JP2004192044A - ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 - Google Patents
ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 Download PDFInfo
- Publication number
- JP2004192044A JP2004192044A JP2002355614A JP2002355614A JP2004192044A JP 2004192044 A JP2004192044 A JP 2004192044A JP 2002355614 A JP2002355614 A JP 2002355614A JP 2002355614 A JP2002355614 A JP 2002355614A JP 2004192044 A JP2004192044 A JP 2004192044A
- Authority
- JP
- Japan
- Prior art keywords
- port
- access
- wrapping
- permitted
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
【課題】不正侵入,運用妨害といった攻撃を受け難くし,ファイアウォール1のセキュリティを向上すること。
【解決手段】ポート監視処理部11とフィルタリング処理部13から構成されるファイアウォール1であって,ポート監視処理部11は,アクセス許可ポート番号と,アクセス許可ポート番号に対するアクセス状況と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント2及びサーバ3の識別番号が格納されたポート管理テーブル12を有し,アクセス許可しているポート番号のアクセス状況を監視して攻撃があるかを判定し,フィルタリング処理部13は,ポート監視処理部11が攻撃があったと判定した場合,アクセス制御部14が,アクセス許可しているポート番号を切り替えると共に,切り替えたポート番号をクライアント2及びサーバ3に通知する。
【選択図】 図9
【解決手段】ポート監視処理部11とフィルタリング処理部13から構成されるファイアウォール1であって,ポート監視処理部11は,アクセス許可ポート番号と,アクセス許可ポート番号に対するアクセス状況と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント2及びサーバ3の識別番号が格納されたポート管理テーブル12を有し,アクセス許可しているポート番号のアクセス状況を監視して攻撃があるかを判定し,フィルタリング処理部13は,ポート監視処理部11が攻撃があったと判定した場合,アクセス制御部14が,アクセス許可しているポート番号を切り替えると共に,切り替えたポート番号をクライアント2及びサーバ3に通知する。
【選択図】 図9
Description
【0001】
【発明の属する技術分野】
本発明は,インターネットなどの外部ネットワークに接続された内部LAN等のネットワーク・システムに対する,外部からの不正なアクセスを遮断するために設けられるファイアウォールに関し,特に攻撃を受け難くしたファイアウォールに関する。
【0002】
【従来の技術】
指定されたポート番号に対するアクセスを許可するファイアウォールを介して通信を行うネットワーク環境においては,クライアントは,使用する製品やプロトコル毎に固定されているポート番号をファイアウォールに通知し,ファイアウォールに当該ポート番号を設定して,アクセス許可する必要があった。
【0003】
又,クライアントのオペレーティングシステムが動的に割り当てられたポート番号をクライアントからファイアウォールに対して通知ことで,アクセス許可するポート番号を動的に変更するファイアウォールは公知である(例えば,特許文献1参照)。
【0004】
【特許文献1】
特開2000−349821号公報
【0005】
【発明が解決しようとする課題】
しかし,前者の従来技術では,使用する製品が多くなるとファイアウォールでアクセス許可するポート番号が多くなり,又ポート番号は固定であるため不正侵入,運用妨害といった攻撃を受ける可能性が高かった。
【0006】
又,クライアントからアクセス許可するポート番号を通知する後者の従来技術では,ポート番号が動的であるので固定であるための攻撃の問題は無いものの,クライアントはそのポート番号が不正侵入,運用妨害といった攻撃を受けているか否かわからないため,不正アクセスの検知が遅く,アクセス許可するポート番号を変更するのに時間が掛かり,攻撃を受ける危険性が高いという問題があった。
【0007】
本発明は,上記課題に鑑みて為されたものであり,不正侵入,運用妨害といった攻撃を受け難くし,ファイアウォールのセキュリティを向上することを目的とする。
【0008】
【課題を解決するための手段】
請求項1の記載に係る発明は,
ポート監視処理部とフィルタリング処理部から構成されるファイアウォールであって,
ポート監視処理部は,アクセス許可ポート番号と,アクセス許可ポート番号に対するアクセス状況と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント及びサーバの識別番号が格納されたポート管理テーブルを有し,アクセス許可しているポート番号のアクセス状況を監視して攻撃があるかを判定し,
フィルタリング処理部は,ポート監視処理部が攻撃があったと判定した場合,アクセス制御部が,アクセス許可しているポート番号を切り替えると共に,切り替えたポート番号をクライアント及びサーバに通知する,ことを特徴とする。
【0009】
請求項2の記載に係る発明は,
請求項1に記載されたファイアウォールにおいて,
アクセス状況が,アクセス許可ポート番号に対する不正アクセス数,正常アクセス数,及びアクセス経過時間であり,
攻撃判定条件が,不正アクセス数或いは正常アクセス数が一定数を超えた場合,又はアクセス経過時間が一定時間を超えた場合である,ことを特徴とする。
【0010】
請求項3の記載に係る発明は,
