JP2004187208A - Firewall multiplexing apparatus and packet distribution method - Google Patents

Firewall multiplexing apparatus and packet distribution method Download PDF

Info

Publication number
JP2004187208A
JP2004187208A JP2002354839A JP2002354839A JP2004187208A JP 2004187208 A JP2004187208 A JP 2004187208A JP 2002354839 A JP2002354839 A JP 2002354839A JP 2002354839 A JP2002354839 A JP 2002354839A JP 2004187208 A JP2004187208 A JP 2004187208A
Authority
JP
Japan
Prior art keywords
firewall
packet
tunnel
virtual
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002354839A
Other languages
Japanese (ja)
Other versions
JP3898119B2 (en
Inventor
Daisuke Oka
大祐 岡
Kazuhiko Osada
和彦 長田
Takashi Ikegawa
隆司 池川
Hiroyuki Ichikawa
弘幸 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002354839A priority Critical patent/JP3898119B2/en
Publication of JP2004187208A publication Critical patent/JP2004187208A/en
Application granted granted Critical
Publication of JP3898119B2 publication Critical patent/JP3898119B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an apparatus which utilizes a tunneling technology to freely set a processing unit to be covered by one firewall from a plurality of servers to an information group within the single server without disposing any special device on the pre-stage and multiplexes firewall processing not to increase entry capacity of a distribution table to be utilized for distribution. <P>SOLUTION: A part of an identifier of a tunnel to be used for communicating with the terminals is used for distribution to firewall processing, a value of a virtual network identifier to be used for communicating with the servers is applied to the one part of the tunnel identifier, such that the processing unit to be charged by one firewall may be freely set from the plurality of servers to the information units within the single server without disposing the special device on the pre-stage of the apparatus for multiplexing firewall processing, and that the entry capacitance of the distribution table to be utilized for distribution may not be increased. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、複数の端末、サーバ間のパケット通信におけるファイアウォール処理を多重化し、複数のファイアウォールを単一の装置で実現するシステムにおいて、各パケットを各ファイアウォールヘ振分ける方式に関するものである。
【0002】
【従来の技術】
従来、パケット通信網を介したWebコンテンツに関するパケット通信では、コンテンツを保持するサーバをデータセンタに集約して配置し、一括して運用、保守を行うことによる管理負荷の軽減化とデータセンタへの入出制限による物理的セキュリティ強化が図られている。また、ネットワークを介した通信に関するセキュリティ強化のため、各サーバの前段にはファイアウォール装置が設置されている。
【0003】
また、上記ファイアウォール装置もコスト低減化のため、複数のファイアウォール処理を単一の装置で実現するファイアウォール多重化装置が考案されている。
【0004】
従来のファイアウォール多重化装置では、パケットを各ファイアウォール処理(以下、仮想ファイアウォールと称する)への振分け方法として、端末側から(以下、上り側と称する)のパケット、Webサーバから(以下、下り側と称する)のパケットとも、仮想網を識別する仮想網識別子による方法がある。該方法は、上り側、下り側とも同一方法を使用することにより、振分けの際に参照する振分けテーブルに同一のテーブルが利用できる。
【0005】
また、仮想網により、グループ化することにより、仮想ファイアウォールの処理単位粒度を調整できる。例えば、複数Webサーバを同一の仮想網に含め、単一のグループとすることで、該仮想網に属するWebサーバ単位で単一の仮想ファイアウォール処理を実現することが可能であったり、単一Webサーバ内に複数のホストが存在する場合などは、各ホスト毎に仮想網を割当てることで、各ホスト単位での仮想ファイアウォール処理を実現することが可能であったりする。このような点から、ファイアウォール多重化装置での仮想ファイアウォール振分けには仮想網識別子が用いられている。
【0006】
なお、前記従来技術は、ベンダ製品のヒアリング等から導き出したものであり、該当する文献は所有していない。また、ファイアウォール多重装置およびパケット振分け方法に関する従来技術をPLINSESで検索したが、本発明と同様な技術は発見できなかった。したがって、先行技術文献名は記載できない。
【0007】
【発明が解決しようとする課題】
しかし、仮想網識別子による仮想ファイアウォールへのパケット振分け方法の場合、上り側パケットを仮想網識別子により仮想ファイアウォールに振分けるためには、ファイアウォール多重装置の前段に位置し、パケット毎に該パケットの属する仮想網へ仮想網入り口装置が必要になる。
【0008】
通常の該入り口装置の場合、宛先アドレス、または、入力ポートから仮想網を解決し、該仮想網へパケットを転送するが、この機能では、仮想ファイアウォール処理粒度の調整に制限が発生する。
【0009】
例えば、単一Webサーバ内のホスト毎に仮想ファイアウォール処理を実施することは、不可能である。これは、仮想網の解決に宛先アドレスを用いる場合は、単一Webサーバの宛先アドレスは単一であり、ホストの識別を行うことが出来ず、また、該仮想網入り口装置での仮想網の解決に入力ポートを用いる場合は、該ポートに収容される端末からのアクセスはすべて単一のホストへ転送され、ホストの選択ができないことを意味するものである。
【0010】
また、宛先アドレスによる仮想網の解決では、サブネットの異なる複数サーバの仮想ファイアウォール処理を実現するには、仮想網入り口装置のエントリ資源を無駄使いすることになる。これは、サブネット毎にエントリが必要になるためである。
【0011】
このように、ファイアウォール多重装置の機能は、前段に設置される仮想網入り口装置の機能に依存してしまう。
【0012】
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、パケット通信網を介して、端末とファイアウォール多重装置がパケット通信を行う際に、セキュリティを保つために、トンネリング技術によリパケット通信を行う場合は、上記ファイアウォール多重装置の機能制限を与えることなく、且、上り側、下り側に同一の振分けテーブルを使用することを可能とし、且、上記、仮想網入り口装置を必要とすることがないファイアウォール多重装置および振分け方法を提供することにある。
【0013】
【課題を解決するための手段】
上記目的を達成するために、請求項1及び請求項2の発明により、本発明のファイアウォール多重化装置は、端末との間で、トンネリング技術によリパケット転送を実現するトンネル処理部を有し、上り側パケットの振分けを、前記トンネル処理部により、構築されたトンネルを利用することで実現する。具体的には、トンネルの識別に利用される各パケットのヘッダ部に付与されたトンネル識別子の一部にファイアウォール識別子を用いることで実現する。これにより、該ファイアウォール多重装置の前段に入り口装置を設置する必要が無く、上り側パケットを該当する仮想ファイアウォールヘ振分けることが可能となる。
【0014】
また、請求項1及び請求項3の発明により、上記トンネル識別子の一部にファイアウォール識別子として、下り側パケットの振分けに利用する仮想網識別子、と同一の値を利用することにより、振分けに利用する振分けテーブルを、上り側、下り側で同一とすることが可能になる。
【0015】
さらに、請求項1及び請求項4の発明により、端末との間にトンネルを張り、パケット転送を実現するトンネル処理部に加え、トンネル確立時に、認証を行う認証処理部を備え、該認証結果を元に、仮想ファイアウォール処理粒度を決定することにより、前段に設置される仮想網入り口装置の機能による、仮想ファイアウォール処理粒度の制限を受けること無く、上り側パケットを適切な粒度で仮想ファイアウォールヘ振分けることが可能になる。
【0016】
さらに、請求項1及び請求項5の発明により、仮想ファイアウォールで異なるホスト宛のパケットを受信時に、該パケット転送用のトンネルを削除することにより、単一Webサーバ内のホストごとに仮想ファイアウォールを割当てるような、仮想ファイアウォール処理の粒度が細かい場合に、単一端末がアクセスするホストを切替ることが可能になる。
【0017】
【発明の実施の形態】
以下、図面に基いて本発明の一実施形態を説明する。
【0018】
図1は、本発明の一実施形態におけるファイアウォール多重装置20の内部機能を示すブロック構成図であり、図1のファイアウォール部11は、トンネル処理部15、仮想網処理部17、パケット振分け部18と接続し、Webサーバ単位、または、複数のWebサーバ単位、または、単一Webサーバのホスト単位にファイアウォール処理を実施する仮想ファイアウォール12を複数収容している。
【0019】
また、ユーザ側インターフェース部13は、トンネル処理部15と接続し、端末とのパケット通信におけるパケットをインターネットを介して送受信するインターフェースであり、サーバ側インターフェース部14は、仮想網処理部17と接続し、データセンタ内のWebサーバとのパケット通信におけるパケットを送受信するインターフェースである。
【0020】
また、トンネル処理部15は、前記のファイアウォール部11、ユーザ側インターフェース部13、に加え認証処理部16、パケット振分け部18と接続し、端末とのパケット通信の際に利用するトンネルの確立と、該トンネルを利用したパケット通信と、パケット振分けに利用するファイアウォール識別子を端末からの各パケットから抽出し、パケット振分け部18へ通知する処理を行う。トンネル確立の際には、認証処理部16から通知された、仮想ファイアウォール識別子を含むトンネル識別子で示されるトンネルを確立する。
【0021】
また、認証処理部16は、前記のトンネル処理部15に加え、記憶部19と接続し、トンネル処理部15においてトンネル確立時に、行われる認証処理と、該認証処理の結果から記憶部19を参照してファイアウォール識別子を決定し、認証処理を実施する。
【0022】
また、仮想網処理部17は、前記のファイアウォール11、サーバ側インターフェース部14に加え、パケット処理部と接続し、Webサーバと仮想網としてVLANを利用することで、VLAN通信を行うとともに、パケット振分けに利用するファイアウォール識別子にあたる仮想網識別子としてVLAN−IDをパケットから抽出し、パケット振分け部18へ通知する処理を行う。
【0023】
また、パケット振分け部18は、前記のファイアウォール部11、トンネル処理部15、仮想網処理部17に加え、記憶部19と接続し、トンネル処理部15、または、仮想網処理部17から送られてくるパケットを、該パケットと一緒に送られてくるファイアウォール識別子を元に、記憶部19を参照して、該パケットを該当する仮想ファイアウォール12を解決し、ファイアウォール部内の該当する仮想ファイアウォール12へ、該パケットを送る処理を行う。
【0024】
また、記憶部19は、前記の認証処理部16、パケット振分け部18と接続し、認証処理部16から送られてくる仮想ファイアウォール情報を元に、保持する振分けテーブルを検索し、ヒットしたファイアウォール識別子を認証処理部16へ応答し、パケット振分け部18から送られてくるファイアウォール識別子を元に、保持する振分けテーブルを検索し、ヒットした仮想ファイアウォール情報を該パケット振分け部18へ応答する処理を行う。
