JP2003333084A - パケットフィルタリングルール設定方法 - Google Patents

パケットフィルタリングルール設定方法

Info

Publication number
JP2003333084A
JP2003333084A JP2002134196A JP2002134196A JP2003333084A JP 2003333084 A JP2003333084 A JP 2003333084A JP 2002134196 A JP2002134196 A JP 2002134196A JP 2002134196 A JP2002134196 A JP 2002134196A JP 2003333084 A JP2003333084 A JP 2003333084A
Authority
JP
Japan
Prior art keywords
rule
new
rules
setting
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002134196A
Other languages
English (en)
Inventor
Hiroyasu Terasawa
弘泰 寺澤
Masanori Nanbu
雅徳 南部
Koji Kubota
幸司 久保田
Yukiko Ito
由起子 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2002134196A priority Critical patent/JP2003333084A/ja
Publication of JP2003333084A publication Critical patent/JP2003333084A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 パケットフィルタリングシステムに新たなル
ールを設定する場合、既に登録されたルールが増大した
場合にも、新たなルールを正しく設定し、設定ミスによ
るセキュリティホールの発生を防ぐ技術が必要とされ
る。本発明は、新たに設定するルールを自動的に設定す
ることで、ユーザは、設定順序を意識する必要が無くな
り、また、設定ミスによるセキュリティホールの発生を
防ぐことを目的としている。 【解決手段】 パケットフィルタリングシステムに、ル
ール比較解析部204を導入することで、ユーザ201
は、新しくルールをルール受信部202へ渡すだけで、
既に設定されたルールより、新しいルールが無駄になる
原因となるルールを検出し、設定してくれる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、データパケットの
フィルタリング方法に関し、新たに設定するパケットフ
ィルタリングルールを設定者が希望する意図通りに自動
的に設定し、また、長期間設定されたルールを自動的に
削除するための、パケットフィルタルールの設定、削除
方法に関する。
【0002】
【従来の技術】近年のインターネットに代表されるネッ
トワークの普及に伴い、企業、または家庭において、内
部でLAN環境を構成し、外部ネットワーク(例えばイ
ンターネット)に接続する形態をとることが多くなっ
た。しかし、内部、外部ネットワークを接続する際、セ
キュリティが重要な問題となる。外部ネットワークから
内部ネットワークへの不正なアクセスにより、機密情報
が漏洩し、また、改竄される可能性がある。さらに、不
正なアクセスは、内部ネットワーク内のネットワーク環
境やコンピュータに対する攻撃を起こす場合もあり、そ
の結果、ネットワーク環境の破壊など、多大な損害を被
る可能性もある。
【0003】そこで、不正なアクセスを防止するための
方法として、パケットフィルタリングが挙げられる。パ
ケットフィルタリングは、ファイアウォールなどに用い
られ、保護したいネットワークを不正アクセスから守る
ための有効な方法である。これは、データパケットを中
継するマシンで設定され、受信データパケットを全て検
査し、フィルタリングのルールに基づいて、データパケ
ットが通過することを許可、あるいは拒否するものであ
る。各ルールには、データパケットに関するいくつかの
要素を定義し、これらの要素に応じて、データパケット
が処理される。要素としては、データパケットを送信す
る側、受信する側のアドレスや、ポートなどが挙げられ
る。複数のルールの設定によって、例えば、ある送信元
から送られるデータパケットの通過を拒否したり、別の
送信元から、あるあて先へ送られるデータパケットの通
過を許可することが可能である。ルールは、パケットフ
ィルタリングシステムに順番に記憶される。また、その
ルールは、データパケットが通信装置に到着した際、パ
ケットフィルタリングシステムに記憶された順に評価さ
れる。あるデータパケットが通信装置に到達した際、そ
のパケットに該当する要素を含む最初のルールが適用さ
れ、そのパケットはそのルールに示されるように処理さ
れる。
【0004】このようなルールに基づいたパケットフィ
ルタリングシステムでは、まず、パケットフィルタリン
グによって実現したいセキュリティポリシーを定義した
後、そのポリシーを実現するルールをパケットフィルタ
リングシステムに登録しなければならない。また、その
システムの運用中に、新たなポリシーを決定した場合、
それに基づくルールを新たに登録しなければならない。
そこで、セキュリティポリシーが高度になるに従って、
ポリシーを実現するために多くのルールが必要となる。
データパケットを中継するマシンに到達する全てのデー
タパケットについて、ルールに適用するか否か検査しな
ければならないため、ルールの数が多いほど、パケット
フィルタリングのパフォーマンスは低下する。
【0005】また、ルールは、パケットフィルタリング
システムに記憶された順に評価されるため、例えば、あ
るデータパケットの通過を許可するルールの後に、同じ
パケットの通過を拒否するルールを追加しても、前者の
ルールが先に評価されてしまうため、後者のルールが無
駄になってしまう。そこで、すでに設定されている全て
のルールと新たに設定するルールとを比較した上で、適
切な位置に設定しなければならない。その比較、設定操
