JP2003505934A - 安全なネットワーク・スイッチ - Google Patents

安全なネットワーク・スイッチ

Info

Publication number
JP2003505934A
JP2003505934A JP2001511049A JP2001511049A JP2003505934A JP 2003505934 A JP2003505934 A JP 2003505934A JP 2001511049 A JP2001511049 A JP 2001511049A JP 2001511049 A JP2001511049 A JP 2001511049A JP 2003505934 A JP2003505934 A JP 2003505934A
Authority
JP
Japan
Prior art keywords
packet
network
access rules
packets
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001511049A
Other languages
English (en)
Inventor
ジョンソン,ジョン
オーキン,ケン
ラドゥケル,ウィリアム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2003505934A publication Critical patent/JP2003505934A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 ネットワーク内におけるパケットのフローを制御する手段を有する安全なネットワーク。一実施形態では、このネットワークは、LANスイッチで共に結合された複数のネットワーク装置を含む。各ネットワーク装置は、LANのポートに物理的に接続されている。各ポートは、そのポートに到着するパケットの少なくとも一部分を受け取り、そのパケットがそのポートを通過して宛先アドレスに経路指定されることが許可されているかどうかを判定するパケット・フィルタを有する。フィルタは、パターン照合または他の技法を使用して、パケットが該当のアクセス規則を満たすかどうかを判定することができる。アクセス規則は、システム管理者によって決定され、フィルタによって実装するためにLANスイッチにダウンロードされる。各フィルタは、異なる1組のアクセス規則を実装することができ、また、選択されたネットワーク装置に対するアクセス・レベルを設定するため、または特定の装置を分離するために管理者がこのフィルタを使用することができる。