【0025】
また、図2は、図1で示されるファイアウォール多重装置の動作を示すネットワークモデルの一実施形態を示す図であり、ファイアウォール多重装置20は、データセンタ22内のWebサーバ26との間でVLANを利用したパケット通信を行い、また、パケット通信網としてインターネット21を想定し、該インターネット21を介して端末23との間でトンネリング技術を利用し、パケット通信用トンネル29を確立し、パケット通信を実施する。
【0026】
また、Webサーバ26のIPアドレスはIP.αであり、該Webサーバ内には、管理者が異なる2つのホスト、ホストA27とホストB28が存在する。また、端末23は、ホストAとホストBの両方にアクセスが許可されたユーザ名がユーザXのユーザ24により、操作されている。
【0027】
また、ホストA、または、ホストBのアドレス解決を行うDNS(Domain Name Service Server)がインターネット21には接続されている。
【0028】
また、図1で示した仮想ファイアウォール12の内、仮想ファイアウォール12−1はホストAに関連するパケットのファイアウォール処理を実施し、仮想ファイアウォール12−2はホストBに関連するパケットのファイアウォール処理を実施しているとする。
【0029】
また、図3は、図1で示した認証処理部16で保持される認証テーブルの一例であり、該認証テーブルに保存されるエントリは、テーブルユーザ名、パスワード、仮想ファイアウォール情報から構成されており、現在、図2のネットワークモデルでの動作説明に必要であるエントリが示されており、ホストAの認証のため、ユーザ名がユーザX、パスワードがパスワードA、仮想ファイアウォール情報が仮想ファイアウォール12−1であるエントリと、ホストBの認証のため、ユーザ名がユーザX、パスワードがパスワードB、仮想ファイアウォール情報が仮想ファイアウォール12−2であるエントリが保存されている。
【0030】
また、図4は、図1で示した記憶部19で保持される振分けテーブルの一例であり、該振分けテーブルに保存されるエントリは、ファイアウォール識別子、仮想ファイアウォール情報から構成されており、現在、図2のネットワークモデルでの動作説明に必要であるエントリが示されており、仮想ファイアウォール12−1への振分けのため、ファイアウォール識別子がVLAN1、仮想ファイアウォール情報が仮想ファイアウォール12−1であるエントリと、仮想ファイアウォール12−2への振分けのため、ファイアウォール識別子がVLAN2、仮想ファイアウォール情報が仮想ファイアウォール12−2であるエントリが保存されている。図4からもわかるとおり、ファイアウォール識別子はVLAN−IDである12ビットの値が用いられる。
【0031】
また、図5は、図1で示したトンネル処理部15がトンネル確立時に、認証処理部16からの通知を元に、トンネルの識別に利用するトンネル識別子の一例を示すものであり、該例では、トンネルとしてIPSecを利用した場合のトンネル識別子にあたるSPI(Security Parameters Index)を示したものである。該SPIはトンネル識別のため、端末間とのパケット転送の際に各パケットのIPSecヘッダ部に有り、32ビットのフィールドから成る。このSIPフィールドの上位12ビットには、トンネル確立時に認証処理部から通知されたファイアウォール識別子が挿入されており、下位20ビットはトンネル確立時にトンネル処理部が任意に決定した値である。
【0032】
図6は、図2で示されたネットワークモデルの動作を示したシーケンス図の一例であり、ユーザ24がホストA27にアクセス後、同一Webサーバ26上にあるホストB28にアクセスするシーケンスを示したものである。
【0033】
ファイアウォール多重装置20の構成は図1で示すものであり、各部で保持されるテーブルは図3及び図4で示したエントリを保持するものとする。また、端末、ファイアウォール多重装置間の通信にはIPSecが使用され、該IPSecパケットヘッダのSPIフィールドは、図5で示した構成となる。以下に、図6のシーケンスを示す。
【0034】
ユーザ24は、ホストAへのアクセスを端末23に対して要求する。端末23は、ホストAのアドレスを解決するためDNS25ヘアドレス解決要求を出す。DNS25は、ホストAのアドレスを解決し、該アドレスであるIP.αを端末23へ応答する。端末23は、該アドレスヘアクセスするため、ファイアウォール多重装置20のトンネル処理部15との間でIPSecトンネル確立を試み、Phase1として、トンネル処理部15との間に制御信号用トンネルを確立、その後、トンネル処理部15からの認証要求を受ける。端末23は、該要求を元にユーザ24ヘユーザ名とパスワードを要求する。ユーザ24、ユ−ザ名としてユーザX、パスワードとしてパスワード1を端末23に通知する。端末23は該通知をトンネル処理部15へ通知する。
【0035】
該通知を受けたトンネル処理部15は、該通知を認証処理部16へ該通知を認証情報として送り、認証要求を出す。該認証要求を受けた認証処理部16は、図3で示す認証テーブルを参照し、仮想ファイアウォール12−1へのアクセスが可能と判断し、ファイアウォール識別子の解決のため、記憶部19へ仮想ファイアウォール情報を送る。
【0036】
該仮想ファイアウォール情報を受けた記憶部19は、図4で示す振分けテーブルを参照し、ファイアウォール識別子であるVLAN1を解決し、該ファイアウォール識別子を認証処理部16へ応答する。該ファイアウォール識別子を受けた認証処理部16は、トンネル処理部15へ認証済みを知らせると同時に該ファイアウォール識別子を応答する。
【0037】
該ファイアウォール識別子を受けたトンネル処理部15は、トンネル識別子であるSPIの上位12ビットを該ファイアウォール識別子であるVLAN1とするパケット通信用トンネル29を端末23との間に確立する。
【0038】
端末23は、確立されたパケット通信用トンネル29を使用しWebサーバ26との間にTCPコネクションを張る。この際、ファイアウォール多重装置20は、端末23からのパケットの場合、まず、トンネル処理部15で、該パケットのヘッダに含まれるSPIフィールドの上位12ビットに埋められたファイアウォール識別子であるVLAN1を抽出し、該パケットとともにパケット振分け部へ、該ファイアウォール識別子を送り、パケット振分け部では、該ファイアウォール識別子を元に、図4で示した振分けテーブルを参照し、振分け先が仮想ファイアウォール12−1であることを解決し、該パケットを仮想ファイアウォール12−1へ送る、仮想ファイアウォール12−1は、該パケットをファイアウォール処理し、仮想網処理部17へ送る、該パケットを受けた仮想網処理部17では、仮想ファイアウォール12−1からのパケットであることより、VLAN−IDをVLAN1として該パケットをWebサーバ26へ転送するように動作し、また、パケットがWebサーバ26の場合、まず、パケットを受信した仮想網処理部17は、該パケットのヘッダに含まれ、値がVLAN1であるVLAN−IDをファイアウォール識別子として、該パケットとともにパケット振分け部18へ送り、パケット振分け部18では上記動作と同様の動作をし、該パケットを仮想ファイアウォール12−1へ送る、仮想ファイアウォール12−1も上記動作と同様の動作をし、該パケットをトンネル処理部15へ送る、トンネル処理部15では該パケットが仮想ファイアウォール12−1からのものであり、宛先が端末23であることより、パケット通信用トンネル29を利用して端末ヘパケットを送信するように動作する。
【0039】
端末23とWebサーバ26間でTCPコネクションが確立されると、端末23はホストA27へHTTPリクエストを送信する。この際、ファイアウォール多重化装置20は、上記TCPコネクション確立時の端末23からのパケット受信時と同様に動作し、上記HTTPリクエストを受けたWebサーバは該HTTPリクエストの乗っていたパケットのVLAN−IDがVLAN1であることより、ホストA27へ該HTTPリクエストを送る。
【0040】
上記、HTTPリクエストを受けたホストA27は、該HTTPリクエストを処理し、その結果をHTTPレスポンスとして端末23へ返す。この際、ファイアウォール多重化装置20は、上記TCPコネクション確立時のWebサーバ26からのパケット受信時と同様に動作し、端末23は該HTTPレスポンスを受信することができる。
【0041】
このように、端末23は、ホストA27との通信を確立できる。
【0042】
では、次に、上記通信終了の状態で、ユーザ24がホストB28へのアクセスを要求するような、同一Webサーバ内のホスト間での通信切替についてのシーケンスを示す。
【0043】
ユーザ24は、ホストB28へのアクセスを端末に対して要求する。該要求を受けた端末23は、上記ホストA27へのアクセス時と同様DNS25を利用してアドレスを解決する。この時、解決されるアドレスは上記ホストA27の場合と同様IP.αである。
【0044】
次に端末23は、アドレスIP.α宛のパケット通信用トンネルが既にあることにより、該パケット通信用トンネルを利用して、ホストB28へのHTTPリクエストを送信する。
【0045】
該パケットを送信したファイアウォール多重装置20は、上記ホストAへのアクセス時のTCPコネクション確立の場合の端末23からのパケット受信時と同様に動作するが、仮想ファイアウォール12−1は、該パケットがホストB28へのリクエストであり、該リクエストを破棄すると同時にトンネル処理部15へ該パケットのためのパケット通信用トンネル29を削除することを要求する。
【0046】
該要求を受けたトンネル処理部15が該パケット通信用トンネル29を破棄する。
【0047】
一方、端末23側のTCPでは、上記HTTPリクエストに用いたTCPパケットの確認応答が返ってこないため、再度送信を試みようとするが、パケット転送用トンネル29が無いため、まず、再度該パケット転送用トンネル29の確立を試みる。
【0048】
その際、上記のホストA27へのアクセス時と同様の処理が行われ、ユーザ名とパスワードの要求に対して、ユーザ24がユーザ名としてユーザX、パスワードとしてパスワード2を入力することにより、今度はSPI上位12ビットにVLNA2の値を持つパケット通信用トンネル29が確立される。
【0049】
この新たに確立されたトンネル通信用トンネル29を用い、前記のTCP再送が実施される。
【0050】
該HTTPリクエストを乗せ再送されるTCPは、SPIの上位12ビットがVLAN2のIPSeCトンネルを通じて送信されるため、適切な仮想ファイアウォールである仮想ファイアウォール12−2を通りホストB28へ送信される。該HTTPリクエストのレスポンスも、上記ホストA27への場合と同様に処理され、端末23で受信することが可能になる。
【0051】
尚、前述した実施形態は本発明の一具体例であって、本発明が上記実施形態のみに限定されることはない、
【0052】
【発明の効果】
以上、説明したように本発明のファイアウォール多重装置によれば、端末からのパケットを仮想ファイアウォールに振分ける際に、該パケット通信に利用するトンネルの識別情報を用いることで、従来必要であった、ファイアウォール多重装置の前段に仮想網入り口装置を設置する必要がなくなる。
【0053】
また、該トンネルの識別情報の一部のみを、ファイアウォール識別子として、仮想ファイアウォールと括りつけにし、該括りつけになるファイアウォール識別子を認証により決定することで、一仮想ファイアウォールが担当するファイアウォール処理の単位を複数サーバから単一サーバ内の一ホストまで、任意の粒度に変更することが出来るようになる。
【0054】
これにより、従来、前段の装置の機能に依存していた、仮想ファイアウォールのファイアウォール処理単位の粒度を前段の仮想網入り口装置の機能に依存すること無く設定することが可能となる。
【0055】
また、前述の、端末からのパケットを振分ける際に使用するトンネル識別情報の一部を、サーバ側の振分けに利用する仮想網識別子と同じ値を用いることで、振分けに利用するテーブルを1つに集約することが可能になり、これにより、端末からのパケットとサーバからのパケットの振分け方法に異なる方法を用いても、従来と、同じ振分けテーブル容量で、振分け処理を実現することが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態におけるファイアウォール多重装置を示す図である。
【図2】本発明におけるファイアウォール多重装置の動作を示すネットワークモデルの一例を示す図である。
【図3】本発明における認証処理部で保持される認証テーブルの一例を示す図である。
【図4】本発明における記憶部で保持される振分けテーブルの一例を示す図である。
【図5】本発明におけるトンネルの識別に利用するトンネル識別子の一例を示す図である。
【図6】本発明における一実施形態の動作を示したシーケンス図である。
【符号の説明】
11…ファイアウォール部、12−1〜12−2…仮想ファイアウォール、13…ユーザ側インターフェース部、14…サーバ側インターフェース部、15…トンネル処理部、16…認証処理部、17…仮想網処理部、18…パケット振分け部、19…記憶部、20…ファイアウォール多重装置、21…インターネット、22…データセンタ、23…端末、24…ユーザ、25…DNS、26…Webサーバ、27…ホストA、28…ホストB、29…パケット転送用トンネル。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a system for multiplexing firewall processing in packet communication between a plurality of terminals and a server and distributing each packet to each firewall in a system in which a plurality of firewalls are realized by a single device.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, in packet communication related to Web contents via a packet communication network, servers holding contents are aggregated and arranged in a data center, and operation and maintenance are collectively performed to reduce a management load and reduce a load on the data center. Physical security is strengthened by restricting entry and exit. In addition, a firewall device is installed at a stage preceding each server in order to enhance security concerning communication via a network.
