JP2004187206A - Personal filtering system and personal filtering method - Google Patents
Personal filtering system and personal filtering method Download PDFInfo
- Publication number
- JP2004187206A JP2004187206A JP2002354807A JP2002354807A JP2004187206A JP 2004187206 A JP2004187206 A JP 2004187206A JP 2002354807 A JP2002354807 A JP 2002354807A JP 2002354807 A JP2002354807 A JP 2002354807A JP 2004187206 A JP2004187206 A JP 2004187206A
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- virtual
- information provider
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、パーソナルフィルタリングシステム及び方法に係わり、特に、適用して有効な技術に関する。
【0002】
【従来の技術】
複数の情報提供者が1台のファイアウォールを共用する場合、共有化されたフィルタリングポリシのポリシ設定を行っているため、以下の様な問題がある。
(a)ある情報提供者が設定を間違えると、他の情報提供者のポリシに影響を及ぼす。
(b)他の情報提供者に、自己のポリシを容易に変更されてしまう。
(c)ある情報提供者のポリシを設定し、その設定を反映するためには、その設定のためには、一時的に運用停止が必要となり、その影響により、全情報提供者の端末にその運用停止の影響が及ぶ。
これらの問題を解決するため、1台のファイアウォール装置上に複数の仮想ファイアウォールを構築し、各情報提供者にそれぞれの仮想ファイアウォールを割り当てることにより、複数の情報提供者で1台のファイアウォール装置を利用する技術が知られている(例えば、非特許文献参照)。
この従来技術によれば、1人の情報提供者当たりのファイアウォールコストを下げるとともに、情報提供者毎のポリシを確保する利点がある。
【0003】
なお、本願発明に関連する先行技術文献情報としては以下のものがある。
【非特許文献1】
”データセンタにおけるセキュアなコンテンツ・フィルタリング方式の検討”
電子情報通信学会ソサイティ大会(2002)B−6−38
【0004】
【発明が解決しようとする課題】
しかしながら、前述の従来技術のみでは、各情報提供者自らが自分の仮想ファイアウォールを設定する仕組みがなく、前述の(c)の問題は解決されるものの、(a)、(b)の問題を解決することができなかった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、各情報提供者の仮想ファイアウォールを集約して、1台のファイアウォール装置に構築する一方で、自己のフィルタリングポリシを自己の仮想ファイアウォールに設定することのみを可能にし、安価で手軽に扱えるメンテナンスの容易なパーソナルフィルタリングシステムおよびパーソナルフィルタリング方法を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【0005】
【課題を解決するための手段】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
即ち、本発明は、IP通信網と、前記IP通信に接続される複数の端末と、前記IP通信網に接続される1台のファイアウォール装置とから構成され、端末から情報提供者が提供する公開情報に対するアクセスをフィルタリングするパーソナルフィルタリングシステムであって、前記ファイアウォール装置が、複数の仮想ファイアウォールを前記情報提供者毎に割り当てるとともに、前記各仮想ファイアウォールに対して、当該仮想ファイアウォールが割り当てられた情報提供者にのみ限定して、当該情報提供者が要求するフィルタリングポリシを、当該情報提供者の端末から設定させることを特徴とする。
【0006】
また、本発明では、前記設定されるフィルタリングポリシは、前記情報提供者が提供する公開情報の情報識別子(例えば、URL)毎に、当該公開情報の取得を希望する端末識別子(例えば、端末認証ID、パスワード、あるいは、送信元IPアドレス)毎の接続の許可、廃棄を決定するものであり、前記各仮想ファイアウォールが、前記情報提供者が提供する公開情報の取得を希望する端末からの情報要求パケットより得られた端末識別子および情報識別子と、前記フィルタリングポリシとを比較して、当該パケットの許可あるいは廃棄を行うことを特徴とする。
また、本発明では、前記ファイアウォール装置が、公開情報の取得を希望する端末からの情報要求パケットより得られた宛先IPアドレス、あるいは、情報識別子に基づき、当該パケットを、当該パケットが処理されるべき仮想ファイアウォールに振り分けることを特徴とする。
また、本発明では、前記ファイアウォール装置が、端末からの不正アクセスや異常イベントが前記各仮想ファイアウォールにあった場合に、当該仮想ファイアウォールを割り当てた該情報提供者の端末に、トラップ情報を通知するすることを特徴とする。
【0007】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を詳細に説明する。
