JP2004040476A - アドレス変換装置 - Google Patents
アドレス変換装置 Download PDFInfo
- Publication number
- JP2004040476A JP2004040476A JP2002194872A JP2002194872A JP2004040476A JP 2004040476 A JP2004040476 A JP 2004040476A JP 2002194872 A JP2002194872 A JP 2002194872A JP 2002194872 A JP2002194872 A JP 2002194872A JP 2004040476 A JP2004040476 A JP 2004040476A
- Authority
- JP
- Japan
- Prior art keywords
- address
- network
- packet
- level
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】ネットワークレベルでのアクセス許可の良否を制御することができるが、アクセス先の端末のリソース(例えば、フォルダ)レベルでのアクセス許可の良否を制御することができないなどの課題があった。
【解決手段】ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部15を設け、URIアクセス制御部15がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換する。
【選択図】 図1
【解決手段】ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部15を設け、URIアクセス制御部15がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、アドレス体系が相互に異なるネットワークの接続点に設置され、あるネットワークから他のネットワークへパケットを送信する際、そのパケットのネットワークアドレスを変換するアドレス変換装置に関するものである。
【0002】
【従来の技術】
例えば、企業内のプライベートネットワークを構成する場合、セキュリティの向上やネットワーク規模の増大を抑制するため、プライベートネットワーク内の端末には、インターネットなどのグローバルネットワークに直接接続可能なアドレス(グローバルアドレス)を割り当てず、プライベートネットワーク内に閉じているIPアドレス(プライベートアドレス)を割り当ててネットワークを構築する。
【0003】
プライベートネットワーク内の端末は、上述したように、グローバルアドレスが割り当てられていないので、基本的にはグローバルネットワーク内の端末と通信を行うことができない。
アドレス変換装置は、プライベートネットワーク内の端末がグローバルネットワーク内の端末と通信を行うことができるようにするため、プライベートネットワーク内の端末に割り当てられているプライベートアドレスをグローバルアドレスに変換するものである。
【0004】
例えば、特開2000−122939公報に開示されているアドレス変換装置は、プライベートネットワーク内の端末からパケットを受信すると、そのパケットからコネクション情報(例えば、送信元IPアドレス、送信先IPアドレス)を抽出する。そして、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセスの許可を示している場合には、データベースからコネクション情報に対応するグローバルアドレスを検索し、そのグローバルアドレスを使用してプライベートネットワークとグローバルネットワークを接続するようにする。
【0005】
【発明が解決しようとする課題】
従来のアドレス変換装置は以上のように構成されているので、ネットワークレベルでのアクセス許可の良否を制御することができるが、アクセス先の端末のリソース(例えば、フォルダ)レベルでのアクセス許可の良否を制御することができないなどの課題があった。
【0006】
この発明は上記のような課題を解決するためになされたもので、リソースレベルでのアクセス許可の良否を制御することができるアドレス変換装置を得ることを目的とする。
【0007】
【課題を解決するための手段】
この発明に係るアドレス変換装置は、ネットワークレベル認定手段がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するリソースレベル認定手段を設け、リソースレベル認定手段がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するようにしたものである。
【0008】
この発明に係るアドレス変換装置は、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するようにしたものである。
【0009】
この発明に係るアドレス変換装置は、データベースからURI情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するようにしたものである。
【0010】
この発明に係るアドレス変換装置は、データベースからコネクション情報に対応するネットワークアドレスを検索し、そのネットワークアドレスをパケットのネットワークアドレスとして使用するようにしたものである。
【0011】
この発明に係るアドレス変換装置は、受信手段により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを設定変更するアドレス設定変更手段を設けたものである。
【0012】