[0003]
Also, in order to reduce the cost of the firewall device, a firewall multiplexing device that realizes a plurality of firewall processes by a single device has been devised.
[0004]
In a conventional firewall multiplexing apparatus, as a method of distributing a packet to each firewall processing (hereinafter, referred to as a virtual firewall), a packet from a terminal side (hereinafter, referred to as an upstream side) and a packet from a Web server (hereinafter, referred to as a downstream side) are used. ), There is a method using a virtual network identifier for identifying a virtual network. In this method, the same method can be used for the distribution table to be referred to at the time of distribution by using the same method for the upstream side and the downstream side.
[0005]
In addition, the processing unit granularity of the virtual firewall can be adjusted by grouping by the virtual network. For example, by including a plurality of Web servers in the same virtual network and forming a single group, a single virtual firewall process can be realized for each Web server belonging to the virtual network, or a single Web server can be realized. When a plurality of hosts exist in a server, for example, virtual firewall processing can be realized for each host by allocating a virtual network to each host. From such a point, the virtual network identifier is used for the virtual firewall distribution in the firewall multiplexing device.
[0006]
The above-mentioned prior art is derived from interviews with vendor products and the like, and does not have a corresponding document. In addition, the prior art relating to the firewall multiplexing apparatus and the packet distribution method was searched by PLINESS, but the same technology as the present invention could not be found. Therefore, the prior art document name cannot be described.
[0007]
[Problems to be solved by the invention]
However, in the case of a method of distributing packets to a virtual firewall by using a virtual network identifier, in order to distribute an upstream packet to a virtual firewall by using a virtual network identifier, the packet is located in front of the firewall multiplexing device, and for each packet, A virtual network entrance device is required for the network.
[0008]
In the case of the normal entrance device, the virtual network is resolved from the destination address or the input port, and the packet is transferred to the virtual network. However, in this function, adjustment of the virtual firewall processing granularity is limited.
[0009]
For example, it is impossible to implement virtual firewall processing for each host in a single Web server. This is because, when the destination address is used for the resolution of the virtual network, the destination address of the single Web server is single, the host cannot be identified, and the virtual network is not identified by the virtual network entrance device. When an input port is used for the solution, all accesses from terminals accommodated in the port are transferred to a single host, which means that a host cannot be selected.
[0010]
Further, in the solution of the virtual network by the destination address, in order to realize the virtual firewall processing of a plurality of servers having different subnets, the entry resources of the virtual network entrance device are wasted. This is because an entry is required for each subnet.
[0011]
Thus, the function of the firewall multiplexing device depends on the function of the virtual network entrance device installed at the preceding stage.
[0012]
The present invention has been made in view of the above circumstances, and an object thereof is to provide a tunneling technology for maintaining security when a terminal and a firewall multiplex device perform packet communication via a packet communication network. When packet communication is performed, the same distribution table can be used for the upstream side and the downstream side without restricting the function of the firewall multiplexing apparatus, and the virtual network entrance apparatus can be used. An object of the present invention is to provide a firewall multiplexing device and a distribution method which are not required.
[0013]
[Means for Solving the Problems]
In order to achieve the above object, according to the first and second aspects of the present invention, the firewall multiplexing apparatus of the present invention has a tunnel processing unit that realizes repacket transfer with a terminal by a tunneling technique, The distribution of upstream packets is realized by using the tunnel constructed by the tunnel processing unit. Specifically, this is realized by using a firewall identifier as a part of the tunnel identifier given to the header part of each packet used for tunnel identification. This eliminates the need to install an entrance device in front of the firewall multiplexing device, and makes it possible to distribute upstream packets to the corresponding virtual firewall.
[0014]
According to the first and third aspects of the present invention, a part of the tunnel identifier is used for distribution by using, as a firewall identifier, the same value as a virtual network identifier used for distribution of downstream packets. It is possible to make the distribution table the same on the upstream side and the downstream side.
[0015]
