JP2002236627A - ファイアウォールの動的ポート変更方法 - Google Patents
ファイアウォールの動的ポート変更方法Info
- Publication number
- JP2002236627A JP2002236627A JP2001032912A JP2001032912A JP2002236627A JP 2002236627 A JP2002236627 A JP 2002236627A JP 2001032912 A JP2001032912 A JP 2001032912A JP 2001032912 A JP2001032912 A JP 2001032912A JP 2002236627 A JP2002236627 A JP 2002236627A
- Authority
- JP
- Japan
- Prior art keywords
- port
- socket
- port conversion
- conversion table
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 安全な通信環境を提供する。
【解決手段】ファイアウォール13a、13bを備えた
計算機をネットワーク11に接続してデータ通信をする
時、ソケット処理を行う前にサーバ・アプリケーション
のサービスポート番号を動的に変更する。また、時系列
に沿った一意の乱数を使用して変更するポート番号を決
定する。
計算機をネットワーク11に接続してデータ通信をする
時、ソケット処理を行う前にサーバ・アプリケーション
のサービスポート番号を動的に変更する。また、時系列
に沿った一意の乱数を使用して変更するポート番号を決
定する。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続した計算機がデータ通信する際のセキュリティに係わ
り、特にファイアウォールの動的ポート変更方法に関す
る。
続した計算機がデータ通信する際のセキュリティに係わ
り、特にファイアウォールの動的ポート変更方法に関す
る。
【0002】
【従来の技術】計算機をネットワークに接続してデータ
通信するときは、通信する当事者とは関係のない第3者
への情報の漏洩を防止し、セキュリティを確保すること
が重要である。このため従来は、ファイアウオールの機
能を有する代理サーバを通信経路上に配置し、サービス
をするときにポート番号と通信アドレスを用いて中継す
るという通信システムが提案され、実用に供されてい
る。その代理サーバがデータ通信の中継をする時は、サ
ービスポートと呼ばれてサービスアプリケーション毎に
決める転送先のポート番号が固定になっており、一般的
にはIETF の RFC1700 WELL KNOWN PORT NUMBERS に提案
されている番号が用いられている。たとえばtelnetポー
ト番号は23と定められている。
通信するときは、通信する当事者とは関係のない第3者
への情報の漏洩を防止し、セキュリティを確保すること
が重要である。このため従来は、ファイアウオールの機
能を有する代理サーバを通信経路上に配置し、サービス
をするときにポート番号と通信アドレスを用いて中継す
るという通信システムが提案され、実用に供されてい
る。その代理サーバがデータ通信の中継をする時は、サ
ービスポートと呼ばれてサービスアプリケーション毎に
決める転送先のポート番号が固定になっており、一般的
にはIETF の RFC1700 WELL KNOWN PORT NUMBERS に提案
されている番号が用いられている。たとえばtelnetポー
ト番号は23と定められている。
【0003】
【発明が解決しようとする課題】しかしながら、外部か
らの攻撃を考えた場合、サービスポートが固定されてい
るため、繰り返し受ける攻撃や、パケット情報を大量に
送って接続要求先のマシンの負荷を増大させるという攻
撃を受ける可能性があって問題となっているため、アプ
リケーションサーバ側で何らかの対策を施す必要があっ
た。また、WELL KNOWN PORT NUMBERS では攻撃対象にな
り易いので、サービスポート番号を標準でないものに変
更する組織のサポートを受けて対処するということもで
きるが、このような場合であってもポートスキャニング
によって、サービスポートを確定できるため、同様の攻
撃を受ける可能性が残っているという問題がある。そこ
で本発明は、かかる問題を解決するためになされたもの
であり、安全な通信環境を提供することを目的とする。
らの攻撃を考えた場合、サービスポートが固定されてい
るため、繰り返し受ける攻撃や、パケット情報を大量に
送って接続要求先のマシンの負荷を増大させるという攻
撃を受ける可能性があって問題となっているため、アプ
リケーションサーバ側で何らかの対策を施す必要があっ
た。また、WELL KNOWN PORT NUMBERS では攻撃対象にな
り易いので、サービスポート番号を標準でないものに変
更する組織のサポートを受けて対処するということもで
きるが、このような場合であってもポートスキャニング
によって、サービスポートを確定できるため、同様の攻
撃を受ける可能性が残っているという問題がある。そこ
で本発明は、かかる問題を解決するためになされたもの
であり、安全な通信環境を提供することを目的とする。
【0004】
【課題を解決するための手段】上記問題を解決するた
め、本発明のファイアウォールの動的ポート変更方法
は、ファイアウォールを備えた計算機をネットワークに
接続してデータ通信をする時、ソケット処理を行う前に
サーバ・アプリケーションのサービスポート番号を動的
に変更することを特徴としており、また、時系列に沿っ
