JP2003050756A - リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法 - Google Patents

リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法

Info

Publication number
JP2003050756A
JP2003050756A JP2002118628A JP2002118628A JP2003050756A JP 2003050756 A JP2003050756 A JP 2003050756A JP 2002118628 A JP2002118628 A JP 2002118628A JP 2002118628 A JP2002118628 A JP 2002118628A JP 2003050756 A JP2003050756 A JP 2003050756A
Authority
JP
Japan
Prior art keywords
external
proxy server
network device
network
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002118628A
Other languages
English (en)
Inventor
Gavan Tredoux
トレドゥー ガヴァン
Xin Xu
シュイ シン
Bruce C Lyon
シー. ライアン ブルース
Randy L Cain
エル. ケイン ランディ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xerox Corp
Original Assignee
Xerox Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xerox Corp filed Critical Xerox Corp
Publication of JP2003050756A publication Critical patent/JP2003050756A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2876Pairs of inter-processing entities at each side of the network, e.g. split proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 ファイアウォール/プロキシサーバの構造や
機能、ネットワークセキュリティポリシーを変更せず
に、保護ネットワーク上のネットワーク装置と保護ネッ
トワークの外側の外部ネットワーク装置との通信を可能
にする。 【解決手段】 保護ネットワーク上のネットワーク装置
と、保護ネットワーク外の外部ネットワーク装置との通
信を、「リバースプロキシング」により可能とする。プ
ロキシサーバは保護ネットワーク装置のふりをして入デ
ータを受信する。このデータは、データがリトリーブさ
れるために待機しているか否かを確認するために、プロ
キシサーバを定期的にポーリングするプロキシエージェ
ントによりリトリーブされる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、コンピュータネッ
トワークなどのネットワークの保護及びアクセスプロト
コルに関する。詳細には、保護ネットワークの外部の装
置から保護ネットワーク上の装置へのアクセス、及び、
保護ネットワーク上の装置から保護ネットワークの外部
の装置へのアクセスを可能にする方式に関する。
【0002】
【従来の技術及び発明が解決しようとする課題】インタ
ーネットに接続するネットワークは、認証されていない
人物による侵入からネットワークを保護するためにファ
イアウォールやプロキシサーバに依存している。ファイ
アウォールは一般的に、指定されたマシンへの入接続及
び/又は特定のプロトコル(TCP/IP、HTTP、
FTPなど)を介した入接続だけを許可し、その他のト
ラフィック全てを許可しない。ファイアウォールはま
た、出プロキシサーバがするように、宛先及び/又はプ
ロトコルを制限することでネットワークからインターネ
ットへのトラフィックを制限することもできる。しかし
ながらこのようなセキュリティの制限によって、インタ
ーネットを合法的な目的で使用することがうまくいかな
くなることがある。例えば、ファイアウォールが完全に
ディスエーブルにされていなければ、遠隔ネットワーク
装置の診断やサービスが著しく損なわれる。
【0003】トラフィックエントリを許可するように幾
つかのファイアウォールを変更及び/又は再構成するこ
とができるが、このためには追加のハードウェア及び/
又はソフトウェアを購入する必要がある。ハードウェア
及び/又はソフトウェアの購入に関するコストと、ネッ
トワークセキュリティに対する企業のポリシーを変更す
ることの難しさとは、このような変更の実現の大きな障
害となり得る。さらに多くのファイアウォール及び/又
はルータは、アドレスマスカレーディング(masqueradin
g)及びネットワークアドレス変換(NAT)を用いる。
マスカレーディング及びNATによって内部ネットワー
クアドレス空間を使用することができるが、一般的には
内部アドレスにルーティング付加であり、非ユニークで
あるため、入トラフィックが内部アドレスに到達するの
を妨げる。ファイアウォール/プロキシサーバの構造、
ファイアウォール/プロキシサーバの機能及び/又はネ
ットワークセキュリティポリシーを変更せずに、これら
の問題の全てを解決する商業的に使用されているか又は
商業的に入手可能な技術はない。例えば多くのバーチャ
ルプライベートネットワーク(VPN)方式は、インタ
ーネットを介したプライベートネットワークの安全なア
クセスを提供するが、どれもファイアウォール、プロキ
シサーバ、及び/又は接続ネットワークのセキュリティ
ポリシーに対する大規模な変更を要する。
【0004】
【課題を解決するための手段】本発明の種々の実施形態
によって、保護ネットワークの外側からのトラフィック
が、ネットワークを保護するように構成されたファイア
ウォールを介して保護ネットワークの内部ネットワーク
装置に接続することができる。例えばインターネットを
介して保護ネットワークに移動するTCP/IPトラフ
ィックは、内部ネットワーク上の目的のコンピュータに
到達することができる。採用する技術は、出接続が例え
ばHTTPなどの少なくとも1つのプロトコルを介して
可能であれば、目的の内部ネットワーク装置、ファイア
ウォール、プロキシサーバ又はセキュリティポリシーの
構造の変更を殆ど或いは全く必要としない。出接続は必
要であればプロキシサーバを介して形成することができ
る。しかし出接続を1つのプロトコルに限定することが
できても入トラフィックを1つのプロトコルに限定する
ことはできず、インターネット、保護ネットワーク及び
目的の装置が伝送及び/又は処理できるあらゆるプロト
コルを用いることができる。保護ネットワークのパブリ
ックなアドレス可能度は必要とされないため、保護ネッ
トワークの外側のクライアントからは通常到達すること
ができないプライベート且つ非ユニークなアドレス空間
へのアクセスが可能である。この技術は幾つかの組み込
まれたセキュリティ手段によってネットワークセキュリ
ティを維持している。
【0005】本発明の種々の実施形態が適用する技術は
「リバースプロキシング」と呼ばれる。その理由は、一
部にはこのリバースプロキシングが2つの主なコンポー
ネントを含むためである。そのコンポーネントとは、保
護ネットワーク内に位置するプロキシエージェントと、
保護ネットワークの外側(例えば、インターネット上)
でプロキシエージェントが到達可能な場所に位置する外
部プロキシサーバと、である。外部プロキシサーバは、