Further, according to the first and fourth aspects of the present invention, in addition to a tunnel processing unit that establishes a tunnel between the terminal and realizes packet transfer, an authentication processing unit that performs authentication when a tunnel is established is provided. Originally, by determining the virtual firewall processing granularity, the upstream packet is distributed to the virtual firewall at an appropriate granularity without being restricted by the virtual firewall processing granularity due to the function of the virtual network entrance device installed in the preceding stage. It becomes possible.
[0016]
Furthermore, according to the first and fifth aspects of the present invention, when a packet addressed to a different host is received by the virtual firewall, the packet forwarding tunnel is deleted, thereby assigning a virtual firewall to each host in a single Web server. In such a case where the granularity of the virtual firewall processing is fine, it is possible to switch the host accessed by a single terminal.
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
[0018]
FIG. 1 is a block diagram showing the internal functions of a firewall multiplexing device 20 according to an embodiment of the present invention. The firewall unit 11 shown in FIG. 1 includes a tunnel processing unit 15, a virtual network processing unit 17, a packet distribution unit 18, A plurality of virtual firewalls 12 that are connected to each other and perform firewall processing for each Web server, for each Web server, or for each host of a single Web server are accommodated.
[0019]
The user-side interface unit 13 is an interface that connects to the tunnel processing unit 15 and transmits and receives packets in packet communication with terminals via the Internet. The server-side interface unit 14 connects to the virtual network processing unit 17. Is an interface for transmitting and receiving packets in packet communication with a Web server in a data center.
[0020]
In addition, the tunnel processing unit 15 connects to the authentication processing unit 16 and the packet distribution unit 18 in addition to the firewall unit 11 and the user-side interface unit 13, and establishes a tunnel to be used for packet communication with the terminal. A packet communication using the tunnel and a process of extracting a firewall identifier used for packet distribution from each packet from the terminal and notifying the packet distribution unit 18 are performed. At the time of tunnel establishment, a tunnel indicated by the tunnel identifier including the virtual firewall identifier notified from the authentication processing unit 16 is established.
[0021]
The authentication processing unit 16 is connected to the storage unit 19 in addition to the tunnel processing unit 15, and refers to the storage unit 19 based on an authentication process performed when the tunnel is established in the tunnel processing unit 15 and a result of the authentication process. Then, a firewall identifier is determined and an authentication process is performed.
[0022]
The virtual network processing unit 17 is connected to a packet processing unit in addition to the firewall 11 and the server-side interface unit 14, and performs VLAN communication by using a VLAN as a virtual network with a Web server, and performs packet distribution. A VLAN-ID is extracted from the packet as a virtual network identifier corresponding to a firewall identifier used in the packet distribution, and the packet distribution unit 18 is notified.
[0023]
The packet distribution unit 18 connects to the storage unit 19 in addition to the firewall unit 11, the tunnel processing unit 15, and the virtual network processing unit 17, and is transmitted from the tunnel processing unit 15 or the virtual network processing unit 17. The incoming packet is resolved into the corresponding virtual firewall 12 by referring to the storage unit 19 based on the firewall identifier sent together with the packet and sent to the corresponding virtual firewall 12 in the firewall unit. Performs processing to send packets.
[0024]
The storage unit 19 is connected to the authentication processing unit 16 and the packet distribution unit 18 and searches a distribution table to be held based on the virtual firewall information transmitted from the authentication processing unit 16. Is returned to the authentication processing unit 16, and based on the firewall identifier sent from the packet distribution unit 18, the retained distribution table is searched, and the virtual firewall information that has been hit is responded to the packet distribution unit 18.
[0025]
FIG. 2 is a diagram showing an embodiment of a network model showing the operation of the firewall multiplexing device shown in FIG. 1. The firewall multiplexing device 20 establishes a VLAN with the Web server 26 in the data center 22. Packet communication using the Internet 21 is assumed as a packet communication network, and a tunnel 29 for packet communication is established with the terminal 23 via the Internet 21 by using a tunneling technology to carry out packet communication. I do.
[0026]
The IP address of the Web server 26 is IP. α, and two hosts having different administrators, host A27 and host B28, exist in the Web server. Further, the terminal 23 is operated by the user 24 of the user X whose user name is permitted to access both the host A and the host B.
[0027]
A DNS (Domain Name Service Server) for resolving the address of the host A or the host B is connected to the Internet 21.
[0028]
Also, among the virtual firewalls 12 shown in FIG. 1, the virtual firewall 12-1 performs firewall processing for packets related to the host A, and the virtual firewall 12-2 performs firewall processing for packets related to the host B. Suppose
[0029]
FIG. 3 is an example of an authentication table held by the authentication processing unit 16 shown in FIG. 1, and the entries stored in the authentication table include a table user name, a password, and virtual firewall information. 2, entries necessary for explanation of the operation in the network model of FIG. 2 are shown. For the authentication of the host A, the user name is the user X, the password is the password A, and the virtual firewall information is the virtual firewall 12-1. And an entry in which the user name is user X, the password is password B, and the virtual firewall information is the virtual firewall 12-2 for the authentication of the host B.