た一意の乱数を使用して変更するポート番号を決定する
ことを特徴としている。このようにしているため、連続
的な攻撃が容易でなくなり、より安全な通信が行えるの
である。
め、本発明のファイアウォールの動的ポート変更方法
は、ファイアウォールを備えた計算機をネットワークに
接続してデータ通信をする時、ソケット処理を行う前に
サーバ・アプリケーションのサービスポート番号を動的
に変更することを特徴としており、また、時系列に沿っ
た一意の乱数を使用して変更するポート番号を決定する
ことを特徴としている。このようにしているため、連続
的な攻撃が容易でなくなり、より安全な通信が行えるの
である。
【0005】
【発明の実施の形態】以下、本発明によるデータ通信動
的ポート変更方法の実施形態を図面により詳細に説明す
る。図1は本発明の実施の形態に係るネットワーク構成
の概要を示す図である。図において、13a、13bは
個別の代理サーバに設けられたファイアウォール、12
a、12bはルータ、14a、14bはローカルセグメ
ント、15a、15bはファイアウォール13a、13
bによって守られたネットワークドメイン、11はイン
ターネットである。図2において、13は代理サーバで
あり、この図で代理サーバ13のソフトウェア構造を説
明している。図において、21はサーバ・アプリケーシ
ョンであり、TELNETやFTP等のサービスを提供する通信
プログラムである。22は、ソケット処理23とサーバ
・アプリケーション21との間に設けられた動的ポート
変換ソケット処理である。動的ポート変換ソケット処理
22は、代理サーバ13内にあるサーバ・アプリケーシ
ョン21のインターフェイスとしてソケット処理23と
全く同一のインターフェイスを提供し、サーバ・アプリ
ケーション21の待ち受けポートを動的に変更する。ま
た動的ポート変換ソケット処理22は、サーバ・アプリ
ケーション21を改造することなく、動的にポートを変
更することができる。図3は動的ポート変換ソケット処
理22のソフトウェア構造を説明する図である。図にお
いて、31はソケットポート変換部であり、サーバ・ア
プリケーション21のソケットシステムコール(ポート
変換前)を受け取ると、ポート変換表作成部32が作成
したポート変換表33を参照してポートを変換し、ソケ
ットシステムコール(ポート変換後)をソケット処理2
3へ渡す。また、ソケット処理23のソケットシステム
コール(ポート変換後)を受け取ると、ポート変換表3
3を参照してポートを逆変換し、ソケットシステムコー
ル(ポート変換前)をサーバ・アプリケーション21へ
渡す。ポート変換表作成部32は、自IPアドレスを種
として時系列に沿った一意的な乱数等によりポート変換
表33を作成し、コネクションが切れる時にポート変換
表33を更新する。また、通信先代理サーバのポート変
換表も同様に作成する。ポート変換表33は、自IPア
ドレスと通信先代理サーバのIPアドレスのそれぞれに
ついて変換表をもっている。図4は、ソケットポート変
換部31の動作手順を示すフローチャートである。ソケ
ットポート変換部31がサーバ・アプリケーション21
からソケットシステムコールを受け取ると(ステップ4
1)、要求ホストのポート変換表33があるかどうかを
確認する(ステップ42)。要求ホストのポート変換表
33がない場合はポート変換表作成部32がポート変換
表33の作成を行う(ステップ43)。要求ホストのポ
ート変換表33がある場合は、そのポート変換表33を
参照して、ソケットシステムコールのポート番号を変更
し(ステップ44)、ソケット処理23にポート番号を
変更したソケットシステムコールを渡す(ステップ4
5)。図5は、ポート変換表作成部32の動作手順を示
すフローチャートである。ポート変換表作成部32が、
代理サーバ13のIPアドレスを種にして、時系列に沿
った一意的な乱数を発生させると(ステップ51)、そ
の後、代理サーバ毎にポート変換表を作成する(ステッ
プ52)。乱数が作成されている代理サーバのコネクシ
ョン状態を調査し(ステップ53)、コネクションがな
い場合は、ステップ51に戻って上記手順を繰り返し、
ポート変換表を再度作成する。このように、代理サーバ
13a、13bのそれぞれがデータ通信をする時に動的
にポート番号を変更するので、より安全なデータ通信が
行えるのである。
的ポート変更方法の実施形態を図面により詳細に説明す
る。図1は本発明の実施の形態に係るネットワーク構成
の概要を示す図である。図において、13a、13bは
個別の代理サーバに設けられたファイアウォール、12
a、12bはルータ、14a、14bはローカルセグメ
ント、15a、15bはファイアウォール13a、13
bによって守られたネットワークドメイン、11はイン
ターネットである。図2において、13は代理サーバで
あり、この図で代理サーバ13のソフトウェア構造を説
明している。図において、21はサーバ・アプリケーシ
ョンであり、TELNETやFTP等のサービスを提供する通信
プログラムである。22は、ソケット処理23とサーバ
・アプリケーション21との間に設けられた動的ポート
変換ソケット処理である。動的ポート変換ソケット処理
22は、代理サーバ13内にあるサーバ・アプリケーシ
ョン21のインターフェイスとしてソケット処理23と
全く同一のインターフェイスを提供し、サーバ・アプリ
ケーション21の待ち受けポートを動的に変更する。ま
た動的ポート変換ソケット処理22は、サーバ・アプリ
ケーション21を改造することなく、動的にポートを変
更することができる。図3は動的ポート変換ソケット処
理22のソフトウェア構造を説明する図である。図にお
いて、31はソケットポート変換部であり、サーバ・ア