この発明に係るアドレス変換装置は、アドレス設定変更手段がハードウエア処理によってパケットのネットワークアドレスを設定変更し、アドレス変換手段がソフトウエア処理によってパケットのネットワークアドレスを変換するようにしたものである。
【0013】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1はこの発明の実施の形態1によるアドレス変換装置を示す構成図であり、図において、1はパケットの送信元である端末、2は端末1が接続されているプライベートネットワーク、3はアドレス変換装置、4,5はインターネットなどのグローバルネットワーク、6はグローバルネットワーク5に接続されている端末である。
【0014】
11はプライベートネットワーク2又はグローバルネットワーク4,5からパケットを受信すると、アドレス変換後のパケットをグローバルネットワーク4,5又はプライベートネットワーク2に送信するデータ送受信部(受信手段、送信手段)、12はネットワークレベルでのアクセスを許可するか否かを示す設定情報が登録されているネットワークアクセス制御DB(データベース)、13はデータ送受信部11により受信されたパケットからコネクション情報を抽出し、そのコネクション情報を参照してネットワークレベルでのアクセス許可の良否を認定するネットワークアクセス制御部(ネットワークレベル認定手段)である。
【0015】
14はリソースレベルでのアクセスを許可するか否かを示す設定情報が登録されているURIアクセス制御DB(データベース)、15はネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、そのパケットからURI(Universal Resource Identifier)情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部(リソースレベル認定手段)、16はコネクション情報に対応するグローバルアドレスが登録されているネットワークアドレス変換DB(データベース)、17はURIアクセス制御部15がリソースレベルでのアクセスを許可する場合、そのコネクション情報を参照してパケットのネットワークアドレスを変換するネットワークアドレス変換部(アドレス変換手段)である。
【0016】
次に動作について説明する。
例えば、プライベートネットワーク2に接続されている端末1がグローバルネットワーク5に接続されている端末6にパケットを送信する場合、端末1がパケットをアドレス変換装置3に送信する。
【0017】
アドレス変換装置3のデータ送受信部11は、プライベートネットワーク2の端末1からパケットを受信すると、例えば、そのパケットのパケット長を精査して、パケットの正当性をチェックする。即ち、データ送受信部11の仕様が8ビット長のパケットを取り扱うことが可能な仕様である場合、例えば、パケットのパケット長が9ビット以上であれば、不正なパケットを受信したものとして廃棄する。
【0018】
アドレス変換装置3のネットワークアクセス制御部13は、データ送受信部11から正当なパケットを受けると、そのパケットからコネクション情報(例えば、パケットの送信元IPアドレス、送信先IPアドレス、プロトコル、プロトコルがTCP/UDPである場合には送信元ポート番号・送信先ポート番号)を抽出する。
【0019】
ネットワークアクセス制御部13は、パケットからコネクション情報を抽出すると、図2に示すようなネットワークアクセス制御DB12のテーブルからコネクション情報に対応する設定情報を検索する。そして、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄する。例えば、送信先のコネクション情報がS3で、送信元のコネクション情報がC2の場合、設定情報は“可”であるので、ネットワークレベルでのアクセスを許可するが、送信先のコネクション情報がS1で、送信元のコネクション情報がC4の場合、設定情報は“否”であるので、ネットワークレベルでのアクセスを不許可とする。
【0020】
アドレス変換装置3のURIアクセス制御部15は、ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可すると、そのパケットからURI情報を抽出する。即ち、そのパケットのペイロード部からURI情報として、アプリケーションプロトコル情報、アクセスメソッド情報、アクセス先URIを抽出する。
【0021】
URIアクセス制御部15は、パケットからURI情報を抽出すると、図3に示すようなURIアクセス制御DB14のテーブルからURI情報に対応する設定情報を検索する。そして、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄する。例えば、送信先のURI情報がP2で、送信元のURI情報がG2の場合、設定情報は“可”であるので、リソースレベルでのアクセスを許可するが、送信先のコネクション情報がP4で、送信元のコネクション情報がG3の場合、設定情報は“否”であるので、リソースレベルでのアクセスを不許可とする。
【0022】
アドレス変換装置3のネットワークアドレス変換部17は、URIアクセス制御部15がリソースレベルでのアクセスを許可すると、パケットからコネクション情報を抽出する。
ネットワークアドレス変換部17は、パケットからコネクション情報を抽出すると、図4に示すようなネットワークアドレス変換DB16のテーブルからコネクション情報に対応するグローバルアドレスを検索し、そのパケットのプライベートアドレスをグローバルアドレスに変換する。ただし、コネクション情報に対応するグローバルアドレスが登録されていない場合には、そのパケットを廃棄する。
