11cを有する。フィルタ
/VPN装置11aは、外部ネットワーク5および内部
ネットワーク6aと接続する。外部アタック監視装置1
1bは、通信室10内において外部ネットワーク5と接
続する。また、内部アタック監視装置11cは、通信室
10内において内部ネットワーク6aと接続する。
【0005】外部ネットワーク5は、ネットワーク防御
システム11と同じ構成を有するネットワーク防御シス
テム12を介して内部ネットワーク6bに接続される。
また、外部ネットワーク5は、ネットワーク防御システ
ム11と同じ構成を有するネットワーク防御システム1
3を介して内部ネットワーク6cに接続される。
【0006】フィルタ/VPN装置11aは、外部ネッ
トワーク5および内部ネットワーク6aからデータパケ
ットを受信し、それぞれ内部ネットワーク6a側および
外部ネットワーク5側に中継する中継処理および不正な
データパケットの廃棄処理を行う。また、フィルタ/V
PN装置11aは、中継処理に際し、データパケットの
暗号化処理および復号処理を行う。フィルタ/VPN装
置11aは、内部ネットワーク6a内の端末から内部ネ
ットワーク6bまたは内部ネットワーク6cに送信する
データパケットを暗号化し、この暗号化されたデータパ
ケットは、ネットワーク防御システム12,13におい
て復号され、宛先の端末に送信される。
【0007】また、フィルタ/VPN装置11aは、内
部ネットワーク6b,6cから、暗号化されたデータパ
ケットを受け取った場合、復号し、この復号したデータ
パケットを内部ネットワーク6a内の端末に送信する。
内部ネットワーク6a〜6cは、ネットワーク防御シス
テム11〜13を接合点として外部ネットワーク5に接
続され、外部ネットワーク5内に暗号化されたデータパ
ケットを送受信させることによって仮想的な一つの内部
ネットワークであるVPNを構築する。
【0008】外部アタック監視装置11bは、外部ネッ
トワーク5からフィルタ/VPN装置11aに入力され
るデータパケットを監視する。外部アタック監視装置1
1bは、入力されたデータパケットの分析を行い、フィ
ルタ/VPN装置11aに対する不正なアクセスやアタ
ックの検出を行う。外部アタック監視装置11bは、不
正なアクセスやアタックを検出した場合、その対処がフ
ィルタ/VPN装置11aによって可能なものであれ
ば、フィルタ/VPN装置11aに対して対処指示を送
信する。ここで、外部アタック監視装置11bは、フィ
ルタ/VPN装置11aに対する対処指示を、外部ネッ
トワーク5を介して送信する。
【0009】内部アタック監視装置11cは、内部ネッ
トワーク6aに対して送受信されるデータパケットを分
析し、フィルタ/VPN装置11aに対する不正なアク
セスやアタックの検出を行う。内部アタック監視装置1
1cは、不正なアクセスやアタックを検出した場合、そ
の対処がフィルタ/VPN装置11aによって可能なも
のであれば、フィルタ/VPN装置11aに対して対処
指示を送信する。ここで、内部アタック監視装置11c
は、フィルタ/VPN装置11aに対する対処指示を、
内部ネットワーク6aを介して送信する。
【0010】また、ネットワーク防御システム11を構
成するフィルタ/VPN装置11a、外部アタック監視
装置11b、および内部アタック監視装置11cは、物
理的に隔離された通信室10内に設置され、ネットワー
ク防御システム11に対する物理的な攻撃を防止する。
【0011】
【発明が解決しようとする課題】しかしながら、上述し
た従来のネットワーク防御システム11は、外部アタッ
ク監視装置11bが、外部ネットワーク5を介してフィ
ルタ/VPN装置11aに対処指示を送信するので、フ
ィルタ/VPN装置11aと同様に、外部端末などによ
る攻撃の影響を直接受けることになる。たとえば外部ネ
ットワーク5から内部ネットワーク6aに対する過負荷
攻撃があった場合、外部アタック監視装置11bがこの
過負荷攻撃を検出し、フィルタ/VPN装置11aに対
処指示を送信したとしても、防御対象のネットワークで
ある外部ネットワーク5を介して対処指示を送信するこ
とから、対処指示自体が過負荷攻撃によってフィルタ/
VPN装置11aに到達不能になり、過負荷攻撃などの
攻撃に対する対処を確実に行うことができないという問
題があった。
【0012】同様にして、内部アタック監視装置11c
は、内部ネットワーク6aを介してフィルタ/VPN装
置11aに対処指示を送信するので、当該内部アタック
監視装置11cも、内部ネットワーク6aに対する攻撃
の影響を直接受けることになる。たとえば、内部ネット
ワーク6aに対する過負荷攻撃があった場合、内部アタ
ック監視装置11cがこの過負荷攻撃を検出し、フィル
タ/VPN装置11aに対処指示を送信したとしても、
防御対象のネットワークである内部ネットワーク6aを
介して対処指示を送信することから、対処指示自体が過
負荷攻撃によってフィルタ/VPN装置11aに到達不
能になり、過負荷攻撃などの攻撃に対する対処を確実に
行うことができないという問題点があった。
【0013】一方、ネットワーク防御システム11は、
