JP2003087297A - パケット転送装置およびパケット転送方法 - Google Patents

パケット転送装置およびパケット転送方法

Info

Publication number
JP2003087297A
JP2003087297A JP2001278475A JP2001278475A JP2003087297A JP 2003087297 A JP2003087297 A JP 2003087297A JP 2001278475 A JP2001278475 A JP 2001278475A JP 2001278475 A JP2001278475 A JP 2001278475A JP 2003087297 A JP2003087297 A JP 2003087297A
Authority
JP
Japan
Prior art keywords
packet
network
segment
destination
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001278475A
Other languages
English (en)
Inventor
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2001278475A priority Critical patent/JP2003087297A/ja
Priority to US10/228,953 priority patent/US20030048783A1/en
Priority to EP02256003A priority patent/EP1294156B1/en
Priority to DE2002606720 priority patent/DE60206720T2/de
Publication of JP2003087297A publication Critical patent/JP2003087297A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】本発明は、接続対象となるネットワークセグメ
ントがそれぞれ異なるネットワークアドレス空間に属し
ていても、そのネットワーク相互間に於ける不正パケッ
トの転送防御機能をもつパケット転送動作を可能にした
フィルタ型IDS機能を備えたパケット転送装置を提供
することを課題とする。 【解決手段】送出セグメント判定機構16は、パケット
受信部11で受信され、パケット解析機構13で不正パ
ケットとして破棄されなかったパケットをパケット保留
キュー14から取り出し、経路表(RT)を参照して、
パケットの宛先ネットワークアドレスから送出すべきネ
ットワークセグメントを判定し、MACアドレス書換え
機構17を介してパケット送出部18へ渡す。MACア
ドレス書換え機構17は、受信パケットのMACアドレ
スを送出すべきセグメント上での宛先ネットワークアド
レスを持つ機器のMACアドレスに書換える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、複数のネットワー
クセグメントの間に設けられて、ネットワークセグメン
ト相互間で転送されるパケットを監視するフィルタ型I
DS機能を備えたパケット転送装置およびパケット転送
方法に関する。
【0002】
【従来の技術】従来、複数のネットワークセグメントに
接続されて、セグメント間でパケットを転送するパケッ
ト転送装置に於いて、サーバ計算機などを誤動作させる
要因を含んだ情報を持つ不正パケットの転送を防止する
フィルタ型IDS(intrusiondetection system;不正
検知システム)の機能を持つものとして、図10に示す
ようなパケット転送装置が提案されている。このパケッ
ト転送装置は、パケット受信部02で受信したパケット
をパケット識別子付加機構03を介してパケット保留キ
ュー05に格納し、保留されたパケットが不正パケット
では無いことがパケット解析機構04によって確認でき
たら、当該パケットをパケット送出部06を介して送出
先セグメントへ送出する機能構成としている。
【0003】従来のこの種、不正パケットの転送を防ぐ
ことのできるパケット転送装置は、接続するネットワー
ク相互が論理的に同一のネットワークに於いて適用され
るもので、異なるネットワークアドレス空間に属するネ
ットワーク相互間には適用できない。即ち、従来では、
パケット転送装置が接続されるネットワークセグメント
は、全て同じネットワークアドレス空間に属している必
要があった。不正パケットの転送を防ぐことのできるパ
ケット転送装置は、単一のネットワークアドレス空間内
に設置されることもあるが、組織外のネットワーク(外
部ネットワーク)と、組織内のネットワーク(内部ネッ
トワーク)の境界に設置されることも多い。この場合、
一般的には、外部ネットワークと内部ネットワークと
は、各々異なるネットワークアドレス空間に属する。し
たがって、従来の不正パケットの転送を防げるパケット
転送装置を用いるためには、異なるネットワークアドレ
ス空間のネットワークセグメント同士を接続可能とする
ための接続機構(ルータ等)が必要となり、システム全
体の構成が煩雑になってしまうという問題があった。ま
た、宛先として指定されたサーバ計算機などが、障害が
発生した等の理由によりサービスの継続ができなくなっ
た場合に、代替サーバへ、パケットを受け渡すことも困
難であった。
【0004】
【発明が解決しようとする課題】上述したように、従来
では、サーバ計算機などを誤動作させる要因を含んだ情
報をもつ不正パケットの転送を防ぐことのできるフィル
タ型IDS機能を備えたパケット転送装置に於いて、パ
ケット転送装置が接続されるネットワークセグメント
は、全て同じネットワークアドレス空間に属している必
要があり、異なるネットワークアドレス空間のネットワ
ークセグメント相互を接続可能にしようとすると、その
異なるネットワークアドレス空間のネットワークセグメ
ント相互の間を接続するための接続機構が必要となるこ
とから、システム全体の構成が煩雑になってしまうとい
う問題があった。
【0005】本発明は上記実情に鑑みなされたもので、
接続対象となるネットワークセグメントがそれぞれ異な
るネットワークアドレス空間に属していても、そのネッ
トワーク相互間に於ける不正パケットの転送防御機能を
もつパケット転送動作を可能にした、経済的に有利なネ
ットワークシステムを構築できるフィルタ型IDS機能
を備えたパケット転送装置およびパケット転送方法を提
供することを目的とする。
【0006】
【課題を解決するための手段】上記目的を達成するため
に、本発明のパケット転送装置は、複数のネットワーク
セグメントの間に設けられ、ネットワークセグメント相
互間で転送されるパケットを監視するパケット転送装置
に於いて、前記ネットワークセグメント上のパケットを
受信し、一時保留するパケット保留手段と、前記受信パ
ケットの情報に、送出先ネットワークセグメントに接続
された装置のソフトウェアに対し誤動作させる要因を含
んでいるか否かを解析して、正常なパケットであるか否
かを判定するパケット解析手段と、前記受信パケットの
宛先ネットワークアドレスが属するネットワークアドレ
ス空間と送出セグメントとを対応付けた経路表を有し、
前記パケット解析手段により正常と判定された前記受信
パケットが前記パケット保留手段から渡された時、その
受信パケットの前記送信先ネットワークアドレスから前
記経路表に従って送出すべきネットワークセグメントを
決定する手段と、前記正常な受信パケットのMACアド
レスを前記送出すべきセグメント上の宛先ネットワーク
アドレスをもつ機器のMACアドレスに書換え、前記正
常な受信パケットを前記決定したネットワークセグメン
トに送出する手段とを具備することを特徴とする。
【0007】また、本発明のパケット転送装置は、複数
のネットワークセグメントの間に設けられ、ネットワー