[0030]
FIG. 4 is an example of the distribution table held in the storage unit 19 shown in FIG. 1. The entries stored in the distribution table are composed of firewall identifiers and virtual firewall information. 2 shows an entry necessary for explanation of the operation in the network model of No. 2 and, for distribution to the virtual firewall 12-1, an entry in which the firewall identifier is VLAN1 and the virtual firewall information is the virtual firewall 12-1; For distribution to the firewall 12-2, an entry whose firewall identifier is VLAN2 and whose virtual firewall information is the virtual firewall 12-2 is stored. As can be seen from FIG. 4, a 12-bit value that is a VLAN-ID is used as the firewall identifier.
[0031]
FIG. 5 shows an example of a tunnel identifier used by the tunnel processing unit 15 shown in FIG. 1 to identify a tunnel based on a notification from the authentication processing unit 16 when a tunnel is established. And SPI (Security Parameters Index) corresponding to a tunnel identifier when IPSec is used as a tunnel. The SPI is included in the IPSec header portion of each packet at the time of packet transfer between terminals for tunnel identification, and is composed of a 32-bit field. The firewall identifier notified from the authentication processing unit at the time of tunnel establishment is inserted into the upper 12 bits of this SIP field, and the lower 20 bits are values arbitrarily determined by the tunnel processing unit at the time of tunnel establishment.
[0032]
FIG. 6 is an example of a sequence diagram showing an operation of the network model shown in FIG. 2, and shows a sequence in which the user 24 accesses the host A27 and then accesses the host B28 on the same Web server 26. It is.
[0033]
The configuration of the firewall multiplexing device 20 is as shown in FIG. 1, and the table held by each unit holds the entries shown in FIG. 3 and FIG. In addition, IPSec is used for communication between the terminal and the firewall multiplexing device, and the SPI field of the IPSec packet header has the configuration shown in FIG. The sequence of FIG. 6 is shown below.
[0034]
The user 24 requests the terminal 23 to access the host A. The terminal 23 issues an address resolution request to the DNS 25 to resolve the address of the host A. The DNS 25 resolves the address of the host A, and the IP. is returned to the terminal 23. The terminal 23 attempts to establish an IPSec tunnel with the tunnel processing unit 15 of the firewall multiplexing device 20 in order to access the address, establishes a control signal tunnel with the tunnel processing unit 15 as Phase 1, and thereafter, The authentication request from the tunnel processing unit 15 is received. The terminal 23 requests a user name and a password from the user 24 based on the request. The user 24 is notified to the terminal 23 of the user X as the user name and the password 1 as the password. The terminal 23 notifies the tunnel processing unit 15 of the notification.
[0035]
The tunnel processing unit 15 that has received the notification sends the notification to the authentication processing unit 16 as the authentication information, and issues an authentication request. Upon receiving the authentication request, the authentication processing unit 16 refers to the authentication table shown in FIG. 3 and determines that access to the virtual firewall 12-1 is possible, and stores the virtual firewall information in the storage unit 19 to resolve the firewall identifier. Send.
[0036]
The storage unit 19 that has received the virtual firewall information refers to the distribution table shown in FIG. 4, resolves the VLAN 1 that is the firewall identifier, and responds the firewall identifier to the authentication processing unit 16. Upon receiving the firewall identifier, the authentication processing unit 16 notifies the tunnel processing unit 15 that the authentication has been completed and, at the same time, responds with the firewall identifier.
[0037]
Upon receiving the firewall identifier, the tunnel processing unit 15 establishes a packet communication tunnel 29 with the terminal 23 using the upper 12 bits of the SPI, which is the tunnel identifier, as VLAN1, which is the firewall identifier.
[0038]
The terminal 23 establishes a TCP connection with the Web server 26 using the established packet communication tunnel 29. At this time, in the case of a packet from the terminal 23, the firewall multiplexing apparatus 20 first extracts, in the tunnel processing unit 15, VLAN1 which is a firewall identifier embedded in the upper 12 bits of the SPI field included in the header of the packet. The packet distribution unit sends the firewall identifier to the packet distribution unit together with the packet. The packet distribution unit refers to the distribution table shown in FIG. 4 based on the firewall identifier and determines that the distribution destination is the virtual firewall 12-1. And sends the packet to the virtual firewall 12-1. The virtual firewall 12-1 firewall-processes the packet and sends it to the virtual network processing unit 17. 12-1 Thus, the operation is performed such that the VLAN-ID is set to VLAN 1 and the packet is transferred to the Web server 26. When the packet is the Web server 26, first, the virtual network processing unit 17 that has received the packet transmits the packet to the header of the packet. The VLAN-ID, which is included and has a value of VLAN1, is sent as a firewall identifier to the packet distribution unit 18 together with the packet, and the packet distribution unit 18 performs the same operation as described above, and transmits the packet to the virtual firewall 12-1. The virtual firewall 12-1 performs the same operation as the above operation, and sends the packet to the tunnel processing unit 15. In the tunnel processing unit 15, the packet is from the virtual firewall 12-1, and the destination is the terminal 23. As a result, the packet is transmitted to the terminal using the packet communication tunnel 29. Operable to transmit.
[0039]