当該ネットワーク防御システム11を物理的に防御する
ため、内部ネットワーク6aなどから隔離された通信室
10に配置する必要があり、この通信室10の設置に伴
う労力がかかるという問題点があった。
【0014】この発明は上記に鑑みてなされたものであ
って、ネットワーク防御システムを介したネットワーク
に対する過負荷攻撃などの攻撃を確実に防御できる耐性
の高いネットワーク防御装置を得るとともに、ネットワ
ークに対する物理的な防御をも簡易に実現することので
きるネットワーク防御装置を得ることを目的とする。
【0015】
【課題を解決するための手段】上記目的を達成するた
め、この発明にかかるネットワーク防御装置は、外部ネ
ットワークおよび内部ネットワークを接続する主通信路
上に配置され、前記外部ネットワークおよび前記内部ネ
ットワーク間で送受信される情報の中継処理および廃棄
処理を行うフィルタ処理手段と、前記外部ネットワーク
および前記内部ネットワーク間で送受信される情報が不
正な情報であるか否かを判定し、該不正な情報に対する
棄却処理を前記フィルタ処理手段に指示する監視手段
と、前記外部ネットワークと前記フィルタ処理手段とを
接続する主通信路上に配置され、少なくとも前記外部ネ
ットワークから入力された情報を前記監視手段に分岐出
力する外部分岐手段と、前記内部ネットワークと前記フ
ィルタ処理手段とを接続する主通信路上に配置され、前
記内部ネットワークから入力された情報および前記フィ
ルタ処理手段を介して出力された情報を前記監視手段に
分岐出力する内部分岐手段と、前記外部分岐手段と前記
監視手段との間、前記内部分岐手段と前記監視手段との
間および前記監視手段と前記フィルタ処理手段との間を
接続する副通信路とを備えたことを特徴とする。
【0016】この発明によれば、外部ネットワークと内
部ネットワークとを接続する主通信路を用いて送受信さ
れる情報は、外部分岐手段および内部分岐手段で分岐さ
れ、監視手段によって不正な情報であるか否かを判定さ
れ、不正な情報であると判定された場合、監視手段は、
副通信路を介し、主通信路上のフィルタ手段に情報の棄
却を指示する。
【0017】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記監視手段は、前記外部分
岐手段に接続され、前記外部ネットワークに接続された
外部端末から入力された情報が不正な情報であるか否か
を判定する外部監視手段と、前記内部分岐手段に接続さ
れ、前記外部ネットワークを介してVPN接続された他
の内部ネットワークの内部端末から入力された情報及び
前記内部ネットワークから入力された情報が不正な情報
であるか否かを判定する内部監視手段とを備えたことを
特徴とする。
【0018】この発明によれば、監視手段は、外部ネッ
トワークから入力された情報を外部監視手段で監視し、
外部ネットワークを介してVPN接続された他の内部ネ
ットワークから入力された情報および内部ネットワーク
から入力された情報を内部監視手段で監視し、外部監視
手段または内部監視手段が不正な情報を検出した場合、
副通信路を介してフィルタ手段に情報の棄却を指示す
る。
【0019】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記外部分岐手段と前記内部
分岐手段との間の主通信路上に接続され、前記外部ネッ
トワークに出力される情報の暗号化処理および前記内部
ネットワークに出力される情報の復号処理を行う暗号処
理手段をさらに備えたことを特徴とする。
【0020】この発明によれば、ネットワーク防御装置
は、外部ネットワークに情報を出力する場合、監視手段
による不正な情報であるか否かの判定と暗号処理手段に
よる暗号化とを行い、外部ネットワークから暗号化され
た情報を受信した場合、暗号処理手段による復号と監視
手段による不正な情報であるか否かの判定とを行う。
【0021】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記内部監視手段は、前記暗
号処理手段によって復号された情報をもとに前記外部ネ
ットワークから入力された情報が不正な情報であるか否
かを判定し、前記フィルタ処理手段による該不正な情報
の棄却処理を行わせることを特徴とする。
【0022】この発明によれば、内部監視手段は、外部
ネットワークから入力された情報が暗号化されている場
合、復号された情報をもとに不正な情報であるか否かを
判定し、不正な情報を検出した場合、フィルタ処理手段
によってこの不正な情報を棄却する。
【0023】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記外部監視手段は、前記外
部分岐手段から入力された情報のフィルタリング処理を
行う外部フィルタ手段を備え、前記外部フィルタ手段
は、前記暗号処理手段の処理結果をもとに、暗号化され
た情報の棄却処理を行わせることを特徴とする。
【0024】この発明によれば、外部監視手段は、外部
フィルタ手段によって、暗号化された情報を棄却し、平
文の情報を監視する。
