JP2005005809A - ネットワーク制御装置及びネットワーク制御方法 - Google Patents
ネットワーク制御装置及びネットワーク制御方法 Download PDFInfo
- Publication number
- JP2005005809A JP2005005809A JP2003164307A JP2003164307A JP2005005809A JP 2005005809 A JP2005005809 A JP 2005005809A JP 2003164307 A JP2003164307 A JP 2003164307A JP 2003164307 A JP2003164307 A JP 2003164307A JP 2005005809 A JP2005005809 A JP 2005005809A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- communication
- unit
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】他ネットワークからの不正アクセスやコンピュータウイルスによる攻撃から確実にネットワークを保護するネットワーク制御装置、制御方法を提供すること。
【解決手段】内部ネットワークと外部ネットワークとの間に通信回線を物理的に切断・接続制御する装置を設け、外部ネットワークから内部ネットワークに対し不正アクセス、コンピュータウイルス、Dos攻撃等があった場合には、通信回線を物理的に切断制御することで、確実に内部ネットワークを保護する。
【選択図】図1
【解決手段】内部ネットワークと外部ネットワークとの間に通信回線を物理的に切断・接続制御する装置を設け、外部ネットワークから内部ネットワークに対し不正アクセス、コンピュータウイルス、Dos攻撃等があった場合には、通信回線を物理的に切断制御することで、確実に内部ネットワークを保護する。
【選択図】図1
Description
【0001】
【発明の属する技術分野】
本発明は、内部ネットワークを、ネットワークを介して接続された外部ネットワークからの不正アクセスやコンピュータウイルスなどの攻撃から保護するネットワーク制御装置及びネットワーク制御方法に関する。
【0002】
【従来の技術】
近年、インターネットは全世界を相手にネットワーク網を確立し、急速に普及している。このインターネットの普及に伴い、コンピュータ端末やLAN(Local Area Network)やWAN(Wide Area Network)のサーバ等を公衆網に接続する機会が増加し、このような状況下で公衆側からの不正アクセスやコンピュータウイルスやDos攻撃(Denial of Service attack)などから端末やサーバを守る技術が重要となって来ている。
【0003】
このような技術としては、例えば、ウイルス感染の可能性のあるファイルを情報処理装置に格納する際、この情報処理装置に接続されているネットワークとの接続を理論的に切断し、ファイルのウイルスの有無をチェックし、安全が確認された後に再度情報処理装置とネットワークとの接続を再開することでコンピュータウイルスの拡散を防止する技術が開示されている(例えば、特許文献1参照。)。
【0004】
また、特定種類のトラフィックを遮断することによって端末やサーバのセキュリティーを向上させるファイアーウォール(Fire Wall)機能を設ける技術が従来より知られている。
【0005】
さらに、不正アクセスやコンピュータウイルスに対するセキュリティーを目的するものではないが、ネットワークのノード点を構成する各機器が、他の機器との接続のための複数のポートを有し、ネットワークに異常を検出した際には、このポートの接続・切断を自動的に変更してネットワークを正常に復帰させる技術が開示されている(例えば、特許文献2参照。)。
【0006】
【特許文献1】
特開平11−73384号公報
【0007】
【特許文献2】
特開2000−269967号公報
【0008】
【発明が解決しようとする課題】
しかしながら、近年では、不正アクセスやDos攻撃の方法もより洗練された種のものが現れ、例えば、ネットワークコンピュータ内の特定の無防備な部分やセキュリティーの甘い部分を利用し攻撃を行うプログラムなどが現れて来ている。また、コンピュータウイルスもより凶悪化し、さらに、今後ますます巧妙、凶悪化する恐れがある。このような状況下においては、上述のセキュリティー技術で十分とは言い難い。
【0009】
上述の特許文献1に記載の技術では、コンピュータウイルスの感染を防ぐために、情報処理装置とネットワークとを理論的に接続・切断するものであるが、例えば、この理論的接続・切断部分を攻撃するようなコンピュータウイルスの出現も予想される。そのような場合、このような理論的な接続・切断ではウイルス感染を確実に防止できるとは言えない。また、従来のファイアーウォール機能による不正アクセスを防止する技術においても、不正アクセスがより巧妙化し、その手口も常に新しくなる現状では、ソフトウェアレベルでのネットワークの遮断で十分であるとは言い難い。
【0010】
そこで、本発明では、より巧妙かつ凶悪化する不正アクセス、コンピュータウイルス、Dos攻撃などに対する被害を確実に抑制するネットワーク制御装置及びネットワーク制御方法を提供することを目的とする。また、コンピュータウイルスなどの攻撃を受けた際には、その被害をネットワークを介して他へ拡散することを防止し、被害を最小限に抑制できるネットワーク制御装置及びネットワーク制御方法を提供することを目的とする。
【0011】
【課題を解決するための手段】
前述の目的を達成するため、本発明のネットワーク制御装置では、ネットワーク間を結ぶネットワーク接続機器と、通信制御機器とを少なくとも具備し、この通信制御機器が前記ネットワーク接続機器の物理的な接続・切断を制御することで前記ネットワーク間を伝送する情報の通過・不通過を制御することを特徴とする。本発明ではネットワーク間の通信回線を物理的に切断する機能を備えているため、ソフトウエアにより理論的に切断する場合に比べ確実に通信を遮断できる。
【0012】
また、本発明のネットワーク制御装置は、ネットワーク間のアクセス要求に対し、該ネットワーク間のアクセスの可否を判断する為の認証情報記憶部と、該認証情報記憶部の認証情報に基づき認証を行う認証部と、該認証部の認証結果に基づき前記アクセスの可否を判断するアクセス制御部とを少なくとも備え、該アクセス制御部の判断に基づき、前記ネットワーク接続機器の物理的な接続・切断を制御するよう構成することが好ましい。このような構成とすることで、他ネットワークからの不正アクセスの有無を自動的に認証でき、不正アクセスが有った場合には、自動的に通信回線を物理的に切断することで不正アクセスによる攻撃を確実に防ぐことが可能となる。
【0013】
また、本発明のネットワーク制御装置は、ネットワーク間のアクセス要求を監視する監視部と、この監視部の監視結果に基づき前記アクセスの可否を判断するアクセス制御部とを備え、このアクセス制御部の判断に基づき、ネットワーク接続機器の物理的な接続・切断を制御する構成としても良い。このような構成とすることで、特定のサーバに対する過剰な負荷を加えることによる攻撃(Dos攻撃)からサーバを保護することが可能となる。
【0014】
また、本発明のネットワーク制御装置は、ネットワーク間でアクセス要求が有った場合に、そのアクセス要求が求めているアクセス情報(通信情報)の検査を行うための検査情報記憶部と、この検査情報記憶部の検査情報に基づき前記通信情報の検査を行う検査部と、この検査部の検査結果に基づき前記ネットワーク間の前記通信情報の伝送の可否を判断するアクセス制御部とを備え、このアクセス制御部の判断に基づき前記ネットワーク接続機器の物理的な接続・切断を制御するよう構成することが好ましい。このような構成とすることで、予め決められた情報(検査情報記憶部に記憶された情報)によって、通信回線を伝送する通信情報をフィルタリングすることが可能となる。例えば、危険度の高い情報やコンピュータウイルス等を含む情報などを伝送不可(しかも物理的に回線を切断するため、確実に伝送不可)とすることによりセキュリティーを高めることが可能となる。また、自らがウイルス感染していた場合には、他への感染拡散を防止できる。