例えば、送信先のコネクション情報がS3で、送信元のコネクション情報がC2の場合、パケットのプライベートアドレスを“xyz4”のグローバルアドレスに変換する。
【0023】
アドレス変換装置3のデータ送受信部11は、ネットワークアドレス変換部17がパケットのアドレス変換を行うと、アドレス変換後のパケットをグローバルネットワーク5の端末6に送信する。
なお、この実施の形態1では、アドレス変換装置3がプライベートネットワーク2の端末1からパケットを受信して、そのパケットをグローバルネットワーク5の端末6に送信するものについて示したが、アドレス変換装置3がグローバルネットワーク5の端末6からパケットを受信して、そのパケットをプライベートネットワーク2の端末1に送信する場合も同様にしてネットワークアドレスを変換することができる。
【0024】
以上で明らかなように、この実施の形態1によれば、ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部15を設け、URIアクセス制御部15がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するように構成したので、リソースレベルでのアクセス許可の良否を制御することができる効果を奏する。
【0025】
実施の形態2.
図5はこの発明の実施の形態2によるアドレス変換装置を示す構成図であり、図において、図1と同一符号は同一または相当部分を示すので説明を省略する。18はデータ送受信部11により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを変換するネットワークアドレスH/W変換部(アドレス設定変更手段)である。ただし、ネットワークアドレスH/W変換部18はハードウエア処理によってパケットのネットワークアドレスを変換し、ネットワークアドレス変換部17はソフトウエア処理によってパケットのネットワークアドレスを変換するものとする。
【0026】
次に動作について説明する。
この実施の形態2では、アドレス変換装置3のデータ送受信部11がパケットを受信すると、ネットワークアドレスH/W変換部18がパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを変換する。
【0027】
即ち、コネクション確立時において、URI情報によるアクセス制御が必要とされない場合、予め登録しているアドレス情報の中から、パケットのコネクション情報に対応するアドレス情報(グローバルアドレス)を検索し、そのパケットのプライベートアドレスをグローバルアドレスに変換する。なお、ネットワークアドレスH/W変換部18は、アドレス情報の検索処理とアドレス変換処理をハードウエア処理によって行う。
ネットワークアドレスH/W変換部18は、パケットにURI情報が含まれている場合、そのパケットをネットワークアクセス制御部13に出力する。この場合、上記実施の形態1と同様に、ソフトウエア処理によってパケットのネットワークアドレスが変換される。
【0028】
【発明の効果】
以上のように、この発明によれば、ネットワークレベル認定手段がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するリソースレベル認定手段を設け、リソースレベル認定手段がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するように構成したので、リソースレベルでのアクセス許可の良否を制御することができる効果がある。
【0029】
この発明によれば、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するように構成したので、構成の複雑化を招くことなく、ネットワークレベルでのアクセス許可の良否を制御することができる効果がある。
【0030】
この発明によれば、データベースからURI情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するように構成したので、構成の複雑化を招くことなく、リソースレベルでのアクセス許可の良否を制御することができる効果がある。
【0031】
この発明によれば、データベースからコネクション情報に対応するネットワークアドレスを検索し、そのネットワークアドレスをパケットのネットワークアドレスとして使用するように構成したので、構成の複雑化を招くことなく、パケットのネットワークアドレスを変換することができる効果がある。
【0032】
この発明によれば、受信手段により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを設定変更するアドレス設定変更手段を設けるように構成したので、パケットにURI情報が含まれていない場合のアドレス変換処理の高速化を図ることができる効果がある。
【0033】
この発明によれば、アドレス設定変更手段がハードウエア処理によってパケットのネットワークアドレスを設定変更し、アドレス変換手段がソフトウエア処理によってパケットのネットワークアドレスを変換するように構成したので、更にアドレス変換処理の高速化を図ることができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1によるアドレス変換装置を示す構成図である。
【図2】コネクション情報に対応する設定情報を示す説明図である。
【図3】URI情報に対応する設定情報を示す説明図である。
【図4】コネクション情報に対応するグローバルアドレスを示す説明図である。
【図5】この発明の実施の形態2によるアドレス変換装置を示す構成図である。
【符号の説明】