【0025】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記外部監視手段は、前記外
部分岐手段から入力された情報のフィルタリング処理を
行う外部フィルタ手段を備え、前記内部監視手段は、前
記内部分岐手段から入力された情報のフィルタリング処
理を行う内部フィルタ手段を備え、前記外部フィルタ手
段および前記内部フィルタ手段は、前記フィルタ処理手
段による処理結果をもとに当該外部監視手段および当該
内部監視手段による判定処理前に不正な情報の棄却処理
を行うことを特徴とする。
【0026】この発明によれば、外部フィルタ手段およ
び内部フィルタ手段は、フィルタ手段による処理結果を
もとに情報のフィルタリング処理を行い、外部監視手段
または内部監視手段に送信する。
【0027】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記副通信路は、内部バスに
よって形成されたことを特徴とする。
【0028】この発明によれば、外部分岐手段と監視手
段との間、内部分岐手段と監視手段との間および監視手
段とフィルタ処理手段との間を内部バスで接続し、主通
信路と独立させている。
【0029】つぎの発明にかかるネットワーク防御装置
は、上記の発明において、前記フィルタ処理手段および
前記外部監視手段と前記内部監視手段とを含む前記監視
手段、または前記フィルタ処理手段、前記暗号処理手
段、および前記外部監視手段と前記内部監視手段とを含
む前記監視手段は、一つの物理的筐体内に格納されたこ
とを特徴とする。
【0030】この発明によれば、フィルタ処理手段、暗
号処理手段および監視手段は、一つの筐体に格納され
る。
【0031】
【発明の実施の形態】以下に添付図面を参照して、この
発明に係るネットワーク防御装置の好適な実施の形態を
詳細に説明する。
【0032】実施の形態1.図1は、この発明の実施の
形態1であるネットワーク防御装置の構成を示すブロッ
ク図である。図1において、ネットワーク防御装置1
は、外部ネットワーク5と内部ネットワーク6とを接続
する。また、外部ネットワーク5には、ネットワーク防
御装置1と同じ構成を有するネットワーク防御装置(図
示せず)が接続され、ネットワーク防御装置1とデータ
パケットを暗号化して送受信することによって擬似的な
一つの内部ネットワークであるVPNを構築する。
【0033】また、ネットワーク防御装置1は、メイン
ボード2、外部アタック監視ボード3、内部アタック監
視ボード4、を有する。さらに、メインボード2は、装
置管理部21、パケット処理部22、パケット送受信部
23、パケット分岐部24,25、を有する。また、外
部アタック監視ボード3は、アタック監視部31、パケ
ット処理部32、パケット受信部33を有する。内部ア
タック監視ボード4は、アタック監視部41、パケット
処理部42、パケット受信部43を有する。
【0034】パケット分岐部24は、外部ネットワーク
5、パケット送受信部23、パケット受信部33と接続
している。このパケット分岐部24は、外部ネットワー
ク5から受信したデータパケットを分岐し、パケット送
受信部23およびパケット受信部33に送信するHUB
機能を有する。また、パケット分岐部24は、パケット
送受信部23から受信したデータパケットを外部ネット
ワーク5に送出する。
【0035】パケット分岐部25は、内部ネットワーク
6、パケット送受信部23、パケット受信部43と接続
している。パケット分岐部25は、内部ネットワーク6
から受信したデータパケットを分岐し、パケット送受信
部23およびパケット受信部43に送信するHUB機能
を有する。また、パケット分岐部25は、パケット送受
信部23から受信したデータパケットを内部ネットワー
ク6およびパケット受信部43に分岐して送信するHU
B機能を有する。
【0036】パケット受信部33は、パケット分岐部2
4からデータパケットを受信し、パケット処理部32に
送出する。パケット処理部32は、パケット受信部33
から受け取ったデータパケットを廃棄または中継するフ
ィルタ機能を有する。パケット処理部32は、正当なア
クセスであることが既に判明しているデータパケット
や、既に対処が決定しているデータパケットを廃棄し、
不正なアクセスである可能性のあるデータパケットやア
タックである可能性のあるデータパケットをアタック監
視部31に送出する。
【0037】アタック監視部31は、パケット処理部3
2から受信したデータパケットを分析するパケット分析
部31bと不正アクセスやアタックに対する対処を決定
するアタック対処部31aとを有する。アタック対処部
31aは、パケット分析部31bの分析結果をもとに対
処を決定し、内部バスを介して装置管理部21に送出す
る。
【0038】パケット受信部43は、パケット分岐部2
5からデータパケットを受信し、パケット処理部42に
送出する。パケット処理部42は、パケット受信部43
から受け取ったデータパケットを廃棄または中継するフ
ィルタ機能を有する。パケット処理部42は、正当なア
クセスであることが既に判明しているデータパケット
や、既に対処が決定しているデータパケットを廃棄し、