【0015】
さらに、上記構成に加え、通信情報から伝送すべきでない情報を除去する除去部を備えた構成としても良い。この構成により、例えば、通信情報にウイルスが含まれていた場合には、そのウイルスを除去処理することが可能となる。
【0016】
従って、上記構成により、ウイルスが検出された場合には通信回線は物理的に切断されるが、ウイルス除去が完了した場合には、通信回線を自動的に復旧することが可能となる。
【0017】
さらに本発明では、通信制御機器に対して、ネットワーク内の端末からのコマンド入力により、自由にネットワーク回線の物理的な接続・切断を制御可能な構成とすることが好ましい。
【0018】
また、本発明のネットワーク制御方法では、ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、このアクセス要求が正当であるか否かを認証するステップと、この認証の結果、前記アクセス要求が正当であると認証された場合には前記ネットワーク間の通信回線を接続状態とし、一方、前記アクセス要求が正当でないと認証された場合には前記ネットワーク間の通信回線を物理的に切断するステップとから構成されることを特徴とする。本制御方法では、不正アクセスと認証された場合に、通信回線を物理的に切断するステップを備えるため、不正アクセスを確実に防止できる。
【0019】
また、本発明のネットワーク制御方法では、ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、このアクセス要求の回数を監視するステップと、この監視の結果、前記アクセス要求の回数が所定回数以上となった場合に前記ネットワーク間の通信回線を物理的に切断するステップと、を少なくとも含む構成としても良い。本構成では、Dos攻撃などの過剰負荷による攻撃を検出した場合、通信回線を物理的に切断することで確実にサーバ等を保護できる。
【0020】
さらに、本発明のネットワーク制御方法では、アクセス要求に係る通信情報が伝送して良い情報であるか否かの検査ステップと、その結果に基づき通信回線の物理的な接続・切断を制御するステップとを含む構成としても良い。このような構成とすることで、ネットワーク間を伝送する通信情報を必要に応じ選別できる。従って、例えば、危険な情報(コンピュータウイルスなど)の伝送を遮断でき、よりセキュリティーの高いネットワーク制御方法を実現できる。
【0021】
さらに上記構成に加え、検査ステップにより伝送すべきでないとされた場合に、その伝送すべきでないとする理由、例えば、コンピュータウイルスなどを除去するステップを含む構成とすることが好ましい。このような構成を備えることで、例えば、コンピュータウイルスが除去された場合には、自動的に通信回線の物理的な切断状態を接続状態へと切り替えることができ、より利便性の高いネットワーク制御方法を実現できる。
【0022】
その他、ネットワーク内の端末からのコマンド入力により、通信回線の物理的な接続・切断を自由に制御するステップをさらに含む構成としても良い。
【0023】
【発明の実施の形態】
本発明の実施の形態について以下に説明する。
【0024】
図1は、本発明のネットワーク制御装置を適用したネットワーク構成(ネットワーク制御システム)の一例を示すブロック図である。本発明のネットワーク制御装置は、企業、学校、団体等などの自組織のネットワークである内部ネットワーク1とインターネット等の外部ネットワーク2との間に設けられ、これらネットワークをつなぐネットワーク接続機器3と、このネットワーク接続機器3の接続・切断を制御する通信制御機器4とを少なくとも具備して構成される。
【0025】
この通信制御機器4は、不正アクセスやコンピュータウイルスなどを検出する機能を具備し、この検出結果に基づき、ネットワーク接続機器3の切断・接続(物理的な切断・接続)を切り替え、ネットワーク間を伝送する情報の通過・不通過を制御する。例えば、外部ネットワーク2より内部ネットワーク1に対し不正アクセスがあった場合、通信制御機器4にてその不正アクセスの情報を取得しネットワーク接続機器3を切断(物理的な切断)する。このように、本発明においては、不正アクセス等の攻撃に対して、ネットワークの接続を物理的に切断することで情報の通信を確実に遮断し、より確実に内部ネットワークの情報を保護することが可能となる。
【0026】
図2は、本発明のネットワーク制御装置の一構成例を示すブロック図、図3はこのネットワーク制御装置の動作を示すフローチャートである。本発明のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7、認証部8、認証情報記憶部9とを具備し、ファイアーウォール(fire wall)機能を有する。外部ネットワーク2よりアクセス要求が有った場合には(S101)、アクセス制御部7は、アクセス要求に対して認証用ユーザIDと認証用パスワード等の予め決められた認証情報の入力を求め、これに応じて入力された認証情報を認証部8に渡して認証要求を行う(S102)。認証部8は認証要求を受けてユーザの認証(認証判断)を行う(S103)が、この際に必要なユーザに関する認証用の情報を認証情報記憶部9から取得する。そしてユーザを認証すると、その認証結果をアクセス制御部7に送る。アクセス制御部7では、この認証結果が可(Yes)の場合(認証部8において、ユーザの認証ができた場合)には、ネットワーク接続機器3を接続状態とし(S104)、一方、認証結果が不可(No)の場合(認証部8において、ユーザの認証ができなかった場合)には、ネットワーク接続機器3を切断状態(物理的な切断状態)とする(S105)。このように、不正アクセスがあった場合には、ネットワーク接続機器3を物理的に切断することで、より確実に不正アクセスによる攻撃を防ぐことが可能となる。
【0027】
なお、ネットワーク接続機器3としては、例えばLANカード、ハブ、ルータなどで、このネットワーク接続機器3の物理的切断は、これらLANカード、ハブ、ルータなどの接続ポートのケーブルを切断する(又は抜く)ことで行える。
【0028】
また、ファイアーウォール機能としては、上記以外にもいろいろあり、別機能のものを設けても良い。
【0029】
図4は、本発明のネットワーク制御装置の別の構成例を示すブロック図、図5はこのネットワーク制御装置の動作を示すフローチャートである。本発明のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7と、監視部14とを少なくとも有する。外部ネットワーク2よりアクセス要求があると(S111)、監視部14では、このアクセス要求の回数を監視する(S112)。そしてこの監視の結果、このアクセス要求が予め定めた所定回数以上となった場合には、アクセス制御部7からの命令によりネットワーク接続機器3を物理的な切断状態とし(S113)、一方、所定回数より少なければネットワーク接続機器3を物理的な接続状態とする(接続状態のまま維持する)(S114)。本構成では、多重アクセスによる過剰負荷による攻撃(Dos攻撃)から内部ネットワークのサーバのダウン等を有効に防止できる。
【0030】
なお、上記構成では、監視部14を別に設けたが、これをアクセス制御部7に含めた構成としても良い。また、本構成を上述の図2の構成と組み合わせても良い。さらに、上記監視部14では、アクセス回数を監視する際、所定時間当たりのアクセス回数を監視する等の別機能を負荷しても良い。
【0031】
図6には、前述の実施形態(図2に示した実施形態)とは異なる別機能のファイアーウォールを備え、かつコンピュータウイルスの検出機能をも備える更に別構成のネットワーク制御装置のブロック図を示す。本実施形態のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7、認証部8、認証情報記憶部9、検査部10、検査情報記憶部11とを具備し、認証部8及び認証情報記憶部9において不正アクセスを検出し、検査部10及び検査情報記憶部11において、コンピュータウイルス等の検出を行う。
【0032】