なお、実施の形態を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施の形態1]
図1は、本発明の実施の形態1のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
本実施の形態は、本発明のパーソナルフィルタリングシステムを、共用サーバ・ホスティングシステムヘ適用した実施の形態である。
図1に示すシステムは、IP通信網1上に、情報提供者Aの端末21、情報提供者Bの端末22…、及び、端末X(31)、端末Y(32)、端末Z(33)…が接続されるとともに、IP通信網1上に、共通管理サーバ5が、高多重ファイアウォール装置(以下、高多重FW装置という。)4を経由して接続されて構成される。
図1に示すシステムでは、高多重FW装置4内に、仮想ファイアウォール(以下、仮想FWという。)1(41)、仮想FW2(42)…の独立した複数の仮想FWが、それぞれ情報提供者A、情報提供者B…毎に割り当てられており、当該割り当てられた各仮想FWに、各情報提供者が要求するフィルタリングポリシを独自に設定することができる。
【0008】
図3は、図1に示す高多重FW装置4の概略構成を示すブロック図である。
図3に示すように、高多重FW装置4の管理者により、高多重FW装置4内に、複数の仮想FWが構築されるとともに、各仮想FW内にフィルタリングポリシの格納エリアが設定され、当該仮想FWが割り当てられた情報提供者のみが、フィルタリングポリシの格納エリアに、各情報提供者が要求するフィルタリングポリシを設定することができる。
図3では、高多重FW装置4内に、仮想FW1(41)、仮想FW2(42)…、および仮想FW−M(4M)が構築され、仮想FW1(41)、仮想FW2(42)…、および仮想FW−M(4M)は、フィルタリングポリシの格納エリアに、それぞれ、フィルタリングポリシ1、フィルタリングポリシ2…、およびフィルタリングポリシMが格納されている。
このように、図1に示すシステムでは、情報提供者Aの端末(21)から仮想FW1(41)に、及び、情報提供者Bの端末(22)から仮想FW2(42)に、並びに、情報提供者Mの端末(2M)から仮想FW−M(4M)に、オンデマンドに各自己所有の情報に対する他の端末からのアクセス権限を指定するフィルタリングポリシを設定することができる。
【0009】
このフィルタリングポリシは、情報提供者が提供する公開情報の情報識別子(例えば、URL;Uniform Resource Locators)毎に、当該公開情報の取得を希望する端末識別子あるいはユーザ識別子(例えば、端末認証ID、パスワード、あるいは、送信元IPアドレス)毎の接続の許可、廃棄を設定するものである。
表1に、情報提供者Bが設定するフィルタリングポリシ設定の一例を示す。
この表1に示すフィルタリングポリシは、情報識別子としてURLを使用し、また、端末識別子として送信元IPアドレスを用い、各公開情報毎に、当該公開情報の取得を希望する端末識別子毎の接続の許可、廃棄を設定したものである。
【0010】
【表1】
情報提供端末Bのポリシ設定例
【0011】
例えば、端末X(31)、及び、端末Y(32)が、共通管理サーバ5上の情報提供者Bの提供する情報1ヘアクセスして、HTTPリクエスト(GET/memberB/info1.html)で接続を要求すると、表1に示すフィルタリングポリシにより、端末X(31)は、情報1への接続が許可され、端末Y(32)は、接続が許可されないので、HTTPリクエストは破棄される。
また、端末Z(33)から共通管理サーバ5へ、情報提供者Bの提供する情報2にアクセスしてHTTPリクエスト(GET/memberB/info2.html)で接続を要求すると、表1に示すフィルタリングポリシにより、端末Z(33)は、情報2への接続が許可され、要求した情報を入手することが出来る。
なお、共通管理サーバ5には、各情報提供者の提供情報コンテンツが記憶されている。例えば、情報提供者Bの公開情報として、情報1(URLは、/memberB/info1.html)と情報2(URLは、/memberB/info2.html)の情報コンテンツが記憶格納されている。
【0012】
図4は、本実施の形態における、情報提供者毎の仮想FWのフィルタリングポリシ設定を説明する図である。
以下、本実施の形態における、情報提供者毎の仮想FWのフィルタリングポリシの設定について説明する。
高多重FW装置4内に構築された仮想FW1(41)、仮想FW2(42)、仮想FW3(43)…、および仮想FW−M(4M)には、例えば、ユーザ識別子(端末認証IDやパスワード)の情報を利用して、図4の矢印Aに示すように、それぞれの仮想FWに対応する情報提供者A、情報提供者B、情報提供者C…、および情報提供者Mのみが、情報提供者の端末(21,22,23…,2M)から、各情報提供者自身のフィルタリングポリシの設定が可能である。
また、例えば、ユーザ識別子(端末認証IDやパスワード)の情報を利用して、情報提供者Bに割り当てられた仮想FW2(42)に対しては、他の情報提供者の端末からのアクセス(例えば、図4の矢印Bに示す情報提供者Aの端末からのアクセス)を禁止し、情報提供者Bに割り当てられた仮想FWに対して、他の該情報提供者がフィルタリングポリシを設定するのを防止する。
【0013】
図5は、本実施の形態における、高多重FW装置4上の情報提供者Bの仮想FWのフィルタリングポリシの一例を説明するための図である。
以下、高多重FW装置4上の情報提供者Bの仮想FWのフィルタリングポリシの一例について説明する。