Description

【発明の詳細な説明】
【0001】 (発明の背景) (1. 発明の分野) 本発明は、コンピュータ・ネットワークに関し、より詳細には、個々のコンピ
ュータとネットワークのその他の部分の間におけるアクセスを制御するため、ネ
ットワーク内のLANスイッチを介して伝送されるデータ・パケットをフィルタ
リングする手段に関する。
【0002】 (2. 関連技術の説明) コンピュータ技術の急速な進展とその技術のコストの低下により、コンピュー
タおよびコンピュータ・ネットワークが広汎に使用されるようになってきた。同
様に、組織は、自らのネットワークの外部のコンピュータとの通信をますます利
用している。例えば、組織は、研究を行うため、電子メールを送るため、また1
つのロケーションから別のロケーションにファイルを転送するためにWorld
Wide Webに対するアクセスを必要とする。同様に、マーケティング・
キャンペーンを行うため、情報を配布するため、または企業と潜在的顧客の間の
接触ポイントを確立するためにウェブ・ページが使用される。このように、組織
の自らのネットワークの外部にあるコンピュータ・システムおよびコンピュータ
・ネットワークにますます接触しているため、セキュリティがますます大きな関
心事となっている。外部エンティティに対してネットワークを解放しておくので
、無許可のアクセスやそのネットワークに対する攻撃など、不正行為のための多
くの機会を提供する。
【0003】 セキュリティの心配が高まるにつれ、企業がその内部ネットワークと他の外部
ネットワークの間にファイアウォールを実装することがますます一般的になって
いる。実際、ファイアウォールは、一般的に、インターネットに接続されている
どの企業ネットワークにとっても必需品であると考えられている。ファイアウォ
ールは、会社または企業が使用するネットワークと外部ネットワークの間の障壁
の役割を果たしている。ファイアウォールは、すべてのデータが内部ネットワー
クに入るにはまずそこを通過しなければならない検査ポイントとして働く。デー
タは、ファイアウォールに達すると、検査されて、内部ネットワークに対するア
クセスが許可される1つまたは複数の規則を満たしているかどうかが判定される
。これらの規則は、システム管理者によってファイアウォール内にプログラムさ
れている。ファイアウォールは、多くの無許可のアクセスを防ぐ、またはネット
ワークの外部から試みられる可能性がある攻撃さえ防ぐ便利な方法である。ファ
イアウォールは、通常、企業ネットワークと外部ネットワークの間にある唯一の
通信回線上に実装される。かくして、システム管理者は、到着パケットをそこで
自らが検査し、アクセス規則を実施し、無許可の活動を監視する中央ポイントを
有することになる。
【0004】 ファイアウォールは、多くのセキュリティの利点を提供するが、欠点も有して
いる。そのような1つの欠点は、一度、無許可のアクセスがシステムに対して行
われると、ファイアウォールは、そのアクセスによって引き起こされる可能性が
ある損害を抑えるためにはどうすることもできないことである。また、ファイア
ウォールは、単にそのファイアウォールの裏をかくアクセスを防止することもで
きない。例えば、ある企業ネットワーク・ユーザに、そのネットワークから外部
システムに直接にダイヤルすることが許されている場合、この接続を介して通過
するデータは検査されず、ファイアウォール・アクセス規則が適用されない。ま
た、ファイアウォールは、ネットワーク・ユーザが外部ソースからウイルスに感
染したフロッピー(登録商標)・ディスクを持ち込み、それをネットワーク上に
ロードすることに対しても、何もできない。ウイルスがネットワーク上の1つの
コンピュータに感染した場合、そのウイルスは、ファイアウォールを通過する必
要なしにネットワークのその他の部分に広がることができる。さらに、ファイア
ウォールは、そのファイアウォール内にある敵意のあるマシンの侵入によって引
き起こされる可能性がある損害も防ぐことができない。
【0005】 (発明の概要) 前述した問題の1つまたはいくつかが、本発明の様々な実施態様によって解決
できる。本発明は、企業用コンピュータ・ネットワーク内で、そのネットワーク
内のデータ・パケットのフローを制御する手段を実装する。(本明細書で使用す
る「企業用」とは、ビジネスまたは企業が使用するネットワークを意味する。こ
れは、参照ポイントを示すためであり、特定のタイプのネットワークを示すこと
を表すものではない。)これらの手段は、企業ネットワークとインターネットな
どの外部ネットワークの間だけのパケット・フローを制御するファイアウォール
とは独立して実装される。したがって、無許可のパケットがファイアウォールを
破った、またはどのようにか裏をかいた場合でさえ、それらのパケットが企業ネ
ットワーク上の装置に影響を与えるのを本発明によって防止することができる。
【0006】 一実施態様では、いくつかのコンピュータが、LAN(ローカル・エリア・ネ
ットワーク)スイッチによってネットワーク内で互いに結合される。(特に指定
がなければ、本明細書でネットワークと関連して使用する「コンピュータ」とい
う用語は、ネットワークに接続することが可能であり、またパケットを送信およ
び/または受信するように構成された任意の装置、例えば、ワークステーション
、プリンタ、ファイル・サーバ、モデム・サーバ、ルータ等を指す。同様に、「
LANスイッチ」という用語は、スイッチ、ルータ、ハブなど、ネットワーク上
の装置に関する任意のタイプのインターフェース装置を指す。)LANスイッチ
は、いくつかの物理ポートを有し、コンピュータのそれぞれが、これらのポート
の1つに接続されている。パケット・フィルタが、これらのポートのそれぞれに
関連している。パケット・フィルタは、ポートを通って関連するコンピュータに
出入りすることが許可されるタイプのパケットと許可されないタイプのパケット
を決める。パケットがポートの1つによって受信されたとき、関連するフィルタ
を使用し、そのパケットを宛先のコンピュータに伝送すべきか、それとも他の何
らかの処置をとるべきかを(例えば、パケット照合により)判定する。この代替
処置は、そのパケットをドロップすること、そのパケットを別のポートに再経路
指定すること、または単にそのパケットのことをシステム管理者に通知すること
から成ることが可能である。これにより、ポートを使って、そのそれぞれの回線
およびそこに結合されているコンピュータに対するアクセスを物理的に制御する
ことができる。
【0007】 一実施態様では、パケット・フィルタは、パケットの通常の処理(例えば、ア
ドレス指定)と並行してパケットを走査する。この通常処理の典型は、パケット
に関する宛先アドレスを決定することである。フィルタは、パケット照合(パケ
ット内のあるフィールドを所定パターンと比較すること)を行い、そのパケット