クセグメント相互間で転送されるパケットを監視するパ
ケット転送装置に於いて、前記ネットワークセグメント
上のパケットを受信するパケット受信手段と、前記パケ
ット受信手段で受信したパケットを一時保留するパケッ
ト保留手段と、前記パケット受信手段で受信したパケッ
トについて、送出先のネットワークセグメントに接続さ
れた装置のソフトウェアに対し誤動作させる要因を含ん
でいるか否かを解析し、正常なパケットであるか否かを
判定するパケット解析手段と、宛先ネットワークアドレ
スの属するネットワークアドレス空間と送出セグメント
との対応を記憶する経路表を有し、前記パケット解析手
段にて正常と判定されたパケットについて、当該パケッ
トの送信先ネットワークアドレスから前記経路表に従っ
て送出すべきネットワークセグメントを決定する手段
と、前記正常なパケットのMACアドレスを前記ネット
ワークセグメント上の宛先ネットワークアドレスをもつ
機器のMACアドレスに書換え、前記正常な受信パケッ
トを前記決定したネットワークセグメントに送出する手
段とを具備することを特徴とする。
【0008】また、本発明のパケット転送装置は、複数
のネットワークセグメントの間に設けられ、ネットワー
クセグメント相互間で転送されるパケットを監視するパ
ケット転送装置に於いて、前記ネットワークセグメント
上のパケットを受信するパケット受信手段と、前記パケ
ット受信手段で受信したパケットについて、送出先のネ
ットワークセグメントに接続された装置のソフトウェア
に対し誤動作させる要因を含んでいるか否かを解析し、
正常なパケットであるか否かを判定するパケット解析手
段と、前記複数のネットワークセグメント各々に対応付
けて設けられた複数のパケット保留手段と、宛先ネット
ワークアドレスの属するネットワークアドレス空間と送
出セグメントの対応を記憶する経路表を有し、前記受信
パケットについて、当該パケットの送信先ネットワーク
アドレスから、前記経路表に従って送出すべきネットワ
ークセグメントを決定する送出セグメント決定手段と、
前記受信パケットについて、そのMACアドレスを、前
記ネットワークセグメント上の宛先ネットワークアドレ
スをもつ機器のMACアドレスに書換え、当該パケット
を前記送出ネットワークセグメントに対応して設けられ
た前記パケット保留手段に格納するパケット格納手段
と、前記パケット保留手段に保留された受信パケットの
内、前記パケット解析手段により正常と判定されたパケ
ットを前記決定したネットワークセグメントに送出する
手段とを具備することを特徴とする。
【0009】また、本発明のパケット転送装置は、複数
のネットワークセグメントの間に設けられ、ネットワー
クセグメント相互間で転送されるパケットを監視するパ
ケット転送装置に於いて、前記ネットワークセグメント
上のパケットを受信するパケット受信手段と、前記パケ
ット受信手段で受信したパケットについて、送出先のネ
ットワークセグメントに接続された装置のソフトウェア
に対し誤動作させる要因を含んでいるか否かを解析し、
正常なパケットであるか否かを判定するパケット解析手
段と、前記複数のネットワークセグメント各々に対応付
けて設けられた複数のパケット保留手段と、宛先ネット
ワークアドレスの属するネットワークアドレス空間と送
出セグメントの対応を記憶する経路表を有し、前記パケ
ット解析手段により正常と判定された受信パケットにつ
いて、当該パケットの送信先ネットワークアドレスから
前記経路に従って送出すべきネットワークセグメントを
決定する送出セグメント決定手段と、前記正常なパケッ
トについて、そのMACアドレスを前記送出すべきネッ
トワークセグメント上の宛先ネットワークアドレスをも
つ機器のMACアドレスに書換え、前記送出すべきセグ
メントに対応して設けられた前記パケット保留手段に格
納するパケット格納手段と、前記パケット保留手段に保
留されたパケットを前記決定したネットワークセグメン
トに送出する手段とを具備することを特徴とする。
【0010】また、本発明のパケット転送装置は、複数
のネットワークセグメントの間に設けられ、ネットワー
クセグメント相互間で転送されるパケットを監視するパ
ケット転送装置に於いて、前記ネットワークセグメント
上のパケットを受信するパケット受信手段と、前記パケ
ット受信手段で受信したパケットについて、送出先のネ
ットワークセグメントに接続された装置のソフトウェア
に対し誤動作させる要因を含んでいるか否かを解析し、
正常なパケットであるか否かを判定するパケット解析手
段と、前記複数のネットワークセグメント各々に対応付
けて設けられた複数のパケット保留手段と、宛先ネット
ワークアドレスの属するネットワークアドレス空間と送
出セグメントの対応を記憶する経路表を有し、前記受信
パケットについて、当該パケットの送信先ネットワーク
アドレスから、前記経路表に従って送出すべきネットワ
ークセグメントを決定する送出セグメント決定手段と、
前記正常な受信パケットについて、そのMACアドレス
を、前記送出すべきネットワークセグメント上の宛先ネ
ットワークアドレスをもつ機器のMACアドレスに書換
え、当該パケットを前記送出ネットワークセグメントに
対応して設けられた前記パケット保留手段に格納するパ
ケット格納手段と、前記パケット保留手段に保留された
受信パケットを前記決定したネットワークセグメントに
送出する手段とを具備することを特徴とする。
【0011】上記した本発明のパケット転送装置によれ
ば、接続対象となるネットワークセグメントがそれぞれ
異なるネットワークアドレス空間に属していても、その
ネットワーク相互間に於ける不正パケットの転送防御機
能をもつパケット転送動作を可能にし、これにより、異
なるネットワークアドレス空間に属するネットワークセ
グメントの間を接続する際に、ルータ等のネットワーク
接続機構を必要とせず、経済的に有利なネットワークシ
ステムを構築できる。
【0012】また、宛先として指定されたサーバ計算機
などが、障害が発生した等の理由によりサービスの継続
ができなくなった場合に、代替サーバへ、パケットを受
け渡すことが容易なパケット転送装置を実現することも
できる。
【0013】
【発明の実施の形態】以下、図面を参照して本発明の実
施形態を説明する。
【0014】図1は本発明の第1実施形態によるパケッ
ト転送装置の要部の構成要素を示すブロック図であり、
ここでは、受信パケットを送出すべきネットワークセグ
メントが複数存在する際に、その各ネットワークセグメ
ント(この例ではネットワークセグメント(B)とネッ
トワークセグメント(C))それぞれに対してパケット
保留キューを共通に設けた構成を例示している。
【0015】この第1実施形態に於けるパケット転送装
置10には、パケット受信部11、パケット識別子付加
機構12、パケット解析機構13、パケット保留キュー
14、送出セグメント判定機構16、MACアドレス書
換え機構17等の構成要素に加え、2系の送出ネットワ
ークセグメント(B),(C)に対応して2つのパケッ
ト送出部18,18が設けられる。
【0016】上記構成要素のうち、パケット受信部11
は、ネットワークセグメント(A)上に転送されるパケ
ットを受信する。パケット識別子付加機構12は、パケ
ット受信部11で受信したパケットに識別子を付加し
て、パケット保留キー14およびパケット解析機構13
に出力する。
【0017】パケット解析機構13は、パケット受信部
11で受信したパケットの情報に、送出先のネットワー
クセグメント((B),(C))に接続された装置のソ
フトウェアに対して誤動作させる要因を含んでいるか否
かを解析する。
【0018】パケット保留キュー14は、パケット識別
子付加機構12によって識別子が付加されたパケット
を、パケット解析機構13が、不正アクセスに関わるパ
ケットで無いことを判定するまで一時保留する。
【0019】送出セグメント判定機構16は、不正パケ
ットとして破棄されなかったパケットを、パケット保留