プリケーション21のソケットシステムコール(ポート
変換前)を受け取ると、ポート変換表作成部32が作成
したポート変換表33を参照してポートを変換し、ソケ
ットシステムコール(ポート変換後)をソケット処理2
3へ渡す。また、ソケット処理23のソケットシステム
コール(ポート変換後)を受け取ると、ポート変換表3
3を参照してポートを逆変換し、ソケットシステムコー
ル(ポート変換前)をサーバ・アプリケーション21へ
渡す。ポート変換表作成部32は、自IPアドレスを種
として時系列に沿った一意的な乱数等によりポート変換
表33を作成し、コネクションが切れる時にポート変換
表33を更新する。また、通信先代理サーバのポート変
換表も同様に作成する。ポート変換表33は、自IPア
ドレスと通信先代理サーバのIPアドレスのそれぞれに
ついて変換表をもっている。図4は、ソケットポート変
換部31の動作手順を示すフローチャートである。ソケ
ットポート変換部31がサーバ・アプリケーション21
からソケットシステムコールを受け取ると(ステップ4
1)、要求ホストのポート変換表33があるかどうかを
確認する(ステップ42)。要求ホストのポート変換表
33がない場合はポート変換表作成部32がポート変換
表33の作成を行う(ステップ43)。要求ホストのポ
ート変換表33がある場合は、そのポート変換表33を
参照して、ソケットシステムコールのポート番号を変更
し(ステップ44)、ソケット処理23にポート番号を
変更したソケットシステムコールを渡す(ステップ4
5)。図5は、ポート変換表作成部32の動作手順を示
すフローチャートである。ポート変換表作成部32が、
代理サーバ13のIPアドレスを種にして、時系列に沿
った一意的な乱数を発生させると(ステップ51)、そ
の後、代理サーバ毎にポート変換表を作成する(ステッ
プ52)。乱数が作成されている代理サーバのコネクシ
ョン状態を調査し(ステップ53)、コネクションがな
い場合は、ステップ51に戻って上記手順を繰り返し、
ポート変換表を再度作成する。このように、代理サーバ
13a、13bのそれぞれがデータ通信をする時に動的
にポート番号を変更するので、より安全なデータ通信が
行えるのである。
【0006】
【発明の効果】以上述べたように、本発明によれば、サ
ーバ・アプリケーションのサービスポートを動的に変化
できるので、ポートスキャニング等、連続的な攻撃を無
効にし、安全性が向上する。
ーバ・アプリケーションのサービスポートを動的に変化
できるので、ポートスキャニング等、連続的な攻撃を無
効にし、安全性が向上する。
【図1】本発明の方法を説明するネットワーク構成の概
要
要
【図2】代理サーバのソフトウェア構造を示す図
【図3】動的ポート変換ソケット処理のソフトウェア構
造を示す図
造を示す図
【図4】ソケットポート変換部のフローチャート
【図5】ポート変換表作成部のフローチャート
11 インターネット 12a、12b ルータ 13a、13b ファイアウォール 14a、14b ローカルセグメント 16a、15b ネットワークドメイン 21 サーバ・アプリケーション 22 動的ポート変換ソケット処理 23 ソケッ処理 24 TCP/IP処理 25 ネットワーク 31 ソケットポート変換部 32 ポート変換表作成部 33 ポート変換表
Claims (2)
- 【請求項1】ファイアウォールを備えた計算機をネット
ワークに接続してデータ通信をする時、ソケット処理を
行う前にサーバ・アプリケーションのサービスポート番
号を動的に変更することを特徴とするファイアウォール
の動的ポート変更方法。 - 【請求項2】時系列に沿った一意の乱数を使用して変更
するポート番号を決定することを特徴とする請求項1記
載のファイアウォールの動的ポート変更方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001032912A JP2002236627A (ja) | 2001-02-08 | 2001-02-08 | ファイアウォールの動的ポート変更方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001032912A JP2002236627A (ja) | 2001-02-08 | 2001-02-08 | ファイアウォールの動的ポート変更方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002236627A true JP2002236627A (ja) | 2002-08-23 |
Family
ID=18896759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001032912A Pending JP2002236627A (ja) | 2001-02-08 | 2001-02-08 | ファイアウォールの動的ポート変更方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002236627A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004265122A (ja) * | 2003-02-28 | 2004-09-24 | Nec Engineering Ltd | 非公開通信におけるセキュリティ確保方法および方式 |
| JP2005130511A (ja) * | 2003-10-27 | 2005-05-19 | Marconi Intellectual Property (Ringfence) Inc | コンピュータネットワークを管理する方法及びシステム |
