JP2003271474A - 外部ネットワークからの不正侵入防止方法、およびプログラム - Google Patents

外部ネットワークからの不正侵入防止方法、およびプログラム

Info

Publication number
JP2003271474A
JP2003271474A JP2002068738A JP2002068738A JP2003271474A JP 2003271474 A JP2003271474 A JP 2003271474A JP 2002068738 A JP2002068738 A JP 2002068738A JP 2002068738 A JP2002068738 A JP 2002068738A JP 2003271474 A JP2003271474 A JP 2003271474A
Authority
JP
Japan
Prior art keywords
lan adapter
data
identification information
lan
adapter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002068738A
Other languages
English (en)
Inventor
Chiaki Doi
千秋 土居
Minoru Kamoshita
稔 鴨志田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002068738A priority Critical patent/JP2003271474A/ja
Publication of JP2003271474A publication Critical patent/JP2003271474A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 外部ネットワークからの正規の利用者になり
すました不正侵入者からの内部ネットワーク向けアプリ
ケーションへのアクセス、および大量の通信による基幹
サーバのスローダウンを防止する。 【解決手段】 LANアダプタに識別情報を設け、LA
Nアダプタは識別情報を付加し受信データをサーバに転
送し、サーバは特定のLANアダプタ経由の受信データ
は内部ネットワーク向けアプリケーションとの接続を拒
否するように制御する。また、サーバからLANアダプ
タが使用できるデータ通信用の記憶域量を通知し、LA
Nアダプタは通知された記憶域量を超える受信データを
受信するとサーバへは転送しないように制御することに
よりデータ通信用記憶域の枯渇による内部ネットワーク
向けアプリケーションなど他のサービスのスローダウン
を防止する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークとネ
ットワークを相互に接続する広域ネットワークシステム
において、不正侵入者からネットワーク資源へのアクセ
スを排除するネットワークセキュリティに関し、特に外
部ネットワークから内部ネットワークへの不正侵入を防
止するネットワークセキュリティ保護技術に関する。
【0002】
【従来の技術】インターネットなどの外部ネットワーク
とイントラネットなどの内部ネットワークとを接続する
システムでは、外部ネットワークと内部ネットワークの
接点となる位置にファイアウォール等の不正アクセス防
止機構を設置することにより、外部ネットワークからの
アクセスに対して、送信元のIPアドレス、受信先のI
Pアドレスおよびポート番号など、装置やネットワーク
アプリケーションの固有情報に基づいて内部ネットワー
クへのアクセスを制御していた。
【0003】しかしながら、インターネットは不特定多
数が利用するため、利用者の中にはクラッカーと呼ばれ
る不正に内部ネットワークへの侵入を試みる者も少なく
ない。例えば、不正に認証済の利用者のIPアドレスを
入手し、データパケットに認証済のIPアドレスを付加
したものを送信し、あたかも正規の利用者になりすまし
てファイアウォールを通過してしまうと、受信先ポート
番号に対応するネットワークアプリケーションによって
は侵入が可能となる場合がある。一旦、ファイアウォー
ルを通過され、ネットワークアプリケーションに侵入さ
れてしまうと、それを足掛かりとして、更に内部ネット
ワークへの侵入を許してしまうことにもなり兼ねない。
【0004】
【発明が解決しようとする課題】大型計算機の資源を有
効に利用するために、従来の社内システムの運用とWe
bサーバなど外部ネットワークに対するサービスの運用
を併用して行うシステム(基幹サーバ)が存在するよう
になってきた。図10にそのような基幹サーバを含む従
来のネットワークシステム構成の例が示してある。基幹
サーバ1には、複数のLANアダプタがグループ化して
接続され、インターネット5などの外部ネットワークに
対してはファイアウォール4を介して外部ネットワーク
用LANアダプタ2(群)経由でデータの送受信を行