不正なアクセスである可能性のあるデータパケットやア
タックである可能性のあるデータパケットをアタック監
視部41に送出する。
【0039】アタック監視部41は、パケット処理部4
2から受信したデータパケットを分析するパケット分析
部41bと不正アクセスやアタックに対する対処を決定
するアタック対処部41aとを有する。アタック対処部
41aは、パケット分析部41bの分析結果をもとに対
処を決定し、内部バスを介して装置管理部21に送出す
る。
【0040】パケット送受信部23は、パケット分岐部
24,25から受信したデータパケットをパケット処理
部22に送出する。また、パケット処理部22から受信
したデータパケットを宛先に応じてパケット分岐部24
またはパケット分岐部25に送出する。
【0041】装置管理部21は、防御装置管理部21a
およびアタック対処実行部21bを有する。防御装置管
理部21aは、ネットワーク防御装置1の管理を行う。
アタック対処実行部21bは、アタック対処部31a,
41aから受信した対処をもとに、パケット処理部22
に対処情報を送信する。
【0042】パケット処理部22は、データパケットの
暗号化処理と復号処理とを行うVPN部22a、および
データパケットの廃棄または中継を行うフィルタ処理部
22bを有する。VPN部22aは、パケット送受信部
23から暗号化されたデータパケットを受信した場合、
データパケットを復号する。また、VPN部22aは、
宛先がVPNに接続された端末であるデータパケットを
暗号化する。
【0043】さらにフィルタ処理部22bは、アタック
対処実行部21bから受信した対処情報をもとに、デー
タパケットを廃棄または中継する。
【0044】ここで、図2および図3を参照して、不正
アクセスを受けた場合のネットワーク防御装置1の動作
を説明する。
【0045】図2は、外部ネットワークに接続された端
末から不正侵入があった場合におけるネットワーク防御
装置1の動作を説明する図である。内部ネットワーク6
にはサーバ8が接続され、外部ネットワーク5には、攻
撃端末7が接続されている。また、外部ネットワーク5
と内部ネットワーク6とは、ネットワーク防御装置1を
介して接続されている。なお、ここでサーバ8は、例え
ばメールサーバなどの、外部ネットワーク5に接続され
た端末と平文で通信を行うサーバである。また、外部ネ
ットワーク5は、例えばインターネットなどのオープン
なネットワークであり、攻撃端末7は、外部ネットワー
ク5に接続された端末で、悪意を持つ第3者に操作さ
れ、ネットワーク防御装置1に不正なアクセスを行う端
末である。
【0046】攻撃端末7は、外部ネットワーク5を介し
てネットワーク防御装置1に不正なデータパケットを送
信する。パケット分岐部24は、受信した不正なデータ
パケットを分岐し、外部アタック監視ボード3およびメ
インボード2に送信する。外部アタック監視ボード3
は、受信したデータパケットを分析し、不正なアクセス
であるか否かを判定する。不正なアクセスであると判定
した場合、対処を決定し、決定した対処を内部バスを用
いてメインボード2に送信する。不正なアクセスに対す
る対処としては、送信元である攻撃端末7からのデータ
パケットの廃棄などを用いればよい。
【0047】メインボード2は、内部バスから受信した
データパケットに対する対処をもとに、データパケット
の廃棄または中継を行う。メインボード2は、攻撃端末
7からのデータパケットの廃棄を指示された場合、デー
タパケットに含まれる送信元の情報をもとに、以降の攻
撃端末7からのデータパケットを廃棄する。
【0048】図3は、内部ネットワークに接続された端
末からVPNを介して不正侵入があった場合におけるネ
ットワーク防御装置1の動作を説明する図である。内部
ネットワーク6aにはサーバ8が接続され、内部ネット
ワーク6bには、攻撃端末7が接続されている。また、
外部ネットワーク5と内部ネットワーク6aとは、ネッ
トワーク防御装置1を介して接続されている。さらに、
外部ネットワーク5と内部ネットワーク6bとは、ネッ
トワーク防御装置9を介して接続されている。
【0049】なお、ここでサーバ8は、例えばメールサ
ーバなどの、外部ネットワーク5に接続された端末と平
文で通信を行うサーバである。また、外部ネットワーク
5は、例えばインターネットなどのオープンなネットワ
ークであり、ネットワーク防御装置1とネットワーク防
御装置9とは、暗号通信によってVPNを形成してい
る。攻撃端末7は、内部ネットワーク6bに接続された
端末で、悪意を持つ第3者に操作され、ネットワーク防
御装置1に不正なアクセスを行う端末である。
【0050】攻撃端末7は、VPNを介してネットワー
ク防御装置1に不正なデータパケットを送信する。不正
なデータパケットは、内部ネットワーク6bを経由して
ネットワーク防御装置9に到達する。ネットワーク防御
装置9は、不正なデータパケットを暗号化し、外部ネッ
トワーク5を介してネットワーク防御装置1に送信す
る。パケット分岐部24は、暗号化された不正なデータ
パケットを分岐し、外部アタック監視ボード3およびメ