が許可されているかどうかを判定することができる。パケットが許可されていな
いと判定された場合、フィルタは信号をLANスイッチに送り、そのパケットが
LANスイッチを超える前にドロップまたは再経路指定できるようにする。通常
の処理と並行してパケット・フィルタリングを行うことにより、ネットワーク内
のオーバーヘッドおよび遅延が最小限に抑えられる。
【0008】 一実施態様では、各パケット・フィルタは、LANスイッチ上で動作するソフ
トウェア・エグゼクティブによってプログラムされる。ネットワーク管理者は、
それぞれのパケット・フィルタごとに許可をダウンロードすることができる。ネ
ットワーク管理者は、これにより、ファイアウォール内におけるのと同様にポー
トのそれぞれでアクセスを制御することができる。パケットは各ポートで独立に
フィルタリングされるので、ネットワーク管理者は、各コンピュータごとに異な
るようにアクセス規則を構成することができる。これにより、ネットワーク管理
者は、異なるユーザのクラスを組織したり、または個々のコンピュータをネット
ワークの他の部分から分離することさえできる。
【0009】 本発明の他の目的および利点は、以下の詳細な説明を読み、添付の図面を参照
すれば明らかになるであろう。
【0010】 本発明には、様々な変更態様および代替の形態があり得るが、その特定の実施
形態を図面に例として示し、本明細書で詳細に説明する。ただし、図面およびそ
の詳細な説明は、本発明を開示する特定の形態のみに限定するものではない。そ
うではなくて、本発明は、添付の特許請求の範囲によって定義される本発明の趣
旨および範囲に含まれるすべての変更形態、等価形態、および代替形態をカバー
する。
【0011】 (好ましい実施形態の詳細な説明) 本発明の一実施形態を以下に詳細に説明する。この実施形態は、相互接続され
たコンピュータのネットワーク内で実装される。コンピュータのそれぞれは、L
ANスイッチを介してこのネットワークに接続されている。(本明細書で使用す
る「LANスイッチ」は、パケットをネットワーク内のコンピュータに転送する
任意の装置を意味する。)LANスイッチは、コンピュータが接続されるいくつ
かのポートを有する。ネットワーク上のコンピュータの1つにパケットが送られ
るとき、そのパケットは、まず、LANスイッチに送られる。LANスイッチは
、そのパケットを処理し、そのパケットが通常に経路指定される場合、次にどこ
に送るべきかを判定する。
【0012】 この通常の経路指定に加えて、LANスイッチはパケットを検査し、それが通
常に経路指定すべきかどうかを判定する必要がある。したがって、LANスイッ
チは、各ポートにフィルタを含む。フィルタは、パケット内のあるビットの状態
に対して適用される。特定のコンピュータまたは一群のコンピュータを宛先とす
るパケット内で特定の状態は許可されるが、他の状態は許可されない。ビットが
許可された状態にある場合、そのパケットは、宛先コンピュータに通常の形で経
路指定される。ビットが許可されない状態にある場合、そのパケットは通常の形
で経路指定されない。例えば、そのパケットは、単にドロップされたり、または
別のコンピュータに再経路指定されるであろう。別の例としては、宛先コンピュ
ータにパケットを経路指定し、そのパケットをシステム管理者に通知するように
してもよい。
【0013】 一実施形態では、LANスイッチは、フィルタを制御するソフトウェア・エグ
ゼクティブを実行する。システム管理者は、ソフトウェア・エグゼクティブを使
用し、各コンピュータごとにフィルタを構成する。フィルタを個々に構成し、異
なるコンピュータに異なるアクセス規則を対応させるようにすることができる。
システム管理者は、これにより、ネットワーク・リソースに対して異なるアクセ
ス・レベルを有するいくつかの群にコンピュータを組織化したり、あるコンピュ
ータに対する特定の処置を制限し、または個々のコンピュータに特定して関係す
る問題に対処するためにそれらのコンピュータを分離することもできる。
【0014】 図1は、コンピュータ・ネットワーク10を示すブロック図である。ネットワ
ーク10は、いくつかのコンピュータ12〜14を含み、そのそれぞれがLAN
スイッチ11に結合されている。コンピュータは、ポート15〜17を介してL
ANスイッチに結合されている。また、ネットワーク10は、コンピュータ22
および23も含み、これらは、第2のLANスイッチ21および関連ポート24
〜26を介してLANスイッチ11に結合されている。ネットワーク10は、L
ANスイッチ11、ポート19、およびファイアウォール21を介して外部ネッ
トワークに結合されている。多くの場合、外部ネットワークは、インターネット
である。異なるタイプの多くのネットワーク装置が当分野の技術者には知られて
おり、コンピュータ12〜14および22、23に加えて、またはそれらの代り
に任意のそのような装置をネットワークに結合することができる。さらに、ネッ
トワーク10は多くの可能なネットワーク構成のうちの1つであり、本発明はそ
れらの可能な構成のどの構成にも実装することが可能である。ネットワーク10
は、それ自体、いくつかのネットワークを備えることが可能である。例えば、図
1は、2つの下位ネットワークから構成され、その一方は、LANスイッチ11
およびコンピュータ12〜14によって形成され、他方は、LANスイッチ21
およびコンピュータ22、23によって形成されているネットワークを示す。
【0015】 コンピュータ12〜14は、パケット交換プロトコルを使用して互いに通信す
ることができ、また他のネットワーク上のコンピュータと通信することができる
。(前述したとおり、「コンピュータ」は、様々なタイプのネットワーク装置を
含む。)パケット交換プロトコルは、2つのコンピュータ間で送られる情報がパ
ケットに分割されることを必要とする。次に、これらのパケットがコンピュータ
間で伝送される。これは、情報をまずパケット化せずに伝送することのできるコ
ンピュータ間の専用接続を確立する回線交換プロトコルとは対照的である。パケ
ット交換プロトコルを使用するネットワークは、2つのコンピュータ間で、物理
接続ではなく仮想接続を確立することができる。仮想接続では、中間回線がパケ
ットの伝送専用である必要はない。したがって、情報のパケット化により、その
回線をふさいで他のコンピュータ間の通信を妨げることなしに、多くの中間ネッ
トワークを介して情報を送ることが可能となる。
【0016】 2つのコンピュータ間で伝送される情報は、パケットに分割されるので、送信
元と宛先の間のコンピュータは、パケットをどこに送るかを判定する何らかの方
策を有していなければならない。多くのネットワークでは、IP(インターネッ
ト・プロトコル)アドレスまたはTCP/IP(トランスポート制御プロトコル
/インターネット・プロトコル)アドレスが使用される。IPアドレスは、ピリ