アプリケーションプログラムと,ラッピング処理部から構成されるクライアントであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング対象システム,ラッピング対象ポート番号と共にラッピングテーブルに保持し,アプリケーションプログラムからのデータの送信時,許可された前記ポート番号にデータをラッピングしてサーバに送信する,ことを特徴とする。
【0011】
請求項4の記載に係る発明は,
アプリケーションプログラムと,ラッピング処理部から構成されるサーバであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング元システムと共にラッピングテーブルに保持し,クライアントから受信したデータのラッピングを解除して,アプリケーションプログラムに通知する,ことを特徴とする。
【0012】
請求項5の記載に係る発明は,ファイアウォールシステムが,
請求項1又は請求項2に記載されたファイアウォールと,請求項3に記載されたクライアントと,請求項4に記載されたサーバから構成されることを特徴とする。
【0013】
請求項6の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,アクセス許可ポートAに対してアクセスがあった場合,アクセス制御部はポート監視処理部に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知するステップと,ポート監視処理部はポート管理テーブルに,ポートAへの不正アクセス数又は正常アクセス数を計上するステップと,ポートAに対する不正アクセス数が一定数を超えたか否かを判定するステップと,不正アクセス数が一定数を超えたと判定した時は,ポート監視処理部はフィルタリング処理部にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブルに記憶されているポートAの利用システムを通知するステップと,アクセス制御部は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポートAの利用システムに対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部に切替え完了を通知するステップと,ポート監視処理部は,ポート管理テーブルのアクセス許可ポート番号をポートAからポートBに書き換えるステップと,から成るポート番号切替えプログラムであることを特徴とする。
【0014】
請求項7の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングするポート番号をポートAからポートBに書き換えるステップと,アプリケーションプログラムからサーバのアプリケーションプログラムへのデータ送信時,ラッピング処理部はラッピングテーブルの情報を参照して,ポートBにデータをラッピングしてサーバに送信するステップと,から成るラッピングプログラムであることを特徴とする。
【0015】
請求項8の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングされたポート番号をポートAからポートBに書き換えるステップと,クライアントからのデータを受信した時,ラッピング処理部は,ラッピングテーブルの情報を参照して,このデータのラッピングを解除し,ラッピング解除されたデータの宛て先ポート番号がポートMであるアプリケーションプログラムにデータを送信するステップと,から成るラッピング解除プログラムであることを特徴とする。
【0016】
【発明の実施の形態】
本発明のファイアウォールを,図1〜図8を用いて説明する。図1は本発明におけるシステムの構成を,図2はファイアウォールのポート管理テーブルの例を,図3はクライアント及びサーバのポート制御部のラッピングテーブルの例を,図4はファイアウォールの動作のフローチャートの一例を,図5は図2のポート管理テーブルのポート番号切替え後の例を,図6はクライアントの動作のフローチャートを,図7は図3のラッピングテーブルのポート番号切替え後の例を,図8はサーバの動作のフローチャートを,図9は本発明におけるシステムの動作を,それぞれ示す図である。
【0017】
図1において,本発明におけるシステムは,ファイアウォール1と,クライアント2と,サーバ3から構成される。クライアント2のアプリケーションプログラム21は,ファイアウォール1を介して,サーバ3のアプリケーションプログラム31と通信を行う。
【0018】
ファイアウォール1は,ポート監視処理部11とフィルタリング処理部13から成る。
【0019】
ポート監視処理部11は,ポート管理テーブル12を有し,アクセス許可しているポート番号の状況を監視する。ポート管理テーブル12には,図2に示すように,アクセス許可ポート番号と,それに対する正常アクセス数,不正アクセス数,及びアクセス許可してからの経過時間と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント2及びサーバ3の識別番号(クライアント(あ)及びサーバ(い))が格納されている。フィルタリング処理部13のアクセス制御部14からアクセス状況が通知された時は,ポート管理テーブル12に,ポートAへの不正アクセス数又は正常アクセス数を計上する。続いて,ポートAに対する不正アクセス数が一定数を超えたか否かを判定し,不正アクセス数が一定数を超えたと判定した時は,フィルタリング処理部13にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知する。アクセス制御部14から,アクセス許可ポート番号をポートAからポートBに切替え完了した旨の情報を受け取った時は,ポート管理テーブル12のアクセス許可ポート番号をポートAからポートBに書き換える