1 端末、2 プライベートネットワーク、3 アドレス変換装置、4,5 グローバルネットワーク、6 端末、11 データ送受信部(受信手段、送信手段)、12 ネットワークアクセス制御DB(データベース)、13 ネットワークアクセス制御部(ネットワークレベル認定手段)、14 URIアクセス制御DB(データベース)、15 URIアクセス制御部(リソースレベル認定手段)、16 ネットワークアドレス変換DB(データベース)、17 ネットワークアドレス変換部(アドレス変換手段)、18 ネットワークアドレスH/W変換部(アドレス設定変更手段)。
【発明の属する技術分野】
この発明は、アドレス体系が相互に異なるネットワークの接続点に設置され、あるネットワークから他のネットワークへパケットを送信する際、そのパケットのネットワークアドレスを変換するアドレス変換装置に関するものである。
【0002】
【従来の技術】
例えば、企業内のプライベートネットワークを構成する場合、セキュリティの向上やネットワーク規模の増大を抑制するため、プライベートネットワーク内の端末には、インターネットなどのグローバルネットワークに直接接続可能なアドレス(グローバルアドレス)を割り当てず、プライベートネットワーク内に閉じているIPアドレス(プライベートアドレス)を割り当ててネットワークを構築する。
【0003】
プライベートネットワーク内の端末は、上述したように、グローバルアドレスが割り当てられていないので、基本的にはグローバルネットワーク内の端末と通信を行うことができない。
アドレス変換装置は、プライベートネットワーク内の端末がグローバルネットワーク内の端末と通信を行うことができるようにするため、プライベートネットワーク内の端末に割り当てられているプライベートアドレスをグローバルアドレスに変換するものである。
【0004】
例えば、特開2000−122939公報に開示されているアドレス変換装置は、プライベートネットワーク内の端末からパケットを受信すると、そのパケットからコネクション情報(例えば、送信元IPアドレス、送信先IPアドレス)を抽出する。そして、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセスの許可を示している場合には、データベースからコネクション情報に対応するグローバルアドレスを検索し、そのグローバルアドレスを使用してプライベートネットワークとグローバルネットワークを接続するようにする。
【0005】
【発明が解決しようとする課題】
従来のアドレス変換装置は以上のように構成されているので、ネットワークレベルでのアクセス許可の良否を制御することができるが、アクセス先の端末のリソース(例えば、フォルダ)レベルでのアクセス許可の良否を制御することができないなどの課題があった。
【0006】
この発明は上記のような課題を解決するためになされたもので、リソースレベルでのアクセス許可の良否を制御することができるアドレス変換装置を得ることを目的とする。
【0007】
【課題を解決するための手段】
この発明に係るアドレス変換装置は、ネットワークレベル認定手段がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するリソースレベル認定手段を設け、リソースレベル認定手段がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するようにしたものである。
【0008】
この発明に係るアドレス変換装置は、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するようにしたものである。
【0009】
この発明に係るアドレス変換装置は、データベースからURI情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するようにしたものである。
【0010】
この発明に係るアドレス変換装置は、データベースからコネクション情報に対応するネットワークアドレスを検索し、そのネットワークアドレスをパケットのネットワークアドレスとして使用するようにしたものである。
【0011】
この発明に係るアドレス変換装置は、受信手段により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを設定変更するアドレス設定変更手段を設けたものである。
【0012】
この発明に係るアドレス変換装置は、アドレス設定変更手段がハードウエア処理によってパケットのネットワークアドレスを設定変更し、アドレス変換手段がソフトウエア処理によってパケットのネットワークアドレスを変換するようにしたものである。
【0013】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1はこの発明の実施の形態1によるアドレス変換装置を示す構成図であり、図において、1はパケットの送信元である端末、2は端末1が接続されているプライベートネットワーク、3はアドレス変換装置、4,5はインターネットなどのグローバルネットワーク、6はグローバルネットワーク5に接続されている端末である。
【0014】
11はプライベートネットワーク2又はグローバルネットワーク4,5からパケットを受信すると、アドレス変換後のパケットをグローバルネットワーク4,5又はプライベートネットワーク2に送信するデータ送受信部(受信手段、送信手段)、12はネットワークレベルでのアクセスを許可するか否かを示す設定情報が登録されているネットワークアクセス制御DB(データベース)、13はデータ送受信部11により受信されたパケットからコネクション情報を抽出し、そのコネクション情報を参照してネットワークレベルでのアクセス許可の良否を認定するネットワークアクセス制御部(ネットワークレベル認定手段)である。