インボード2に送信する。外部アタック監視ボード3
は、受信したデータパケットを分析し、不正なアクセス
であるか否かを判定するが、暗号化されたデータパケッ
トは不正なアクセスではないとみなす。
【0051】メインボード2は、暗号化されたデータパ
ケットを復号する。復号されたデータパケットは、パケ
ット分岐部25で分岐され、内部アタック監視ボード4
および内部ネットワーク6aに送信される。内部アタッ
ク監視ボード4は、受信したデータパケットを分析し、
不正なアクセスであるか否かを判定する。不正なアクセ
スであると判定した場合、内部アタック監視ボード4
は、対処を決定し、決定した対処を内部バスを用いてメ
インボード2に送信する。不正なアクセスに対する対処
としては、送信元である攻撃端末7からのデータパケッ
トの廃棄などを用いればよい。
【0052】メインボード2は、内部バスから受信した
データパケットに対する対処をもとに、データパケット
の廃棄または中継を行う。メインボード2は、攻撃端末
7からのデータパケットの廃棄を指示された場合、デー
タパケットに含まれる送信元の情報をもとに、以降の攻
撃端末7からのデータパケットを廃棄する。
【0053】この実施の形態1では、パケット分岐部2
4は、外部ネットワーク5から受信したデータパケット
を分岐して外部アタック監視ボード3およびメインボー
ド2に送信し、外部アタック監視ボード3は、データパ
ケットが不正なアクセスであるか否かを判定して、この
データパケットへの対処を内部バスを用いてメインボー
ド2へと送信する。また、パケット分岐部25は、内部
ネットワーク6が送受信するデータパケットを内部アタ
ック監視ボード4へと分岐する。内部アタック監視ボー
ド4は、データパケットが不正なアクセスであるか否か
を判定して、このデータパケットへの対処を内部バスを
用いてメインボード2へと送信する。メインボード2
は、受信したデータパケットが暗号化されている場合、
これを復号し、外部アタック監視ボード3および内部ア
タック監視ボード4の判定をもとにデータパケットの中
継および廃棄を行う。
【0054】ネットワーク防御装置1は、不正なデータ
パケットを検出し、不正なデータパケットに対する対処
を、内部バスを利用してメインボード2に送信するの
で、ネットワークの負荷状況に関わらず、不正アクセス
への対処が可能となり、ネットワークに負荷を与えてネ
ットワークの機能を停止させる過負荷攻撃に対する耐久
性が向上する。
【0055】なお、外部アタック監視ボード3は、暗号
化されたデータパケットを分析前にフィルタリングして
もよい。暗号化されたデータパケットをフィルタリング
し、平文のデータパケットを監視することで、外部アタ
ック監視ボード3の分析処理量が減少し、処理効率が向
上する。
【0056】また、メインボード2で廃棄されるデータ
パケットの情報をフィルタリング情報として、内部バス
を通じて外部アタック監視ボード3および内部アタック
監視ボード4に送信してもよい。廃棄処理または中継処
理が確定しているデータパケットをフィルタリングする
ことで、外部アタック監視ボード3および内部アタック
監視ボード4の分析処理量が減少し、処理効率が向上す
る。
【0057】実施の形態2.図4は、この発明の実施の
形態2であるネットワーク防御装置50の構成を示すブ
ロック図である。ネットワーク防御装置50において、
メインボード2、外部アタック監視ボード3、内部アタ
ック監視ボード4は、一つの筐体に収められている。
【0058】ネットワーク防御装置50は、データパケ
ットの中継および破棄を安全に行う為に必要な秘密情報
を保持している。外部アタック監視ボード3は、不正ア
クセスおよびアタックの検出に用いる検出情報D1を保
持している。また、内部アタック監視ボード4は、不正
アクセスおよびアタックの検出に用いる検出情報D2を
保持している。
【0059】さらに、外部アタック監視ボード3とメイ
ンボード2とを接続する内部バスには不正アクセスやア
タックに対する対処情報D3が流されている。また、内
部アタック監視ボード4とメインボード2とを接続する
内部バスには不正アクセスやアタックに対する対処情報
D4が流されている。さらに、メインボード2は、暗号
処理に関わる暗号鍵などの暗号情報D5を保持してい
る。
【0060】この実施の形態2では、ネットワーク防御
装置50は、メインボード2、外部アタック監視ボード
3、内部アタック監視ボード4を一つの筐体に格納する
ので、筐体自体を防御することで、容易に検出情報D
1,D2、対処情報D3,D4、暗号情報D5を保護す
ることができる。
【0061】
【発明の効果】以上説明したように、この発明によれ
ば、外部ネットワークと内部ネットワークとを接続する
主通信路を用いて送受信される情報は、外部分岐手段お
よび内部分岐手段で分岐され、監視手段によって不正な
情報であるか否かを判定され、不正な情報であると判定
された場合、監視手段は、副通信路を介し、主通信路上
のフィルタ手段に情報の棄却を指示するので、監視手段
の判定結果を確実にフィルタ処理手段に伝達し、ネット
ワークに高負荷がかかっている場合においても、不正な