キュー14から取り出し、後述する経路表(RT)を参
照して、パケットの宛先ネットワークアドレスから、送
出すべきネットワークセグメントを判定し、MACアド
レス書換え機構17を介してパケット送出部18へ渡
す。
【0020】MACアドレス書換え機構17は、受信パ
ケットのMACアドレスを、送出すべきセグメント上で
の宛先ネットワークアドレスを持つ機器のMACアドレ
スに書換える。
【0021】パケット送出部18は、MACアドレスの
書換えが完了したパケットを、ネットワークセグメント
(B)若しくは(C)へ送出する。
【0022】上記図1に示す第1実施形態のパケット転
送装置10に於いて、送出セグメント判定機構16に
は、図2に示すように、経路表(RT)と、経路表設定
機構(RT−SU)が設けられる。
【0023】上記経路表(RT)には、図3に示すよう
に、宛先のネットワークアドレス空間と、そのネットワ
ークアドレス空間へアクセスするためのGateway
のネットワークアドレスと、送出すべきネットワークセ
グメントに接続されているパケット送出部名とがそれぞ
れ対応付けて格納されている。
【0024】ここで上記第1実施形態に於けるパケット
転送装置10のパケット転送処理動作を説明する。
【0025】パケット転送装置10の送出セグメント判
定機構16には、図3に示すような内容の経路表(R
T)が設定されているものとする。
【0026】パケット受信部11は、ネットワークセグ
メント(A)上のパケットを受信する。このパケット受
信部11で受信したパケットが、例えばネットワークア
ドレス「192.168.1.10」を持つサーバ計算
機宛てのパケットであるとする。
【0027】上記パケット受信部11で受信したパケッ
トは、パケット識別子付加機構12により、識別子が付
加され、パケット保留キュー14に格納される。
【0028】パケット保留キュー14に格納されたパケ
ットは、同時にパケット解析機構13に送られ、送出先
のネットワークセグメント((B),(C))に接続さ
れた装置のソフトウェアに対して誤動作させる要因を含
んだ不正パケットであるか否かが判別される。
【0029】ここで、不正パケットであると判別された
場合、パケット保留キュー14に格納された該当するパ
ケットは破棄され、そのパケット転送処理を終了する。
一方、不正パケットでは無いと判別された場合、当該パ
ケットは送出セグメント判定機構16に渡される。
【0030】送出セグメント判定機構16では、図3に
示す経路表(RT)を参照して、当該パケットを送出す
るパケット送出部が「ether1」であることを判定
する。
【0031】次いで、当該パケットは、MACアドレス
書換え機構17で、宛先ネットワークアドレス「19
2.168.1.10」を持つサーバ計算機のMACア
ドレスに書換えられ、上記判定された「ether1」
のパケット送出部18からネットワークセグメント
(B)送出される。
【0032】このようにして、パケット転送装置10が
接続されるネットワークセグメントが、それぞれ異なる
ネットワークアドレス空間に属していても、サーバ計算
機などを誤動作させる要因を含んだ情報を持つ不正パケ
ットの転送を防御して、パケット転送を行うことのでき
るフィルタ型IDS機能をもつパケット転送装置が実現
できる。
【0033】次に、本発明の第2実施形態を説明する。
【0034】図4は本発明の第2実施形態によるパケッ
ト転送装置の要部の構成要素を示すブロック図であり、
ここでは、受信パケットを送出すべきネットワークセグ
メントが複数存在する際に、その各ネットワークセグメ
ントそれぞれに対してパケット保留キューが設けられた
構成を例示している。
【0035】この第2実施形態に於けるパケット転送装
置20には、パケット受信部21、パケット識別子付加
機構22、パケット解析機構23、送出セグメント判定
機構26、MACアドレス書換え機構27等の構成要素
に加え、2系の送出ネットワークセグメント(B),
(C)に対応して、2つのパケット保留キュー24,2
4、およびパケット送出部28,28が設けられてい
る。これら各構成要素のうち、上述した第1実施形態と
同一の構成要素については、その動作の説明を省略す
る。
【0036】送出セグメント判定機構26は、図2に示
すように、経路表(RT)と、経路表設定機構(RT−
SU)を備え、経路表(RT)を参照して、パケット識
別子付加機構22により識別子が付加されたパケットに
ついて、そのパケットの宛先ネットワークアドレスか
ら、送出すべきネットワークセグメントを判定し、当該
パケットをMACアドレス書換え機構27を介して送出
すべきネットワークセグメント(ネットワークセグメン
ト(B)若しくはネットワークセグメント(C))に対
応するパケット保留キュー24に格納する。
【0037】MACアドレス書換え機構27は、受信パ
ケットのMACアドレスを、送出すべきセグメント(ネ
ットワークセグメント(B)若しくはネットワークセグ
メント(C))上での宛先ネットワークアドレスを持つ
機器のMACアドレスに書換える。
【0038】パケット保留キュー24,24は、送出セ
グメント判定機構26によって格納されたパケットを、
パケット解析機構23が、不正アクセスに関わるパケッ
トで無いことを判定するまで一時保留する。
【0039】パケット送出部28,28は、パケット解
析機構23が、不正アクセスに関わるパケットで無いこ
とを判定したパケットを、パケット保留キュー24から
取り出し、対応するネットワークセグメント(B)若し
くはネットワークセグメント(C)に送出する。
【0040】ここで上記第2実施形態に於けるパケット
転送装置20のパケット転送処理動作を説明する。
【0041】パケット転送装置20の送出セグメント判
定機構26には、図3に示すような内容の経路表(R
T)が設定されているものとする。そして、パケット受
信部21は、ネットワークセグメント(A)上のパケッ
トを受信する。このパケット受信部11で受信したパケ
ットが、例えばネットワークアドレス「192.16
8.1.10」を持つサーバ計算機宛てのパケットであ
るとする。
【0042】上記パケット受信部21で受信したパケッ
トは、パケット識別子付加機構22により、識別子が付
加され、送出セグメント判定機構26に渡される。
【0043】送出セグメント判定機構26では、図3に
示す経路表(RT)を参照して、当該パケットを送出す
るパケット送出部が「ether1」であることを判定
する。
【0044】次いで、当該パケットは、MACアドレス
書換え機構27で、宛先ネットワークアドレス「19
2.168.1.10」を持つサーバ計算機のMACア
ドレスに書換えられ、上記判定された「ether1」
のパケット送出部28に対応するパケット保留キュー2
4(ネットワークセグメント(B)側)に格納される。
【0045】パケット保留キュー24に格納されたパケ
ットは、パケット解析機構23により不正パケットであ
るか否かが判別される。ここで不正パケットであると判
別された場合、パケット保留キュー24に格納された該
当するパケットは破棄され、そのパケット転送処理を終
了する。また、不正パケットでは無いと判別された場
合、当該パケットは、当該パケットが格納されたパケッ
ト保留キュー24(ネットワークセグメント(B)側)
に対応する「ehter1」のパケット送出部28から
ネットワークセグメント(B)上に送出される。
【0046】このようにして、パケット転送装置20が
接続されるネットワークセグメントが、それぞれ異なる
ネットワークアドレス空間に属していても、サーバ計算
機などを誤動作させる要因を含んだ情報を持つ不正パケ
ットの転送を防御して、パケット転送を行うことのでき
るフィルタ型IDS機能をもつパケット転送装置が実現
できる。
【0047】次に本発明の第3実施形態を説明する。
【0048】図5は本発明の第3実施形態によるパケッ
ト転送装置の要部の構成要素を示すブロック図であり、