例えば、ルール1では、情報識別子(URL)が、「/memberB/open_info/info1.html」で、端末識別子(送信元IPアドレス)が、「10.10.10.1〜10.10.10.254」の場合に、情報1への接続が許可される。
また、ルール2では、情報識別子(URL)が、「/memberB/limitedinfo/info2.html」で、端末識別子(送信元IPアドレス)が、「l0.10.10.1〜10.10.10.3」の場合に、情報2の接続が許可される。
また、ルール3では、情報識別子(URL)が、「/memberB/user1_only/info3.htm1」で、端末識別子(送信元IPアドレス)が、「10.10.10.1」の場合に、情報3の接続が許可される。
さらに、ルールNとして、前述したルールに属さない場合には、各情報への接続が廃棄される。
【0014】
図6は、本実施の形態における、高多重FW装置4上の仮想FWのパケットのフィルタリング処理を示すフローチャートである。
以下、本実施の形態における、高多重FW装置4上の仮想FWのパケットのフィルタリング処理について説明する。
初めに、パケットが到着すると(ステップ1)、パケットから端末識別子やユーザ識別子及び情報識別子を抽出する(ステップ2)。
次に、ポリシルールが存在するか否かを判定し(ステップ3)、ステップ3でポリシルールが存在しない場合には、当該パケットは廃棄される(ステップ7)。
ステップ3でポリシルールが存在する場合には、端末識別子やユーザ識別子及び情報識別子とフィルタリングポリシ設定を比較し(ステップ4)、ポリシの合/否を判定する(ステップ5)。
ステップ5でポリシに合致しない場合には、当該パケットは廃棄される(ステップ8)。
ステップ5でポリシに合致すると、当該パケットを通過させる(ステップ6)。
【0015】
[実施の形態2]
図2は、本発明の実施の形態2のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
本実施の形態は、本発明のパーソナルフィルタリングシステムを、独立サーバシステムヘ適用した実施の形態である。
図2に示すシステムは、IP通信網1上に、情報提供者Aの端末21、情報提供者Bの端末22…、及び、端末X(31)、端末Y(32)、端末Z(33)…が接続されるとともに、IP通信網1上に、情報提供者Aのサーバ61、及び、情報提供者Bのサーバ62が、それぞれ高多重FW装置4を経由して接続されて構成される。
図2に示すシステムでも、高多重FW装置4内に、仮想FW1(41)、仮想FW2(42)…の独立した複数の仮想FWが構築され、各仮想FWは、それぞれ情報提供者A、情報提供者B…毎に割り当てられており、割り当てられた該仮想FWに各情報提供者が要求するフィルタリングポリシを独自に設定することができる。
【0016】
このように、図2に示すシステムでは、情報提供者Aの端末(21)から仮想FW1(41)に、及び、情報提供者Bの端末(22)から仮想FW2(42)に、並びに、情報提供者Mの端末(2M)から仮想FW−M(4M)に、オンデマンドに各自己所有の情報に対する他の端末からのアクセス権限を指定するポリシ設定を行うことができる。
このフィルタリングポリシは、前述したものと同様、情報提供者が提供する公開情報の情報識別子(例えば、URL)毎に、当該公開情報の取得を希望する端末識別子あるいはユーザ識別子(例えば、端末認証ID、パスワード、あるいは、送信元IPアドレス)毎の接続の許可、廃棄を設定するものである。
表2に、情報提供者Bが設定するフィルタリングポリシの一例を示す。
この表2に示すフィルタリングポリシは、情報識別子としてURLを使用し、また、端末識別子として送信元IPアドレスを用い、各公開情報毎に、当該公開情報の取得を希望する端末識別子毎の接続の許可、廃棄を設定したものである。
【0017】
【表2】
情報提供端末Bのポリシ設定例
【0018】
例えば、端末X(31)、及び端末Y(32)が、情報提供者Bのサーバ62上の情報提供者Bの提供する情報3ヘアクセスして、HTTPリクエスト(GET/memberB/info3.html)で接続を要求すると、表2に示すフィルタリングポリシにより、端末X(31)は情報3への接続が許可され、端末Y(31)は、接続が許可されないので、HTTPリクエストは破棄される。
なお、各情報提供者のサーバ(61,62)には、各情報提供者の提供情報コンテンツが記憶されている。例えば、情報提供者Bの公開情報として、情報3(URLは、/privateB/info3.html)の情報コンテンツが記憶格納されている。
【0019】
[実施の形態3]
図7は、本発明の実施の形態3のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
本実施の形態は、仮想FWをサーバ毎に割り当てた場合の実施の形態である。高多重FW装置4には、仮想FW1(41)、仮想FW2(42)、仮想FW3(43)…、および仮想FW−M(4M)が構築され、仮想FW1(41)、仮想FW2(42)、仮想FW3(43)…、および仮想FW−M(4M)は、それぞれ情報提供者Aのサーバ(61)、情報提供者Bのサーバ(62)、情報提供者Cのサーバ(63)…、および情報提供者Mのサーバ(6M)に対応した仮想FWを構成する。
各サーバには、それぞれ、IPアドレスとして、「100.10.10.1」、「100.10.10.2」、「100.10.10.3」…、および「100.10.10.254」が割り当てられており、情報要求端末3からの、宛先IPアドレス「100.10.10.2」の情報要求パケットが、高多重FW装置4に到着すると、高多重FW装置4は、当該パケット内の宛先IPアドレスを参照して、当該パケットを仮想FW2(42)に振り分ける。