【0015】
14はリソースレベルでのアクセスを許可するか否かを示す設定情報が登録されているURIアクセス制御DB(データベース)、15はネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、そのパケットからURI(Universal Resource Identifier)情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部(リソースレベル認定手段)、16はコネクション情報に対応するグローバルアドレスが登録されているネットワークアドレス変換DB(データベース)、17はURIアクセス制御部15がリソースレベルでのアクセスを許可する場合、そのコネクション情報を参照してパケットのネットワークアドレスを変換するネットワークアドレス変換部(アドレス変換手段)である。
【0016】
次に動作について説明する。
例えば、プライベートネットワーク2に接続されている端末1がグローバルネットワーク5に接続されている端末6にパケットを送信する場合、端末1がパケットをアドレス変換装置3に送信する。
【0017】
アドレス変換装置3のデータ送受信部11は、プライベートネットワーク2の端末1からパケットを受信すると、例えば、そのパケットのパケット長を精査して、パケットの正当性をチェックする。即ち、データ送受信部11の仕様が8ビット長のパケットを取り扱うことが可能な仕様である場合、例えば、パケットのパケット長が9ビット以上であれば、不正なパケットを受信したものとして廃棄する。
【0018】
アドレス変換装置3のネットワークアクセス制御部13は、データ送受信部11から正当なパケットを受けると、そのパケットからコネクション情報(例えば、パケットの送信元IPアドレス、送信先IPアドレス、プロトコル、プロトコルがTCP/UDPである場合には送信元ポート番号・送信先ポート番号)を抽出する。
【0019】
ネットワークアクセス制御部13は、パケットからコネクション情報を抽出すると、図2に示すようなネットワークアクセス制御DB12のテーブルからコネクション情報に対応する設定情報を検索する。そして、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄する。例えば、送信先のコネクション情報がS3で、送信元のコネクション情報がC2の場合、設定情報は“可”であるので、ネットワークレベルでのアクセスを許可するが、送信先のコネクション情報がS1で、送信元のコネクション情報がC4の場合、設定情報は“否”であるので、ネットワークレベルでのアクセスを不許可とする。
【0020】
アドレス変換装置3のURIアクセス制御部15は、ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可すると、そのパケットからURI情報を抽出する。即ち、そのパケットのペイロード部からURI情報として、アプリケーションプロトコル情報、アクセスメソッド情報、アクセス先URIを抽出する。
【0021】
URIアクセス制御部15は、パケットからURI情報を抽出すると、図3に示すようなURIアクセス制御DB14のテーブルからURI情報に対応する設定情報を検索する。そして、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄する。例えば、送信先のURI情報がP2で、送信元のURI情報がG2の場合、設定情報は“可”であるので、リソースレベルでのアクセスを許可するが、送信先のコネクション情報がP4で、送信元のコネクション情報がG3の場合、設定情報は“否”であるので、リソースレベルでのアクセスを不許可とする。
【0022】
アドレス変換装置3のネットワークアドレス変換部17は、URIアクセス制御部15がリソースレベルでのアクセスを許可すると、パケットからコネクション情報を抽出する。
ネットワークアドレス変換部17は、パケットからコネクション情報を抽出すると、図4に示すようなネットワークアドレス変換DB16のテーブルからコネクション情報に対応するグローバルアドレスを検索し、そのパケットのプライベートアドレスをグローバルアドレスに変換する。ただし、コネクション情報に対応するグローバルアドレスが登録されていない場合には、そのパケットを廃棄する。
例えば、送信先のコネクション情報がS3で、送信元のコネクション情報がC2の場合、パケットのプライベートアドレスを“xyz4”のグローバルアドレスに変換する。
【0023】
アドレス変換装置3のデータ送受信部11は、ネットワークアドレス変換部17がパケットのアドレス変換を行うと、アドレス変換後のパケットをグローバルネットワーク5の端末6に送信する。
なお、この実施の形態1では、アドレス変換装置3がプライベートネットワーク2の端末1からパケットを受信して、そのパケットをグローバルネットワーク5の端末6に送信するものについて示したが、アドレス変換装置3がグローバルネットワーク5の端末6からパケットを受信して、そのパケットをプライベートネットワーク2の端末1に送信する場合も同様にしてネットワークアドレスを変換することができる。
【0024】
以上で明らかなように、この実施の形態1によれば、ネットワークアクセス制御部13がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するURIアクセス制御部15を設け、URIアクセス制御部15がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するように構成したので、リソースレベルでのアクセス許可の良否を制御することができる効果を奏する。