なお、ここでは認証部8及び検査部10をその機能の別を説明するため別構成で示したが、同一部分として構成してもよい。(例えば、認証部8及び検査部10を同一として検査部10にまとめ、不正アクセスの認証およびウイルスの検出をこの検査部10で行う。)。そして、アクセス制御部7では、これらの検出結果を基に、ネットワーク接続機器3の接続・切断を制御する。
【0033】
図7はこのネットワーク制御装置の動作の一例を示すフローチャートである。外部ネットワーク2や内部ネットワーク1内の端末6からアクセス要求が有った場合には(S201)、アクセス制御部7は、認証部8及び検査部10に対してこのアクセス要求に係る通信情報を基にした認証要求(S202)及び検査要求(S204)を行う。認証部8は認証要求を受けて通信情報の認証判断を行う(S203)が、この際必要な認証用の情報、例えば、発信元アドレス、宛先アドレス、データ通信のサービス種別などは認証情報記憶部9から取得する。そして、認証判断を行うと、その認証結果をアクセス制御部7へ送る。アクセス制御部7では、認証できた場合(Yesの場合)にはネットワーク接続機器3を接続状態にし(S206)、認証できなかった場合(Noの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S207)。
【0034】
また、同様に、検査部10では検査要求を受けて通信情報のウイルス検査を行う(S205)。検査に必要な情報は予め保持された検査情報記憶部11から取得する。ウイルスの検査情報としては、例えば、既知のウイルスがそれぞれもっている固定長信号パターンなどである。そして、検査部10ではアクセス制御部7に対して検査結果を通知する。アクセス制御部7では、検査の結果ウイルスが検出されなかった場合(Noの場合)にはネットワーク接続機器3を接続状態(S206)とし、一方、ウイルスが検出された場合(Yesの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S207)。このような構成とすることで、ネットワーク間を伝送する通信情報に応じてその通過・不通過を制御でき、また、不正アクセスや、ウイルス等の存在が認証/検出された場合、自動的に通信回線を物理的に切断するため、内部ネットワークをより確実に保護することが可能となる。
【0035】
なお、以上の実施形態では認証及びウイルス検査を同時進行で行う例を示したが、例えば、まず先に認証を行い、その後、必要な場合のみウイルス検査を行う等の別構成としても良い。
【0036】
図8は、本発明のネットワーク制御装置の更に別構成を示すブロック図である。本構成は前実施形態(図6)の構成に加え、更に、認証部8から端末6への通知手段、端末6からアクセス制御部7へのコマンド入力手段、及び除去部12とを具備する。
【0037】
本実施形態においては、不正アクセスが検出された場合、この情報を端末6へ通知する。端末6では、この通知された情報を基に、アクセス制御部7へネットワーク接続機器3の接続・切断の命令(コマンド)を入力することが可能となる。
【0038】
更に、検査部10においてウイルスが検出された場合には、ネットワーク制御機器3は切断されるが、除去部12においてウイルスを除去することが可能であり、ウイルスの除去が完了した場合に自動でネットワーク制御機器3の切断状態を接続状態へと切り替えることが可能となる。
【0039】
図9はこのネットワーク制御装置の動作を示すフローチャートである。外部ネットワーク2から内部ネットワーク1へ、あるいは内部ネットワーク1から外部ネットワークへアクセス要求があった場合(S301)、アクセス制御部7は、認証部8及び検査部10に対してそれぞれ、アクセス要求に係る通信情報を基にした認証要求(S302)及び検査要求(S309)を行う。認証部8は認証要求を受けて通信情報の認証判断を行う(S303)が、この際必要な認証用の情報、発信元アドレス、宛先アドレス、データ通信のサービス種別などは認証情報記憶部9から取得する。そして認証部8は認証結果をアクセス制御部7へ送ると伴に、認証結果が認証不可の場合(認証できなかった場合)には、認証ができなかった旨の認証不可通知を所定の端末6へ送る(S304)。また、認証結果を取得したアクセス制御部7では、認証できた場合(Yesの場合)にはネットワーク接続機器3を接続状態にし(S305)、一方、認証できなかった場合(Noの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S307)。
【0040】
また、本実施形態のネットワーク制御装置では、端末6からアクセス制御部7に対し、接続又は切断の命令(コマンド)を出すことが可能である。従って、ネットワーク接続機器3が接続状態の場合、アクセス制御部7では端末からの切断命令の有無を確認し、切断命令が無い場合にはネットワーク接続機器3を接続状態とし、一方、切断命令が有った場合にはネットワーク接続機器3を切断状態とする(S306)。また、ネットワーク接続機器3が切断状態の場合、アクセス制御部7では端末からの接続命令の有無を確認し、接続命令が無い場合にはネットワーク接続機器3を切断状態とし、一方、接続命令が有った場合いはネットワーク接続機器3を接続状態とする(S308)。
【0041】
また、検査部10では検査要求を受けて通信情報のウイルス検査を行う(S310)。検査に必要な情報は予め保持された検査情報記憶部11から取得する。ウイルスの検査情報としては、例えば、既知のウイルスがそれぞれもっている固定長信号パターンなどである。そして、検査部10ではアクセス制御部7に対して検査結果を通知する。アクセス制御部7では、検査の結果ウイルスが検出されなかった場合にはネットワーク接続機器3を接続状態(S305)とし、一方、ウイルスが検出された場合にはネットワーク接続機器3を切断状態(物理的な切断状態)(S307)とする。
【0042】
また特にウイルスが検出された場合には、検査部10から除去部12に対しウイルス検出された通信情報を送り、ウイルスの除去処理を行う(S311)。そして、この除去処理完了の後、検査部10にこの処理後の通信情報を送り、認証部10では再度ウイルス検査を行い(S310)、その結果をアクセス制御部7に通知する。アクセス制御部7では通信情報にウイルスが存在しないとの検査結果を取得した場合には、ネットワーク接続機器3を接続状態とし(S305)、一方、除去部12での処理にもかかわらずウイルスの存在が認められるとの検査結果を取得した場合には、ネットワーク接続機器3を物理的な切断状態とする(S307)。
【0043】
本実施形態では、認証部8において認証できなかった場合、所定の端末6に対し認証不可通知を送る。このため、この認証不可通知を受けた端末6では、その認証不可通知の情報を確認することで、当該アクセス要求が正当な者からのアクセスであるか否かなどを確認することができる。したがって、この確認作業により、仮にアクセス許可しても良いと判断した場合には、アクセス制御部7に対し、ネットワーク接続機器3の接続命令を出すことで当該アクセス者の通信を許可することが可能となる。
【0044】
また、各端末6では、FDD(フレキシブルディスクドライブ)を介した物理媒体や電話回線による外部ネットワークへの直接通信などにより情報の取得が可能である。このため各端末においては、このような内部ネットワーク網を介さない情報の取得によりコンピュータウイルスに感染することも考えられる。このような場合、従来では、ネットワーク網を介してウイルスが他へ拡散しないよう、通信ケーブルなどを手動で切断することが必要であった。しかしながら、本実施形態の構成では、各端末6からアクセス制御部7へネットワーク接続機器3の接続・切断命令を出すことができる。従って、ある端末内にウイルスの存在が確認された場合には、端末からアクセス制御部7へネットワーク接続機器3の制御命令(切断命令)を出すだけでネットワーク回線の物理的切断を実現できる。
【0045】
このように、本実施の形態では通信情報の認証機能および検査機能により不正アクセスやウイルス等の攻撃から自動的にネットワーク回線を切断する機能を備えるため、よりセキュリティーの高いシステムを構成できる。また、通信情報に含まれるウイルスを自動で除去する機能を備えているため、ウイルス除去ができた場合には自動でネットワーク回線を復旧することが可能となる。また、端末からのコマンド入力によりネットワーク回線の切断・接続を自由に制御できるため、より自由度の高いネットワークシステムを構成することが可能となる。