プロキシエージェントが保護ネットワークに向けた待機
トラフィックを発見するまで、保護ネットワーク内の装
置にアドレス指定されたトラフィックを保存し、外部プ
ロキシサーバはこのトラフィックを発見した時点で、目
的の(単数又は複数の)内部ネットワーク装置に送る。
プロキシエージェントは、内部ネットワーク装置(単数
又は複数)から受信したあらゆる応答を外部プロキシサ
ーバに送り、プロキシサーバはこの応答を目的のクライ
アントに伝送する。
【0006】外部プロキシサーバは内部(保護)ネット
ワーク装置に接続するクライアントを代表し、例えばク
ライアントはプロキシサーバへのTCP/IP接続を確
立することができ、指定されたTCP/IPポートで外
部プロキシサーバとデータの送受信を実行することがで
きる。これらのデータは実質的には外部プロキシサーバ
によってプロキシエージェントに送られる。同様に、プ
ロキシエージェントはその他の方法ではアクセス不可能
な内部ネットワーク装置に接続し、装置がクライアント
であるかのようにデータを送信/伝送し、受信する。実
際の外部クライアントに対して外部プロキシサーバは内
部ネットワーク装置であるため、外部プロキシサーバは
内部ネットワーク装置を装う、即ち内部ネットワーク装
置の「ふりをする」。内部ネットワーク装置に対してプ
ロキシエージェントは外部クライアントであるため、プ
ロキシエージェントはクライアントを装う、即ちクライ
アントの「ふりをする」。外部プロキシサーバとプロキ
シエージェントのリンクは外部クライアントと内部ネッ
トワーク装置の両者に対してトランスペアレントである
ため、これらにとって重要ではない。
【0007】トランスペアレントな接続を実行するため
に、本発明の種々の実施形態は「トリクルダウン(trick
le down)ポーリング」を採用し、頻繁すぎるポーリング
から生じる高いネットワーク負荷を課さずに待ち時間を
短縮し応答性の高いサービスを提供する。さらに、提供
されるネットワークの保全性およびプライバシーを危険
にさらさないために使用されてもよいことを保証するた
めに、現行のインターネット・アプリケーションに適合
する最高の規格に応じる、いくつかのセキュリティ手段
が組み込まれてもよい。例えばプロキシエージェントと
外部プロキシサーバとの通信を、HTTP用の業界標準
Secure Sockets Layer(SSL)などの暗号化システム
を用いて暗号化し、盗聴(eavesdropping)を防ぐことが
できる。エージェントとサーバ両者の認証は、例えば両
者のX.509認証を要求したり他の「パブリックキ
ー」ベースの暗号システムなどの他の認証技術を用いる
ことで実行することができ、また信頼性のある認証局に
よって確認することができる。外部プロキシサーバは、
全てのクッキーが真にユニークな識別子を確実に有する
ように、クッキー書き替えプロセスを実行することもで
きる。ブラウザが目的としない宛先にクッキーを伝送し
ようとするならば、外部プロキシサーバは要求からクッ
キーを暗黙にはずす。さらにネットワーク管理者にはリ
バースプロキシングシステムのきめ細かな制御が与えら
れる。
【0008】本発明は、詳細には、保護ネットワーク内
に位置するプロキシエージェントが内部ネットワーク装
置によりアドレス指定可能である、リバースプロキシネ
ットワーク通信方式に関する。プロキシエージェントは
内部ネットワーク装置に代わってファイアウォールなど
のセキュリティ装置を介して出ネットワーク接続を確立
し、ネットワークとインターネット上の外部ネットワー
ク装置と、などの、保護ネットワークと外部ネットワー
クとの間の全てのトラフィックはこのセキュリティ装置
を通過しなければならない。セキュリティ装置によっ
て、HTTPなどの少なくとも1つの所定のネットワー
クプロトコルを介した少なくとも1つの出接続が可能に
なる。
【0009】プロキシエージェントは、セキュリティ装
置を介した出ネットワーク接続によって保護ネットワー
クの外側の外部プロキシサーバに到達することができ
る。外部プロキシサーバは外部ネットワーク装置によっ
てアドレス指定可能なため、外部ネットワーク装置と内
部ネットワーク装置との通信が可能となる。
【0010】本発明の提供するリバースプロキシネット
ワーク通信方式は、保護ネットワーク内に位置し、少な
くとも1つの内部ネットワーク装置によってアドレス指
定可能で、出ネットワーク接続を確立するプロキシエー
ジェントと、前記保護ネットワークと外部ネットワーク
との間の全てのトラフィックが通過しなければならない
セキュリティ装置であって、少なくとも1つの所定のネ
ットワークプロトコルを介した少なくとも1つの出接続
を許可するセキュリティ装置と、前記保護ネットワーク
の外側に位置し、前記プロキシエージェントが前記セキ
ュリティ装置を介する出ネットワーク接続によって到達
可能である外部プロキシサーバであって、該外部プロキ
シサーバは少なくとも1つの外部ネットワーク装置によ
ってアドレス指定可能であるため、前記少なくとも1つ
の外部ネットワーク装置と前記少なくとも1つの内部ネ
ットワーク装置との通信が可能になる、外部プロキシサ
ーバと、を含む。
【0011】この通信方式において、前記プロキシエー
ジェントと通信し、出接続を確立するために前記プロキ
シエージェントが使用する出プロキシサーバをさらに含
んでもよい。また、前記外部プロキシサーバが少なくと
も1つの他のネットワークと通信し、前記少なくとも1
つの内部ネットワーク装置にアドレス指定されたデータ
を送受信し、前記プロキシエージェントが前記外部プロ
キシサーバに出データを送り、前記外部プロキシサーバ
が前記データを前記少なくとも1つの外部ネットワーク
装置に送ってもよい。
【0012】本発明の提供するリバースプロキシネット
ワーク通信方式において、前記プロキシエージェントが
前記外部プロキシサーバをポーリングして前記少なくと
も1つの内部ネットワーク装置にアドレス指定されたデ
ータをチェックし、前記プロキシエージェントが前記外
部プロキシサーバから前記少なくとも1つの内部ネット
ワーク装置にアドレス指定されたデータをダウンロード
し、前記データを前記少なくとも1つの内部ネットワー
ク装置に送ってもよい。
【0013】本発明のセキュリティ装置を含む保護ネッ
トワーク上の内部ネットワーク装置にアクセスする方法
は、内部ネットワーク装置にアドレス指定されたデータ
を外部プロキシサーバに保存するステップと、保護ネッ
トワーク上のプロキシエージェントを維持するステップ
と、を含み、前記プロキシエージェントが、前記内部ネ
ットワーク装置にアドレス指定されたデータに関して前
記外部プロキシサーバをポーリングするステップと、前
記外部プロキシサーバにあり、前記内部ネットワーク装
置にアドレス指定されたデータを前記内部ネットワーク
装置に送るステップと、前記外部プロキシサーバと通信
する外部装置にアドレス指定されたデータを前記外部プ
ロキシサーバに送るステップと、を実行する。
【0014】この方法は、第1のネットワークプロトコ
ルを使用して、前記内部ネットワーク装置により前記外
部プロキシサーバと通信するステップをさらに有し、前
記外部ネットワーク装置は第2のネットワークプロトコ
ルを使用して該外部プロキシサーバと通信し、前記第2
のネットワークプロトコルを使用して前記内部ネットワ
ーク装置にアドレスされるデータは、前記第2のネット
ワークプロトコルが前記第1のネットワークプロトコル
内の前記内部ネットワーク装置に対して伝えられるよう
に、該第1のネットワークプロトコルを使用して該内部
ネットワーク装置に送信されてもよい。
【0015】また、ポーリングするステップが、前記外
部プロキシサーバに接続してペンディングトラフィック
をチェックするステップと、ペンディングがなければ前
記プロキシサーバによって無視されるスプリアスバイト
のスローストリームをリターンするステップと、前記外
部プロキシサーバがクライアントからデータを受信した