オドで分離された4バイトを含む(例えば、「012.123.234.001
」)。このアドレスは、特定のコンピュータを指定すること、または特定のネッ
トワークを指定することができる。後者の場合には、ネットワークが、パケット
をネットワーク上の正しい装置に正しく経路指定する手段を提供することになる
。TCPプロトコルはIPプロトコルよりもわずかに高いレベルに存在し、メッ
セージ内のバイトのすべてが宛先装置で受信されることを確保する手段を備えて
いる。TCPプロトコルは、あるメッセージ内のバイトを順序付け、損失したバ
イトの再伝送を行う。
【0017】 図2は、送信元コンピュータ40から宛先コンピュータ41に至るパスを形成
する一連の相互接続されたコンピュータ(つまりネットワーク)を示す。この図
では、送信元コンピュータおよび宛先コンピュータは、それぞれ、別の装置42
、43を介して他方のコンピュータに接続されているように描かれている。この
議論では、装置42および43はファイアウォールであると想定する。こられの
装置は、他の実施形態では、LANスイッチやコンピュータなど他の装置とする
こともできる。破線は、送信元ネットワーク44と宛先ネットワーク45の境界
を示している。送信元コンピュータ40がパケットを別のコンピュータに送りた
とき、このパケットは、通常、いくつかの中間コンピュータ51〜55によって
経路指定される。これらの中間コンピュータは、通常、ルータである。(「ルー
タ」は、特定のタイプのパケット転送装置を指すのに使われる場合があるが、本
明細書で使用するこの用語は、コンピュータ間でパケットを経路指定または転送
する働きをする任意の装置を意味する。)これらのルータはパケットの宛先アド
レスを検査し、そのパケットが送られる次のルータを決定する。このプロセスが
メッセージ内の各パケットごとに反復される。通常、このプロセスは、各パケッ
トごとに独立に行われ、単一のメッセージに対応するパケットがいくつかの異な
る経路上で送信元コンピュータから宛先コンピュータまで伝送できるようになる
。例えば、1つのパケットが、送信元ネットワークから54、53、55を介し
て宛先ネットワークに渡され、別のパケットが、51から52を介して45まで
渡されることがある。パケットは宛先ネットワークに到着すると、宛先コンピュ
ータに向けられる。宛先コンピュータで、パケットは元のメッセージに再構成さ
れる。
【0018】 パケットは、この場合はファイアウォールを使用している宛先ネットワークに
到達したときは、まずファイアウォールを通過しないと宛先コンピュータに送る
ことができない。ファイアウォールは、通常、ネットワークに到着したパケット
を検査し、それらのパケットがネットワーク内で配布されることが許可されてい
るかどうかを判定するタスクを専用に行うコンピュータである。ファイアウォー
ルは、様々な技法を使用し、無許可のパケットがネットワークにアクセスするの
を防止することができる。これらの技法には、パケット・フィルタの使用、アプ
リケーション・ゲートウェイの使用、および回線レベル・ゲートウェイの使用が
含まれる。ファイアウォールは、望ましくないアクセスからシステムを保護する
際に非常に有効となり得るが、この保護は絶対確実ではなく、ネットワーク内に
無許可のパケットが導入される可能性がある。パケットが一旦ファイアウォール
を破ると、ファイアウォールは、そのパケットがネットワーク内で自由に伝送さ
れるのを防止するのには全く無力である。また、ファイアウォールは、ネットワ
ーク内のユーザが、電話回線を介して外部にダイヤルしたり、または可搬媒体(
例えば、フロッピー・ディスク)を使用してネットワーク上に無許可のファイル
をダウンロードしたりすることによってファイアウォールを回避するのを防止す
ることができない。したがって、この実施形態では、ネットワーク内部のトラフ
ィックのすべてがそれを介して経路指定される、1つまたは複数のLANスイッ
チ内に本発明が実装される。
【0019】 パケットは、ファイアウォールを通過した後、LANスイッチによってネット
ワーク上の適切なコンピュータに経路指定されなければならない。LANスイッ
チは、そのパケットを受け取ったとき、それを処理し、他の経路指定装置内にお
ける場合と同じ様にそのパケットの宛先アドレスを決定しなければならない。パ
ケットを経路指定することに加えて、LANスイッチは、ファイアウォールの機
能と同様の働きをし、あるパケットを拒否または再経路指定し、また別のパケッ
トが通過するのを許可する。LANスイッチは、これにより、ネットワーク内の
パケットのフローを制御する。ネットワーク上のコンピュータは、スイッチを介
して互いに接続されているので、それが接続されている各コンピュータへの、ま
たそこからのパケット・フローを制御することができる。したがって、無許可の
パケットが(ファイアウォールの裏をかくことにより、またはそれを破ることに
より)ファイアウォールを通過した場合でも、パケットは、LANスイッチのア
クセス規則を満たさないと、ネットワーク内の1つの装置から別の装置に伝送さ
れることができない。
【0020】 図3aは、パケット・フィルタリングLANスイッチの1つのポートを示す機
能ブロック図である。LANスイッチ30は、パケットを処理し、ネットワーク
上でのそのそれぞれの宛先を決定するための回路31を含む。また、LANスイ
ッチ30は、パケットを検査し、それらがその宛先に経路指定されることが許可
されているかどうかを判定するフィルタ回路32も含む。フィルタリングが分散
式であるため(フィルタリングは、LANスイッチの各ポートで行われる)、フ
ィルタ回路32は、ファイアウォール内で実装されるものよりも簡単なアクセス
規則を実装することができる。言い換えれば、各フィルタが単一のコンピュータ
に対するアクセスを制御するので、そのコンピュータに関係のある規則だけを実
装すればよい。これらの単純化されたアクセス規則は、多くの点で、ファイアウ
ォールのアクセス規則と同じ程度に有効である。というのは、単一のフィルタ内
で実装する規則は、そのフィルタに関連する単一のコンピュータに合せて調整す
ることができるからである。また、フィルタリングが分散式であるため、ネット
ワークが容易にスケーラブルになる。言い換えれば、ネットワークにコンピュー
タが追加されるにつれ、それに対応するフィルタを追加してフィルタリング作業
負荷を処理する。LANスイッチのポート間にフィルタリングを分散させると、
ネットワーク内で大量のトラフィックをフィルタリングすることが可能となる。
(ネットワーク内部に集中式ファイアウォール型システムを実装すると、パフォ
ーマンスが低下する可能性がある。ファイアウォールは、ネットワークに入るま
たはそこから出るパケットをフィルタリングするのにより適しており、これらの