【0020】
[実施の形態4]
図8は、本発明の実施の形態4のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
本実施の形態は、仮想FWを情報群毎に割り当てた場合の実施の形態である。
高多重FW装置4には、仮想FW1(41)、仮想FW2(42)、仮想FW3(43)…、および仮想FW−M(4M)が構築され、仮想FW1(41)、仮想FW2(42)、仮想FW3(43)…、および仮想FW−M(4M)は、IPアドレス(100.10.10.1)を割り当てられた共通管理サーバ5上の各情報提供者に対応した情報群(「/memberA/infoA.html」、「/memberB/infoB.html」、「/memberC/infoC.html」…、「/memberM/infoM.html」)に、それぞれ対応した仮想FWを構成する。
情報要求端末3からの「GET/memberB/infoB.html」のHTTPリクエストパケットが、高多重FW装置4に到着すると、高多重FW装置4は、当該パケット内のURL「/memberB/infoB.html」を参照し、当該パケットを仮想FW2(42)に振り分ける。
【0021】
[実施の形態5]
図9は、本発明の実施の形態5のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
本実施の形態は、不正アクセスのトラップ情報を通知する実施の形態である。
高多重FW装置4には、仮想FW1(41)、仮想FW2(42)…、および仮想FW−M(4M)が構築され、仮想FW1(41)、仮想FW2(42)…、および仮想FW−M(4M)は、それぞれ情報提供者Aのサーバ61、情報提供者Bのサーバ62…、および情報提供者Mのサーバ(6M)に対応した仮想FWを構成する。
各サーバには、それぞれ、IPアドレスとして、「100.10.10.1」、「100.10.10.2」…、および「100.10.10.254」が割り当てられている。
不正アクセス端末30から、不正HTTPリクエストパケットが、情報提供者Bのサーバ62に向け(当該パケットの宛先IPアドレスには、「100.10.10.2」が記載されている)送出されると、高多重FW装置4は、一度、宛先IPアドレスに基づき、仮想FW2(42)に振り分ける。
仮想FW2(42)に振り分けられた後、不正アクセスのため、仮想FW2(42)が廃棄処理を行ったときに、高多重FW装置4は、仮想FW2(42)と連携する情報提供者Bの端末(22)に不正情報要求のトラップ通知を行う。
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0022】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、1台のファイアウォール装置で、複数のユーザのフィルタリングポリシを扱え、しかも、各情報提供端末から各自フィルタリングポリシ設定は、各自行うことが可能となる。
これにより、各システム全体の共通する設定を一度実施すれば良いので、管理量の削減に寄与することができ、しかも、ユーザ毎にポリシが独立化されるため、従来技術の(A)、(B)、(C)の各課題を解決し、他ユーザに気兼ねなく、自分のポリシをいつでも自由に、安価な費用で実現することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態1のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
【図2】本発明の実施の形態2のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
【図3】高多重ファイアウォール装置の概略構成を示すブロック図である。
【図4】情報提供者毎の仮想ファイアウォールのフィルタリングポリシ設定を説明する図である。
【図5】高多重ファイアウォール装置上の情報提供者Bの仮想ファイアウォールのフィルタリングポリシの一例を説明するための図である。
【図6】高多重ファイアウォール装置上の仮想ファイアウォールのパケットのフィルタリング処理を示すフローチャートである。
【図7】本発明の実施の形態3のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
【図8】本発明の実施の形態4のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
【図9】本発明の実施の形態5のパーソナルフィルタリングシステムの概略構成を示すブロック図である。
【符号の説明】
1…IP通信網、3…情報要求端末、4…高多重ファイアウォール装置、5…共通管理サーバ、21…情報提供者Aの端末、22…情報提供者Bの端末、23…情報提供者Cの端末、2M…情報提供者Mの端末、31…端末X、32…端末Y、33…端末Z、30…不正アクセス端末、41…仮想ファイアウォール1、42…仮想ファイアウォール2、43…仮想ファイアウォール3、4M…仮想ファイアウォールM、61…情報提供者Aのサーバ、62…情報提供者Bのサーバ、63…情報提供者Cのサーバ、6M…情報提供者Mのサーバ。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a personal filtering system and method, and more particularly, to a technology that is effective when applied.
