JP2003244247A - Packet filter distribution method and distributed packet filter system - Google Patents
Packet filter distribution method and distributed packet filter systemInfo
- Publication number
- JP2003244247A JP2003244247A JP2002038916A JP2002038916A JP2003244247A JP 2003244247 A JP2003244247 A JP 2003244247A JP 2002038916 A JP2002038916 A JP 2002038916A JP 2002038916 A JP2002038916 A JP 2002038916A JP 2003244247 A JP2003244247 A JP 2003244247A
- Authority
- JP
- Japan
- Prior art keywords
- filter
- external
- internal
- network
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、自ら管理するネッ
トワークをインタネットなどの外部のネットワーク(以
下、「外部ネットワーク」とする。)に接続する際に、
自ら管理するネットワークのセキュリティを確保する、
パケットフィルタ分散方法及び分散化パケットフィルタ
システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to connecting a network managed by itself to an external network such as the Internet (hereinafter referred to as "external network").
Ensuring the security of the network it manages,
The present invention relates to a packet filter distribution method and a distributed packet filter system.
【0002】[0002]
【従来の技術】従来、ネットワークのセキュリティを確
保する為に、いわゆるファイヤウォールを設けるのが一
般的であって、このファイヤウォールを実現する為に、
パケットフィルタと呼ばれる機能がある。2. Description of the Related Art Conventionally, it is general to provide a so-called firewall in order to ensure the security of a network. In order to realize this firewall,
There is a function called a packet filter.
【0003】このパケットフィルタは、通信パケットの
内容を利用者が予め設定した規則に基いて、通信パケッ
トを通過させるか否かを決定する機能を持つ。その際、
決定の判断に用いられるパケットの内容としては、通信
パケットの送信元アドレス、送信先アドレス、プロトコ
ール、送信元ポート番号、送信先ポート番号、パケット
のペイロードなどがある。This packet filter has a function of deciding whether or not to allow the communication packet to pass, based on a rule preset by the user for the contents of the communication packet. that time,
The contents of the packet used for the determination include the transmission source address, the transmission destination address, the protocol, the transmission source port number, the transmission destination port number, and the packet payload.
【0004】かかるパケットフィルタは、各通信パケッ
ト毎にフィルタ規則を適用する為、通信システムとして
は比較的負荷の重い処理となる。従来は、外部ネットワ
ークとの接続の帯域が狭かった故に、このパケットフィ
ルタを外部ネットワークとの接続点に集中して設けたと
しても、特に問題とならなかった。Since such a packet filter applies a filter rule to each communication packet, it is a relatively heavy load process for the communication system. Conventionally, since the band of connection with the external network was narrow, there was no particular problem even if these packet filters were concentrated at the connection points with the external network.
【0005】[0005]
【発明が解決しようとする課題】ところが、最近は外部
ネットワークとの接続の高広帯域化、ネットワークセキ
ュリティに対する脅威の増加、それに伴うフィルタ規則
の高度化、新たな用途に伴うフィルタ規則の動的な変更
といった、パケットフィルタに非常に高い性能が、内部
からのセキュリティに対する脅威への対策の必要性にも
鑑み要求されるに至っている。Recently, however, the connection with an external network has a high bandwidth, the threat to the network security has increased, the filter rules have become more sophisticated, and the filter rules have been dynamically changed in accordance with a new application. Such extremely high performance of the packet filter has been demanded in view of the need for countermeasures against internal threats to security.
【0006】ここにおいて、本発明の解決すべき主要な
目的は以下の通りである。本発明の第1の目的は、フィ
ルタ規則の増加、動的変更に対処できる、パケットフィ
ルタ分散方法及び分散化パケットフィルタシステムを提
供することにある。Here, the main objects to be solved by the present invention are as follows. A first object of the present invention is to provide a packet filter distribution method and a distributed packet filter system that can deal with an increase in filter rules and dynamic changes.
【0007】本発明の第2の目的は、外部ネットワーク
との接続の帯域が高帯域でも使用に耐え得る、パケット
フィルタ分散方法及び分散化パケットフィルタシステム
を提供することにある。A second object of the present invention is to provide a packet filter distribution method and a distributed packet filter system that can withstand use even when the band of connection with an external network is high.
【0008】本発明の第3の目的は、パケットフィルタ
の高性能要求を満足しうる、パケットフィルタ分散方法
及び分散化パケットフィルタシステムを提供することに
ある。A third object of the present invention is to provide a packet filter distribution method and a distributed packet filter system which can satisfy the high performance requirements of packet filters.
【0009】本発明の第4の目的は、ネットワーク内部
からのセキュリティ脅威に対して対応しうる、パケット
フィルタ分散方法及び分散化パケットフィルタシステム
を提供することにある。A fourth object of the present invention is to provide a packet filter distribution method and a distributed packet filter system capable of coping with security threats from inside the network.
【0010】本発明の他の目的は、明細書、図面、特に
特許請求の範囲における各請求項の記載から自ずと明ら
かとなろう。Other objects of the present invention will be apparent from the description, drawings, and particularly the description of each claim in the claims.