ここでは、送出セグメント判定機構の前段に、ネットワ
ークアドレスを書き換えるための対応表を備えたネット
ワークアドレス変換手段が設けられた構成を例示してい
る。
【0049】この第3実施形態に於けるパケット転送装
置30には、パケット受信部31、パケット識別子付加
機構32、パケット解析機構33、パケット保留キュー
34、ネットワークアドレス書換え機構35、送出セグ
メント判定機構36、MACアドレス書換え機構37等
の構成要素に加え、2系の送出ネットワークセグメント
(B),(C)に対応して2つのパケット送出部38,
38が設けられる。これら各構成要素のうち、上述した
各実施形態と同一の構成要素については、その動作の説
明を省略する。
【0050】パケット保留キュー34は、パケット識別
子付加機構32によって、識別子が付加されたパケット
を、パケット解析機構33が、不正アクセスに関わるパ
ケットで無いことを判定するまで一時保留する。
【0051】ネットワークアドレス書換え機構35は、
ネットワークアドレスを書き換えるための対応表(C
T)を備え、不正パケットとして破棄されなかったパケ
ットのネットワークアドレスを対応表(CT)の内容に
従い変更する。
【0052】送出セグメント判定機構36は、図2に示
すように、経路表(RT)と、経路表設定機構(RT−
SU)を備え、不正パケットとして破棄されなかったパ
ケットを、パケット保留キュー34から取り出し、経路
表(RT)を参照して、当該パケットの宛先ネットワー
クアドレスから、送出すべきネットワークセグメント
((B),(C))を判定し、MACアドレス書換え機
構37を介してパケット送出部38へ渡す。
【0053】MACアドレス書換え機構37は、受信パ
ケットのMACアドレスを、送出すべきセグメント上で
の宛先ネットワークアドレスを持つ機器のMACアドレ
スに書換える。
【0054】パケット送出部38,38は、MACアド
レスの書換えが完了したパケットを、接続されたネット
ワークセグメント(B)若しくはネットワークセグメン
ト(C)へ送出する。
【0055】上記ネットワークアドレス書換え機構35
に設けられた、ネットワークアドレスを書換えるための
対応表(CT)に格納される内容例を図6に示す。対応
表(CT)には、宛先のサービス番号(ここでは、HT
TP,SMTP)と、書換え後のネットワークアドレス
(ここでは、「192.168.1.120」「19
2.168.1.131」)が対応付けて格納される。
【0056】このネットワークアドレス変換手段35に
設けられた対応表(CT)に於ける、HTTPサーバに
障害が発生した後の内容例を図7に示す。対応表(C
T)のHTTPアクセス時に於いて、パケットの宛先を
書換えるアドレスが、代替サーバのアドレス「192.
168.1.121」に修正されていることが分かる。
【0057】上記ネットワークアドレス変換手段35に
設けられた対応表(CT)に於ける、他の内容例を図8
に示す。ここでは、対応表(CT)に、宛先のネットワ
ークアドレスと宛先のサービス番号と書換え後のネット
ワークアドレスとがそれぞれ対応付けて格納されてい
る。
【0058】ここで上記第3実施形態に於けるパケット
転送装置30のパケット転送処理動作を説明する。
【0059】パケット転送装置30に於いて、送出セグ
メント判定機構36には、図3に示すような内容の経路
表(RT)が設定され、ネットワークアドレス書換え機
構35には、図6に示すような内容の対応表(CT)が
設定されているものとする。
【0060】パケット受信部31は、ネットワークセグ
メント(A)上のパケットを受信する。このパケット受
信部31で受信したパケットが、例えばネットワークア
ドレス「192.168.0.1」を持つサーバ計算機
宛てのパケットであり、その宛先サービス番号が「HT
TP」であるとする。
【0061】上記パケット受信部31で受信したパケッ
トは、パケット識別子付加機構32により、識別子が付
加され、パケット保留キュー34に格納される。パケッ
ト保留キュー34に格納されたパケットは、同時にパケ
ット解析機構33に送られ、不正パケットであるか否か
が判別される。ここで不正パケットであると判別された
場合、パケット保留キュー34に格納された該当パケッ
トは破棄され、そのパケット転送処理が終了する。ま
た、不正パケットでは無い(正常パケット)と判別され
た場合、当該パケットはネットワークアドレス書換え機
構35に渡される、ネットワークアドレス書換え機構3
5では、図6に示す対応表(CT)を参照して、当該パ
ケットの宛先ネットワークアドレスをHTTPのサービ
ス番号である「192.168.1.120」に書換
え、送出セグメント判定機構36に渡す。
【0062】送出セグメント判定機構36では、図3に
示す経路表(RT)を参照して、当該パケットを送出す
るパケット送出部は「ether1」であることを判定
する。次いで、当該パケットは、MACアドレス書換え
機構37で、宛先ネットワークアドレス「192.16
8.1.120」を持つサーバ計算機のMACアドレス
に書換えられ、上記判定した「ether1」のパケッ
ト送出部38(ネットワークセグメント(B)側)から
送出される。
【0063】このようにして、パケット転送装置30が
接続されるネットワークセグメントが、それぞれ異なる
ネットワークアドレス空間に属していても、受信したパ
ケットを対応するサーバへ転送可能にして、かつサーバ
計算機などを誤動作させる要因を含んだ情報を持つ不正
パケットの転送を防御した、フィルタ型IDS機能をも
つパケット転送装置が実現できる。
【0064】次に、上記ネットワークシステムに於い
て、「192.168.1.120」のネットワークア
ドレスを持つサーバに障害が発生したとする。この障害
に対応するため、上記ネットワークアドレス書換え機構
35の持つ対応表(CT)を図7のように書換える。こ
の書換えは、シリアルインターフェース、自身のネット
ワークインタフェース、あるいは、転送対象のネットワ
ークインタフェースからの対応表更新指示によって可能
である。
【0065】ここで、障害発生前と同様に、本装置のネ
ットワークアドレス「192.168.0.1」を宛先
ネットワークアドレスとし、その宛先サービス番号が
「HTTP」であるパケットが受信されたとする。
【0066】ネットワークアドレス書換え機構35で
は、図7に示す対応表(CT)を参照して、当該パケッ
トの宛先ネットワークアドレスを、代替サーバのネット
ワークアドレスである「192.168.1.121」
に書換え、送出セグメント判定機構36に渡す。
【0067】送出セグメント判定機構36では、図3に
示す経路表(RT)を参照して、当該パケットを送出す
るパケット送出部は「ether1」(このケースでは
変わらない)であることを判定する。次いで、当該パケ
ットは、MACアドレス書換え機構37で、宛先ネット
ワークアドレス「192.168.1.121」を持つ
代替サーバ計算機のMACアドレスに書換えられ、「e
ther1」のパケット送出部38(ネットワークセグ
メント(B)側)から送出される。
【0068】このようにして、宛先として指定されたサ
ーバ計算機などが、障害が発生した等の理由により、サ
ービスの継続ができなくなった場合に於いて、代替サー
バへ、パケットを受け渡すことが容易なパケット転送装
置が実現できる。
【0069】尚、上記ネットワークアドレス書換え機構
35に設けられた対応表(CT)には、図8のような宛
先ネットワークアドレスを持つこともできる。この際、
ネットワークアドレスの書換えの対象となるのは、本装
置のネットワークアドレス「192.168.0.1」
を宛先ネットワークアドレスとするパケットではなく、
図8に示した対応表(CT)に格納された宛先ネットワ
ークアドレスを持つパケットとなる。例えば、宛先ネッ
トワークアドレスとして、「192.168.0.1