フィルタリング処理部13のアクセス制御部14は,ポート番号へのアクセスを制御するもので,アクセス許可しているポート番号以外へのアクセスを拒否する。アクセス許可しているポート番号へアクセスがあった場合は,アクセス制御部14はポート監視処理部11に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知する。ポート監視処理部11からアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知された時は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポート管理テーブル12に登録されたポートAの利用システム(クライアント(あ)及びサーバ(い))に対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部11に切替え完了を通知する。
【0020】
クライアント2は,アプリケーションプログラム21と,ラッピング処理部22から成る。ラッピング処理部22のポート制御部23は,ファイアウォール1から許可,通知されたポート番号を,ポート制御部23自身が有するラッピングテーブル24に保持し,アプリケーションプログラム21からのデータの送信時,許可された前記ポート番号にデータの通信パケットをラッピングしてサーバ3に送信する。ラッピングテーブル24には,図3に示すように,ラッピング対象システム,ラッピング対象ポート番号,ラッピングするポート番号が格納されている。
【0021】
サーバ3は,アプリケーションプログラム31と,ラッピング処理部33から成る。ラッピング処理部33のポート制御部34は,ファイアウォール1から許可,通知されたポート番号を,ポート制御部34自身が有するラッピングテーブル35に保持し,クライアント2から受信したデータのラッピングを解除して,アプリケーションプログラム31に通知する。ラッピングテーブル35には,図3に示すように,ラッピング元システム,ラッピングされたポート番号が格納されている。
【0022】
次に,図4を用いて,ファイアウォール1のポート番号切替え処理の動作を説明する。
【0023】
図4において,ファイアウォール1は,アクセス許可ポート番号であるポートAに対してアクセスがあった場合は,フィルタリング処理部13のアクセス制御部14はポート監視処理部11に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知し(ステップS41),ポート監視処理部11はポート管理テーブル12に,ポートAへの不正アクセス数又は正常アクセス数を計上する(ステップS42)。続いて,ポートAに対する不正アクセス数が一定数を超えたか否かを判定し(ステップS43),不正アクセス数が一定数を超えていないと判定した時はポート番号切替え処理を終了する。不正アクセス数が一定数を超えたと判定した時は,ポート監視処理部11はフィルタリング処理部13にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知する(ステップS44)。切替え先のポートBは予めファイアウォール1に設定しておき,ポート監視処理部11がその設定されたポート番号からランダムに選択する。フィルタリング処理部13のアクセス制御部14は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポート管理テーブル12に登録されたポートAの利用システム(クライアント(あ)及びサーバ(い))に対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部11に切替え完了を通知する(ステップS45)。ポート監視処理部11は,ポート管理テーブル12のアクセス許可ポート番号をポートAからポートBに書き換える(ステップS46)。このステップS46のアクセス許可ポート番号の書き換えにより,ポート管理テーブル12は図5のように書き換えられる。
【0024】
なお,以上で述べた例では,ステップS43の攻撃判定条件として,ポートAに対する不正アクセス数が一定数を超えた場合を挙げているが,不正アクセス数或いは正常アクセス数が一定数を超えた場合又はアクセス経過時間が一定時間を超えた場合とすることも考えられる。
【0025】
次に,図6を用いて,クライアント2の処理の動作を説明する。
【0026】
図6において,クライアント2は,ファイアウォール1から,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取ると(ステップS61),ポート制御部23が,ラッピングテーブル24のラッピングするポート番号をポートAからポートBに書き換える(ステップS62)。このステップS62のラッピングするポート番号の書き換えにより,ラッピングテーブル24は図7のように書き換えられる。次いで,クライアント2のアプリケーションプログラム21からサーバ3のアプリケーションプログラム31へのデータ送信時,ラッピング処理部22はラッピングテーブル24の情報を参照し,ラッピング対象システムがサーバ(い),ラッピング対象ポート番号がポートMであることから,ポートBにデータをラッピングしてサーバ3に送信する(ステップS63)。なお,ポートMはアプリケーションプログラム31が使用する固有のポート番号であり,例えばFTPは20,21であり,TELNETは23である。
【0027】
次に,図8を用いて,サーバ3の処理の動作を説明する。
【0028】
図8において,サーバ3は,ファイアウォール1から,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取ると(ステップS81),ポート制御部34が,ラッピングテーブル35のラッピングされたポート番号をポートAからポートBに書き換える(ステップS82)。このステップS82のラッピングされたポート番号の書き換えにより,ラッピングテーブル35は図7のように書き換えられる。次いで,クライアント2からのデータを受信した時,ラッピング処理部33は,ラッピングテーブル35の情報を参照し,ラッピング元システムがクライアント(あ),ラッピングされたポート番号がポートBであることから,このデータのラッピングを解除し,ラッピング解除されたデータの宛て先ポート番号がポートMであるアプリケーションプログラム31にデータを送信する(ステップS83)。
【0029】
以上に述べた動作をシステムの構成と共に表すと,図9のようになる。ファイアウォール1を以上に述べたように動作させることにより,アクセス許可するポート番号の切替えを実現する。
【0030】