作は、ユーザが手動で行うことができるが、ルールを構
成する要素が複数あるため、設定ミスが発生する可能性
があり、登録されたルールの数が多いほど、ユーザにと
って困難である。
【0006】また、設定ミスが、セキュリティホールに
なる可能性も高い。また、削除されないで長時間設定さ
れたままになっているルールは、既に評価されなくなっ
ている場合が多い。評価されないルールがいつまでも設
定されたままになっていることは、セキュリティホール
につながるため、ユーザが設定したルールを全て覚えて
おき、使用されなくなったルールを手動で消さなければ
ならず、手間がかかる。
【0007】パフォーマンスの向上のための技術とし
て、従来、特開2000−174808号公報に記載さ
れたものが知られている。これは、パケットフィルタリ
ングシステムに登録されたルールに優先度を設け、頻繁
に評価されるルールの優先度を高くし、ルールを優先度
順に並び替える方法である。
【0008】また、特開平8−44642号公報に記載
されたものも知られている。これは、コンピュータネッ
トワーク上の情報の流れを制御する、フレキシブルで容
易な保安方法の提案である。このシステムでは、パケッ
トフィルタの設定にGUIを用い、ユーザが簡単な操作
で、その設定を行うことができるものである。
【0009】これらの技術によって、パケットフィルタ
リングのパフォーマンスの向上や、設定の容易性は高ま
るが、新たにルールを設定する際には、やはり既に登録
されているルールと手動で比較した上で設定しなければ
ならないため、設定ミスによるセキュリティホールの発
生が起こる。また、設定したルールも、ユーザが消すま
で残ってしまうことになる。
【0010】
【発明が解決しようとする課題】パケットフィルタリン
グシステムに新たなルールを設定する場合、既に登録さ
れたルールが増大した場合にも、新たなルールを正しく
設定し、また、長時間設定されているルールは残らず削
除することで、設定ミスによるセキュリティホールの発
生を防ぐ技術が必要とされる。
【0011】本発明は、新たに設定するルールを自動的
に設定し、また、既に長時間設定されているルールを自
動的に削除することで、ユーザは、設定順序を意識する
必要が無くなり、また、設定ミスによるセキュリティホ
ールの発生を防ぐことを目的としている。
【0012】
【課題を解決するための手段】上記課題を解決するため
に本発明は、2つ以上の通信ネットワークに接続される
通信装置が前記通信ネットワークを介して受信するデー
タパケットに対する前記通信装置から前記通信ネットワ
ークへの送信可否を少なくとも決定する際に使用する1
つ以上の既存ルールに対して、新たなルールを追加する
パケットフィルタリングルール設定方法であって、前記
1つ以上の既存ルールは所定の登録順序で設定されてお
り、かつ、それぞれ複数のルール要素を有し、前記1つ
以上の既存ルールのうち、前記新たなルールを一部また
は全て包含する関係にあるルールを検出ルールとして検
出する検出ステップと、前記検出ステップにより前記検
出ルールが検出された場合には、前記検出ルールの直前
に前記新たなルールを挿入し、前記検出ステップで前記
検出ルールが検出されない場合には、前記1つ以上の既
存ルールの最後に前記新たなルールを追加する挿入ステ
ップとを有し、前記検出ステップは、前記検出ルールが
検出されるまで、前記登録順序で前記1つ以上の既存ル
ールのうち1つを比較対象ルールとして設定する比較対
象ルール設定ステップと、前記比較対象ルールの各ルー
ル要素と前記新たなルールの各ルール要素とを所定の比
較順序で比較することにより、前記比較対象ルールが前
記新たなルールを一部または全て包含する関係にあるか
否かを判定する判定ステップと、前記判定ステップにお
いて、前記比較対象ルールが前記新たなルールを一部ま
たは全て包含する関係にあると判定された場合には、前
記比較対象ルールを前記検出ルールとして設定する検出
ルール設定ステップとをさらに有する。
【0013】また、本発明における前記判定ステップに
おいては、各ルール要素を前記所定の比較順序で比較す
る際に、前記比較対象ルールが前記新たなルールを一部
または全て包含する関係にないと判明した時点で、前記
比較対象ルールの各ルール要素と前記新たなルールの前
記ルール要素との比較を中止する。
【0014】また、本発明における前記挿入ステップに
おいては、前記新たなルールを前記既存ルールの直前に
挿入する際に、前記2つのルールが相反するルール要素
を有する場合には、前記2つのルールが相反するルール
要素を有する事を示す情報を出力する出力ステップと、
前記新たなルールと前記既存ルールとのいずれかを有効
なルールとするかを示す情報を入力する入力ステップを
さらに有し、前記入力ステップの入力が前記新たなルー
ルを有効にすることを示す情報の場合には前記既存ルー
ルの直前に前記新たなルールを挿入し、前記入力が前記
既存ルールを有効にすることを示す情報の場合には、前
記新たなルールを最後尾に挿入する。
【0015】また、本発明における前記所定の比較順序
は、前記通信装置とネットワークとが接続されるインタ
フェース名、前記データパケットが流れるプロトコルの
特徴を示すプロトコル情報、前記データパケットが前記
通信装置を介して中継するパケットか、前記通信装置自
体への要求であるかを判断するチェイン情報、前記デー
タパケットの送信側及び受信側のアドレスとポート、さ
らに、前記データパケットが前記ルールに従って流れる
ことを許可するか否かを判断するターゲット情報の順に
設定されている。
【0016】また、本発明における前記挿入ステップ
は、前記新たなルールを前記検出ルールの直前に挿入す
る際に、前記2つのルールが相反するルール要素を有す
る場合には、前記2つのルールが相反するルール要素を
有する事を示す情報を出力するステップと、前記新たな
ルールを有効にするか否かを示す情報を入力するステッ
プとをさらに有し、前記新たなルールを有効にするか否
かを示す情報が新たなルールを有効にすることを示す情
報の場合には前記検出ルールの直前に前記新たなルール
を挿入し、前記新たなルールを有効にするか否かを示す
情報が前記新たなルールを有効にしないことを示す情報
の場合には、1つ以上の既存ルールの最後に前記新たな