情報を破棄することができ、過負荷攻撃に耐性の高いネ
ットワーク防御装置を得ることができるという効果を奏
する。
【0062】つぎの発明によれば、監視手段は、外部ネ
ットワークから入力された情報を外部監視手段で監視
し、外部ネットワークを介してVPN接続された他の内
部ネットワークから入力された情報および内部ネットワ
ークから入力された情報を内部監視手段で監視し、不正
な情報を検出した場合、副通信路を介してフィルタ手段
に情報の棄却を指示するので、VPNを構築している場
合においても、不正な情報を確実に破棄し、過負荷攻撃
に耐性の高いネットワーク防御装置を得ることができる
という効果を奏する。
【0063】つぎの発明によれば、外部ネットワークに
情報を出力する場合、監視手段による不正な情報である
か否かの判定と暗号処理手段による暗号化とを行い、外
部ネットワークから暗号化された情報を受信した場合、
暗号処理手段による復号と監視手段による不正な情報で
あるか否かの判定とを行うので、暗号を用いて情報の送
受信を行う場合であっても、不正な情報を確実に破棄す
ることができるネットワーク防御装置を得ることができ
るという効果を奏する。
【0064】つぎの発明によれば、内部監視手段は、外
部ネットワークから入力された情報が暗号化されている
場合、復号された情報をもとに不正な情報であるか否か
を判定し、不正な情報を検出した場合、フィルタ処理手
段によってこの不正な情報を棄却するので、暗号化され
た不正な情報を受信した場合であっても、不正な情報を
確実に破棄することができるネットワーク防御装置を得
ることができるという効果を奏する。
【0065】つぎの発明によれば、外部監視手段は、外
部フィルタ手段をよって、暗号化された情報を棄却し、
平文の情報を監視するので、外部監視手段の処理量が減
少し、効率的にネットワークを監視可能なネットワーク
防御装置を得ることができるという効果を奏する。
【0066】つぎの発明によれば、外部フィルタ手段お
よび内部フィルタ手段は、フィルタ手段による処理結果
をもとに情報のフィルタリング処理を行い、外部監視手
段または内部監視手段に送信するので、外部監視手段お
よび内部監視手段の処理量が減少し、効率的にネットワ
ークを監視可能なネットワーク防御装置を得ることがで
きるという効果を奏する。
【0067】つぎの発明によれば、前記外部分岐手段と
前記監視手段との間、前記内部分岐手段と前記監視手段
との間および前記監視手段と前記フィルタ処理手段との
間を内部バスで接続し、主通信路と独立させているの
で、監視手段の判定結果を確実にフィルタ処理手段に伝
達し、ネットワークに高負荷がかかっている場合におい
ても、不正な情報を破棄することができ、過負荷攻撃に
耐性の高いネットワーク防御装置を簡易な構成で得るこ
とができるという効果を奏する。
【0068】つぎの発明によれば、フィルタ処理手段、
暗号処理手段および監視手段は、一つの筐体に格納され
るので、ネットワーク接続室など大規模な物理的防御を
不要とし、筐体を保護することで容易に物理的防御が可
能なネットワーク防御装置を得ることができるという効
果を奏する。
【図面の簡単な説明】
【図1】 この発明の実施の形態1であるネットワーク
防御装置の構成を示すブロック図である。
【図2】 外部ネットワークに接続された端末から不正
侵入があった場合におけるネットワーク防御装置の動作
を説明する図である。
【図3】 内部ネットワークに接続された端末からVP
Nを介して不正侵入があった場合におけるネットワーク
防御装置の動作を説明する図である。
【図4】 この発明の実施の形態2であるネットワーク
防御装置の構成を示すブロック図である。
【図5】 従来のネットワーク防御システムの構成を示
すブロック図である。
【符号の説明】
1,9,50 ネットワーク防御装置、2 メインボー
ド、3 外部アタック監視ボード、4 内部アタック監
視ボード、5 外部ネットワーク、6,6a,6b 内
部ネットワーク、7 攻撃端末、8 サーバ、21 装
置管理部、21a 防御装置管理部、21b アタック
対処実行部、22 パケット処理部、22a VPN
部、22b フィルタ処理部、23 パケット送受信
部、24,25 パケット分岐部、31,41 アタッ
ク監視部、31a,41a アタック処理部、31b,
41b パケット分析部、32,42 パケット処理
部、33,43 パケット受信部、D1,D2 検出情
報、D3,D4 対処情報、D5暗号情報。
フロントページの続き Fターム(参考) 5B089 GA11 GA21 GA31 GB02 HA10 JB16 KA17 KB13 KC54 MA07 5J104 PA07 5K030 GA15 HA08 HD03 HD06 LC13 LC18 LD20 MC08

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 外部ネットワークおよび内部ネットワー
    クを接続する主通信路上に配置され、前記外部ネットワ
    ークおよび前記内部ネットワーク間で送受信される情報