い、イントラネット7などの内部ネットワークに対して
は内部ネットワーク用LANアダプタ(群)経由でデー
タの送受信を行う。
【0005】ところが、複数のLANアダプタ(群)を
使用して、複数のネットワーク(イントラネット7とイ
ンターネット5など)に接続している場合、送信元に対
して通過してきたLANアダプタ(群)毎に、利用可能
なアプリケーションを制限することはできない。そのた
め、認証済の正規の利用者になりすましてファイアウォ
ール4を通過して侵入してきた不正利用者6は、外部ネ
ットワーク向けアプリケーション11だけでは無く、社
外には公開できない秘密情報を含む可能性のある内部ネ
ットワーク向けアプリケーション12にもアクセスでき
てしまうのが現状である(→B)。
【0006】また、一旦、内部ネットワーク向けアプリ
ケーション12に侵入されると、基幹サーバ1を踏み台
として、更にイントラネット7内の他のサーバ8への侵
入される可能性が出てくる(→C)。更に、基幹サーバ
1が持つデータ送受信のための通信バッファなどとして
使用されるデータ記憶装置14は基幹サーバ1として共
通に使用されるため、例えば外部ネットワーク用LAN
アダプタ2を経由した大量のデータ(サービス)を受け
付ける(所謂、Dos攻撃)と、データ記憶装置14の
記憶域が枯渇し、内部ネットワーク向けアプリケーショ
ン12など他のサービスのスローダウン(→A)の原因
になり兼ねない。
【0007】本発明の目的は、認証済の正規の利用者に
なりすました不正侵入者に対しても、基幹サーバが使用
するLANアダプタ(群)毎に利用可能な送信元と利用
可能なネットワークアプリケーションを制限することに
よりイントラネットなど内部ネットワークへの侵入を防
止すると共に、基幹サーバが使用するLANアダプタ
(群)毎に通信用メモリの上限値を設定し、特定のLA
Nアダプタ(群)での大量の通信が、通信用データ記憶
域全体の枯渇による基幹サーバのスローダウンを防止す
ることにある。
【0008】
【課題を解決するための手段】図1は本発明の実施の形
態1の全体構成図を示すものである。本発明の通信制御
プログラム13は、コンピュータを用いて、複数のLA
Nアダプタに対して、個々のLANアダプタを識別する
ためのLANアダプタ識別情報を通知する識別情報通知
手段131、LANアダプタに対して、個々のLANア
ダプタが受信したデータを格納するために使用できるデ
ータ記憶域量を通知する記憶域量通知手段132、LA
Nアダプタ毎に利用を許可する送信元と、その送信元が
利用できるアプリケーションプログラムとの対応関係を
関連付ける関連付手段133、LANアダプタが受信し
た前記LANアダプタ識別情報が付加されたデータと、
前記関連付手段により関連付された送信元が利用出来る
アプリケーションプログラムとの対応関係に基づき送信
元とアプリケーションプログラムの接続可否を判定する
接続可否判定手段134、LANアダプタのファームウ
ェアは、個々のLANアダプタを識別するためのLAN
アダプタ識別情報を取得する識別情報取得手段21、個
々のLANアダプタが受信したデータに該LANアダプ
タの識別情報を付加する識別情報付加手段22、個々の
LANアダプタが受信したデータを格納するために使用
できるサーバコンピュータ上の記憶域量を取得する記憶
域量取得手段23、受信したデータの大きさが前記記憶
域量取得手段が取得した該LANアダプタが使用できる
サーバコンピュータ上の記憶量を超えると、前記受信し
たデータを破棄するデータ破棄手段24として機能する
ものである。
【0009】識別情報通知手段131は必須の手段では
なく、例えばLANアダプタの識別情報取得手段21が
LANに接続したすべてのポートあるいはデバイスを識
別するために設定されるハードウェアアドレスである該
LANアダプタのMACアドレスを取得し、LANアダ
プタの識別情報とするように実装する場合などは不要と
なる。
【0010】なお、上述の個々のLANアダプタを識別
するためのLANアダプタ識別情報とは、図3で示すL
ANアダプタ#1〜LANアダプタ#3をグループ化し
たLANアダプタグループ#G1のように複数のLAN
アダプタをグループ化したLANアダプタグループ識別
情報を含むものとする。基幹サーバ1の通信制御プログ
ラム13、及びLANアダプタのファームウェアを上記
の構成とすることにより、LANアダプタ毎に受信した
データと基幹サーバ上の利用可能なネットワークアプリ
ケーションとの接続可否の制御が可能となり、例えば外
部ネットワーク用LANアダプタ経由の受信データと内
部ネットワーク向けアプリケーション12との接続を制
限することが可能となる。
【0011】なお、LANアダプタ経由の受信データと
ネットワークアプリケーションとの接続可否の制御に関
し柔軟性には欠けるが、関連付手段133がLANアダ
プタが利用できるアプリケーションとの対応を関連付
け、接続可否判定手段134が受信データに付加された