[0002]
[Prior art]
When a plurality of information providers share one firewall, the following problems arise because the policy setting of the shared filtering policy is performed.
(A) If a certain information provider makes a mistake in setting, it affects the policy of another information provider.
(B) The policy is easily changed by another information provider.
(C) In order to set a policy of a certain information provider and reflect the setting, it is necessary to temporarily suspend the operation for the setting, and due to the influence, the terminal is set to all information provider terminals. The impact of operation suspension will be exerted.
In order to solve these problems, a plurality of virtual firewalls are constructed on a single firewall device, and each information provider is assigned a respective virtual firewall, so that a single firewall device can be used by a plurality of information providers. A known technique is known (for example, see Non-Patent Document).
According to this conventional technique, there is an advantage that the firewall cost per information provider is reduced and a policy for each information provider is secured.
[0003]
Prior art document information related to the present invention includes the following.
[Non-patent document 1]
"Study of Secure Content Filtering Method in Data Center"
IEICE Society Conference (2002) B-6-38
[0004]
[Problems to be solved by the invention]
However, with the above-mentioned conventional technology only, there is no mechanism for each information provider to set its own virtual firewall, and although the above-mentioned problem (c) is solved, the problems (a) and (b) are solved. I couldn't.
The present invention has been made to solve the problems of the conventional technology, and an object of the present invention is to aggregate virtual firewalls of respective information providers and construct them into one firewall device. An object of the present invention is to provide an inexpensive, easy-to-maintain and easy-to-maintain personal filtering system and personal filtering method that allows only its own filtering policy to be set in its own virtual firewall.
The above and other objects and novel features of the present invention will become apparent from the description of the present specification and the accompanying drawings.
[0005]
[Means for Solving the Problems]
The following is a brief description of an outline of typical inventions disclosed in the present application.
That is, the present invention comprises an IP communication network, a plurality of terminals connected to the IP communication, and one firewall device connected to the IP communication network. A personal filtering system for filtering access to information, wherein said firewall device allocates a plurality of virtual firewalls for each information provider, and said virtual firewall assigns said virtual firewall to each virtual firewall. The filtering policy requested by the information provider is set from the terminal of the information provider.
[0006]
In the present invention, the filtering policy to be set includes, for each information identifier (for example, URL) of the public information provided by the information provider, a terminal identifier (for example, terminal authentication ID) for which the public information is desired to be acquired. , A password, or a transmission source IP address) to determine whether connection is permitted or discarded. Each virtual firewall requests an information request packet from a terminal that desires to obtain public information provided by the information provider. The terminal identifier and the information identifier thus obtained are compared with the filtering policy to permit or discard the packet.
Also, in the present invention, the packet should be processed by the firewall device based on a destination IP address or an information identifier obtained from an information request packet from a terminal desiring to obtain public information. It is characterized by being distributed to a virtual firewall.
Further, in the present invention, when an unauthorized access from a terminal or an abnormal event occurs in each of the virtual firewalls, the firewall device notifies the information provider terminal to which the virtual firewall is assigned of trap information. It is characterized by the following.
[0007]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for describing the embodiments, components having the same function are denoted by the same reference numerals, and repeated description thereof will be omitted.
[Embodiment 1]
FIG. 1 is a block diagram illustrating a schematic configuration of the personal filtering system according to the first embodiment of the present invention.
This embodiment is an embodiment in which the personal filtering system of the present invention is applied to a shared server / hosting system.
The system shown in FIG. 1 includes a terminal 21 of an information provider A, a terminal 22 of an information provider B,..., A terminal X (31), a terminal Y (32), and a terminal Z (33) on the
In the system shown in FIG. 1, a plurality of independent virtual FWs of a virtual firewall (hereinafter, referred to as virtual FW) 1 (41), virtual FW 2 (42),. , Information providers B..., And a filtering policy required by each information provider can be uniquely set for each assigned virtual FW.
[0008]
FIG. 3 is a block diagram showing a schematic configuration of the high
As shown in FIG. 3, the administrator of the high
3, a virtual FW1 (41), a virtual FW2 (42), and a virtual FW-M (4M) are constructed in the high
As described above, in the system shown in FIG. 1, the information provider A terminal (21) transmits the virtual FW 1 (41), the information provider B terminal (22) transmits the virtual FW 2 (42), and the information. From the terminal M of the provider M (2M), it is possible to set, on demand, a filtering policy for designating the access right of each terminal to the virtual FW-M (4M) from other terminals.