ときに、前記外部プロキシサーバから前記プロキシエー
ジェントにデータをすぐに伝送するステップであって、
接続を閉じて、介在する(出)プロキシサーバが実行す
るバッファリングをフラッシュするステップと、を含ん
でもよい。
【0016】本発明のセキュリティ装置を含む保護ネッ
トワーク上の内部ネットワーク装置にアクセスする方法
は、前記保護ネットワーク上の誤った受信者にプライベ
ート情報を不注意で伝送しないように、ユニークな識別
子を有するクッキーを書き替えるステップをさらに含ん
でもよい。
【0017】
【発明の実施の形態】本発明の種々の実施形態では、フ
ァイアウォール及び/又はプロキシサーバなどの従来の
セキュリティ装置が、保護ネットワーク内部の装置と保
護ネットワーク外部の装置との通信を許容しない場合で
も、このような通信を達成することができる。例えば、
ファイアウォール保護ネットワーク50の外側のインタ
ーネットなどのネットワーク10から保護ネットワーク
上の保護/内部装置への入TCP/IP接続を実行でき
る(図1参照)。種々の実施形態で使用する技術は、フ
ァイアウォール20が保護/内部装置からの出HTTP
接続を許容するならば、ファイアウォール20の構造や
既存のセキュリティポリシーの変更を必要としない。入
接続はHTTPなどの任意の特定のプロトコルに限定さ
れず、(これらに限定されるものではないが)FTP、
gopher、smtp、pop、http、rtsp
及びIPXを含む任意の適切なネットワークプロトコル
であることができる。一般的に保護ネットワークに接続
される装置の変更は必要とされない。また、本発明の原
理によって展開したシステムも、保護されたネットワー
ク50がパブリックにアドレス可能であることを必要とさ
れない。使用される技術は、通常、インターネット10
上のクライアントがルーティングできない、プライベー
トで非ユニークな空間で不変に機能するだろう。幾つか
の組み込みセキュリティ手段がファイアウォールネット
ワークのプライバシーを維持する。
【0018】図1は、二重ファイアウォール20、パブ
リック"DeMilitarized Zone"(DMZ)セグメント、及
び外部ホストが全くアクセス不可能なプライベートアド
レス空間を有する非常に安全なネットワーク構造を例示
する。内部で使用する装置及びサーバはプライベートセ
グメント上にあるため、通常はインターネット10から
完全に分離されている。
【0019】本発明の種々の実施形態の技術を適用する
と、保護ネットワークがプライベートアドレス空間を使
用していても、外部ネットワーク装置とセキュリティ装
置20の背後に隠された内部ネットワーク装置とのネッ
トワークトラフィックが可能となる。例えば、図2
(B)に示されるのと同様の実施形態は、外部装置とフ
ァイアウォール20内に隠された装置とのTCP/IP
接続を有することができる。唯一の条件は、HTTP接
続などの出接続が例えば出プロキシサーバを介して既存
のファイアウォール構造により、および、企業のセキュ
リティポリシーにより、許容されていることである。以
下に対する変更は必要ない。 1.ネットワーク装置 2.ネットワークを保護するために使用するファイアウ
ォール 3.企業のセキュリティポリシー 4.アドレス空間 5.隠された装置に接続するために使用するクライアン
ト 6.クライアント及びサーバが使用するTCP/IPプ
ロトコル
【0020】このような変更がないことで、既存のネッ
トワークを実質的に崩壊させずに本発明のプロセスを簡
単に且つ安価に展開することができる。このことは、既
存の解決策に対する大きな改善点である。
【0021】例えば図2(B)及び図3〜6に例示する
ように、「リバースプロキシング」は主に2つのコンポ
ーネント、即ちプロキシエージェント240及び外部プ
ロキシサーバ250を含む。プロキシエージェント24
0は保護ネットワーク50内に位置する。このエージェ
ントが、例えば出HTTPプロキシサーバを介したイン
ターネット10へのHTTP接続などの出ネットワーク
接続を確立できる機能を有すると仮定する。本発明の実
施形態の作用を説明するために特定のプロトコルを使用
するが、本発明はこの例で使用する特定のプロトコルに
限定しない。外部プロキシサーバ250は、保護ネット
ワーク50の外側のインターネット10上でエージェン
トが到達可能な場所にあり、内部ネットワーク装置にア
ドレス指定されたトラフィックを受信する。プロキシエ
ージェント240は外部プロキシサーバ250を周期的
にポーリングし、保護ネットワーク50向けの待機トラ
フィックをチェックする。プロキシエージェント240
が内部ネットワーク装置向けのトラフィックを発見する
と、該エージェントはこのトラフィックを目的の受信者
へ送る。プロキシエージェント240はこれが受信した
あらゆる応答を外部プロキシサーバ250に送り、この
サーバはこの応答を目的の外部ネットワーク装置クライ
アントに送る。図3は、この方式の実施形態を例示す
る。
【0022】クライアントが隠された(保護された)内
部ネットワーク装置に接続するために、外部プロキシサ
ーバ250はこれらの装置を代表して、内部ネットワー
ク装置を装う。本発明の種々の実施形態では、クライア
ントはプロキシサーバ250とのTCP/IP接続を確
立し、指定されたTCP/IPポートで外部プロキシサ
ーバ250とデータの送受信を行う。このデータは実際
には外部プロキシサーバ250によってプロキシエージ
ェント240に送られる。同様にプロキシエージェント
240は隠された内部ネットワーク装置と接続し、外部
ネットワーク装置クライアントであるかのようにデータ
の送受信を行う。つまりプロキシエージェント240は
外部ネットワーク装置クライアントを装う。外部プロキ
シサーバ250とプロキシエージェントとのリンクは、
外部ネットワーク装置クライアントと内部ネットワーク
装置の両方に対してトランスペアレントであり、これら
にとって重要ではない。
【0023】上述のように本発明の種々の実施形態で
は、接続や外部プロキシサーバ250が受信したデータ
は、プロキシエージェント240が後で検索するために
保存される。プロキシエージェントは、例えばHTTP
接続を用いて規則的な間隔で外部プロキシサーバ250
をポーリングしてペンディングの接続やデータを発見
し、目的の内部ネットワーク装置からの応答を受け渡
す。実際には、外部ネットワーク装置クライアントと内
部ネットワーク装置とのTCP/IPトラフィックはこ
のようにHTTPを「通過」し、HTTP要求にカプセ
ル化される。ヘッダ情報を有する応答は、ソースIPア
ドレス及びデスティネーションIPアドレスならびに目
的のポートを示す。効率を向上させるために、多数の要
求を同じHTTP接続を介して多重化することができ
る。
【0024】リバースプロキシングと一般的な「フォワ
ード」プロキシングとを比較するのが役に立つ。図2
(A)及び2(B)は、一般的なプロキシング(図2
(A))と本発明の実施形態で用いるリバースプロキシ
ング(図2(B))との違いを例示する。
【0025】プライベートIPアドレスにアクセスする
ことによって、本発明の方式が成功し一般的なものとな
る。プライベートIPアドレス空間50はインターネッ
ト10にわたってユニークではなく、多くの異なる団体
が同じIPアドレス空間50を使用(reuse)する。IP
アドレス空間50とその中にある内部ネットワーク装置
200が外部ネットワーク装置クライアント230によ
ってアドレス指定可能になるために、外部プロキシサー
バ250はプロキシサーバ250上のローカルTCP/
IPポートと、該ポートにアクセスするために使用され
る、プロキシエージェントのアイデンティティによって
区別される遠隔プライベートIPアドレスとのマップを
保持する。プロキシエージェントは、外部プロキシサー
バ250に到達できるアドレスのリストを発行し、外部
プロキシサーバ250はローカルポートとエージェント