【発明の効果】
以上述べたように,本発明によれば,ファイアウォール1でアクセス許可するポート番号を監視し,動的にアクセス許可するポート番号を切替えることにより,不正アクセスを早期に検知し,不正侵入,運用妨害といった攻撃を受け難くし,ファイアウォール1のセキュリティを向上することが可能になるという効果がある。
【図面の簡単な説明】
【図1】本発明におけるシステムの構成を示す図である。
【図2】本発明のファイアウォール1のポート管理テーブル12の例を示す図である。
【図3】本発明のクライアント2及びサーバ3のラッピングテーブル24,35の例を示す図である。
【図4】本発明のファイアウォール1の動作のフローチャートの一例を示す図である。
【図5】図2のポート管理テーブル12のポート番号切替え後の例を示す図である。
【図6】本発明のクライアント2の動作のフローチャートを示す図である。
【図7】図3のラッピングテーブル24,35のポート番号切替え後の例を示す図である。
【図8】本発明のサーバ3の動作のフローチャートを示す図である。
【図9】本発明におけるシステムの動作を示す図である。
【符号の説明】
1 ファイアウォール
11 ポート監視処理部
12 ポート管理テーブル
13 フィルタリング処理部
14 アクセス制御部
15 アクセス許可ポートA(変更前)
15a アクセス許可ポートA(変更前)
15b アクセス許可ポートB(変更後)
2 クライアント
21 アプリケーションプログラム
22 ラッピング処理部
23 ポート制御部
24 ラッピングテーブル
3 サーバ
31 アプリケーションプログラム
32 アプリケーションプログラムが使用するポートM
33 ラッピング処理部
34 ポート制御部
35 ラッピングテーブル
36 ラッピングポートB
【発明の属する技術分野】
本発明は,インターネットなどの外部ネットワークに接続された内部LAN等のネットワーク・システムに対する,外部からの不正なアクセスを遮断するために設けられるファイアウォールに関し,特に攻撃を受け難くしたファイアウォールに関する。
【0002】
【従来の技術】
指定されたポート番号に対するアクセスを許可するファイアウォールを介して通信を行うネットワーク環境においては,クライアントは,使用する製品やプロトコル毎に固定されているポート番号をファイアウォールに通知し,ファイアウォールに当該ポート番号を設定して,アクセス許可する必要があった。
【0003】
又,クライアントのオペレーティングシステムが動的に割り当てられたポート番号をクライアントからファイアウォールに対して通知ことで,アクセス許可するポート番号を動的に変更するファイアウォールは公知である(例えば,特許文献1参照)。
【0004】
【特許文献1】
特開2000−349821号公報
【0005】
【発明が解決しようとする課題】
しかし,前者の従来技術では,使用する製品が多くなるとファイアウォールでアクセス許可するポート番号が多くなり,又ポート番号は固定であるため不正侵入,運用妨害といった攻撃を受ける可能性が高かった。
【0006】
又,クライアントからアクセス許可するポート番号を通知する後者の従来技術では,ポート番号が動的であるので固定であるための攻撃の問題は無いものの,クライアントはそのポート番号が不正侵入,運用妨害といった攻撃を受けているか否かわからないため,不正アクセスの検知が遅く,アクセス許可するポート番号を変更するのに時間が掛かり,攻撃を受ける危険性が高いという問題があった。
【0007】
本発明は,上記課題に鑑みて為されたものであり,不正侵入,運用妨害といった攻撃を受け難くし,ファイアウォールのセキュリティを向上することを目的とする。
【0008】
【課題を解決するための手段】
請求項1の記載に係る発明は,
ポート監視処理部とフィルタリング処理部から構成されるファイアウォールであって,
ポート監視処理部は,アクセス許可ポート番号と,アクセス許可ポート番号に対するアクセス状況と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント及びサーバの識別番号が格納されたポート管理テーブルを有し,アクセス許可しているポート番号のアクセス状況を監視して攻撃があるかを判定し,
フィルタリング処理部は,ポート監視処理部が攻撃があったと判定した場合,アクセス制御部が,アクセス許可しているポート番号を切り替えると共に,切り替えたポート番号をクライアント及びサーバに通知する,ことを特徴とする。
【0009】
請求項2の記載に係る発明は,
請求項1に記載されたファイアウォールにおいて,
アクセス状況が,アクセス許可ポート番号に対する不正アクセス数,正常アクセス数,及びアクセス経過時間であり,
攻撃判定条件が,不正アクセス数或いは正常アクセス数が一定数を超えた場合,又はアクセス経過時間が一定時間を超えた場合である,ことを特徴とする。
【0010】
請求項3の記載に係る発明は,
アプリケーションプログラムと,ラッピング処理部から構成されるクライアントであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング対象システム,ラッピング対象ポート番号と共にラッピングテーブルに保持し,アプリケーションプログラムからのデータの送信時,許可された前記ポート番号にデータをラッピングしてサーバに送信する,ことを特徴とする。
【0011】
請求項4の記載に係る発明は,
アプリケーションプログラムと,ラッピング処理部から構成されるサーバであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング元システムと共にラッピングテーブルに保持し,クライアントから受信したデータのラッピングを解除して,アプリケーションプログラムに通知する,ことを特徴とする。
【0012】
請求項5の記載に係る発明は,ファイアウォールシステムが,
請求項1又は請求項2に記載されたファイアウォールと,請求項3に記載されたクライアントと,請求項4に記載されたサーバから構成されることを特徴とする。
【0013】