[0009]
This filtering policy includes, for each information identifier (for example, URL; Uniform Resource Locators) of the public information provided by the information provider, a terminal identifier or a user identifier (for example, terminal authentication ID, password, Alternatively, connection permission and discard are set for each transmission source IP address).
Table 1 shows an example of a filtering policy setting set by the information provider B.
The filtering policy shown in Table 1 uses a URL as an information identifier, uses a source IP address as a terminal identifier, and, for each piece of public information, permits connection for each terminal identifier for which the public information is desired to be acquired. , Abandonment is set.
[0010]
[Table 1]
Example of policy setting for information providing terminal B
[0011]
For example, the terminal X (31) and the terminal Y (32) access the
When the terminal Z (33) accesses the common management server 5 to access the
The common management server 5 stores information provided by each information provider. For example, information contents of information 1 (URL is /memberB/info1.html) and information 2 (URL is /memberB/info2.html) are stored and stored as public information of the information provider B.
[0012]
FIG. 4 is a diagram illustrating the setting of a virtual FW filtering policy for each information provider according to the present embodiment.
Hereinafter, the setting of the filtering policy of the virtual FW for each information provider in the present embodiment will be described.
The virtual FW 1 (41), the virtual FW 2 (42), the virtual FW 3 (43), and the virtual FW-M (4M) constructed in the high
Further, for example, using information of a user identifier (terminal authentication ID or password), access to the virtual FW 2 (42) assigned to the information provider B from a terminal of another information provider (for example, , The access from the terminal of the information provider A indicated by the arrow B in FIG. 4) is prohibited, and the other information provider sets the filtering policy for the virtual FW assigned to the information provider B. To prevent.
[0013]
FIG. 5 is a diagram for explaining an example of a filtering policy of the virtual FW of the information provider B on the high
Hereinafter, an example of a filtering policy of the virtual FW of the information provider B on the high
For example, in
In
In
Further, when the rule N does not belong to the above-mentioned rule, the connection to each piece of information is discarded.
[0014]
FIG. 6 is a flowchart showing the filtering process of the virtual FW packet on the high
Hereinafter, the filtering process of the packet of the virtual FW on the high
First, when a packet arrives (step 1), a terminal identifier, a user identifier, and an information identifier are extracted from the packet (step 2).
Next, it is determined whether or not a policy rule exists (step 3). If no policy rule exists in
If the policy rule exists in
If the packet does not match the policy in step 5, the packet is discarded (step 8).
If the packet matches the policy in step 5, the packet is passed (step 6).
[0015]
[Embodiment 2]
FIG. 2 is a block diagram showing a schematic configuration of a personal filtering system according to
This embodiment is an embodiment in which the personal filtering system of the present invention is applied to an independent server system.
The system shown in FIG. 2 includes, on the
Also in the system shown in FIG. 2, a plurality of independent virtual FWs of virtual FW1 (41), virtual FW2 (42)... Are constructed in the high
[0016]
As described above, in the system shown in FIG. 2, the information provider A's terminal (21) communicates with the virtual FW 1 (41), the information provider B's terminal (22) communicates with the virtual FW 2 (42), and the information. From the terminal (2M) of the provider M, a policy setting for designating an access right from another terminal to information owned by each terminal can be performed on demand to the virtual FW-M (4M).
As described above, this filtering policy includes, for each information identifier (for example, URL) of public information provided by the information provider, a terminal identifier or a user identifier (for example, terminal authentication ID, Permission or discarding of connection is set for each password or transmission source IP address.
Table 2 shows an example of a filtering policy set by the information provider B.
The filtering policy shown in Table 2 uses a URL as an information identifier, uses a transmission source IP address as a terminal identifier, and, for each piece of public information, permits connection for each terminal identifier for which the public information is desired to be acquired. , Abandonment is set.
[0017]
[Table 2]
Example of policy setting for information providing terminal B
[0018]
For example, the terminal X (31) and the terminal Y (32) access the
The information provider's server (61, 62) stores information provided by each information provider. For example, information content of information 3 (URL is /privateB/info3.html) is stored and stored as public information of the information provider B.
[0019]
[Embodiment 3]
FIG. 7 is a block diagram showing a schematic configuration of a personal filtering system according to
This embodiment is an embodiment in the case where a virtual FW is assigned to each server. A virtual FW1 (41), a virtual FW2 (42), a virtual FW3 (43) ..., and a virtual FW-M (4M) are constructed in the high
Each server has an IP address of “100.10.10.1”, “100.10.10.2”, “100.10.10.3”,. 254 ”is assigned, and when the information request packet having the destination IP address“ 100.10.10.2 ”from the
[0020]
[Embodiment 4]
FIG. 8 is a block diagram showing a schematic configuration of a personal filtering system according to
This embodiment is an embodiment in the case where a virtual FW is assigned to each information group.