LANアダプタ識別情報と利用できるアプリケーション
との対応関係に基づき接続可否の制御を行うように実装
すると、特定のLANアダプタを経由する受信データ
は、送信元に関わらず接続可能なアプリケーションが固
定され、例えば外部ネットワーク用LANアダプタ2を
経由する受信データはすべて内部ネットワーク向けアプ
リケーション12への接続はできないようにすることな
どが可能となる。
【0012】また、LANアダプタ毎に、基幹サーバ1
のデータ記憶装置14上の通信バッファ領域を制御でき
るため、外部ネットワークに接続されている特定のLA
Nアダプタからの大量のサービス要求を受け付けても、
内部ネットワーク向けアプリケーションなど他のサービ
スのスローダウンを防止することが可能となる。
【0013】
【発明の実施の形態】図1は本発明の実施の形態1の全
体構成図を示すものである。本発明に係る基幹サーバ1
には、Webサービス用など外部ネットワーク向けアプ
リケーション11、従来より内部で利用されていた開発
環境など内部ネットワーク向けアプリケーション12、
基幹サーバ1と内外部のネットワークと接続されたクラ
イアントやサーバとのデータ通信の制御を行う通信制御
プログラム13、通信制御プログラムがデータのREA
D/WRITE(受信/送信)を行うためのデータ記憶
装置(通信バッファ)14を有し、ネットワークを接続
するための周辺機器であるLANアダプタが外部ネット
ワーク用のものと内部ネットワーク用のものとして複数
台設置されている。
【0014】外部ネットワーク用LANアダプタ2には
インターネット5からの不正アクセス防止機構であるフ
ァイアウォール4、インターネット5には図示してはい
ないがWebなど外部ネットワーク向けアプリケーショ
ンの利用者の複数クライアントが接続されている。前記
クライアントの中には不正侵入者のクライアント6が含
まれている場合がある。また内部ネットワーク用LAN
アダプタにはイントラネット7経由でサーバ8や、図示
はしていないが社内ネットワークの利用者の複数クライ
アントが接続されている。
【0015】通信制御プログラム13は、コンピュータ
読み取り可能な記録媒体に記録されており、複数のLA
Nアダプタに対して、個々のLANアダプタを識別する
ためのLANアダプタ識別情報を通知する識別情報通知
手段131、LANアダプタに対して、個々のLANア
ダプタが受信したデータを格納するために使用できるデ
ータ記憶域量を通知する記憶域量通知手段132、LA
Nアダプタ毎に利用を許可する送信元とその送信元が利
用できるアプリケーションプログラムとの対応関係を関
連付ける関連付手段133、LANアダプタが受信した
前記LANアダプタ識別情報が付加されたデータと、前
記関連付手段により関連付された送信元が利用出来るア
プリケーションプログラムとの対応関係に基づき送信元
とアプリケーションプログラムの接続可否を判定する接
続可否判定手段134を備えている。
【0016】LANアダプタには、コンピュータ読み取
り可能な記録媒体に記録されたファームウェアが格納さ
れており、LANアダプタ識別情報を取得する識別情報
取得手段21、個々のLANアダプタが受信したデータ
に該LANアダプタの識別情報を付加する識別情報付加
手段22、個々のLANアダプタが受信したデータを格
納するために使用できるサーバコンピュータ上の記憶域
量を取得する記憶域量取得手段23、受信したデータの
大きさが前記記憶域量取得手段が取得した該LANアダ
プタが使用できるサーバコンピュータ上の記憶量を超え
ると、前記受信したデータを破棄するデータ破棄手段2
4を備えている。
【0017】図2は、LANアダプタの定義例が示して
ある。LANアダプタ#0や#4などのように個々のL
ANアダプタ、またはLANアダプタ#1〜#3のよう
に(例えば、内部ネットワーク用のLANアダプタグル
ープ、外部ネットワーク用LANアダプタグループな
ど)複数のLANアダプタを一纏めにしてグループ化
し、LANアダプタグループとして定義する。定義内容
の詳細については図3、図4で説明する。
【0018】図3は、LANアダプタの定義結果の中、
グループ定義情報が格納されるテーブルである。グルー
プIDはシステム管理者が定義したLANアダプタグル
ープ名をシステム内でユニークな識別番号に変換したも
のである。この図では、例えば図2において、グループ
名グループ#G1に対して通信制御プログラムがグルー
プIDとして”1”と変換している。これは、プログラ
ムが処理し易くしているだけであって、LANアダプタ
を定義したときのグループ名を使用しても構わない。許
可IPはLANアダプタグループを経由した電文が許可
される送信元のIPアドレス、許可PORT1、許可P
ORT2、・・・は許可された受信先のポート番号を示
している。
【0019】ポート番号とは、外部ネットワーク向けア
プリケーションとか外部ネットワークアプリケーション
に割り振られたTCP/IP上の識別番号である。この
