JP2003140994A - ファイアウォール計算機システム - Google Patents

ファイアウォール計算機システム

Info

Publication number
JP2003140994A
JP2003140994A JP2001336155A JP2001336155A JP2003140994A JP 2003140994 A JP2003140994 A JP 2003140994A JP 2001336155 A JP2001336155 A JP 2001336155A JP 2001336155 A JP2001336155 A JP 2001336155A JP 2003140994 A JP2003140994 A JP 2003140994A
Authority
JP
Japan
Prior art keywords
firewall
server
network
computer
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001336155A
Other languages
English (en)
Inventor
Takeshi Miyao
宮尾  健
Yoshimitsu Namioka
良光 浪岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001336155A priority Critical patent/JP2003140994A/ja
Priority to US10/118,255 priority patent/US20030084334A1/en
Priority to US10/205,548 priority patent/US20030084348A1/en
Publication of JP2003140994A publication Critical patent/JP2003140994A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Abstract

(57)【要約】 【課題】本発明の目的は、ファイアウォールのセキュリ
ティ強度を低下させることなく1台の計算機でファイア
ウォールとサーバを動作させることができるファイアウ
ォール計算機システムを提供することにある。 【解決手段】1台の計算機に実装した第1のオペレーテ
ィングシステム301でファイアウォール401を、第
2のオペレーティングシステム302でサーバ501を
動作させると共にファイアウォール401にアクセス制
御ルール格納部411を設ける。サーバ501へのネッ
トワーク601からのアクセスデータをファイアウォー
ル401でデータ通信の許可/不許可を判定し、許可と
判定したアクセスデータをサーバ501に転送する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は1台の計算機に複数
のオペレーティングシステムを実装して切替えて動作さ
せ、ネットワークからのアクセス情報に対するセキュリ
ティを高めるファイアウォール計算機システムに関す
る。
【0002】
【従来の技術】一般に、計算機システムやネットワーク
システムにおいてアクセス制御を行う技術はファイアウ
ォールと呼称され実用に供されている。アクセス制御を
行うソフトウェアをファイアウォールと称し、また、フ
ァイアウォールが動作する計算機をファイアウォール計
算機と称する。
【0003】ファイアウォールは、技術的には計算機シ
ステムのオペレーティングシステムで動作しているとい
える。ファイアウォールはアクセス制御ルールを持ち、
そのルールに従い通信データの通過を許可/不許可に制
御している。また、アクセス制御ルールとしては送信先
の計算機システムのネットワークアドレスを元に通信デ
ータの通過許可/不許可を指定することが広く知られて
いる。
【0004】さて、ファイアウォールは、アクセス制御
を行うための専用装置であって、単一のファイアウォー
ル計算機システムでアプリケーションサーバ(サーバ)
を動作させることができないようになっている。そのた
め、サーバが動作する計算機とは別にファイアウォール
計算機を設置している。
【0005】例えば、特開2000−123097号公
報には、ファイアウォールを介するセキュアな取引を許
容するために、ファイアウォール計算機とサーバを別の
装置として実現することが記載されている。また、一般
の計算機でファイアウォールを動作させる場合には、当
該の計算機でサーバを動作させることは可能ではある
が、計算機で動作するオペレーティングシステムはファ
イアウォールとサーバで共用している。
【0006】
【発明が解決しようとする課題】従来技術は、1台の計
算機でファイアウォールとサーバを動作させるのにオペ
レーティングシステムを共用化している。ファイアウォ
ールとサーバを1台の計算機で実行しオペレーティング
システムを共用化すると、オペレーティングシステムの
機能である利用者管理や通信管理等をファイアウォール
とサーバとが共用することになる。
【0007】ファイアウォールの利用者管理や通信管理
等がサーバによる制約を受け、セキュリティ強度がサー
バのレベルに引きずられて低下するという問題点を有す
る。