A virtual FW1 (41), a virtual FW2 (42), a virtual FW3 (43) ..., and a virtual FW-M (4M) are constructed in the high
When the HTTP request packet of “GET / memberB / infoB.html” from the
[0021]
[Embodiment 5]
FIG. 9 is a block diagram showing a schematic configuration of a personal filtering system according to Embodiment 5 of the present invention.
This embodiment is an embodiment for notifying the trap information of the unauthorized access.
A virtual FW1 (41), a virtual FW2 (42),..., And a virtual FW-M (4M) are constructed in the high
Each of the servers is assigned with an IP address of “100.10.10.1”, “100.10.10.2”,..., And “100.10.10.254”.
When an unauthorized HTTP request packet is transmitted from the unauthorized access terminal 30 to the server 62 of the information provider B (“100.10.10.2” is described in the destination IP address of the packet). The high
After being distributed to the virtual FW 2 (42), when the virtual FW 2 (42) performs a discarding process due to unauthorized access, the high
As described above, the invention made by the inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and can be variously modified without departing from the gist of the invention. Needless to say,
[0022]
【The invention's effect】
The following is a brief description of an effect obtained by a representative one of the inventions disclosed in the present application.
According to the present invention, a single firewall device can handle filtering policies of a plurality of users, and each of the information providing terminals can set its own filtering policy.
As a result, it is only necessary to perform the common setting once for each system as a whole, which can contribute to a reduction in the amount of management. Further, since the policy is independent for each user, the prior art (A), ( By solving each of the problems B) and C), it is possible to freely implement one's own policy at any time at low cost without worrying about other users.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating a schematic configuration of a personal filtering system according to a first embodiment of the present invention.
FIG. 2 is a block diagram illustrating a schematic configuration of a personal filtering system according to a second embodiment of the present invention.
FIG. 3 is a block diagram illustrating a schematic configuration of a high multiplex firewall device.
FIG. 4 is a diagram illustrating a setting of a filtering policy of a virtual firewall for each information provider.
FIG. 5 is a diagram illustrating an example of a filtering policy of a virtual firewall of an information provider B on a high multiplex firewall device.
FIG. 6 is a flowchart showing a packet filtering process of a virtual firewall on a high multiplex firewall device.
FIG. 7 is a block diagram illustrating a schematic configuration of a personal filtering system according to a third embodiment of the present invention.
FIG. 8 is a block diagram illustrating a schematic configuration of a personal filtering system according to a fourth embodiment of the present invention.
FIG. 9 is a block diagram illustrating a schematic configuration of a personal filtering system according to a fifth embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF
Claims (10)
前記ファイアウォール装置は、複数の仮想ファイアウォールを前記情報提供者毎に割り当てる第1の手段と、
前記各仮想ファイアウォールに対して、当該仮想ファイアウォールが割り当てられた情報提供者にのみ限定して、当該情報提供者が要求するフィルタリングポリシを、当該情報提供者の端末から設定させる第2の手段とを具備することを特徴とするパーソナルフィルタリングシステム。The network includes an IP communication network, a plurality of terminals connected to the IP communication network, and one firewall device connected to the IP communication network, and filters access to public information provided by an information provider from the terminals. A personal filtering system,
A first unit that allocates a plurality of virtual firewalls to each of the information providers,
A second means for setting, from each terminal of the information provider, a filtering policy requested by the information provider only for the information provider to which the virtual firewall is assigned, for each virtual firewall. A personal filtering system, comprising:
前記各仮想ファイアウォールは、前記情報提供者が提供する公開情報の取得を希望する端末からの情報要求パケットより得られた端末識別子および情報識別子と、前記フィルタリングポリシとを比較して、当該パケットの許可あるいは廃棄を行うことを特徴とする請求項1に記載のパーソナルフィルタリングシステム。The filtering policy set by the second means determines, for each information identifier of the public information provided by the information provider, whether to permit or discard connection for each terminal identifier for which the public information is desired to be obtained. Yes,
Each of the virtual firewalls compares a terminal identifier and an information identifier obtained from an information request packet from a terminal desiring to obtain public information provided by the information provider with the filtering policy, and permits the packet. Alternatively, the personal filtering system according to claim 1, wherein the personal filtering is performed.
前記端末識別子は、端末認証ID、パスワード、あるいは、送信元IPアドレスであることを特徴とする請求項2に記載のパーソナルフィルタリングシステム。The information identifier is a URL,
The personal filtering system according to claim 2, wherein the terminal identifier is a terminal authentication ID, a password, or a transmission source IP address.