| US7490139B2 (en) | 2004-01-08 | 2009-02-10 | Ricoh Company, Ltd. | Embedded business apparatus including web server function |
-
2001
- 2001-02-08 JP JP2001032912A patent/JP2002236627A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004265122A (ja) * | 2003-02-28 | 2004-09-24 | Nec Engineering Ltd | 非公開通信におけるセキュリティ確保方法および方式 |
| JP4623938B2 (ja) * | 2003-02-28 | 2011-02-02 | Necエンジニアリング株式会社 | 非公開通信におけるセキュリティ確保方法および方式 |
| JP2005130511A (ja) * | 2003-10-27 | 2005-05-19 | Marconi Intellectual Property (Ringfence) Inc | コンピュータネットワークを管理する方法及びシステム |
| US7490139B2 (en) | 2004-01-08 | 2009-02-10 | Ricoh Company, Ltd. | Embedded business apparatus including web server function |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070447B2 (en) | System and method for implementing and managing virtual networks | |
| US7316028B2 (en) | Method and system for transmitting information across a firewall | |
| US9253149B2 (en) | Method for providing an internal server with a shared public IP address | |
| US7039721B1 (en) | System and method for protecting internet protocol addresses | |
| US7330908B2 (en) | System and method for processing packets using location and content addressable memories | |
| US7114008B2 (en) | Edge adapter architecture apparatus and method | |
| JP3819295B2 (ja) | ユーザによって構成可能なファイアウォールを有する公衆網アクセス・サーバ | |
| US9917928B2 (en) | Network address translation | |
| US10298616B2 (en) | Apparatus and method of securing network communications | |
| WO2002076065A2 (en) | Generic external proxy | |
| JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
| JP2007104624A (ja) | ネットワーク装置及びその管理方法 | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| Ng et al. | A Waypoint Service Approach to Connect Heterogeneous Internet Address Spaces. | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| JP3587633B2 (ja) | ネットワーク通信方法および装置 | |
| Nuhu et al. | Mitigating DHCP starvation attack using snooping technique | |
| US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas | |
| JP2002236627A (ja) | ファイアウォールの動的ポート変更方法 | |
| JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
| US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
| JP2011166312A (ja) | 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム | |
| JP4417128B2 (ja) | 通信システム | |
| Andre et al. | Open vSwitch Configuration for Separation of KVM/libvirt VMs | |
| CA2353180C (en) | Method and apparatus for resolving a web site address when connected with a virtual private network (vpn) |