1」をもち、宛先サービス番号として「HTTP」をも
つパケットは、ネットワークアドレス書換え機構35に
よって、宛先ネットワークアドレスが「192.16
8.1.120」へ書換えられることになる。
【0070】このようにすることで、パケット転送装置
30が接続されるネットワークセグメントが、それぞれ
異なるネットワークアドレス空間に属していても、任意
のネットワークアドレスを宛先に持つパケットを対応す
るサーバへ転送可能で、かつサーバ計算機などを誤動作
させる要因を含んだ情報を持つ不正パケットの転送を防
御できるフィルタ型IDS機能をもつパケット転送装置
が実現できる。
【0071】次に本発明の第4実施形態を説明する。
【0072】図9は本発明の第4実施形態によるパケッ
ト転送装置の要部の構成要素を示すブロック図であり、
ここでは、送出セグメント判定機構の前段に、ネットワ
ークアドレスを書き換えるための対応表CTを備えたネ
ットワークアドレス変換機構45が設けられるととも
に、パケット保留キューが送出ネットワークセグメント
((B),(C))毎に設けられた構成を例示してい
る。
【0073】この第4実施形態に於けるパケット転送装
置40には、パケット受信部41、パケット識別子付加
機構42、パケット解析機構43、ネットワークアドレ
ス書換え機構45、送出セグメント判定機構46、MA
Cアドレス書換え機構47等の構成要素に加え、2系の
送出ネットワークセグメント(B),(C)に対応し
て、2つのパケット保留キュー44,44、およびパケ
ット送出部48,48が設けられている。これら各構成
要素のうち、上述した各実施形態と同一の構成要素につ
いては、その動作の説明を省略する。
【0074】ネットワークアドレス書換え機構45は、
ネットワークアドレスを書き換えるための対応表(C
T)を備え、パケット識別子付加装置42によって識別
子を付加されたパケットのネットワークアドレスを対応
表(CT)の内容に従い変更する。
【0075】送出セグメント判定機構46は、図2に示
すように、経路表(RT)と、経路表設定機構(RT−
SU)を備え、ネットワークアドレス書換え機構45に
よってアドレス変換処理されたパケットについて、経路
表(RT)を参照して、当該パケットの宛先ネットワー
クアドレスから、送出すべきネットワークセグメントを
判定し、当該パケットをMACアドレス書換え機構47
を介して送出すべきネットワークセグメント((B),
(C))に対応するパケット保留キュー44に格納す
る。
【0076】MACアドレス書換え機構47は、受信パ
ケットのMACアドレスを、送出すべきセグメント上に
接続される宛先機器のMACアドレスに書換える。
【0077】パケット保留キュー44,44は、送出セ
グメント判定機構46によって処理されたパケットを、
パケット解析機構43が、不正アクセスに関わるパケッ
トで無いことを判定するまで一時保留する。
【0078】パケット送出部48,48は、パケット解
析機構43が不正アクセスに関わるパケットで無いこと
を判定したパケットをパケット保留キュー44から取り
出し、ネットワークセグメント((B),(C))に送
出する。
【0079】ここで上記第4実施形態に於けるパケット
転送装置40のパケット転送処理動作を説明する。
【0080】パケット転送装置40に於いて、送出セグ
メント判定機構46には、図3に示すような内容の経路
表(RT)が設定され、ネットワークアドレス書換え機
構45には、図6に示すような内容の対応表(CT)が
設定されているものとする。
【0081】パケット受信部41は、ネットワークセグ
メント(A)上のパケットを受信する。ここで、パケッ
ト受信部41が、本装置のネットワークアドレス「19
2.168.0.1」を宛先ネットワークアドレスと
し、その宛先サービス番号が「HTTP」であるパケッ
トを受信したものとする。
【0082】上記パケット受信部41で受信したパケッ
トは、パケット識別子付加機構42により、識別子がを
付加され、ネットワークアドレス書換え機構45に渡さ
れる。
【0083】ネットワークアドレス書換え機構45で
は、図6に示す対応表(CT)を参照して、当該パケッ
トの宛先ネットワークアドレスを「192.168.
1.120」に書換え、当該パケットを送出セグメント
判定機構46に渡す。
【0084】送出セグメント判定機構46では、図3に
示す経路表(RT)を参照して、HTTPパケットであ
ることを判別して、当該パケットを送出するパケット送
出部は「ether1」であることを判定する。次い
で、当該パケットは、MACアドレス書換え機構47
で、宛先ネットワークアドレス「192.168.1.
120」を持つサーバ計算機のMACアドレスに書換え
られ、「ether1」のパケット送出部48に対応す
るパケット保留キュー44(ネットワークセグメント
(B)側)に格納される。
【0085】パケット保留キュー44格納されたパケッ
トは、パケット解析機構43により、不正パケットであ
るか否かが判別される。ここで、不正パケットであると
判別された場合には、パケット保留キュー44に格納さ
れた該当パケットは破棄され、そのパケット転送処理が
終了する。また、不正パケットでは無いと判別された場
合、当該パケットは、当該パケットか格納されたパケッ
ト保留キュー44に対応する「ehter1」のパケッ
ト送出部48(ネットワークセグメント(B)側)から
送出される。
【0086】このようにして、パケット転送装置が接続
されるネットワークセグメントが、それぞれ異なるネッ
トワークアドレス空間に属していても、受信したパケッ
トを対応するサーバへ転送可能にして、かつサーバ計算
機などを誤動作させる要因を含んだ情報を持つ不正パケ
ットの転送を防御した、フィルタ型IDS機能をもつパ
ケット転送装置が実現できる。
【0087】
【発明の効果】以上詳記したように本発明によれば、複
数のネットワークセグメントの間に設けられ、ネットワ
ークセグメント相互間で転送されるパケットを監視する
パケット転送装置に於いて、接続対象となるネットワー
クセグメントがそれぞれ異なるネットワークアドレス空
間に属していても、そのネットワーク相互間に於ける不
正パケットの転送防御機能をもつパケット転送動作を可
能にしたことにより、経済的に有利な構成でネットワー
クシステムを構築できる。
【図面の簡単な説明】
【図1】本発明の第1実施形態によるパケット転送装置
の要部の構成要素を示すブロック図。
【図2】本発明の第1実施形態乃至第4実施形態に於け
る送出セグメント判定機構の内部構成要素を示すブロッ
ク図。
【図3】上記図2に示す送出セグメント判定機構に設け
られた経路表(RT)の内容例を示す図。
【図4】本発明の第2実施形態によるパケット転送装置
の要部の構成要素を示すブロック図。
【図5】本発明の第3実施形態によるパケット転送装置
の要部の構成要素を示すブロック図。
【図6】本発明の第3実施形態および第4実施形態に於
けるネットワークアドレス書換え機構に設けられた対応
表(CT)の内容例を示す図。
【図7】上記図6に示した対応表(CT)の内容変更例
を示す図。
【図8】本発明の第3実施形態および第4実施形態に於
けるネットワークアドレス書換え機構に設けられた対応
表(CT)の他の内容例を示す図。
【図9】本発明の第4実施形態によるパケット転送装置
の要部の構成要素を示すブロック図。
【図10】従来のパケット転送装置の構成を示すブロッ
ク図。
【符号の説明】
10,20,30,40…パケット転送装置 11,21,31,41…パケット受信部 12,22,32,42…パケット識別子付加機構 13,23,33,43…パケット解析機構 14,24,34,44…パケット保留キュー 16,26,36,46…送出セグメント判定機構 17,27,37,47…MACアドレス書換え機構 18,28,38,48…パケット送出部 35,45…ネットワークアドレス書換え機構 RT…経路表 RT−SU…経路表設定機構 CT…対応表