When a TCP connection is established between the terminal 23 and the Web server 26, the terminal 23 sends an HTTP request to the host A27. At this time, the firewall multiplexing device 20 operates in the same manner as when receiving a packet from the terminal 23 at the time of establishing the TCP connection, and the Web server receiving the HTTP request transmits the VLAN-ID of the packet carrying the HTTP request. Is the VLAN1, and sends the HTTP request to the host A27.
[0040]
Upon receiving the HTTP request, the host A27 processes the HTTP request and returns the result to the terminal 23 as an HTTP response. At this time, the firewall multiplexing device 20 operates in the same manner as when receiving a packet from the Web server 26 at the time of establishing the TCP connection, and the terminal 23 can receive the HTTP response.
[0041]
In this way, the terminal 23 can establish communication with the host A27.
[0042]
Next, a sequence for communication switching between hosts in the same Web server, in which the user 24 requests access to the host B28 in the state of the communication end, will be described.
[0043]
The user 24 requests the terminal to access the host B28. The terminal 23 that has received the request resolves the address by using the DNS 25 in the same manner as when accessing the host A27. At this time, the address to be resolved is IP. α.
[0044]
Next, the terminal 23 receives the address IP. Since the packet communication tunnel addressed to α already exists, an HTTP request to the host B 28 is transmitted using the packet communication tunnel.
[0045]
The firewall multiplexing device 20 that has transmitted the packet operates in the same manner as when receiving the packet from the terminal 23 in the case of establishing the TCP connection when accessing the host A, but the virtual firewall 12-1 This is a request to B28, and requests the tunnel processing unit 15 to delete the packet communication tunnel 29 for the packet at the same time as discarding the request.
[0046]
The tunnel processing unit 15 that has received the request discards the packet communication tunnel 29.
[0047]
On the other hand, in the TCP on the terminal 23 side, an acknowledgment of the TCP packet used for the HTTP request is not returned, so that the transmission is attempted again. However, since there is no packet transfer tunnel 29, the packet transfer is performed again. Attempt to establish a service tunnel 29.
[0048]
At this time, the same processing as that at the time of access to the host A27 is performed. In response to the request for the user name and the password, the user 24 inputs the user X as the user name and the password 2 as the password. A packet communication tunnel 29 having a VLNA2 value in the upper 12 bits of the SPI is established.
[0049]
Using the newly established tunnel communication tunnel 29, the TCP retransmission is performed.
[0050]
Since the upper 12 bits of the SPI are transmitted through the IPSec tunnel of VLAN2, the TCP retransmitted with the HTTP request is transmitted to the host B28 through the virtual firewall 12-2 which is an appropriate virtual firewall. The response to the HTTP request is processed in the same manner as in the case of the host A 27, and can be received by the terminal 23.
[0051]
The above-described embodiment is a specific example of the present invention, and the present invention is not limited to only the above-described embodiment.
[0052]
【The invention's effect】
As described above, according to the firewall multiplexing device of the present invention, when distributing a packet from a terminal to a virtual firewall, identification information of a tunnel used for the packet communication is used, which is conventionally required. There is no need to install a virtual network entrance device in front of the firewall multiplexing device.
[0053]
In addition, only a part of the identification information of the tunnel is bound as a firewall identifier with the virtual firewall, and the firewall identifier to be bound is determined by authentication, so that the unit of firewall processing assigned to one virtual firewall is determined. From multiple servers to one host in a single server, it can be changed to any granularity.
[0054]
This makes it possible to set the granularity of the firewall processing unit of the virtual firewall, which has conventionally depended on the function of the preceding device, without depending on the function of the preceding virtual network entrance device.
[0055]
Also, by using a part of the tunnel identification information used for distributing the packet from the terminal described above to the same value as the virtual network identifier used for the server-side distribution, one table used for the distribution can be provided. This makes it possible to realize the distribution process with the same distribution table capacity as before, even if different methods are used for distributing packets from the terminal and packets from the server. Become.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a firewall multiplexing device according to an embodiment of the present invention.
FIG. 2 is a diagram showing an example of a network model showing an operation of the firewall multiplexing device according to the present invention.
FIG. 3 is a diagram illustrating an example of an authentication table held by an authentication processing unit according to the present invention.
FIG. 4 is a diagram illustrating an example of a distribution table held in a storage unit according to the present invention.
FIG. 5 is a diagram showing an example of a tunnel identifier used for identifying a tunnel in the present invention.
FIG. 6 is a sequence diagram showing the operation of one embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 11 ... Firewall part, 12-1-12-2 ... Virtual firewall, 13 ... User side interface part, 14 ... Server side interface part, 15 ... Tunnel processing part, 16 ... Authentication processing part, 17 ... Virtual network processing part, 18 ... Packet sorting unit, 19 ... Storage unit, 20 ... Firewall multiplexing device, 21 ... Internet, 22 ... Data center, 23 ... Terminal, 24 ... User, 25 ... DNS, 26 ... Web server, 27 ... Host A, 28 ... Host B, 29: Packet transfer tunnel.