【0008】本発明の目的は、ファイアウォールのセキ
ュリティ強度を低下させることなく1台の計算機でファ
イアウォールとサーバを動作させることができるファイ
アウォール計算機システムを提供することにある。
【0009】
【課題を解決するための手段】本発明の特徴とするとこ
ろは、1台の計算機に少なくとも第1と第2の2つのオ
ペレーティングシステムを実装して第1と第2のオペレ
ーティングシステムを切替えるようにし、第1のオペレ
ーティングシステムでファイアウォールを動作させ、第
2のオペレーティングシステムでサーバを動作させると
共にファイアウォールにアクセス制御ルールを設け、サ
ーバへのネットワークからのアクセスデータをファイア
ウォールがデータ通信の許可/不許可を判定し、許可と
判定したアクセスデータをサーバに転送するようにした
ことにある。
【0010】具体的には、ネットワークからのアクセス
データはファイアウォールに割込み処理させるように
し、ファイアウォールがデータ通信の許可/不許可を判
定して許可と判定したアクセスデータのみをサーバに転
送するようにする。
【0011】本発明はファイアウォールとサーバにオペ
レーティングシステムを独自に設けて、アクセスデータ
をファイアウォールで判定してサーバに転送しているの
でファイアウォールのセキュリティ強度を低下させるこ
となく1台の計算機でファイアウォールとサーバを動作
させることができる。
【0012】
【発明の実施の形態】図1に本発明の一実施例を示す。
図1は第1のオペレーティングシステム(以下、OS1
と記載する)でファイアウォールを動作させ、第2のオ
ペレーティングシステム(以下、OS2と記載する)で
サーバを動作させる例を示している。
【0013】図1は計算機システムの構成を示すもの
で、計算機ハードウェア101は、演算装置(プロセッ
サ)102、主記憶装置(主メモリ)103、およびネ
ットワークカード(入出力装置)104から構成されて
いる。
【0014】ネットワークカード104はアクセスデー
タを送信されてくるネットワーク601に接続されてい
る。計算機ハードウェア101は、OS1(301)と
OS2(302)を切替えるOS切替機能を有する制御
プログラム部201を備えている。
【0015】制御プログラム部201は、ネットワーク
カード104や他の周辺デバイスからの割込みをどの割
込処理プログラムで処理するかを登録するための割込登
録テーブル202、およびOS1(301)とOS2
(302)間でデータ転送を行う上での主メモリバッフ
ァ領域である転送用エリア203を有している。
【0016】OS1(301)とOS2(302)は、
それぞれネットワークカード制御プログラム部303−
1、303−2を持っている。割込登録テーブル202
にはOS1(301)のネットワークカード制御プログ
ラム303−1が割込先として登録されている。
【0017】OS1(301)上でファイアウォール4
01の処理が実行され、また、OS2(302)上でサ
ーバ501の処理が実行される。ファイアウォール40
1は、ネットワーク601から送信されてくるアクセス
データをサーバ501に通過させるかどうかを判定する
ためのアクセス制御ルールを格納したルール格納部41
1を有している。
【0018】計算機システム100はネットワーク60
1からアクセスデータを受信すると、ネットワークカー
ド104が制御プログラム部202に割込を発生する。
制御プログラム部201は、割込登録テーブル202に
従いOS1(301)のネットワークカード制御プログ
ラム部303−1を実行し、ネットワーク601からア
クセスデータを受信する。アクセスデータの受信は太線
701の経路で行われる。
【0019】この際、割込登録テーブル202に登録さ
れていないOS2(302)のネットワークカード制御
プログラム部303−2は実行されない。
【0020】OS1(301)のネットワークカード制
御プログラム部303−1は、ネットワーク601から
受信したアクセスデータをOS1(301)上で動作し
ているファイアウォール401に太線経路702で転送
する。ファイアウォール401は受信したアクセスデー
タとルール格納部411のアクセス制御ルールをもと
に、アクセスデータを通過させるかを判定する。
【0021】ファイアウォール401はアクセスデータ
の通過許可/不許可を判定し、許可の場合には制御プロ
グラム部201内の転送用エリア203を経由して、受
信待ちになっているサーバ501にアクセスデータを太
線経路703で転送する。
【0022】このようにすることにより、ネットワーク
601から計算機システム100が受信したアクセスデ
ータは、必ずファイアウォール401で判定してからサ
ーバ501に到達する。万一、不正なアクセスデータで
あった場合には、ファイアウォール401でアクセスデ
ータを破棄することができる。
【0023】図2に計算機ハードウェア101の一例構
成図を示す。図2において、システムバス108には、
割込制御装置109、主記憶装置103、アドレス変換
装置107、およびネットワークカード104が接続さ
れている。なお、システムバス108にはマウス、キー
ボードなどの周辺デバイスも接続されているが図示を省
略している。
【0024】演算装置102には、割込制御装置10