ルールを追加する。
【0017】また、本発明において、前記既存ルール
は、前記ルールの有効時間を示す情報を有しており、前
記有効時間が過ぎた場合に、前記ルールを削除するステ
ップをさらに有する。
【0018】
【発明の実施の形態】本発明を実現することが可能なネ
ットワーク体系を図1に示す。内部ネットワーク(企業
イントラネットや家庭内LAN環境など)を内部ネット
ワーク101として示し、外部ネットワーク(インター
ネットなど)は外部ネットワーク103として示す。ま
た、前記データパケットを中継するマシン(ファイアウ
ォールなど)は通信装置102として示す。通信装置1
02は、内部ネットワーク101と外部ネットワーク1
03の間を全てのパケットが通過する通過点として構成
する。
【0019】(実施の形態1)図2の構成は、本発明の
第1の実施の形態を示す図である。通信装置102は、
現時点までに設定された全てのルールを記憶するパケッ
ト送受信制御部206と、新たに設定するルールを取得
するルール受信部202と、既にパケット送受信制御部
206に登録された全てのルールを取得するルールリス
ト取得部203と、既に登録されたルールと新たに設定
するルールを比較解析するルール比較解析部204と、
ルールをパケット送受信制御部206へ設定するルール
設定部205から構成される。ユーザ201は、通信装
置102の外に存在する。
【0020】ユーザ201は、新たにパケットフィルタ
のルールを設定する際、ルール受信部202へルールを
渡す。ルール受信部202で取得したルールは、ルール
比較解析部204へ渡される。ルール比較解析部204
では、ルールリスト取得部203を通して、パケット送
受信制御部206から現時点までに登録されている全て
のルールを取得する。次に、そのそれぞれのルールと、
新たに設定するルールより設定内容を参照し、パケット
が流れる通信路の範囲と、その通信路が許可であるか、
不許可であるかを比較する。この比較を行うことで、新
たに設定するルールを有効にするための最も適切な適用
順序を自動的に検出し、ルール設定部205へ制御を移
す。ルール設定部205では、その適用順に従って、新
たに設定するルールをパケット送受信制御部206へ設
定する。
【0021】通信装置102の動作は以下の通りであ
る。データパケットが外部ネットワーク103より通信
装置102で受信される際、通信装置102はデータパ
ケットを取得する。
【0022】データパケット301のフォーマットを図
3に示す。ここで示すデータパケットは、TCP/IP
パケット、またはUDP/IPパケットである。データ
パケット301は、ヘッダ部分307、および、データ
部分308を含んでいる。ヘッダ部分307は、送信元
アドレス302、あて先アドレス303、送信元ポート
304、あて先ポート305といったフィールドを含
む。その他のフィールドについては、一般的なIPパケ
ットと同様であるため、それぞれの詳細を省略する(参
考文献:“マスタリングTCP/IP基本編”、竹下隆
史、村山公保、荒井透、苅田幸雄 共著、オーム社(1
998))。
【0023】送信元アドレス302は、データパケット
の送信元のIPアドレスを示す。あて先アドレス303
は、データパケット301のあて先のIPアドレスを示
す。送信元ポート304は、送信元のマシンのポート番
号を示す。ポート番号は、0から65535までの整数
であり、一般に、個々のマシンで動作するアプリケーシ
ョンに対応している。例えば、ウェブサーバは一般にポ
ート番号80と対応している。あて先ポート305は、
あて先のマシンのポート番号を示す。データ306は、
あて先のマシンで実行されるアプリケーションによって
使用されるデータそのものを示す。
【0024】通信装置102によってデータパケットが
受信されると、パケット送受信制御部206は、それ自
身に登録されているルールを、受信データパケットに対
して登録されている順に適用する。パケット送受信制御
部206は、そのパケットに該当する要素を含む最初の
ルールを適用し、そのルールによって、そのパケットが
許可であるか、不許可であるか決定される。ルールがデ
ータパケットに対して適用されると、登録されている残
りのルールは無視される。
【0025】パケット送受信制御部206に登録されて
いるルールの例を図4に示す。各ルールは順番号を持
ち、受信データパケットに対してルールを適用する順序
を示す。また、各ルールは、チェイン情報、ターゲット
情報、送信元アドレス、あて先アドレス、送信元ポー
ト、あて先ポート、プロトコル情報、インタフェース名
を示すフィールドを有する。各ルールは、ルールのフィ
ールドに該当するデータパケットが受信されると、その
ルールに記載されたターゲット情報に基づいて、許可、
あるいは、不許可の制限が行われる。受信データパケッ
トがルールに適用される場合は、データパケットのヘッ
ダ情報が、上記のフィールド内の定義された値の範囲内
に入る場合を言う。
【0026】例えば、ルール番号1は、TCPプロトコ
ルを用いて受信されたパケットで、送信元インタフェー
ス名がeth0であり、あて先インタフェース名が任意
であり、チェイン情報がFORWARDであり、送信元
アドレスが、192.168.5.10−192.16
8.5.30の範囲にあり、送信元ポートが25−50
の範囲にあり、あて先アドレス、あて先ポートが任意で
あるパケットを不許可(DROP)する。ここで、チェ
イン情報において、FORWARDは、通信装置を介し
て内部ネットワークから外部ネットワーク、あるいは外
部ネットワークから内部ネットワークへデータを中継す
る場合に設定される。ほかに、INPUTは、内部ネッ
トワーク、あるいは外部ネットワークから通信装置自身
への通信について規定する場合に設定される。また、O
UTPUTは、通信装置自身から、内部ネットワーク、
あるいは外部ネットワークへの通信について規定する場
合に設定される。
【0027】ルール番号2は、TCPプロトコルを用い
て受信されたパケットで、送信元インタフェース名がe
th1であり、あて先インタフェース名がeth0であ
り、チェイン情報がFORWARDであり、送信元アド
レスが、192.168.1.1−192.168.