    の中継処理および廃棄処理を行うフィルタ処理手段と、 前記外部ネットワークおよび前記内部ネットワーク間で
    送受信される情報が不正な情報であるか否かを判定し、
    該不正な情報に対する棄却処理を前記フィルタ処理手段
    に指示する監視手段と、 前記外部ネットワークと前記フィルタ処理手段とを接続
    する主通信路上に配置され、少なくとも前記外部ネット
    ワークから入力された情報を前記監視手段に分岐出力す
    る外部分岐手段と、 前記内部ネットワークと前記フィルタ処理手段とを接続
    する主通信路上に配置され、前記内部ネットワークから
    入力された情報および前記フィルタ処理手段を介して出
    力された情報を前記監視手段に分岐出力する内部分岐手
    段と、 前記外部分岐手段と前記監視手段との間、前記内部分岐
    手段と前記監視手段との間および前記監視手段と前記フ
    ィルタ処理手段との間を接続する副通信路と、 を備えたことを特徴とするネットワーク防御装置。
  2. 【請求項2】 前記監視手段は、 前記外部分岐手段に接続され、前記外部ネットワークに
    接続された外部端末から入力された情報が不正な情報で
    あるか否かを判定する外部監視手段と、 前記内部分岐手段に接続され、前記外部ネットワークを
    介してVPN接続された他の内部ネットワークの内部端
    末から入力された情報及び前記内部ネットワークから入
    力された情報が不正な情報であるか否かを判定する内部
    監視手段と、 を備えたことを特徴とする請求項1に記載のネットワー
    ク防御装置。
  3. 【請求項3】 前記外部分岐手段と前記内部分岐手段と
    の間の主通信路上に接続され、前記外部ネットワークに
    出力される情報の暗号化処理および前記内部ネットワー
    クに出力される情報の復号処理を行う暗号処理手段をさ
    らに備えたことを特徴とする請求項1または2に記載の
    ネットワーク防御装置。
  4. 【請求項4】 前記内部監視手段は、 前記暗号処理手段によって復号された情報をもとに前記
    外部ネットワークから入力された情報が不正な情報であ
    るか否かを判定し、前記フィルタ処理手段による該不正
    な情報の棄却処理を行わせることを特徴とする請求項3
    に記載のネットワーク防御装置。
  5. 【請求項5】 前記外部監視手段は、 前記外部分岐手段から入力された情報のフィルタリング
    処理を行う外部フィルタ手段を備え、 前記外部フィルタ手段は、 前記暗号処理手段の処理結果をもとに、暗号化された情
    報の棄却処理を行わせることを特徴とする請求項3また
    は4に記載のネットワーク防御装置。
  6. 【請求項6】 前記外部監視手段は、 前記外部分岐手段から入力された情報のフィルタリング
    処理を行う外部フィルタ手段を備え、 前記内部監視手段は、 前記内部分岐手段から入力された情報のフィルタリング
    処理を行う内部フィルタ手段を備え、 前記外部フィルタ手段および前記内部フィルタ手段は、
    前記フィルタ処理手段による処理結果をもとに当該外部
    監視手段および当該内部監視手段による判定処理前に不
    正な情報の棄却処理を行うことを特徴とする請求項2〜
    4のいずれか一つに記載のネットワーク防御装置。
  7. 【請求項7】 前記副通信路は、内部バスによって形成
    されたことを特徴とする請求項1〜6のいずれか一つに
    記載のネットワーク防御装置。
  8. 【請求項8】 前記フィルタ処理手段および前記外部監
    視手段と前記内部監視手段とを含む前記監視手段、また
    は前記フィルタ処理手段、前記暗号処理手段、および前
    記外部監視手段と前記内部監視手段とを含む前記監視手
    段は、一つの物理的筐体内に格納されたことを特徴とす
    る請求項1〜7のいずれか一つに記載のネットワーク防
    御装置。
JP2000395909A 2000-12-26 2000-12-26 ネットワーク防御装置 Pending JP2002199025A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000395909A JP2002199025A (ja) 2000-12-26 2000-12-26 ネットワーク防御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000395909A JP2002199025A (ja) 2000-12-26 2000-12-26 ネットワーク防御装置

Publications (1)

Publication Number Publication Date
JP2002199025A true JP2002199025A (ja) 2002-07-12

Family

ID=18861287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000395909A Pending JP2002199025A (ja) 2000-12-26 2000-12-26 ネットワーク防御装置