/遠隔アドレスとのマップを確立するためにこのリスト
を使用する。
【0026】保護ネットワーク上の内部ネットワーク装
置及び/又は(隠された)サーバと通信するために外部
ネットワーク装置クライアントが使用するネットワーク
プロトコルに関して条件を付ける必要はない。全てのネ
ットワークトラフィック、例えばTCP/IPトラフィ
ックは、プロキシエージェント240によってプロキシ
エージェント240と外部プロキシサーバ250との例
示的なHTTP接続を通過し、幾つかの特別な例外はあ
るが一般的にはこれらがこのデータを変更する必要はな
い。幾つかのプロトコルは特別な処理、特にHTTP自
体を要求することができる。HTMLページに埋め込ま
れたハイパーリンクを使用することは、クライアントが
隠されたネットワークへのアクセスを可能にする外部プ
ロキシサーバ250から離れて、セキュリティ装置/フ
ァイアウォール20に隠されたアクセス不可能なURL
へのリンクによって方向付け(redirect)されることを意
味する。このような望ましくない方向付けを防ぎ最小に
するために、外部プロキシサーバ250を真のHTTP
プロキシサーバとして使用するように、上述のサーバ上
のローカルポートを用いて(標準的なブラウザ設定によ
って)ウェブブラウザ/外部クライアント装置230を
構成することができる。このことによって、全てのHT
TP要求がそのまま解釈されずに外部プロキシサーバ2
50に送られ、該サーバ250はこれらの要求をプロキ
シエージェント240に渡す。エージェント240は要
求されたURLを検索する。該エージェントはファイア
ウォール20内にあるため、これらのURLに直接アク
セス可能である。
【0027】出HTTP接続だけがネットワークセキュ
リティ装置20によって許可されると仮定しているた
め、プロキシエージェント240はペンディングトラフ
ィックに関して外部プロキシサーバ250をポーリング
する。ポーリング間隔がポーリングされるHTTP接続
を通過したTCP/IPトラフィックの応答度を決定す
るため、このことによって待ち時間の問題が生じる。待
ち時間とは、トラフィックが起点から宛先へ、また宛先
から起点へ移動するのにかかる時間によって導出される
遅延のことをいう。プロキシエージェントがプロキシサ
ーバをポーリングするまで、プロキシサーバはトラフィ
ックを待ち行列に入れなければならないため、トラフィ
ックのプロキシサーバへの到着とプロキシエージェント
への到着との間に遅延が生じ、待ち時間が長くなる。長
い待ち時間、即ち要求と応答の間の0.1秒台の遅延
は、リバースプロキシングを用いるシステムの実際の使
用を危うくするかもしれない。ポーリング間隔を短くす
ることで待ち時間を短縮することができるがネットワー
ク負荷負担が大きくなる。また出HTTP要求を確立し
これを完成するために必要な最小の時間によって待ち時
間を制限することができる。
【0028】待ち時間の短縮とネットワーク負荷との適
当な妥協点に到達するために、本発明の種々の実施形態
は「トリクルダウンポーリング」を使用し、頻繁すぎる
ポーリングが意味する高いネットワーク負荷を課さずに
待ち時間を短縮し応答性の高いサービスを提供する。プ
ロキシエージェント240はペンディングトラフィック
を発見するために外部プロキシサーバ250と接続す
る。ペンディングがなければ、外部プロキシサーバ25
0はプロキシエージェント240によって無視されるス
プリアス(spurious)バイトのスローストリームをリター
ンする。外部プロキシサーバ250が外部ネットワーク
装置又はクライアント/ブラウザ230からデータを受
信した場合、このデータはすぐにプロキシエージェント
240に伝送され、接続が閉じられて、介在する(出)
プロキシサーバによって実行されるあらゆるバッファリ
ングをフラッシュする。応答時間を改善するために、エ
ージェント240はプロキシサーバ250へのいくつか
の接続を開くことができ、トラフィックの到達時に開い
ている接続がないという可能性を低減させる。スプリア
スバイトのトリクルダウンによって出HTTP要求のタ
イムアウトを防ぐことができ、このことは介在する出プ
ロキシサーバによって強化されることができる。このよ
うに入トラフィックは通常すぐにプロキシエージェント
240に知らされるので応答性の高いサービスが保証さ
れ、このトラフィックが外部プロキシサーバ250で待
機する時間とプロキシエージェント240がこれを検索
する時間との間の望ましくない待ち時間をなくすことが
できる。しかしながらインターネット10は要求や応答
を伝送するのにかかる時間を決定することができるの
で、インターネット自体が待ち時間に下限を課すること
ができる。インターネットが使用するTCP/IPなど
のネットワークプロトコルは保証済みのサービスを提供
しない。
【0029】提供されるネットワークの保全性およびプ
ライバシーを危険にさらさないために使用されてもよい
ことを保証するために、現行のインターネット・アプリ
ケーションに適合する最高の規格に応じる、いくつかの
セキュリティ手段が組み込まれてもよい。
【0030】プロキシエージェント240と外部プロキ
シサーバ250との通信は、例えば業界標準のHTTP
用Secure Sockets Layer(SSL)などの暗号化システ
ムを用いて暗号化することができ、盗聴を防ぐことがで
きる。エージェント240およびサーバ250両方の認
証は、例えば両者のX.509認証を要求したり他の
「パブリックキー」ベースの暗号システムなどの他の認
証技術を用いることで実行することができ、また信頼性
のある認証局によって確認することができる。外部プロ
キシサーバ250は、全てのクッキーが真にユニークな
識別子を確実に有するように、図4〜6に示されるプロ
セス例などの、クッキー書き替えプロセスを実行するこ
ともできる。
【0031】図5に示すようにウェブサーバ200は、
クライアント230(ウェブブラウザ)が「クッキー」
として知られるメカニズムによって状態を維持すること
を要求することができる。クッキーを実行するために、
サーバは追加ヘッダをHTTP要求に対する応答に挿入
し、これらのヘッダは、ヘッダが識別する幾つかのリソ
ースにアクセスしたときにブラウザがサーバに返す「エ
コー」データという名前のデータを特定する。保存され
エコーされる各データ要素が「クッキー」と呼ばれる。
【0032】このようなクッキープロトコルにしたがう
と、ウェブブラウザはクッキーをUniform Resource Loc
ators(URL)に関連付け、該クッキーはウェブブラ
ウザによってURLに向けられる。通常のインターネッ
トの使用では、これらのURLはユニークであることが
保証されている。しかしながらプライベートネットワー
クアドレス指定がファクタとなるリバースプロキシング
の状態では、これらのURLは必ずしもユニークではな
い。記号ドメイン名は(複数の)プライベートIP空間
にまたがってユニークである必要はないため、IPアド
レス又は記号名がURLで用いられていてもいなくて
も、このことは正しい。これは2つの問題を生じさせ
る。1.競合状態 この状態では、ブラウザがURLに
関連する最新の値を有する該URLに対する既存のクッ
キーを上書きする。そのためクッキーデータを設定する
ためにサーバに競合が生じる。クッキーデータをURL
に関連付けるサーバが同じデータバックを受信すること
は保証されない。このことがクッキーでエコーする正し
い状態データに依存するウェブブラウザ/アプリケーシ
ョンを部分的に或いは完全にディスエーブルにし得る。
2.プライバシーの侵害 この状況では、URLに関連
するクッキーデータは保護ネットワークからのプライベ
ートデータを含むことができる。その理由は、このよう
なネットワークのサーバでは、該サーバとクライアント
との全ての伝送が守られているとみなされているためで
ある。しかしながらブラウザが非ユニークなURLと混