【0025】
実施の形態2.
図5はこの発明の実施の形態2によるアドレス変換装置を示す構成図であり、図において、図1と同一符号は同一または相当部分を示すので説明を省略する。18はデータ送受信部11により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを変換するネットワークアドレスH/W変換部(アドレス設定変更手段)である。ただし、ネットワークアドレスH/W変換部18はハードウエア処理によってパケットのネットワークアドレスを変換し、ネットワークアドレス変換部17はソフトウエア処理によってパケットのネットワークアドレスを変換するものとする。
【0026】
次に動作について説明する。
この実施の形態2では、アドレス変換装置3のデータ送受信部11がパケットを受信すると、ネットワークアドレスH/W変換部18がパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを変換する。
【0027】
即ち、コネクション確立時において、URI情報によるアクセス制御が必要とされない場合、予め登録しているアドレス情報の中から、パケットのコネクション情報に対応するアドレス情報(グローバルアドレス)を検索し、そのパケットのプライベートアドレスをグローバルアドレスに変換する。なお、ネットワークアドレスH/W変換部18は、アドレス情報の検索処理とアドレス変換処理をハードウエア処理によって行う。
ネットワークアドレスH/W変換部18は、パケットにURI情報が含まれている場合、そのパケットをネットワークアクセス制御部13に出力する。この場合、上記実施の形態1と同様に、ソフトウエア処理によってパケットのネットワークアドレスが変換される。
【0028】
【発明の効果】
以上のように、この発明によれば、ネットワークレベル認定手段がネットワークレベルでのアクセスを許可する場合、パケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するリソースレベル認定手段を設け、リソースレベル認定手段がリソースレベルでのアクセスを許可する場合、コネクション情報を参照してパケットのネットワークアドレスを変換するように構成したので、リソースレベルでのアクセス許可の良否を制御することができる効果がある。
【0029】
この発明によれば、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するように構成したので、構成の複雑化を招くことなく、ネットワークレベルでのアクセス許可の良否を制御することができる効果がある。
【0030】
この発明によれば、データベースからURI情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄するように構成したので、構成の複雑化を招くことなく、リソースレベルでのアクセス許可の良否を制御することができる効果がある。
【0031】
この発明によれば、データベースからコネクション情報に対応するネットワークアドレスを検索し、そのネットワークアドレスをパケットのネットワークアドレスとして使用するように構成したので、構成の複雑化を招くことなく、パケットのネットワークアドレスを変換することができる効果がある。
【0032】
この発明によれば、受信手段により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがってパケットのネットワークアドレスを設定変更するアドレス設定変更手段を設けるように構成したので、パケットにURI情報が含まれていない場合のアドレス変換処理の高速化を図ることができる効果がある。
【0033】
この発明によれば、アドレス設定変更手段がハードウエア処理によってパケットのネットワークアドレスを設定変更し、アドレス変換手段がソフトウエア処理によってパケットのネットワークアドレスを変換するように構成したので、更にアドレス変換処理の高速化を図ることができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1によるアドレス変換装置を示す構成図である。
【図2】コネクション情報に対応する設定情報を示す説明図である。
【図3】URI情報に対応する設定情報を示す説明図である。
【図4】コネクション情報に対応するグローバルアドレスを示す説明図である。
【図5】この発明の実施の形態2によるアドレス変換装置を示す構成図である。
【符号の説明】
1 端末、2 プライベートネットワーク、3 アドレス変換装置、4,5 グローバルネットワーク、6 端末、11 データ送受信部(受信手段、送信手段)、12 ネットワークアクセス制御DB(データベース)、13 ネットワークアクセス制御部(ネットワークレベル認定手段)、14 URIアクセス制御DB(データベース)、15 URIアクセス制御部(リソースレベル認定手段)、16 ネットワークアドレス変換DB(データベース)、17 ネットワークアドレス変換部(アドレス変換手段)、18 ネットワークアドレスH/W変換部(アドレス設定変更手段)。
Claims (6)
- あるネットワークから他のネットワークへ送信するパケットを受信する受信手段と、上記受信手段により受信されたパケットからコネクション情報を抽出し、そのコネクション情報を参照してネットワークレベルでのアクセス許可の良否を認定するネットワークレベル認定手段と、上記ネットワークレベル認定手段がネットワークレベルでのアクセスを許可する場合、そのパケットからURI情報を抽出し、そのURI情報を参照してリソースレベルでのアクセス許可の良否を認定するリソースレベル認定手段と、上記リソースレベル認定手段がリソースレベルでのアクセスを許可する場合、そのコネクション情報を参照して当該パケットのネットワークアドレスを変換するアドレス変換手段と、上記アドレス変換手段によるアドレス変換後のパケットを他のネットワークに送信する送信手段とを備えたアドレス変換装置。