例では、グループID”1”のLANアダプタ経由で受
信したデータは送信元のIPアドレス”10.10.
3.5”のコンピュータは受信先ポート番号”808
0”と”23501”、および送信元のIPアドレス”
10.10.3.4”のコンピュータは受信先ポート番
号”10000”と”5005”のネットワークアプリ
ケーションとのみ接続可能であることを示している。
【0020】図4は、LANアダプタの定義結果の中、
LANアダプタ情報が格納されるテーブルである。個々
のLANアダプタに対する所属しているグループID、
及び許可IPアドレス、許可ポート番号が格納される。
図2のLANアダプタ#1はグループID”1”に属し
ていることを示している。なお、LANアダプタグルー
プとして定義されたLANアダプタに対しては、グルー
プ定義情報に基づき通信制御プログラムがLANアダプ
タ情報テーブルを生成する。
【0021】図5は、本発明に係る外部ネットワークか
らの不正侵入防止処理の全体フローを示すフローチャー
トである。本外部ネットワークからの不正侵入防止処理
は基幹サーバ1の通信制御プログラム13とLANアダ
プタのファームウェア・プログラムとが連携して機能す
るものである。通信制御プログラム1は、先ずLANア
ダプタの定義情報に基づいてLANアダプタの初期化を
行う(S501)。処理の詳細については、図6を参照
されたい。続いてLANアダプタのファームウェア・プ
ログラムは、通信制御プログラム13から取得した初期
化情報に基づき通信処理の準備を行う(S502)。処
理の詳細については、図7を参照されたい。続いてネッ
トワークから送信されたデータの受信処理を行う(S5
03)。処理の詳細については、図8を参照されたい。
次に基幹サーバ1の通信制御プログラム13はネットワ
ークアプリケーションが受信データのREADができる
ように受信処理を行う(S504)。処理の詳細につい
ては、図9を参照されたい。
【0022】図6は、本発明に係る通信制御プログラム
13のLANアダプタ初期化処理フローを示すフローチ
ャートである。先ずシステム管理者が定義したLANア
ダプタグループの定義情報を読み込む(S601)。L
ANアダプタ及びLANアダプタグループの定義情報
は、定義用の対話型画面などでシステム管理者が指定し
た定義内容そのものが予め定義ファイルとして作成され
ているものとする。
【0023】次に、LANアダプタグループ毎にシーケ
ンス番号など基幹サーバでユニークなIDを付与して図
3で示すグループ定義情報テーブルを作成する(S60
2)。続いてシステム管理者が定義したLANアダプタ
定義情報を読込み(S603)、LANアダプタ毎に基
幹サーバでユニークなIDをに付与して図4で示すLA
Nアダプタ情報テーブルを作成する(S604)。続い
て、LANアダプタ毎にLANアダプタIDとデータ記
憶装置14内の使用可能なデータ記憶域量の上限値を通
知する(S605)。
【0024】図7は、本発明に係るLANアダプタの通
信処理準備の処理フローを示すフローチャートである。
先ず通信制御プログラム13より通知されたLANアダ
プタIDを記憶する(S701)。次に先ず通信制御プ
ログラム13より通知されたデータ記憶装置14内の使
用可能なデータ記憶域量の上限値を使用可能データ記憶
域量として記憶する(S702)。
【0025】図8は、本発明に係るLANアダプタの受
信処理の処理フローを示すフローチャートである。ネッ
トワーク経由でデータを受信する(S801)と、受信
したデータの大きさが使用可能記憶域量より大きいかど
うかを比較する(S802)。受信したデータの大きさ
が使用可能記憶域量より大きい場合には、受信したデー
タを破棄し(S807)、データの受信を待つ。
【0026】受信したデータの大きさが使用可能記憶域
量より小さい場合には、受信したデータにLANアダプ
タIDを付加する(S803)。続いてデータ記憶装置
14にLANアダプタIDを付加した受信データを書き
込み(S804)、通信制御プログラムが図9で示す受
信処理を行う(S805)。通信制御プログラムが受信
処理を行うと、LANアダプタに対して現在使用可能な
記憶域量を通知してくるので、この値を使用可能記憶域
量として記憶する(S905)。
【0027】図9は、本発明に係る通信制御プログラム
の受信処理の処理フローを示すフローチャートである。
先ず記憶装置14からデータを読み込む(S901)。
読み込んだ受信データには、LANアダプタが付加した
LANアダプタID、接続先のネットワークアプリケー
ションのポート番号が含まれている。次に、受信したデ
ータがネットワークアプリケーションと接続可能かどう
かを確認する(S902)。これは、受信データ中のL
ANアダプタID、接続先のネットワークアプリケーシ
ョンのポート番号と、図4で示すLANアダプタ情報テ
ーブルとを比較して確認する。
【0028】接続可と判断した場合には、ネットワーク