1.50の範囲にあり、送信元ポートが40−85の範
囲にあり、あて先アドレスが192.168.5.20
−192.168.5.80の範囲にあり、あて先ポー
トが25であるパケットを許可(ACCEPT)する。
【0028】ルール番号3は、TCPプロトコルを用い
て受信されたパケットで、送信元インタフェース名がe
th1であり、あて先インタフェース名がeth0であ
り、チェイン情報がFORWARDであり、送信元アド
レスが、192.168.1.80−192.168.
1.100の範囲にあり、送信元ポートが80−100
の範囲にあり、あて先アドレスが192.168.5.
20−192.168.5.50の範囲にあり、あて先
ポートが80であるパケットを許可(DROP)する。
【0029】ルールは登録された順に適用されるため、
ルール番号3は、ルール番号1、2のいずれも着信デー
タパケットに適合しない場合に適用される。また、ター
ゲット情報は、ルールに適合するデータパケットを許
可、不許可するだけでなく、それら以外の別の処理をさ
せることも指定できる。
【0030】こうして、受信データパケットは、パケッ
トフィルタリングシステムに既に登録されたルールに該
当するまで、順次適用する。該当したルールが許可の場
合は、内部ネットワーク101へ送信することが許可さ
れる。
【0031】上記のような動作をするパケットフィルタ
リングシステムにおいて、既に図4に示されるようなル
ールが登録されていると仮定し、新たにルール追加する
場合、その内容によっては、従来の技術で述べた通り、
そのルールが無効になってしまう場合がある。そこで、
本発明では、新たに設定するルールを既にパケットフィ
ルタリングシステムに登録されているルールと比較する
方法を考案し、これを自動的に行うことで、ユーザは設
定順序を意識する必要無く設定できる。
【0032】上記方法に基づいて、ルール比較解析部2
04の動作を、図6に示すフローチャートを用いて説明
する。新たにルールを設定する際、新たなルールの設定
要求(ステップ601)を行い、ルール比較解析部20
4は、ルールリスト取得部203を介して、パケット送
受信制御部206から、既に登録済みの全てのルールを
取得する(ステップ602)。以下、既に設定済みのル
ールを旧設定ルールと表記する。
【0033】次に、新たに設定するルールと、パケット
送受信制御部206に既に登録された最も先に評価され
るルールとを比較する(ステップ603)。比較要素
は、インタフェース名(ステップ604)、プロトコル
情報(ステップ605)、チェイン情報(ステップ60
6)、アドレス(ステップ607)、ポート(ステップ
608)、ターゲット情報(ステップ609)である。
【0034】最初にインタフェース名(ステップ60
4)の比較を行う。これは、新たに設定するルールと、
旧設定ルールに設定されているインタフェース名が一致
するか否かを比較する。不一致の場合は、比較を終了
し、次にパケット送受信制御部206に登録されている
ルールに着目する(ステップ610)。着目するルール
が存在する場合は、そのルールと新しく設定するルール
との比較を開始する(ステップ611)。着目するルー
ルが存在しない場合は、登録されているルールを全て比
較したことになるため、新しいルールを登録済みのルー
ルの最後に追加し(ステップ615)終了する。インタ
フェース名が一致する場合は、次のプロトコル情報(ス
テップ605)の比較へ進む。
【0035】プロトコル情報(ステップ605)の比較
では、新たに設定するルールと旧設定ルールに設定され
ているプロトコル情報が一致するか否かを比較する。不
一致の場合は、比較を終了し、次にパケット送受信制御
部206に登録されているルールに着目する(ステップ
610)。着目するルールが存在する場合は、そのルー
ルと新しく設定するルールとの比較を開始する(ステッ
プ611)。着目するルールが存在しない場合は、登録
されているルールを全て比較したことになるため、新し
いルールを登録済みのルールの最後に追加し(ステップ
615)終了する。プロトコル情報が一致する場合は、
次のチェイン情報(ステップ606)の比較へ進む。
【0036】チェイン情報(ステップ606)の比較で
は、新たに設定するルールと旧設定ルールに設定されて
いるチェイン情報が一致するか否かを比較する。不一致
の場合は、比較を終了し、次にパケット送受信制御部2
06に登録されているルールに着目する(ステップ61
0)。着目するルールが存在する場合は、そのルールと
新しく設定するルールとの比較を開始する(ステップ6
11)。着目するルールが存在しない場合は、登録され
ているルールを全て比較したことになるため、新しいル
ールを登録済みのルールの最後に追加する(ステップ6
15)。チェイン情報が一致する場合は、次のアドレス
(ステップ607)の比較へ進む。
【0037】アドレス(ステップ607)の比較では、
新たに設定するルールと旧設定ルールに設定されてい
る、データパケットを送信する側、受信する側のアドレ
スが一致、または、片方のルールのアドレスの範囲が、
もう一方のルールのアドレスの範囲に完全に含まれる
か、一部含まれるかを比較する。具体的には、図7で示
す(a)〜(g)のパターンが挙げられる。ここで、図
7において、&&は右辺と左辺の両方を同時に満たすこ
とを示す。このうち、アドレスが一致する可能性がある
場合は、アドレスが同じか、一部重複する場合で、
(a)〜(e)であり、(f)、(g)は無視できる。
(a)〜(e)を全て満たす条件式は、以下のように表
せる。
【0038】 (NewIpMax ≧ NowIpMin) && (NowIpMax ≧ NewIpMin) ここで、上記変数の意味は以下の通りである。
【0039】NowIpMin…旧設定ルールに設定されている
アドレスの最小値 NowIpMax…旧設定ルールに設定されているアドレスの最
大値 NewIpMin…新しく登録するルールのアドレスの最小値 NewIpMax…新しく登録するルールのアドレスの最大値 上記条件を満たす場合、次のポートの比較(ステップ6
08)へ進む。満たさない場合は、比較を終了し、次に
パケット送受信制御部206に登録されているルールに
着目する(ステップ610)。着目するルールが存在す
る場合は、そのルールと新しく設定するルールとの比較
を開始する(ステップ611)。着目するルールが存在
しない場合は、登録されているルールを全て比較したこ