- ネットワークレベル認定手段は、データベースからコネクション情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはネットワークレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄することを特徴とする請求項1記載のアドレス変換装置。
- リソースレベル認定手段は、データベースからURI情報に対応する設定情報を検索し、その設定情報がアクセス許可を示す場合にはリソースレベルでのアクセスを許可し、その設定情報がアクセス不許可を示す場合にはパケットを廃棄することを特徴とする請求項1記載のアドレス変換装置。
- アドレス変換手段は、データベースからコネクション情報に対応するネットワークアドレスを検索し、そのネットワークアドレスをパケットのネットワークアドレスとして使用することを特徴とする請求項1記載のアドレス変換装置。
- 受信手段により受信されたパケットにURI情報が含まれていない場合、予め登録されたアドレス情報にしたがって当該パケットのネットワークアドレスを設定変更するアドレス設定変更手段を設けたことを特徴とする請求項1から請求項4のうちのいずれか1項記載のアドレス変換装置。
- アドレス設定変更手段がハードウエア処理によってパケットのネットワークアドレスを設定変更し、アドレス変換手段がソフトウエア処理によってパケットのネットワークアドレスを変換することを特徴とする請求項5記載のアドレス変換装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002194872A JP2004040476A (ja) | 2002-07-03 | 2002-07-03 | アドレス変換装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002194872A JP2004040476A (ja) | 2002-07-03 | 2002-07-03 | アドレス変換装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004040476A true JP2004040476A (ja) | 2004-02-05 |
Family
ID=31703456
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002194872A Pending JP2004040476A (ja) | 2002-07-03 | 2002-07-03 | アドレス変換装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004040476A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009219129A (ja) * | 2004-05-27 | 2009-09-24 | Microsoft Corp | データ通信網のセキュアな連合 |
US20120197520A1 (en) * | 2004-07-16 | 2012-08-02 | Sony Corporation | Information processing system, information processing apparatus and method, recording medium, and program |
JP2016119512A (ja) * | 2014-12-18 | 2016-06-30 | 株式会社 ディー・エヌ・エー | 通信システム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000222323A (ja) * | 1999-02-04 | 2000-08-11 | Japan Media System Kk | インターネットよるウェブフィルタリングシステム |
JP2001292163A (ja) * | 2000-04-04 | 2001-10-19 | Fujitsu Ltd | 通信データ中継装置 |
JP2002077419A (ja) * | 2000-09-05 | 2002-03-15 | Sumitomo Electric Ind Ltd | 多地点会議装置、多地点会議システム及び多地点会議方法 |
-
2002
- 2002-07-03 JP JP2002194872A patent/JP2004040476A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000222323A (ja) * | 1999-02-04 | 2000-08-11 | Japan Media System Kk | インターネットよるウェブフィルタリングシステム |
JP2001292163A (ja) * | 2000-04-04 | 2001-10-19 | Fujitsu Ltd | 通信データ中継装置 |
JP2002077419A (ja) * | 2000-09-05 | 2002-03-15 | Sumitomo Electric Ind Ltd | 多地点会議装置、多地点会議システム及び多地点会議方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009219129A (ja) * | 2004-05-27 | 2009-09-24 | Microsoft Corp | データ通信網のセキュアな連合 |
US8112796B2 (en) | 2004-05-27 | 2012-02-07 | Microsoft Corporation | Secure federation of data communications networks |
US20120197520A1 (en) * | 2004-07-16 | 2012-08-02 | Sony Corporation | Information processing system, information processing apparatus and method, recording medium, and program |
US8483946B2 (en) * | 2004-07-16 | 2013-07-09 | Sony Corporation | Information processing system, information processing apparatus and method, recording medium, and program |
JP2016119512A (ja) * | 2014-12-18 | 2016-06-30 | 株式会社 ディー・エヌ・エー | 通信システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5335886B2 (ja) | ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置 | |
US7684397B2 (en) | Symmetric network address translation system using STUN technique and method for implementing the same | |
US8205074B2 (en) | Data communication method and data communication system | |
US20080133774A1 (en) | Method for implementing transparent gateway or proxy in a network | |
KR100652964B1 (ko) | 듀얼스택 네트워크 기기 및 그 브로드캐스트 방법 | |
JP2004364141A (ja) | Ipアドレス変換装置およびパケット転送装置 | |
US8724630B2 (en) | Method and system for implementing network intercommunication | |
US20070162746A1 (en) | Secure communication system and method of IPV4/IPV6 integrated network system | |
EP2479935A1 (en) | Method, system and communication terminal for implementing inter-communication between new network and internet | |
US10110554B2 (en) | Method and apparatus for supporting mobility of user equipment | |
JPH09233112A (ja) | アドレス変換装置 | |
US20030031173A1 (en) | Multilayer internet protocol (MLIP) for peer-to-peer service of private internet and method for transmitting/receiving MLIP packet | |
WO2012013003A1 (zh) | 一种数据报文的处理方法及系统 | |
US20060077972A1 (en) | Processing voice data in packet communication network with encryption | |
US11765237B1 (en) | Session-based remote direct memory access | |
JP2004040476A (ja) | アドレス変換装置 | |
JP7158826B2 (ja) | 通信制御装置、通信制御システム及び通信制御方法 | |
JP4889620B2 (ja) | 通信ネットワークにおけるipパケット中継方法およびゲートウェイ装置 | |
JP2007104676A (ja) | VoIP端末及び該端末の通信方法 | |
JP2000059416A (ja) | ゲートウェイ装置 | |
JP2000059430A (ja) | ネットワークアドレス変換方法及びその装置 | |
JP2003224580A (ja) | ネットワークアドレス変換装置 | |
JP2006287704A (ja) | スイッチングハブ | |
JP2008160890A (ja) | 通信装置 | |
JPH05199225A (ja) | Lan間通信方式 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061218 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061226 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070417 |