パケットは、一般に、ネットワーク内部におけるよりもずっと少ない量のトラフ
ィックを含む。)
【0021】 図3aに示すとおり、LANスイッチのポートに到達する到着パケットは、ア
ドレス処理回路31とフィルタリング回路32の両方に送付される。(他の実施
形態は、フィルタリング回路32に対して、パケットの一部分だけ(例えば、パ
ケット・ヘッダ)を送るようにすることも企図される。)この図は、ポート30
から出てコンピュータに向うものとしてパケットを描いているが、このシステム
は、発信パケットまたは到着パケットのどちらにも適用することができる。パケ
ットは、通常のアドレス処理と並列してフィルタリングされる。この結果、フィ
ルタリングを行うのに必要な時間が、通常のアドレス処理に必要とされる時間と
重なり合う。したがって、フィルタリングに関連するオーバーヘッドが低減され
る。(パケットのフィルタリングは、図3bおよび3cに示すとおり、アドレス
処理と直列に行うこともできるが、これは、より高いオーバーヘッドをもたらし
、したがって、好ましい実施形態ではない。図3bおよび3cは、アドレス回路
の前または後に直列フィルタ回路を配置できることを示している。)
【0022】 アドレス処理回路31は、その出力をスイッチング回路33に提供する。スイ
ッチング回路33は、本発明がなければ、アドレス処理回路31からの宛先アド
レスを使用してパケットをその宛先に送ることになる。ただし、パケットの送付
は、フィルタリング回路32の出力によって条件付けられる。フィルタリング回
路32は、パケットに適切な規則を適用し、信号をスイッチング回路33に提供
する。パケットがその宛先に送られることが許可されている場合、それに対応す
る信号がスイッチング回路33に入力され、パケットは、通常のように宛先に転
送される。パケットが許可されていない場合、異なる信号がフィルタリング回路
32によって生成される。この信号を受信すると、スイッチング回路33は、な
んらかの代替の処置をとる。この代替の処置は、無許可のパケットの存在に関連
する適切な処置なら何でもよく、そのパケットをドロップすること、そのパケッ
トを代替の宛先に再経路指定すること、システム管理者に通知すること、または
同様の処置を含むことが可能である。無許可のパケットに対して選択される処置
は、パケットの特定の宛先、パケットのタイプ、そのパケットに関連するアプリ
ケーションまたは他の情報に応じて変わることも可能である。
【0023】 各ポートでのアドレス回路およびフィルタリング回路は、通常、ポートのスル
ープットを最大にするために最小限に抑えられているので、LANスイッチ内の
CPU(図3d参照)にいくつかの複雑な動作が委ねられる。例えば、フィルタ
回路は、通常、パターン照合を行うのに十分であるが、より高度のフィルタリン
グ規則の実装はその能力を超えている。フィルタ回路は、ポート30のうちの1
つで、自らの認識しない、または適切にフィルタリングできないパケットを受け
取った場合、そのパケットを処理のためにCPU35に送ることができる。次に
、CPU35は、そのそれぞれのポートから適切な信号をフィルタ回路またはス
イッチング回路に送り、パケットを処理することができる。また、ポート内の回
路は、パケットの処理に関して行うことができる処置(例えば、パケットの転送
またはドロップ)が制限されていることもあり、より複雑な処置をCPUに委ね
てもよい。
【0024】 図4は、LANスイッチの動作を示す流れ図である。この図は、本発明の一実
施形態におけるLANスイッチの動作をまとめて示したものである。パケットを
LANスイッチのポートが受け取ると60、その宛先アドレスを決定するための
処理61と、そのパケットがポートのアクセス規則を満たすかどうかの判定62
を行うためのフィルタリングを同時に行う。パケットがアクセス規則を満たし6
3、転送されることが許可されている場合、パケットがフィルタリングされなか
った場合と同じように、LANスイッチはパケットをその宛先に転送する64。
パケットがアクセス規則を満たさず63、したがって許可されない場合、そのパ
ケットはドロップされる65。別の実施形態では、様々な方法で無許可のパケッ
トを処理することができる。例えば、それらのパケットを代替の宛先に再経路指
定することができ、あるいは、それらのパケットを宛先アドレスにあるコンピュ
ータに転送し、そのパケットの通知をシステム管理者に送ることがもできる。
【0025】 一実施形態では、LANスイッチ内のフィルタリング回路は、プログラマブル
である。ネットワーク管理者が、フィルタ内で適用されるべきアクセス規則を決
定し、それらの規則をそのフィルタ内にプログラミングする。これらのフィルタ
リング規則は、パケットのヘッダ内の情報に基づく。この情報が使用されるのは
、それがパケットの通常の転送で入手可能だからである。この情報には、IP送
信元アドレスおよびIP宛先アドレス、カプセル化されたプロトコル(例えば、
TCP)、TCP/IP送信元ポートおよびTCCP/IP宛先ポート、ICM
P(インターネット制御メッセージ・プロトコル)メッセージ型、ならびにパケ
ットの到着インターフェースおよび発信インターフェースが含まれるであろう。
フィルタリング規則は、様々なタイプおよび実装形態のものでよい。例えば、規
則は、サービス依存型(例えば、あるコンピュータにだけ到着FTPセッション
を許可する)でも、サービス非依存型(内部IPアドレスを有するが、外部ポー
ト上に現れるパケットはドロップする)でもよい。
【0026】 一実施形態では、フィルタは、Java(登録商標)プログラミング言語を使
用して実装される。Javaがこの実装形態のために選択されるのは、多くのプ
ラットフォーム用のJava仮想マシンが存在し、したがって、Javaアプリ
ケーションがこれら多くのプラットフォーム上で動作できるからである。したが
って、Javaベースのフィルタリング・アプリケーションは、ある程度のプラ
ットフォーム中立性および/またはベンダ中立性を有する。(ただし、フィルタ
リング・アプリケーションは、適切な任意のプログラミング言語を使用できるこ
とが企図される。)この実装形態では、ソフトウェア・エグゼクティブがフィル
タリング回路32内で実行される。ソフトウェア・エグゼクティブは、システム
管理者が規則を実装するためのフレームワークを提供するアプリケーションであ
る。システム管理者は、LANスイッチに入ってくるパケットにどの規則が適用
されるべきかを決め、またソフトウェア・エグゼクティブと協働してこれらの規
則を実装するJavaアプレットを構成する。(アプレットは、小さいJava
アプリケーションである。)Javaアプレットは、ネットワーク上にあるコン
ピュータのうちの1つからLANスイッチに、システム管理者によってダウンロ
ードされる。次に、パケットがフィルタリングされなければならないとき、この