前記1台のファイアウォール装置内に複数の仮想ファイアウォールを情報提供者毎に割り当てる第1のステップと、
前記各仮想ファイアウォールに対して、当該仮想ファイアウォールが割り当てられた情報提供者にのみ限定して、当該情報提供者が要求するフィルタリングポリシを、当該情報提供者の端末から設定させる第2のステップとを具備することを特徴とするパーソナルフィルタリング方法。Disclosure provided by an information provider from a terminal in a personal filtering system including an IP communication network, a plurality of terminals connected to the IP communication, and one firewall device connected to the IP communication network A personal filtering method for filtering access to information,
A first step of allocating a plurality of virtual firewalls to each information provider in the one firewall device;
A second step of setting, for each of the virtual firewalls, a filtering policy requested by the information provider only from the information provider to which the virtual firewall is assigned, from a terminal of the information provider. A personal filtering method, comprising:
前記情報提供者が提供する公開情報の取得を希望する端末からの情報要求パケットが到着した場合に、前記各仮想ファイアウォールが、前記公開情報の取得を希望する端末からの情報要求パケットより得られた端末識別子および情報識別子と、前記各仮想ファイアウォールに設定されたフィルタリングポリシとを比較して、当該パケットの許可あるいは廃棄を行う第3のステップを具備することを特徴とする請求項6に記載のパーソナルフィルタリング方法。In the second step, for each information identifier of the public information provided by the information provider, a filtering policy for deciding whether connection is permitted or discarded for each terminal identifier for which the public information is desired to be acquired is set in each of the virtual firewalls. Set to
When an information request packet from a terminal that desires to obtain the public information provided by the information provider arrives, each of the virtual firewalls is obtained from an information request packet from a terminal that wants to obtain the public information. 7. The personal computer according to claim 6, further comprising a third step of comparing a terminal identifier and an information identifier with a filtering policy set in each of the virtual firewalls and permitting or discarding the packet. Filtering method.
前記端末識別子は、端末認証ID、パスワード、あるいは、送信元IPアドレスであることを特徴とする請求項8に記載のパーソナルフィルタリング方法。The information identifier is a URL,
The personal filtering method according to claim 8, wherein the terminal identifier is a terminal authentication ID, a password, or a source IP address.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002354807A JP2004187206A (en) | 2002-12-06 | 2002-12-06 | Personal filtering system and personal filtering method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002354807A JP2004187206A (en) | 2002-12-06 | 2002-12-06 | Personal filtering system and personal filtering method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004187206A true JP2004187206A (en) | 2004-07-02 |
Family
ID=32755681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002354807A Pending JP2004187206A (en) | 2002-12-06 | 2002-12-06 | Personal filtering system and personal filtering method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004187206A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008524970A (en) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | Client-supported firewall structure |
US8141124B2 (en) | 2005-11-14 | 2012-03-20 | International Business Machines Corporation | Managing community provided in information processing system |
JP2013254337A (en) * | 2012-06-06 | 2013-12-19 | Ntt Data Corp | Virtualization device, virtualization control method and virtualization device control program |
-
2002
- 2002-12-06 JP JP2002354807A patent/JP2004187206A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008524970A (en) * | 2004-12-21 | 2008-07-10 | クゥアルコム・インコーポレイテッド | Client-supported firewall structure |
US8141124B2 (en) | 2005-11-14 | 2012-03-20 | International Business Machines Corporation | Managing community provided in information processing system |
JP2013254337A (en) * | 2012-06-06 | 2013-12-19 | Ntt Data Corp | Virtualization device, virtualization control method and virtualization device control program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2856702B1 (en) | Policy service authorization and authentication | |
US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
US7082532B1 (en) | Method and system for providing distributed web server authentication | |
US20160261607A1 (en) | Techniques for identity-enabled interface deployment | |
CA2509206C (en) | System for digital rights management using distributed provisioning and authentication | |
JP6526338B2 (en) | Method and system for dynamically generating access control lists | |
US8191131B2 (en) | Obscuring authentication data of remote user | |
US20080148345A1 (en) | Single point authentication for web service policy definition | |
EP1942629A1 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
MX2011003223A (en) | Service provider access. | |
JP2014096181A (en) | Method of granting privilege to share resource in telecommunication system | |
JP2004048234A (en) | User authentication system and user authentication method | |
RU2387089C2 (en) | Method of allocating resources with limited access | |
JP2004062417A (en) | Certification server device, server device and gateway device | |
JP2008160709A (en) | Computer system | |
JP4835569B2 (en) | Virtual network system and virtual network connection device | |
KR20100126459A (en) | Implementing session-specific urls and resources | |
JP2004187206A (en) | Personal filtering system and personal filtering method | |
JP4352210B2 (en) | Access management server, network device, network system | |
JP2008010934A (en) | Gateway apparatus, communication control method, program, and storage medium with the program stored | |
JP2006302295A (en) | Method and device for controlling network connection | |
JP2003348114A (en) | Layer 2 authentication system and method | |
JP2010039994A (en) | Access control system, connection controller and connection control method | |
JP7221235B2 (en) | Server equipment and network system | |
JP2004272486A (en) | Network communication system, and communication terminal |