Country Status (1)

Country Link
JP (1) JP2002199025A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009230418A (ja) * 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法
US7933201B2 (en) 2006-12-29 2011-04-26 Fujitsu Limited Entry compression/decompression method and apparatus performing an entry compression and decompression

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7933201B2 (en) 2006-12-29 2011-04-26 Fujitsu Limited Entry compression/decompression method and apparatus performing an entry compression and decompression
JP2009230418A (ja) * 2008-03-21 2009-10-08 Fujitsu Ltd 通信監視装置、通信監視プログラム、および通信監視方法

Similar Documents

Publication Publication Date Title
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US9674209B2 (en) Method and system for detecting and mitigating attacks performed using cryptographic protocols
CN107852359B (zh) 安全系统、通信控制方法
CN101141244B (zh) 网络加密数据病毒检测和消除系统和代理服务器及方法
US7797436B2 (en) Network intrusion prevention by disabling a network interface
KR100695827B1 (ko) 통합형 보안 장치 및 그 동작 방법
US8635441B2 (en) Encryption-based control of network traffic
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
CN101141243A (zh) 一种对通信数据进行安全检查和内容过滤的装置和方法
AU2003222180A1 (en) System and method for detecting an infective element in a network environment
US11658944B2 (en) Methods and apparatus for encrypted communication
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
Shah et al. TCP/IP network protocols—Security threats, flaws and defense methods
JP4647481B2 (ja) 暗号化通信装置
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
JP2002199025A (ja) ネットワーク防御装置
Oman et al. Attack and defend tools for remotely accessible control and protection equipment in electric power systems
RU2163744C2 (ru) Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования
JP3784799B2 (ja) 攻撃パケット防御システム
AU2020409472B2 (en) Transmission device for transmitting data
Ganapathy Virtual Dispersive Network in the Prevention of Third Party Interception: A Way of Dealing with Cyber Threat
KR20160143086A (ko) Sdn을 이용한 사이버 검역 시스템 및 방법
RU2143728C1 (ru) Система защиты виртуального канала корпоративной сети, построенной на каналах связи и средствах коммутации сети связи общего пользования