9、アドレス変換装置107および主記憶装置103の
アドレスを指示する2個のアドレスレジスタ105、1
06が接続されている。アドレスレジスタ105は主記
憶装置103における共通領域(メモリ領域)103−
1のアドレスを指示し、また、アドレスレジスタ106
は実行中のOSの先頭アドレスを指示する。OS1(3
01)とOS2(302)のOS切替えは、アドレスレ
ジスタ106の値を変更することにより実行する。
【0025】共通領域103−1には、制御プログラム
部201、割込登録テーブル202、および転送用エリ
ア203が設けられている。OS1(301)のメモリ
領域103−2には、OS1のプログラム301の他
に、ファイアウォール401、アクセス制御ルールのル
ール格納部411およびOS1のネットワークカード制
御プログラム部303−1が設けられている。
【0026】同様に、OS2のメモリ領域103−3に
は、OS2のプログラム302、サーバ501、および
OSのネットワークカード制御プログラム部303−2
が設けられている。割込登録テーブル202には、OS
1(301)のネットワークカード制御プログラム部3
03−1が登録されている。
【0027】図3にファイアウォール401の一例詳細
構成図を示す。図3において、ファイアウォール401
は、入力処理部402、出力処理部403、アクセス制
御処理部404、アクセス制御ルール格納部411およ
びアクセス制御ルール入力部405から構成される。
【0028】入力処理部402は、通常、アクセスデー
タの入力待ちの状態になっている。OS1(301)か
らのアクセスデータ受信の割込通知を受けると処理を開
始して図1に示す太線経路702からアクセスデータを
入力する。
【0029】アクセスデータのデータフォーマットの一
例を図4に示す。データフォーマット800には、送信
元計算機と送信先計算機のネットワークアドレスとポー
ト番号801,802および送信データ803とから構
成されている。ネットワークアドレスは計算機ごとに設
定されたネットワーク上の番地である。また、ポート番
号は1台の計算機が複数の種類のデータを受信するとき
の識別子である。
【0030】1台の計算機で種類の異なるアプリケーシ
ョンサーバが動作する場合に、それぞれのアプリケーシ
ョンサーバは異なるポート番号を用いてデータ通信する
ことにより互いに干渉しないようにしている。
【0031】図3に戻り、入力処理部402に入力され
たアクセスデータはアクセス制御処理部404に加えら
れる。アクセス制御処理部404は、受信データ(アク
セスデータ)の内容とアクセス制御ルール格納部411
に記述された転送の許可ルールあるいは転送の不許可ル
ールと照合し、当該受信データが転送許可か、転送不許
可かを判定する。
【0032】アクセス制御処理部404は転送不許可と
判定するとアクセスデータを廃棄する。一方、転送許可
の場合には、出力処理部403にアクセスデータを与
え、出力処理部403から転送すべき相手であるサーバ
501に経路703を介してアクセスデータを送信する
(702)。図1の実施例では、制御プログラム部20
1の転送用アリア203に一旦書込みを行いサーバ50
1にデータを送信するようにしている。
【0033】また、ファイアウォール401はアクセス
制御ルール入力部405を備えている。アクセス制御ル
ール入力部405はアクセス制御ルール格納部411に
記述されているアクセス制御ルールを変更する場合に、
変更したいアクセス制御ルールを後述する図9に示す書
込み専用のサーバ508から受信し、アクセス制御ルー
ル格納部411の内容を変更する。なお、アクセス制御
ルール入力部405がアクセス制御ルール格納部411
のルールを変更するときに、アクセス制御処理部404
からのアクセス制御ルールを参照できないように排他制
御処理を実行する。
【0034】図4にサーバの一例としてWebサーバの
構成を示す。図4において、サーバ501は、入出力処
理部502、サーバ処理部503、およびホームページ
情報格納部504から構成される。
【0035】サーバ501は、URL情報(アクセスデ
ータ)というホームページ情報を特定するための情報を
入出力処理部(502)で経路703から受信し、その
情報をサーバ処理部503に転送する。
【0036】サーバ処理部503はURL情報から該当
するホームページ情報格納部504を選択して取得し、
入出力処理部502を介して経路705からホームペー
ジ情報を送信する。ホームページ情報はファイアウォー
ル401、OS1(301)制御プログラム部201、
ネットワークカード104を介してネットワーク601
に送信される。つまり、ホームページ情報は、図1に示
す太線経路と逆の流れでネットワーク601に送信され
る。
【0037】図6にアクセス制御ルール格納部411に
格納されているアクセス制御ルールの一例を示す。
【0038】アクセス制御ルールは、エントリ412
と、送信元計算機および送信先計算機のネットワークア
ドレス413,415とポート番号414,416がデ
ータとして記述されている。
【0039】1つのエントリは1つの許可または不許可
のパターンを意味している。エントリの個数はルールの
数だけ存在する。図6は転送データの許可ルールを各エ
ントリに記述しており、換言すると、エントリに記述さ
れていないパターンはすべて不許可を意味している。例
えば、エントリ1は、ネットワークアドレス1の計算機
がポート番号1から送信したアクセスデータを、ネット
ワークアドレス4の計算機のポート番号4に送り届ける
ことを許可することを意味する。
【0040】また、ネットワークアドレス413やポー
ト番号414は特定の文字列を用いて複数の数値を表現
することが可能である。例えば、エントリ3の「*」は
全てのネットワークアドレスやポート番号を意味する。
例えば、エントリ3は、任意のネットワークアドレス4
13の計算機の任意のポート番号414から、ネットワ
ークアドレス4の計算機のポート番号4へのデータ送信
を許可することを意味する。
【0041】図7に制御プログラム部201の一例機能
ブロック図を示す。制御プログラム部201は、割込入
力部204、割込処理プログラム実行部205および割
込登録テーブル202から構成される。
【0042】割込入力部204は、ネットワークカード
104などのハードウェアからの割込みを受け付け、そ
の割込種別を判定するために割込番号206を入力デー
タとして受け取る。割込番号206は図2のシステムバ
ス108に接続されているネットワークやモニタなどの
周辺機器に対して予め設定されている。
【0043】割込登録テーブル202は、割込番号20
2−1と割込処理プログラムの先頭アドレス202−2
との対応付けをするためのテーブルで、例えば割込番号
1が入力された場合に、実行すべき割込処理プログラム
が1000番地のアドレスに格納されていることを示し
ている。
【0044】割込処理プログラム実行部205は、実際
に入力された割込番号206のエントリを割込登録テー
ブル202から探し出し、対応する割込処理プログラム
の先頭アドレス202−2から実行する。割込番号1が
入力された場合には、1000番地のアドレスにジャン
プして割込処理プログラム207が実行される。割込処
理プログラム207はネットワークカード制御プログラ
ム部303−1が実行する。
【0045】図8に図7に示した制御プログラム部20
1のフローチャートを示す。制御プログラム201は、
ネットワークカード104からの割込を割込入力部20
4で受付け、割込番号を入力する(ステップS1)。こ
れにより、どのハードウェアから割込みがあったかを判
定できる。
【0046】ステップS2に移行し、割込処理プログラ
ム実行部205は割込登録テーブル202を参照し、ど
の割込処理プログラムを実行すべきかを判別するため
に、入力された割込番号に対応する割込処理プログラム
のエントリを探し、その先頭アドレスを取り出す処理を
実行する。割込処理プログラム実行部205はステップ
S3において入力された割込番号に対応する割込処理プ
ログラムの先頭アドレスにジャンプし、ネットワークカ
ード制御プログラム部303−1が実際にプログラムを
実行する。
【0047】図1の実施例では、ネットワークカード1
04からの割込みを処理するプログラムとして、OS1
(301)のネットワークカード制御プログラム部30
3−1を登録しているため、ネットワーク601からの
アクセスデータは必ずOS1側で受信し、誤ってOS2
側に直接アクセスデータを転送することを確実に防止で
きる。
【0048】換言すると、ネットワーク601からのア
クセスデータは、必ずOS1(301)で動作するファ
イアウォール401が受信し、誤ってOS2(302)
で動作するサーバ501に、ファイアウォール401を
介さずにネットワーク601からアクセスデータが届く
ことはなくなる。
【0049】このようにしてネットワークからのアクセ
スデータを受信処理するのであるが、ファイアウォール
とサーバにオペレーティングシステムを独自に設け、ア
クセスデータをファイアウォールで判定してサーバに転
送しているのでファイアウォールのセキュリティ強度を
低下させることなく1台の計算機でファイアウォールと
サーバを動作させることができる。
【0050】図9に本発明の他の実施例を示す。図9の
実施例はファイアウォール401のアクセス制御ルール
をOS2(302)で動作するサーバから変更するよう
にしたものである。
【0051】図9において図1の実施例と異なるところ
は、計算機ハードウェア101にネットワーク602に
接続されているネットワークカード110を設け、書込
み専用のサーバ508にアクセス制御ルール格納部41
8を設けたことである。ネットワーク602は、アクセ
ス制御ルールを変更するために用いられるもので、セン
ターなどの計算機が接続されている。なお、図1のサー
バ501は図示が複雑になるので省略している。
【0052】図9の実施例においては、割込登録テーブ
ル202によってネットワーク601に接続されたネッ
トワークカード104にOS1(301)のネットワー
ク制御プログラム部303−1が対応づけられ、アクセ
ス制御ルール情報を入力するためのネットワーク602
に接続されたネットワークカード110にOS2(30
2)のネットワーク制御プログラム部303−2が対応
づけられている。
【0053】アクセス制御ルールを変更する場合には、
ネットワーク602からアクセス制御ルールの情報を割
込みにより経路706で入力しOS2(302)のネッ
トワークカード制御プログラム部303−2に入力す
る。ネットワークカード制御プログラム部303−2は
更新用アクセス制御ルールをサーバ508に経路707
を介して転送しアクセス制御ルール格納部418に一時
格納する。
【0054】更新用アクセス制御ルールを受信したサー
バ508はその内容の合理性チェックを行い、制御プロ
グラム部201の転送用エリア(203)を経由して、
ファイアウォール401のアクセス制御ルール格納部4
11を更新する。
【0055】図9の実施例においてもファイアウォール
のセキュリティ強度を低下させることなく1台の計算機
でファイアウォールとサーバを動作させることができ、
かつ、通常のデータ通信とは異なる安全な通信ルートを
用いてアクセス制御ルールを変更することが可能とな
る。
【0056】図10はサーバ508からアクセス制御ル
ールを変更するシーケンスを示している。
【0057】ネットワーク602はアクセス制御ルール
を変更する目的で設けられたもので、サーバ508はネ
ットワーク602を通して更新すべきアクセス制御ルー
ルを受信する(805)。サーバ508は更新用アクセ
ス制御ルールを受信すると、内容確認の合理性チェック
を実施し(806)、制御プログラム部201の転送用
エリア203にアクセス制御ルールを格納する(80
8)。
【0058】ファイアウォール401の図3に示すアク
セス制御ルール入力部405は、更新用アクセス制御ル
ールを受信する(810)と、アクセス制御ルールを更
新するために排他制御処理用のロックを取る(81
1)。これにより、アクセス制御ルールを更新中にデー
タが中途半端な状態のまま誤って通常データの通過可否
を判定するためのアクセス制御処理部404からのアク
セス制御ルール参照を阻止する。排他制御処理のロック
が取れない場合は、ロックが取れるまで待ち状態とな
る。
【0059】排他制御処理のロックが取れると、実際に
更新用アクセス制御ルールを反映する(812)。その
後、排他制御処理のロックを解除(813)して、更新
を終了する。このようにして、通常のサーバへのアクセ
スする経路とは別に、アクセス制御ルールを更新するた
めの安全な経路からルール更新が可能となる。
【0060】以上のようにしてネットワークからのアク
セスデータを受信処理するのであるが、ファイアウォー
ルとサーバにオペレーティングシステムを独自に設け、
アクセスデータをファイアウォールで判定してサーバに
転送しているのでファイアウォールのセキュリティ強度
を低下させることなく1台の計算機でファイアウォール
とサーバを動作させることができる。
【0061】また、アクセス制御ルールは通常のデータ
通信と異なる安全な通信ルートを用いて変更しているの
で、信頼性を向上させることができる。
【0062】なお、上述の実施例は1台の計算機で1つ
のファイアウォールを実行しているが、2つ以上のファ
イアウォールを実行することもできることは勿論のこと
である。
【0063】また、ファイアウォールとサーバの間のデ
ータ通信は、制御プログラムを介さずに直接行ってもよ
いことは明らかなことである。
【0064】
【発明の効果】本発明はファイアウォールとサーバにオ
ペレーティングシステムを独自に設け、アクセスデータ
をファイアウォールで判定してサーバに転送しているの
で、ファイアウォールのセキュリティ強度を低下させる
ことなく1台の計算機でファイアウォールとサーバを動
作させることができる。
【0065】また、アクセス制御ルールは通常のデータ
通信と異なる安全な通信ルートを用いて変更しているの
で、信頼性を向上させることができる。
【図面の簡単な説明】
【図1】 本発明の一実施例を示す構成図である。
【図2】 本発明の一実施例を示す計算機ハードウェア
の構成図である。
【図3】 ファイアウォールの一例を示す構成図であ
る。
【図4】 データフォマートの一例を示す図である。
【図5】 サーバの一例を示す構成図である。
【図6】 アクセス制御ルールの一例を示す図である。
【図7】 制御プログラム部の一例を示す機能ブロック
図である。
【図8】 制御プログラム部の動作を説明するためのフ
ローチャートである。
【図9】 本発明の他の実施例を示す構成図である。
【図10】 本発明の他の実施例の動作を説明するため
の処理シーケンスである。
【符号の説明】
100…計算機システム、101…計算機ハードウェ
ア、102…演算装置、103…主記憶装置、104…
ネットワークカード、105、106…アドレスレジス
タ、107…アドレス変換装置、108…システムバ
ス、109…割込制御装置、201…制御プログラム
部、202…割込登録テーブル、203…転送用エリ
ア、301、302…オペレーティングシステム、30
3…ネットワークカード制御プログラム部、401…フ
ァイアウォール、411…アクセス制御ルール格納部、
501…サーバ。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 浪岡 良光 茨城県日立市大みか町五丁目2番1号 株 式会社日立製作所情報制御システム事業部 内 Fターム(参考) 5B089 GA11 JA35 JB16 KA12 KA17 KB13 KC47 MC08

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにし、前
    記第1のオペレーティングシステムでファイアウォール
    を動作させ、前記第2のオペレーティングシステムでサ
    ーバを動作させると共に前記ファイアウォールにアクセ
    ス制御ルールを設け、前記サーバへのネットワークから
    のアクセスデータを前記ファイアウォールが前記アクセ
    ス制御ルールに従いデータ通信の許可/不許可を判定
    し、許可と判定したアクセスデータを前記サーバに転送
    するようにしたことを特徴とするファイアウォール計算
    機システム。
  2. 【請求項2】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにし、前
    記第1のオペレーティングシステムでファイアウォール
    を動作させ、前記第2のオペレーティングシステムでサ
    ーバを動作させると共に前記ファイアウォールにアクセ
    ス制御ルールを設け、ネットワークからのアクセスデー
    タを前記ファイアウォールにのみ割込処理させて前記フ
    ァイアウォールが前記アクセス制御ルールに従いデータ
    通信の許可/不許可を判定し、許可と判定したアクセス
    データを前記サーバに転送するようにしたことを特徴と
    するファイアウォール計算機システム。
  3. 【請求項3】1台の計算機に実装される第1と第2の2
    つのオペレーティングシステムを切替えるようにし、前
    記第1のオペレーティングシステムでファイアウォール
    を動作させ、前記第2のオペレーティングシステムでサ
    ーバを動作させると共に前記ファイアウォールにアクセ
    ス制御ルールを設け、ネットワークからのアクセスデー
    タは前記ファイアウォールに割込みを設定し、前記ネッ
    トワークからのアクセスデータを前記ファイアウォール
    に割込処理させて前記ファイアウォールが前記アクセス
    制御ルールに従いデータ通信の許可/不許可を判定し、
    許可と判定したアクセスデータを前記サーバに転送する
    ようにしたことを特徴とするファイアウォール計算機シ
    ステム。
  4. 【請求項4】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにした計
    算機システムであって、前記第1のオペレーティングシ
    ステムで動作し、アクセス制御ルールを設定されている
    ファイアウォール手段と、前記第2のオペレーティング
    システムで動作するサーバと、ネットワークからのアク
    セスデータを取込むネットワークカードと、前記ネット
    ワークからのアクセスデータを前記ファイアウォール手
    段が処理するように設定する制御プログラム手段とを具
    備し、前記ファイアウォールは前記サーバへの前記ネッ
    トワークからのアクセスデータを前記アクセス制御ルー
    ルに従いデータ通信の許可/不許可を判定し、許可と判
    定したアクセスデータを前記サーバに転送するようにし
    たことを特徴とするファイアウォール計算機システム。
  5. 【請求項5】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにしたマ
    ルチオペレーティングシステムの計算機システムであっ
    て、前記第1のオペレーティングシステムで動作し、ア
    クセス制御ルールを設定されているファイアウォール手
    段と、前記第2のオペレーティングシステムで動作する
    サーバと、ネットワークからのアクセスデータを取込む
    ネットワークカードと、前記ネットワークからの割込み
    を前記ファイアウォール手段に設定する制御プログラム
    手段とを具備し、前記ファイアウォールは前記サーバへ
    の前記ネットワークからのアクセスデータを前記アクセ
    ス制御ルールに従いデータ通信の許可/不許可を判定
    し、許可と判定したアクセスデータを前記サーバに転送
    するようにしたことを特徴とするファイアウォール計算
    機システム。
  6. 【請求項6】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにしたマ
    ルチオペレーティングシステムの計算機システムであっ
    て、前記第1のオペレーティングシステムで動作し、ア
    クセス制御ルールを設定されているファイアウォール手
    段と、前記第2のオペレーティングシステムで動作する
    サーバと、ネットワークからのアクセスデータを取込む
    ネットワークカードと、前記ネットワークからの割込み
    を前記ファイアウォール手段に設定する制御プログラム
    手段とを具備し、前記ファイアウォールは前記サーバへ
    の前記ネットワークからのアクセスデータを前記アクセ
    ス制御ルールに従いデータ通信の許可/不許可を判定
    し、許可と判定したアクセスデータを前記制御プログラ
    ム手段の転送用エリアを介して前記サーバに転送するよ
    うにしたことを特徴とするファイアウォール計算機シス
    テム。
  7. 【請求項7】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにし、前
    記第1のオペレーティングシステムでファイアウォール
    を動作させ、前記第2のオペレーティングシステムで第
    1のサーバを動作させると共に前記ファイアウォールに
    アクセス制御ルールを設け、第1のネットワークからの
    アクセスデータを前記ファイアウォールにのみ割込処理
    させ、第2のネットワークからの変更アクセス制御ルー
    ルを第2のサーバで取込み前記ファイアウォールのアク
    セス制御ルールを変更するようにし、前記ファイアウォ
    ールが前記アクセス制御ルールに従いデータ通信の許可
    /不許可を判定し、許可と判定したアクセスデータを前
    記サーバに転送するようにしたことを特徴とするファイ
    アウォール計算機システム。
  8. 【請求項8】1台の計算機に少なくとも第1と第2の2
    つのオペレーティングシステムを実装して前記第1と第
    2のオペレーティングシステムを切替えるようにしたマ
    ルチオペレーティングシステムの計算機システムであっ
    て、前記第1のオペレーティングシステムで動作し、ア
    クセス制御ルールを設定されているファイアウォール手
    段と、前記第2のオペレーティングシステムで動作する
    第1のサーバと、第1のネットワークからのアクセスデ
    ータを取込む第1のネットワークカードと、第2のネッ
    トワークからの変更アクセス制御ルールを取込む第1の
    ネットワークカードと、前記変更アクセス制御ルールを
    取込み前記ファイアウォールのアクセス制御ルールを変
    更する第2のサーバと、前記第1のネットワークからの
    割込みを前記ファイアウォール手段に設定すると共に前
    記第2のネットワークからの割込みを前記サーバに設定
    する制御プログラム手段とを具備し、前記ファイアウォ
    ールは前記第1のサーバへの前記第1のネットワークか
    らのアクセスデータを前記アクセス制御ルールに従いデ
    ータ通信の許可/不許可を判定し、許可と判定したアク
    セスデータを前記第1のサーバに転送するようにしたこ
    とを特徴とするファイアウォール計算機システム。
JP2001336155A 2001-11-01 2001-11-01 ファイアウォール計算機システム Pending JP2003140994A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001336155A JP2003140994A (ja) 2001-11-01 2001-11-01 ファイアウォール計算機システム
US10/118,255 US20030084334A1 (en) 2001-11-01 2002-04-09 Firewall computer system
US10/205,548 US20030084348A1 (en) 2001-11-01 2002-07-26 Firewall computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001336155A JP2003140994A (ja) 2001-11-01 2001-11-01 ファイアウォール計算機システム

Publications (1)

Publication Number Publication Date
JP2003140994A true JP2003140994A (ja) 2003-05-16

Family

ID=19151027

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001336155A Pending JP2003140994A (ja) 2001-11-01 2001-11-01 ファイアウォール計算機システム

Country Status (2)

Country Link
US (2) US20030084334A1 (ja)
JP (1) JP2003140994A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009536405A (ja) * 2006-05-05 2009-10-08 マイクロソフト コーポレーション 分散型ファイアウォールの実装および制御

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7260833B1 (en) * 2003-07-18 2007-08-21 The United States Of America As Represented By The Secretary Of The Navy One-way network transmission interface unit
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US8909799B2 (en) * 2006-07-13 2014-12-09 International Business Machines Corporation File system firewall
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8997091B1 (en) * 2007-01-31 2015-03-31 Emc Corporation Techniques for compliance testing
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
US8266685B2 (en) * 2007-05-18 2012-09-11 Microsoft Corporation Firewall installer
US8474037B2 (en) * 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
CN102045361A (zh) * 2010-12-30 2011-05-04 中兴通讯股份有限公司 一种网络安全处理方法及无线通信装置
US8966068B2 (en) * 2013-01-15 2015-02-24 International Business Machines Corporation Selective logging of network requests based on subsets of the program that were executed
CN106612362A (zh) * 2015-10-21 2017-05-03 中兴通讯股份有限公司 一种终端及数据传输方法和装置
CN108011913B (zh) * 2016-12-29 2021-08-20 北京车和家信息技术有限责任公司 数据传输方法、车机显示装置、车辆多媒体设备及系统
CN110851055A (zh) * 2019-11-08 2020-02-28 北京云迹科技有限公司 一种切换显示的机器人、方法、终端设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035850B2 (en) * 2000-03-22 2006-04-25 Hitachi, Ltd. Access control system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009536405A (ja) * 2006-05-05 2009-10-08 マイクロソフト コーポレーション 分散型ファイアウォールの実装および制御

Also Published As

Publication number Publication date
US20030084348A1 (en) 2003-05-01
US20030084334A1 (en) 2003-05-01

Similar Documents

Publication Publication Date Title
JP2003140994A (ja) ファイアウォール計算機システム
US7444681B2 (en) Security measures in a partitionable computing system
JP4639091B2 (ja) 区画可能計算システムにおけるセキュリティ対策
JP2022065090A (ja) 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス
KR102204501B1 (ko) 인터럽트 핸들링 방법 및 장치
US20200314067A1 (en) Client-only virtual private network
US8955062B2 (en) Method and system for permitting access to resources based on instructions of a code tagged with an identifier assigned to a domain
WO2006134691A1 (ja) 情報処理装置、復旧装置、プログラム及び復旧方法
US9178884B2 (en) Enabling access to remote entities in access controlled networks
US11405237B2 (en) Unencrypted client-only virtual private network
JP2004501565A (ja) ファイバーチャンネルスイッチファブリック用のハードウェア拡張型ループレベルハードゾーニング
CN108647513A (zh) 一种基于TrustZone的共享库安全隔离方法及系统
KR20170044685A (ko) 보안 인터렉션 방법 및 장치
US20080244723A1 (en) Firewall Restriction Using Manifest
JP2006127205A (ja) 計算機および計算機におけるアクセス制御方法
US20080178261A1 (en) Information processing apparatus
CN105335227B (zh) 一种节点内的数据处理方法、装置和系统
US6918044B1 (en) Password protection for high reliability computer systems
US6467049B1 (en) Method and apparatus for configuration in multi processing engine computer systems
US20050154901A1 (en) Security measures in a partitionable computing system
US20050154881A1 (en) Security measures in a partitionable computing system
CN114338193A (zh) 一种流量编排方法、装置及ovn流量编排系统
US20050154910A1 (en) Security measures in a partitionable computing system
US20050152331A1 (en) Security measures in a partitionable computing system
US20050198461A1 (en) Security measures in a partitionable computing system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070612