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】 複数のネットワークセグメントの間に設
    けられ、ネットワークセグメント相互間で転送されるパ
    ケットを監視するパケット転送装置に於いて、 前記ネットワークセグメント上のパケットを受信し、一
    時保留するパケット保留手段と、 前記受信パケットの情報に、送出先ネットワークセグメ
    ントに接続された装置のソフトウェアに対し誤動作させ
    る要因を含んでいるか否かを解析して、正常なパケット
    であるか否かを判定するパケット解析手段と、 前記受信パケットの宛先ネットワークアドレスが属する
    ネットワークアドレス空間と送出セグメントとを対応付
    けた経路表を有し、前記パケット解析手段により正常と
    判定された前記受信パケットが前記パケット保留手段か
    ら渡された時、その受信パケットの前記送信先ネットワ
    ークアドレスから前記経路表に従って送出すべきネット
    ワークセグメントを決定する手段と、前記正常な受信パ
    ケットのMACアドレスを前記送出すべきセグメント上
    の宛先ネットワークアドレスをもつ機器のMACアドレ
    スに書換え、前記正常な受信パケットを前記決定したネ
    ットワークセグメントに送出する手段とを具備すること
    を特徴とするパケット転送装置。
  2. 【請求項2】 複数のネットワークセグメントの間に設
    けられ、ネットワークセグメント相互間で転送されるパ
    ケットを監視するパケット転送装置に於いて、 前記ネットワークセグメント上のパケットを受信するパ
    ケット受信手段と、 前記パケット受信手段で受信したパケットを一時保留す
    るパケット保留手段と、 前記パケット受信手段で受信したパケットについて、送
    出先のネットワークセグメントに接続された装置のソフ
    トウェアに対し誤動作させる要因を含んでいるか否かを
    解析し、正常なパケットであるか否かを判定するパケッ
    ト解析手段と、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントとの対応を記憶する経路表を有
    し、前記パケット解析手段にて正常と判定されたパケッ
    トについて、当該パケットの送信先ネットワークアドレ
    スから前記経路表に従って送出すべきネットワークセグ
    メントを決定する手段と、前記正常なパケットのMAC
    アドレスを前記ネットワークセグメント上の宛先ネット
    ワークアドレスをもつ機器のMACアドレスに書換え、
    前記正常な受信パケットを前記決定したネットワークセ
    グメントに送出する手段とを具備することを特徴とする
    パケット転送装置。
  3. 【請求項3】 複数のネットワークセグメントの間に設
    けられ、ネットワークセグメント相互間で転送されるパ
    ケットを監視するパケット転送装置に於いて、 前記ネットワークセグメント上のパケットを受信するパ
    ケット受信手段と、 前記パケット受信手段で受信したパケットについて、送
    出先のネットワークセグメントに接続された装置のソフ
    トウェアに対し誤動作させる要因を含んでいるか否かを
    解析し、正常なパケットであるか否かを判定するパケッ
    ト解析手段と、 前記複数のネットワークセグメント各々に対応付けて設
    けられた複数のパケット保留手段と、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を有
    し、前記受信パケットについて、当該パケットの送信先
    ネットワークアドレスから、前記経路表に従って送出す
    べきネットワークセグメントを決定する送出セグメント
    決定手段と、 前記受信パケットについて、そのMACアドレスを、前
    記ネットワークセグメント上の宛先ネットワークアドレ
    スをもつ機器のMACアドレスに書換え、当該パケット
    を前記送出ネットワークセグメントに対応して設けられ
    た前記パケット保留手段に格納するパケット格納手段
    と、 前記パケット保留手段に保留された受信パケットの内、
    前記パケット解析手段により正常と判定されたパケット
    を前記決定したネットワークセグメントに送出する手段
    とを具備することを特徴とするパケット転送装置。
  4. 【請求項4】 複数のネットワークセグメントの間に設
    けられ、ネットワークセグメント相互間で転送されるパ
    ケットを監視するパケット転送装置に於いて、 前記ネットワークセグメント上のパケットを受信するパ
    ケット受信手段と、 前記パケット受信手段で受信したパケットについて、送
    出先のネットワークセグメントに接続された装置のソフ
    トウェアに対し誤動作させる要因を含んでいるか否かを
    解析し、正常なパケットであるか否かを判定するパケッ
    ト解析手段と、 前記複数のネットワークセグメント各々に対応付けて設
    けられた複数のパケット保留手段と、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を有
    し、前記パケット解析手段により正常と判定された受信
    パケットについて、当該パケットの送信先ネットワーク
    アドレスから前記経路に従って送出すべきネットワーク
    セグメントを決定する送出セグメント決定手段と、 前記正常なパケットについて、そのMACアドレスを前
    記送出すべきネットワークセグメント上の宛先ネットワ
    ークアドレスをもつ機器のMACアドレスに書換え、前
    記送出すべきセグメントに対応して設けられた前記パケ
    ット保留手段に格納するパケット格納手段と、 前記パケット保留手段に保留されたパケットを前記決定
    したネットワークセグメントに送出する手段とを具備す
    ることを特徴とするパケット転送装置。
  5. 【請求項5】 複数のネットワークセグメントの間に設
    けられ、ネットワークセグメント相互間で転送されるパ
    ケットを監視するパケット転送装置に於いて、 前記ネットワークセグメント上のパケットを受信するパ
    ケット受信手段と、 前記パケット受信手段で受信したパケットについて、送
    出先のネットワークセグメントに接続された装置のソフ
    トウェアに対し誤動作させる要因を含んでいるか否かを
    解析し、正常なパケットであるか否かを判定するパケッ
    ト解析手段と、 前記複数のネットワークセグメント各々に対応付けて設
    けられた複数のパケット保留手段と、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を有
    し、前記受信パケットについて、当該パケットの送信先
    ネットワークアドレスから、前記経路表に従って送出す
    べきネットワークセグメントを決定する送出セグメント
    決定手段と、 前記正常な受信パケットについて、そのMACアドレス
    を、前記送出すべきネットワークセグメント上の宛先ネ
    ットワークアドレスをもつ機器のMACアドレスに書換
    え、当該パケットを前記送出ネットワークセグメントに
    対応して設けられた前記パケット保留手段に格納するパ
    ケット格納手段と、 前記パケット保留手段に保留された受信パケットを前記
    決定したネットワークセグメントに送出する手段とを具
    備することを特徴とするパケット転送装置。
  6. 【請求項6】 前記請求項2記憶のパケット転送装置に
    於いて、前記パケット送出制御手段は、受信パケットの
    宛先サービス番号と書換え後の宛先ネットワークアドレ
    スの対応表を設定し保持する手段と、前記受信パケット
    のMACアドレスの書換えの前に、前記対応表に従い当
    該パケットの宛先サービス番号に対応する宛先ネットワ
    ークアドレスに書換える手段とを具備することを特徴と
    するパケット転送装置。
  7. 【請求項7】 前記請求項3乃至5のいずれかに記憶の
    パケット転送装置に於いて、パケット格納手段は、受信
    パケットの宛先サービス番号と書換え後の宛先ネットワ
    ークアドレスの対応表を設定し保持する手段と、前記受
    信パケットのMACアドレスの書換えの前に、前記対応
    表に従い当該パケットの宛先サービス番号に対応する宛
    先ネットワークアドレスに書換える手段とを具備するこ
    とを特徴とするパケット転送装置。
  8. 【請求項8】 前記請求項6または7のいずれかに記憶
    のパケット転送装置に於いて、前記対応表は、受信パケ
    ットの宛先ネットワークアドレスおよび宛先サービス番
    号と書換え後の宛先ネットワークアドレスの対応が記憶