アプリケーションに受信データを渡し(S904)、接
続不可と判断したときには、接続を拒否し受信データを
破棄する(S903)。次に今回受信処理したLANア
ダプタに対して使用可能な記憶域量を通知し(S90
5)、次のデータの受信処理を待つ。 (付記1) LANアダプタ毎に利用を許可する送信元
と該送信元が利用できるアプリケーションプログラムと
の対応関係を関連付ける関連付手段と、LANアダプタ
から受信したLANアダプタ識別情報付の受信データ
と、前記関連付手段により関連付された送信元が利用出
来るアプリケーションプログラムとの対応関係に基づき
送信元とアプリケーションプログラムの接続可否を判定
する接続可否判定手段としてサーバコンピュータを機能
させる通信制御プログラム。
【0029】(付記2) LANアダプタに対して、個
々のLANアダプタが受信したデータを格納するために
使用できるデータ記憶域量を通知する記憶域量通知手段
としてサーバコンピュータを機能させる付記1記載の通
信制御プログラム。 (付記3) LANアダプタと該LANアダプタが利用
できるアプリケーションプログラムとの対応関係を関連
付ける関連付手段と、LANアダプタから受信したLA
Nアダプタ識別情報付の受信データと、前記関連付手段
により関連付されたLANアダプタが利用出来るアプリ
ケーションプログラムとの対応関係に基づき該受信デー
タとアプリケーションプログラムの接続可否を判定する
接続可否判定手段としてサーバコンピュータを機能させ
る通信制御プログラム。
【0030】(付記4) 個々のLANアダプタを識別
するためのLANアダプタ識別情報を取得する識別情報
取得手段と、個々のLANアダプタが受信したデータに
該LANアダプタの識別情報を付加する識別情報付加手
段としてLANアダプタを機能させるファームウェア・
プログラム。
【0031】(付記5) 個々のLANアダプタが受信
したデータを格納するために使用できるサーバコンピュ
ータ上の記憶域量を取得する記憶域量取得手段と、受信
したデータの大きさが前記記憶域量取得手段が取得した
該LANアダプタが使用できるサーバコンピュータ上の
記憶量を超えると、前記受信したデータを破棄するデー
タ破棄手段としてLANアダプタを機能させる付記4記
載のファームウェア・プログラム。
【0032】(付記6) サーバコンピュータとLAN
アダプタを用いて外部のネットワークから不正侵入を防
止する方法であって、サーバコンピュータには、LAN
アダプタ毎に利用を許可する送信元と該送信元が利用で
きるアプリケーションプログラムとの対応関係を関連付
けるステップと、LANアダプタから受信したLANア
ダプタ識別情報付の受信データと、前記関連付手段によ
り関連付された送信元が利用出来るアプリケーションプ
ログラムとの対応関係に基づき送信元とアプリケーショ
ンプログラムの接続可否を判定するステップと、LAN
アダプタのファームウェアには、個々のLANアダプタ
を識別するためのLANアダプタ識別情報を取得するス
テップと、個々のLANアダプタが受信したデータに該
LANアダプタの識別情報を付加するステップとを有す
る外部ネットワークからの不正侵入防止方法。
【0033】(付記7) サーバコンピュータとLAN
アダプタを用いて外部のネットワークから不正侵入を防
止する方法であって、サーバコンピュータには、複数の
LANアダプタに対して、個々のLANアダプタが受信
したデータを格納するために使用できるデータ記憶域量
を通知するステップと、LANアダプタ毎に利用を許可
する送信元と該送信元が利用できるアプリケーションプ
ログラムとの対応関係を関連付けるステップと、LAN
アダプタから受信したLANアダプタ識別情報付の受信
データと、前記関連付手段により関連付された送信元が
利用出来るアプリケーションプログラムとの対応関係に
基づき送信元とアプリケーションプログラムの接続可否
を判定するステップと、LANアダプタのファームウェ
アには、個々のLANアダプタを識別するためのLAN
アダプタ識別情報を取得するステップと、個々のLAN
アダプタが受信したデータを格納するために使用できる
サーバコンピュータ上の記憶域量を取得するステップ
と、個々のLANアダプタが受信したデータに該LAN
アダプタの識別情報を付加するステップと、受信したデ
ータの大きさが前記記憶域量取得手段が取得した該LA
Nアダプタが使用できるサーバコンピュータ上の記憶量
を超えると、前記受信したデータを破棄するステップと
を有する外部ネットワークからの不正侵入防止方法。
【0034】(付記8) LANアダプタ毎に利用を許
可する送信元と該送信元が利用できるアプリケーション
プログラムとの対応関係を関連付ける関連付手段と、L
ANアダプタから受信したLANアダプタ識別情報付の
受信データと、前記関連付手段により関連付された送信
元が利用出来るアプリケーションプログラムとの対応関
係に基づき送信元とアプリケーションプログラムの接続