アプレットがソフトウェア・エグゼクティブによって呼び出される。
【0027】 本発明の様々な実施形態により、ユーザは、本発明を組み込んでいないネット
ワーク内で見られる問題を克服することができる。例えば、前述したとおり、送
信元コンピュータから宛先コンピュータに経路指定されたパケットは、それらの
コンピュータ間にあるいくつかのネットワークを横断しなければならない可能性
がある。パケットのうちの1つがこれらのネットワークのうちの1つに到着する
たびに毎回、ネットワーク(すなわち、ネットワーク内のルータ)は、そのパケ
ットのアドレス情報を読み取り、さらなる転送のためにそのパケットが送られる
先の中間装置を決定しなければならない。パケットがどこに送られるべきかの決
定は、他のコンピュータから経路指定装置に提供される情報に基づく。これらの
コンピュータのうち1つが、経路指定装置に不正確な情報を提供した場合、パケ
ットは、間違って経路指定される可能性がある。
【0028】 特定のアドレスを有するが、そのアドレスとは異なるアドレスを有すると他の
装置にブロードキャストするコンピュータは珍しいことではない。ルータが、こ
の情報によって、宛先コンピュータに至る最短経路が、この誤ったアドレスをブ
ロードキャストするコンピュータを通ると判定することがある。その場合、ルー
タは、提供された誤ったアドレスを使用してこのコンピュータにパケットを転送
する。しかし、誤った情報をブロードキャストしたコンピュータは、パケットが
転送されたアドレスを認識せず、そのパケットを単にドロップすることになる。
このシナリオでは、誤ったアドレス情報をブロードキャストしたコンピュータは
、実質的に、転送されたパケットが単にその中で消失するデッドエンドまたは「
ブラックホール」を作成したことになる。
【0029】 システム管理者は、この問題に気付いた場合、さらなるパケットが失われるの
を防止するため、ネットワークのその他の部分からこの違反するコンピュータを
分離したいと望む可能性がある。本発明の一実施形態では、システム管理者は、
どの到着パケットまたは発信パケットもLANスイッチの関連するポートを通過
することが許可されないように、このコンピュータに関連するフィルタを構成す
ることができる。システム管理者は、これにより、そのコンピュータが誤ったア
ドレス情報を送るのを防止し、またパケットがそのコンピュータに渡されて失わ
れることも防止する。違反するコンピュータを分離するこの方法はまた、そのコ
ンピュータに対する物理アクセスを必要としないという利点も有する。この分離
は、そのコンピュータに関連するフィルタの再構成によって達せられる。コンピ
ュータが鍵のかかった部屋または建物内にある状況では、これが、そのコンピュ
ータを分離するための唯一の手段である可能性がある。
【0030】 別の例として、多くの会社は、様々なプロジェクトに関して作業を行うのに下
請け業者を雇う。この作業には、会社のネットワーク上のコンピュータの使用、
またはそれに対するアクセスを必要とするソフトウェア開発、設計分析、または
他のタスクが含まれる可能性がある。しかし、会社は、下請け業者によって行わ
れるタスクに関連しないアプリケーションまたはデータに、これらの下請け業者
がアクセスを有するのを望まないであろう。本発明の一実施形態では、システム
管理者は、機密のデータまたは機密のアプリケーションに対するアクセスを防止
するように、下請け業者が使用するコンピュータに関連するフィルタを構成する
ことができる。例えば、センシティブなデータを含むコンピュータに関連するフ
ィルタは、下請け業者が使用するあるコンピュータから受け取ったパケットをド
ロップするように構成することができる。同様に、これらのコンピュータにパケ
ットが送られるのを防止するようにフィルタを構成することもできる。LANス
イッチ上のフィルタを適切に構成することにより、システム管理者は、下請け業
者、従業員、幹部、または他のシステム・ユーザに対して様々な特権レベルを設
定することができる。
【0031】 本発明を特定の実施形態に関連して説明してきたが、これらの実施形態は例示
したものであり、本発明の範囲はそれだけに限定されていないことを理解された
い。記載した実施形態に対するどのような変形、変更、追加、および改良も可能
である。これらの変形、変更、追加、および改良は、頭記の特許請求の範囲に詳
述する本発明の範囲内に含まれることが可能である。
【図面の簡単な説明】
【図1】 本発明の一実施形態におけるコンピュータ・ネットワークを示すブロック図で
ある。
【図2】 送信元コンピュータから宛先コンピュータに至るまでパケットが通過するパス
を示す流れ図である。
【図3a】 本発明の一実施形態におけるパケット・フィルタリングLANスイッチの1つ
のポートを示す機能ブロック図である。
【図3b】 本発明の代替実施形態におけるパケット・フィルタリングLANスイッチの1
つのポートを示す機能ブロック図である。
【図3c】 本発明の代替実施形態におけるパケット・フィルタリングLANスイッチの1
つのポートを示す機能ブロック図である。
【図3d】 本発明の一実施形態におけるパケット・フィルタリングLANスイッチのCP
Uおよび複数のポートを示すブロック図である。
【図4】 本発明の一実施形態におけるLANスイッチの動作を示す流れ図である。
【手続補正書】特許協力条約第34条補正の翻訳文提出書
【提出日】平成13年3月10日(2001.3.10)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正の内容】
【特許請求の範囲】
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,MZ,SD,SL,SZ,TZ,UG ,ZW),EA(AM,AZ,BY,KG,KZ,MD, RU,TJ,TM),AE,AG,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,BZ,C A,CH,CN,CR,CU,CZ,DE,DK,DM ,DZ,EE,ES,FI,GB,GD,GE,GH, GM,HR,HU,ID,IL,IN,IS,JP,K E,KG,KP,KR,KZ,LC,LK,LR,LS ,LT,LU,LV,MA,MD,MG,MK,MN, MW,MX,MZ,NO,NZ,PL,PT,RO,R U,SD,SE,SG,SI,SK,SL,TJ,TM ,TR,TT,TZ,UA,UG,UZ,VN,YU, ZA,ZW (72)発明者 オーキン,ケン アメリカ合衆国・95070・カリフォルニア 州・サラトガ・ソベイ ロード・14880 (72)発明者 ラドゥケル,ウィリアム アメリカ合衆国・94304・カリフォルニア 州・パロ アルト・アレクシス ドライ ブ・3111 Fターム(参考) 5K030 GA15 HA08 HD03 HD06 LB05