同したために、このプライベートデータを完全に異なる
ネットワークに知らないうちに伝送してしまう。したが
って誤ったネットワークのサーバは意図的に或いは知ら
ないうちに他のプライベートネットワークからセンシテ
ィブなデータを収集してしまう。このことは、ファイア
ウォール/プライベートIP空間システムによって確立
されているネットワークセキュリティの重大な弱みとな
り得る。
【0033】図4は、異なるネットワークからのクッキ
ーがウェブブラウザによってどのように混同されるかを
例示する。ウェブクライアント(ブラウザ)230はU
RLを使用し、インターネット10上のリソースをユニ
ークに識別する。これは、適切な規格によって、又は一
般的な方法で特定される。しかしながら必ずしもユニー
クではないURLを有するプライベート/保護ネットワ
ーク50にアクセスすることによって、リバースプロキ
シング方式はこれらのURL間に潜在的な混同を生じさ
せる。しかしながら、保存した状態が(非ユニークな)
URLに関連し、他のネットワークに対する要求の一部
として後で伝送される場合にのみ、このことが問題とな
る。その理由は、全ての現在の要求はプロキシサーバ構
造によって適切な宛先に明示的に向けられているためで
ある。この状態は、間違った手荷物が、その手荷物のラ
ベルが非ユニークであるために、この点以外は正しい行
き先への便で運搬されてしまう、飛行便の手荷物処理の
間違いに似ている。
【0034】本発明の種々の実施形態では、「クッキー
の書き替え」というプロセスによってクッキーのあいま
いさがなくなる。全てのクッキーには名前が付いてい
る。一般的には、プロキシサーバはプロキシが送受信し
たあらゆるデータを変更しない。種々の実施形態では、
本発明はクッキーの名前は例外的に扱っており、クッキ
ーの名前は、発信元のプライベートネットワークを明確
に示すために、保存のためにブラウザに伝送されるとプ
ロキシサーバによって書き替えられる。リバースプロキ
シング方式は、(例えば、ファイアウォールトラバース
を実行する、ネットワーク内のエージェントのアイデン
ティティによって)本発明の実施形態のプライベートネ
ットワークを区別するいくつかの方法を有する。これを
行わないと、プロキシサーバは正確に機能しない。これ
を行う1つの方法は、クッキーの名前それぞれに対して
プライベートネットワークのユニークアイデンティティ
をプリペンドする(即ち、プライベートネットワーク識
別子を「接頭語」としてクッキーの「前方」に配置す
る)ことである。このことは本発明の種々の実施形態で
使用している具体例であるが、他の書き替え方法も可能
である。次いでクッキーの伝送時に接頭語をクッキーか
らはずすことができる。異なるネットワークから発信さ
れた要求を有し、ブラウザによって渡されるクッキー
は、プロキシサーバによって暗黙にはずされる。したが
って外部プロキシサーバはネットワークのプライバシー
を維持し、正しいクッキーの保存やブラウザによる移動
が確実となる。
【0035】図6に示す状況では、ブラウザは最初にプ
ロキシサーバを介して、URLhttp ://someserver に対
してHTTP GET要求を発する。プロキシサーバ上
でポートAを使用するようにブラウザを構成し、プロキ
シサーバはポートAをプライベートネットワークAに関
連付ける。プロキシサーバは(ブラウザがどのファイア
ウォールトラバース方式をサポートするかを使用して)
ブラウザの代わりに要求を実行し、someserverが応答で
リターンするクッキーを検査する。この場合、値sを有
するクッキーxyzがsomeserverによって設定されてい
る。プロキシサーバはクッキーの名前をA_xyzに書
き替えるため、プライベートネットワークA向けのクッ
キーとして明確に示される。ウェブブラウザはクッキー
の名前に固有の意味を付加せず、関連するURLにクッ
キーの名前を単にエコーすることに留意されたい。ブラ
ウザはプロキシサーバからHTTP応答を受信し、クッ
キーA_xyz=sを保存する。
【0036】その後、ブラウザはプロキシサーバのポー
トBを使用するように再構成され、該プロキシサーバは
ポートBをプライベートネットワークBに関連付ける。
ブラウザは同じURLhttp://someserverに対してHT
TP GET要求を発し、要求と共にクッキーA_xy
z=sを送信する。目的のネットワークが変化したこと
を判定する方法がないため、このようなことがされる。
プロキシサーバは、要求をネットワークBのsomeserver
に送る前に、該要求に含まれるあらゆるクッキーを検査
する。クッキーA_xyz=sはAに向けたものであっ
てBに向けたものではないためにプロキシサーバによっ
て廃棄され、残りの要求を送信する。前述のように、プ
ロキシサーバはHTTP応答に含まれるあらゆるクッキ
ーの名前を書き替えるため、xyz=tがB_xyz=
tとなる。このことによって、クッキーが将来ネットワ
ークAやそのクッキーが目的としない任意の他のネット
ワークに渡されないことが確実となる。
【0037】上記のセキュリティ手段以外に、ネットワ
ーク管理者にリバースプロキシングシステムのきめ細や
かな制御が与えられてもよい。例えば、一時的なキーな
どの許可を与えることによってセッションベースでネッ
トワークへのエントリを許可したり拒否したりする権限
及び/又は能力を、管理者に与えることができる。ま
た、管理者にアクセスを完全にディスエーブルにしたり
他の基準によって制限したりする権限及び/又は能力を
与えることもできる。
【図面の簡単な説明】
【図1】インターネットに接続する一般的な保護ネット
ワークを例示する図である。
【図2】(A)は、保護ネットワークのクライアントマ
シンとインターネット上のサーバとの接続の簡略化した
概略図である。(B)は、本願で説明した本発明の原理
にしたがう、インターネット上のクライアントマシンと
保護ネットワーク上のサーバとの接続の簡略化した概略
図である。
【図3】本願で説明した本発明の原理にしたがう、クラ
イアントマシンと保護ネットワーク上のサーバとの接続
のより詳細な概略図である。
【図4】ウェブブラウザがリバースプロキシサーバを介
して接続する2つの例示的なプライベートネットワーク
を記述する図である。2つの別個のネットワークは同一
のプライベートネットワークアドレスを有し、この図は
これらのネットワークから発信したクッキーがブラウザ
によってどのようにして混同されてしまうかを示す。
【図5】ブラウザがユニークネットワークアドレス空間
に接続する、本発明の実施形態で使用することができる
HTTPクッキープロトコルの例示的なタイムラインを
示す図である。
【図6】2つのプライベートネットワークアドレス空間
からのクッキーが混在している、本発明の実施形態で使
用することができるHTTPクッキープロトコルの例示
的なタイムラインを示す図である。
【符号の説明】
10 インターネット 220 ファイアウォール 50 保護ネットワーク 250 プロキシサーバ 230 ウェブブラウザ、外部装置 240 プロキシエージェント
───────────────────────────────────────────────────── フロントページの続き (72)発明者 シン シュイ アメリカ合衆国 94306 カリフォルニア 州 パロ アルト キップリング ストリ ート 3232 (72)発明者 ブルース シー. ライアン アメリカ合衆国 14564 ニューヨーク州 ヴィクター カニンガム ドライブ 1058 (72)発明者 ランディ エル. ケイン アメリカ合衆国 75025 テキサス州 プ ラノ クリアー スカイ ドライブ 8809 Fターム(参考) 5B085 AA08 AC03 BC02 BG02 BG07 5B089 GA19 GA21 GB01 GB08 KA17 KB13 KG02 5K030 GA15 HA08 HD08 KX24 LC15 LC18 LD19