請求項6の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,アクセス許可ポートAに対してアクセスがあった場合,アクセス制御部はポート監視処理部に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知するステップと,ポート監視処理部はポート管理テーブルに,ポートAへの不正アクセス数又は正常アクセス数を計上するステップと,ポートAに対する不正アクセス数が一定数を超えたか否かを判定するステップと,不正アクセス数が一定数を超えたと判定した時は,ポート監視処理部はフィルタリング処理部にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブルに記憶されているポートAの利用システムを通知するステップと,アクセス制御部は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポートAの利用システムに対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部に切替え完了を通知するステップと,ポート監視処理部は,ポート管理テーブルのアクセス許可ポート番号をポートAからポートBに書き換えるステップと,から成るポート番号切替えプログラムであることを特徴とする。
【0014】
請求項7の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングするポート番号をポートAからポートBに書き換えるステップと,アプリケーションプログラムからサーバのアプリケーションプログラムへのデータ送信時,ラッピング処理部はラッピングテーブルの情報を参照して,ポートBにデータをラッピングしてサーバに送信するステップと,から成るラッピングプログラムであることを特徴とする。
【0015】
請求項8の記載に係る発明は,
コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングされたポート番号をポートAからポートBに書き換えるステップと,クライアントからのデータを受信した時,ラッピング処理部は,ラッピングテーブルの情報を参照して,このデータのラッピングを解除し,ラッピング解除されたデータの宛て先ポート番号がポートMであるアプリケーションプログラムにデータを送信するステップと,から成るラッピング解除プログラムであることを特徴とする。
【0016】
【発明の実施の形態】
本発明のファイアウォールを,図1〜図8を用いて説明する。図1は本発明におけるシステムの構成を,図2はファイアウォールのポート管理テーブルの例を,図3はクライアント及びサーバのポート制御部のラッピングテーブルの例を,図4はファイアウォールの動作のフローチャートの一例を,図5は図2のポート管理テーブルのポート番号切替え後の例を,図6はクライアントの動作のフローチャートを,図7は図3のラッピングテーブルのポート番号切替え後の例を,図8はサーバの動作のフローチャートを,図9は本発明におけるシステムの動作を,それぞれ示す図である。
【0017】
図1において,本発明におけるシステムは,ファイアウォール1と,クライアント2と,サーバ3から構成される。クライアント2のアプリケーションプログラム21は,ファイアウォール1を介して,サーバ3のアプリケーションプログラム31と通信を行う。
【0018】
ファイアウォール1は,ポート監視処理部11とフィルタリング処理部13から成る。
【0019】
ポート監視処理部11は,ポート管理テーブル12を有し,アクセス許可しているポート番号の状況を監視する。ポート管理テーブル12には,図2に示すように,アクセス許可ポート番号と,それに対する正常アクセス数,不正アクセス数,及びアクセス許可してからの経過時間と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント2及びサーバ3の識別番号(クライアント(あ)及びサーバ(い))が格納されている。フィルタリング処理部13のアクセス制御部14からアクセス状況が通知された時は,ポート管理テーブル12に,ポートAへの不正アクセス数又は正常アクセス数を計上する。続いて,ポートAに対する不正アクセス数が一定数を超えたか否かを判定し,不正アクセス数が一定数を超えたと判定した時は,フィルタリング処理部13にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知する。アクセス制御部14から,アクセス許可ポート番号をポートAからポートBに切替え完了した旨の情報を受け取った時は,ポート管理テーブル12のアクセス許可ポート番号をポートAからポートBに書き換える
フィルタリング処理部13のアクセス制御部14は,ポート番号へのアクセスを制御するもので,アクセス許可しているポート番号以外へのアクセスを拒否する。アクセス許可しているポート番号へアクセスがあった場合は,アクセス制御部14はポート監視処理部11に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知する。ポート監視処理部11からアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知された時は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポート管理テーブル12に登録されたポートAの利用システム(クライアント(あ)及びサーバ(い))に対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部11に切替え完了を通知する。
【0020】
クライアント2は,アプリケーションプログラム21と,ラッピング処理部22から成る。ラッピング処理部22のポート制御部23は,ファイアウォール1から許可,通知されたポート番号を,ポート制御部23自身が有するラッピングテーブル24に保持し,アプリケーションプログラム21からのデータの送信時,許可された前記ポート番号にデータの通信パケットをラッピングしてサーバ3に送信する。ラッピングテーブル24には,図3に示すように,ラッピング対象システム,ラッピング対象ポート番号,ラッピングするポート番号が格納されている。
【0021】