可否を判定する接続可否判定手段とを有することを特徴
とするサーバコンピュータ。
【0035】(付記9) 複数のLANアダプタに対し
て、個々のLANアダプタが受信したデータを格納する
ために使用できるデータ記憶域量を通知する記憶域量通
知手段 を有することを特徴とする付記7記載のサーバ
コンピュータ。 (付記10) 個々のLANアダプタを識別するための
LANアダプタ識別情報を取得する識別情報取得手段
と、個々のLANアダプタが受信したデータに該LAN
アダプタの識別情報を付加する識別情報付加手段とを有
することを特徴とするしてLANアダプタ。
【0036】(付記11) 個々のLANアダプタが受
信したデータを格納するために使用できるサーバコンュ
ータ上の記憶域量を取得する記憶域量取得手段と、受信
したデータの大きさが前記記憶域量取得手段が取得した
該LANアダプタが使用できるサーバコンピュータ上の
記憶量を超えると、前記受信したデータを破棄するデー
タ破棄手段とを有することを特徴とする付記10記載の
LANアダプタ。
【0037】(付記12) LANアダプタ毎に利用を
許可する送信元と該送信元が利用できるアプリケーショ
ンプログラムとの対応関係を関連付ける関連付手段と、
LANアダプタから受信したLANアダプタ識別情報月
の受信データと、前記関連付手段により関連付された送
信元が利用出来るアプリケーションプログラムとの対応
関係に基づき送信元とアプリケーションプログラムの接
続可否を判定する接続可否判定手段としてサーバコンピ
ュータを機能させる通信制御プログラムを記録したコン
ピュータ読み取り可能な記録媒体。
【0038】(付記13) LANアダプタに対して、
個々のLANアダプタが受信したデータを格納するため
に使用できるデータ記憶域量を通知する記憶域量通知手
段としてサーバコンピュータを機能させる付記12記載
の通信制御プログラムを記録したコンピュータ読み取り
可能な記録媒体。 (付記14) 個々のLANアダプタを識別するための
LANアダプタ識別情報を取得する識別情報取得手段
と、個々のLANアダプタが受信したデータに該LAN
アダプタの識別情報を付加する識別情報付加手段として
LANアダプタを機能させるファームウェア・プログラ
ムを記録したコンピュータ読み取り可能な記録媒体。
【0039】(付記15) 個々のLANアダプタが受
信したデータを格納するために使用できるサーバコンュ
ータ上の記憶域量を取得する記憶域量取得手段と、受信
したデータの大きさが前記記憶域量取得手段が取得した
該LANアダプタが使用できるサーバコンピュータ上の
記憶量を超えると、前記受信したデータを破棄するデー
タ破棄手段としてLANアダプタを機能させる付記14
記載のファームウェア・プログラムを記録したコンピュ
ータ読み取り可能な記録媒体。
【0040】
【発明の効果】認証済の正規の利用者になりすました不
正侵入者に対しても、イントラネットなど内部ネットワ
ークへの侵入を防止すると共に、特定のLANアダプタ
(群)での大量の通信が、通信用データ記憶域全体の枯
渇による基幹サーバのスローダウンを防止することが可
能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態1の全体構成図
【図2】本発明に係るLANアダプタの定義例
【図3】本発明に係るグループ定義情報テーブル
【図4】本発明に係るLANアダプタ情報テーブル
【図5】本発明に係る実施の形態1における外部ネット
ワークからの不正侵入防止処理の全体処理フロー
【図6】本発明に係る実施の形態1における通信制御プ
ログラムのLANアダプタ初期化処理フロー
【図7】本発明に係る実施の形態1におけるLANアダ
プタの通信処理準備の処理フロー
【図8】本発明に係る実施の形態1におけるLANアダ
プタの受信処理の処理フロー
【図9】本発明に係る実施の形態1における通信制御プ
ログラムの受信処理の処理フロー
【図10】従来のネットワークシステム構成図
【符号の説明】
1 基幹サーバ 2 外部ネットワーク用LANアダプタ 3 内部ネットワーク用LANアダプタ 4 ファイアウォール 5 インターネット 6 不正侵入者(クライアント) 7 イントラネット 8 サーバ 11 外部ネットワーク向けアプリケーション 12 内部ネットワーク向けアプリケーション 13 通信制御プログラム 14 データ記憶装置 21 識別情報取得手段 22 識別情報付加手段 23 記憶域量取得手段 24 データ破棄手段 31 識別情報取得手段 32 識別情報付加手段 33 記憶域量取得手段 34 データ破棄手段 131 識別情報通知手段 132 記憶域量通知手段 133 関連付手段 134 接続可否判定手段
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA01 AA03 AE01 AE06 AE23 5B089 GA04 GA11 GB01 KA17 KB13 KC34 KC52 KC58