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】 複数のポートを有するネットワーク・インターフェース装置
    と、 前記ポートに結合された複数のネットワーク装置と、 各フィルタが前記ポートのうちの対応する1つに結合されて前記ポートのうち
    の前記1つに到着するデータ・パケットを受信する複数のフィルタとを備える安
    全なコンピュータ・ネットワークであって、 前記各フィルタは、前記データ・パケットを検査して前記データ・パケットが
    1組のアクセス規則を満たすかどうかを判定するように構成され、 前記各フィルタはさらに、前記データ・パケットが前記1組のアクセス規則を
    満たすかどうかを示す信号を前記ネットワーク・インターフェース装置に伝達す
    るように構成され、 前記ネットワーク・インターフェース装置が、前記各パケットが前記1組のア
    クセス規則を満たさないことを前記信号が示す前記データ・パケットのそれぞれ
    に関して、所定の処置をとるように構成されているネットワーク。
  2. 【請求項2】 前記安全なネットワークと外部ネットワークの間にファイア
    ウォールをさらに備える請求項1に記載の安全なネットワーク。
  3. 【請求項3】 前記ネットワーク・インターフェース装置が、前記パケット
    に対して処理を行い、前記処理は、各パケットを検査して対応する宛先アドレス
    を決定することを含む請求項1に記載の安全なネットワーク。
  4. 【請求項4】 前記各フィルタは、前記ネットワーク・インターフェース装
    置によって行われる前記処理と並行して前記データ・パケットを検査するように
    構成されている請求項3に記載の安全なネットワーク。
  5. 【請求項5】 前記各フィルタは、前記パケットに対するパケット照合を行
    うことにより、前記データ・パケットが1組のアクセス規則を満たすかどうかを
    判定するように構成されている請求項4に記載の安全なネットワーク。
  6. 【請求項6】 前記所定の処置が、前記パケットをドロップすること、前記
    パケットを再経路指定すること、および前記パケットを報告することから成る一
    群の処置から選択される請求項1に記載の安全なネットワーク。
  7. 【請求項7】 前記ネットワーク・インターフェース装置は、ソフトウェア
    ・エグゼクティブを実行するように構成され、前記フィルタの前記アクセス規則
    は、前記ネットワーク・インターフェース装置上で実行される前記ソフトウェア
    ・エグゼクティブにダウンロードされるプログラム・コードに従って設定される
    請求項1に記載の安全なネットワーク。
  8. 【請求項8】 前記フィルタのうち第1のフィルタは、第1の1組のアクセ
    ス規則に従って前記ネットワーク装置のうち第1の装置に対するアクセスを提供
    し、前記フィルタのうち第2のフィルタは、第2の1組のアクセス規則に従って
    前記ネットワーク装置のうちの第2の装置に対するアクセスを提供し、前記第1
    の1組のアクセス規則は、前記第2の1組のアクセス規則とは異なる請求項1に
    記載の安全なネットワーク。
  9. 【請求項9】 前記ネットワーク・インターフェース装置がLANスイッチ
    を備える請求項1に記載の安全なネットワーク。
  10. 【請求項10】 コンピュータ・ネットワーク内の装置間でアクセスを制御
    する方法であって、前記装置のそれぞれは、LANスイッチの対応するポートに
    結合され、前記装置との通信が前記装置への、またそこからの情報パケットの伝
    送によって実現され、 各パケットを前記各パケットが前記LANスイッチの前記ポートのうち1つに
    到着したときに検査すること、 前記各パケットが1つまたは複数のポート・アクセス規則を満たすかどうかを
    判定すること、 前記各パケットが前記1つまたは複数のポート・アクセス規則を満たす場合、
    前記各パケットを前記各パケットに関連する宛先アドレスに経路指定すること、
    および 前記各パケットが前記1つまたは複数のポート・アクセス規則を満たさない場
    合、所定の処置をとることを含む方法。
  11. 【請求項11】 前記各パケットが前記1つまたは複数のポート・アクセス
    規則を満たすかどうかを判定することと並行して、前記各パケットに関する経路
    指定情報を決定することをさらに含む請求項10に記載の方法。
  12. 【請求項12】 前記所定の処置が、前記パケットをドロップすること、前
    記パケットを再経路指定すること、および前記パケットを報告することから成る
    一群の処置から選択される請求項11に記載の方法。
  13. 【請求項13】 前記各パケットが前記1つまたは複数のポート・アクセス
    規則を満たすかどうかを判定することが、前記各パケットを1つまたは複数の所
    定ビット・パターンと照合して前記パターンが前記各パケットと一致するかどう
    かを判定することを含む請求項12に記載の方法。
  14. 【請求項14】 前記ポート・アクセス規則は、前記装置のうち第1の装置
    に関連する第1の1組のポート・アクセス規則と、前記装置のうち第2の装置と
    関連する第2の1組のポート・アクセス規則とを含む請求項12に記載の方法。
  15. 【請求項15】 ファイアウォールで前記パケットのうちの1つまたは複数
    を検査して前記1つまたは複数のパケットが1つまたは複数のファイアウォール
    ・アクセス規則を満たすかどうかを判定することを含む請求項12に記載の方法
  16. 【請求項16】 安全なコンピュータ・ネットワーク内でパケットの伝送を
    制御するためのLANスイッチであって、 それぞれが対応するネットワーク装置に結合されるように構成された複数のポ
    ートと、 それぞれが前記複数のポートのうち対応する1つに結合され、1つまたは複数
    のアクセス規則を満たすパケットを通過させ、前記1つまたは複数のアクセス規
    則を満たさないパケットの通過を妨げるように構成された複数のフィルタとを備
    えたスイッチ。
  17. 【請求項17】 前記フィルタのそれぞれが、前記複数のポートのうち第1
    のサブセットに関する第1の1組のアクセス規則と、前記複数のポートのうち第
    2のサブセットに関する第2の1組のアクセス規則とを実装するようにシステム
    管理者によってプログラム可能である請求項16に記載のLANスイッチ。
  18. 【請求項18】 前記複数のポートのそれぞれが、 前記パケットに関連する宛先アドレスを決定するように構成されたアドレス処
    理回路と、 前記パケットを経路指定するように構成されたスイッチング回路とを備える請
    求項16に記載のLANスイッチ。
  19. 【請求項19】 前記フィルタのそれぞれは、前記パケットが前記アクセス
    規則を満たすかどうかを示す信号を生成し、前記信号を前記対応するポートの前
    記スイッチング回路に提供するように構成され、 前記スイッチング回路は、前記アクセス規則が満たされたことを前記信号が示
    す場合、前記パケットを前記宛先アドレスに経路指定し、また前記アクセス規則
    が満たされなかったことを前記信号が示す場合、代替の処置をとるように構成さ
    れている請求項18に記載のLANスイッチ。
  20. 【請求項20】 前記代替の処置が、前記パケットをドロップすること、前
    記パケットを代替の宛先に経路指定すること、および前記パケットの通知を伝送
    することから成る一群から選択される請求項19に記載のLANスイッチ。
JP2001511049A 1999-07-15 2000-07-12 安全なネットワーク・スイッチ Pending JP2003505934A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US35429499A 1999-07-15 1999-07-15
US09/354,294 1999-07-15
PCT/US2000/018988 WO2001006726A2 (en) 1999-07-15 2000-07-12 Secure network switch