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 保護ネットワーク内に位置し、少なくと
    も1つの内部ネットワーク装置によってアドレス指定可
    能で、出ネットワーク接続を確立するプロキシエージェ
    ントと、 前記保護ネットワークと外部ネットワークとの間の全て
    のトラフィックが通過しなければならないセキュリティ
    装置であって、少なくとも1つの所定のネットワークプ
    ロトコルを介した少なくとも1つの出接続を許可するセ
    キュリティ装置と、 前記保護ネットワークの外側に位置し、前記プロキシエ
    ージェントが前記セキュリティ装置を介する出ネットワ
    ーク接続によって到達可能である外部プロキシサーバで
    あって、該外部プロキシサーバは少なくとも1つの外部
    ネットワーク装置によってアドレス指定可能であるた
    め、前記少なくとも1つの外部ネットワーク装置と前記
    少なくとも1つの内部ネットワーク装置との通信が可能
    になる、外部プロキシサーバと、 を含む、リバースプロキシネットワーク通信方式。
  2. 【請求項2】 前記プロキシエージェントと通信し、出
    接続を確立するために前記プロキシエージェントが使用
    する出プロキシサーバをさらに含む、請求項1に記載の
    方式。
  3. 【請求項3】 前記外部プロキシサーバが少なくとも1
    つの他のネットワークと通信し、前記少なくとも1つの
    内部ネットワーク装置にアドレス指定されたデータを送
    受信し、前記プロキシエージェントが前記外部プロキシ
    サーバに出データを送り、前記外部プロキシサーバが前
    記データを前記少なくとも1つの外部ネットワーク装置
    に送る、請求項1に記載の方式。
  4. 【請求項4】 前記プロキシエージェントが前記外部プ
    ロキシサーバをポーリングして前記少なくとも1つの内
    部ネットワーク装置にアドレス指定されたデータをチェ
    ックし、前記プロキシエージェントが前記外部プロキシ
    サーバから前記少なくとも1つの内部ネットワーク装置
    にアドレス指定されたデータをダウンロードし、前記デ
    ータを前記少なくとも1つの内部ネットワーク装置に送
    る、請求項3に記載の方式。
  5. 【請求項5】 内部ネットワーク装置にアドレス指定さ
    れたデータを外部プロキシサーバに保存するステップ
    と、 保護ネットワーク上のプロキシエージェントを維持する
    ステップと、 を含み、 前記プロキシエージェントが、 前記内部ネットワーク装置にアドレス指定されたデータ
    に関して前記外部プロキシサーバをポーリングするステ
    ップと、 前記外部プロキシサーバにあり、前記内部ネットワーク
    装置にアドレス指定されたデータを前記内部ネットワー
    ク装置に送るステップと、 前記外部プロキシサーバと通信する外部装置にアドレス
    指定されたデータを前記外部プロキシサーバに送るステ
    ップと、 を実行する、セキュリティ装置を含む保護ネットワーク
    上の内部ネットワーク装置にアクセスする方法。
  6. 【請求項6】 第1のネットワークプロトコルを使用し
    て、前記内部ネットワーク装置により前記外部プロキシ
    サーバと通信するステップをさらに有し、 前記外部ネットワーク装置は第2のネットワークプロト
    コルを使用して該外部プロキシサーバと通信し、 前記第2のネットワークプロトコルを使用して前記内部
    ネットワーク装置にアドレスされるデータは、前記第2
    のネットワークプロトコルが前記第1のネットワークプ
    ロトコル内の前記内部ネットワーク装置に対して伝えら
    れるように、該第1のネットワークプロトコルを使用し
    て該内部ネットワーク装置に送信される、 請求項5に記載の方法。
  7. 【請求項7】 ポーリングするステップが、 前記外部プロキシサーバに接続してペンディングトラフ
    ィックをチェックするステップと、 ペンディングがなければ前記プロキシサーバによって無
    視されるスプリアスバイトのスローストリームをリター
    ンするステップと、 前記外部プロキシサーバがクライアントからデータを受
    信したときに、前記外部プロキシサーバから前記プロキ
    シエージェントにデータをすぐに伝送するステップであ
    って、接続を閉じて、介在する(出)プロキシサーバが
    実行するバッファリングをフラッシュするステップと、 を含む、請求項5に記載の方法。
  8. 【請求項8】 前記保護ネットワーク上の誤った受信者
    にプライベート情報を不注意で伝送しないように、ユニ
    ークな識別子を有するクッキーを書き替えるステップを
    さらに含む、請求項5に記載の方法。
JP2002118628A 2001-04-30 2002-04-22 リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法 Pending JP2003050756A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/845,104 US20020161904A1 (en) 2001-04-30 2001-04-30 External access to protected device on private network
US845104 2001-04-30