    され、前記受信パケットの宛先ネットワークアドレスお
    よび宛先サービス番号に対応する宛先ネットワークアド
    レスに書換える手段を具備することを特徴とするパケッ
    ト転送装置。
  9. 【請求項9】 前記請求項6乃至8のいずれかに記憶の
    パケット転送装置に於いて、パケットの宛先サービス番
    号と宛先ネットワークアドレスの対応表を設定する手段
    は、シリアルインターフェース、自身のネットワークイ
    ンタフェース、あるいは、転送対象のネットワークイン
    タフェースからの前記対応表の更新指示を受信し、前記
    対応表を更新する手段とを具備することを特徴とするパ
    ケット転送装置。
  10. 【請求項10】 複数のネットワークセグメントの間に
    設けられ、ネットワークセグメント相互間で転送される
    パケットを監視するパケット転送装置のパケット転送方
    法に於いて、 前記ネットワークセグメント上のパケットを受信し、パ
    ケット保留手段に一時保留し、 前記受信パケットの情報に、送出先ネットワークセグメ
    ントに接続された装置のソフトウェアに対し誤動作させ
    る要因を含んでいるか否かをパケット解析手段によって
    解析して、 前記受信パケットの宛先ネットワークアドレスが属する
    ネットワークアドレス空間と送出セグメントとを対応付
    けた経路表を用い、前記パケット解析手段により正常と
    判定された前記受信パケットが前記パケット保留手段か
    ら渡された時、その受信パケットの前記送信先ネットワ
    ークアドレスから前記経路表に従って送出すべきネット
    ワークセグメントを決定し、前記正常な受信パケットの
    MACアドレスを前記送出すべきセグメント上の宛先ネ
    ットワークアドレスをもつ機器のMACアドレスに書換
    え、前記正常な受信パケットを決定したネットワークセ
    グメントに送出することを特徴とするパケット転送方
    法。
  11. 【請求項11】 複数のネットワークセグメントの間に
    設けられ、ネットワークセグメント相互間で転送される
    パケットを監視するパケット転送装置のパケット転送方
    法に於いて、 前記ネットワークセグメント上のパケットを受信して、
    パケット保留手段に一時保留し、 前記受信したパケットについて、送出先のネットワーク
    セグメントに接続された装置のソフトウェアに対し誤動
    作させる要因を含んでいるか否かをパケット解析手段に
    より解析し、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントとの対応を記憶する経路表を用
    い、前記パケット解析手段にて正常と判定されたパケッ
    トについて、当該パケットの送信先ネットワークアドレ
    スから前記経路表に従って送出すべきネットワークセグ
    メントを決定し、前記正常なパケットのMACアドレス
    を前記ネットワークセグメント上の宛先ネットワークア
    ドレスをもつ機器のMACアドレスに書換え、前記正常
    な受信パケットを決定したネットワークセグメントに送
    出することを特徴とするパケット転送方法。
  12. 【請求項12】 複数のネットワークセグメントの間に
    設けられ、ネットワークセグメント相互間で転送される
    パケットを監視するパケット転送装置のパケット転送方
    法に於いて、 前記ネットワークセグメント上のパケットを受信し、 前記受信したパケットについて、送出先のネットワーク
    セグメントに接続された装置のソフトウェアに対し誤動
    作させる要因を含んでいるか否かをパケット解析手段に
    より解析し、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を用
    い、前記受信パケットについて、当該パケットの送信先
    ネットワークアドレスから、前記経路表に従って送出す
    べきネットワークセグメントを決定し、 前記受信パケットについて、そのMACアドレスを、前
    記ネットワークセグメント上の宛先ネットワークアドレ
    スをもつ機器のMACアドレスに書換え、当該パケット
    を前記送出ネットワークセグメントに対応して設けられ
    たパケット保留手段に格納し、 前記パケット保留手段に保留された受信パケットの内、
    前記パケット解析手段により正常と判定されたパケット
    を決定したネットワークセグメントに送出することを特
    徴とするパケット転送方法。
  13. 【請求項13】 複数のネットワークセグメントの間に
    設けられ、ネットワークセグメント相互間で転送される
    パケットを監視するパケット転送装置のパケット転送方
    法に於いて、 前記ネットワークセグメント上のパケットを受信し、 前記受信パケットについて、送出先のネットワークセグ
    メントに接続された装置のソフトウェアに対し誤動作さ
    せる要因を含んでいるか否かをパケット解析手段により
    解析し、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を用
    い、前記パケット解析手段により正常と判定された受信
    パケットについて、当該パケットの送信先ネットワーク
    アドレスから前記経路に従って送出すべきネットワーク
    セグメントを決定し、 前記正常なパケットについて、そのMACアドレスを前
    記送出すべきネットワークセグメント上の宛先ネットワ
    ークアドレスをもつ機器のMACアドレスに書換え、前
    記送出すべきセグメントに対応して設けられた前記パケ
    ット保留手段に格納し、 前記パケット保留手段に保留されたパケットを決定した
    ネットワークセグメントに送出することを特徴とするパ
    ケット転送方法。
  14. 【請求項14】 複数のネットワークセグメントの間に
    設けられ、ネットワークセグメント相互間で転送される
    パケットを監視するパケット転送装置のパケット転送方
    法に於いて、 前記ネットワークセグメント上のパケットを受信し、 前記受信パケットについて、送出先のネットワークセグ
    メントに接続された装置のソフトウェアに対し誤動作さ
    せる要因を含んでいるか否かをパケット解析手段をより
    解析し、 宛先ネットワークアドレスの属するネットワークアドレ
    ス空間と送出セグメントの対応を記憶する経路表を用
    い、前記受信パケットについて、当該パケットの送信先
    ネットワークアドレスから、前記経路表に従って送出す
    べきネットワークセグメントを決定し、 前記正常な受信パケットについて、そのMACアドレス
    を、前記送出すべきネットワークセグメント上の宛先ネ
    ットワークアドレスをもつ機器のMACアドレスに書換
    え、当該パケットを前記送出ネットワークセグメントに
    対応して設けられたパケット保留手段に格納し、 前記パケット保留手段に保留された受信パケットを決定
    したネットワークセグメントに送出することを特徴とす
    るパケット転送方法。
JP2001278475A 2001-09-13 2001-09-13 パケット転送装置およびパケット転送方法 Pending JP2003087297A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2001278475A JP2003087297A (ja) 2001-09-13 2001-09-13 パケット転送装置およびパケット転送方法
US10/228,953 US20030048783A1 (en) 2001-09-13 2002-08-28 Method and apparatus for transferring packets in network
EP02256003A EP1294156B1 (en) 2001-09-13 2002-08-29 Method and apparatus for transferring packets in network with monitoring of malicious packets
DE2002606720 DE60206720T2 (de) 2001-09-13 2002-08-29 Methode und Vorrichtung zur Paketübertragung in einem Netzwerk mit Überwachung von unzulässigen Paketen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001278475A JP2003087297A (ja) 2001-09-13 2001-09-13 パケット転送装置およびパケット転送方法

Publications (1)

Publication Number Publication Date
JP2003087297A true JP2003087297A (ja) 2003-03-20

Family

ID=19102838

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001278475A Pending JP2003087297A (ja) 2001-09-13 2001-09-13 パケット転送装置およびパケット転送方法

Country Status (4)

Country Link
US (1) US20030048783A1 (ja)
EP (1) EP1294156B1 (ja)
JP (1) JP2003087297A (ja)
DE (1) DE60206720T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6012867B2 (ja) * 2013-06-13 2016-10-25 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2567303C (en) * 2004-05-20 2015-03-24 Freebit Co., Ltd. Server for routing connection to client device
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置
US7474617B2 (en) * 2005-03-04 2009-01-06 Ibahn General Holdings Corporation Detection of multiple users of a network access node
US8279893B2 (en) * 2006-06-16 2012-10-02 Nvidia Corporation System and method for communicating data utilizing multiple types of data connections
JP5090408B2 (ja) 2009-07-22 2012-12-05 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US9612814B2 (en) * 2012-02-02 2017-04-04 Sungard Availability Services, Lp Network topology-aware recovery automation
US9317268B2 (en) 2012-02-02 2016-04-19 Sungard Availability Services Lp Recovery automation in heterogeneous environments
CN104205949B (zh) * 2012-11-28 2018-07-13 华为技术有限公司 一种移动网络通信方法、通信装置及通信系统
US9767283B2 (en) * 2014-06-27 2017-09-19 Mcafee, Inc. System and method to mitigate malicious calls

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US6360262B1 (en) * 1997-11-24 2002-03-19 International Business Machines Corporation Mapping web server objects to TCP/IP ports
US6822955B1 (en) * 1998-01-22 2004-11-23 Nortel Networks Limited Proxy server for TCP/IP network address portability
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6205511B1 (en) * 1998-09-18 2001-03-20 National Semiconductor Corp. SDRAM address translator
JP3149926B2 (ja) * 1998-09-28 2001-03-26 日本電気株式会社 アドレス変換方法及び装置
JP2003505934A (ja) * 1999-07-15 2003-02-12 サン・マイクロシステムズ・インコーポレイテッド 安全なネットワーク・スイッチ
JP4236364B2 (ja) * 2000-04-04 2009-03-11 富士通株式会社 通信データ中継装置
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
US7110404B1 (en) * 2001-09-04 2006-09-19 Cisco Technology, Inc. System and method for sending a packet to multiple destinations using a pipeline network processor

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6012867B2 (ja) * 2013-06-13 2016-10-25 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Also Published As

Publication number Publication date
DE60206720T2 (de) 2006-06-01
EP1294156A2 (en) 2003-03-19
EP1294156B1 (en) 2005-10-19
EP1294156A3 (en) 2004-01-02
US20030048783A1 (en) 2003-03-13
DE60206720D1 (de) 2005-11-24

Similar Documents

Publication Publication Date Title
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
US8856884B2 (en) Method, apparatus, signals, and medium for managing transfer of data in a data network
CA2753747C (en) Method for operating a node cluster system in a network and node cluster system
JP2000032056A (ja) 通信品質制御装置
US20090037587A1 (en) Communication system, communication apparatus, communication method, and program
US7269661B2 (en) Method using receive and transmit protocol aware logic modules for confirming checksum values stored in network packet
US10795912B2 (en) Synchronizing a forwarding database within a high-availability cluster
JP2003087297A (ja) パケット転送装置およびパケット転送方法
US20070022284A1 (en) Method, cluster system and computer-readable medium for distributing data packets
US8050266B2 (en) Low impact network debugging
JP4040045B2 (ja) データ転送装置
US7461142B2 (en) Method and apparatus for address management in a network device
US20220272079A1 (en) Method for managing communication between terminals in a communication network, and devices and system for implementing the method
US20070237088A1 (en) Apparatus and method for providing network security
Cisco Router Products Configuration and Reference Addendum Software Releases 9.1, 9.14 and 9.17 December 1993
JP2001358771A (ja) 通信品質制御装置
JP4029898B2 (ja) ネットワーク装置
JP2005072701A (ja) インタフェース提供装置
JP3725140B2 (ja) パケット転送装置およびパケット転送方法
JPH11331231A (ja) 多重化ネットワークシステムとその通信装置
US11962569B2 (en) Hardening a communication device
JP4899973B2 (ja) 通信セキュリティシステム及び通信セキュリティ装置
JP2000196669A (ja) 情報中継装置
JPH0556050A (ja) ネツトワークシステム
JP2006180246A (ja) Ipパケット処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040908

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060711

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070327

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080219