とになるため、新しいルールを登録済みのルールの最後
に追加し(ステップ615)終了する。
【0040】次に、ポート(ステップ608)を比較す
る。ポート(ステップ608)の比較では、新たに設定
するルールと旧設定ルールに設定されている、データパ
ケットを送信する側、受信する側のポートが一致、また
は、片方のルールのポートの範囲が、もう一方のルール
のポート(ステップ608)の範囲に完全に含まれる
か、一部含まれるかを比較する。具体的には、ポート
(ステップ608)が一致するか、一部重複する条件
は、アドレスの場合と同様であるため、以下のように表
せる。
【0041】(NewPortMax≧NowPortMin) && (NowPortMa
x≧NewPortMin) ここで、上記変数の意味は以下の通りである。
【0042】NowPortMin…旧設定ルールに設定されてい
るポートの最小値 NowPortMax…旧設定ルールに設定されているポートの最
大値 NewPortMin…新しく登録するルールのポートの最小値 NewPortMax…新しく登録するルールのポートの最大値 上記条件を満たす場合、ターゲット情報(ステップ60
9)へ進む。満たさない場合は、比較を終了し、次にパ
ケット送受信制御部206に登録されているルールに着
目する(ステップ610)。着目するルールが存在する
場合は、そのルールと新しく設定するルールとの比較を
開始する(ステップ611)。着目するルールが存在し
ない場合は、登録されているルールを全て比較したこと
になるため、新しいルールを登録済みのルールの最後に
追加し(ステップ615)終了する。
【0043】次の、ターゲット情報(ステップ609)
の比較では、ターゲット情報が一致する場合は、着目し
たルールと新しく設定するルールの一部、または全てが
同じ内容になるため、着目したルールの後に新しいルー
ルを設定しても、新しいルールの一部、または全てが参
照されない。そこで、新しく設定するルールが参照され
るようにするため、検出した旧設定ルールの1つ前に新
しいルールを挿入する(ステップ613)。ターゲット
情報が異なる場合は、データパケットが通過する同じ経
路に対して、異なった動作をさせることになるため、新
しい設定が無効になる可能性がある。この場合、新しい
ルールを設定するか否かをユーザに問い(ステップ61
2)、ユーザが旧設定ルールのままで良いと判断した場
合は、新しいルールを設定しない(ステップ614)。
ユーザが設定を希望する場合は、着目した旧設定ルール
の1つ前に新しいルールを挿入することで、必ず新しい
ルールが適用されるようにする。
【0044】例えば、図5で示すルールを新たに追加す
る場合、図6に示すフローチャートに従って新たなルー
ルと旧設定ルールを比較する。ルール番号1との比較で
は、送信インタフェース名が異なり、問題が起こる可能
性が無いため、ルール番号2との比較へ移行する。ルー
ル番号2との比較では、インタフェース名、プロトコル
情報、チェイン情報、ポート番号は一致するが、送信元
アドレスが異なり、問題が起こる可能性が無いため、ル
ール番号3との比較へ移行する。ルール番号3との比較
では、インタフェース名、チェイン情報、プロトコル情
報が一致する。また、新たに設定する送信元アドレス
が、旧設定ルールのそれと一部重複するため、図7の
(e)に該当する。さらに、新たに設定するあて先ポー
トの一部が旧設定ルールのそれと一部重複しているた
め、図7の(b)に該当する。また、ターゲット情報が
異なるため、新たに設定するルールを通常通り、ルール
番号3の後方に設定してしまうと、送信元アドレス19
2.168.5.85−192.168.5.100の
範囲より来た受信データパケットはルール番号3に従っ
て不許可されてしまい、新たに設定したルールが適用さ
れない。そこで、ユーザに有無を問うことにより、ユー
ザが新たに設定するルールを全て有効にしたい場合は、
そのルールをルール番号3の手前に挿入する。この操作
により、ユーザの意思に基づいて新たに設定したルール
を有効にすることが可能である。
【0045】実施の形態1では、本発明の実施の1例と
して、TCP/IPパケットについて述べたが、TCP
/IPパケット、UDP/IPパケット以外のパケット
についても、要素のとり方によって、本発明を適用する
ことが可能である。
【0046】(実施の形態2)図8は、本発明の第2の
実施の形態を示す図である。通信装置102は、現時点
までに設定された全てのルールを記憶するパケット送受
信制御部804と、新たに設定するルールを取得するル
ール受信部802と、ルール受信部802から受信した
ルールを有効時刻(以下で説明)とともに記憶し、有効
時刻によってパケット送受信制御部804から削除する
ルール記憶部803と、ルール記憶部803へ定期的に
信号を送る信号送出部805から構成される。ユーザ8
01は、通信装置102の外に存在する。
【0047】ユーザ801は、最初にパケットフィルタ
のルールを設定する際、ルール記憶部803に対して、
ルールを自動的に削除してよい時間(有効時間)を登録
する。有効時間は秒単位で表し、新たにルールを設定す
る際、設定後30分経過した後、削除したい場合は、有
効時間を1800秒とする。その後、ユーザ801は、
新たにパケットフィルタのルールを設定する際、ルール
受信部802へルールを渡す。ルール受信部802で取
得したルールは、ルール記憶部803で記憶された後、
パケット送受信制御部804へ設定する。ルール記憶部
803では、現時刻に有効時間を加えた時刻(有効時
刻)を計算し、有効時刻の早い順になるようにルールを
記憶する。信号送出部805では、定期的にルール記憶
部へ信号を送る。ルール記憶部では、信号を受信した時
刻が、有効時刻と等しいか、過ぎているか否かを、ルー
ル記憶部に登録されている全てのルールにおいて検索
し、それに該当するルールを削除する。
【0048】ルール記憶部(802)の詳細を図9のフ
ローチャートを用いて述べる。図9(a)において、ユ
ーザは、あらかじめ、有効時間を登録しておく(ステッ
プ901)。ユーザが新たなルールを追加(ステップ9
02)後、そのルールは有効時刻とともにルール記憶部
へ登録される。登録の際、ルール記憶部の中で、有効時
刻の早い順にルールを並べ替える(ステップ903)。
【0049】図9(b)において、信号送出部は、終了
の信号を受信するまで(ステップ904)定期的に信号