Publications (1)

Publication Number Publication Date
JP2003050756A true JP2003050756A (ja) 2003-02-21

Family

ID=25294407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002118628A Pending JP2003050756A (ja) 2001-04-30 2002-04-22 リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法

Country Status (5)

Country Link
US (1) US20020161904A1 (ja)
EP (1) EP1255395B1 (ja)
JP (1) JP2003050756A (ja)
CA (1) CA2383247C (ja)
DE (1) DE60203433T2 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050191A (ja) * 2004-08-04 2006-02-16 Fuji Xerox Co Ltd ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP2008077598A (ja) * 2006-09-25 2008-04-03 Shimizu Corp ネットワークシステム及び情報アクセス方法
JP2008140275A (ja) * 2006-12-04 2008-06-19 Fuji Xerox Co Ltd 通信装置および通信方法
JP2009508260A (ja) * 2005-09-12 2009-02-26 マイクロソフト コーポレーション 複数のプロセスにおけるポートの共有
US7770211B2 (en) 2004-06-16 2010-08-03 Nec Infrontia Corporation Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置
JP2012213107A (ja) * 2011-03-31 2012-11-01 Lac Co Ltd ゲートウェイ装置、情報処理装置、処理方法およびプログラム
US8386783B2 (en) 2006-12-04 2013-02-26 Fuji Xerox Co., Ltd. Communication apparatus and communication method
WO2013042412A1 (ja) * 2011-09-22 2013-03-28 九州日本電気ソフトウェア株式会社 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体
JP2014059716A (ja) * 2012-09-18 2014-04-03 Ricoh Co Ltd 要求伝達装置、機器、要求伝達システム、要求伝達方法、及びプログラム
JP2014178891A (ja) * 2013-03-14 2014-09-25 Ricoh Co Ltd 情報システム、ファイルサーバ、情報システムの制御方法及びファイルサーバの制御方法、並びに、それら方法のプログラム及びそのプログラムを記録した記録媒体
JP2015149781A (ja) * 2015-04-21 2015-08-20 株式会社ラック 情報処理装置、処理方法およびプログラム

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673133B2 (en) * 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
US8266677B2 (en) * 2000-12-20 2012-09-11 Intellisync Corporation UDP communication with a programmer interface over wireless networks
US8650321B2 (en) * 2001-07-24 2014-02-11 Digi International Inc. Network architecture
US6970918B2 (en) * 2001-09-24 2005-11-29 International Business Machines Corporation System and method for transcoding support of web content over secure connections
US7062547B2 (en) * 2001-09-24 2006-06-13 International Business Machines Corporation Method and system for providing a central repository for client-specific accessibility
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US7650416B2 (en) * 2003-08-12 2010-01-19 Riverbed Technology Content delivery for client-server protocols with user affinities using connection end-point proxies
GB2410401A (en) * 2004-01-21 2005-07-27 Mobotel Solutions Ltd A communication apparatus and method
US8266670B1 (en) * 2004-05-06 2012-09-11 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of data resources
US7827294B2 (en) 2004-05-06 2010-11-02 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of computing resources
US20060026287A1 (en) * 2004-07-30 2006-02-02 Lockheed Martin Corporation Embedded processes as a network service
US20060173997A1 (en) * 2005-01-10 2006-08-03 Axis Ab. Method and apparatus for remote management of a monitoring system over the internet
US20060248194A1 (en) 2005-03-18 2006-11-02 Riverbed Technology, Inc. Connection forwarding
EP1710694A3 (en) 2005-04-08 2006-12-13 Ricoh Company, Ltd. Communication apparatus, program product for adding communication mechanism to communication apparatus for providing improved usability and communication efficiency, and recording medium storing program product
US8543726B1 (en) * 2005-04-08 2013-09-24 Citrix Systems, Inc. Web relay
JP4704105B2 (ja) * 2005-05-24 2011-06-15 株式会社リコー 通信装置、通信システム及び通信方法
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US8886620B1 (en) * 2005-08-16 2014-11-11 F5 Networks, Inc. Enabling ordered page flow browsing using HTTP cookies
FR2892585A1 (fr) * 2005-10-26 2007-04-27 France Telecom Procede et systeme de protection d'un lien d'acces a un serveur.
US8831011B1 (en) 2006-04-13 2014-09-09 Xceedium, Inc. Point to multi-point connections
US7769834B2 (en) 2006-05-30 2010-08-03 Riverbed Technology, Inc. System for selecting a proxy pair based on configurations of autodiscovered proxies on a network
KR100728924B1 (ko) * 2006-06-05 2007-06-15 삼성전자주식회사 네트워크 시스템에서 매개 디바이스의 통신 방법 및네트워크 디바이스 관리 시스템
US8561155B2 (en) * 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US7974981B2 (en) * 2007-07-19 2011-07-05 Microsoft Corporation Multi-value property storage and query support
US7925694B2 (en) 2007-10-19 2011-04-12 Citrix Systems, Inc. Systems and methods for managing cookies via HTTP content layer
US8090877B2 (en) 2008-01-26 2012-01-03 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
US8171148B2 (en) 2009-04-17 2012-05-01 Sling Media, Inc. Systems and methods for establishing connections between devices communicating over a network
US9015225B2 (en) 2009-11-16 2015-04-21 Echostar Technologies L.L.C. Systems and methods for delivering messages over a network
US9178923B2 (en) 2009-12-23 2015-11-03 Echostar Technologies L.L.C. Systems and methods for remotely controlling a media server via a network
US9275054B2 (en) 2009-12-28 2016-03-01 Sling Media, Inc. Systems and methods for searching media content
US8381281B2 (en) * 2010-04-07 2013-02-19 International Business Machines Corporation Authenticating a remote host to a firewall
US8380863B2 (en) * 2010-05-05 2013-02-19 Cradle Technologies Control of security application in a LAN from outside the LAN
US9113185B2 (en) 2010-06-23 2015-08-18 Sling Media Inc. Systems and methods for authorizing access to network services using information obtained from subscriber equipment
WO2012092261A2 (en) 2010-12-29 2012-07-05 Citrix Systems, Inc. Systems and methods for multi-level tagging of encrypted items for additional security and efficient encrypted item determination
FR2973626A1 (fr) * 2011-03-31 2012-10-05 France Telecom Mecanisme de redirection entrante sur un proxy inverse
CN102177697B (zh) * 2011-04-29 2014-02-19 华为技术有限公司 互联网业务控制方法及相关设备和系统
US9363099B2 (en) * 2011-12-13 2016-06-07 Ericsson Ab UPnP/DLNA with RADA hive
CN102685094A (zh) * 2011-12-16 2012-09-19 河南科技大学 反转代理系统及方法
US9137234B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on granted permissions
US8756699B1 (en) * 2012-07-11 2014-06-17 Google Inc. Counting unique identifiers securely
US9100369B1 (en) * 2012-08-27 2015-08-04 Kaazing Corporation Secure reverse connectivity to private network servers
US8996855B2 (en) * 2012-11-14 2015-03-31 Blackberry Limited HTTP layer countermeasures against blockwise chosen boundary attack
GB2514550A (en) * 2013-05-28 2014-12-03 Ibm System and method for providing access to a resource for a computer from within a restricted network and storage medium storing same
US9185077B2 (en) * 2013-11-25 2015-11-10 Verizon Patent And Licensing Inc. Isolation proxy server system
CN105934723B (zh) 2014-02-07 2017-07-07 Abb瑞士股份有限公司 对机器人单元装置的网页浏览器访问
US20180124196A1 (en) * 2016-10-28 2018-05-03 Entit Software Llc Forwarding service requests from outbound proxy servers to remote servers inside of firewalls
US10361997B2 (en) 2016-12-29 2019-07-23 Riverbed Technology, Inc. Auto discovery between proxies in an IPv6 network
US10873567B2 (en) * 2017-06-26 2020-12-22 Open Text Corporation Systems and methods for providing communications between on-premises servers and remote devices
US11134058B1 (en) 2017-10-06 2021-09-28 Barracuda Networks, Inc. Network traffic inspection
US10574676B2 (en) 2017-10-06 2020-02-25 Fyde, Inc. Network traffic inspection
US11184364B2 (en) * 2018-01-09 2021-11-23 Cisco Technology, Inc. Localized, proximity-based media streaming
US11546444B2 (en) * 2018-03-22 2023-01-03 Akamai Technologies, Inc. Traffic forwarding and disambiguation by using local proxies and addresses
JP7172108B2 (ja) * 2018-04-13 2022-11-16 ブラザー工業株式会社 プログラム及び通信システム
US10958662B1 (en) * 2019-01-24 2021-03-23 Fyde, Inc. Access proxy platform
US11457040B1 (en) 2019-02-12 2022-09-27 Barracuda Networks, Inc. Reverse TCP/IP stack
EP3934192A1 (de) * 2020-06-29 2022-01-05 Siemens Aktiengesellschaft Verfahren zum aufbau einer verbindung zwischen einem kommunikationsgerät und einem server und proxy
EP4142213A1 (en) * 2021-08-30 2023-03-01 Bull SAS Method and system of edge-based auto containment