【0011】[0011]
【課題を解決するための手段】本発明方法は、上記課題
の解決に当たり、外部ネットワークにネットワークを接
続する場合にセキュリティを確保するパケットフィルタ
における負荷低減の為に、パケットフィルタを当該ネッ
トワークに分散して、負荷の重いフィルタ規則について
は、当該外部ネットワークへの接続点に設けた外部フィ
ルタではなく、当該ネットワーク内の各内部フィルタに
担当させ、当該外部フィルタ及び当該内部フィルタ其々
集中制御を行う、という特徴的構成手法を講じる。In order to solve the above-mentioned problems, the method of the present invention distributes packet filters to the network in order to reduce the load on the packet filter that ensures security when connecting the network to an external network. For a heavy load filter rule, not the external filter provided at the connection point to the external network, but the internal filters in the network are in charge, and the external filter and the internal filter are individually controlled. Take the characteristic construction method.
【0012】本発明システムは、上記課題の解決に当た
り、外部ネットワークとの一以上の接続点で接続される
ネットワークにおいて、当該接続点に設置される外部フ
ィルタと、一以上のサブネットにそれぞれ設けられた各
内部フィルタとに対して、当該ネットワークのパケット
フィルタにおける負荷を分散させ、負荷の重いフィルタ
規則については、各内部フィルタに担当させる様に、当
該内部フィルタ及び当該外部フィルタを集中制御するフ
ィルタ管理サーバを具備した、という特徴的構成手段を
講じる。In order to solve the above problems, the system of the present invention is provided in an external filter installed at the connection point and one or more subnets in a network connected to the external network at one or more connection points. A filter management server that centrally controls the internal filter and the external filter so that the load of the packet filter of the network is distributed to each internal filter, and the heavy load filter rule is assigned to each internal filter. The characteristic construction means that "is equipped" is taken.
【0013】更に、具体的詳細に述べると、当該課題の
解決では、本発明が次に列挙する新規な特徴的構成手法
又は手段を採用することにより、上記目的を達成するよ
うに為される。More specifically, in order to solve the problem, the present invention adopts the following novel characteristic construction method or means to achieve the above object.
【0014】本発明方法の第1の特徴は、外部ネットワ
ークにネットワークを接続する場合にセキュリティを確
保するパケットフィルタにおける負荷低減の為に、パケ
ットフィルタを当該ネットワークに分散して、負荷の重
いフィルタ規則については、当該外部ネットワークへの
接続点に設けた外部フィルタではなく、当該ネットワー
ク内の各内部フィルタに担当させ、当該外部フィルタ及
び当該内部フィルタ其々集中制御を行ってなる、パケッ
トフィルタ分散方法の構成採用にある。The first feature of the method of the present invention is that in order to reduce the load in the packet filter which secures the security when connecting the network to the external network, the packet filter is distributed to the network and the filter rule with heavy load is used. For the packet filter distribution method, the internal filter in the network is in charge of the external filter, not the external filter provided at the connection point to the external network, and the external filter and the internal filter are centrally controlled. It is in composition adoption.
【0015】本発明方法の第2の特徴は、上記本発明方
法の第1の特徴における前記集中制御が、各ポリシに対
して、当該ポリシが前記外部フィルタへの適用条件を満
たしかつ当該外部フィルタにて実現できれば、優先的に
当該外部フィルタに対してフィルタ規則を生成して設定
制御してなる、パケットフィルタ分散方法の構成採用に
ある。A second feature of the method of the present invention is that the centralized control in the first feature of the method of the present invention is such that, for each policy, the policy satisfies the conditions for applying to the external filter and the external filter. If it can be realized in, the packet filter distribution method is configured to preferentially generate a filter rule for the external filter and control the setting.
【0016】本発明方法の第3の特徴は、上記本発明方
法の第2の特徴における前記集中制御が、前記外部フィ
ルタへの適用条件を満たしても、当該外部フィルタにて
実現できず、内部フィルタにて実現できれば、当該内部
フィルタに対してフィルタ規則を生成し設定制御してな
る、パケットフィルタ分散方法の構成採用にある。A third feature of the method of the present invention is that the centralized control in the second feature of the method of the present invention cannot be realized by the external filter even if the conditions for applying to the external filter are satisfied. If it can be realized by a filter, the configuration adopts a packet filter distribution method that generates a filter rule for the internal filter and controls the setting.
【0017】本発明方法の第4の特徴は、上記本発明方
法の第2又は第3の特徴における前記外部フィルタへの
適用条件が、前記ポリシが状態を持たないこと、ネット
ワーク内部/外部に関するポリシであること、及びネッ
トワーク全体に適用されることを全て満たすことであ
る、パケットフィルタ分散方法の構成採用にある。A fourth feature of the method of the present invention is that the conditions for applying to the external filter in the second or third feature of the method of the present invention are that the policy has no state, and the policy regarding the inside / outside of the network. And satisfying all that is applied to the entire network.
【0018】本発明方法の第5の特徴は、上記本発明方
法の第2、第3又は第4の特徴における前記集中制御
が、前記外部フィルタへの適用条件を満たさない場合に
は、先ず、前記ポリシより対象となる内部フィルタをリ
ストアップした後に、当該リストアップした当該各内部
フィルタに対して、該当内部フィルタにて前記ポリシが
実現可能であれば、当該該当内部フィルタ用のフィルタ
規則を生成して設定制御を行い、該当内部フィルタにて
前記ポリシが実現不能で、かつ外部フィルタにて実現可
能であれば、当該外部フィルタ用のフィルタ規則を生成
して設定制御を行ってなる、パケットフィルタ分散方法
の構成採用にある。A fifth feature of the method of the present invention is that when the centralized control in the second, third or fourth feature of the above-mentioned method of the present invention does not satisfy the application condition to the external filter, first, After listing the target internal filters from the policy, for each listed internal filter, if the policy can be realized by the applicable internal filter, generate a filter rule for the applicable internal filter. Then, if the policy cannot be realized by the corresponding internal filter and can be realized by the external filter, the filter rule for the external filter is generated and the setting control is performed. The adoption of the configuration of the distribution method.
【0019】本発明方法の第6の特徴は、上記本発明方
法の第1、第2、第3、第4又は第5の特徴における前
記集中制御が、外部サーバからフィルタ規則の変更要求
があると、当該変更要求が全てのポリシに矛盾しない場
合に限り、当該変更要求に係るフィルタ規則を生成し、
各フィルタに設定することにより、動的なフィルタ規則
変更に対処してなる、パケットフィルタ分散方法の構成
採用にある。A sixth feature of the method of the present invention is that the centralized control in the first, second, third, fourth or fifth feature of the method of the present invention requires a change of a filter rule from an external server. And, if the change request does not conflict with all policies, generate the filter rule for the change request,
The packet filter distribution method is configured to deal with dynamic filter rule changes by setting each filter.
【0020】本発明システムの第1の特徴は、外部ネッ
トワークとの一以上の接続点で接続されるネットワーク
において、当該接続点に設置される外部フィルタと、一
以上のサブネットにそれぞれ設けられた各内部フィルタ
とに対して、当該ネットワークのパケットフィルタにお
ける負荷を分散させ、負荷の重いフィルタ規則について
は、各内部フィルタに担当させる様に、当該内部フィル
タ及び当該外部フィルタを集中制御するフィルタ管理サ
ーバとを、具備してなる、分散化パケットフィルタシス
テムの構成採用にある。The first feature of the system of the present invention is that, in a network connected to one or more connection points with an external network, an external filter installed at the connection point and each provided in one or more subnets. A filter management server that centrally controls the internal filter and the external filter so that the load of the packet filter of the network is distributed with respect to the internal filter, and each filter has a heavy load. In the adoption of the configuration of the distributed packet filter system, which comprises
【0021】本発明システムの第2の特徴は、上記本発
明システムの第1の特徴における前記フィルタ管理サー
バが、各ポリシに対して、前記外部フィルタへの適用条
件を満たせば、そのポリシが、当該外部フィルタにて実
現できれば、外部フィルタ用フィルタ規則を生成して当
該外部フィルタに設定する一方で、実現できずに前記内
部フィルタにて実現できれば、内部フィルタ用フィルタ
規則を生成して当該内部フィルタに設定すると共に、前
記外部フィルタへの適用条件を満たさなければ、そのポ
リシより対象となる前記内部フィルタをリストアップし
て、当該リストアップした当該各内部フィルタに対し
て、その内部フィルタにてポリシが実現可能であれば、
その内部フィルタ用のフィルタ規則を生成してその内部
フィルタに設定する一方で、実現できずに前記外部フィ
ルタにてそのポリシを実現可能であれば、外部フィルタ
用フィルタ規則を生成して、当該外部フィルタに設定す
る、以上のフィルタ設定処理を行うプログラムを格納し
てなる、分散化パケットフィルタシステムの構成採用に
ある。A second feature of the system of the present invention is that, if the filter management server in the first feature of the system of the present invention satisfies the conditions for applying to the external filter for each policy, the policy is If it can be realized by the external filter, a filter rule for the external filter is generated and set in the external filter. On the other hand, if it cannot be realized by the internal filter, a filter rule for the internal filter is generated and the internal filter is generated. If the conditions for applying to the external filter are not satisfied, the internal filters targeted by the policy are listed, and for each internal filter listed, the internal filter policy is set. Is feasible,
While generating a filter rule for the internal filter and setting it in the internal filter, if it cannot be realized and the policy can be realized by the external filter, the filter rule for the external filter is generated and the external filter The configuration of a decentralized packet filter system is configured to store a program for setting the filter and performing the above filter setting processing.
【0022】本発明システムの第3の特徴は、上記本発
明システムの第2の特徴における前記外部フィルタへの
適用条件が、前記ポリシは状態を持たないこと、ネット
ワーク内部/外部に関するポリシであること、及びネッ
トワーク全体に適用されることの何れも充足することで
ある、分散化パケットフィルタシステムの構成採用にあ
る。A third feature of the system of the present invention is that the conditions applied to the external filter in the second feature of the system of the present invention are that the policy has no state and that the policy is internal / external to the network. , And is applied to the entire network, which is to satisfy the requirements of the distributed packet filter system.
【0023】本発明システムの第4の特徴は、上記本発
明システムの第1、第2又は第3の特徴における前記フ
ィルタ管理サーバが、前記外部サーバより、フィルタ操
作の要求を受けると、当該受けた要求が全てのポリシと
矛盾しなければ、そのフィルタ操作の要求に係るフィル
タ規則を生成し、各フィルタに当該生成したフィルタ規
則を設定する、以上の動的なフィルタ規則変更を行うフ
ィルタ規則変更プログラムを格納してなる、分散化パケ
ットフィルタシステムの構成採用にある。A fourth feature of the system of the present invention is that when the filter management server in the first, second or third feature of the system of the present invention receives a request for filter operation from the external server, the reception If the specified request does not conflict with all policies, create a filter rule related to the request for the filter operation, set the created filter rule in each filter, and perform the above dynamic filter rule change Filter rule change This is in adopting the configuration of a distributed packet filter system that stores programs.
【0024】本発明システムの第5の特徴は、上記本発
明システムの第1、第2、第3又は第4の特徴における
前記ネットワークが、当該ネットワークの幹線に前記内
部フィルタを介在して各サブネットを配置するか、又は
当該ネットワークの幹線に対して多段に、前記内部フィ
ルタを介在して各サブネットを配置するかの何れかであ
る、分散化パケットフィルタシステムの構成採用にあ
る。A fifth feature of the system of the present invention is that the network according to the first, second, third or fourth feature of the system of the present invention uses each internal subnet on the trunk line of the network via the internal filter. Is arranged, or each subnet is arranged in multiple stages with respect to the main line of the network with the internal filter interposed, in the configuration adoption of the distributed packet filter system.
【0025】本発明システムの第6の特徴は、上記本発
明システムの第1、第2、第3、第4又は第5の特徴に
おける前記内部フィルタが、前記各サブネット一つに対
応して設置されるか、又は複数のサブネットに対応して
設置することを許容するかの何れかである、分散化パケ
ットフィルタシステムの構成採用にある。A sixth feature of the system of the present invention is that the internal filter in the first, second, third, fourth or fifth feature of the system of the present invention is installed corresponding to each of the subnets. It is either adopted or permitted to be installed corresponding to a plurality of subnets.
【0026】[0026]
【発明の実施の形態】以下、本発明の実施形態をシステ
ム例、方法例として、該当図面を参照して説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below as system examples and method examples with reference to the relevant drawings.
【0027】(システム例)図1は、本発明の一実施形
態である分散化パケットフィルタシステムの概念構成図
である。図中、1は外部ネットワーク、2は外部フィル
タ、3はサブネット、4はバックボーン(幹線)、5は
内部フィルタ、6はフィルタ管理サーバ、7は外部サー
バ(認証サーバなど)である。(System Example) FIG. 1 is a conceptual configuration diagram of a distributed packet filter system which is an embodiment of the present invention. In the figure, 1 is an external network, 2 is an external filter, 3 is a subnet, 4 is a backbone (main line), 5 is an internal filter, 6 is a filter management server, and 7 is an external server (authentication server or the like).
【0028】本システム例は、ネットワークを構成する
各部分にフィルタを分散させることにより、各フィルタ
の負荷分散を図ることをもって、負荷に対するスケーラ
ビリティを確保することを基調とし、図1の概念構成図
はその一例である。The present system example is based on ensuring the scalability with respect to the load by distributing the load of each filter by distributing the filter to each part constituting the network. This is an example.
【0029】外部ネットワーク1への接続点に設けるフ
ィルタを外部フィルタ2とし、各サブネット3は、ネッ
トワーク内部の幹線であるバックボーン4に直接設ける
か、又は他のサブネット3を介して接続している。そし
て、サブネット3の接続点には、内部フィルタ5と呼ぶ
フィルタを設ける。尚、図1においては、内部フィルタ
5は主にサブネット3毎に設けることにしているもの
の、複数のサブネット3を一つの内部フィルタで扱うこ
とを排除するものではない。A filter provided at a connection point to the external network 1 is an external filter 2, and each subnet 3 is directly provided on a backbone 4 which is a trunk line inside the network or is connected via another subnet 3. Then, a filter called an internal filter 5 is provided at the connection point of the subnet 3. Although the internal filter 5 is mainly provided for each subnet 3 in FIG. 1, it is not excluded to handle a plurality of subnets 3 by one internal filter.
【0030】ところで、各フィルタの規則は、フィルタ
管理サーバ6により集中管理される。フィルタ管理サー
バ6は、ネットワーク管理者が記述したポリシ(ネット
ワークポリシ)を、各フィルタ2、5に対するフィルタ
規則に変換し、各フィルタ2、5に設定するものであ
る。By the way, the rules of each filter are centrally managed by the filter management server 6. The filter management server 6 converts a policy (network policy) described by a network administrator into a filter rule for each of the filters 2 and 5, and sets the filter rule in each of the filters 2 and 5.
【0031】また、動的にフィルタ規則を変更した場合
においては、認証サーバなどの外部サーバ7よりその要
求を受け付け、ネットワーク管理者が設定したポリシに
違反しないことを確認した上で、各フィルタ2、5の設
定を変更する。動的にフィルタ規則を変更したいサーバ
(外部サーバ7)の例としては、IPsecと連動する
認証サーバ、VoIPのSIP proxy、侵入検知
システム(IDS)などを挙げることができる。When the filter rule is dynamically changed, the request is accepted from the external server 7 such as the authentication server, and it is confirmed that the policy set by the network administrator is not violated. Change the setting of 5. Examples of the server (external server 7) whose filter rule is to be dynamically changed include an authentication server that works with IPsec, a SIP proxy of VoIP, and an intrusion detection system (IDS).
【0032】フィルタ管理サーバ6がセキュリティポリ
シより外部フィルタ2及び内部フィルタ5を設定する為
に、フィルタ管理サーバ6には、パケットフィルタ分散
プログラムが格納されている。A packet filter distribution program is stored in the filter management server 6 so that the filter management server 6 sets the external filter 2 and the internal filter 5 according to the security policy.
【0033】図2乃至図4は、フィルタ管理サーバ6に
格納されたパケットフィルタ分散プログラムが実行され
ることより、フィルタ管理サーバ6の動作を示したもの
であり、図2(a)はフィルタ設定動作を、(b)は動
的なフィルタ規則変更動作を、それぞれ擬似コードで示
したものであり、また図3、図4は、それぞれ、図2の
(a)、(b)をフローチャート化したものである。2 to 4 show the operation of the filter management server 6 by executing the packet filter distribution program stored in the filter management server 6, and FIG. 2 (a) shows the filter setting. The operation, (b), shows the dynamic filter rule changing operation in pseudo code, and FIGS. 3 and 4 show (a) and (b) of FIG. 2 as a flow chart, respectively. It is a thing.
【0034】フィルタ設定は、図2(a)、図3の如
く、メインプログラムとしては、ポリシは状態を持たな
いこと、ネットワーク内部/外部に関するポリシである
こと及びネットワーク全体に適用されることという外部
フィルタへの適用条件をクリアされれば(ST1でYe
s)、外部フィルタ2への適用(ST2)、そうでなけ
れば内部フィルタ5への適用(ST3)の各サブルーチ
ンに移行する、というものである。As shown in FIGS. 2 (a) and 3, the filter setting is such that the main program has no state, the policy is internal / external network policy, and is applied to the entire network. If the conditions applied to the filter are cleared (Yes in ST1)
s), application to the external filter 2 (ST2), and if not, the process proceeds to each subroutine of application to the internal filter 5 (ST3).
【0035】その外部フィルタ2への適用サブルーチン
(ST2)は、ポリシが外部フィルタ2にて実現可能で
あれば(ST2−1でYes)、外部フィルタ2用のフ
ィルタ規則を生成して外部フィルタ2に設定し(ST2
−2、ST2−3)、そうでなければ(ST2−1でN
o)、ポリシが内部フィルタ5で実現可能であれば(S
T2−4でYes)、内部フィルタ5用のフィルタ規則
を生成して内部フィルタ5に設定する(ST2−5、S
T2−6)、というものである。If the policy can be realized by the external filter 2 (Yes in ST2-1), the application subroutine (ST2) to the external filter 2 generates a filter rule for the external filter 2 to generate the external filter 2. Set to (ST2
-2, ST2-3), otherwise (N in ST2-1)
o), if the policy can be realized by the internal filter 5 (S
Yes in T2-4), a filter rule for the internal filter 5 is generated and set in the internal filter 5 (ST2-5, S).
T2-6).
【0036】その内部フィルタ5への適用サブルーチン
(ST3)は、ポリシより対象となる内部フィルタ5を
リストアップし(ST3−1)、そのリスト中の各フィ
ルタに対して(ST3−2)、その内部フィルタ5にて
ポリシを実現できれば(ST3−21でYes)、その
内部フィルタ5用フィルタ規則を生成してそれに設定し
(ST3−22、ST3−23)、そうでなく(ST3
−21でNo)、外部フィルタ2にてポリシを実現でき
れば(ST3−24でYes)、外部フィルタ2用のフ
ィルタ規則を生成してそれに設定する(ST3−25、
ST3−26)、というものである。The sub-routine (ST3) to be applied to the internal filter 5 lists the internal filter 5 to be targeted from the policy (ST3-1), and for each filter in the list (ST3-2), If the policy can be realized by the internal filter 5 (Yes in ST3-21), the filter rule for the internal filter 5 is generated and set in it (ST3-22, ST3-23), and otherwise (ST3).
If No at -21) and the policy can be realized by the external filter 2 (Yes at ST3-24), a filter rule for the external filter 2 is generated and set to it (ST3-25,
ST3-26).
【0037】一方、動的なフィルタ規則変更について
は、図2(b)、図4の如く、外部サーバ7よりフィル
タ操作要求を受け付けると開始され(ST11)、その
要求が全てのポリシと矛盾しなければ(ST12でYe
s)、フィルタ規則を生成して(ST13)、各フィル
タにその規則を設定する(ST14)、というものであ
る。On the other hand, the dynamic filter rule change is started when a filter operation request is received from the external server 7 (ST11) as shown in FIGS. 2B and 4, and the request conflicts with all policies. If not (Yes in ST12
s), a filter rule is generated (ST13), and the rule is set in each filter (ST14).
【0038】(方法例)本方法例は上記システム例に適
用したものである。前述の説明を前提に説明する。(Method Example) This method example is applied to the above system example. A description will be given based on the above description.
【0039】図2の各プログラム、図3、図4のフロー
により、外部フィルタ2には、主にネットワーク全体に
適用される静的なフィルタ規則が設定されるが、かかる
フィルタ規則は比較的少数、かつ更新頻度も低いことか
らして、フィルタに対する負荷は低い。これに対して、
規則数が増加しがちな各サブネット3毎のフィルタ規
則、更新頻度の大きいフィルタ規則、状態を持つ動的な
フィルタ規則は、フィルタに対する負荷が大きいもの
の、これらは通過するトラフィック量が少ない内部フィ
ルタ5が取り扱う。By the programs of FIG. 2 and the flows of FIGS. 3 and 4, static filter rules mainly applied to the entire network are set in the external filter 2, but the number of such filter rules is relatively small. Since the update frequency is low, the load on the filter is low. On the contrary,
The filter rule for each subnet 3 that tends to increase in the number of rules, the filter rule with a high update frequency, and the dynamic filter rule with a state have a large load on the filter, but these are internal filters 5 that pass a small amount of traffic. Handles.
【0040】かようにして、ネットワークを構成する各
部分にフィルタを分散させることによりフィルタの負荷
を分散させ、負荷の増加に対してスケーラビリティが確
保される。In this way, the load of the filter is distributed by distributing the filter to each part constituting the network, and scalability is ensured against an increase in the load.
【0041】以上、本発明の実施の形態であるシステム
例及び方法例を説明したが、本発明の目的を達し、下記
する効果を奏する範囲において、適宜変更して実施可能
である。The system example and the method example, which are the embodiments of the present invention, have been described above. However, the present invention can be appropriately modified and implemented within a range that achieves the objects of the present invention and the following effects.
【0042】[0042]
【発明の効果】本発明によれば、ネットワークを構成す
る各部分にフィルタを分散させることによりフィルタの
負荷を分散させ、負荷に対するスケーラビリティを確保
でき、もって、ネットワークセキュリティを確保する手
段として、ネットワークの規模に拘わらず、パケットフ
ィルタを用いることができ、外部ネットワークとの接続
の高帯域化、フィルタ規則の高度化など、パケットフィ
ルタに対する高い性能要求を満足できるという優れた効
果を有する。According to the present invention, the load of the filter can be distributed by distributing the filter in each part constituting the network, and scalability with respect to the load can be ensured. Therefore, as a means for ensuring network security, A packet filter can be used regardless of the scale, and it has an excellent effect that a high performance requirement for the packet filter can be satisfied, such as a high bandwidth connection with an external network and an advanced filter rule.
【図1】本発明の一実施形態である分散化パケットフィ
ルタシステムの概念構成図である。FIG. 1 is a conceptual configuration diagram of a distributed packet filter system according to an embodiment of the present invention.
【図2】フィルタ管理サーバによる動作を擬似コードで
示したものでもあり、(a)はフィルタ設定動作、
(b)は動的なフィルタ規則変更動作に関するものであ
る。FIG. 2 is also a pseudo code showing the operation by the filter management server, in which (a) is a filter setting operation,
(B) relates to a dynamic filter rule changing operation.
【図3】図2(a)のフィルタ設定動作をフローチャー
ト化したものである。FIG. 3 is a flowchart of the filter setting operation of FIG.
【図4】図2(b)の動的なフィルタ規則変更動作をフ
ローチャート化したものである。FIG. 4 is a flowchart of the dynamic filter rule changing operation of FIG.
1…外部ネットワーク 2…外部フィルタ 3…サブネット 4…バックボーン(幹線) 5…内部フィルタ 6…フィルタ管理サーバ 7…外部サーバ(認証サーバなど) 1 ... External network 2 ... External filter 3 ... Subnet 4 ... Backbone (main line) 5 ... Internal filter 6 ... Filter management server 7 ... External server (authentication server, etc.)
Claims (12)
る場合にセキュリティを確保するパケットフィルタにお
ける負荷低減の為に、パケットフィルタを当該ネットワ
ークに分散して、負荷の重いフィルタ規則については、
当該外部ネットワークへの接続点に設けた外部フィルタ
ではなく、当該ネットワーク内の各内部フィルタに担当
させ、当該外部フィルタ及び当該内部フィルタ其々集中
制御を行う、 ことを特徴とするパケットフィルタ分散方法。1. To reduce the load on a packet filter that ensures security when connecting a network to an external network, a packet filter is distributed over the network and a heavy load filter rule is used.
A packet filter distribution method, characterized in that each internal filter in the network is assigned to the internal filter instead of the external filter provided at the connection point to the external network, and the external filter and the internal filter are centrally controlled.
適用条件を満たしかつ当該外部フィルタにて実現できれ
ば、優先的に当該外部フィルタに対してフィルタ規則を
生成して設定制御する、 ことを特徴とする請求項1に記載のパケットフィルタ分
散方法。2. The centralized control, for each policy, preferentially generates a filter rule for the external filter if the policy satisfies the conditions for applying to the external filter and can be realized by the external filter. The packet filter distribution method according to claim 1, further comprising:
フィルタにて実現できず、内部フィルタにて実現できれ
ば、当該内部フィルタに対してフィルタ規則を生成し設
定制御する、 ことを特徴とする請求項2に記載のパケットフィルタ分
散方法。3. The centralized control cannot be realized by the external filter even if the application condition for the external filter is satisfied, and if it can be realized by the internal filter, a filter rule is generated and set for the internal filter. It controls, The packet filter distribution method of Claim 2 characterized by the above-mentioned.
外部に関するポリシであること、及びネットワーク全体
に適用されることを全て満たすことである、 ことを特徴とする請求項2又は3に記載のパケットフィ
ルタ分散方法。4. The conditions to be applied to the external filter are that the policy has no state, inside the network /
The packet filter distribution method according to claim 2 or 3, characterized in that the policy is related to the outside and that it is applied to the entire network.
アップした後に、 当該リストアップした当該各内部フィルタに対して、 該当内部フィルタにて前記ポリシが実現可能であれば、
当該該当内部フィルタ用のフィルタ規則を生成して設定
制御を行い、 該当内部フィルタにて前記ポリシが実現不能で、かつ外
部フィルタにて実現可能であれば、当該外部フィルタ用
のフィルタ規則を生成して設定制御を行う、 ことを特徴とする2、3又は4に記載のパケットフィル
タ分散方法。5. The centralized control, when the condition for applying to the external filter is not satisfied, first, lists the internal filters to be targeted from the policy, and then, for each internal filter listed. Then, if the policy can be realized by the internal filter,
Generates a filter rule for the applicable internal filter and performs setting control. If the policy cannot be realized by the applicable internal filter and can be realized by an external filter, a filter rule for the external filter is generated. The setting control is performed by using the packet filter distribution method according to item 2, 3, or 4.
変更要求が全てのポリシに矛盾しない場合に限り、当該
変更要求に係るフィルタ規則を生成し、各フィルタに設
定することにより、動的なフィルタ規則変更に対処す
る、 ことを特徴とする請求項1、2、3、4又は5に記載の
パケットフィルタ分散方法。6. The centralized control is such that, when there is a filter rule change request from an external server, the filter rule relating to the change request is generated and the filter rule is generated for each filter only when the change request does not conflict with all policies. The packet filter distribution method according to claim 1, 2, 3, 4, or 5, wherein a dynamic change of a filter rule is dealt with by setting.
続されるネットワークにおいて、 当該接続点に設置される外部フィルタと、 一以上のサブネットにそれぞれ設けられた各内部フィル
タとに対して、当該ネットワークのパケットフィルタに
おける負荷を分散させ、負荷の重いフィルタ規則につい
ては、各内部フィルタに担当させる様に、当該内部フィ
ルタ及び当該外部フィルタを集中制御するフィルタ管理
サーバとを、具備した、 ことを特徴とする分散化パケットフィルタシステム。7. In a network connected to an external network at one or more connection points, an external filter installed at the connection point and internal filters provided at one or more subnets are provided. A filter management server for centrally controlling the internal filter and the external filter so that the load of the network packet filter is distributed and the heavy load filter rule is assigned to each internal filter. Decentralized packet filter system.
部フィルタ用フィルタ規則を生成して当該外部フィルタ
に設定する一方で、実現できずに前記内部フィルタにて
実現できれば、当該内部フィルタ用フィルタ規則を生成
して内部フィルタに設定すると共に、 前記外部フィルタへの適用条件を満たさなければ、 そのポリシより対象となる前記内部フィルタをリストア
ップして、当該リストアップした当該各内部フィルタに
対して、その内部フィルタにてポリシが実現可能であれ
ば、その内部フィルタ用のフィルタ規則を生成してその
内部フィルタに設定する一方で、実現できずに前記外部
フィルタにてそのポリシを実現可能であれば、外部フィ
ルタ用フィルタ規則を生成して、当該外部フィルタに設
定する、 以上のフィルタ設定処理を行うプログラムを格納した、 ことを特徴とする請求項7に記載の分散化パケットフィ
ルタシステム。8. The filter management server generates a filter rule for an external filter, if the policy can be realized by the external filter, if the application condition for the external filter is satisfied for each policy. On the other hand, if the internal filter cannot be realized while being set as an external filter, the filter rule for the internal filter is generated and set in the internal filter, and the application condition to the external filter is not satisfied, List the internal filters to be targeted from the policy, and for each internal filter listed, if the internal filter can realize the policy, generate a filter rule for the internal filter. While setting it in the internal filter, the policy can be realized in the external filter that cannot be realized. If, distributed packet filtering system of claim 7 which produces a filter rule for external filter, set to the external filter, for storing a program for performing the above filter setting process, it is characterized.
外部に関するポリシであること、及びネットワーク全体
に適用されることの何れも充足することである、 ことを特徴とする請求項8に記載の分散化パケットフィ
ルタシステム。9. The conditions to be applied to the external filter are that the policy has no state, inside the network /
The decentralized packet filter system according to claim 8, wherein both the policy regarding the outside and the fact that the policy is applied to the entire network are satisfied.
フィルタ操作の要求に係るフィルタ規則を生成し、各フ
ィルタに当該生成したフィルタ規則を設定する、 以上の動的なフィルタ規則変更を行うフィルタ規則変更
プログラムを格納した、 ことを特徴とする請求項7、8又は9に記載の分散化パ
ケットフィルタシステム。10. When the filter management server receives a filter operation request from the external server, the filter management server generates a filter rule related to the filter operation request if the received request is consistent with all policies. The distributed packet filter according to claim 7, 8 or 9, characterized in that the generated filter rule is set in each filter, and a filter rule changing program for dynamically changing the filter rule is stored. system.
各サブネットを配置するか、又は当該ネットワークの幹
線に対して多段に、前記内部フィルタを介在して各サブ
ネットを配置するかの何れかである、 ことを特徴とする請求項7、8、9又は10に記載の分
散化パケットフィルタシステム。11. The network arranges each subnet by interposing the internal filter on the trunk line of the network, or arranges each subnet by interposing the internal filter in multiple stages with respect to the trunk line of the network. The distributed packet filter system according to claim 7, 8, 9 or 10, characterized in that
数のサブネットに対応して設置することを許容するかの
何れかである、 ことを特徴とする請求項7、8、9、10又は11に記
載の分散化パケットフィルタシステム。12. The internal filter is either installed corresponding to each of the subnets or allowed to be installed corresponding to a plurality of subnets. The distributed packet filter system according to claim 7, 8, 9, 10 or 11.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002038916A JP2003244247A (en) | 2002-02-15 | 2002-02-15 | Packet filter distribution method and distributed packet filter system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002038916A JP2003244247A (en) | 2002-02-15 | 2002-02-15 | Packet filter distribution method and distributed packet filter system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003244247A true JP2003244247A (en) | 2003-08-29 |
Family
ID=27780106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002038916A Pending JP2003244247A (en) | 2002-02-15 | 2002-02-15 | Packet filter distribution method and distributed packet filter system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003244247A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008042506A (en) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | Network apparatus and filtering program |
| WO2008105158A1 (en) * | 2007-02-23 | 2008-09-04 | Panasonic Corporation | Network management device and packet transfer device |
| JP2009105716A (en) * | 2007-10-24 | 2009-05-14 | Hitachi Ltd | Network system, management computer, and filter reconfiguration method |
| JP5967739B1 (en) * | 2015-07-23 | 2016-08-10 | Necプラットフォームズ株式会社 | Filtering system, management apparatus, filtering method, and management program |
-
2002
- 2002-02-15 JP JP2002038916A patent/JP2003244247A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008042506A (en) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | Network apparatus and filtering program |
| US8223756B2 (en) | 2006-08-04 | 2012-07-17 | Fujitsu Limited | Network device and computer product |
| WO2008105158A1 (en) * | 2007-02-23 | 2008-09-04 | Panasonic Corporation | Network management device and packet transfer device |
| JP2009105716A (en) * | 2007-10-24 | 2009-05-14 | Hitachi Ltd | Network system, management computer, and filter reconfiguration method |
| US8081640B2 (en) | 2007-10-24 | 2011-12-20 | Hitachi, Ltd. | Network system, network management server, and access filter reconfiguration method |
| JP5967739B1 (en) * | 2015-07-23 | 2016-08-10 | Necプラットフォームズ株式会社 | Filtering system, management apparatus, filtering method, and management program |
| WO2017013894A1 (en) | 2015-07-23 | 2017-01-26 | Necプラットフォームズ株式会社 | Filtering system, management device, filtering method, and management program |
| EP3148123A4 (en) * | 2015-07-23 | 2017-11-08 | NEC Platforms, Ltd. | Filtering system, management device, filtering method, and management program |
| US10135787B2 (en) | 2015-07-23 | 2018-11-20 | Nec Platforms, Ltd. | Filtering system, management device, filtering method and management program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2909989B1 (en) | Methods and systems for protecting a secured network | |
| EP1712056B1 (en) | Tunneled security groups | |
| US8320388B2 (en) | Autonomic network node system | |
| US10063468B2 (en) | Leaking routes in a service chain | |
| US7249374B1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
| US8261355B2 (en) | Topology-aware attack mitigation | |
| US20030018760A1 (en) | Extensible policy-based network management architecture | |
| US7284267B1 (en) | Automatically configuring a computer firewall based on network connection | |
| US9621516B2 (en) | Firewall configured with dynamic membership sets representing machine attributes | |
| US6098172A (en) | Methods and apparatus for a computer network firewall with proxy reflection | |
| EP1317111B1 (en) | A personalized firewall | |
| WO2016180181A1 (en) | Service function deployment method and apparatus | |
| US20080109890A1 (en) | Selective auto-revocation of firewall security settings | |
| US20070274285A1 (en) | System and method for configuring a router | |
| US8576845B2 (en) | Method and apparatus for avoiding unwanted data packets | |
| CN106161226B (en) | It sends, the method and apparatus of receiving stream specification rule | |
| US20070016937A1 (en) | Generating an outbound connection security policy based on an inbound connections security policy | |
| CN103595551B (en) | Network management and the device of network virtualization is realized based on MQC | |
| JP2003244247A (en) | Packet filter distribution method and distributed packet filter system | |
| US20200314139A1 (en) | System and method for security service collaboration | |
| US9338080B2 (en) | Performing offline BGP prefix origin and path validation at route reflectors | |
| KR20010090297A (en) | Sequrity policy system | |
| Le Faucheur et al. | Advertising IPv4 Network Layer Reachability Information with an IPv6 Next Hop | |
| US20220247725A1 (en) | Network system architecture using a virtual private network (vpn) as a sidecar for containerized devices supporting containers | |
| Cisco | Configuring BGP |