Claims (5)

パケット通信網を介して、コンテンツヘアクセスを要求する複数の端末と、要求されたコンテンツを配信するサーバと、該パケット通信網と該サーバ間に設置され、該パケット通信網を介して、端末とはトンネルを利用したパケット通信を実施し、サーバとは仮想網を利用したパケット通信を実施し、各サーバ単位、若しくは、複数のサーバ単位、若しくは、サーバ内の情報群単位にファイアウォール処理を実施するファイアウォール多重装置からなるコンテンツ配信システムにおけるファイアウォール多重装置であって、
前記パケット通信網を介して端末からのIPパケットを送受信するユーザ側インターフェース部と、
前記、サーバからのIPパケットを送受信するサーバ側インターフェース部と、サーバ単位、若しくは、複数のサーバ単位、若しくは、サーバ内の情報群単位にファイアウォール処理を実施する仮想ファイアウォールを複数含むファイアウォール部と、
端末、Webサーバからのパケットのヘッダ情報と、該パケットを処理する仮想ファイアウォールを示す識別子とが、対応付けられた振分けテーブルを記憶している記憶部と、
前記ファイアウォール部に接続し、端末、サーバからのパケットのヘッダ情報を元に、前記記憶部を参照することにより、該ヘッダ情報を含むパケットの送り先仮想ファイアウォールを決定し、該決定に従い前記ファイアウォール部内の仮想ファイアウォールへパケットを送るパケット振分け部と、
前記ユーザ側インタフェース部と前記ファイアウォール部と前記パケット振分け部に接続し、前記ユーザ側インターフェース部を介して、端末との間に、トンネルを確立し、前記ファイアウォール部の仮想ファイアウォールからのパケットを該当するトンネルを介して端末へ送信し、端末からのパケットを受信し、該受信パケットのヘッダ情報に含まれ、該パケットの転送に使用されたトンネルを示すトンネル識別子の一部を、該パケットとともに、パケット処理部へ送るトンネル処理部と、
前記トンネル処理部と記憶部に接続し、トンネル確立時の認証処理を実施するとともに、認証結果を参照し、トンネル識別子として使用する情報をトンネル処理部へ応答する認識処理部と、
前記サーバ側インターフェース部と前記ファイアウォール部と前記パケット処理部に接続し、前記ファイアウォール部の仮想ファイアウォール毎に対応付けられた仮想網を利用し、前記サーバ側インターフェース部を介して、前記ファイアーウォール部の仮想ファイアウォールからのパケットを該当する仮想網でサーバへ転送し、端末からのパケットを受信し、該受信パケットのヘッダ情報に含まれ、転送に利用された仮想網の識別子を、該パケットとともに、パケット処理部へ送る仮想網処理部を備えることを特徴とするファイアウォール多重装置。Through a packet communication network, a plurality of terminals that request access to the content, a server that distributes the requested content, and a terminal that is installed between the packet communication network and the server and communicates with the terminal through the packet communication network. Implements packet communication using a tunnel, implements packet communication using a virtual network with a server, and implements firewall processing for each server, or for multiple servers, or for each information group within a server A firewall multiplexing device in a content distribution system including a firewall multiplexing device,
A user-side interface unit for transmitting / receiving an IP packet from a terminal via the packet communication network;
A server-side interface unit that transmits and receives IP packets from the server, and a firewall unit that includes a plurality of virtual firewalls that perform firewall processing for each server, or for each of a plurality of servers, or for each information group in the server,
A storage unit that stores a distribution table in which header information of a packet from the terminal and the Web server and an identifier indicating a virtual firewall that processes the packet are associated with each other;
By connecting to the firewall unit, based on header information of a packet from a terminal and a server, by referring to the storage unit, a destination virtual firewall of a packet including the header information is determined, and according to the determination, a virtual firewall in the firewall unit is determined. A packet sorting unit that sends packets to the virtual firewall,
The user-side interface unit, the firewall unit, and the packet distribution unit are connected to each other, and a tunnel is established between the terminal and the terminal via the user-side interface unit. The packet is transmitted to the terminal via the tunnel, the packet from the terminal is received, and a part of the tunnel identifier included in the header information of the received packet and indicating the tunnel used to transfer the packet is included in the packet together with the packet. A tunnel processing unit to be sent to the processing unit;
A recognition processing unit that connects to the tunnel processing unit and the storage unit, performs an authentication process at the time of tunnel establishment, refers to an authentication result, and responds to the tunnel processing unit with information used as a tunnel identifier;
The server-side interface unit, the firewall unit, and the packet processing unit are connected to each other, and a virtual network associated with each virtual firewall of the firewall unit is used. The packet from the virtual firewall is transferred to the server in the corresponding virtual network, the packet from the terminal is received, and the identifier of the virtual network used for the transfer, which is included in the header information of the received packet and used for the transfer, is included in the packet together with the packet. A firewall multiplexing device comprising a virtual network processing unit for sending to a processing unit. トンネル処理部は、認証処理の後、該認証を元に端末との通信で使用するトンネルを作成し、トンネル識別子を決定し、
該トンネル識別子が、トンネル処理部においては、パケット送信時には、パケット受信端末に対し、該パケット転送で使用したトンネルを通知するために使用され、パケット受信時には、受信パケットのヘッダに付与され、該受信パケットが利用したトンネルを識別するために使用されるとともに、該トンネル識別子の一部が仮想ファイアウォールと対応付けられたファイアウォール識別子として利用され、
パケット振分け部では、該受信パケットのファイアウォール識別子を仮想ファイアウォールに振分けるための検索キーとして使用し、該パケットを振分けることを特徴とする請求項1記載のファイアウォール多重装置におけるパケット振分け方法。After the authentication processing, the tunnel processing unit creates a tunnel to be used for communication with the terminal based on the authentication, determines a tunnel identifier,
The tunnel identifier is used by the tunnel processing unit to notify the packet receiving terminal of the tunnel used in the packet transfer when transmitting a packet, and is attached to the header of the received packet when receiving the packet. Used to identify the tunnel used by the packet, a part of the tunnel identifier is used as a firewall identifier associated with the virtual firewall,
2. The packet distribution method according to claim 1, wherein the packet distribution unit distributes the packet by using a firewall identifier of the received packet as a search key for distribution to the virtual firewall. トンネル識別子において、該トンネル識別子内の仮想ファイアウォールに対応付けられたファイアウォール識別子が、サーバ側からのパケットを仮想ファイアウォールに振分けるために使用される仮想識別子と同一であり、
記憶部における、振分けテーブルのエントリが、該ファイアウォール識別子と同一である仮想網識別子と仮想ファイアウォール識別子の組から成ることを特徴とし、請求項2記載の振分け方法を実現する請求項1記載のファイアウォール多重装置。In the tunnel identifier, the firewall identifier associated with the virtual firewall in the tunnel identifier is the same as the virtual identifier used to distribute the packet from the server to the virtual firewall;
3. The firewall multiplexing method according to claim 1, wherein an entry of the distribution table in the storage unit comprises a set of a virtual network identifier and a virtual firewall identifier that are the same as the firewall identifier. apparatus. 認証部は、トンネル処理部から送られてくる認証情報を元に、認証処理を行うとともに、認証確認が取れた場合は、認証端末、若しくは認証ユーザからのパケットを処理する仮想ファイアウォールを解決し記憶部を参照し、該仮想ファイアウォールに対応付けられたファイアウォール識別子を取得し、該ファイアウォール識別子をトンネル識別子の一部として使用するために、認証結果とともに、トンネル処理部に返答することを特徴とする請求項2記載の振分け方法を実現する請求項1記載のファイアウォール多重装置。The authentication unit performs authentication processing based on the authentication information sent from the tunnel processing unit, and when authentication is confirmed, resolves and stores the virtual firewall that processes packets from the authentication terminal or the authentication user. Requesting a firewall identifier associated with the virtual firewall by referring to the tunnel processing unit, and using the firewall identifier as a part of the tunnel identifier together with the authentication result. 3. The firewall multiplexing device according to claim 1, which realizes the distribution method according to claim 2. 仮想ファイアウォールは、単一のサーバ、若しくは、複数のサーバ、若しくは、単一のサーバ内のホストに対してファイアウォール処理をするとともに、単一のサーバ内のホストに対するファイアウォール処理においては、端末から送られるパケット内に示されたホスト情報を元に、該ホスト以外のホストヘのアクセスを要求するパケットを受けた場合は、該パケットの送信に使用されたトンネルを削除するようにトンネル処理部へ命令し、該トンネルを削除することを特徴とする請求項1記載のファイアウォール多重装置。A virtual firewall performs firewall processing on a single server, or multiple servers, or hosts in a single server, and is sent from a terminal in firewall processing on a host in a single server. Based on the host information indicated in the packet, when receiving a packet requesting access to a host other than the host, instruct the tunnel processing unit to delete the tunnel used to transmit the packet, 2. The firewall multiplexing device according to claim 1, wherein said tunnel is deleted.
JP2002354839A 2002-12-06 2002-12-06 Firewall multiplexer and packet distribution method Expired - Fee Related JP3898119B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002354839A JP3898119B2 (en) 2002-12-06 2002-12-06 Firewall multiplexer and packet distribution method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002354839A JP3898119B2 (en) 2002-12-06 2002-12-06 Firewall multiplexer and packet distribution method