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks
US6345300B1 (en) * 1997-03-25 2002-02-05 Intel Corporation Method and apparatus for detecting a user-controlled parameter from a client device behind a proxy
US6311215B1 (en) * 1997-03-25 2001-10-30 Intel Corporation System for dynamic determination of client communications capabilities
US6237031B1 (en) * 1997-03-25 2001-05-22 Intel Corporation System for dynamically controlling a network proxy
US6212175B1 (en) * 1997-04-22 2001-04-03 Telxon Corporation Method to sustain TCP connection
US6457054B1 (en) * 1997-05-15 2002-09-24 Intel Corporation System for reducing user-visibility latency in network transactions
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
ATE441275T1 (de) * 1998-10-30 2009-09-15 Virnetx Inc Netzwerkprotokol zur sicheren kommunikation mit gesicherter systemverfügbarkeit
US6349336B1 (en) * 1999-04-26 2002-02-19 Hewlett-Packard Company Agent/proxy connection control across a firewall
US6910180B1 (en) * 1999-05-10 2005-06-21 Yahoo! Inc. Removing cookies from web page response headers and storing the cookies in a repository for later use
US6760758B1 (en) * 1999-08-31 2004-07-06 Qwest Communications International, Inc. System and method for coordinating network access
JP3478200B2 (ja) * 1999-09-17 2003-12-15 日本電気株式会社 サーバ・クライアント間双方向通信システム
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
US6795856B1 (en) * 2000-06-28 2004-09-21 Accountability International, Inc. System and method for monitoring the internet access of a computer
US6621827B1 (en) * 2000-09-06 2003-09-16 Xanboo, Inc. Adaptive method for polling
US7028051B1 (en) * 2000-09-29 2006-04-11 Ugs Corp. Method of real-time business collaboration
US6859832B1 (en) * 2000-10-16 2005-02-22 Electronics For Imaging, Inc. Methods and systems for the provision of remote printing services over a network
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US6854121B2 (en) * 2001-02-16 2005-02-08 Canon U.S.A., Inc. Command interface to object-based architecture of software components for extending functional and communicational capabilities of network devices
US7293108B2 (en) * 2001-03-15 2007-11-06 Intel Corporation Generic external proxy
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7770211B2 (en) 2004-06-16 2010-08-03 Nec Infrontia Corporation Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program
US7707628B2 (en) 2004-08-04 2010-04-27 Fuji Xerox Co., Ltd. Network system, internal server, terminal device, storage medium and packet relay method
JP2006050191A (ja) * 2004-08-04 2006-02-16 Fuji Xerox Co Ltd ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
US8166175B2 (en) 2005-09-12 2012-04-24 Microsoft Corporation Sharing a port with multiple processes
JP2009508260A (ja) * 2005-09-12 2009-02-26 マイクロソフト コーポレーション 複数のプロセスにおけるポートの共有
US8438260B2 (en) 2005-09-12 2013-05-07 Microsoft Corporation Sharing a port with multiple processes
JP2008077598A (ja) * 2006-09-25 2008-04-03 Shimizu Corp ネットワークシステム及び情報アクセス方法
JP2008140275A (ja) * 2006-12-04 2008-06-19 Fuji Xerox Co Ltd 通信装置および通信方法
US8386783B2 (en) 2006-12-04 2013-02-26 Fuji Xerox Co., Ltd. Communication apparatus and communication method
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置
JP2012213107A (ja) * 2011-03-31 2012-11-01 Lac Co Ltd ゲートウェイ装置、情報処理装置、処理方法およびプログラム
WO2013042412A1 (ja) * 2011-09-22 2013-03-28 九州日本電気ソフトウェア株式会社 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体
JPWO2013042412A1 (ja) * 2011-09-22 2015-03-26 Necソリューションイノベータ株式会社 通信システム、通信方法、及びプログラム
JP2014059716A (ja) * 2012-09-18 2014-04-03 Ricoh Co Ltd 要求伝達装置、機器、要求伝達システム、要求伝達方法、及びプログラム
JP2014178891A (ja) * 2013-03-14 2014-09-25 Ricoh Co Ltd 情報システム、ファイルサーバ、情報システムの制御方法及びファイルサーバの制御方法、並びに、それら方法のプログラム及びそのプログラムを記録した記録媒体
JP2015149781A (ja) * 2015-04-21 2015-08-20 株式会社ラック 情報処理装置、処理方法およびプログラム

Also Published As

Publication number Publication date
EP1255395A3 (en) 2003-08-27
DE60203433D1 (de) 2005-05-04
EP1255395B1 (en) 2005-03-30
CA2383247A1 (en) 2002-10-30
CA2383247C (en) 2005-06-14
US20020161904A1 (en) 2002-10-31
DE60203433T2 (de) 2005-09-08
EP1255395A2 (en) 2002-11-06

Similar Documents

Publication Publication Date Title
CA2383247C (en) External access to protected device on private network
US8086740B2 (en) Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
KR100416541B1 (ko) 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치
US8194673B2 (en) Policy based network address translation
US7673049B2 (en) Network security system
US20090113203A1 (en) Network System
US8689319B2 (en) Network security system
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP2004508768A (ja) ファイア・ウォールを経由する安全なデュアル・チャネル通信システム及び方法
US11831607B2 (en) Secure private traffic exchange in a unified network service
JP3587633B2 (ja) ネットワーク通信方法および装置
US20050086533A1 (en) Method and apparatus for providing secure communication
US20230199055A1 (en) Non-http layer 7 protocol applications running in the browser
JP3692943B2 (ja) 通信クライアント装置
Hubbard et al. Firewalling the net

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050311

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070612

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071113