【0046】
なお、本実施の形態では、検査部10、検査情報記憶部11、除去部12の機能として、コンピュータウイルスの検査、及びその除去を例として示したが、本発明はこれに限定されるものではない。即ち、検査部10での機能は、通信情報が通信回線を伝送して良い情報であるか否かの検査を行う機能を有するものであり、(伝送の可否の判断理由は任意に設定可能であり、コンピュータウイルスを対象とするものに限られない)、また同様に、除去部12の機能はウイルス除去に限らず、ネットワーク間を伝送する通信情報に制限を加える目的で任意に設定でき、通信情報のうち、予め決めた情報を除去する機能を有するもので有ればよい。
【0047】
図10は本発明のネットワーク制御装置を適用したネットワーク構成(ネットワーク制御システム)の別形態を示すブロック図である。図に示すように、本発明のネットワーク制御装置13は外部ネットワークと内部ネットワークとの間に設けるのみではなく、その他、内部ネットワークを構成するサブネットワーク間に設けても良い。即ち、本発明のネットワーク制御装置は、ネットワーク回線のいずれに設けても同様の効果を期待できる。
【0048】
特に、当該構成のようにネットワーク制御装置を内部ネットワーク内に複数設けた構成の場合、例えば、有る端末がウイルス感染された場合、その拡散防止のために内部ネットワーク全体を外部ネットワークと切断する必要はない。例えば、端末6−1がウイルス感染された場合には、サブネットワーク5−1とサブネットワーク5−2の間のみを物理的切断することで足りる。これにより、サブネットワーク5−3では外部ネットワークと切断されず、より効率的なネットワークシステムを構成できる。
【0049】
なお、以上説明した実施形態では、ネットワーク制御装置を内部ネットワーク内に設ける構成を示したが、外部ネットワークと内部ネットワークとの間に独立して設ける構成としても良い。
【0050】
【発明の効果】
以上述べたように、本発明によれば、通信の接続・切断の制御を、ネットワーク回線の物理的な接続・切断で行うため、不正アクセス等の攻撃があった場合においても確実に被害を抑えることが可能である。また、ファイアウォール機能やコンピュータウイルスなどの検査、除去の機能を具備しているため、不正アクセスやウイルス等による攻撃を自動で検出し、自動で除去することが可能で、ネットワーク回線の物理的な切断・接続状態を自動で制御できる。また、各端末からネットワーク回線の物理的な接続・切断要求を行うことも可能であり、自由度の高いネットワークを構成することが可能である。
【0051】
【図面の簡単な説明】
【図1】本発明のネットワーク制御システムの一構成例を示すブロック図である。
【図2】本発明のネットワーク制御装置の一構成例を示すブロック図である。
【図3】図2のネットワーク制御装置の動作を示すフローチャートである。
【図4】本発明のネットワーク制御装置の他の構成例を示すブロック図である。
【図5】図4のネットワーク制御制御装置の動作を示すフローチャートである。
【図6】本発明のネットワーク制御装置の更に他の構成例を示すブロック図である。
【図7】図6のネットワーク制御装置の動作を示すフローチャートである。
【図8】本発明のネットワーク制御装置の更に他の構成例を示すブロック図である。
【図9】図8のネットワーク制御装置の動作を示すフローチャートである。
【図10】本発明のネットワーク制御システムの別構成例を示すブロック図である。
【符号の説明】
1 内部ネットワーク
2 外部ネットワーク
3 ネットワーク接続機器
4 通信制御機器
5−1、5−2、5−3 サブネットワーク
6、6−1 端末
7 アクセス制御部
8 認証部
9 認証情報記憶部
10 検査部
11 検査情報記憶部
12 除去部
13 ネットワーク制御装置
14 監視部
【発明の属する技術分野】
本発明は、内部ネットワークを、ネットワークを介して接続された外部ネットワークからの不正アクセスやコンピュータウイルスなどの攻撃から保護するネットワーク制御装置及びネットワーク制御方法に関する。
【0002】
【従来の技術】
近年、インターネットは全世界を相手にネットワーク網を確立し、急速に普及している。このインターネットの普及に伴い、コンピュータ端末やLAN(Local Area Network)やWAN(Wide Area Network)のサーバ等を公衆網に接続する機会が増加し、このような状況下で公衆側からの不正アクセスやコンピュータウイルスやDos攻撃(Denial of Service attack)などから端末やサーバを守る技術が重要となって来ている。
【0003】
このような技術としては、例えば、ウイルス感染の可能性のあるファイルを情報処理装置に格納する際、この情報処理装置に接続されているネットワークとの接続を理論的に切断し、ファイルのウイルスの有無をチェックし、安全が確認された後に再度情報処理装置とネットワークとの接続を再開することでコンピュータウイルスの拡散を防止する技術が開示されている(例えば、特許文献1参照。)。
【0004】
また、特定種類のトラフィックを遮断することによって端末やサーバのセキュリティーを向上させるファイアーウォール(Fire Wall)機能を設ける技術が従来より知られている。
【0005】
さらに、不正アクセスやコンピュータウイルスに対するセキュリティーを目的するものではないが、ネットワークのノード点を構成する各機器が、他の機器との接続のための複数のポートを有し、ネットワークに異常を検出した際には、このポートの接続・切断を自動的に変更してネットワークを正常に復帰させる技術が開示されている(例えば、特許文献2参照。)。
【0006】
【特許文献1】
特開平11−73384号公報
【0007】
【特許文献2】
特開2000−269967号公報
【0008】
【発明が解決しようとする課題】
しかしながら、近年では、不正アクセスやDos攻撃の方法もより洗練された種のものが現れ、例えば、ネットワークコンピュータ内の特定の無防備な部分やセキュリティーの甘い部分を利用し攻撃を行うプログラムなどが現れて来ている。また、コンピュータウイルスもより凶悪化し、さらに、今後ますます巧妙、凶悪化する恐れがある。このような状況下においては、上述のセキュリティー技術で十分とは言い難い。
【0009】
上述の特許文献1に記載の技術では、コンピュータウイルスの感染を防ぐために、情報処理装置とネットワークとを理論的に接続・切断するものであるが、例えば、この理論的接続・切断部分を攻撃するようなコンピュータウイルスの出現も予想される。そのような場合、このような理論的な接続・切断ではウイルス感染を確実に防止できるとは言えない。また、従来のファイアーウォール機能による不正アクセスを防止する技術においても、不正アクセスがより巧妙化し、その手口も常に新しくなる現状では、ソフトウェアレベルでのネットワークの遮断で十分であるとは言い難い。
【0010】
そこで、本発明では、より巧妙かつ凶悪化する不正アクセス、コンピュータウイルス、Dos攻撃などに対する被害を確実に抑制するネットワーク制御装置及びネットワーク制御方法を提供することを目的とする。また、コンピュータウイルスなどの攻撃を受けた際には、その被害をネットワークを介して他へ拡散することを防止し、被害を最小限に抑制できるネットワーク制御装置及びネットワーク制御方法を提供することを目的とする。
【0011】
【課題を解決するための手段】
前述の目的を達成するため、本発明のネットワーク制御装置では、ネットワーク間を結ぶネットワーク接続機器と、通信制御機器とを少なくとも具備し、この通信制御機器が前記ネットワーク接続機器の物理的な接続・切断を制御することで前記ネットワーク間を伝送する情報の通過・不通過を制御することを特徴とする。本発明ではネットワーク間の通信回線を物理的に切断する機能を備えているため、ソフトウエアにより理論的に切断する場合に比べ確実に通信を遮断できる。
【0012】