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 LANアダプタ毎に利用を許可する送信
    元と該送信元が利用できるアプリケーションプログラム
    との対応関係を関連付ける関連付手段と、 LANアダプタから受信したLANアダプタ識別情報付
    の受信データと、前記関連付手段により関連付された送
    信元が利用出来るアプリケーションプログラムとの対応
    関係に基づき送信元とアプリケーションプログラムの接
    続可否を判定する接続可否判定手段としてサーバコンピ
    ュータを機能させる通信制御プログラム。
  2. 【請求項2】 個々のLANアダプタを識別するための
    LANアダプタ識別情報を取得する識別情報取得手段
    と、 個々のLANアダプタが受信したデータに該LANアダ
    プタの識別情報を付加する識別情報付加手段としてLA
    Nアダプタを機能させるファームウェア・プログラム。
  3. 【請求項3】 サーバコンピュータとLANアダプタを
    用いて外部のネットワークから不正侵入を防止する方法
    であって、 サーバコンピュータには、複数のLANアダプタに対し
    て、個々のLANアダプタが受信したデータを格納する
    ために使用できるデータ記憶域量を通知するステップ
    と、 LANアダプタ毎に利用を許可する送信元と該送信元が
    利用できるアプリケーションプログラムとの対応関係を
    関連付けるステップと、 LANアダプタから受信したLANアダプタ識別情報付
    の受信データと、前記関連付手段により関連付された送
    信元が利用出来るアプリケーションプログラムとの対応
    関係に基づき送信元とアプリケーションプログラムの接
    続可否を判定するステップと、 LANアダプタのファームウェアには、個々のLANア
    ダプタを識別するためのLANアダプタ識別情報を取得
    するステップと、 個々のLANアダプタが受信したデータを格納するため
    に使用できるサーバコンピュータ上の記憶域量を取得す
    るステップと、 個々のLANアダプタが受信したデータに該LANアダ
    プタの識別情報を付加するステップと、 受信したデータの大きさが前記記憶域量取得手段が取得
    した該LANアダプタが使用できるサーバコンピュータ
    上の記憶量を超えると、前記受信したデータを破棄する
    ステップとを有する外部ネットワークからの不正侵入防
    止方法。
JP2002068738A 2002-03-13 2002-03-13 外部ネットワークからの不正侵入防止方法、およびプログラム Pending JP2003271474A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002068738A JP2003271474A (ja) 2002-03-13 2002-03-13 外部ネットワークからの不正侵入防止方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002068738A JP2003271474A (ja) 2002-03-13 2002-03-13 外部ネットワークからの不正侵入防止方法、およびプログラム