サーバ3は,アプリケーションプログラム31と,ラッピング処理部33から成る。ラッピング処理部33のポート制御部34は,ファイアウォール1から許可,通知されたポート番号を,ポート制御部34自身が有するラッピングテーブル35に保持し,クライアント2から受信したデータのラッピングを解除して,アプリケーションプログラム31に通知する。ラッピングテーブル35には,図3に示すように,ラッピング元システム,ラッピングされたポート番号が格納されている。
【0022】
次に,図4を用いて,ファイアウォール1のポート番号切替え処理の動作を説明する。
【0023】
図4において,ファイアウォール1は,アクセス許可ポート番号であるポートAに対してアクセスがあった場合は,フィルタリング処理部13のアクセス制御部14はポート監視処理部11に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知し(ステップS41),ポート監視処理部11はポート管理テーブル12に,ポートAへの不正アクセス数又は正常アクセス数を計上する(ステップS42)。続いて,ポートAに対する不正アクセス数が一定数を超えたか否かを判定し(ステップS43),不正アクセス数が一定数を超えていないと判定した時はポート番号切替え処理を終了する。不正アクセス数が一定数を超えたと判定した時は,ポート監視処理部11はフィルタリング処理部13にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブル12に記憶されているポートAの利用システム(クライアント(あ)及びサーバ(い))を通知する(ステップS44)。切替え先のポートBは予めファイアウォール1に設定しておき,ポート監視処理部11がその設定されたポート番号からランダムに選択する。フィルタリング処理部13のアクセス制御部14は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポート管理テーブル12に登録されたポートAの利用システム(クライアント(あ)及びサーバ(い))に対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部11に切替え完了を通知する(ステップS45)。ポート監視処理部11は,ポート管理テーブル12のアクセス許可ポート番号をポートAからポートBに書き換える(ステップS46)。このステップS46のアクセス許可ポート番号の書き換えにより,ポート管理テーブル12は図5のように書き換えられる。
【0024】
なお,以上で述べた例では,ステップS43の攻撃判定条件として,ポートAに対する不正アクセス数が一定数を超えた場合を挙げているが,不正アクセス数或いは正常アクセス数が一定数を超えた場合又はアクセス経過時間が一定時間を超えた場合とすることも考えられる。
【0025】
次に,図6を用いて,クライアント2の処理の動作を説明する。
【0026】
図6において,クライアント2は,ファイアウォール1から,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取ると(ステップS61),ポート制御部23が,ラッピングテーブル24のラッピングするポート番号をポートAからポートBに書き換える(ステップS62)。このステップS62のラッピングするポート番号の書き換えにより,ラッピングテーブル24は図7のように書き換えられる。次いで,クライアント2のアプリケーションプログラム21からサーバ3のアプリケーションプログラム31へのデータ送信時,ラッピング処理部22はラッピングテーブル24の情報を参照し,ラッピング対象システムがサーバ(い),ラッピング対象ポート番号がポートMであることから,ポートBにデータをラッピングしてサーバ3に送信する(ステップS63)。なお,ポートMはアプリケーションプログラム31が使用する固有のポート番号であり,例えばFTPは20,21であり,TELNETは23である。
【0027】
次に,図8を用いて,サーバ3の処理の動作を説明する。
【0028】
図8において,サーバ3は,ファイアウォール1から,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取ると(ステップS81),ポート制御部34が,ラッピングテーブル35のラッピングされたポート番号をポートAからポートBに書き換える(ステップS82)。このステップS82のラッピングされたポート番号の書き換えにより,ラッピングテーブル35は図7のように書き換えられる。次いで,クライアント2からのデータを受信した時,ラッピング処理部33は,ラッピングテーブル35の情報を参照し,ラッピング元システムがクライアント(あ),ラッピングされたポート番号がポートBであることから,このデータのラッピングを解除し,ラッピング解除されたデータの宛て先ポート番号がポートMであるアプリケーションプログラム31にデータを送信する(ステップS83)。
【0029】
以上に述べた動作をシステムの構成と共に表すと,図9のようになる。ファイアウォール1を以上に述べたように動作させることにより,アクセス許可するポート番号の切替えを実現する。
【0030】
【発明の効果】
以上述べたように,本発明によれば,ファイアウォール1でアクセス許可するポート番号を監視し,動的にアクセス許可するポート番号を切替えることにより,不正アクセスを早期に検知し,不正侵入,運用妨害といった攻撃を受け難くし,ファイアウォール1のセキュリティを向上することが可能になるという効果がある。
【図面の簡単な説明】
【図1】本発明におけるシステムの構成を示す図である。
【図2】本発明のファイアウォール1のポート管理テーブル12の例を示す図である。
【図3】本発明のクライアント2及びサーバ3のラッピングテーブル24,35の例を示す図である。
【図4】本発明のファイアウォール1の動作のフローチャートの一例を示す図である。
【図5】図2のポート管理テーブル12のポート番号切替え後の例を示す図である。
【図6】本発明のクライアント2の動作のフローチャートを示す図である。
【図7】図3のラッピングテーブル24,35のポート番号切替え後の例を示す図である。
【図8】本発明のサーバ3の動作のフローチャートを示す図である。
【図9】本発明におけるシステムの動作を示す図である。
【符号の説明】
1 ファイアウォール
11 ポート監視処理部
12 ポート管理テーブル
13 フィルタリング処理部
14 アクセス制御部
15 アクセス許可ポートA(変更前)
15a アクセス許可ポートA(変更前)
15b アクセス許可ポートB(変更後)
2 クライアント
21 アプリケーションプログラム
22 ラッピング処理部
23 ポート制御部
24 ラッピングテーブル
3 サーバ
31 アプリケーションプログラム
32 アプリケーションプログラムが使用するポートM
33 ラッピング処理部
34 ポート制御部
35 ラッピングテーブル
36 ラッピングポートB
Claims (8)
- ポート監視処理部とフィルタリング処理部から構成されるファイアウォールであって,
ポート監視処理部は,アクセス許可ポート番号と,アクセス許可ポート番号に対するアクセス状況と,当該アクセス許可ポート番号を用いて通信を行うシステム対象であるクライアント及びサーバの識別番号が格納されたポート管理テーブルを有し,アクセス許可しているポート番号のアクセス状況を監視して攻撃があるかを判定し,
フィルタリング処理部は,ポート監視処理部が攻撃があったと判定した場合,アクセス制御部が,アクセス許可しているポート番号を切り替えると共に,切り替えたポート番号をクライアント及びサーバに通知する,
ことを特徴とするファイアウォール。 - 請求項1に記載されたファイアウォールにおいて,
アクセス状況が,アクセス許可ポート番号に対する不正アクセス数,正常アクセス数,及びアクセス経過時間であり,
攻撃判定条件が,不正アクセス数或いは正常アクセス数が一定数を超えた場合,又はアクセス経過時間が一定時間を超えた場合である,
ことを特徴とするファイアウォール。 - アプリケーションプログラムと,ラッピング処理部から構成されるクライアントであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング対象システム,ラッピング対象ポート番号と共にラッピングテーブルに保持し,アプリケーションプログラムからのデータの送信時,許可された前記ポート番号にデータをラッピングしてサーバに送信する,
ことを特徴とするクライアント。 - アプリケーションプログラムと,ラッピング処理部から構成されるサーバであって,
ラッピング処理部のポート制御部は,ファイアウォールから許可,通知されたポート番号を,ラッピング元システムと共にラッピングテーブルに保持し,クライアントから受信したデータのラッピングを解除して,アプリケーションプログラムに通知する,
ことを特徴とするサーバ。 - 請求項1又は請求項2に記載されたファイアウォールと,請求項3に記載されたクライアントと,請求項4に記載されたサーバから構成されることを特徴とするファイアウォールシステム。
- コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,アクセス許可ポートAに対してアクセスがあった場合,アクセス制御部はポート監視処理部に,そのアクセスが不正アクセスか正常アクセスかのアクセス状況を通知するステップと,ポート監視処理部はポート管理テーブルに,ポートAへの不正アクセス数又は正常アクセス数を計上するステップと,ポートAに対する不正アクセス数が一定数を超えたか否かを判定するステップと,不正アクセス数が一定数を超えたと判定した時は,ポート監視処理部はフィルタリング処理部にアクセス許可ポート番号をポートAからポートBに切替えること,及びポート管理テーブルに記憶されているポートAの利用システムを通知するステップと,アクセス制御部は,アクセス許可ポート番号をポートAからポートBに切替えた後,ポートAの利用システムに対して,アクセス許可ポート番号をポートAからポートBに切替えたことを通知すると共に,ポート監視処理部に切替え完了を通知するステップと,ポート監視処理部は,ポート管理テーブルのアクセス許可ポート番号をポートAからポートBに書き換えるステップと,から成るポート番号切替えプログラムであることを特徴とするプログラムを記憶した記憶媒体。 - コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングするポート番号をポートAからポートBに書き換えるステップと,アプリケーションプログラムからサーバのアプリケーションプログラムへのデータ送信時,ラッピング処理部はラッピングテーブルの情報を参照して,ポートBにデータをラッピングしてサーバに送信するステップと,から成るラッピングプログラムであることを特徴とするプログラムを記憶した記憶媒体。 - コンピュータプログラムを記憶した記憶媒体であって,
コンピュータプログラムが,ファイアウォールから,アクセス許可ポート番号がポートAからポートBに切替わった旨の情報を受け取るステップと,ポート制御部が,ラッピングテーブルのラッピングされたポート番号をポートAからポートBに書き換えるステップと,クライアントからのデータを受信した時,ラッピング処理部は,ラッピングテーブルの情報を参照して,このデータのラッピングを解除し,ラッピング解除されたデータの宛て先ポート番号がポートMであるアプリケーションプログラムにデータを送信するステップと,から成るラッピング解除プログラムであることを特徴とするプログラムを記憶した記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002355614A JP2004192044A (ja) | 2002-12-06 | 2002-12-06 | ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002355614A JP2004192044A (ja) | 2002-12-06 | 2002-12-06 | ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004192044A true JP2004192044A (ja) | 2004-07-08 |
Family
ID=32756259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002355614A Pending JP2004192044A (ja) | 2002-12-06 | 2002-12-06 | ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004192044A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006054602A1 (ja) * | 2004-11-17 | 2006-05-26 | Matsushita Electric Industrial Co., Ltd. | 情報家電及び移動端末 |
JP2007081971A (ja) * | 2005-09-15 | 2007-03-29 | Matsushita Electric Ind Co Ltd | Ip通信装置及びip電話装置 |
JP2011141806A (ja) * | 2010-01-08 | 2011-07-21 | Hitachi Solutions Ltd | ネットワークへの情報流出防止装置 |
JP2011197920A (ja) * | 2010-03-18 | 2011-10-06 | Nec Corp | ストレージシステム、及びパス設定方法 |
US8549112B2 (en) | 2010-01-28 | 2013-10-01 | Fujitsu Limited | Computer-readable medium storing access control program, access control method, and access control device |
-
2002
- 2002-12-06 JP JP2002355614A patent/JP2004192044A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006054602A1 (ja) * | 2004-11-17 | 2006-05-26 | Matsushita Electric Industrial Co., Ltd. | 情報家電及び移動端末 |
JP2007081971A (ja) * | 2005-09-15 | 2007-03-29 | Matsushita Electric Ind Co Ltd | Ip通信装置及びip電話装置 |
JP2011141806A (ja) * | 2010-01-08 | 2011-07-21 | Hitachi Solutions Ltd | ネットワークへの情報流出防止装置 |
US8549112B2 (en) | 2010-01-28 | 2013-10-01 | Fujitsu Limited | Computer-readable medium storing access control program, access control method, and access control device |
JP2011197920A (ja) * | 2010-03-18 | 2011-10-06 | Nec Corp | ストレージシステム、及びパス設定方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4196989B2 (ja) | ウィルスの感染を阻止する方法およびシステム | |
US5919258A (en) | Security system and method for computers connected to network | |
KR100604604B1 (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
TWI362196B (en) | Network isolation techniques suitable for virus protection | |
JP2006135963A (ja) | 悪性コード検出装置及び検出方法 | |
JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
Al Sukkar et al. | Address resolution protocol (ARP): Spoofing attack and proposed defense | |
JP4437107B2 (ja) | コンピュータシステム | |
JP2004192044A (ja) | ファイアウォール,及びポート番号切替えプログラムを記憶した記憶媒体 | |
CN105429975A (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
KR100518119B1 (ko) | 네트워크 기반의 보안 솔루션 시스템 | |
JP2005071218A (ja) | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム | |
KR100333061B1 (ko) | 네트워크를 통한 원격 컴퓨터 바이러스 방역 시스템 및 그방법 | |
KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
JP4020134B2 (ja) | スイッチングハブ装置、ルータ装置 | |
WO2016038662A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN100484132C (zh) | 一种防范网际协议以太网中假冒主机的方法 | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
CN114629691A (zh) | 数据处理方法、装置以及存储介质 | |
JP2007174406A (ja) | 不正アクセス防止装置および不正アクセス防止プログラム | |
KR101059698B1 (ko) | 에이피아이 후킹 모듈을 포함하는 휴대용 저장장치 및 이를 이용한 개인 방화벽 운용 방법 | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof |