JP2003101569A - Vpn管理装置 - Google Patents
Vpn管理装置Info
- Publication number
- JP2003101569A JP2003101569A JP2001292374A JP2001292374A JP2003101569A JP 2003101569 A JP2003101569 A JP 2003101569A JP 2001292374 A JP2001292374 A JP 2001292374A JP 2001292374 A JP2001292374 A JP 2001292374A JP 2003101569 A JP2003101569 A JP 2003101569A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- definition
- tunnel
- project
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 異なるサイトにメンバが分散されたプロジェ
クトの共同作業を支援するためのVPNサービスの構築
を容易にするとともに、プロジェクトメンバの異動に伴
うVPNの構成変更を簡便にかつ迅速になし得ること。 【解決手段】 プロジェクト管理テーブル31の登録プ
ロジェクト情報およびVPN装置管理テーブル32の登
録VPN構築情報に基づいてトンネル定義を作成して、
トンネル定義テーブル33に登録するとともに、プロジ
ェクト管理テーブル31の変更に応じて作成されたトン
ネル定義テーブル33の登録内容が変更される。
クトの共同作業を支援するためのVPNサービスの構築
を容易にするとともに、プロジェクトメンバの異動に伴
うVPNの構成変更を簡便にかつ迅速になし得ること。 【解決手段】 プロジェクト管理テーブル31の登録プ
ロジェクト情報およびVPN装置管理テーブル32の登
録VPN構築情報に基づいてトンネル定義を作成して、
トンネル定義テーブル33に登録するとともに、プロジ
ェクト管理テーブル31の変更に応じて作成されたトン
ネル定義テーブル33の登録内容が変更される。
Description
【0001】
【発明の属する技術分野】本発明は、各サイトに含まれ
る複数のホストに関するVPN通信を各サイト毎に制御
する複数のVPN装置を管理するVPN管理装置に関す
るものである。
る複数のホストに関するVPN通信を各サイト毎に制御
する複数のVPN装置を管理するVPN管理装置に関す
るものである。
【0002】
【従来の技術】Ipsec(IP security protocol)に基づ
くVPN(仮想私設ネットワーク;Virtual Private Ne
twork)は、プロジェクトメンバ間の通信においてトン
ネルモードにより通信データを暗号化し、プロジェクト
メンバ以外のユーザが通信データを解読できないように
することでプロジェクトメンバだけの仮想的な専用線
(トンネル)を提供する。トンネルとは、トンネルモー
ドを用いて確立した2点間の通信路のことである。
くVPN(仮想私設ネットワーク;Virtual Private Ne
twork)は、プロジェクトメンバ間の通信においてトン
ネルモードにより通信データを暗号化し、プロジェクト
メンバ以外のユーザが通信データを解読できないように
することでプロジェクトメンバだけの仮想的な専用線
(トンネル)を提供する。トンネルとは、トンネルモー
ドを用いて確立した2点間の通信路のことである。
【0003】図1は複数拠点に分散したプロジェクトメ
ンバのためのVPNを示したものである。図1の10,
11,12はプロジェクトメンバが分散して距離の離れ
たサイト、110〜115はプロジェクトメンバが利用
するホスト、120,121,122は各サイトに含ま
れる複数のホストに関するVPN通信を制御するVPN
装置、130,131,132はVPNをそれぞれ表し
ている。サイト10,11,12間はインターネットな
どの外部ネットワークで接続されており、VPNを利用
せずそのまま外部ネットワークを利用すると外部ネット
ワークの他のユーザにサイト10,11,12間の通信
データを盗聴される恐れがある。
ンバのためのVPNを示したものである。図1の10,
11,12はプロジェクトメンバが分散して距離の離れ
たサイト、110〜115はプロジェクトメンバが利用
するホスト、120,121,122は各サイトに含ま
れる複数のホストに関するVPN通信を制御するVPN
装置、130,131,132はVPNをそれぞれ表し
ている。サイト10,11,12間はインターネットな
どの外部ネットワークで接続されており、VPNを利用
せずそのまま外部ネットワークを利用すると外部ネット
ワークの他のユーザにサイト10,11,12間の通信
データを盗聴される恐れがある。
【0004】そこで、サイト間の通信データをVPN装
置120,121,122を用いて暗号化することでV
PN(仮想専用線)を提供する。VPN装置120〜1
22は各サイト10〜12の出入口に存在し、当該ホス
トが他サイトのホストと通信する際、通信データを暗号
化し外部ネットワークにデータを出力する。このデータ
を相手サイトのVPN装置が受け取ると、VPN装置は
この受信データを複号した後、宛先のホストに平文(暗
号化していないデータ)のデータを送付する。このよう
なVPNを構築するためには、VPN装置120〜12
2間に対して暗号通信のためのトンネル定義を設定しな
ければいけない。
置120,121,122を用いて暗号化することでV
PN(仮想専用線)を提供する。VPN装置120〜1
22は各サイト10〜12の出入口に存在し、当該ホス
トが他サイトのホストと通信する際、通信データを暗号
化し外部ネットワークにデータを出力する。このデータ
を相手サイトのVPN装置が受け取ると、VPN装置は
この受信データを複号した後、宛先のホストに平文(暗
号化していないデータ)のデータを送付する。このよう
なVPNを構築するためには、VPN装置120〜12
2間に対して暗号通信のためのトンネル定義を設定しな
ければいけない。
【0005】このような複数のVPN装置を管理するV
PN管理装置において、従来は、多数の運用ポリシーの
管理を必要とし、その管理のためネットワークの高度な
技術やベンダ固有の設定情報の習得を必要とした。これ
らの設定情報から第三者が網の運用ポリシーを理解する
のは困難である。
PN管理装置において、従来は、多数の運用ポリシーの
管理を必要とし、その管理のためネットワークの高度な
技術やベンダ固有の設定情報の習得を必要とした。これ
らの設定情報から第三者が網の運用ポリシーを理解する
のは困難である。
【0006】ファイアウォールの運用ポリシーを管理す
る技術として、特開2000−253066号公報(フ
ァイアウォールを管理するための方法および装置)が提
案されている。この従来技術はイントラネットのトポロ
ジーとファイアウォールの運用規則の関係を表わすエン
ティティ関係モデルと、運用規則のインスタンスを定義
するモデル定義言語から、ファイアウォールに設定する
コンフィグレーションファイルの生成を実現している。
この技術によれば、運用規則とトポロジーを独立に管理
することができ、トポロジーが変更しても運用規則を書
き換えることなく、ポリシーの再利用が可能となる。
る技術として、特開2000−253066号公報(フ
ァイアウォールを管理するための方法および装置)が提
案されている。この従来技術はイントラネットのトポロ
ジーとファイアウォールの運用規則の関係を表わすエン
ティティ関係モデルと、運用規則のインスタンスを定義
するモデル定義言語から、ファイアウォールに設定する
コンフィグレーションファイルの生成を実現している。
この技術によれば、運用規則とトポロジーを独立に管理
することができ、トポロジーが変更しても運用規則を書
き換えることなく、ポリシーの再利用が可能となる。
【0007】また、同様に、特開2000−24449
5号公報(ネットワーク管理システム)には、独立性を
保って定義した運用規則と網トポロジーからファイアウ
ォールやルータの設定情報を生成する発明が開示されて
いる。
5号公報(ネットワーク管理システム)には、独立性を
保って定義した運用規則と網トポロジーからファイアウ
ォールやルータの設定情報を生成する発明が開示されて
いる。
【0008】
【発明が解決しようとする課題】前者の従来技術には、
主にイントラネット内の運用ポリシーの管理に関する技
術が示され、また生成される設定情報もフィルタリング
の優先度に関するものを対象としており、VPN管理装
置の管理の対象となる複数のVPN装置の管理に関する
ことについての開示はない。後者の従来技術も同様であ
り、セキュリティポリシーを装置固有の設定情報のシン
タクスおよびセマテクスから分離することによりポリシ
ー定義情報の共有および再利用を可能とすることは示さ
れているが、VPN管理装置の管理の対象となるVPN
装置の管理に関することについての開示はない。
主にイントラネット内の運用ポリシーの管理に関する技
術が示され、また生成される設定情報もフィルタリング
の優先度に関するものを対象としており、VPN管理装
置の管理の対象となる複数のVPN装置の管理に関する
ことについての開示はない。後者の従来技術も同様であ
り、セキュリティポリシーを装置固有の設定情報のシン
タクスおよびセマテクスから分離することによりポリシ
ー定義情報の共有および再利用を可能とすることは示さ
れているが、VPN管理装置の管理の対象となるVPN
装置の管理に関することについての開示はない。
【0009】ところで、従来のVPN管理装置では、3
つ以上のサイト間でVPNを構築する場合、端末毎にも
しくはあるアドレス範囲の端末群に1つずつトンネル定
義を行っている。このような端末毎にトンネル定義を行
う従来の手法では、VPNを利用するプロジェクトのメ
ンバ数が大規模であったり、VPNを利用するプロジェ
クトが多数になったりすると、個々のプロジェクトのメ
ンバの増減、各メンバの別サイトへの移動などに応じて
VPNを運用保守するのは困難となる。従来のVPN管
理装置の場合、管理者はプロジェクトメンバの異動情報
を元にVPNの見直しを行なわなければならない。
つ以上のサイト間でVPNを構築する場合、端末毎にも
しくはあるアドレス範囲の端末群に1つずつトンネル定
義を行っている。このような端末毎にトンネル定義を行
う従来の手法では、VPNを利用するプロジェクトのメ
ンバ数が大規模であったり、VPNを利用するプロジェ
クトが多数になったりすると、個々のプロジェクトのメ
ンバの増減、各メンバの別サイトへの移動などに応じて
VPNを運用保守するのは困難となる。従来のVPN管
理装置の場合、管理者はプロジェクトメンバの異動情報
を元にVPNの見直しを行なわなければならない。
【0010】すなわち、従来のVPN管理装置では、ト
ンネルを端末毎しか管理しておらず、プロジェクトごと
にVPNを運用保守したり、プロジェクトメンバがどの
端末を利用しているか、プロジェクトメンバが異動した
場合どのトンネルを削除、増加すべきかなどを知る手段
はなかった。今後、インターネットの普及により、イン
ターネットを用いたVPNの利用が増えてくることが予
想され、トンネル定義を必要に応じて迅速かつ確実に追
加、変更、削除する要求が増えてくる。
ンネルを端末毎しか管理しておらず、プロジェクトごと
にVPNを運用保守したり、プロジェクトメンバがどの
端末を利用しているか、プロジェクトメンバが異動した
場合どのトンネルを削除、増加すべきかなどを知る手段
はなかった。今後、インターネットの普及により、イン
ターネットを用いたVPNの利用が増えてくることが予
想され、トンネル定義を必要に応じて迅速かつ確実に追
加、変更、削除する要求が増えてくる。
【0011】この発明は上記に鑑みてなされたもので、
異なるサイトにメンバが分散されたプロジェクトの共同
作業を支援するためのVPNサービスの構築を容易にす
るとともに、プロジェクトメンバの異動に伴うVPNの
構成変更を簡便にかつ迅速になし得るVPN管理装置を
得ることを目的としている。
異なるサイトにメンバが分散されたプロジェクトの共同
作業を支援するためのVPNサービスの構築を容易にす
るとともに、プロジェクトメンバの異動に伴うVPNの
構成変更を簡便にかつ迅速になし得るVPN管理装置を
得ることを目的としている。
【0012】
【課題を解決するための手段】上記目的を達成するため
この発明にかかるVPN管理装置は、各サイトに含まれ
る複数のホストに関するVPN通信を各サイト毎に制御
する複数のVPN装置を管理するVPN管理装置におい
て、各サイトのプロジェクトメンバ情報、ホストアドレ
ス情報および各プロジェクトメンバについての異動情報
を含むプロジェクト情報が登録されるプロジェクト管理
テーブルと、各VPN装置のVPN構築情報が登録され
るVPN装置管理テーブルと、各ホスト間の通信路毎の
トンネル定義が登録されるトンネル定義テーブルと、前
記プロジェクト管理テーブルの登録プロジェクト情報お
よびVPN装置管理テーブルの登録VPN構築情報に基
づいて前記トンネル定義を作成して、前記トンネル定義
テーブルに登録するトンネル定義作成手段と、前記プロ
ジェクト管理テーブルの変更に応じて前記作成されたト
ンネル定義テーブルの登録内容を変更するトンネル定義
変更手段とを備えることを特徴とする。
この発明にかかるVPN管理装置は、各サイトに含まれ
る複数のホストに関するVPN通信を各サイト毎に制御
する複数のVPN装置を管理するVPN管理装置におい
て、各サイトのプロジェクトメンバ情報、ホストアドレ
ス情報および各プロジェクトメンバについての異動情報
を含むプロジェクト情報が登録されるプロジェクト管理
テーブルと、各VPN装置のVPN構築情報が登録され
るVPN装置管理テーブルと、各ホスト間の通信路毎の
トンネル定義が登録されるトンネル定義テーブルと、前
記プロジェクト管理テーブルの登録プロジェクト情報お
よびVPN装置管理テーブルの登録VPN構築情報に基
づいて前記トンネル定義を作成して、前記トンネル定義
テーブルに登録するトンネル定義作成手段と、前記プロ
ジェクト管理テーブルの変更に応じて前記作成されたト
ンネル定義テーブルの登録内容を変更するトンネル定義
変更手段とを備えることを特徴とする。
【0013】この発明によれば、プロジェクト管理テー
ブルの登録プロジェクト情報およびVPN装置管理テー
ブルの登録VPN構築情報に基づいて前記トンネル定義
を作成して、前記トンネル定義テーブルに登録するとと
もに、プロジェクト管理テーブルの変更に応じて作成さ
れたトンネル定義テーブルの登録内容が変更される。
ブルの登録プロジェクト情報およびVPN装置管理テー
ブルの登録VPN構築情報に基づいて前記トンネル定義
を作成して、前記トンネル定義テーブルに登録するとと
もに、プロジェクト管理テーブルの変更に応じて作成さ
れたトンネル定義テーブルの登録内容が変更される。
【0014】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記トンネル定義変更手段は、前記
プロジェクト管理テーブルの異動情報の変更に応じて前
記トンネル定義テーブルに対しトンネル定義を削除ある
いは追加することを特徴とする。
記の発明において、前記トンネル定義変更手段は、前記
プロジェクト管理テーブルの異動情報の変更に応じて前
記トンネル定義テーブルに対しトンネル定義を削除ある
いは追加することを特徴とする。
【0015】この発明によれば、トンネル定義変更手段
は、プロジェクト管理テーブルの異動情報の変更に応じ
て前記トンネル定義テーブルのトンネル定義を削除ある
いは追加する。
は、プロジェクト管理テーブルの異動情報の変更に応じ
て前記トンネル定義テーブルのトンネル定義を削除ある
いは追加する。
【0016】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記プロジェクト管理テーブルおよ
びVPN管理テーブルの記憶内容に基づいて、ホスト、
VPN装置、サイトについてのトポロジーをグラフィカ
ルに表示、編集するとともに、該グラフィカルに表示し
た結果を前記プロジェクト管理テーブルおよびVPN装
置管理テーブルの登録内容に反映させるトポロジー表示
編集部をさらに備えることを特徴とする。
記の発明において、前記プロジェクト管理テーブルおよ
びVPN管理テーブルの記憶内容に基づいて、ホスト、
VPN装置、サイトについてのトポロジーをグラフィカ
ルに表示、編集するとともに、該グラフィカルに表示し
た結果を前記プロジェクト管理テーブルおよびVPN装
置管理テーブルの登録内容に反映させるトポロジー表示
編集部をさらに備えることを特徴とする。
【0017】この発明によれば、トポロジー表示編集部
は、プロジェクト管理テーブルおよびVPN管理テーブ
ルの記憶内容に基づいて、ホスト、VPN装置、サイト
についてのトポロジーをグラフィカルに表示、編集する
とともに、該グラフィカルに表示した結果を前記プロジ
ェクト管理テーブルおよびVPN装置管理テーブルの登
録内容に反映させる。
は、プロジェクト管理テーブルおよびVPN管理テーブ
ルの記憶内容に基づいて、ホスト、VPN装置、サイト
についてのトポロジーをグラフィカルに表示、編集する
とともに、該グラフィカルに表示した結果を前記プロジ
ェクト管理テーブルおよびVPN装置管理テーブルの登
録内容に反映させる。
【0018】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記生成あるいは変更されたトンネ
ル定義を各サイトのVPN装置に配信するトンネル定義
配信部をさらに備えることを特徴とする。
記の発明において、前記生成あるいは変更されたトンネ
ル定義を各サイトのVPN装置に配信するトンネル定義
配信部をさらに備えることを特徴とする。
【0019】この発明によれば、トンネル定義配信部に
よって生成あるいは変更されたトンネル定義を各サイト
のVPN装置に配信可能としている。
よって生成あるいは変更されたトンネル定義を各サイト
のVPN装置に配信可能としている。
【0020】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記トンネル定義に含まれる認証方
式に関する詳細定義を個々に編集するトンネル定義編集
部をさらに備えることを特徴とする。
記の発明において、前記トンネル定義に含まれる認証方
式に関する詳細定義を個々に編集するトンネル定義編集
部をさらに備えることを特徴とする。
【0021】この発明によれば、トンネル定義編集部に
よってトンネル定義に含まれる認証方式に関する詳細定
義を個々に編集可能としている。
よってトンネル定義に含まれる認証方式に関する詳細定
義を個々に編集可能としている。
【0022】つぎの発明にかかるVPN管理装置は、各
サイトに含まれる複数のホストに関するVPN通信を各
サイト毎に制御する複数のVPN装置と該VPN装置と
前記ホスト間に介在されるファイアウォールを管理する
VPN管理装置において、各サイトのプロジェクトメン
バ情報、ホストアドレス情報および各プロジェクトメン
バについての異動情報を含むプロジェクト情報が登録さ
れるプロジェクト管理テーブルと、各VPN装置のVP
N構築情報および当該VPN装置に接続されるファイア
ウォールの識別情報が登録されるVPN装置・ファイア
ウォール管理テーブルと、各ホスト間の通信路毎のトン
ネル定義が登録されるトンネル定義テーブルと、各ホス
ト間の通信路毎のフィルタリング定義が登録されるフィ
ルタリング定義テーブルと、前記プロジェクト管理テー
ブルの登録プロジェクト情報およびVPN装置・ファイ
アウォール管理テーブルの登録VPN構築情報に基づい
て前記トンネル定義を作成して、前記トンネル定義テー
ブルに登録するトンネル定義作成手段と、前記プロジェ
クト管理テーブルの変更に応じて前記作成されたトンネ
ル定義テーブルの登録内容を変更するトンネル定義変更
手段と、前記プロジェクト管理テーブルの登録プロジェ
クト情報およびVPN装置・ファイアウォール管理テー
ブルのファイアウォール識別情報に基づいて前記フィル
タリング定義を作成して、前記フィルタリング定義テー
ブルに登録するフィルタリング定義作成手段と、前記プ
ロジェクト管理テーブルの変更に応じて前記作成された
フィルタリング定義テーブルの登録内容を変更するフィ
ルタリング定義変更手段とを備えることを特徴とする。
サイトに含まれる複数のホストに関するVPN通信を各
サイト毎に制御する複数のVPN装置と該VPN装置と
前記ホスト間に介在されるファイアウォールを管理する
VPN管理装置において、各サイトのプロジェクトメン
バ情報、ホストアドレス情報および各プロジェクトメン
バについての異動情報を含むプロジェクト情報が登録さ
れるプロジェクト管理テーブルと、各VPN装置のVP
N構築情報および当該VPN装置に接続されるファイア
ウォールの識別情報が登録されるVPN装置・ファイア
ウォール管理テーブルと、各ホスト間の通信路毎のトン
ネル定義が登録されるトンネル定義テーブルと、各ホス
ト間の通信路毎のフィルタリング定義が登録されるフィ
ルタリング定義テーブルと、前記プロジェクト管理テー
ブルの登録プロジェクト情報およびVPN装置・ファイ
アウォール管理テーブルの登録VPN構築情報に基づい
て前記トンネル定義を作成して、前記トンネル定義テー
ブルに登録するトンネル定義作成手段と、前記プロジェ
クト管理テーブルの変更に応じて前記作成されたトンネ
ル定義テーブルの登録内容を変更するトンネル定義変更
手段と、前記プロジェクト管理テーブルの登録プロジェ
クト情報およびVPN装置・ファイアウォール管理テー
ブルのファイアウォール識別情報に基づいて前記フィル
タリング定義を作成して、前記フィルタリング定義テー
ブルに登録するフィルタリング定義作成手段と、前記プ
ロジェクト管理テーブルの変更に応じて前記作成された
フィルタリング定義テーブルの登録内容を変更するフィ
ルタリング定義変更手段とを備えることを特徴とする。
【0023】この発明によれば、プロジェクト管理テー
ブルの登録プロジェクト情報およびVPN装置・ファイ
アウォール管理テーブルの登録VPN構築情報に基づい
てトンネル定義が作成されて、トンネル定義テーブルに
登録されるとともに、プロジェクト管理テーブルの変更
に応じて作成されたトンネル定義テーブルの登録内容が
変更される。また、プロジェクト管理テーブルの登録プ
ロジェクト情報およびVPN装置・ファイアウォール管
理テーブルのファイアウォール識別情報に基づいてフィ
ルタリング定義が作成されて、フィルタリング定義テー
ブルに登録されるとともに、プロジェクト管理テーブル
の変更に応じて作成されたフィルタリング定義テーブル
の登録内容が変更される。
ブルの登録プロジェクト情報およびVPN装置・ファイ
アウォール管理テーブルの登録VPN構築情報に基づい
てトンネル定義が作成されて、トンネル定義テーブルに
登録されるとともに、プロジェクト管理テーブルの変更
に応じて作成されたトンネル定義テーブルの登録内容が
変更される。また、プロジェクト管理テーブルの登録プ
ロジェクト情報およびVPN装置・ファイアウォール管
理テーブルのファイアウォール識別情報に基づいてフィ
ルタリング定義が作成されて、フィルタリング定義テー
ブルに登録されるとともに、プロジェクト管理テーブル
の変更に応じて作成されたフィルタリング定義テーブル
の登録内容が変更される。
【0024】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記フィルタリング定義変更手段
は、前記プロジェクト管理テーブルの異動情報の変更に
応じて前記フィルタリング定義テーブルのフィルタリン
グ定義を削除あるいは追加することを特徴とする。
記の発明において、前記フィルタリング定義変更手段
は、前記プロジェクト管理テーブルの異動情報の変更に
応じて前記フィルタリング定義テーブルのフィルタリン
グ定義を削除あるいは追加することを特徴とする。
【0025】この発明によれば、フィルタリング定義変
更手段は、プロジェクト管理テーブルの異動情報の変更
に応じて前記フィルタリング定義テーブルのフィルタリ
ング定義を削除あるいは追加するようにしている。
更手段は、プロジェクト管理テーブルの異動情報の変更
に応じて前記フィルタリング定義テーブルのフィルタリ
ング定義を削除あるいは追加するようにしている。
【0026】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記生成あるいは変更されたフィル
タリング定義を各サイトのファイアウォールに配信する
フィルタリング定義配信部をさらに備えることを特徴と
する。
記の発明において、前記生成あるいは変更されたフィル
タリング定義を各サイトのファイアウォールに配信する
フィルタリング定義配信部をさらに備えることを特徴と
する。
【0027】この発明によれば、フィルタリング定義配
信部によって生成あるいは変更されたフィルタリング定
義を各サイトのファイアウォールに配信可能としてい
る。
信部によって生成あるいは変更されたフィルタリング定
義を各サイトのファイアウォールに配信可能としてい
る。
【0028】つぎの発明にかかるVPN管理装置は、上
記の発明において、前記フィルタリング定義に含まれる
プロトコル種別に関する詳細定義を個々に編集するフィ
ルタリング定義編集部をさらに備えることを特徴とす
る。
記の発明において、前記フィルタリング定義に含まれる
プロトコル種別に関する詳細定義を個々に編集するフィ
ルタリング定義編集部をさらに備えることを特徴とす
る。
【0029】この発明によれば、フィルタリング定義編
集部によってフィルタリング定義に含まれるプロトコル
種別に関する詳細定義を個々に編集可能としている。
集部によってフィルタリング定義に含まれるプロトコル
種別に関する詳細定義を個々に編集可能としている。
【0030】
【発明の実施の形態】以下に添付図面を参照して、この
発明にかかるVPN管理装置の好適な実施の形態を詳細
に説明する。
発明にかかるVPN管理装置の好適な実施の形態を詳細
に説明する。
【0031】実施の形態1.この発明の実施の形態1を
図2〜図12を参照して説明する。図2は、プロジェク
トメンバの異動時にプロジェクトが利用する各サイトの
ホスト間でVPNを管理するVPN管理装置の構成を示
している。このVPN管理装置は、図1に示したような
VPNシステムにおいて、各サイトの出入口に配される
VPN装置を動作管理するものである。
図2〜図12を参照して説明する。図2は、プロジェク
トメンバの異動時にプロジェクトが利用する各サイトの
ホスト間でVPNを管理するVPN管理装置の構成を示
している。このVPN管理装置は、図1に示したような
VPNシステムにおいて、各サイトの出入口に配される
VPN装置を動作管理するものである。
【0032】このVPN管理装置は、プロジェクト管理
テーブル31、VPN装置管理テーブル32、トンネル
定義テーブル33、トンネルマトリクステーブル34、
トンネルマトリクス生成部35、トンネル定義削除部3
6、トンネル定義追加部37を備えている。
テーブル31、VPN装置管理テーブル32、トンネル
定義テーブル33、トンネルマトリクステーブル34、
トンネルマトリクス生成部35、トンネル定義削除部3
6、トンネル定義追加部37を備えている。
【0033】プロジェクト管理テーブル31には、図3
に示すように、プロジェクト名毎に、サイト名、ユーザ
名、ホストアドレスに関する情報を含むプロジェクト情
報が登録される。すなわち、プロジェクト管理テーブル
31は、プロジェクト毎にどのサイトにどんなプロジェ
クトメンバが配置され、プロジェクトメンバがどのホス
トアドレスを利用しているかを示す情報が蓄積されたデ
ータベースである。図3において、プロジェクト名とし
ては例えば“XXX開発PJ”、“YYY企画PJ”などの一意な
プロジェクトの名前を登録し、サイト名としては例えば
“東京本社”、“名古屋支社”、“大阪支社”など会社
の一意な拠点名を登録し、ユーザ名としては“田中”、
“鈴木”、“中田”などのプロジェクトメンバの一意な
名前を登録し、そしてホストアドレスGa1,Ga2,…,Gc
2としてはホスト毎に一意なIPグルーバルアドレスを
それぞれ登録する。なお、プロジェクト管理テーブル3
1には、図4に示すように、各プロジェクトメンバの異
動情報を示す異動情報欄が設けられており、この異動情
報欄の設定内容を参照して、後述するトンネル定義テー
ブルの更新が行われる。
に示すように、プロジェクト名毎に、サイト名、ユーザ
名、ホストアドレスに関する情報を含むプロジェクト情
報が登録される。すなわち、プロジェクト管理テーブル
31は、プロジェクト毎にどのサイトにどんなプロジェ
クトメンバが配置され、プロジェクトメンバがどのホス
トアドレスを利用しているかを示す情報が蓄積されたデ
ータベースである。図3において、プロジェクト名とし
ては例えば“XXX開発PJ”、“YYY企画PJ”などの一意な
プロジェクトの名前を登録し、サイト名としては例えば
“東京本社”、“名古屋支社”、“大阪支社”など会社
の一意な拠点名を登録し、ユーザ名としては“田中”、
“鈴木”、“中田”などのプロジェクトメンバの一意な
名前を登録し、そしてホストアドレスGa1,Ga2,…,Gc
2としてはホスト毎に一意なIPグルーバルアドレスを
それぞれ登録する。なお、プロジェクト管理テーブル3
1には、図4に示すように、各プロジェクトメンバの異
動情報を示す異動情報欄が設けられており、この異動情
報欄の設定内容を参照して、後述するトンネル定義テー
ブルの更新が行われる。
【0034】VPN装置管理テーブル32は、各サイト
間をVPNで接続するVPN装置を管理するテーブルで
あって、図5に示すように、サイト毎のVPN装置につ
いてのVPN構築情報が蓄積されている。図5におい
て、サイト名としては図4に示したプロジェクト管理テ
ーブルのサイト名と同じくプロジェクトの拠点の名前を
登録し、VPN装置名としては各サイト間でVPNを提
供するVPN装置の名前を登録し、VPN外側アドレス
としてはVPN装置間で互いに暗号通信するためのVP
N装置が持つグローバルアドレスを登録し、暗号種別と
しては暗号強度の種別として例えばDES(Data Encry
ption Standard),3DES(Triple-DES)などの暗号
方式またはその種別コードをそれぞれ登録する。
間をVPNで接続するVPN装置を管理するテーブルで
あって、図5に示すように、サイト毎のVPN装置につ
いてのVPN構築情報が蓄積されている。図5におい
て、サイト名としては図4に示したプロジェクト管理テ
ーブルのサイト名と同じくプロジェクトの拠点の名前を
登録し、VPN装置名としては各サイト間でVPNを提
供するVPN装置の名前を登録し、VPN外側アドレス
としてはVPN装置間で互いに暗号通信するためのVP
N装置が持つグローバルアドレスを登録し、暗号種別と
しては暗号強度の種別として例えばDES(Data Encry
ption Standard),3DES(Triple-DES)などの暗号
方式またはその種別コードをそれぞれ登録する。
【0035】トンネル定義テーブル33は、図6に示す
ように、各サイトのVPN装置に登録するトンネル定義
を蓄積するデータベースであり、トンネルマトリクス生
成部35によって作成される。トンネル定義テーブルで
は、サイト名およびVPN装置名によってトンネル定義
を配信する対象となる各VPN装置を特定し、各VPN
装置毎に所要の複数のトンネル定義を設定登録する。1
つのトンネル定義は、発信ホストアドレス(IPグルー
バルアドレス)、宛先ホストアドレス(IPグルーバル
アドレス)、宛先VPN装置アドレス(VPN外側アド
レス)および暗号種別を含んでいる。発信ホストアドレ
スおよび宛先ホストアドレスはVPNを利用して通信す
る2つのホストのアドレスの対で定義され、暗号種別は
トンネルを通過する通信データの暗号方式を示してい
る。この図6に示すトンネル定義テーブル33は、図1
に示したVPNシステムのように、3つのサイトにホス
トを配置し、各サイト間でVPNを構築するためのトン
ネル定義の集合である。例えば、サイト名Aのサイトの
VPN装置GW−Aが担当する1つのトンネル定義に
は、発信ホストアドレスがGa1で、宛先ホストアドレ
スがGb1で、宛先VPN装置アドレスがGBで、暗号
種別がDESであることが設定されている。
ように、各サイトのVPN装置に登録するトンネル定義
を蓄積するデータベースであり、トンネルマトリクス生
成部35によって作成される。トンネル定義テーブルで
は、サイト名およびVPN装置名によってトンネル定義
を配信する対象となる各VPN装置を特定し、各VPN
装置毎に所要の複数のトンネル定義を設定登録する。1
つのトンネル定義は、発信ホストアドレス(IPグルー
バルアドレス)、宛先ホストアドレス(IPグルーバル
アドレス)、宛先VPN装置アドレス(VPN外側アド
レス)および暗号種別を含んでいる。発信ホストアドレ
スおよび宛先ホストアドレスはVPNを利用して通信す
る2つのホストのアドレスの対で定義され、暗号種別は
トンネルを通過する通信データの暗号方式を示してい
る。この図6に示すトンネル定義テーブル33は、図1
に示したVPNシステムのように、3つのサイトにホス
トを配置し、各サイト間でVPNを構築するためのトン
ネル定義の集合である。例えば、サイト名Aのサイトの
VPN装置GW−Aが担当する1つのトンネル定義に
は、発信ホストアドレスがGa1で、宛先ホストアドレ
スがGb1で、宛先VPN装置アドレスがGBで、暗号
種別がDESであることが設定されている。
【0036】トンネルマトリクステーブル34は、トン
ネルマトリクス生成部35、トンネル定義削除部36お
よびトンネル定義追加部37によるトンネル定義テーブ
ル33の生成、削除、追加の際に中間的に生成されるワ
ークテーブルである。
ネルマトリクス生成部35、トンネル定義削除部36お
よびトンネル定義追加部37によるトンネル定義テーブ
ル33の生成、削除、追加の際に中間的に生成されるワ
ークテーブルである。
【0037】トンネルマトリクス生成部35は、あるプ
ロジェクトに対してVPN構築する際に必要となるトン
ネル定義の集合を生成して、トンネル定義テーブル33
を作成する。図8のフローチャートを参照してトンネル
マトリクス生成部35の処理の流れを説明する。
ロジェクトに対してVPN構築する際に必要となるトン
ネル定義の集合を生成して、トンネル定義テーブル33
を作成する。図8のフローチャートを参照してトンネル
マトリクス生成部35の処理の流れを説明する。
【0038】トンネルマトリクス生成部35は、プロジ
ェクト管理テーブル31、VPN装置管理テーブル32
の登録データを用いてトンネルマトリクステーブル34
を作成し、作成したトンネルマトリクステーブル34を
用いてトンネル定義テーブル33を作成する。
ェクト管理テーブル31、VPN装置管理テーブル32
の登録データを用いてトンネルマトリクステーブル34
を作成し、作成したトンネルマトリクステーブル34を
用いてトンネル定義テーブル33を作成する。
【0039】マトリクス生成開始時に、プロジェクト管
理テーブル31およびVPN装置管理テーブル32に、
それぞれ例えば図3、図5のような内容が定義されてい
るとする。まず、トンネルマトリクス生成部35は、図
3のプロジェクト管理テーブル31からVPNを構築す
るプロジェクトのサイト毎のホストアドレスを取り出
し、トンネルマトリクステーブル34の縦軸にサイト名
とホストアドレスを列挙する。トンネルマトリクステー
ブル34の横軸にも、縦軸と同様に、同じサイト名とホ
ストアドレスを列挙する(ステップS200、図7参
照)。
理テーブル31およびVPN装置管理テーブル32に、
それぞれ例えば図3、図5のような内容が定義されてい
るとする。まず、トンネルマトリクス生成部35は、図
3のプロジェクト管理テーブル31からVPNを構築す
るプロジェクトのサイト毎のホストアドレスを取り出
し、トンネルマトリクステーブル34の縦軸にサイト名
とホストアドレスを列挙する。トンネルマトリクステー
ブル34の横軸にも、縦軸と同様に、同じサイト名とホ
ストアドレスを列挙する(ステップS200、図7参
照)。
【0040】つぎに、トンネルマトリクス生成部35
は、図5のVPN装置管理テーブル32から、各サイト
のVPN装置に付与されたVPN外付アドレスを取り出
し、取り出したVPN外付アドレスをトンネルマトリク
ステーブル34の横軸および縦軸のサイト名に付記する
(ステップS210、図7参照)。
は、図5のVPN装置管理テーブル32から、各サイト
のVPN装置に付与されたVPN外付アドレスを取り出
し、取り出したVPN外付アドレスをトンネルマトリク
ステーブル34の横軸および縦軸のサイト名に付記する
(ステップS210、図7参照)。
【0041】つぎに、トンネルマトリクス生成部35
は、図7のように作成したトンネルマトリクステーブル
34の中で横軸と縦軸が同じサイトにあたるホストアド
レスのマトリクス枠をトンネル定義生成対象外とするた
めの印を付ける(ステップS220)。図7では、網掛
けを付した箇所がこれに対応する。
は、図7のように作成したトンネルマトリクステーブル
34の中で横軸と縦軸が同じサイトにあたるホストアド
レスのマトリクス枠をトンネル定義生成対象外とするた
めの印を付ける(ステップS220)。図7では、網掛
けを付した箇所がこれに対応する。
【0042】つぎに、トンネルマトリクス生成部35
は、図7のトンネルマトリクステーブル34に対し、ト
ンネル定義生成対象外としたマトリクス枠を除く全ての
マトリクス枠に、夫々、各マトリクス枠に対応する、縦
軸ホストアドレス,横軸ホストアドレス,横軸VPN外
付アドレスを書き込む(ステップS230)。
は、図7のトンネルマトリクステーブル34に対し、ト
ンネル定義生成対象外としたマトリクス枠を除く全ての
マトリクス枠に、夫々、各マトリクス枠に対応する、縦
軸ホストアドレス,横軸ホストアドレス,横軸VPN外
付アドレスを書き込む(ステップS230)。
【0043】最後に、トンネルマトリクス生成部35
は、トンネルマトリクステーブル34の各マトリクス枠
に記載されたすべての(縦軸ホストアドレス,横軸ホス
トアドレス,横軸VPN外付アドレス)をトンネル定義
テーブル33の発信ホストアドレス、宛先ホストアドレ
ス、宛先VPN装置アドレスの欄に、サイト名およびV
PN装置名と共に書き出す。さらに、VPN装置管理テ
ーブル32を参照して各VPN装置の暗号方式の種別コ
ードを暗号種別の欄に設定することで、トンネル定義テ
ーブル33を作成する(ステップS240)。この結
果、例えば図6に示すような、トンネル定義テーブル3
3が生成される。
は、トンネルマトリクステーブル34の各マトリクス枠
に記載されたすべての(縦軸ホストアドレス,横軸ホス
トアドレス,横軸VPN外付アドレス)をトンネル定義
テーブル33の発信ホストアドレス、宛先ホストアドレ
ス、宛先VPN装置アドレスの欄に、サイト名およびV
PN装置名と共に書き出す。さらに、VPN装置管理テ
ーブル32を参照して各VPN装置の暗号方式の種別コ
ードを暗号種別の欄に設定することで、トンネル定義テ
ーブル33を作成する(ステップS240)。この結
果、例えば図6に示すような、トンネル定義テーブル3
3が生成される。
【0044】次にトンネル定義削除部36について説明
する。トンネル定義削除部36はプロジェクト管理テー
ブル31の変更内容から削除すべきトンネル定義を生成
し、トンネル定義テーブル33から対象となるトンネル
定義を削除する機能を有している。図9のフローチャー
トを参照してトンネル定義削除部36の処理の流れを説
明する。
する。トンネル定義削除部36はプロジェクト管理テー
ブル31の変更内容から削除すべきトンネル定義を生成
し、トンネル定義テーブル33から対象となるトンネル
定義を削除する機能を有している。図9のフローチャー
トを参照してトンネル定義削除部36の処理の流れを説
明する。
【0045】プロジェクト管理テーブル31には、トン
ネル定義削除処理の開始前に、図4に示すように、異動
情報を定義しておく。すなわち、図4に示すように、ど
のサイトのどのユーザをプロジェクトから追加、もしく
は削除するかを示す異動情報を異動情報欄に定義する。
異動情報欄に追加もしくは削除と記すことにより、各サ
イトのユーザが異動によりプロジェクトからいなくなっ
たり、新たに参加したことが判る。
ネル定義削除処理の開始前に、図4に示すように、異動
情報を定義しておく。すなわち、図4に示すように、ど
のサイトのどのユーザをプロジェクトから追加、もしく
は削除するかを示す異動情報を異動情報欄に定義する。
異動情報欄に追加もしくは削除と記すことにより、各サ
イトのユーザが異動によりプロジェクトからいなくなっ
たり、新たに参加したことが判る。
【0046】図9のステップS300〜ステップS33
0においては、トンネルマトリクス生成部35によって
図8のステップS200〜ステップS230と同様の処
理が実行されることで、この時点で図7に示したよう
な、トンネルマトリクステーブル34が作成される。
0においては、トンネルマトリクス生成部35によって
図8のステップS200〜ステップS230と同様の処
理が実行されることで、この時点で図7に示したよう
な、トンネルマトリクステーブル34が作成される。
【0047】トンネル定義削除部36は、プロジェクト
管理テーブル31の異動情報欄が削除となっているサイ
トおよびホストアドレスを取り出し、前記作成されたト
ンネルマトリクステーブル34に対し、図10に示すよ
うに、前記取り出したサイトおよびホストアドレスの縦
軸および横軸のホストアドレスの欄に印を付ける。この
場合の印は、網掛け+左下がり斜線である。そして、印
が付けられた縦軸および横軸のホストアドレスの行およ
び列方向の全てのマトリクス欄に同様の印を付ける(ス
テップS340)。但し、自ホストアドレス同士の通信
は無視すべきであるので、ステップS320で網掛けが
付されたマトリクス欄には、今回の印(網掛け+左下が
り斜線)を付さない。このようにして、削除されたホス
トアドレスについての既に登録設定されていたトンネル
定義が抽出される。
管理テーブル31の異動情報欄が削除となっているサイ
トおよびホストアドレスを取り出し、前記作成されたト
ンネルマトリクステーブル34に対し、図10に示すよ
うに、前記取り出したサイトおよびホストアドレスの縦
軸および横軸のホストアドレスの欄に印を付ける。この
場合の印は、網掛け+左下がり斜線である。そして、印
が付けられた縦軸および横軸のホストアドレスの行およ
び列方向の全てのマトリクス欄に同様の印を付ける(ス
テップS340)。但し、自ホストアドレス同士の通信
は無視すべきであるので、ステップS320で網掛けが
付されたマトリクス欄には、今回の印(網掛け+左下が
り斜線)を付さない。このようにして、削除されたホス
トアドレスについての既に登録設定されていたトンネル
定義が抽出される。
【0048】つぎに、トンネル定義削除部36は、ステ
ップS340で新たに印を付けたマトリクス枠の(縦軸
ホストアドレス,横軸ホストアドレス,横軸VPN外付
アドレス)をサイト毎に取り出す(ステップS35
0)。そして、該取り出した(縦軸ホストアドレス、横
軸ホストアドレス、横軸VPN外付アドレス)をトンネ
ル定義テーブル33から検索して削除する(ステップS
360)。
ップS340で新たに印を付けたマトリクス枠の(縦軸
ホストアドレス,横軸ホストアドレス,横軸VPN外付
アドレス)をサイト毎に取り出す(ステップS35
0)。そして、該取り出した(縦軸ホストアドレス、横
軸ホストアドレス、横軸VPN外付アドレス)をトンネ
ル定義テーブル33から検索して削除する(ステップS
360)。
【0049】このようにして、プロジェクト管理テーブ
ル31の異動情報欄に削除として登録されているプロジ
ェクトメンバをサイト毎にトンネル定義から削除する。
ル31の異動情報欄に削除として登録されているプロジ
ェクトメンバをサイト毎にトンネル定義から削除する。
【0050】次にトンネル定義追加部37について説明
する。トンネル定義追加部37はプロジェクト管理テー
ブル31の変更内容から追加すべきトンネル定義を生成
し、トンネル定義テーブル33に対象となるトンネル定
義を追加する機能を有する。図11のフローチャートを
参照してトンネル定義追加部37の処理の流れを説明す
る。
する。トンネル定義追加部37はプロジェクト管理テー
ブル31の変更内容から追加すべきトンネル定義を生成
し、トンネル定義テーブル33に対象となるトンネル定
義を追加する機能を有する。図11のフローチャートを
参照してトンネル定義追加部37の処理の流れを説明す
る。
【0051】このトンネル定義追加部37での処理は、
基本的にはトンネル定義削除部36と同じであり、違い
はトンネル定義を削除ではなく追加することだけであ
る。プロジェクト管理テーブル31には、トンネル定義
追加処理の開始前に、図4に示すように、異動情報を定
義しておく。図11のステップS400〜ステップS4
30においては、トンネルマトリクス生成部35によっ
て、図8のステップS200〜ステップS230と同様
の処理が実行されることで、この時点で図7に示したよ
うな、トンネルマトリクステーブル34が作成される。
基本的にはトンネル定義削除部36と同じであり、違い
はトンネル定義を削除ではなく追加することだけであ
る。プロジェクト管理テーブル31には、トンネル定義
追加処理の開始前に、図4に示すように、異動情報を定
義しておく。図11のステップS400〜ステップS4
30においては、トンネルマトリクス生成部35によっ
て、図8のステップS200〜ステップS230と同様
の処理が実行されることで、この時点で図7に示したよ
うな、トンネルマトリクステーブル34が作成される。
【0052】トンネル定義追加部37は、作成されたト
ンネルマトリクステーブル34に対し、プロジェクト管
理テーブル31の異動情報欄が追加となっているサイト
およびホストアドレスを取り出し、図12に示すよう
に、該取り出したサイトおよびホストアドレスの縦軸お
よび横軸のホストアドレスの欄に、所定の印を付ける。
この場合の印は、網掛け+右下がり斜線である。そし
て、印が付けられた縦軸および横軸のホストアドレスの
行および列方向の全てのマトリクス欄に同様の印を付け
る(ステップS440)。但し、前記同様、ステップS
420で網掛けが付されたマトリクス欄には、今回の印
(網掛け+右下がり斜線)を付さない。このようにし
て、追加されたホストアドレスについての既に登録設定
されていたトンネル定義が抽出される。
ンネルマトリクステーブル34に対し、プロジェクト管
理テーブル31の異動情報欄が追加となっているサイト
およびホストアドレスを取り出し、図12に示すよう
に、該取り出したサイトおよびホストアドレスの縦軸お
よび横軸のホストアドレスの欄に、所定の印を付ける。
この場合の印は、網掛け+右下がり斜線である。そし
て、印が付けられた縦軸および横軸のホストアドレスの
行および列方向の全てのマトリクス欄に同様の印を付け
る(ステップS440)。但し、前記同様、ステップS
420で網掛けが付されたマトリクス欄には、今回の印
(網掛け+右下がり斜線)を付さない。このようにし
て、追加されたホストアドレスについての既に登録設定
されていたトンネル定義が抽出される。
【0053】つぎに、トンネル定義追加部37は、ステ
ップS440で新たに印を付けたマトリクス枠の(縦軸
ホストアドレス,横軸ホストアドレス,横軸VPN外付
アドレス)をサイト毎に取り出す(ステップS45
0)。そして、該取り出した(縦軸ホストアドレス、横
軸ホストアドレス、横軸VPN外付アドレス)をトンネ
ル定義テーブル33に追加する(ステップS460)。
ップS440で新たに印を付けたマトリクス枠の(縦軸
ホストアドレス,横軸ホストアドレス,横軸VPN外付
アドレス)をサイト毎に取り出す(ステップS45
0)。そして、該取り出した(縦軸ホストアドレス、横
軸ホストアドレス、横軸VPN外付アドレス)をトンネ
ル定義テーブル33に追加する(ステップS460)。
【0054】このようにして、プロジェクト管理テーブ
ル31の異動情報欄に追加として登録されているプロジ
ェクトメンバをサイト毎にトンネル定義に追加する。
ル31の異動情報欄に追加として登録されているプロジ
ェクトメンバをサイト毎にトンネル定義に追加する。
【0055】このように実施の形態1によれば、プロジ
ェクト管理テーブル31に異動情報を登録するだけで、
これに対応してトンネル定義テーブル33を自動的に更
新することができるので、VPNの管理者は、プロジェ
クト管理テーブル31におけるプロジェクトメンバの異
動情報を更新するだけで異動後のVPNのトンネル定義
の変更内容を知ることができる。手作業でトンネル定義
の変更をおこなう場合、定義に時間を要するだけでな
く、定義誤りがたびたび発生していた。プロジェクトメ
ンバが大規模になっても、VPN管理者はプロジェクト
管理テーブル31だけを修正すればよく、誤りなく迅速
にVPNの変更をおこなうことができる。また、VPN
を利用するプロジェクト数が膨大になっても、プロジェ
クト毎にプロジェクト管理テーブル31を用意すれば、
手間が変わらずVPNを変更できる。
ェクト管理テーブル31に異動情報を登録するだけで、
これに対応してトンネル定義テーブル33を自動的に更
新することができるので、VPNの管理者は、プロジェ
クト管理テーブル31におけるプロジェクトメンバの異
動情報を更新するだけで異動後のVPNのトンネル定義
の変更内容を知ることができる。手作業でトンネル定義
の変更をおこなう場合、定義に時間を要するだけでな
く、定義誤りがたびたび発生していた。プロジェクトメ
ンバが大規模になっても、VPN管理者はプロジェクト
管理テーブル31だけを修正すればよく、誤りなく迅速
にVPNの変更をおこなうことができる。また、VPN
を利用するプロジェクト数が膨大になっても、プロジェ
クト毎にプロジェクト管理テーブル31を用意すれば、
手間が変わらずVPNを変更できる。
【0056】なお、実施の形態1では、プロジェクト管
理テーブル31に異動情報が変更された場合について示
したが、プロジェクト管理テーブル31のホストアドレ
スが変更された場合、VPN装置管理テーブル32のV
PN外側アドレスが変更された場合でも、この変更が自
動的にトンネル定義テーブル33に反映されることにな
る。
理テーブル31に異動情報が変更された場合について示
したが、プロジェクト管理テーブル31のホストアドレ
スが変更された場合、VPN装置管理テーブル32のV
PN外側アドレスが変更された場合でも、この変更が自
動的にトンネル定義テーブル33に反映されることにな
る。
【0057】実施の形態2.次に、図13および図14
を用いてこの発明の実施の形態2について説明する。図
13に示すVPN管理装置では、図2に示す実施の形態
1のVPN管理装置に、トポロジー表示編集部40を追
加している。
を用いてこの発明の実施の形態2について説明する。図
13に示すVPN管理装置では、図2に示す実施の形態
1のVPN管理装置に、トポロジー表示編集部40を追
加している。
【0058】トポロジー表示編集部40は、プロジェク
ト管理テーブル31およびVPN装置管理テーブル32
の記憶内容に基づいて、図14に示すように、ホスト、
VPN装置、サイトなどを表すグラフィック要素に、対
応するユーザ名、ホストアドレス、サイト名、VPN装
置名、VPN外側アドレスなどの文字情報を付加した、
VPNシステムのトポロジーをグラフィカルに表示する
ようにしており、これによりVPN管理者はプロジェク
トメンバの異動によりVPNの構成にどのような変化が
あるかなどを容易に把握することができる。
ト管理テーブル31およびVPN装置管理テーブル32
の記憶内容に基づいて、図14に示すように、ホスト、
VPN装置、サイトなどを表すグラフィック要素に、対
応するユーザ名、ホストアドレス、サイト名、VPN装
置名、VPN外側アドレスなどの文字情報を付加した、
VPNシステムのトポロジーをグラフィカルに表示する
ようにしており、これによりVPN管理者はプロジェク
トメンバの異動によりVPNの構成にどのような変化が
あるかなどを容易に把握することができる。
【0059】また、トポロジー表示編集部40は、グラ
フィカルに表示されたホスト、VPN装置をグラフィッ
ク上で他のサイトに移動させたり、削除、追加すること
で、トポロジー表示編集部40でのグラフィック上での
編集結果を、逆に、プロジェクト管理テーブル31やV
PN装置管理テーブル32に登録することができる。し
たがって、VPN管理者はVPNの変更を迅速に定義す
ることができる。
フィカルに表示されたホスト、VPN装置をグラフィッ
ク上で他のサイトに移動させたり、削除、追加すること
で、トポロジー表示編集部40でのグラフィック上での
編集結果を、逆に、プロジェクト管理テーブル31やV
PN装置管理テーブル32に登録することができる。し
たがって、VPN管理者はVPNの変更を迅速に定義す
ることができる。
【0060】実施の形態3.次に、図15を用いてこの
発明の実施の形態3について説明する。図15に示すV
PN管理装置では、図2に示す実施の形態1のVPN管
理装置に、トンネル定義配信部45を追加している。
発明の実施の形態3について説明する。図15に示すV
PN管理装置では、図2に示す実施の形態1のVPN管
理装置に、トンネル定義配信部45を追加している。
【0061】トンネル定義配信部45は、トンネル定義
テーブル33からトンネル定義を取り出し、各VPN装
置に対してトンネル定義を配信する機能を有している。
トンネル定義を自動で配信することで、VPN管理者は
VPN装置毎のトンネル定義をまとめる手間がなくな
り、プロジェクトメンバのためのVPN構築のためのV
PN装置の設定を一括しておこなうことができ、設定の
もれをなくすことが可能となる。
テーブル33からトンネル定義を取り出し、各VPN装
置に対してトンネル定義を配信する機能を有している。
トンネル定義を自動で配信することで、VPN管理者は
VPN装置毎のトンネル定義をまとめる手間がなくな
り、プロジェクトメンバのためのVPN構築のためのV
PN装置の設定を一括しておこなうことができ、設定の
もれをなくすことが可能となる。
【0062】実施の形態4.次に、図16を用いてこの
発明の実施の形態4について説明する。図16に示すV
PN管理装置では、図2に示す実施の形態1のVPN管
理装置に、トンネル定義編集部50を追加している。
発明の実施の形態4について説明する。図16に示すV
PN管理装置では、図2に示す実施の形態1のVPN管
理装置に、トンネル定義編集部50を追加している。
【0063】トンネル定義編集部50は、トンネル定義
テーブル33を表示し、編集する機能を有しており、こ
のトンネル定義編集部50によってトンネル定義に含ま
れる認証方式に関する詳細定義の修正を可能とする。
テーブル33を表示し、編集する機能を有しており、こ
のトンネル定義編集部50によってトンネル定義に含ま
れる認証方式に関する詳細定義の修正を可能とする。
【0064】図6に示したように、トンネル定義にはト
ンネルポリシーとして暗号種別を定義することができ
る。この暗号種別はVPN装置間の暗号通信の強弱を指
定するVPN装置のパラメータであり、トンネル定義毎
に異なるパラメータ、すなわち異なる暗号方式を設定す
ることができる。
ンネルポリシーとして暗号種別を定義することができ
る。この暗号種別はVPN装置間の暗号通信の強弱を指
定するVPN装置のパラメータであり、トンネル定義毎
に異なるパラメータ、すなわち異なる暗号方式を設定す
ることができる。
【0065】実施の形態1では、図6に示すように、暗
号種別を例えばDESに固定していた。しかし、プロジ
ェクト毎に暗号強度を強くしたり弱くしたり、また同じ
ホスト間の暗号通信でも通信の方向によって暗号強度を
変えたりすることがある。実際のトンネル定義には、暗
号強度以外にも認証方式に関する詳細な定義をおこなう
必要があり、トンネル定義編集部50により、これらの
詳細パラメータを修正することを可能にすることによ
り、よりきめ細かいVPNの構築を提供することができ
る。従来のVPN管理装置では、いきなりこのような詳
細なトンネル定義をおこなう必要があったため、かえっ
て定義設定を困難にしていた。この実施の形態4におい
ては、最初に実施の形態1の手法を用いてVPN構築に
必要なトンネル定義の骨格を作成し、その後トンネル定
義編集部50を用いて、1つのトンネル定義毎の暗号方
式の設定あるいは認証方式に関する詳細な定義を行うよ
うにして、VPNのトンネル定義設定を簡単かつ効率的
に行えるようにしている。
号種別を例えばDESに固定していた。しかし、プロジ
ェクト毎に暗号強度を強くしたり弱くしたり、また同じ
ホスト間の暗号通信でも通信の方向によって暗号強度を
変えたりすることがある。実際のトンネル定義には、暗
号強度以外にも認証方式に関する詳細な定義をおこなう
必要があり、トンネル定義編集部50により、これらの
詳細パラメータを修正することを可能にすることによ
り、よりきめ細かいVPNの構築を提供することができ
る。従来のVPN管理装置では、いきなりこのような詳
細なトンネル定義をおこなう必要があったため、かえっ
て定義設定を困難にしていた。この実施の形態4におい
ては、最初に実施の形態1の手法を用いてVPN構築に
必要なトンネル定義の骨格を作成し、その後トンネル定
義編集部50を用いて、1つのトンネル定義毎の暗号方
式の設定あるいは認証方式に関する詳細な定義を行うよ
うにして、VPNのトンネル定義設定を簡単かつ効率的
に行えるようにしている。
【0066】実施の形態5.次に、図17〜図27を用
いてこの発明の実施の形態5について説明する。この実
施の形態5においては、VPN管理装置によって、VP
Nのトンネル定義およびファイアウォールのフィルタリ
ング定義の作成、削除、追加を行う。
いてこの発明の実施の形態5について説明する。この実
施の形態5においては、VPN管理装置によって、VP
Nのトンネル定義およびファイアウォールのフィルタリ
ング定義の作成、削除、追加を行う。
【0067】図17は、ファイアウォール150が組み
込まれたサイト10を含むVPNシステムを示してい
る。図17において、他の構成要素については、図1と
同様であり、10,11,12がサイト、110〜115
がホスト、120〜122がVPN装置、130〜13
2がVPNをそれぞれ表している。
込まれたサイト10を含むVPNシステムを示してい
る。図17において、他の構成要素については、図1と
同様であり、10,11,12がサイト、110〜115
がホスト、120〜122がVPN装置、130〜13
2がVPNをそれぞれ表している。
【0068】このVPNシステムでは、VPN装置12
0で暗号を解かれた結果の通信データに対してファイア
ウォール150でフィルタリングが行われる。そのた
め、VPN装置120からホスト110〜112にデー
タを送信するためには、ファイアウォール150にホス
ト110〜112宛の通信を通過させるフィルタリング
設定をおこなう必要がある。
0で暗号を解かれた結果の通信データに対してファイア
ウォール150でフィルタリングが行われる。そのた
め、VPN装置120からホスト110〜112にデー
タを送信するためには、ファイアウォール150にホス
ト110〜112宛の通信を通過させるフィルタリング
設定をおこなう必要がある。
【0069】図18はファイアウォールに設定するフィ
ルタリング定義を生成、更新する機能を追加したVPN
管理装置の機能構成を示すものである。この実施の形態
5のVPN管理装置においても、プロジェクト管理テー
ブル31に設定されるプロジェクトメンバの異動情報に
基づいてファイアウォールのフィルタリング定義を生成
する。
ルタリング定義を生成、更新する機能を追加したVPN
管理装置の機能構成を示すものである。この実施の形態
5のVPN管理装置においても、プロジェクト管理テー
ブル31に設定されるプロジェクトメンバの異動情報に
基づいてファイアウォールのフィルタリング定義を生成
する。
【0070】図18において、プロジェクト管理テーブ
ル31、トンネル定義テーブル33、トンネルマトリク
ステーブル34、トンネルマトリクス生成部35、トン
ネル定義削除部36、トンネル定義追加部37ついて
は、先の図2に示した各構成要素と同じ機能を有するの
で同一符号を付しており、重複する説明は省略する。こ
のVPN管理装置は、他に、VPN装置・ファイアウォ
ール管理テーブル(以下VPN/FW管理テーブルと略
す)60と、フィルタリング定義テーブル61、フィル
タリングマトリクステーブル62、フィルタリングマト
リクス生成部63、フィルタリング定義削除部64、フ
ィルタリング定義追加部65を備えている。
ル31、トンネル定義テーブル33、トンネルマトリク
ステーブル34、トンネルマトリクス生成部35、トン
ネル定義削除部36、トンネル定義追加部37ついて
は、先の図2に示した各構成要素と同じ機能を有するの
で同一符号を付しており、重複する説明は省略する。こ
のVPN管理装置は、他に、VPN装置・ファイアウォ
ール管理テーブル(以下VPN/FW管理テーブルと略
す)60と、フィルタリング定義テーブル61、フィル
タリングマトリクステーブル62、フィルタリングマト
リクス生成部63、フィルタリング定義削除部64、フ
ィルタリング定義追加部65を備えている。
【0071】VPN/FW管理テーブル60は、図19
に示すように、図5に示したVPN装置管理テーブルに
対し、当該VPN装置に接続されるファイアウォール名
の欄(ファイアウォール識別情報)を追加したものであ
る。この追加したファイアウォール名の欄には、各サイ
トのVPN装置の内側に設置されるファイアウォールの
名前を登録する。
に示すように、図5に示したVPN装置管理テーブルに
対し、当該VPN装置に接続されるファイアウォール名
の欄(ファイアウォール識別情報)を追加したものであ
る。この追加したファイアウォール名の欄には、各サイ
トのVPN装置の内側に設置されるファイアウォールの
名前を登録する。
【0072】図20はファイアウォールでの基本的なフ
ィルタリング定義の一例を示すものである。フィルタリ
ング定義は、発信元ホストアドレス、宛先ホストアドレ
ス、http,ftpなどのプロトコル種別、通過規則を含ん
でいる。
ィルタリング定義の一例を示すものである。フィルタリ
ング定義は、発信元ホストアドレス、宛先ホストアドレ
ス、http,ftpなどのプロトコル種別、通過規則を含ん
でいる。
【0073】フィルタリング定義では、通信データのヘ
ッダ情報中の発信ホストアドレスと宛先ホストアドレ
ス、およびプロトコル種別を見て、その通信データを通
過するか廃棄するかを定義する。通信データのヘッダ情
報に合致するフィルタリング定義がない場合、その通信
データは廃棄される。そのため、ファイアウォールに通
信データを通過させるためには、ファイアウォールにフ
ィルタリング定義を設定登録する必要がある。
ッダ情報中の発信ホストアドレスと宛先ホストアドレ
ス、およびプロトコル種別を見て、その通信データを通
過するか廃棄するかを定義する。通信データのヘッダ情
報に合致するフィルタリング定義がない場合、その通信
データは廃棄される。そのため、ファイアウォールに通
信データを通過させるためには、ファイアウォールにフ
ィルタリング定義を設定登録する必要がある。
【0074】フィルタリング定義テーブル61は、図2
1に示すように、各サイトのファイアウォールに登録す
るフィルタリング定義を蓄積するデータベースであり、
フィルタリングマトリクス生成部63によって作成され
る。フィルタリング定義テーブル61では、サイト名お
よびファイアウォール名によってフィルタリング定義を
設定する各ファイアウォールを特定し、各ファイアウォ
ール毎に所要の複数のフィルタリング定義を設定登録す
る。1つのフィルタリング定義は、発信ホストアドレス
(IPグルーバルアドレス)、宛先ホストアドレス(I
Pグルーバルアドレス)、プロトコル種別および通過規
則を含んでいる。発信ホストアドレスおよび宛先ホスト
アドレスはファイアウォールを利用して通信する2つの
ホストのアドレスの対で定義されている。プロトコル種
別および通過規則によって通過させるプロトコルを規定
している。
1に示すように、各サイトのファイアウォールに登録す
るフィルタリング定義を蓄積するデータベースであり、
フィルタリングマトリクス生成部63によって作成され
る。フィルタリング定義テーブル61では、サイト名お
よびファイアウォール名によってフィルタリング定義を
設定する各ファイアウォールを特定し、各ファイアウォ
ール毎に所要の複数のフィルタリング定義を設定登録す
る。1つのフィルタリング定義は、発信ホストアドレス
(IPグルーバルアドレス)、宛先ホストアドレス(I
Pグルーバルアドレス)、プロトコル種別および通過規
則を含んでいる。発信ホストアドレスおよび宛先ホスト
アドレスはファイアウォールを利用して通信する2つの
ホストのアドレスの対で定義されている。プロトコル種
別および通過規則によって通過させるプロトコルを規定
している。
【0075】フィルタリングマトリクステーブル62
は、フィルタリングマトリクス生成部63、フィルタリ
ング定義削除部64およびフィルタリング定義追加部6
5によるフィルタリング定義テーブル61の生成、削
除、追加の際に中間的に生成されるワークテーブルであ
る。
は、フィルタリングマトリクス生成部63、フィルタリ
ング定義削除部64およびフィルタリング定義追加部6
5によるフィルタリング定義テーブル61の生成、削
除、追加の際に中間的に生成されるワークテーブルであ
る。
【0076】次にフィルタリングマトリクス生成部63
について説明する。フィルタリングマトリクス生成部6
3は、あるプロジェクトに対してVPNおよびファイア
ウォール構築する際に必要となるフィルタリング定義の
集合を生成し、フィルタリング定義テーブル61を作成
する。すなわち、フィルタリングマトリクス生成部63
は、プロジェクト管理テーブル31およびVPN/FW
管理テーブル60の登録データを用いてフィルタリング
マトリクステーブル62を作成し、作成したフィルタリ
ングマトリクステーブル62を用いてフィルタリング定
義テーブル61を作成する。図22のフローチャートを
参照してフィルタリングマトリクス生成部63の処理の
流れを説明する。
について説明する。フィルタリングマトリクス生成部6
3は、あるプロジェクトに対してVPNおよびファイア
ウォール構築する際に必要となるフィルタリング定義の
集合を生成し、フィルタリング定義テーブル61を作成
する。すなわち、フィルタリングマトリクス生成部63
は、プロジェクト管理テーブル31およびVPN/FW
管理テーブル60の登録データを用いてフィルタリング
マトリクステーブル62を作成し、作成したフィルタリ
ングマトリクステーブル62を用いてフィルタリング定
義テーブル61を作成する。図22のフローチャートを
参照してフィルタリングマトリクス生成部63の処理の
流れを説明する。
【0077】マトリクス生成開始時に、プロジェクト管
理テーブル31およびVPN/FW管理テーブル60
に、それぞれ例えば図3、図19のような内容が定義さ
れているとする。まず、フィルタリングマトリクス生成
部63は、図3のプロジェクト管理テーブル31からV
PNを構築するプロジェクトのサイト毎のホストアドレ
スを取り出し、フィルタリングマトリクステーブル62
の縦軸にサイト名とホストアドレスを列挙する。フィル
タリングマトリクステーブル62の横軸にも、縦軸と同
様に、同じサイト名とホストアドレスを列挙する(ステ
ップS500、図23参照)。
理テーブル31およびVPN/FW管理テーブル60
に、それぞれ例えば図3、図19のような内容が定義さ
れているとする。まず、フィルタリングマトリクス生成
部63は、図3のプロジェクト管理テーブル31からV
PNを構築するプロジェクトのサイト毎のホストアドレ
スを取り出し、フィルタリングマトリクステーブル62
の縦軸にサイト名とホストアドレスを列挙する。フィル
タリングマトリクステーブル62の横軸にも、縦軸と同
様に、同じサイト名とホストアドレスを列挙する(ステ
ップS500、図23参照)。
【0078】つぎに、フィルタリングマトリクス生成部
63は、図19のVPN/FW管理テーブル60から、
各サイトのファイアウォール名を取り出し、取り出した
ファイアウォール名をフィルタリングマトリクステーブ
ル62の横軸および縦軸のサイト名に付記する(ステッ
プS510、図23参照)。
63は、図19のVPN/FW管理テーブル60から、
各サイトのファイアウォール名を取り出し、取り出した
ファイアウォール名をフィルタリングマトリクステーブ
ル62の横軸および縦軸のサイト名に付記する(ステッ
プS510、図23参照)。
【0079】つぎに、フィルタリングマトリクス生成部
63は、図23のように作成したフィルタリングマトリ
クステーブル62の中で横軸と縦軸が同じサイトにあた
るホストアドレスのマトリクス枠および縦軸横軸ともに
ファイアウォールが設置されていないサイトをトンネル
定義生成対象外とするための印を付ける(ステップS5
20)。図23では、網掛けを付した箇所がこれに対応
する。
63は、図23のように作成したフィルタリングマトリ
クステーブル62の中で横軸と縦軸が同じサイトにあた
るホストアドレスのマトリクス枠および縦軸横軸ともに
ファイアウォールが設置されていないサイトをトンネル
定義生成対象外とするための印を付ける(ステップS5
20)。図23では、網掛けを付した箇所がこれに対応
する。
【0080】つぎに、フィルタリングマトリクス生成部
63は、図23のフィルタリングマトリクステーブル6
2に対し、フィルタリング定義生成対象外としたマトリ
クス枠を除く全てのマトリクス枠に、夫々、各マトリク
ス枠に対応する、縦軸ホストアドレス,横軸ホストアド
レスを書き込む(ステップS530)。
63は、図23のフィルタリングマトリクステーブル6
2に対し、フィルタリング定義生成対象外としたマトリ
クス枠を除く全てのマトリクス枠に、夫々、各マトリク
ス枠に対応する、縦軸ホストアドレス,横軸ホストアド
レスを書き込む(ステップS530)。
【0081】最後に、フィルタリングマトリクス生成部
63は、フィルタリングマトリクステーブル62の各マ
トリクス枠に記載されたすべての(縦軸ホストアドレ
ス,横軸ホストアドレス)をフィルタリング定義テーブ
ル61の発信ホストアドレス、宛先ホストアドレスの欄
に、サイト名およびファイアウォール名と共に書き出
す。さらに、VPN/FW管理テーブル60を参照して
各ファイアウォールのプロトコル種別および通過規則を
対応する各欄に設定することで、フィルタリング定義テ
ーブル61を作成する(ステップS540)。この結
果、例えば図21に示すような、フィルタリング定義テ
ーブル61が生成される。
63は、フィルタリングマトリクステーブル62の各マ
トリクス枠に記載されたすべての(縦軸ホストアドレ
ス,横軸ホストアドレス)をフィルタリング定義テーブ
ル61の発信ホストアドレス、宛先ホストアドレスの欄
に、サイト名およびファイアウォール名と共に書き出
す。さらに、VPN/FW管理テーブル60を参照して
各ファイアウォールのプロトコル種別および通過規則を
対応する各欄に設定することで、フィルタリング定義テ
ーブル61を作成する(ステップS540)。この結
果、例えば図21に示すような、フィルタリング定義テ
ーブル61が生成される。
【0082】次にフィルタリング定義削除部64につい
て説明する。フィルタリング定義削除部64は、プロジ
ェクト管理テーブル31の変更内容から削除すべきフィ
ルタリング定義を生成し、フィルタリング定義テーブル
61から対象となるフィルタリング定義を削除する機能
を有する。図24のフローチャートを参照してフィルタ
リング定義削除部64の処理の流れを説明する。
て説明する。フィルタリング定義削除部64は、プロジ
ェクト管理テーブル31の変更内容から削除すべきフィ
ルタリング定義を生成し、フィルタリング定義テーブル
61から対象となるフィルタリング定義を削除する機能
を有する。図24のフローチャートを参照してフィルタ
リング定義削除部64の処理の流れを説明する。
【0083】プロジェクト管理テーブル31には、フィ
ルタリング定義削除処理の開始前に、図4に示したよう
に、異動情報を定義しておく。
ルタリング定義削除処理の開始前に、図4に示したよう
に、異動情報を定義しておく。
【0084】図24のステップS600〜ステップS6
30においては、フィルタリングマトリクス生成部63
によって図22のステップS500〜ステップS530
と同様の処理が実行されることで、この時点で図25に
示すような、フィルタリングマトリクステーブル62が
作成される。ただし、この時点では、図25に示す斜線
網掛けによる印は付されていない。
30においては、フィルタリングマトリクス生成部63
によって図22のステップS500〜ステップS530
と同様の処理が実行されることで、この時点で図25に
示すような、フィルタリングマトリクステーブル62が
作成される。ただし、この時点では、図25に示す斜線
網掛けによる印は付されていない。
【0085】フィルタリング定義削除部64は、プロジ
ェクト管理テーブル31の異動情報欄が削除となってい
るサイトおよびホストアドレスを取り出し、前記作成さ
れたフィルタリングマトリクステーブル62に対し、図
25に示すように、前記取り出したサイトおよびホスト
アドレスの縦軸および横軸のホストアドレスの欄に、印
を付ける。この場合の印は、網掛け+左下がり斜線であ
る。そして、印が付けられた縦軸および横軸のホストア
ドレスの行および列方向の全てのマトリクス欄に同様の
印を付ける(ステップS640)。但し、自ホストアド
レス同士の通信は無視すべきであるので、ステップS6
20で網掛けが付されたマトリクス欄には、今回の印
(網掛け+左下がり斜線)を付さない。このようにし
て、削除されたホストアドレスについての既に登録設定
されていたフィルタリング定義が抽出される。
ェクト管理テーブル31の異動情報欄が削除となってい
るサイトおよびホストアドレスを取り出し、前記作成さ
れたフィルタリングマトリクステーブル62に対し、図
25に示すように、前記取り出したサイトおよびホスト
アドレスの縦軸および横軸のホストアドレスの欄に、印
を付ける。この場合の印は、網掛け+左下がり斜線であ
る。そして、印が付けられた縦軸および横軸のホストア
ドレスの行および列方向の全てのマトリクス欄に同様の
印を付ける(ステップS640)。但し、自ホストアド
レス同士の通信は無視すべきであるので、ステップS6
20で網掛けが付されたマトリクス欄には、今回の印
(網掛け+左下がり斜線)を付さない。このようにし
て、削除されたホストアドレスについての既に登録設定
されていたフィルタリング定義が抽出される。
【0086】つぎに、フィルタリング定義削除部64
は、ステップS640で新たに印を付けたマトリクス枠
の(縦軸ホストアドレス,横軸ホストアドレス)をサイ
ト毎に取り出す(ステップS650)。そして、該取り
出した(縦軸ホストアドレス、横軸ホストアドレス)を
フィルタリング定義テーブル61から検索して削除する
(ステップS660)。
は、ステップS640で新たに印を付けたマトリクス枠
の(縦軸ホストアドレス,横軸ホストアドレス)をサイ
ト毎に取り出す(ステップS650)。そして、該取り
出した(縦軸ホストアドレス、横軸ホストアドレス)を
フィルタリング定義テーブル61から検索して削除する
(ステップS660)。
【0087】このようにして、プロジェクト管理テーブ
ル31の異動情報欄に削除登録されているプロジェクト
メンバをサイト毎にフィルタリング定義から削除する。
ル31の異動情報欄に削除登録されているプロジェクト
メンバをサイト毎にフィルタリング定義から削除する。
【0088】次にフィルタリング定義追加部65につい
て説明する。フィルタリング定義追加部65はプロジェ
クト管理テーブル31の変更内容から追加すべきフィル
タリング定義を生成し、フィルタリング定義テーブル6
1に対象となるフィルタリング定義を追加する機能を有
する。図26のフローチャートを参照してフィルタリン
グ定義追加部65の処理の流れを説明する。
て説明する。フィルタリング定義追加部65はプロジェ
クト管理テーブル31の変更内容から追加すべきフィル
タリング定義を生成し、フィルタリング定義テーブル6
1に対象となるフィルタリング定義を追加する機能を有
する。図26のフローチャートを参照してフィルタリン
グ定義追加部65の処理の流れを説明する。
【0089】このフィルタリング定義追加部65での処
理は、基本的にはフィルタリング定義削除部64と同じ
であり、違いはフィルタリング定義を削除ではなく追加
することだけである。プロジェクト管理テーブル31に
は、フィルタリング定義追加処理の開始前に、図4に示
したように、異動情報を定義しておく。図26のステッ
プS700〜ステップS730においては、フィルタリ
ングマトリクス生成部63によって、図22のステップ
S500〜ステップS530と同様の処理が実行される
ことで、この時点で図27に示したような、フィルタリ
ングマトリクステーブル62が作成される。ただし、こ
の時点では、図27に示す斜線網掛けによる印は付され
ていない。
理は、基本的にはフィルタリング定義削除部64と同じ
であり、違いはフィルタリング定義を削除ではなく追加
することだけである。プロジェクト管理テーブル31に
は、フィルタリング定義追加処理の開始前に、図4に示
したように、異動情報を定義しておく。図26のステッ
プS700〜ステップS730においては、フィルタリ
ングマトリクス生成部63によって、図22のステップ
S500〜ステップS530と同様の処理が実行される
ことで、この時点で図27に示したような、フィルタリ
ングマトリクステーブル62が作成される。ただし、こ
の時点では、図27に示す斜線網掛けによる印は付され
ていない。
【0090】フィルタリング定義追加部65は、プロジ
ェクト管理テーブル31の異動情報欄が追加となってい
るサイトおよびホストアドレスを取り出し、作成された
フィルタリングマトリクステーブル62に対し、図27
に示すように、前記取り出したサイトおよびホストアド
レスの縦軸および横軸のホストアドレスの欄に、所定の
印を付ける。この場合の印は、網掛け+右下がり斜線で
ある。そして、印が付けられた縦軸および横軸のホスト
アドレスの行および列方向の全てのマトリクス欄に同様
の印を付ける(ステップS740)。但し、前記同様、
ステップS720で網掛けが付されたマトリクス欄に
は、今回の印(網掛け+右下がり斜線)を付さない。こ
のようにして、追加されたホストアドレスについての既
に登録設定されていたフィルタリング定義が抽出され
る。
ェクト管理テーブル31の異動情報欄が追加となってい
るサイトおよびホストアドレスを取り出し、作成された
フィルタリングマトリクステーブル62に対し、図27
に示すように、前記取り出したサイトおよびホストアド
レスの縦軸および横軸のホストアドレスの欄に、所定の
印を付ける。この場合の印は、網掛け+右下がり斜線で
ある。そして、印が付けられた縦軸および横軸のホスト
アドレスの行および列方向の全てのマトリクス欄に同様
の印を付ける(ステップS740)。但し、前記同様、
ステップS720で網掛けが付されたマトリクス欄に
は、今回の印(網掛け+右下がり斜線)を付さない。こ
のようにして、追加されたホストアドレスについての既
に登録設定されていたフィルタリング定義が抽出され
る。
【0091】つぎに、フィルタリング定義追加部65
は、ステップS740で新たに印を付けたマトリクス枠
の(縦軸ホストアドレス,横軸ホストアドレス)をサイ
ト毎に取り出す(ステップS750)。そして、該取り
出した(縦軸ホストアドレス、横軸ホストアドレス)を
フィルタリング定義テーブル61に追加する(ステップ
S760)。
は、ステップS740で新たに印を付けたマトリクス枠
の(縦軸ホストアドレス,横軸ホストアドレス)をサイ
ト毎に取り出す(ステップS750)。そして、該取り
出した(縦軸ホストアドレス、横軸ホストアドレス)を
フィルタリング定義テーブル61に追加する(ステップ
S760)。
【0092】このようにして、プロジェクト管理テーブ
ル31の異動情報欄に追加として登録されているプロジ
ェクトメンバをサイト毎にフィルタリング定義に追加す
る。
ル31の異動情報欄に追加として登録されているプロジ
ェクトメンバをサイト毎にフィルタリング定義に追加す
る。
【0093】このようにこの実施の形態5によれば、プ
ロジェクト管理テーブル31に異動情報を登録するだけ
で、これに対応してVPNのトンネル定義テーブル33
のみならずファイアウォールのフィルタリング定義テー
ブル61を自動的に更新することができるので、VPN
の管理者は、プロジェクト管理テーブル31におけるプ
ロジェクトメンバの異動情報を更新するだけで異動後の
VPNのトンネル定義の変更内容およびフィルタリング
定義の変更内容を知ることができる。手作業でフィルタ
リング定義の変更をおこなう場合、定義に時間を要する
だけでなく、定義誤りがたびたび発生していた。プロジ
ェクトメンバが大規模になっても、VPN管理者はプロ
ジェクト管理テーブルだけを修正すればよく、誤りなく
迅速にVPNおよびファイアウォールの変更をおこなう
ことができる。また、VPNを利用するプロジェクト数
が膨大になっても、プロジェクト毎にプロジェクト管理
テーブルを用意すれば、手間が変わらずVPNおよびフ
ァイアウォールを変更できる。
ロジェクト管理テーブル31に異動情報を登録するだけ
で、これに対応してVPNのトンネル定義テーブル33
のみならずファイアウォールのフィルタリング定義テー
ブル61を自動的に更新することができるので、VPN
の管理者は、プロジェクト管理テーブル31におけるプ
ロジェクトメンバの異動情報を更新するだけで異動後の
VPNのトンネル定義の変更内容およびフィルタリング
定義の変更内容を知ることができる。手作業でフィルタ
リング定義の変更をおこなう場合、定義に時間を要する
だけでなく、定義誤りがたびたび発生していた。プロジ
ェクトメンバが大規模になっても、VPN管理者はプロ
ジェクト管理テーブルだけを修正すればよく、誤りなく
迅速にVPNおよびファイアウォールの変更をおこなう
ことができる。また、VPNを利用するプロジェクト数
が膨大になっても、プロジェクト毎にプロジェクト管理
テーブルを用意すれば、手間が変わらずVPNおよびフ
ァイアウォールを変更できる。
【0094】実施の形態6.次に、図28を用いてこの
発明の実施の形態6について説明する。図28に示すV
PN管理装置では、図18に示した実施の形態5のVP
N管理装置にフィルタリング定義配信部70を追加して
いる。
発明の実施の形態6について説明する。図28に示すV
PN管理装置では、図18に示した実施の形態5のVP
N管理装置にフィルタリング定義配信部70を追加して
いる。
【0095】フィルタリング定義配信部70は、フィル
タリング定義テーブル61からフィルタリング定義を取
り出し、各サイトのファイアウォールに対してフィルタ
リング定義を自動的に配信する。フィルタリング定義を
自動で配信することで、VPN管理者はファイアウォー
ル毎のフィルタリング定義をまとめる手間がなくなり、
プロジェクトメンバのためのVPN構築のためのファイ
アウォールの設定を一括しておこなうことができ、設定
のもれをなくすことが可能となる。
タリング定義テーブル61からフィルタリング定義を取
り出し、各サイトのファイアウォールに対してフィルタ
リング定義を自動的に配信する。フィルタリング定義を
自動で配信することで、VPN管理者はファイアウォー
ル毎のフィルタリング定義をまとめる手間がなくなり、
プロジェクトメンバのためのVPN構築のためのファイ
アウォールの設定を一括しておこなうことができ、設定
のもれをなくすことが可能となる。
【0096】実施の形態7.次に、図29を用いてこの
発明の実施の形態7について説明する。図29に示す実
施の形態7のVPN管理装置では、図18に示す実施の
形態5のVPN管理装置に、フィルタリング定義編集部
80を追加している。
発明の実施の形態7について説明する。図29に示す実
施の形態7のVPN管理装置では、図18に示す実施の
形態5のVPN管理装置に、フィルタリング定義編集部
80を追加している。
【0097】フィルタリング定義編集部80は、フィル
タリング定義テーブル61を表示し編集する機能を有し
ており、このフィルタリング定義編集部80によってフ
ィルタリング定義に含まれるプロトコル種別に関する詳
細定義の修正を可能とする。
タリング定義テーブル61を表示し編集する機能を有し
ており、このフィルタリング定義編集部80によってフ
ィルタリング定義に含まれるプロトコル種別に関する詳
細定義の修正を可能とする。
【0098】図21に示したように、フィルタリング定
義には、ファイアウォールの通過ポリシーとしてプロト
コル種別を定義することができる。このプロトコル種別
はファイアウォールを通過する通信データの種類を制限
することができ、フィルタリング定義毎に異なるパラメ
ータ、異なるプロトコル種別を設定することができる。
義には、ファイアウォールの通過ポリシーとしてプロト
コル種別を定義することができる。このプロトコル種別
はファイアウォールを通過する通信データの種類を制限
することができ、フィルタリング定義毎に異なるパラメ
ータ、異なるプロトコル種別を設定することができる。
【0099】実施の形態5では、図21に示すように、
プロトコル種別をhttpとftpに固定していた。しかし、
プロジェクト毎に利用するプロトコルを制限したり、ま
たホスト間の通信でも通信の方向によって利用するプロ
トコルを変えたりすることがある。フィルタリング定義
編集部80により、これらのパラメータを修正すること
を可能にすることにより、プロジェクトに対してよりき
め細かいVPNおよびファイアウォール構築を提供する
ことができる。従来のVPN管理装置では、いきなりこ
のような利用プロトコルの定義をおこなう必要があった
ため、かえって定義設定を困難にしていた。この実施の
形態7においては、最初に実施の形態5の手法を用いて
VPN構築に必要なファイアウォール定義の骨格を作成
し、その後フィルタリング定義編集部80を用いて、1
つのフィルタリング定義毎のプロトコル種別に関する詳
細な定義設定を行うことで、VPNのファイアウォール
設定を簡単かつ効率的に行えるようにしている。
プロトコル種別をhttpとftpに固定していた。しかし、
プロジェクト毎に利用するプロトコルを制限したり、ま
たホスト間の通信でも通信の方向によって利用するプロ
トコルを変えたりすることがある。フィルタリング定義
編集部80により、これらのパラメータを修正すること
を可能にすることにより、プロジェクトに対してよりき
め細かいVPNおよびファイアウォール構築を提供する
ことができる。従来のVPN管理装置では、いきなりこ
のような利用プロトコルの定義をおこなう必要があった
ため、かえって定義設定を困難にしていた。この実施の
形態7においては、最初に実施の形態5の手法を用いて
VPN構築に必要なファイアウォール定義の骨格を作成
し、その後フィルタリング定義編集部80を用いて、1
つのフィルタリング定義毎のプロトコル種別に関する詳
細な定義設定を行うことで、VPNのファイアウォール
設定を簡単かつ効率的に行えるようにしている。
【0100】
【発明の効果】以上説明したように、この発明によれ
ば、プロジェクト管理テーブルに異動情報を登録するだ
けで、これに対応してトンネル定義テーブルを自動的に
更新することができるので、VPNの管理者は、プロジ
ェクト管理テーブルを更新するだけで変更後のVPNの
トンネル定義の変更内容を知ることができる。したがっ
て、プロジェクトメンバが大規模になっても、VPN管
理者はプロジェクト管理テーブルだけを修正すればよ
く、誤りなく迅速にVPNの変更をおこなうことができ
る。また、VPNを利用するプロジェクト数が膨大にな
っても、プロジェクト毎にプロジェクト管理テーブルを
用意すれば、手間が変わらずVPNを変更できる。
ば、プロジェクト管理テーブルに異動情報を登録するだ
けで、これに対応してトンネル定義テーブルを自動的に
更新することができるので、VPNの管理者は、プロジ
ェクト管理テーブルを更新するだけで変更後のVPNの
トンネル定義の変更内容を知ることができる。したがっ
て、プロジェクトメンバが大規模になっても、VPN管
理者はプロジェクト管理テーブルだけを修正すればよ
く、誤りなく迅速にVPNの変更をおこなうことができ
る。また、VPNを利用するプロジェクト数が膨大にな
っても、プロジェクト毎にプロジェクト管理テーブルを
用意すれば、手間が変わらずVPNを変更できる。
【0101】つぎの発明によれば、プロジェクト管理テ
ーブルの異動情報の変更に応じてトンネル定義テーブル
のトンネル定義を削除あるいは追加するようにしている
ので、プロジェクト管理テーブルにおけるプロジェクト
メンバの異動情報を更新するだけで異動後のVPNのト
ンネル定義の変更内容を知ることができる。
ーブルの異動情報の変更に応じてトンネル定義テーブル
のトンネル定義を削除あるいは追加するようにしている
ので、プロジェクト管理テーブルにおけるプロジェクト
メンバの異動情報を更新するだけで異動後のVPNのト
ンネル定義の変更内容を知ることができる。
【0102】つぎの発明によれば、プロジェクト管理テ
ーブルおよびVPN管理テーブルの記憶内容に基づい
て、ホスト、VPN装置、サイトについてのトポロジー
をグラフィカルに表示、編集するとともに、該グラフィ
カルに表示した結果を前記プロジェクト管理テーブルお
よびVPN装置管理テーブルの登録内容に反映させるよ
うにしたので、VPN管理者は、プロジェクトメンバの
異動によりVPNの構成にどのような変化があるかなど
を容易に把握することができるとともに、VPNの変更
を迅速に定義することができる。
ーブルおよびVPN管理テーブルの記憶内容に基づい
て、ホスト、VPN装置、サイトについてのトポロジー
をグラフィカルに表示、編集するとともに、該グラフィ
カルに表示した結果を前記プロジェクト管理テーブルお
よびVPN装置管理テーブルの登録内容に反映させるよ
うにしたので、VPN管理者は、プロジェクトメンバの
異動によりVPNの構成にどのような変化があるかなど
を容易に把握することができるとともに、VPNの変更
を迅速に定義することができる。
【0103】つぎの発明によれば、生成あるいは変更さ
れたトンネル定義を各サイトのVPN装置に配信可能と
しているので、VPN管理者はVPN装置毎のトンネル
定義をまとめる手間がなくなり、プロジェクトメンバの
ためのVPN構築のためのVPN装置の設定を一括して
おこなうことができ、設定のもれをなくすことが可能と
なる。
れたトンネル定義を各サイトのVPN装置に配信可能と
しているので、VPN管理者はVPN装置毎のトンネル
定義をまとめる手間がなくなり、プロジェクトメンバの
ためのVPN構築のためのVPN装置の設定を一括して
おこなうことができ、設定のもれをなくすことが可能と
なる。
【0104】つぎの発明によれば、トンネル定義に含ま
れる認証方式に関する詳細定義を個々に編集可能として
いるので、各トンネル定義毎の暗号方式の設定あるいは
認証方式に関する詳細な定義設定が可能となる。
れる認証方式に関する詳細定義を個々に編集可能として
いるので、各トンネル定義毎の暗号方式の設定あるいは
認証方式に関する詳細な定義設定が可能となる。
【0105】つぎの発明によれば、プロジェクト管理テ
ーブルに異動情報を登録するだけで、これに対応してV
PNのトンネル定義テーブルのみならずファイアウォー
ルのフィルタリング定義テーブルを自動的に更新するこ
とができるので、VPNの管理者は、プロジェクト管理
テーブルを更新するだけでVPNのトンネル定義の変更
内容およびフィルタリング定義の変更内容を知ることが
できる。したがって、プロジェクトメンバが大規模にな
っても、VPN管理者はプロジェクト管理テーブルだけ
を修正すればよく、誤りなく迅速にVPNおよびファイ
アウォールの変更をおこなうことができる。また、VP
Nを利用するプロジェクト数が膨大になっても、プロジ
ェクト毎にプロジェクト管理テーブルを用意すれば、手
間が変わらずVPNおよびファイアウォールを変更でき
る。
ーブルに異動情報を登録するだけで、これに対応してV
PNのトンネル定義テーブルのみならずファイアウォー
ルのフィルタリング定義テーブルを自動的に更新するこ
とができるので、VPNの管理者は、プロジェクト管理
テーブルを更新するだけでVPNのトンネル定義の変更
内容およびフィルタリング定義の変更内容を知ることが
できる。したがって、プロジェクトメンバが大規模にな
っても、VPN管理者はプロジェクト管理テーブルだけ
を修正すればよく、誤りなく迅速にVPNおよびファイ
アウォールの変更をおこなうことができる。また、VP
Nを利用するプロジェクト数が膨大になっても、プロジ
ェクト毎にプロジェクト管理テーブルを用意すれば、手
間が変わらずVPNおよびファイアウォールを変更でき
る。
【0106】つぎの発明によれば、プロジェクト管理テ
ーブルの異動情報の変更に応じてフィルタリング定義テ
ーブルのフィルタリング定義を削除あるいは追加するよ
うにしているので、プロジェクト管理テーブルにおける
プロジェクトメンバの異動情報を更新するだけで異動後
のファイアウォールのフィルタリング定義の変更内容を
知ることができる。
ーブルの異動情報の変更に応じてフィルタリング定義テ
ーブルのフィルタリング定義を削除あるいは追加するよ
うにしているので、プロジェクト管理テーブルにおける
プロジェクトメンバの異動情報を更新するだけで異動後
のファイアウォールのフィルタリング定義の変更内容を
知ることができる。
【0107】つぎの発明によれば、生成あるいは変更さ
れたフィルタリング定義を各サイトのファイアウォール
に配信可能としているので、VPN管理者はファイアウ
ォール毎のフィルタリング定義をまとめる手間がなくな
り、プロジェクトメンバのためのVPN構築のためのフ
ァイアウォールの設定を一括しておこなうことができ、
設定のもれをなくすことが可能となる。
れたフィルタリング定義を各サイトのファイアウォール
に配信可能としているので、VPN管理者はファイアウ
ォール毎のフィルタリング定義をまとめる手間がなくな
り、プロジェクトメンバのためのVPN構築のためのフ
ァイアウォールの設定を一括しておこなうことができ、
設定のもれをなくすことが可能となる。
【0108】つぎの発明によれば、フィルタリング定義
に含まれるプロトコル種別に関する詳細定義を個々に編
集可能としているので、各フィルタリング定義毎に異な
るプロトコル種別の通過設定が可能となる。
に含まれるプロトコル種別に関する詳細定義を個々に編
集可能としているので、各フィルタリング定義毎に異な
るプロトコル種別の通過設定が可能となる。
【図1】 VPNシステム構成を示す図である。
【図2】 この発明にかかるVPN管理装置の実施の形
態1の構成を示すブロック図である。
態1の構成を示すブロック図である。
【図3】 プロジェクト管理テーブルの記憶内容を例示
する図である。
する図である。
【図4】 異動情報欄に設定がなされた変更後のプロジ
ェクト管理テーブルの記憶内容を例示する図である。
ェクト管理テーブルの記憶内容を例示する図である。
【図5】 VPN装置管理テーブルの記憶内容を例示す
る図である。
る図である。
【図6】 トンネル定義テーブルの記憶内容を例示する
図である。
図である。
【図7】 トンネルマトリクステーブルの記憶内容を例
示する図である。
示する図である。
【図8】 トンネル定義テーブル作成の処理手順を示す
フローチャートである。
フローチャートである。
【図9】 トンネル定義の削除の処理手順を示すフロー
チャートである。
チャートである。
【図10】 トンネル定義の削除処理の際のトンネルマ
トリクステーブルの記憶内容を例示する図である。
トリクステーブルの記憶内容を例示する図である。
【図11】 トンネル定義の追加の処理手順を示すフロ
ーチャートである。
ーチャートである。
【図12】 トンネル定義の追加処理の際のトンネルマ
トリクステーブルの記憶内容を例示する図である。
トリクステーブルの記憶内容を例示する図である。
【図13】 この発明にかかるVPN管理装置の実施の
形態2の構成を示すブロック図である。
形態2の構成を示すブロック図である。
【図14】 実施の形態2のVPN管理装置のトポロジ
ー表示編集部によってグラフィカルに表示されるVPN
システムのトポロジーを示す図である。
ー表示編集部によってグラフィカルに表示されるVPN
システムのトポロジーを示す図である。
【図15】 この発明にかかるVPN管理装置の実施の
形態3の構成を示すブロック図である。
形態3の構成を示すブロック図である。
【図16】 この発明にかかるVPN管理装置の実施の
形態4の構成を示すブロック図である。
形態4の構成を示すブロック図である。
【図17】 実施の形態5のVPN管理装置が適用され
るVPNシステムを例示する図である。
るVPNシステムを例示する図である。
【図18】 この発明にかかるVPN管理装置の実施の
形態5の構成を示すブロック図である。
形態5の構成を示すブロック図である。
【図19】 VPN装置・ファイアウォール管理テーブ
ルの記憶内容を例示する図である。
ルの記憶内容を例示する図である。
【図20】 フィルタリング定義を説明するための図で
ある。
ある。
【図21】 フィルタリング定義テーブルの記憶内容を
例示する図である。
例示する図である。
【図22】 フィルタリング定義テーブル作成の処理手
順を示すフローチャートである。
順を示すフローチャートである。
【図23】 フィルタリングマトリクステーブルの記憶
内容を例示する図である。
内容を例示する図である。
【図24】 フィルタリング定義の削除の処理手順を示
すフローチャートである。
すフローチャートである。
【図25】 フィルタリング定義の削除処理の際のフィ
ルタリングマトリクステーブルの記憶内容を例示する図
である。
ルタリングマトリクステーブルの記憶内容を例示する図
である。
【図26】 フィルタリング定義の追加の処理手順を示
すフローチャートである。
すフローチャートである。
【図27】 フィルタリング定義の追加処理の際のフィ
ルタリングマトリクステーブルの記憶内容を例示する図
である。
ルタリングマトリクステーブルの記憶内容を例示する図
である。
【図28】 この発明にかかるVPN管理装置の実施の
形態6の構成を示すブロック図である。
形態6の構成を示すブロック図である。
【図29】 この発明にかかるVPN管理装置の実施の
形態7の構成を示すブロック図である。
形態7の構成を示すブロック図である。
10,11,12 サイト、31 プロジェクト管理フ
ァイル、32 VPN装置管理テーブル、33 トンネ
ル定義テーブル、34 トンネルマトリクステーブル、
35 トンネルマトリクス生成部、36 トンネル定義
削除部、37トンネル定義追加部、40 トポロジー表
示編集部、45 トンネル定義配信部、50 トンネル
定義編集部、60 VPN装置・ファイアウォール管理
テーブル、61 フィルタリング定義テーブル、62
フィルタリングマトリクステーブル、63 フィルタリ
ングマトリクス生成部、64 フィルタリング定義削除
部、65 フィルタリング定義追加部、70 フィルタ
リング定義配信部、80フィルタリング定義編集部、1
10〜115 ホスト、120〜122 VPN装置、
130〜132 VPN、150 ファイアウォール。
ァイル、32 VPN装置管理テーブル、33 トンネ
ル定義テーブル、34 トンネルマトリクステーブル、
35 トンネルマトリクス生成部、36 トンネル定義
削除部、37トンネル定義追加部、40 トポロジー表
示編集部、45 トンネル定義配信部、50 トンネル
定義編集部、60 VPN装置・ファイアウォール管理
テーブル、61 フィルタリング定義テーブル、62
フィルタリングマトリクステーブル、63 フィルタリ
ングマトリクス生成部、64 フィルタリング定義削除
部、65 フィルタリング定義追加部、70 フィルタ
リング定義配信部、80フィルタリング定義編集部、1
10〜115 ホスト、120〜122 VPN装置、
130〜132 VPN、150 ファイアウォール。
Claims (9)
- 【請求項1】 各サイトに含まれる複数のホストに関す
るVPN通信を各サイト毎に制御する複数のVPN装置
を管理するVPN管理装置において、 各サイトのプロジェクトメンバ情報、ホストアドレス情
報および各プロジェクトメンバについての異動情報を含
むプロジェクト情報が登録されるプロジェクト管理テー
ブルと、 各VPN装置のVPN構築情報が登録されるVPN装置
管理テーブルと、 各ホスト間の通信路毎のトンネル定義が登録されるトン
ネル定義テーブルと、 前記プロジェクト管理テーブルの登録プロジェクト情報
およびVPN装置管理テーブルの登録VPN構築情報に
基づいて前記トンネル定義を作成して、前記トンネル定
義テーブルに登録するトンネル定義作成手段と、 前記プロジェクト管理テーブルの変更に応じて前記作成
されたトンネル定義テーブルの登録内容を変更するトン
ネル定義変更手段と、 を備えることを特徴とするVPN管理装置。 - 【請求項2】 前記トンネル定義変更手段は、前記プロ
ジェクト管理テーブルの異動情報の変更に応じて前記ト
ンネル定義テーブルのトンネル定義を削除あるいは追加
することを特徴とする請求項1に記載のVPN管理装
置。 - 【請求項3】 前記プロジェクト管理テーブルおよびV
PN管理テーブルの記憶内容に基づいて、ホスト、VP
N装置、サイトについてのトポロジーをグラフィカルに
表示、編集するとともに、該グラフィカルに表示した結
果を前記プロジェクト管理テーブルおよびVPN装置管
理テーブルの登録内容に反映させるトポロジー表示編集
部をさらに備えることを特徴とする請求項1または2に
記載のVPN管理装置。 - 【請求項4】 前記生成あるいは変更されたトンネル定
義を各サイトのVPN装置に配信するトンネル定義配信
部をさらに備えることを特徴とする請求項1〜3の何れ
か一つに記載のVPN管理装置。 - 【請求項5】 前記トンネル定義に含まれる認証方式に
関する詳細定義を個々に編集するトンネル定義編集部を
さらに備えることを特徴とする請求項1〜4の何れか一
つに記載のVPN管理装置。 - 【請求項6】 各サイトに含まれる複数のホストに関す
るVPN通信を各サイト毎に制御する複数のVPN装置
と該VPN装置と前記ホスト間に介在されるファイアウ
ォールを管理するVPN管理装置において、 各サイトのプロジェクトメンバ情報、ホストアドレス情
報および各プロジェクトメンバについての異動情報を含
むプロジェクト情報が登録されるプロジェクト管理テー
ブルと、 各VPN装置のVPN構築情報および当該VPN装置に
接続されるファイアウォールの識別情報が登録されるV
PN装置・ファイアウォール管理テーブルと、 各ホスト間の通信路毎のトンネル定義が登録されるトン
ネル定義テーブルと、 各ホスト間の通信路毎のフィルタリング定義が登録され
るフィルタリング定義テーブルと、 前記プロジェクト管理テーブルの登録プロジェクト情報
およびVPN装置・ファイアウォール管理テーブルの登
録VPN構築情報に基づいて前記トンネル定義を作成し
て、前記トンネル定義テーブルに登録するトンネル定義
作成手段と、 前記プロジェクト管理テーブルの変更に応じて前記作成
されたトンネル定義テーブルの登録内容を変更するトン
ネル定義変更手段と、 前記プロジェクト管理テーブルの登録プロジェクト情報
およびVPN装置・ファイアウォール管理テーブルのフ
ァイアウォール識別情報に基づいて前記フィルタリング
定義を作成して、前記フィルタリング定義テーブルに登
録するフィルタリング定義作成手段と、 前記プロジェクト管理テーブルの変更に応じて前記作成
されたフィルタリング定義テーブルの登録内容を変更す
るフィルタリング定義変更手段と、 を備えることを特徴とするVPN管理装置。 - 【請求項7】 前記フィルタリング定義変更手段は、前
記プロジェクト管理テーブルの異動情報の変更に応じて
前記フィルタリング定義テーブルのフィルタリング定義
を削除あるいは追加することを特徴とする請求項6に記
載のVPN管理装置。 - 【請求項8】 前記生成あるいは変更されたフィルタリ
ング定義を各サイトのファイアウォールに配信するフィ
ルタリング定義配信部をさらに備えることを特徴とする
請求項6または7に記載のVPN管理装置。 - 【請求項9】 前記フィルタリング定義に含まれるプロ
トコル種別に関する詳細定義を個々に編集するフィルタ
リング定義編集部をさらに備えることを特徴とする請求
項6〜8の何れか一つに記載のVPN管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001292374A JP2003101569A (ja) | 2001-09-25 | 2001-09-25 | Vpn管理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001292374A JP2003101569A (ja) | 2001-09-25 | 2001-09-25 | Vpn管理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003101569A true JP2003101569A (ja) | 2003-04-04 |
Family
ID=19114350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001292374A Pending JP2003101569A (ja) | 2001-09-25 | 2001-09-25 | Vpn管理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2003101569A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005311704A (ja) * | 2004-04-21 | 2005-11-04 | Fuji Xerox Co Ltd | ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 |
JP2005341566A (ja) * | 2004-05-18 | 2005-12-08 | Marconi Intellectual Property (Ringfence) Inc | ネットワーク管理のサービスオブジェクト |
JP2009089062A (ja) * | 2007-09-28 | 2009-04-23 | Fuji Xerox Co Ltd | 仮想ネットワークシステム及び仮想ネットワーク接続装置 |
CN103684958A (zh) * | 2012-09-14 | 2014-03-26 | 中国电信股份有限公司 | 提供弹性vpn服务的方法、系统和vpn服务中心 |
WO2014156009A1 (ja) | 2013-03-26 | 2014-10-02 | Kddi株式会社 | 転送装置 |
JP2016531464A (ja) * | 2013-07-08 | 2016-10-06 | アルカテル−ルーセント | 通信ネットワークにおけるセキュアサービス管理 |
-
2001
- 2001-09-25 JP JP2001292374A patent/JP2003101569A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005311704A (ja) * | 2004-04-21 | 2005-11-04 | Fuji Xerox Co Ltd | ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 |
JP2005341566A (ja) * | 2004-05-18 | 2005-12-08 | Marconi Intellectual Property (Ringfence) Inc | ネットワーク管理のサービスオブジェクト |
JP2009089062A (ja) * | 2007-09-28 | 2009-04-23 | Fuji Xerox Co Ltd | 仮想ネットワークシステム及び仮想ネットワーク接続装置 |
CN103684958A (zh) * | 2012-09-14 | 2014-03-26 | 中国电信股份有限公司 | 提供弹性vpn服务的方法、系统和vpn服务中心 |
WO2014156009A1 (ja) | 2013-03-26 | 2014-10-02 | Kddi株式会社 | 転送装置 |
JP2016531464A (ja) * | 2013-07-08 | 2016-10-06 | アルカテル−ルーセント | 通信ネットワークにおけるセキュアサービス管理 |
US9825759B2 (en) | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101316219A (zh) | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 | |
RU2483454C2 (ru) | Разработка, тестирование и демонстрация решений автоматизации с использованием виртуальных компьютеров на основе web и vpn туннелирования | |
JP6048372B2 (ja) | 産業機器管理システム、産業機器管理サーバ、産業機器管理方法、プログラム、及び情報記憶媒体 | |
US20020126667A1 (en) | Packet relaying apparatus and relaying method | |
JP2003101569A (ja) | Vpn管理装置 | |
KR102142045B1 (ko) | 멀티 클라우드 환경에서의 서버 감사 시스템 | |
WO2021059353A1 (ja) | ネットワークシステム | |
JP4649465B2 (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
JP2009089062A (ja) | 仮想ネットワークシステム及び仮想ネットワーク接続装置 | |
JP2002261788A (ja) | ファイアウォール管理装置および方法 | |
WO2021059352A1 (ja) | 表示制御システム、表示方法、及びプログラム | |
EP2723016A1 (en) | Communication control device, communication control method, and program | |
CN101373480A (zh) | 一种基于gis电子地图互动操作的方法及其系统 | |
Cisco | Defining IPsec Networks and Customers | |
Cisco | Generating, Verifying, and Publishing Command Sets | |
JP2004229265A (ja) | インターネット接続システム | |
Cisco | Importing Your Configuration | |
Cisco | Configuring Policy Enforcement Points | |
Cisco | Representing Your Network | |
Cisco | Provisioning a CiscoSecure PIX Device in VPN Solutions Center | |
Cisco | IPSec Tunnels | |
Cisco | Basic Configuration | |
Cisco | Configuring Policy Enforcement Points | |
Cisco | Configuring Administrative Control Communications | |
JP2000194583A (ja) | 監視制御システム、および、そのプログラムが記録された記録媒体 |