Publications (1)

Publication Number Publication Date
JP2003505934A true JP2003505934A (ja) 2003-02-12

Family

ID=23392666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001511049A Pending JP2003505934A (ja) 1999-07-15 2000-07-12 安全なネットワーク・スイッチ

Country Status (5)

Country Link
EP (1) EP1219075A2 (ja)
JP (1) JP2003505934A (ja)
KR (1) KR20020027471A (ja)
AU (1) AU6090400A (ja)
WO (1) WO2001006726A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005072724A (ja) * 2003-08-20 2005-03-17 Toshiba Corp 通信制御装置、通信制御システム、通信制御方法および通信制御プログラム
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2015179925A (ja) * 2014-03-19 2015-10-08 三菱電機株式会社 中継装置

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AUPR435501A0 (en) * 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
GB0113902D0 (en) * 2001-06-07 2001-08-01 Nokia Corp Security in area networks
JP2003087297A (ja) * 2001-09-13 2003-03-20 Toshiba Corp パケット転送装置およびパケット転送方法
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
AU2003227123B2 (en) * 2002-05-01 2007-01-25 Firebridge Systems Pty Ltd Firewall with stateful inspection
TWI244297B (en) * 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
US7346057B2 (en) 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
US20070237088A1 (en) * 2006-04-05 2007-10-11 Honeywell International. Inc Apparatus and method for providing network security
KR101922642B1 (ko) 2018-06-29 2019-02-20 주식회사 트루네트웍스 네트워크 이중 스위칭 장치
KR102234418B1 (ko) * 2019-11-08 2021-03-31 한화시스템 주식회사 네트워크 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4899333A (en) * 1988-03-31 1990-02-06 American Telephone And Telegraph Company At&T Bell Laboratories Architecture of the control of a high performance packet switching distribution network
US5568613A (en) * 1992-09-03 1996-10-22 Ungermann-Bass, Inc. Dataframe bridge filter with communication node recordkeeping
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5790554A (en) * 1995-10-04 1998-08-04 Bay Networks, Inc. Method and apparatus for processing data packets in a network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005072724A (ja) * 2003-08-20 2005-03-17 Toshiba Corp 通信制御装置、通信制御システム、通信制御方法および通信制御プログラム
JP2005130511A (ja) * 2003-10-27 2005-05-19 Marconi Intellectual Property (Ringfence) Inc コンピュータネットワークを管理する方法及びシステム
JP2015179925A (ja) * 2014-03-19 2015-10-08 三菱電機株式会社 中継装置

Also Published As

Publication number Publication date
EP1219075A2 (en) 2002-07-03
WO2001006726A3 (en) 2002-04-25
AU6090400A (en) 2001-02-05
KR20020027471A (ko) 2002-04-13
WO2001006726A2 (en) 2001-01-25

Similar Documents

Publication Publication Date Title
US10084825B1 (en) Reducing redundant operations performed by members of a cooperative security fabric
EP1438670B1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device
US7873038B2 (en) Packet processing
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US7296291B2 (en) Controlled information flow between communities via a firewall
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US6760330B2 (en) Community separation control in a multi-community node
JP2003505934A (ja) 安全なネットワーク・スイッチ
US20040158643A1 (en) Network control method and equipment
US7447782B2 (en) Community access control in a multi-community node
JP4160004B2 (ja) アクセス制御システム
US6915351B2 (en) Community separation control in a closed multi-community node
Cant et al. Simple assured bastion hosts
AU2012202410B2 (en) Method and apparatus for inspecting inter-layer address binding protocols
Han Policy-driven Network Defense for Software Defined Networks
KR20030080330A (ko) 브리지방식을 이용한 네트워크상의 패킷처리시스템