また、本発明のネットワーク制御装置は、ネットワーク間のアクセス要求に対し、該ネットワーク間のアクセスの可否を判断する為の認証情報記憶部と、該認証情報記憶部の認証情報に基づき認証を行う認証部と、該認証部の認証結果に基づき前記アクセスの可否を判断するアクセス制御部とを少なくとも備え、該アクセス制御部の判断に基づき、前記ネットワーク接続機器の物理的な接続・切断を制御するよう構成することが好ましい。このような構成とすることで、他ネットワークからの不正アクセスの有無を自動的に認証でき、不正アクセスが有った場合には、自動的に通信回線を物理的に切断することで不正アクセスによる攻撃を確実に防ぐことが可能となる。
【0013】
また、本発明のネットワーク制御装置は、ネットワーク間のアクセス要求を監視する監視部と、この監視部の監視結果に基づき前記アクセスの可否を判断するアクセス制御部とを備え、このアクセス制御部の判断に基づき、ネットワーク接続機器の物理的な接続・切断を制御する構成としても良い。このような構成とすることで、特定のサーバに対する過剰な負荷を加えることによる攻撃(Dos攻撃)からサーバを保護することが可能となる。
【0014】
また、本発明のネットワーク制御装置は、ネットワーク間でアクセス要求が有った場合に、そのアクセス要求が求めているアクセス情報(通信情報)の検査を行うための検査情報記憶部と、この検査情報記憶部の検査情報に基づき前記通信情報の検査を行う検査部と、この検査部の検査結果に基づき前記ネットワーク間の前記通信情報の伝送の可否を判断するアクセス制御部とを備え、このアクセス制御部の判断に基づき前記ネットワーク接続機器の物理的な接続・切断を制御するよう構成することが好ましい。このような構成とすることで、予め決められた情報(検査情報記憶部に記憶された情報)によって、通信回線を伝送する通信情報をフィルタリングすることが可能となる。例えば、危険度の高い情報やコンピュータウイルス等を含む情報などを伝送不可(しかも物理的に回線を切断するため、確実に伝送不可)とすることによりセキュリティーを高めることが可能となる。また、自らがウイルス感染していた場合には、他への感染拡散を防止できる。
【0015】
さらに、上記構成に加え、通信情報から伝送すべきでない情報を除去する除去部を備えた構成としても良い。この構成により、例えば、通信情報にウイルスが含まれていた場合には、そのウイルスを除去処理することが可能となる。
【0016】
従って、上記構成により、ウイルスが検出された場合には通信回線は物理的に切断されるが、ウイルス除去が完了した場合には、通信回線を自動的に復旧することが可能となる。
【0017】
さらに本発明では、通信制御機器に対して、ネットワーク内の端末からのコマンド入力により、自由にネットワーク回線の物理的な接続・切断を制御可能な構成とすることが好ましい。
【0018】
また、本発明のネットワーク制御方法では、ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、このアクセス要求が正当であるか否かを認証するステップと、この認証の結果、前記アクセス要求が正当であると認証された場合には前記ネットワーク間の通信回線を接続状態とし、一方、前記アクセス要求が正当でないと認証された場合には前記ネットワーク間の通信回線を物理的に切断するステップとから構成されることを特徴とする。本制御方法では、不正アクセスと認証された場合に、通信回線を物理的に切断するステップを備えるため、不正アクセスを確実に防止できる。
【0019】
また、本発明のネットワーク制御方法では、ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、このアクセス要求の回数を監視するステップと、この監視の結果、前記アクセス要求の回数が所定回数以上となった場合に前記ネットワーク間の通信回線を物理的に切断するステップと、を少なくとも含む構成としても良い。本構成では、Dos攻撃などの過剰負荷による攻撃を検出した場合、通信回線を物理的に切断することで確実にサーバ等を保護できる。
【0020】
さらに、本発明のネットワーク制御方法では、アクセス要求に係る通信情報が伝送して良い情報であるか否かの検査ステップと、その結果に基づき通信回線の物理的な接続・切断を制御するステップとを含む構成としても良い。このような構成とすることで、ネットワーク間を伝送する通信情報を必要に応じ選別できる。従って、例えば、危険な情報(コンピュータウイルスなど)の伝送を遮断でき、よりセキュリティーの高いネットワーク制御方法を実現できる。
【0021】
さらに上記構成に加え、検査ステップにより伝送すべきでないとされた場合に、その伝送すべきでないとする理由、例えば、コンピュータウイルスなどを除去するステップを含む構成とすることが好ましい。このような構成を備えることで、例えば、コンピュータウイルスが除去された場合には、自動的に通信回線の物理的な切断状態を接続状態へと切り替えることができ、より利便性の高いネットワーク制御方法を実現できる。
【0022】
その他、ネットワーク内の端末からのコマンド入力により、通信回線の物理的な接続・切断を自由に制御するステップをさらに含む構成としても良い。
【0023】
【発明の実施の形態】
本発明の実施の形態について以下に説明する。
【0024】
図1は、本発明のネットワーク制御装置を適用したネットワーク構成(ネットワーク制御システム)の一例を示すブロック図である。本発明のネットワーク制御装置は、企業、学校、団体等などの自組織のネットワークである内部ネットワーク1とインターネット等の外部ネットワーク2との間に設けられ、これらネットワークをつなぐネットワーク接続機器3と、このネットワーク接続機器3の接続・切断を制御する通信制御機器4とを少なくとも具備して構成される。
【0025】
この通信制御機器4は、不正アクセスやコンピュータウイルスなどを検出する機能を具備し、この検出結果に基づき、ネットワーク接続機器3の切断・接続(物理的な切断・接続)を切り替え、ネットワーク間を伝送する情報の通過・不通過を制御する。例えば、外部ネットワーク2より内部ネットワーク1に対し不正アクセスがあった場合、通信制御機器4にてその不正アクセスの情報を取得しネットワーク接続機器3を切断(物理的な切断)する。このように、本発明においては、不正アクセス等の攻撃に対して、ネットワークの接続を物理的に切断することで情報の通信を確実に遮断し、より確実に内部ネットワークの情報を保護することが可能となる。
【0026】
図2は、本発明のネットワーク制御装置の一構成例を示すブロック図、図3はこのネットワーク制御装置の動作を示すフローチャートである。本発明のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7、認証部8、認証情報記憶部9とを具備し、ファイアーウォール(fire wall)機能を有する。外部ネットワーク2よりアクセス要求が有った場合には(S101)、アクセス制御部7は、アクセス要求に対して認証用ユーザIDと認証用パスワード等の予め決められた認証情報の入力を求め、これに応じて入力された認証情報を認証部8に渡して認証要求を行う(S102)。認証部8は認証要求を受けてユーザの認証(認証判断)を行う(S103)が、この際に必要なユーザに関する認証用の情報を認証情報記憶部9から取得する。そしてユーザを認証すると、その認証結果をアクセス制御部7に送る。アクセス制御部7では、この認証結果が可(Yes)の場合(認証部8において、ユーザの認証ができた場合)には、ネットワーク接続機器3を接続状態とし(S104)、一方、認証結果が不可(No)の場合(認証部8において、ユーザの認証ができなかった場合)には、ネットワーク接続機器3を切断状態(物理的な切断状態)とする(S105)。このように、不正アクセスがあった場合には、ネットワーク接続機器3を物理的に切断することで、より確実に不正アクセスによる攻撃を防ぐことが可能となる。
【0027】
なお、ネットワーク接続機器3としては、例えばLANカード、ハブ、ルータなどで、このネットワーク接続機器3の物理的切断は、これらLANカード、ハブ、ルータなどの接続ポートのケーブルを切断する(又は抜く)ことで行える。
【0028】
また、ファイアーウォール機能としては、上記以外にもいろいろあり、別機能のものを設けても良い。
【0029】
図4は、本発明のネットワーク制御装置の別の構成例を示すブロック図、図5はこのネットワーク制御装置の動作を示すフローチャートである。本発明のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7と、監視部14とを少なくとも有する。外部ネットワーク2よりアクセス要求があると(S111)、監視部14では、このアクセス要求の回数を監視する(S112)。そしてこの監視の結果、このアクセス要求が予め定めた所定回数以上となった場合には、アクセス制御部7からの命令によりネットワーク接続機器3を物理的な切断状態とし(S113)、一方、所定回数より少なければネットワーク接続機器3を物理的な接続状態とする(接続状態のまま維持する)(S114)。本構成では、多重アクセスによる過剰負荷による攻撃(Dos攻撃)から内部ネットワークのサーバのダウン等を有効に防止できる。
【0030】
なお、上記構成では、監視部14を別に設けたが、これをアクセス制御部7に含めた構成としても良い。また、本構成を上述の図2の構成と組み合わせても良い。さらに、上記監視部14では、アクセス回数を監視する際、所定時間当たりのアクセス回数を監視する等の別機能を負荷しても良い。
【0031】
図6には、前述の実施形態(図2に示した実施形態)とは異なる別機能のファイアーウォールを備え、かつコンピュータウイルスの検出機能をも備える更に別構成のネットワーク制御装置のブロック図を示す。本実施形態のネットワーク制御装置を構成する通信制御機器4は、アクセス制御部7、認証部8、認証情報記憶部9、検査部10、検査情報記憶部11とを具備し、認証部8及び認証情報記憶部9において不正アクセスを検出し、検査部10及び検査情報記憶部11において、コンピュータウイルス等の検出を行う。
【0032】
なお、ここでは認証部8及び検査部10をその機能の別を説明するため別構成で示したが、同一部分として構成してもよい。(例えば、認証部8及び検査部10を同一として検査部10にまとめ、不正アクセスの認証およびウイルスの検出をこの検査部10で行う。)。そして、アクセス制御部7では、これらの検出結果を基に、ネットワーク接続機器3の接続・切断を制御する。
【0033】
図7はこのネットワーク制御装置の動作の一例を示すフローチャートである。外部ネットワーク2や内部ネットワーク1内の端末6からアクセス要求が有った場合には(S201)、アクセス制御部7は、認証部8及び検査部10に対してこのアクセス要求に係る通信情報を基にした認証要求(S202)及び検査要求(S204)を行う。認証部8は認証要求を受けて通信情報の認証判断を行う(S203)が、この際必要な認証用の情報、例えば、発信元アドレス、宛先アドレス、データ通信のサービス種別などは認証情報記憶部9から取得する。そして、認証判断を行うと、その認証結果をアクセス制御部7へ送る。アクセス制御部7では、認証できた場合(Yesの場合)にはネットワーク接続機器3を接続状態にし(S206)、認証できなかった場合(Noの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S207)。
【0034】
また、同様に、検査部10では検査要求を受けて通信情報のウイルス検査を行う(S205)。検査に必要な情報は予め保持された検査情報記憶部11から取得する。ウイルスの検査情報としては、例えば、既知のウイルスがそれぞれもっている固定長信号パターンなどである。そして、検査部10ではアクセス制御部7に対して検査結果を通知する。アクセス制御部7では、検査の結果ウイルスが検出されなかった場合(Noの場合)にはネットワーク接続機器3を接続状態(S206)とし、一方、ウイルスが検出された場合(Yesの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S207)。このような構成とすることで、ネットワーク間を伝送する通信情報に応じてその通過・不通過を制御でき、また、不正アクセスや、ウイルス等の存在が認証/検出された場合、自動的に通信回線を物理的に切断するため、内部ネットワークをより確実に保護することが可能となる。
【0035】
なお、以上の実施形態では認証及びウイルス検査を同時進行で行う例を示したが、例えば、まず先に認証を行い、その後、必要な場合のみウイルス検査を行う等の別構成としても良い。
【0036】
図8は、本発明のネットワーク制御装置の更に別構成を示すブロック図である。本構成は前実施形態(図6)の構成に加え、更に、認証部8から端末6への通知手段、端末6からアクセス制御部7へのコマンド入力手段、及び除去部12とを具備する。
【0037】
本実施形態においては、不正アクセスが検出された場合、この情報を端末6へ通知する。端末6では、この通知された情報を基に、アクセス制御部7へネットワーク接続機器3の接続・切断の命令(コマンド)を入力することが可能となる。
【0038】
更に、検査部10においてウイルスが検出された場合には、ネットワーク制御機器3は切断されるが、除去部12においてウイルスを除去することが可能であり、ウイルスの除去が完了した場合に自動でネットワーク制御機器3の切断状態を接続状態へと切り替えることが可能となる。
【0039】
図9はこのネットワーク制御装置の動作を示すフローチャートである。外部ネットワーク2から内部ネットワーク1へ、あるいは内部ネットワーク1から外部ネットワークへアクセス要求があった場合(S301)、アクセス制御部7は、認証部8及び検査部10に対してそれぞれ、アクセス要求に係る通信情報を基にした認証要求(S302)及び検査要求(S309)を行う。認証部8は認証要求を受けて通信情報の認証判断を行う(S303)が、この際必要な認証用の情報、発信元アドレス、宛先アドレス、データ通信のサービス種別などは認証情報記憶部9から取得する。そして認証部8は認証結果をアクセス制御部7へ送ると伴に、認証結果が認証不可の場合(認証できなかった場合)には、認証ができなかった旨の認証不可通知を所定の端末6へ送る(S304)。また、認証結果を取得したアクセス制御部7では、認証できた場合(Yesの場合)にはネットワーク接続機器3を接続状態にし(S305)、一方、認証できなかった場合(Noの場合)にはネットワーク接続機器3を切断状態(物理的な切断状態)とする(S307)。
【0040】
また、本実施形態のネットワーク制御装置では、端末6からアクセス制御部7に対し、接続又は切断の命令(コマンド)を出すことが可能である。従って、ネットワーク接続機器3が接続状態の場合、アクセス制御部7では端末からの切断命令の有無を確認し、切断命令が無い場合にはネットワーク接続機器3を接続状態とし、一方、切断命令が有った場合にはネットワーク接続機器3を切断状態とする(S306)。また、ネットワーク接続機器3が切断状態の場合、アクセス制御部7では端末からの接続命令の有無を確認し、接続命令が無い場合にはネットワーク接続機器3を切断状態とし、一方、接続命令が有った場合いはネットワーク接続機器3を接続状態とする(S308)。
【0041】
また、検査部10では検査要求を受けて通信情報のウイルス検査を行う(S310)。検査に必要な情報は予め保持された検査情報記憶部11から取得する。ウイルスの検査情報としては、例えば、既知のウイルスがそれぞれもっている固定長信号パターンなどである。そして、検査部10ではアクセス制御部7に対して検査結果を通知する。アクセス制御部7では、検査の結果ウイルスが検出されなかった場合にはネットワーク接続機器3を接続状態(S305)とし、一方、ウイルスが検出された場合にはネットワーク接続機器3を切断状態(物理的な切断状態)(S307)とする。
【0042】
また特にウイルスが検出された場合には、検査部10から除去部12に対しウイルス検出された通信情報を送り、ウイルスの除去処理を行う(S311)。そして、この除去処理完了の後、検査部10にこの処理後の通信情報を送り、認証部10では再度ウイルス検査を行い(S310)、その結果をアクセス制御部7に通知する。アクセス制御部7では通信情報にウイルスが存在しないとの検査結果を取得した場合には、ネットワーク接続機器3を接続状態とし(S305)、一方、除去部12での処理にもかかわらずウイルスの存在が認められるとの検査結果を取得した場合には、ネットワーク接続機器3を物理的な切断状態とする(S307)。
【0043】
本実施形態では、認証部8において認証できなかった場合、所定の端末6に対し認証不可通知を送る。このため、この認証不可通知を受けた端末6では、その認証不可通知の情報を確認することで、当該アクセス要求が正当な者からのアクセスであるか否かなどを確認することができる。したがって、この確認作業により、仮にアクセス許可しても良いと判断した場合には、アクセス制御部7に対し、ネットワーク接続機器3の接続命令を出すことで当該アクセス者の通信を許可することが可能となる。
【0044】
また、各端末6では、FDD(フレキシブルディスクドライブ)を介した物理媒体や電話回線による外部ネットワークへの直接通信などにより情報の取得が可能である。このため各端末においては、このような内部ネットワーク網を介さない情報の取得によりコンピュータウイルスに感染することも考えられる。このような場合、従来では、ネットワーク網を介してウイルスが他へ拡散しないよう、通信ケーブルなどを手動で切断することが必要であった。しかしながら、本実施形態の構成では、各端末6からアクセス制御部7へネットワーク接続機器3の接続・切断命令を出すことができる。従って、ある端末内にウイルスの存在が確認された場合には、端末からアクセス制御部7へネットワーク接続機器3の制御命令(切断命令)を出すだけでネットワーク回線の物理的切断を実現できる。
【0045】
このように、本実施の形態では通信情報の認証機能および検査機能により不正アクセスやウイルス等の攻撃から自動的にネットワーク回線を切断する機能を備えるため、よりセキュリティーの高いシステムを構成できる。また、通信情報に含まれるウイルスを自動で除去する機能を備えているため、ウイルス除去ができた場合には自動でネットワーク回線を復旧することが可能となる。また、端末からのコマンド入力によりネットワーク回線の切断・接続を自由に制御できるため、より自由度の高いネットワークシステムを構成することが可能となる。
【0046】
なお、本実施の形態では、検査部10、検査情報記憶部11、除去部12の機能として、コンピュータウイルスの検査、及びその除去を例として示したが、本発明はこれに限定されるものではない。即ち、検査部10での機能は、通信情報が通信回線を伝送して良い情報であるか否かの検査を行う機能を有するものであり、(伝送の可否の判断理由は任意に設定可能であり、コンピュータウイルスを対象とするものに限られない)、また同様に、除去部12の機能はウイルス除去に限らず、ネットワーク間を伝送する通信情報に制限を加える目的で任意に設定でき、通信情報のうち、予め決めた情報を除去する機能を有するもので有ればよい。
【0047】
図10は本発明のネットワーク制御装置を適用したネットワーク構成(ネットワーク制御システム)の別形態を示すブロック図である。図に示すように、本発明のネットワーク制御装置13は外部ネットワークと内部ネットワークとの間に設けるのみではなく、その他、内部ネットワークを構成するサブネットワーク間に設けても良い。即ち、本発明のネットワーク制御装置は、ネットワーク回線のいずれに設けても同様の効果を期待できる。
【0048】
特に、当該構成のようにネットワーク制御装置を内部ネットワーク内に複数設けた構成の場合、例えば、有る端末がウイルス感染された場合、その拡散防止のために内部ネットワーク全体を外部ネットワークと切断する必要はない。例えば、端末6−1がウイルス感染された場合には、サブネットワーク5−1とサブネットワーク5−2の間のみを物理的切断することで足りる。これにより、サブネットワーク5−3では外部ネットワークと切断されず、より効率的なネットワークシステムを構成できる。
【0049】
なお、以上説明した実施形態では、ネットワーク制御装置を内部ネットワーク内に設ける構成を示したが、外部ネットワークと内部ネットワークとの間に独立して設ける構成としても良い。
【0050】
【発明の効果】
以上述べたように、本発明によれば、通信の接続・切断の制御を、ネットワーク回線の物理的な接続・切断で行うため、不正アクセス等の攻撃があった場合においても確実に被害を抑えることが可能である。また、ファイアウォール機能やコンピュータウイルスなどの検査、除去の機能を具備しているため、不正アクセスやウイルス等による攻撃を自動で検出し、自動で除去することが可能で、ネットワーク回線の物理的な切断・接続状態を自動で制御できる。また、各端末からネットワーク回線の物理的な接続・切断要求を行うことも可能であり、自由度の高いネットワークを構成することが可能である。
【0051】
【図面の簡単な説明】
【図1】本発明のネットワーク制御システムの一構成例を示すブロック図である。
【図2】本発明のネットワーク制御装置の一構成例を示すブロック図である。
【図3】図2のネットワーク制御装置の動作を示すフローチャートである。
【図4】本発明のネットワーク制御装置の他の構成例を示すブロック図である。
【図5】図4のネットワーク制御制御装置の動作を示すフローチャートである。
【図6】本発明のネットワーク制御装置の更に他の構成例を示すブロック図である。
【図7】図6のネットワーク制御装置の動作を示すフローチャートである。
【図8】本発明のネットワーク制御装置の更に他の構成例を示すブロック図である。
【図9】図8のネットワーク制御装置の動作を示すフローチャートである。
【図10】本発明のネットワーク制御システムの別構成例を示すブロック図である。
【符号の説明】
1 内部ネットワーク
2 外部ネットワーク
3 ネットワーク接続機器
4 通信制御機器
5−1、5−2、5−3 サブネットワーク
6、6−1 端末
7 アクセス制御部
8 認証部
9 認証情報記憶部
10 検査部
11 検査情報記憶部
12 除去部
13 ネットワーク制御装置
14 監視部
Claims (13)
- ネットワーク間を結ぶネットワーク接続機器と、通信制御機器とを少なくとも具備するネットワーク制御装置であって、前記通信制御機器が前記ネットワーク接続機器の物理的な接続・切断を制御することで前記ネットワークの間を伝送する情報の通過・不通過を制御するネットワーク制御装置。
- 前記通信制御機器は、前記ネットワーク間のアクセス要求に対し、該ネットワーク間のアクセスの可否を判断する為の認証情報記憶部と、該認証情報記憶部の認証情報に基づき認証を行う認証部と、該認証部の認証結果に基づき前記アクセスの可否を判断するアクセス制御部とを備え、該アクセス制御部の判断に基づき、前記ネットワーク接続機器の物理的な接続・切断を制御する請求項1記載のネットワーク制御装置。
- 前記通信制御機器は、前記ネットワーク間のアクセス要求を監視する監視部と、該監視部の監視結果に基づき前記アクセスの可否を判断するアクセス制御部とを備え、該アクセス制御部の判断に基づき、前記ネットワーク接続機器の物理的な接続・切断を制御する請求項1又は2記載のネットワーク制御装置。
- 前記通信制御機器は、前記ネットワーク間のアクセス要求に係る通信情報の検査を行うための検査情報記憶部と、該検査情報記憶部の検査情報に基づき前記通信情報の検査を行う検査部と、該検査部の検査結果に基づき前記ネットワーク間の前記通信情報の伝送の可否を判断するアクセス制御部とを備え、該アクセス制御部の判断に基づき前記ネットワーク接続機器の物理的な接続・切断を制御する請求項1乃至3のいずれかに記載のネットワーク制御装置。
- 前記通信制御機器は、前記通信情報からその一部又は全ての情報を除去処理する除去部とを備え、前記ネットワーク間を伝送する通信情報に制限を加えることが可能な請求項4記載のネットワーク制御装置。
- 前記通信制御機器は、前記検査部における検査の結果、前記検査情報記憶部の検査情報に含まれるコンピュータウイルスが検出された場合、該コンピュータウイルスを除去するための除去部を備え、該除去部において該コンピュータウイルスの除去処理を行い、該除去処理の結果に基づき前記アクセス制御部が前記ネットワーク接続機器の物理的な接続・切断を制御する請求項4記載のネットワーク制御装置。
- 前記ネットワーク内の端末には、前記通信制御機器に対しコマンドを入力する手段を有し、該コマンド入力により前記ネットワーク接続機器の物理的な接続・切断を制御することが可能である請求項1乃至6のいずれかに記載のネットワーク制御装置。
- ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、該アクセス要求が正当であるか否かを認証するステップと、該認証の結果、前記アクセス要求が正当であると認証された場合には前記ネットワーク間の通信回線を接続状態とし、一方、前記アクセス要求が正当でないと認証された場合には前記ネットワーク間の通信回線を物理的に切断するステップと、を少なくとも含むネットワーク制御方法。
- ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、該アクセス要求の回数を監視するステップと、該監視の結果、前記アクセス要求の回数が所定回数以上となった場合に前記ネットワーク間の通信回線を物理的に切断するステップと、を少なくとも含むネットワーク制御方法。
- ネットワークから他のネットワークに対してのアクセス要求を受け付けるステップと、該アクセス要求に係る通信情報が伝送して良い情報であるか否かの検査を行うステップと、該検査の結果、前記通信情報が伝送して良い情報であると判断された場合には前記ネットワーク間の通信回線を接続状態とし、一方、前記通信情報が伝送すべきでない情報であると判断された場合には前記ネットワーク間の通信回線を物理的に切断するステップと、を少なくとも含むネットワーク制御方法。
- 前記通信情報が伝送すべきでない情報であると判断された場合には、該伝送すべきでないとする情報を前記通信情報から除去するステップと、該ステップの結果、伝送すべきでない情報が除去された場合には前記ネットワーク間の通信回線を接続状態とし、一方、前記伝送すべきでない理由が解消できない場合には前記ネットワーク間の通信回線を物理的な切断状態とするステップと、を更に含む請求項10記載のネットワーク制御方法。
- 前記ネットワーク内の端末からのコマンド入力の有無を確認し、該コマンド入力が有った場合には、その命令に基づき前記ネットワーク間の通信回線の物理的な接続・切断を制御するステップと、を更に含む請求項8乃至11のいずれかに記載のネットワーク制御方法。
- 第1ネットワークと、第2ネットワークと、該第1ネットワークと第2ネットワーク間の情報の伝送を制御する請求項1乃至7のいずれかに記載のネットワーク制御装置とを具備するネットワーク制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003164307A JP2005005809A (ja) | 2003-06-09 | 2003-06-09 | ネットワーク制御装置及びネットワーク制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003164307A JP2005005809A (ja) | 2003-06-09 | 2003-06-09 | ネットワーク制御装置及びネットワーク制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005005809A true JP2005005809A (ja) | 2005-01-06 |
Family
ID=34091138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003164307A Pending JP2005005809A (ja) | 2003-06-09 | 2003-06-09 | ネットワーク制御装置及びネットワーク制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005005809A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006228140A (ja) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | 情報処理装置 |
JP2012209903A (ja) * | 2011-03-30 | 2012-10-25 | Nec Corp | 通信管理装置 |
-
2003
- 2003-06-09 JP JP2003164307A patent/JP2005005809A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006228140A (ja) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | 情報処理装置 |
JP2012209903A (ja) * | 2011-03-30 | 2012-10-25 | Nec Corp | 通信管理装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7653941B2 (en) | System and method for detecting an infective element in a network environment | |
US20080034092A1 (en) | Access control system and access control server | |
US8595844B2 (en) | Dynamic risk management | |
US20060224897A1 (en) | Access control service and control server | |
US7930745B2 (en) | Network security system and method | |
US20070294759A1 (en) | Wireless network control and protection system | |
CA2496939A1 (en) | Network security method and apparatus | |
WO2017034072A1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
JP2006252471A (ja) | ネットワーク監視方法、ネットワーク監視システム及びネットワーク監視プログラム | |
JP2011035535A (ja) | 通信遮断装置、サーバ装置、方法およびプログラム | |
JP2007052550A (ja) | コンピュータシステム及び情報処理端末 | |
JP2005005809A (ja) | ネットワーク制御装置及びネットワーク制御方法 | |
JP2008234410A (ja) | リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法 | |
JP4418211B2 (ja) | ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム | |
JP2006018766A (ja) | ネットワーク接続管理システム | |
CN111885179A (zh) | 一种基于文件监测服务的外接式终端防护设备及防护系统 | |
CN111859434A (zh) | 一种提供保密文件传输的外接式终端防护设备及防护系统 | |
KR20080076638A (ko) | 네트워크로 연결된 컴퓨터 장치들에 대한 통신제어 기반의바이러스 치료 및 패칭 방법과 그 시스템 | |
JP2004104739A (ja) | ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置 | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
JP2005332152A (ja) | 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060511 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080404 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080410 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080901 |