Publications (1)

Publication Number Publication Date
JP2003271474A true JP2003271474A (ja) 2003-09-26

Family

ID=29199766

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002068738A Pending JP2003271474A (ja) 2002-03-13 2002-03-13 外部ネットワークからの不正侵入防止方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP2003271474A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2012221255A (ja) * 2011-04-08 2012-11-12 Daiwa Institute Of Research Business Innovation Ltd 情報処理システム,情報処理装置,及び情報処理方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2012221255A (ja) * 2011-04-08 2012-11-12 Daiwa Institute Of Research Business Innovation Ltd 情報処理システム,情報処理装置,及び情報処理方法

Similar Documents

Publication Publication Date Title
US7549166B2 (en) Defense mechanism for server farm
EP1218822B1 (en) Intrusion and misuse deterrence system
US6826694B1 (en) High resolution access control
US6098172A (en) Methods and apparatus for a computer network firewall with proxy reflection
JP3492920B2 (ja) パケット検証方法
JP3464610B2 (ja) パケット検証方法
CN1574839B (zh) 多层防火墙结构
US6170012B1 (en) Methods and apparatus for a computer network firewall with cache query processing
US6751728B1 (en) System and method of transmitting encrypted packets through a network access point
US6574666B1 (en) System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US6721890B1 (en) Application specific distributed firewall
US20070165865A1 (en) Method and system for encryption and storage of information
US8191131B2 (en) Obscuring authentication data of remote user
JP2003273936A (ja) ファイアウォールシステム
CN108810008A (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
Mohammed et al. Honeypots and Routers: Collecting internet attacks
Clayton Anonymity and traceability in cyberspace
US7613179B2 (en) Technique for tracing source addresses of packets
JP2010507871A (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
JP2003271474A (ja) 外部ネットワークからの不正侵入防止方法、およびプログラム
JP2000163283A (ja) リモートサイトコンピュータ監視システム
JP2005203890A (ja) アクセス制御装置及びアクセス制御システム
CA2512697C (en) High resolution access control
OHMORI et al. On Automation and Orchestration of an Initial Computer Security Incident Response Using Centralized Incident Tracking System

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20040610

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040610

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080520

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090127