をルール記憶部803へ送信する(ステップ905)。
図9(c)において、ルール記憶部803は、信号送信
部902より定期的に信号を受信(ステップ906)
し、パケットフィルタリングシステムに最初に登録され
たルールを取得(ステップ907)し、その時点での現
時刻とルールに登録された有効時刻を比較(ステップ9
08)する。現時刻が有効時刻と等しいか、有効時刻を
過ぎたルールは削除(ステップ909)し、次に登録さ
れているルールを取得する(ステップ910)。次のル
ールが取得できれば、再び有効時刻と現時刻を比較する
(ステップ908)。次のルールが取得できない場合
は、比較を終了する。取得したルールの現時刻が有効時
刻を過ぎていない場合は、それ以降に登録されているル
ールは有効時刻を過ぎないため、比較を終了する。
【0050】(実施の形態3)上記実施の形態1の発明
へ、実施の形態2の発明を組み込むことによって、新た
に設定するルールを自動的に設定し、さらに、既に登録
されたルールのうち、古いものを自動的に削除すること
が可能となる。
【0051】
【発明の効果】本発明により、ユーザは、新たにパケッ
トフィルタのルールを設定する際、既に設定されたルー
ルとの設定順序を意識する必要が無くなる。また、既に
設定されたルールは、時間によって削除されるため、古
いルールは自動的に全て削除される。これにより、ユー
ザの設定ミスによるセキュリティホールを防ぐことが可
能となる。
【図面の簡単な説明】
【図1】本発明を実現することが可能なネットワーク体
系図
【図2】本発明の実施の形態1の構成図
【図3】データパケットのフォーマット図
【図4】パケットフィルタリングシステムに登録されて
いるルールの例を示す図
【図5】新たに設定を行うルールの例を示す図
【図6】本発明の実施の形態1におけるフローチャート
【図7】アドレスの比較方法を示す図
【図8】本発明の実施の形態2の構成図
【図9】本発明の実施の形態2におけるフローチャート
【符号の説明】
101 内部ネットワーク 102 通信装置 103 外部ネットワーク 201 ユーザ 202 ルール受信部 203 ルールリスト取得部 204 ルール比較解析部 205 ルール設定部 206 パケット送受信制御部 301 データパケット 302 送信元IPアドレス 303 あて先IPアドレス 304 送信元ポート 305 あて先ポート 306 データ 307 ヘッダ部分 308 データ部分 601 新たなルールの設定要求 602 既に登録済みの全てのルールの取得 603 新たなルールと登録済みの最も先に評価される
ルールの比較 604 インタフェース名の比較 605 プロトコル情報の比較 606 チェイン情報の比較 607 アドレスの比較 608 ポートの比較 609 ターゲット情報の比較 610 登録済みの次のルールに着目 611 新しいルールと登録済みの次に評価されるルー
ルの比較 612 設定の有無をユーザに問う 613 検出したルールの前に新たなルールを挿入 614 設定しない 615 新しいルールを登録済みの全てのルールの最後
に追加 801 ユーザ 802 ルール受信部 803 ルール記憶部 804 パケット送受信制御部 805 信号送信部 901 ユーザによる有効時間の登録 902 新しいルールの追加 903 有効時刻順にルールを記憶 904 ルール記憶部へ信号送信 905 終了の信号を受信 906 信号送出部より信号受信 907 最初に登録されたルールを取得 908 有効時刻と現時刻との比較 909 ルールの削除 910 次に登録されたルールを取得
フロントページの続き (72)発明者 久保田 幸司 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 (72)発明者 伊藤 由起子 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 Fターム(参考) 5B089 GA04 KA12 KA17 KB13 KC14 KC15 5K030 GA11 HA08 HD01 KA05 LB05 LD20 LE11

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 2つ以上の通信ネットワークに接続され
    る通信装置が前記通信ネットワークを介して受信するデ
    ータパケットに対する前記通信装置から前記通信ネット
    ワークへの送信可否を少なくとも決定する際に使用する
    1つ以上の既存ルールに対して、新たなルールを追加す
    るパケットフィルタリングルール設定方法であって、 前記1つ以上の既存ルールは所定の登録順序で設定され
    ており、かつ、それぞれ複数のルール要素を有し、 前記1つ以上の既存ルールのうち、前記新たなルールを
    一部または全て包含する関係にあるルールを検出ルール
    として検出する検出ステップと、 前記検出ステップにより前記検出ルールが検出された場
    合には、前記検出ルールの直前に前記新たなルールを挿
    入し、前記検出ステップで前記検出ルールが検出されな
    い場合には、前記1つ以上の既存ルールの最後に前記新
    たなルールを追加する挿入ステップとを有し、 前記検出ステップは、 前記検出ルールが検出されるまで、前記登録順序で前記
    1つ以上の既存ルールのうち1つを比較対象ルールとし
    て設定する比較対象ルール設定ステップと、 前記比較対象ルールの各ルール要素と前記新たなルール
    の各ルール要素とを所定の比較順序で比較することによ
    り、前記比較対象ルールが前記新たなルールを一部また
    は全て包含する関係にあるか否かを判定する判定ステッ
    プと、 前記判定ステップにおいて、前記比較対象ルールが前記
    新たなルールを一部または全て包含する関係にあると判
    定された場合には、前記比較対象ルールを前記検出ルー
    ルとして設定する検出ルール設定ステップとをさらに有
    することを特徴とするパケットフィルタリングルール設
    定方法。
  2. 【請求項2】 前記判定ステップにおいて、各ルール要
    素を前記所定の比較順序で比較する際に、前記比較対象
    ルールが前記新たなルールを一部または全て包含する関
    係にないと判明した時点で、前記比較対象ルールの各ル
    ール要素と前記新たなルールの前記ルール要素との比較
    を中止することを特徴とする請求項1記載のパケットフ
    ィルタリングルール設定方法。
  3. 【請求項3】 前記挿入ステップにおいて、前記新たな
    ルールを前記既存ルールの直前に挿入する際に、前記2
    つのルールが相反するルール要素を有する場合には、前
    記2つのルールが相反するルール要素を有する事を示す
    情報を出力する出力ステップと、前記新たなルールと前
    記既存ルールとのいずれかを有効なルールとするかを示
    す情報を入力する入力ステップをさらに有し、 前記入力ステップの入力が前記新たなルールを有効にす
    ることを示す情報の場合には前記既存ルールの直前に前
    記新たなルールを挿入し、前記入力が前記既存ルールを
    有効にすることを示す情報の場合には、前記新たなルー
    ルを最後尾に挿入することを特徴とする請求項1または
    2に記載のパケットフィルタリングルール設定方法。
  4. 【請求項4】 前記所定の比較順序は、前記通信装置と
    ネットワークとが接続されるインタフェース名、前記デ
    ータパケットが流れるプロトコルの特徴を示すプロトコ
    ル情報、前記データパケットが前記通信装置を介して中
    継するパケットか、前記通信装置自体への要求であるか
    を判断するチェイン情報、前記データパケットの送信側
    及び受信側のアドレスとポート、さらに、前記データパ
    ケットが前記ルールに従って流れることを許可するか否
    かを判断するターゲット情報の順に設定されていること
    を特徴とする請求項1から3のいずかに記載のパケット
    フィルタリングルール設定方法。
  5. 【請求項5】 前記挿入ステップは、前記新たなルール
    を前記検出ルールの直前に挿入する際に、前記2つのル
    ールが相反するルール要素を有する場合には、前記2つ
    のルールが相反するルール要素を有する事を示す情報を
    出力するステップと、前記新たなルールを有効にするか
    否かを示す情報を入力するステップとをさらに有し、前
    記新たなルールを有効にするか否かを示す情報が新たな
    ルールを有効にすることを示す情報の場合には前記検出
    ルールの直前に前記新たなルールを挿入し、前記新たな
    ルールを有効にするか否かを示す情報が前記新たなルー
    ルを有効にしないことを示す情報の場合には、1つ以上
    の既存ルールの最後に前記新たなルールを追加すること
    を特徴とする請求項1から4のいずれかに記載のパケッ
    トフィルタリングルール設定方法。
  6. 【請求項6】 前記既存ルールは前記ルールの有効時間
    を示す情報を有しており、前記有効時間が過ぎた場合
    に、前記ルールを削除するステップをさらに有すること
    を特徴とする請求項1から5のいずれかに記載のパケッ
    トフィルタリングルール設定方法。
JP2002134196A 2002-05-09 2002-05-09 パケットフィルタリングルール設定方法 Pending JP2003333084A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002134196A JP2003333084A (ja) 2002-05-09 2002-05-09 パケットフィルタリングルール設定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002134196A JP2003333084A (ja) 2002-05-09 2002-05-09 パケットフィルタリングルール設定方法

Publications (1)

Publication Number Publication Date
JP2003333084A true JP2003333084A (ja) 2003-11-21

Family

ID=29696921

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002134196A Pending JP2003333084A (ja) 2002-05-09 2002-05-09 パケットフィルタリングルール設定方法

Country Status (1)

Country Link
JP (1) JP2003333084A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006053824A (ja) * 2004-08-13 2006-02-23 Nec Corp アクセス制御システム、アクセス制御方法、及び、プログラム
JP2007221240A (ja) * 2006-02-14 2007-08-30 Nippon Telegr & Teleph Corp <Ntt> パケット通過制御装置及びパケット通過制御方法
WO2009119071A1 (en) 2008-03-27 2009-10-01 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
JP2010507871A (ja) * 2006-11-03 2010-03-11 アルカテル−ルーセント ユーエスエー インコーポレーテッド 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
US7792775B2 (en) 2005-02-24 2010-09-07 Nec Corporation Filtering rule analysis method and system
JP2011060249A (ja) * 2009-09-15 2011-03-24 Kddi Corp ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム
JP2011076293A (ja) * 2009-09-30 2011-04-14 Hitachi Ltd 障害の根本原因解析結果表示方法、装置、及びシステム
JP2017085597A (ja) * 2016-12-08 2017-05-18 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理方法、及びコンピュータプログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006053824A (ja) * 2004-08-13 2006-02-23 Nec Corp アクセス制御システム、アクセス制御方法、及び、プログラム
US7792775B2 (en) 2005-02-24 2010-09-07 Nec Corporation Filtering rule analysis method and system
JP2007221240A (ja) * 2006-02-14 2007-08-30 Nippon Telegr & Teleph Corp <Ntt> パケット通過制御装置及びパケット通過制御方法
JP2010507871A (ja) * 2006-11-03 2010-03-11 アルカテル−ルーセント ユーエスエー インコーポレーテッド 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
WO2009119071A1 (en) 2008-03-27 2009-10-01 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
EP2272200A4 (en) * 2008-03-27 2017-10-11 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
US10033742B2 (en) 2008-03-27 2018-07-24 Canon Kabushiki Kaisha Information processing apparatus, control method of the information processing apparatus, storage medium, and program
US11089025B2 (en) 2008-03-27 2021-08-10 Canon Kabushiki Kaisha Selecting encryption key using policies
JP2011060249A (ja) * 2009-09-15 2011-03-24 Kddi Corp ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム
JP2011076293A (ja) * 2009-09-30 2011-04-14 Hitachi Ltd 障害の根本原因解析結果表示方法、装置、及びシステム
JP2017085597A (ja) * 2016-12-08 2017-05-18 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理方法、及びコンピュータプログラム

Similar Documents

Publication Publication Date Title
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
US10015140B2 (en) Identifying additional firewall rules that may be needed
JP3492920B2 (ja) パケット検証方法
US7472411B2 (en) Method for stateful firewall inspection of ICE messages
US20050125697A1 (en) Device for checking firewall policy
JP3459183B2 (ja) パケット検証方法
US7725932B2 (en) Restricting communication service
US7646728B2 (en) Network monitoring and intellectual property protection device, system and method
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
EP1758340B1 (en) Access device for preventing transmission of copyrighted content to external network and method for the same
US7710971B2 (en) Method of blocking network attacks using packet information and apparatus thereof
JP2003333084A (ja) パケットフィルタリングルール設定方法
US20110078283A1 (en) Service providing system, filtering device, filtering method and method of confirming message
US7188164B1 (en) Secure network access control
CN113852697B (zh) 一种sdp终端流量代理方法、装置、设备及存储介质
Cisco Protocol Translator Configuration and Reference Errata
Cisco Protocol Translator Configuration and Reference Errata
Cisco Protocol Translator Configuration and Reference Errata
JP5011136B2 (ja) 情報流出検知システム
US8185642B1 (en) Communication policy enforcement in a data network
Cisco Protocol Translator Configuration and Reference Errata
Cisco Protocol Translator Configuration and Reference Errata
Cisco Protocol Translator Configuration and Reference Errata
Cisco Protocol Translator Configuration and Reference Errata
US20210014257A1 (en) Method and device for intrusion detection in a computer network