Publications (2)

Publication Number Publication Date
JP2004187208A true JP2004187208A (en) 2004-07-02
JP3898119B2 JP3898119B2 (en) 2007-03-28

Family

ID=32755704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002354839A Expired - Fee Related JP3898119B2 (en) 2002-12-06 2002-12-06 Firewall multiplexer and packet distribution method

Country Status (1)

Country Link
JP (1) JP3898119B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011199796A (en) * 2010-03-24 2011-10-06 Hitachi Ltd Communication system, and control method for communication system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001306421A (en) * 2000-04-27 2001-11-02 Nippon Telegr & Teleph Corp <Ntt> Centralized firewall device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001306421A (en) * 2000-04-27 2001-11-02 Nippon Telegr & Teleph Corp <Ntt> Centralized firewall device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011199796A (en) * 2010-03-24 2011-10-06 Hitachi Ltd Communication system, and control method for communication system

Also Published As

Publication number Publication date
JP3898119B2 (en) 2007-03-28

Similar Documents

Publication Publication Date Title
US7707301B2 (en) Method and apparatus for equalizing load of streaming media server
EP2400693B1 (en) Routing and service performance management in an application acceleration environment
JP3225924B2 (en) Communication quality control device
US6549516B1 (en) Sending instructions from a service manager to forwarding agents on a need to know basis
US7839857B2 (en) Packet forwarding apparatus with function of limiting the number of user terminals to be connected to ISP
CN1177439C (en) Method of acting address analytic protocol Ethernet Switch in application
EP3720100A1 (en) Service request processing method and device
US20020097732A1 (en) Virtual private network protocol
US20030229809A1 (en) Transparent proxy server
JP2004048234A (en) User authentication system and user authentication method
CN1661991A (en) Subscriber line accommodation device and packet filtering method
EP2343867A1 (en) System and method of reducing intranet traffic on bottleneck links in a telecommunications network
AU2019261208B2 (en) System and method for accelerating data delivery
CN1521993A (en) Network control method and equipment
US20040030765A1 (en) Local network natification
JP2004062417A (en) Certification server device, server device and gateway device
CN100499480C (en) Method for partitioned document recombination and service distribution
CN107071075B (en) Device and method for dynamically jumping network address
US8874743B1 (en) Systems and methods for implementing dynamic subscriber interfaces
JP2002084306A (en) Packet communication apparatus and network system
US7260644B1 (en) Apparatus and method for re-directing a client session
CN112994928B (en) Virtual machine management method, device and system
JP3898119B2 (en) Firewall multiplexer and packet distribution method
Cisco LAT Configuration Commands
Cisco LAT Configuration Commands

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061220

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110105

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120105

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130105

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees