JP2005020222A - Security gateway router apparatus and session table management method - Google Patents
Security gateway router apparatus and session table management method Download PDFInfo
- Publication number
- JP2005020222A JP2005020222A JP2003180473A JP2003180473A JP2005020222A JP 2005020222 A JP2005020222 A JP 2005020222A JP 2003180473 A JP2003180473 A JP 2003180473A JP 2003180473 A JP2003180473 A JP 2003180473A JP 2005020222 A JP2005020222 A JP 2005020222A
- Authority
- JP
- Japan
- Prior art keywords
- session
- return direction
- return
- session table
- communication packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
本発明はセキュリティゲートウェイルータ装置およびセッションテーブル管理方法に関し、特にセッションテーブルを用いて動的NAT/NAPT(Network Address Translation/Network Address Port Translation)機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置およびセッションテーブル管理方法に関する。
【0002】
【従来の技術】
IP(Internet Protocol)ネットワークにおいてLAN(Local Area Network)等の内部ネットワークとWAN(Wide Area Network)等の外部ネットワークとの間に配備されるセキュリティゲートウェイルータ装置では、動的パケットフィルタ機能(ファイヤウォール機能),動的NAT/NAPT(ネットワークアドレス/ポート変換)機能,ロードバランス(負荷分散)機能等の複数の機能が同時に要求される。
【0003】
従来、これらの機能は、各々の装置または機能ブロックにより各々のセッションテーブル(レイヤ4レベルでの通信を管理するテーブル)を利用して実現されている。
【0004】
図6は、従来のセキュリティゲートウェイルータ装置の一例を示すブロック図である。このセキュリティゲートウェイルータ装置は、戻り方向動的NAT/NAPT部D−1と、戻り方向ACL(ACCESS ControL List)ルックアップ部D−2と、戻り方向動的パケットフィルタ部D−3と、戻り方向ルータ部D−4と、開始方向ルータ部E−1と、開始方向動的パケットフィルタ部E−2と、開始方向ACLルックアップ部E−3と、開始方向動的NAT/NAPT部E−4と、NAT/NAPTセッションマネージャプロセスF−1と、動的フィルタセッションマネージャプロセスF−2と、戻り方向NAT/NAPTセッションテーブルU−1と、戻り方向ACLU−2と、戻り方向フィルタセッションテーブルU−3と、開始方向フィルタセッションテーブルU−5と、開始方向ACLU−6と、開始方向NAT/NAPTセッションテーブルU−7とから構成されている。
【0005】
次に、この従来のセキュリティゲートウェイルータ装置の動作について、図7のフローチャートを参照しながら説明する。
【0006】
開始方向ルータ部E−1は、開始方向通信パケットの転送先を解決する。通信セッションは、開始方向ルータ部E−1により送信側プロセスに転送されてくる。
【0007】
次に、開始方向動的パケットフィルタ部E−2は、開始方向フィルタセッションテーブルU−5を検索して(ステップS102)、開始方向通信パケットの通過可否を判断する。ここで、通信セッションの最初のパケット受信時には、開始方向フィルタセッションテーブルU−5にセッションエントリは存在しない。この場合、開始方向動的パケットフィルタ部E−2は、開始方向セッションテーブルU−2の検索の結果、セッションエントリ無しと判定し(ステップS103でノー)、ソフトウェアプロセスへパケット処理を引き渡す。具体的には、動的パケットフィルタセッションマネージャプロセスF−2がパケット処理を引き取る。
【0008】
動的パケットフィルタセッションマネージャプロセスF−2は、動的パケットフィルタ機能が適用される場合(ステップS113でイエス)、ステート監視制御を行う(ステップS114)。
【0009】
次に、動的パケットフィルタセッションマネージャプロセスF−2は、開始方向フィルタセッションテーブルU−5と、戻り方向通信を予測し評価して戻り方向フィルタセッションテーブルU−3とを生成してセッションエントリを登録する(ステップS115およびステップS116)。ここで、戻り方向通信パケットは、開始方向通信パケットのIPヘッダおよびL4ヘッダの転送先(Destination)と転送元(Source)とを逆転させたものとなる。例えば、開始方向通信パケットのヘッダがIPDA(Internet Protocol Destination Address)=B,IPSA(Internet Protocol Source Address)=a,Protocol=TCP,L4DP(Layer 4 Destination Port)=d,L4SP(Layer 4 Source Port)=cである場合、戻り方向通信パケットのヘッダはIPDA=a,IPSA=B,Protocol=TCP,L4DP=c,L4SP=dとなる。
【0010】
次に、開始方向ACLルックアップ部E−3は、開始方向ACLU−6の検索を行い、最初の開始方向通信パケットの送信可否を判断する(ステップS101)。(動的パケットフィルタ部E−2より先に処理してもよい)。
【0011】
続いて、開始方向動的NAT/NAPT部E−4は、必要に応じて送信可能な開始方向通信パケットに対して動的NAT/NAPT処理を施す。最初の開始方向通信パケットに関しては、ネットワークアドレス/ポートが割り当てられていないため、開始方向NAT/NAPTセッションテーブルU−7にセッションエントリが無い(ステップS103でノー)。この際、開始方向動的NAT/NAPT部E−4は、開始方向動的パケットフィルタ部E−2と同様な手順で、ソフトウェアプロセスであるNAT/NAPTセッションマネージャプロセスF−1へ処理を引き渡す。
【0012】
NAT/NAPTセッションマネージャプロセスF−1は、動的NAT/NAPT機能の対象であれば(ステップS111でイエス)、ネットワークアドレス/ポートの割当てを行う(ステップS112)。
【0013】
次に、NAT/NAPTセッションマネージャプロセスF−1は、開始方向NAT/NAPTセッションテーブルU−7および戻り方向NAT/NAPTセッションテーブルU−1を生成してセッションエントリを登録する(ステップS115およびステップS116)。開始方向通信パケットに関しては、IPSAおよびL4SPが変換されることになるため、開始方向NAT/NAPTセッションテーブルU−7は、IPDA=B,IPSA=a,Protocol=TCP,L4DP=d,L4SP=cで登録される。この際、開始方向NAT/NAPTセッションテーブルU−7から開始方向通信パケットのNAT/NAPT処理指示が検索可能なように設定する。ハードウェアは、開始方向NAT/NAPTセッションテーブルU−7を検索してネットワークアドレス/ポート変換を実施する。また、戻り方向通信パケットは、グローバルベースの通信に対する戻りであるため、IPDA=A,IPSA=B,Protocol=TCP,L4DP=c,L4SP=dとなり、戻り方向NAT/NAPTセッションテーブルU−1より戻り方向通信パケットに対するNAT/NAPT指定がなされる。
【0014】
最初の開始方向通信パケットが処理されると、開始方向フィルタセッションテーブルU−5および開始方向NAT/NAPTセッションテーブルU−7,ならびに戻り方向NAT/NAPTセッションテーブルU−1および戻り方向フィルタセッションテーブルU−3のセッションエントリが登録され、次の開始方向通信パケットからは開始方向フィルタセッションテーブルU−5および開始方向NAT/NAPTセッションテーブルU−7のセッションエントリ有りと判断され(ステップS103でイエス)、ハードウェアによる転送が行われる。
【0015】
詳しくは、開始方向動的NAT/NAPT部E−4は、開始方向NAT/NAPTセッションテーブルU−7より動的NAT/NAPT情報を取得し(ステップS104)、動的NAT/NAPT機能の対象であれば(ステップS105でイエス)、動的NAT/NAPTのエディット処理を行う(ステップS106)。
【0016】
次に、開始方向動的パケットフィルタ部E−2は、開始方向フィルタセッションテーブルU−5よりステート情報を取得し(ステップS107)、動的パケットフィルタ対象であれば(S108でイエス)、ステートチェックおよび更新処理を行う(ステップS109)。
【0017】
その後、開始方向動的NAT/NAPT部E−4は、開始方向通信パケットを送信する(ステップS110)。
【0018】
一方、戻り方向通信パケットについては、まず始めに、戻り方向ACLルックアップ部D−2が、グローバルアドレスベースで戻り方向ACLU−2の検索を行う(ステップS201)。戻り方向動的NAT/NAPT部D−1の手前で戻り方向通信パケットに対してグローバルアドレスベース(受信時のパケット情報)にて戻り方向ACLU−2の検索が実施される。
【0019】
戻り方向通信パケットで戻り方向NAT/NATPセッションテーブルU−1のセッションエントリが無い場合は(ステップS203でノー)、戻り方向動的NAT/NAPT部D−1は、この戻り方向通信パケットを拒否する(ステップS204)。
【0020】
次に、戻り方向動的NAT/NAPT部D−1は、戻り方向通信パケットに対してネットワークアドレス/ポート変換を行う。開始方向通信パケットが送信された際に戻り方向NAT/NAPTセッションテーブルU−1のセッションエントリが登録されているため(ステップS203でイエス)、戻り方向NAT/NAPTセッションテーブルU−1を検索して戻り方向動的NAT/NAPT部D−1のアクションを解決する。戻り方向NAT/NAPTセッションテーブルU−1を検索すると、通信開始時に登録済みのセッションエントリにヒットする。ここには、開始方向通信に対して払い出したネットワークアドレス/ポートが戻り方向通信に対しても設定されている。具体的には、NAT/NAPT実行,変換アドレス,および変換ポートがアクションテーブルに設定される。
【0021】
戻り方向NAT/NATPセッションテーブルU−1にセッションエントリがある場合は(ステップS203でイエス)、戻り方向動的NAT/NAPT部D−1は、戻り方向通信パケットについてネットワークアドレス/ポート変換を行う。
【0022】
詳しくは、戻り方向動的NAT/NAPT部D−1は、戻り方向セッションテーブルU−1より動的NAT/NAPT情報を取得し(ステップS205)、動的NAT/NAPTの対象であれば(ステップS206でイエス)、動的NAT/NAPTのエディット処理を行う(ステップS207)。
【0023】
次に、戻り方向ACLルックアップ部D−2は、プライベートアドレスに変換した形で戻り方向ACLU−2の検索を実行する(ステップS208)。この際、戻り方向ACLU−2の検索は、ポリシールーティング,QoS(Quality of Service)クラス識別等のために使用されるため、プライベートアドレスベースでの戻り方向ACLU−2の検索が必要となる。
【0024】
続いて、戻り方向動的パケットフィルタ部D−3は、戻り方向フィルタセッションテーブルU−3よりステート情報を取得し(ステップS209)、動的パケットフィルタ対象であれば(S210でイエス)、ステートチェックおよび更新処理を行う(ステップS211)。
【0025】
その後、戻り方向ルータ部D−4は、転送先を解決し、戻り方向通信パケットを転送する(ステップS212)。
【0026】
戻り方向通信パケットに関しては、あらかじめ戻り方向ACLU−4の検索等が先頭の開始方向通信パケットに関して完了しているので、その結果が反映された戻り方向NAT/NAPTセッションテーブルU−1を検索するのみで処理を行うことが可能となる。
【0027】
【発明が解決しようとする課題】
しかしながら、上述した従来のセキュリティゲートウェイルータ装置には、ハードウェアによる実現を考慮する場合、次のような課題がある。
【0028】
第1の課題は、戻り方向NAT/NAPTセッションテーブルおよび戻り方向フィルタセッションテーブルという2つのセッションテーブルを使用しているので、セッションテーブルの検索回数が複数回となるために処理性能が低下するということである。
【0029】
第2の課題は、動的NAT/NAPT機能がある戻り方向通信についてセッションテーブルの検索に加え、戻り方向通信パケットに対する戻り方向ACLの検索処理が全戻り方向通信パケットについて必要になるために処理負荷が高いということである。
【0030】
第3の課題は、動的NAT/NAPT機能および動的パケットフィルタ機能の戻り方向通信について同一インタフェースからの戻りのみしか許可できないということである。ここで、インタフェースとは、ルータなどの通信装置のもつ外部インタフェース(物理回線,論理回線)を意味する。
【0031】
本発明の目的は、セッション確立後の処理性能を向上させるようにしたセキュリティゲートウェイルータ装置を提供することにある。
【0032】
また、本発明の他の目的は、複数インタフェースからの戻り方向通信パケットを許容するセキュリティゲートウェイルータ装置を提供することにある。
【0033】
【課題を解決するための手段】
本発明のセキュリティゲートウェイルータ装置は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部とを有することを特徴とする。
【0034】
また、本発明のセキュリティゲートウェイルータ装置は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部とを有することを特徴とする。
【0035】
さらに、本発明のセキュリティゲートウェイルータ装置は、開始方向通信パケットの転送先を解決する開始方向ルータ部と、開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う開始方向動的NAT/NAPT部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携してネットワークアドレス/ポート割当てを行うNAT/NAPTマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部とを有することを特徴とする。
【0036】
さらに、本発明のセキュリティゲートウェイルータ装置は、開始方向通信パケットの転送先を解決する開始方向ルータ部と、開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う開始方向動的NAT/NAPT部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携してネットワークアドレス/ポートの割当てを行うNAT/NAPTマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部とを有することを特徴とする。
【0037】
さらにまた、本発明のセキュリティゲートウェイルータ装置は、前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする。
【0038】
また、本発明のセキュリティゲートウェイルータ装置は、前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする。
【0039】
一方、本発明のセッションテーブル管理方法は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程とを含むことを特徴とする。
【0040】
また、本発明のセッションテーブル管理方法は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、開始方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して開始方向ACLを検索する工程と、戻り方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程とを含むことを特徴とする。
【0041】
さらに、本発明のセッションテーブル管理方法は、開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、開始方向動的NAT/NAPT部により開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポート割当てを行う工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程とを含むことを特徴とする。
【0042】
さらにまた、本発明のセッションテーブル管理方法は、開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、開始方向動的NAT/NAPT部により開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポートの割当てを行う工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程とを含むことを特徴とする。
【0043】
また、本発明のセッションテーブル管理方法は、前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする。
【0044】
さらに、本発明のセッションテーブル管理方法は、前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする。
【0045】
本発明のセキュリティゲートウェイルータ装置は、動的NAT/NAPTや動的パケットフィルタ等に使用されるセッションテーブルを生成して登録する際に、あらかじめ戻り方向ACLを検索しておくことにより、無駄なセッションテーブルを生成しないこと、また、戻り方向ACLの検索処理を削減できることを特徴としている。さらに、セッションテーブル検索の際にインタフェースをグルーピングし、インタフェースグループIDを用いて管理することにより、複数インタフェースからの戻り方向通信を制御可能としている特徴がある。詳しくは、セッションテーブル検索キーにインタフェース番号を含めると、そのインタフェースからの受信時のみにセッションエントリが見つかる。この場合、戻り方向通信はインタフェース番号で表されるインタフェースからのみしか許可できない。ここで、インタフェースをグルーピングしてインタフェースグループIDを割り当てる。このインタフェースグループIDをインタフェース番号の代わりに割り当てれば、グループに属するインタフェースから受信したものがヒットする。
【0046】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照しながら詳細に説明する。
【0047】
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。本実施の形態に係るセキュリティゲートウェイルータ装置は、戻り方向セッションルックアップ部A−1と、戻り方向動的NAT/NAPT部A−2と、戻り方向動的パケットフィルタ部A−3と、戻り方向ルータ部A−4と、開始方向ルータ部B−1と、開始方向ACLルックアップ部B−2と、開始方向セッションルックアップ部B−3と、開始方向動的パケットフィルタ部B−4と、開始方向動的NAT/NAPT部B−5と、セッションマネージャプロセスC−1と、NAT/NAPTマネージャプロセスC−2と、開始方向ACLルックアッププロセスC−3と、戻り方向ACLルックアッププロセスC−4と、動的パケットフィルタマネージャプロセスC−5と、戻り方向セッションテーブルT−1と、開始方向セッションテーブルT−2と、開始方向ACLT−3と、戻り方向ACLT−4とから構成されている。
【0048】
動的NAT/NAPT機能または動的パケットフィルタ機能を適用する際の開始方向通信について開始方向通信パケットの受信インタフェース(またはインタフェースグループ)を内部ネットワークと定義する。また、開始方向通信パケットの送信インタフェース(またはインタフェースグループ)を外部ネットワークと定義する。
【0049】
セキュリティゲートウェイルータ装置は、パケットをIPレイヤでスイッチする機能を有する。また、セキュリティゲートウェイルータ装置は、静的パケットフィルタ機能を有しており、ACLの設定によりパケット通過の可否を設定可能となっているのが、一般的である。静的パケットフィルタ機能は、ユーザがあらかじめパケットフローを特定して通過可否を指定する機能である。これに対して、動的パケットフィルタ機能は、あるトリガパケット(開始方向通信パケット)に対して動的にフィルタを行う機能である。静的パケットフィルタ機能にて拒否されても、動的パケットフィルタ機能で許可されると、そのパケットの通過を許可する。また、静的パケットフィルタ機能にて許可されても、動的パケットフィルタ機能で拒否されると、そのパケットの通過は拒否される。すなわち、動的パケットフィルタ機能が静的パケットフィルタ機能に優先する関係となっている。
【0050】
このACLによる静的パケットフィルタ機能は、開始方向通信パケットに対するもの,および戻り方向通信パケットに対するものの2種類が設定可能となっている。さらに、開始方向ACLT−3および戻り方向ACLT−4は、パケットフィルタのみではなく、ポリシールーティング,QoSクラス識別,IPsecポリシー識別のためにも使用される。
【0051】
戻り方向セッションテーブルT−1は、開始方向通信セッションに対する戻り方向通信セッションを処理するためのテーブルである。最初の開始方向通信パケットが外部ネットワークへ転送されると同時に、戻り方向セッションテーブルT−1のセッションエントリが生成される。
【0052】
図2を参照すると、戻り方向セッションテーブルT−1をセッション情報(IPDA,IPSA,Protocol,L4等)で検索すると、NAT/NAPTアクショテーブルが得られる。これは、戻り方向セッションテーブルT−1からポインタで指される場合や、もしくは戻り方向セッションテーブルT−1に含まれる場合のどちらでもよい。ここでは、戻り方向セッションテーブルT−1にNAT/NAPTアクションテーブルが含まれているとして考える。NAT/NAPT動作設定とは、NATまたはNAPTの処理指示,変換するアドレス,およびポート情報が設定される。開始方向通信のNATでは、転送元がNATされる。
【0053】
開始方向セッションテーブルT−2は、開始方向通信パケットを処理するためのテーブルである。内部ネットワークから外部ネットワークへ向けて最初の開始方向通信パケットが許可され転送される際に生成される。開始方向セッションテーブルT−2も、戻り方向セッションテーブルT−1と同様の構成を持つ(図2参照)。
【0054】
開始方向ルータ部B−1は、開始方向通信パケットのルーティングを実行(転送先を解決)する機能ブロックである。
【0055】
開始方向ACLルックアップ部B−2は、開始方向通信パケットの通過可否のポリシー,動的NAT/NAPT適用のポリシーなどの、ユーザにより設定されたルールを開始方向ACLT−3から検索する機能ブロックである。
【0056】
開始方向セッションルックアップ部B−3は、開始方向通信パケットの通過可否を判断するために、開始方向セッションテーブルT−2を検索してセッションエントリの有無の判断を行い、セッションエントリ有りの場合はそれに付随する情報を取得する機能ブロックである。開始方向セッションテーブルT−2でセッションエントリの有無が評価されるが、セッションエントリ有りの場合は、開始方向セッションテーブルT−2からフィルタアクションテーブル(動作設定テーブル)およびNAT/NAPTアクションテーブル(動作設定テーブル)がリンクされる。ここでは、これらを含めたテーブルを開始方向セッションテーブルT−2と呼ぶ。セッションテーブル検索キーがセッション情報(IPDA,IPSA,Protocol,L4SP,L4DP等)でそれから得られる情報が、NAT動作,フィルタ動作設定となる。NAT/NAPTアクションテーブルは、具体的には、アクションコード,変換アドレスおよび変換ポートからなる。アクションコードには、NATする,NAPTする,またはNAT/NAPTしないを設定する。変換アドレスには、WANへの送信側ではIPSAをここに設定されたアドレスに書き換えること,およびWANからの受信側ではIPDAをここに設定されたアドレスに書き換えることを設定する。変換ポートは、NAPT/NAPTの際に有効となり、WANへの送信側ではL4SPをここに設定されたポート番号に書き換えること,およびWANからの受信側ではL4DP(Layer 4 Destination Port)をここに設定されたポート番号に書き換えることを設定する。
【0057】
開始方向動的パケットフィルタ部B−4は、開始方向通信パケットについて開始方向セッションテーブルT−2を検索することにより得られた情報を元に動的に開始方向通信パケットの通過可否を判断する機能ブロックである。
【0058】
開始方向動的NAT/NAPT部B−5は、開始方向セッションテーブルT−2の検索により得られた情報を元に動的にネットワークアドレス/ポート変換を行う機能ブロックである。
【0059】
戻り方向セッションルックアップ部A−1は、戻り方向通信パケットについて戻り方向セッションテーブルT−1を検索してセッションエントリの有無を判断し、セッションエントリ有りの場合はそれに付随する情報を取得する機能ブロックである。
【0060】
戻り方向動的NAT/NAPT部A−2は、戻り方向通信パケットについて戻り方向セッションテーブルT−1の検索により得られた情報に基づいて動的NAT/NAPTの処理(ネットワークアドレス/ポート変換)を行う機能ブロックである。
【0061】
戻り方向動的パケットフィルタ部A−3は、戻り方向通信パケットについて戻り方向セッションテーブルT−1の検索により得られた情報に基づいて動的に戻り方向通信パケットの通過可否を判断する機能ブロックである。
【0062】
戻り方向ルータ部A−4は、戻り方向通信パケットの転送先を解決する機能ブロックである。
【0063】
セッションマネージャプロセスC−1は、新規セッションに関して、戻り方向セッションテーブルT−1および開始方向セッションテーブルT−2を生成し、また終了セッションに関して戻り方向セッションテーブルT−1および開始方向セッションテーブルT−2を削除するソフトウェアプロセスである。最初の開始方向通信パケットの受信時には、セッションテーブル生成要求がハードウェアより送られてくる。また、セッションマネージャプロセスC−1は、NAT/NAPTマネージャプロセスC−2,開始方向ACLルックアッププロセスC−3,戻り方向ACLルックアッププロセスC−4,および動的パケットフィルタマネージャプロセスC−5と連携して動作する。
【0064】
NAT/NAPTマネージャプロセスC−2は、戻り方向動的NAT/NAPT部A−2のネットワークアドレス/ポート割当てを行うソフトウェアプロセスである。
【0065】
開始方向ACLルックアッププロセスC−3は、開始方向通信パケットについて、開始方向ACLT−3に基づくパケットフィルタを行うソフトウェアプロセスである。(ただし、開始方向側ハードウェアで機能をサポートしている場合は不要になる。)
【0066】
戻り方向ACLルックアッププロセスC−4は、開始方向通信パケットに対する戻り方向通信パケットについて戻り方向ACLT−4に基づくパケットフィルタ,ポリシールーティング,QoSポリシー,IPsec(IP Security Protocol)ポリシー等のフロー検索を行うソフトウェアプロセスである。(戻り方向側ハードウェアで機能をサポートしている場合でも必要である。)
【0067】
動的パケットフィルタマネージャプロセスC−5は、戻り方向動的パケットフィルタ部A−3および開始方向動的パケットフィルタ部B−4を管理するためのソフトウェアプロセスである。
【0068】
以上、第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を述べたが、NAT/NAPT機能,動的パケットフィルタ機能,ポリシールーティング機能,ルータ機能,ACL検索は、当業者にとってよく知られており、また本発明とは直接関係しないので、その詳細な説明を省略する。
【0069】
次に、このように構成された第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作について、図3に示すフローチャートを参照しながら説明する。ここでは、NAT/NAPT有りセッションの開設時の動作について説明する。
【0070】
初期状態においては、開始方向セッションテーブルT−1および戻り方向セッションテーブルT−2には、セッションエントリは無い。
【0071】
開始方向ルータ部開B−1は、開始方向通信パケットの転送先を解決する。
【0072】
次に、開始方向ACLルックアップ部B−2は、開始方向ACLT−3の検索を行い、最初の開始方向通信パケットの送信可否を判断する。
【0073】
最初に、開始方向通信パケットを受信した際、開始方向セッションルックアップ部B−3は、開始方向セッションテーブルT−2を検索しセッションエントリ無しと判断し、ハードウェアプロセスからソフトウェアプロセスのセッションマネージャプロセスC−1に開始方向通信パケット処理を引き渡す。
【0074】
セッションマネージャプロセスC−1は、開始方向通信パケットについて、開始方向ACLT−3による評価,ネットワークアドレス/ポート割当て,通過可否判断を行えるように、それぞれのソフトウェアプロセスに処理を依頼する。セッションマネージャプロセスC−1は、処理結果を受け取り、セッションテーブル生成の要否を判断する。
【0075】
さらに、セッションマネージャプロセスC−1は、予測される戻り方向通信の形で戻り方向通信パケットを受信すべきインタフェースに適用された戻り方向ACLT−4を評価し、許可された場合のみ戻り方向セッションテーブルT−1を生成する。ここで、“受信すべきインタフェース”は、セキュリティゲートウェイルータ装置がもつ論理的な受信回線を示す。これは、外部インタフェースであり、Ethernet(登録商標),POS(Packet Over Sonet),ATM(Asynchronous Transfer Mode)等の回線において、物理回線もしくはVC(Virtual Channel),VLAN(Virtual LAN)のような論理回線を示す。
【0076】
戻り方向動的NAT/NAPT部A−2との併用においても、開始方向通信パケットの受信時の形(内部アドレスベース)で戻り方向通信を予測し評価する。戻り方向ACLT−4は、IPパケットフィルタの他にポリシールーティング,IPsecポリシー解決等にも使用されるため、これらの処理を開始方向通信の最初の1パケットのみに実施することにより、その後の戻り方向通信パケットについて戻り方向ACLT−4の検索をする必要がなくなる。
【0077】
まず、動的NAT/NAPT機能が適用される場合、通信が開始される方向は、プライベートネットワークからグローバルネットワークへ送信される方向となる。開始方向動的NAT/NAPT部B−5は、セッションが開始される際にネットワークアドレス/ポートを割り当てることにより有限なグローバルアドレスをシェアして使うことになる。
【0078】
ここで、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1のへのセッションエントリ登録方法を、図3のフローチャートを参照して説明する。
【0079】
最初の開始方向通信パケットを受信した際は、開始方向セッションテーブルT−2のセッションエントリはまだ存在しない。この場合、開始方向セッションテーブルT−2の検索の結果(ステップS102)、セッションエントリ無しと判断される(ステップS103でノー)。セッションエントリ無しの開始方向通信パケットは、ソフトウェアプロセスのセッションマネージャプロセスC−1に渡され、開始方向通信パケットであるためにセッションの開設を行う必要がある。
【0080】
セッションマネージャプロセスC−1は、開始方向通信パケットについて開始方向セッションテーブルT−2のセッションエントリを作成する。
【0081】
詳しくは、セッションマネージャプロセスC−1は、動的NAT/NAPT機能が適用される場合(ステップS111でイエス)、NAT/NAPTマネージャプロセスC−2と連携してネットワークアドレス/ポートを割り当てる(ステップS112)。
【0082】
次に、セッションマネージャプロセスC−1は、動的パケットフィルタ機能が適用される場合(ステップS113でイエス)、動的パケットフィルタマネージャプロセスC−5と連携してステート監視制御を行う(ステップS114)。
【0083】
続いて、セッションマネージャプロセスC−1は、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1を変換後(ステップS117)、開始方向ACLルックアッププロセスC−3および戻り方向ACLルックアッププロセスC−4と連携して開始方向ACLT−3および戻り方向ACLT−4を検索して、開始方向通信用セッションおよび戻り方向用セッションを開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1に登録する(ステップS115およびステップS116)。この際、戻り方向ACLT−4の検索を変換前の形で実行し、その結果を戻り方向セッションテーブルT−1へ反映する。ただし、戻り方向通信で拒否されるパケットについては、セッションを登録しないことにする。
【0084】
最初の開始方向通信パケットが処理されると、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1のセッションエントリが登録され、次の開始方向パケットからは開始方向セッションテーブルT−2のセッションエントリ有りと判断され(ステップS103でイエス)、ハードウェアによる転送が行われる。
【0085】
詳しくは、開始方向セッションルックアップ部B−3は、開始方向セッションテーブルT−2より動的NAT/NAPT情報を取得し(ステップS104)、動的NAT/NAPT機能の対象であれば(ステップS105でイエス)、動的NAT/NAPT情報のエディット処理を行う(ステップS106)。
【0086】
次に、開始方向動的パケットフィルタ部B−4は、開始方向セッションテーブルT−2よりステート情報を取得し(ステップS107)、動的パケットフィルタ対象であれば(S108でイエス)、ステートチェックおよび更新処理を行う(ステップS109)。
【0087】
この後、開始方向動的NAT/NAPT部B−5は、開始方向通信パケットを送信する(ステップS110)。
【0088】
一方、戻り方向通信パケットに関しては、あらかじめ戻り方向ACLT−4の検索等が先頭の開始方向通信パケットに関して完了しているので、その結果が反映された戻り方向セッションテーブルT−1を検索するのみで処理を行うことが可能となる。
【0089】
詳しくは、戻り方向通信パケットがあると、戻り方向セッションルックアップ部A−1は、戻り方向ACLT−4を検索し(ステップS201)、戻り方向セッションテーブルT−1を検索し(ステップS202)、セッションエントリがなければ(ステップS203でノー)、戻り方向通信パケットを拒否する(ステップS204)。
【0090】
セッションエントリがあれば(ステップS203でイエス)、戻り方向動的NAT/NAPT部A−1は、戻り方向セッションテーブルT−1より動的NAT/NAPT情報を取得し(ステップS204)、動的NAT/NAPT機能の対象であれば(ステップS205でイエス)、動的NAT/NAPT情報のエディット処理を行う(ステップS206)。
【0091】
次に、戻り方向動的パケットフィルタ部A−3は、戻り方向セッションテーブルT−1よりステート情報を取得し(ステップS209)、動的パケットフィルタ対象であれば(S210でイエス)、ステートチェックおよび更新処理を行う(ステップS211)。
【0092】
その後、戻り方向ルータ部A−4は、戻り方向通信パケットの転送先を解決し、戻り方向通信パケットを転送する(ステップS212)。
【0093】
第1の実施の形態によれば、戻り方向通信パケットの変換後、ACL検索により動的NAT/NAPT変換後のフローの転送先(Destination)と転送元(Source)とを反転した形で戻り、インタフェースのACLを検索して、その結果を戻り方向セッションテーブルT−1に登録しておく。このため、戻り方向通信パケットでは、戻り方向セッションテーブルT−1でヒットしたならば、戻りACLT−4を検索する必要がなくなる。
【0094】
また、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1の作成時に戻り方向通信を予測し評価して戻り方向ACLT−4等の検索処理を実行しているので、戻り方向通信に対するハードウェアによるパケット処理としては戻り方向セッションテーブルT−1の検索処理のみに負荷を低減できる。これにより、戻り方向通信パケットの処理においては、戻り方向動的NAT/NAPT部A−2での変換後の戻り方向ACLT−4の検索処理を削減することができるため、ハードウェアによるパケット転送能力を向上することが可能である。
【0095】
さらに、戻り方向セッションテーブルT−1の生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能としている。例えば、セキュリティゲートウェイルータ装置のインタフェースが#1〜#6まである場合、外部インタフェースが#1,#2で、LAN側インタフェースが#3,#4で、DMZ(DeMilitarized Zone)側インタフェースが#5,#6であったとすると、これらを種別ごとにグルーピングする。すなわち、グループ#1(インタフェース#1,#2),グループ#2(インタフェース#3,#4),グループ#3(インタフェース#5,#6)というようにする。
【0096】
また、インタフェースをインタフェースグループとして管理しているので、開始方向通信の送信インタフェース以外のインタフェースから戻ってきた戻り方向通信パケットであってもインタフェースグループが同一ならば処理可能となり、外部インタフェースを複数定義できる。ここで、企業ネットワークのエッジに置かれファイアウォールとして利用されることを想定すると、外部インタフェースは、企業からインターネットへ接続するインタフェース(回線)を指す。現在では、PPPoE(Point−to−Point Protocol over Ethernet(登録商標))やFTTH(Fiber To The Home)が主流と考えられる。
【0097】
[第2の実施の形態]
図4を参照すると、本発明の第2の実施の形態に係るセキュリティゲートウェイルータ装置は、図1に示した第1の実施の形態に係るセキュリティゲートウェイルータ装置に対して、ソフトウェアプロセスとしてルーティングプロセスC−6を追加した構成となっている。したがって、対応する部分には同一符号を付してそれらの詳しい説明を省略する。
【0098】
第2の実施の形態に係るセキュリティゲートウェイルータ装置では、さらにルーティング検索についてもあらかじめ行うことにより、戻り方向ルータ部A−4におけるルーティング検索処理も削減している。ルーティングプロセスC−6は、転送先を解決するソフトウェアプロセスであり、戻り方向ルータ部A−4と同等の動作をソフトウェアで行うものである。
【0099】
本発明の第2の実施の形態として、その基本的構成は上記の通りであるが、動的NAT/NAPTと同時に動作するのが、動的パケットフィルタだけでなく、ポリシールーティング,QoSクラス識別,IPsecポリシー検索といったようにパケットヘッダにより検索が必要となる機能であれば効果がある。
【0100】
セッションマネージャプロセスC−1は、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1を変換後(ステップS117)、ルーティングプロセスC−6と連携して戻り方向通信に対するルーティングテーブル(図示せず)を検索して転送先情報も戻り方向セッションテーブルT−1に関連付ける。詳しくは、開始方向のフローがわかれば、戻り方向のフローがわかるので、開始方向通信パケットを送信する際に、あらかじめ戻り方向のフロー(ソースとディスティネーションとを反転)で戻り方向通信パケットを受信するインタフェース(WANへ出て行った場合はWANインタフェース)に適用されている戻り方向ACLT−4を検索する。戻り方向ACLT−4の検索にてフィルタ結果が得られた場合は、その結果を戻り方向セッションテーブルT−1にリンクさせる。動的NAT/NAPT処理も同様にリンクさせる。さらに、ポリシールーティングのACLや、ルーティングテーブルを検索することにより、転送先インタフェースの情報を得ておき、これも戻り方向セッションテーブルT−1にリンクさせておく。ルーティングテーブルから得られるのは、転送先インタフェース(戻り方向ルータ部A−4のインタフェース)になる。
【0101】
この後、セッションマネージャプロセスC−1は、開始方向ACLルックアッププロセスC−3および戻り方向ACLルックアッププロセスC−4と連携して開始方向ACLT−3および戻り方向ACLT−4を検索して、開始方向通信用セッションおよび戻り方向用セッションを開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1に登録する(ステップS115およびステップS116)。
【0102】
次に、このように構成された第2の実施の形態に係るセキュリティゲートウェイルータ装置の動作について、第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作との相違する点を中心に、図5に示すフローチャートを参照しながら簡単に説明する。
【0103】
第2の実施の形態によれば、開始方向通信パケットが到着し、セッションエントリを生成して開始方向セッションテーブルT−2に登録する際に、戻り方向ACLT−4のみでなく戻り方向通信に対するルーティングテーブル(図示せず)を検索し転送先情報も戻り方向セッションテーブルT−1に関連付けておくことにより、戻り方向ルータ部A−4での転送先検索処理を削減でき、ハードウェアがパケット毎に行う処理負荷を低減できるという効果が得られる。
【0104】
【発明の効果】
以上説明したように、本発明においては、以下のような効果を奏する。
【0105】
第1の効果は、セッションテーブル作成時に戻り方向通信を予測し評価してACL等の検索処理を実行しているので、戻り方向通信に対するハードウェアによるパケット処理としてはセッションテーブル検索処理のみに負荷を低減できることである。
【0106】
第2の効果は、インタフェースをインタフェースグループとして管理しているので、開始方向通信の送信インタフェース以外のインタフェースから戻ってきたパケットであってもグループが同一ならば処理可能となり、外部インタフェースを複数定義できることである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図2】図1中の戻り方向セッションテーブルおよび開始方向セッションテーブルのセッション情報およびそれにリンクされたNAT/NAPTアクショテーブル等を示す図である。
【図3】第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【図4】本発明の第2の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図5】第2の実施の形態に係るセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【図6】従来のセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図7】従来のセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【符号の説明】
A−1 戻り方向セッションルックアップ部
A−2 戻り方向動的NAT/NAPT部
A−3 動的パケットフィルタ部
A−4 戻り方向ルータ部
B−1 開始方向ルータ部
B−2 開始方向パケットフィルタ部
B−3 開始方向セッションルックアップ部
B−4 開始方向動的パケットフィルタ部
B−5 開始方向動的NAT/NAPT部
C−1 セッションマネージャプロセス
C−2 NAT/NAPTマネージャプロセス
C−3 ACLルックアッププロセス
C−4 ACLルックアッププロセス
C−5 動的パケットフィルタマネージャプロセス
C−6 ルーティングプロセス
T−1 戻り方向セッションテーブル
T−2 開始方向セッションテーブル
T−3 開始方向ACL
T−4 戻り方向ACL[0001]
The present invention relates to a security gateway router apparatus and a session table management method, and more particularly to a security gateway router apparatus that implements a dynamic NAT / NAPT (Network Address Translation / Network Address Port Translation) function and a dynamic packet filter function using a session table, and The present invention relates to a session table management method.
[0002]
[Prior art]
In a security gateway router device deployed between an internal network such as a LAN (Local Area Network) and an external network such as a WAN (Wide Area Network) in an IP (Internet Protocol) network, a dynamic packet filter function (firewall function) ), A dynamic NAT / NAPT (network address / port conversion) function, a load balance (load distribution) function, and the like are required at the same time.
[0003]
Conventionally, these functions are realized by using each session table (table for managing communication at the
[0004]
FIG. 6 is a block diagram showing an example of a conventional security gateway router device. This security gateway router device includes a return direction dynamic NAT / NAPT unit D-1, a return direction ACL (ACCESS Control List) D-2, a return direction dynamic packet filter unit D-3, and a return direction. Router unit D-4, start direction router unit E-1, start direction dynamic packet filter unit E-2, start direction ACL lookup unit E-3, and start direction dynamic NAT / NAPT unit E-4 A NAT / NAPT session manager process F-1, a dynamic filter session manager process F-2, a return direction NAT / NAPT session table U-1, a return direction ACLU-2, and a return direction filter session table U-. 3, start direction filter session table U-5, start direction ACLU-6, start And a direction NAT / NAPT session table U-7 Prefecture.
[0005]
Next, the operation of this conventional security gateway router device will be described with reference to the flowchart of FIG.
[0006]
The start direction router unit E-1 resolves the transfer destination of the start direction communication packet. The communication session is transferred to the transmitting side process by the start direction router unit E-1.
[0007]
Next, the start direction dynamic packet filter unit E-2 searches the start direction filter session table U-5 (step S102), and determines whether or not the start direction communication packet can pass. Here, when the first packet of the communication session is received, there is no session entry in the start direction filter session table U-5. In this case, the start direction dynamic packet filter unit E-2 determines that there is no session entry as a result of the search of the start direction session table U-2 (No in step S103), and hands over the packet process to the software process. Specifically, the dynamic packet filter session manager process F-2 takes over the packet processing.
[0008]
When the dynamic packet filter function is applied (Yes in Step S113), the dynamic packet filter session manager process F-2 performs state monitoring control (Step S114).
[0009]
Next, the dynamic packet filter session manager process F-2 generates a return direction filter session table U-3 by predicting and evaluating the start direction filter session table U-5 and the return direction communication to generate a session entry. Registration is performed (step S115 and step S116). Here, the return direction communication packet is obtained by reversing the transfer destination (Destination) and transfer source (Source) of the IP header and L4 header of the start direction communication packet. For example, the header of the start direction communication packet is IPDA (Internet Protocol Destination Address) = B, IPSA (Internet Protocol Source Address) = a, Protocol = TCP, L4DP (
[0010]
Next, the start direction ACL lookup unit E-3 searches for the start direction ACLU-6 and determines whether or not the first start direction communication packet can be transmitted (step S101). (The processing may be performed before the dynamic packet filter unit E-2).
[0011]
Subsequently, the start direction dynamic NAT / NAPT unit E-4 performs dynamic NAT / NAPT processing on the start direction communication packet that can be transmitted as necessary. Since the network address / port is not assigned to the first start direction communication packet, there is no session entry in the start direction NAT / NAPT session table U-7 (No in step S103). At this time, the start direction dynamic NAT / NAPT unit E-4 hands over the processing to the NAT / NAPT session manager process F-1, which is a software process, in the same procedure as the start direction dynamic packet filter unit E-2.
[0012]
If the NAT / NAPT session manager process F-1 is a target of the dynamic NAT / NAPT function (Yes in Step S111), the network address / port allocation is performed (Step S112).
[0013]
Next, the NAT / NAPT session manager process F-1 generates a start direction NAT / NAPT session table U-7 and a return direction NAT / NAPT session table U-1, and registers a session entry (Step S115 and Step S116). ). Since IPSA and L4SP are converted for the start direction communication packet, the start direction NAT / NAPT session table U-7 has IPDA = B, IPSA = a, Protocol = TCP, L4DP = d, L4SP = c. It is registered with. At this time, the start direction NAT / NAPT session table U-7 is set so that the NAT / NAPT processing instruction of the start direction communication packet can be retrieved. The hardware searches the start direction NAT / NAPT session table U-7 to perform network address / port conversion. Further, since the return direction communication packet is a return for global-based communication, IPDA = A, IPSA = B, Protocol = TCP, L4DP = c, L4SP = d, and from the return direction NAT / NAPT session table U-1. NAT / NAPT designation is made for the return direction communication packet.
[0014]
When the first start direction communication packet is processed, the start direction filter session table U-5 and the start direction NAT / NAPT session table U-7, and the return direction NAT / NAPT session table U-1 and the return direction filter session table U -3 is registered, it is determined that there are session entries in the start direction filter session table U-5 and the start direction NAT / NAPT session table U-7 from the next start direction communication packet (Yes in step S103). Transfer by hardware is performed.
[0015]
Specifically, the start direction dynamic NAT / NAPT unit E-4 obtains dynamic NAT / NAPT information from the start direction NAT / NAPT session table U-7 (step S104), and the dynamic NAT / NAPT function is the target. If there is (Yes in Step S105), dynamic NAT / NAPT editing processing is performed (Step S106).
[0016]
Next, the start direction dynamic packet filter unit E-2 acquires state information from the start direction filter session table U-5 (step S107), and if it is a dynamic packet filter target (Yes in S108), the state check And an update process is performed (step S109).
[0017]
Thereafter, the start direction dynamic NAT / NAPT unit E-4 transmits a start direction communication packet (step S110).
[0018]
On the other hand, for the return direction communication packet, first, the return direction ACL lookup unit D-2 searches for the return direction ACLU-2 on a global address basis (step S201). The return direction ACLU-2 is searched for the return direction communication packet on the global address base (packet information at the time of reception) before the return direction dynamic NAT / NAPT unit D-1.
[0019]
If there is no session entry in the return direction NAT / NATP session table U-1 in the return direction communication packet (No in step S203), the return direction dynamic NAT / NAPT unit D-1 rejects this return direction communication packet. (Step S204).
[0020]
Next, the return direction dynamic NAT / NAPT unit D-1 performs network address / port conversion on the return direction communication packet. Since the session entry of the return direction NAT / NAPT session table U-1 is registered when the start direction communication packet is transmitted (Yes in step S203), the return direction NAT / NAPT session table U-1 is searched. The action of the return direction dynamic NAT / NAPT unit D-1 is solved. When the return direction NAT / NAPT session table U-1 is searched, a registered session entry is hit at the start of communication. Here, the network address / port assigned for the start direction communication is also set for the return direction communication. Specifically, NAT / NAPT execution, translation address, and translation port are set in the action table.
[0021]
If there is a session entry in the return direction NAT / NATP session table U-1 (Yes in step S203), the return direction dynamic NAT / NAPT unit D-1 performs network address / port conversion on the return direction communication packet.
[0022]
Specifically, the return direction dynamic NAT / NAPT unit D-1 acquires dynamic NAT / NAPT information from the return direction session table U-1 (step S205), and if it is a target of dynamic NAT / NAPT (step S205). Dynamic NAT / NAPT edit processing is performed (Yes in S206).
[0023]
Next, the return direction ACL lookup unit D-2 performs a search for the return direction ACLU-2 in a form converted into a private address (step S208). At this time, since the search for the return direction ACLU-2 is used for policy routing, QoS (Quality of Service) class identification, etc., it is necessary to search for the return direction ACLU-2 on a private address basis.
[0024]
Subsequently, the return direction dynamic packet filter unit D-3 obtains the state information from the return direction filter session table U-3 (step S209), and if it is the target of the dynamic packet filter (Yes in S210), the state check And an update process is performed (step S211).
[0025]
Thereafter, the return direction router unit D-4 resolves the transfer destination and transfers the return direction communication packet (step S212).
[0026]
As for the return direction communication packet, since the search of the return direction ACLU-4 and the like have been completed in advance for the first start direction communication packet, only the return direction NAT / NAPT session table U-1 reflecting the result is searched. Can be processed.
[0027]
[Problems to be solved by the invention]
However, the above-described conventional security gateway router device has the following problems when considering implementation by hardware.
[0028]
The first problem is that since two session tables, that is, a return direction NAT / NAPT session table and a return direction filter session table, are used, the number of times the session table is searched is reduced, resulting in a decrease in processing performance. It is.
[0029]
The second problem is that, in addition to the search of the session table for the return direction communication having the dynamic NAT / NAPT function, the return direction ACL search process for the return direction communication packet is required for all the return direction communication packets. Is high.
[0030]
The third problem is that only return from the same interface is permitted for return direction communication of the dynamic NAT / NAPT function and the dynamic packet filter function. Here, the interface means an external interface (physical line, logical line) of a communication device such as a router.
[0031]
An object of the present invention is to provide a security gateway router device that improves processing performance after session establishment.
[0032]
Another object of the present invention is to provide a security gateway router device that allows return direction communication packets from a plurality of interfaces.
[0033]
[Means for Solving the Problems]
The security gateway router apparatus of the present invention searches a return direction ACL when generating a start direction session table in a security gateway router apparatus that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table, and returns the return direction. A start direction session lookup unit for determining whether or not a session table can be generated, the return direction session table and the start direction session table for a new session, and the return direction session table and the start direction session table for an end session. A session manager process to be deleted, a start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process, and the session A return direction ACL lookup process that searches the return direction ACL in cooperation with the manager process, and a return direction session look that searches the return direction session table for return direction communication packets and obtains information associated with the session entry. And an up portion.
[0034]
The security gateway router device of the present invention searches the return direction ACL when the start direction session table is generated in the security gateway router device that implements the dynamic NAT / NAPT function and the dynamic packet filter function using the session table. A start direction session lookup unit for determining whether or not to generate a return direction session table; and generating the return direction session table and the start direction session table for a new session, and generating the return direction session table and the start direction session for an end session A session manager process for deleting a table; a start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process; A return direction ACL lookup process for searching for a return direction ACL in cooperation with a session manager process, a routing process for solving a transfer destination of a return direction communication packet in cooperation with the session manager process, and a return direction for the return direction communication packet It is characterized by having a return direction session lookup unit that searches the session table and obtains information accompanying it when there is a session entry.
[0035]
Furthermore, the security gateway router device of the present invention includes a start direction router unit that resolves a transfer destination of the start direction communication packet, a start direction ACL lookup unit that searches the start direction ACL for the start direction communication packet, and a start direction communication packet. A start direction session lookup unit that searches the start direction session table for the session direction and obtains accompanying information when there is a session entry, a start direction dynamic packet filter unit that determines whether or not the start direction communication packet can pass, and a start A start direction dynamic NAT / NAPT unit that dynamically performs network address / port conversion for the direction communication packet, and generates the return direction session table and the start direction session table for a new session, and the return direction for an end session A session manager process that deletes the session table and the start direction session table, a NAT / NAPT manager process that performs network address / port assignment in cooperation with the session manager process, and a start direction ACL in cooperation with the session manager process A start direction ACL lookup process for searching for a return direction, a return direction ACL lookup process for searching for a return direction ACL in cooperation with the session manager process, and a determination as to whether or not a return direction communication packet can be passed in cooperation with the session manager process. Dynamic packet filter manager process to perform and search the return direction session table for return direction communication packets, and if there is a session entry, obtain the accompanying information A return direction session lookup unit, a return direction dynamic NAT / NAPT unit that performs network address / port conversion on a return direction communication packet based on information obtained by searching the return direction session table, and the return direction session A return direction dynamic packet filter that determines whether or not a return direction communication packet can pass based on information obtained by searching the table; and a return direction communication packet based on information obtained by searching the return direction session table. And a return direction router for resolving the transfer destination.
[0036]
Furthermore, the security gateway router device of the present invention includes a start direction router unit that resolves a transfer destination of the start direction communication packet, a start direction ACL lookup unit that searches the start direction ACL for the start direction communication packet, and a start direction communication packet. A start direction session lookup unit that searches the start direction session table for the session direction and obtains accompanying information when there is a session entry, a start direction dynamic packet filter unit that determines whether or not the start direction communication packet can pass, and a start A start direction dynamic NAT / NAPT section for assigning a network address / port for a direction communication packet, and generating the return direction session table and the start direction session table for a new session, and the return direction for an end session A session manager process that deletes the session table and the start direction session table, a NAT / NAPT manager process that allocates a network address / port in cooperation with the session manager process, and a start direction in cooperation with the session manager process A start direction ACL lookup process for searching for an ACL, a return direction ACL lookup process for searching for a return direction ACL in cooperation with the session manager process, and whether or not a return direction communication packet can be passed in cooperation with the session manager process. A dynamic packet filter manager process for determining; a routing process for resolving a transfer destination of a return direction communication packet in cooperation with the session manager process; and the return direction A return direction dynamic NAT / NAPT unit that performs network address / port conversion on a return direction communication packet based on information obtained by searching the session table, and information obtained by searching the return direction session table. A return direction dynamic packet filter unit that determines whether or not a return direction communication packet can pass; and a return direction router unit that resolves a transfer destination of the return direction communication packet based on information obtained by searching the return direction session table. It is characterized by having.
[0037]
Furthermore, the security gateway router device of the present invention is characterized in that the return direction session table holds IPDA, IPSA, protocol, L4DP and L4SP as session entries and links a NAT / NAPT action table. .
[0038]
Further, the security gateway router device of the present invention defines an interface group capable of managing a plurality of external interfaces for which return direction communication is predicted and evaluated at the time of generating the return direction session table. It is possible to manage directional communication packets.
[0039]
On the other hand, the session table management method of the present invention is started by a session lookup unit in the start direction in the session table management method for a security gateway router device that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table. A step of searching for a return direction ACL when generating a direction session table to determine whether or not to generate a return direction session table; and generating a return direction session table and a start direction session table for a new session by a session manager process; Deleting the return direction session table and the start direction session table with respect to the start direction ACL lookup profile in cooperation with the session manager process. A search for a start direction ACL by a session, a step of searching for a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process, and a return direction session for a return direction communication packet by a return direction session lookup unit. And a step of searching the table and acquiring information accompanying it when there is a session entry.
[0040]
In addition, the session table management method of the present invention is started by the start direction session lookup unit in the session table management method of the security gateway router device that implements the dynamic NAT / NAPT function and the dynamic packet filter function using the session table. A step of searching for a return direction ACL when generating a direction session table to determine whether or not to generate a return direction session table; and generating a return direction session table and a start direction session table for a new session by a session manager process; Deleting the return direction session table and the start direction session table with respect to the session manager process by a start direction ACL lookup process. Searching for the start direction ACL in cooperation with the session manager process, searching for the return direction ACL in cooperation with the session manager process by a return direction ACL lookup process, and return direction by the routing process in cooperation with the session manager process Including a step of resolving the transfer destination of the communication packet, and a step of searching the return direction session table for the return direction communication packet by the return direction session lookup unit and acquiring the accompanying information when there is a session entry. Features.
[0041]
Further, the session table management method of the present invention includes a step of resolving a transfer destination of the start direction communication packet by the start direction router unit, a step of searching the start direction ACL for the start direction communication packet by the start direction ACL lookup unit, Searching the start direction session table for the start direction communication packet by the start direction session lookup unit and obtaining the accompanying information if there is a session entry, and passing the start direction communication packet by the start direction dynamic packet filter unit Determining whether it is possible, dynamically performing network address / port conversion on the start direction communication packet by the start direction dynamic NAT / NAPT unit, and the return direction session table and the new session by the session manager process. Creating the start direction session table, deleting the return direction session table and the start direction session table for the end session, and performing network address / port assignment by the NAT / NAPT manager process in cooperation with the session manager process Searching for a start direction ACL by a start direction ACL lookup process in cooperation with the session manager process; and searching for a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process; Determining whether or not a return direction communication packet can be passed by a dynamic packet filter manager process in cooperation with the session manager process; and a return direction session look-up The search section searches the return direction communication packet for the return direction communication packet and if there is a session entry, obtains the accompanying information, and the return direction dynamic NAT / NAPT section obtains it by searching the return direction session table. A step of performing network address / port conversion on the return direction communication packet based on the received information, and passing of the return direction communication packet based on the information obtained by searching the return direction session table by the return direction dynamic packet filter unit And a step of resolving a transfer destination of the return direction communication packet based on information obtained by searching the return direction session table by the return direction router unit.
[0042]
Furthermore, the session table management method of the present invention includes a step of resolving a transfer destination of the start direction communication packet by the start direction router unit, and a step of searching the start direction ACL for the start direction communication packet by the start direction ACL lookup unit. , A process of searching the start direction session table for the start direction communication packet by the start direction session lookup unit and acquiring the accompanying information when there is a session entry, and the start direction communication packet of the start direction communication packet by the start direction dynamic packet filter unit A step of determining passability, a step of assigning a network address / port for a start direction communication packet by a start direction dynamic NAT / NAPT unit, and the return direction session table for a new session by a session manager process And generating the start direction session table, deleting the return direction session table and the start direction session table for the end session, and assigning a network address / port by the NAT / NAPT manager process in cooperation with the session manager process , Searching for a start direction ACL by a start direction ACL lookup process in cooperation with the session manager process, and searching for a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process. Determining whether a return direction communication packet is allowed to pass by a dynamic packet filter manager process in cooperation with the session manager process; and A return direction communication packet based on information obtained by searching the return direction session table by a return direction dynamic NAT / NAPT unit and resolving a transfer destination of the return direction communication packet by a routing process in cooperation with the host process. A step of performing network address / port conversion, a step of determining whether or not a return direction communication packet can pass based on information obtained by searching the return direction session table by a return direction dynamic packet filter unit, and a return direction router unit And resolving the transfer destination of the return direction communication packet based on the information obtained by searching the return direction session table.
[0043]
Also, the session table management method of the present invention is characterized in that the return direction session table holds IPDA, IPSA, protocol, L4DP and L4SP as session entries and links a NAT / NAPT action table.
[0044]
Furthermore, the session table management method of the present invention defines an interface group capable of managing a plurality of external interfaces for which return direction communication is predicted and evaluated at the time of generating the return direction session table. It is possible to manage directional communication packets.
[0045]
The security gateway router device of the present invention searches for the return direction ACL in advance when generating and registering a session table used for dynamic NAT / NAPT, dynamic packet filter, etc. It is characterized in that a table is not generated and search processing in the return direction ACL can be reduced. Furthermore, there is a feature that it is possible to control return direction communication from a plurality of interfaces by grouping interfaces at the time of session table search and managing using interface group IDs. Specifically, when an interface number is included in the session table search key, a session entry is found only when receiving from the interface. In this case, return direction communication can be permitted only from the interface represented by the interface number. Here, the interface is grouped and an interface group ID is assigned. If this interface group ID is assigned instead of the interface number, the one received from the interface belonging to the group is hit.
[0046]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0047]
[First Embodiment]
FIG. 1 is a block diagram showing a configuration of a security gateway router apparatus according to the first embodiment of the present invention. The security gateway router device according to the present embodiment includes a return direction session lookup unit A-1, a return direction dynamic NAT / NAPT unit A-2, a return direction dynamic packet filter unit A-3, and a return direction. Router unit A-4, Start direction router unit B-1, Start direction ACL lookup unit B-2, Start direction session lookup unit B-3, Start direction dynamic packet filter unit B-4, Start direction dynamic NAT / NAPT unit B-5, session manager process C-1, NAT / NAPT manager process C-2, start direction ACL lookup process C-3, and return direction ACL lookup process C- 4, dynamic packet filter manager process C-5, return direction session table T-1, and start direction session table And Le T-2, the start direction ACLT-3, and a return direction ACLT-4 Prefecture.
[0048]
The reception interface (or interface group) of the start direction communication packet is defined as an internal network for start direction communication when applying the dynamic NAT / NAPT function or the dynamic packet filter function. Also, the transmission interface (or interface group) of the start direction communication packet is defined as an external network.
[0049]
The security gateway router device has a function of switching packets at the IP layer. Further, the security gateway router device generally has a static packet filter function, and it is generally possible to set whether or not a packet can be passed by setting an ACL. The static packet filter function is a function in which a user specifies a packet flow in advance and designates whether or not to pass. On the other hand, the dynamic packet filter function is a function that dynamically filters a certain trigger packet (starting direction communication packet). Even if it is rejected by the static packet filter function, the packet is allowed to pass if it is permitted by the dynamic packet filter function. Further, even if the packet is permitted by the static packet filter function, if the packet is rejected by the dynamic packet filter function, the passage of the packet is rejected. That is, the dynamic packet filter function has a priority over the static packet filter function.
[0050]
The static packet filter function by ACL can be set to two types for a start direction communication packet and for a return direction communication packet. Furthermore, the start direction ACLT-3 and the return direction ACLT-4 are used not only for packet filtering but also for policy routing, QoS class identification, and IPsec policy identification.
[0051]
The return direction session table T-1 is a table for processing a return direction communication session for the start direction communication session. At the same time when the first start direction communication packet is transferred to the external network, a session entry of the return direction session table T-1 is generated.
[0052]
Referring to FIG. 2, a NAT / NAPT action table is obtained by searching the return direction session table T-1 with session information (IPDA, IPSA, Protocol, L4, etc.). This may be either the case where the pointer is pointed from the return direction session table T-1 or the case where it is included in the return direction session table T-1. Here, it is assumed that a NAT / NAPT action table is included in the return direction session table T-1. In the NAT / NAPT operation setting, a NAT or NAPT processing instruction, an address to be converted, and port information are set. In the start direction communication NAT, the transfer source is NATed.
[0053]
The start direction session table T-2 is a table for processing start direction communication packets. It is generated when the first start direction communication packet is permitted and transferred from the internal network to the external network. The start direction session table T-2 has the same configuration as the return direction session table T-1 (see FIG. 2).
[0054]
The start direction router unit B-1 is a functional block that executes routing of the start direction communication packet (solves the transfer destination).
[0055]
The start direction ACL lookup unit B-2 is a functional block that searches the start direction ACLT-3 for rules set by the user, such as a policy for determining whether or not the start direction communication packet can pass and a policy for applying dynamic NAT / NAPT. is there.
[0056]
The start direction session lookup unit B-3 searches the start direction session table T-2 to determine whether there is a session entry in order to determine whether or not the start direction communication packet can be passed. It is a functional block that acquires information associated therewith. The presence or absence of a session entry is evaluated in the start direction session table T-2. If there is a session entry, the filter action table (operation setting table) and the NAT / NAPT action table (operation setting) are started from the start direction session table T-2. Table) is linked. Here, a table including these is referred to as a start direction session table T-2. The session table search key is session information (IPDA, IPSA, Protocol, L4SP, L4DP, etc.), and information obtained therefrom is NAT operation and filter operation setting. Specifically, the NAT / NAPT action table includes an action code, a conversion address, and a conversion port. The action code is set to NAT, NAPT, or NAT / NAPT. In the translation address, the IPSA is rewritten to the address set here on the transmission side to the WAN, and the IPDA is rewritten to the address set here on the reception side from the WAN. The conversion port is valid at the time of NAPT / NAPT. On the transmission side to WAN, L4SP is rewritten to the port number set here, and on the reception side from WAN, L4DP (
[0057]
The start direction dynamic packet filter unit B-4 dynamically determines whether or not the start direction communication packet can be passed based on information obtained by searching the start direction session table T-2 for the start direction communication packet. It is a block.
[0058]
The start direction dynamic NAT / NAPT unit B-5 is a functional block that dynamically performs network address / port conversion based on information obtained by searching the start direction session table T-2.
[0059]
The return direction session lookup unit A-1 searches the return direction session table T-1 for the return direction communication packet to determine the presence or absence of a session entry, and if there is a session entry, obtains information associated therewith. It is.
[0060]
The return direction dynamic NAT / NAPT unit A-2 performs dynamic NAT / NAPT processing (network address / port conversion) based on information obtained by searching the return direction session table T-1 for the return direction communication packet. This is a functional block to be performed.
[0061]
The return direction dynamic packet filter unit A-3 is a functional block that dynamically determines whether or not the return direction communication packet can pass based on information obtained by searching the return direction session table T-1 for the return direction communication packet. is there.
[0062]
The return direction router unit A-4 is a functional block that resolves the transfer destination of the return direction communication packet.
[0063]
The session manager process C-1 generates a return direction session table T-1 and a start direction session table T-2 with respect to the new session, and a return direction session table T-1 and a start direction session table T-2 with respect to the end session. Is a software process that deletes When receiving the first start direction communication packet, a session table generation request is sent from the hardware. The session manager process C-1 includes a NAT / NAPT manager process C-2, a start direction ACL lookup process C-3, a return direction ACL lookup process C-4, and a dynamic packet filter manager process C-5. Works in conjunction.
[0064]
The NAT / NAPT manager process C-2 is a software process that performs network address / port assignment of the return direction dynamic NAT / NAPT unit A-2.
[0065]
The start direction ACL lookup process C-3 is a software process that performs packet filtering based on the start direction ACLT-3 for the start direction communication packet. (However, this is not necessary if the start side hardware supports the function.)
[0066]
The return direction ACL lookup process C-4 performs a flow search for the return direction communication packet for the start direction communication packet, such as a packet filter, policy routing, QoS policy, IPsec (IP Security Protocol) policy based on the return direction ACLT-4. It is a software process. (Needed even if the return side hardware supports the function.)
[0067]
The dynamic packet filter manager process C-5 is a software process for managing the return direction dynamic packet filter unit A-3 and the start direction dynamic packet filter unit B-4.
[0068]
The configuration of the security gateway router apparatus according to the first embodiment has been described above. The NAT / NAPT function, the dynamic packet filter function, the policy routing function, the router function, and the ACL search are well known to those skilled in the art. In addition, since it is not directly related to the present invention, detailed description thereof is omitted.
[0069]
Next, the operation of the security gateway router apparatus according to the first embodiment configured as described above will be described with reference to the flowchart shown in FIG. Here, the operation when a session with NAT / NAPT is established will be described.
[0070]
In the initial state, there are no session entries in the start direction session table T-1 and the return direction session table T-2.
[0071]
The start direction router part open B-1 resolves the transfer destination of the start direction communication packet.
[0072]
Next, the start direction ACL lookup unit B-2 searches for the start direction ACLT-3 and determines whether or not the first start direction communication packet can be transmitted.
[0073]
First, when the start direction communication packet is received, the start direction session lookup unit B-3 searches the start direction session table T-2 to determine that there is no session entry, and from the hardware process to the session manager process of the software process. Deliver the start direction communication packet processing to C-1.
[0074]
The session manager process C-1 requests each software process to process the start direction communication packet so that the start direction ACLT-3 can perform evaluation, network address / port assignment, and pass / fail judgment. The session manager process C-1 receives the processing result and determines whether it is necessary to generate a session table.
[0075]
In addition, the session manager process C-1 evaluates the return direction ACLT-4 applied to the interface that should receive the return direction communication packet in the form of the expected return direction communication, and only if permitted, the return direction session table. T-1 is generated. Here, “interface to be received” indicates a logical reception line of the security gateway router device. This is an external interface, and in a line such as Ethernet (registered trademark), POS (Packet Over Sonet), ATM (Asynchronous Transfer Mode), etc., a logical line such as a physical line, VC (Virtual Channel), or VLAN (Virtual LAN). Indicates a line.
[0076]
Even in the combined use with the return direction dynamic NAT / NAPT unit A-2, the return direction communication is predicted and evaluated in the form (internal address base) when the start direction communication packet is received. Since the return direction ACLT-4 is used for policy routing, IPsec policy resolution, etc. in addition to the IP packet filter, by performing these processes only on the first packet of the start direction communication, the return direction thereafter There is no need to search the return direction ACLT-4 for the communication packet.
[0077]
First, when the dynamic NAT / NAPT function is applied, the direction in which communication is started is the direction in which the private network transmits to the global network. The start direction dynamic NAT / NAPT unit B-5 shares and uses a finite global address by assigning a network address / port when a session is started.
[0078]
Here, a session entry registration method for the start direction session table T-2 and the return direction session table T-1 will be described with reference to the flowchart of FIG.
[0079]
When the first start direction communication packet is received, there is no session entry in the start direction session table T-2 yet. In this case, as a result of the search of the start direction session table T-2 (Step S102), it is determined that there is no session entry (No in Step S103). The start direction communication packet without a session entry is passed to the session manager process C-1 of the software process, and since it is a start direction communication packet, it is necessary to open a session.
[0080]
Session manager process C-1 creates a session entry in start direction session table T-2 for the start direction communication packet.
[0081]
Specifically, when the dynamic NAT / NAPT function is applied (Yes in step S111), the session manager process C-1 allocates a network address / port in cooperation with the NAT / NAPT manager process C-2 (step S112). ).
[0082]
Next, when the dynamic packet filter function is applied (Yes in step S113), the session manager process C-1 performs state monitoring control in cooperation with the dynamic packet filter manager process C-5 (step S114). .
[0083]
Subsequently, the session manager process C-1 converts the start direction session table T-2 and the return direction session table T-1 (step S117), and then starts the start direction ACL lookup process C-3 and the return direction ACL lookup process. The start direction ACLT-3 and the return direction ACLT-4 are searched in cooperation with C-4, and the start direction communication session and the return direction session are stored in the start direction session table T-2 and the return direction session table T-1. Registration is performed (step S115 and step S116). At this time, the search of the return direction ACLT-4 is executed in the form before conversion, and the result is reflected in the return direction session table T-1. However, a session is not registered for a packet rejected in return direction communication.
[0084]
When the first start direction communication packet is processed, session entries of the start direction session table T-2 and the return direction session table T-1 are registered, and the session of the start direction session table T-2 is started from the next start direction packet. It is determined that there is an entry (Yes in step S103), and hardware transfer is performed.
[0085]
Specifically, the start direction session lookup unit B-3 acquires dynamic NAT / NAPT information from the start direction session table T-2 (step S104), and if it is a target of the dynamic NAT / NAPT function (step S105). Yes), the dynamic NAT / NAPT information is edited (step S106).
[0086]
Next, the start direction dynamic packet filter unit B-4 obtains the state information from the start direction session table T-2 (step S107), and if it is a dynamic packet filter target (Yes in S108), the state check and Update processing is performed (step S109).
[0087]
Thereafter, the start direction dynamic NAT / NAPT unit B-5 transmits a start direction communication packet (step S110).
[0088]
On the other hand, for the return direction communication packet, since the search of the return direction ACLT-4 and the like have been completed in advance for the first start direction communication packet, it is only necessary to search the return direction session table T-1 reflecting the result. Processing can be performed.
[0089]
Specifically, when there is a return direction communication packet, the return direction session lookup unit A-1 searches the return direction ACLT-4 (step S201), searches the return direction session table T-1 (step S202), and If there is no session entry (No in step S203), the return direction communication packet is rejected (step S204).
[0090]
If there is a session entry (Yes in step S203), the return direction dynamic NAT / NAPT unit A-1 acquires dynamic NAT / NAPT information from the return direction session table T-1 (step S204), and the dynamic NAT. If it is the target of the / NAPT function (Yes in step S205), the dynamic NAT / NAPT information is edited (step S206).
[0091]
Next, the return direction dynamic packet filter unit A-3 acquires the state information from the return direction session table T-1 (step S209), and if it is a target of the dynamic packet filter (Yes in S210), the state check and Update processing is performed (step S211).
[0092]
Thereafter, the return direction router unit A-4 resolves the transfer destination of the return direction communication packet and transfers the return direction communication packet (step S212).
[0093]
According to the first embodiment, after the return direction communication packet is converted, the transfer destination (Destination) and the transfer source (Source) of the flow after dynamic NAT / NAPT conversion are reversed by ACL search, The ACL of the interface is searched and the result is registered in the return direction session table T-1. Therefore, in the return direction communication packet, if there is a hit in the return direction session table T-1, there is no need to search the return ACLT-4.
[0094]
Further, since the return direction communication is predicted and evaluated when the start direction session table T-2 and the return direction session table T-1 are created, and search processing such as the return direction ACLT-4 is executed. As a packet process by hardware, the load can be reduced only to the search process of the return direction session table T-1. Thereby, in the processing of the return direction communication packet, the search processing of the return direction ACLT-4 after the conversion in the return direction dynamic NAT / NAPT unit A-2 can be reduced. It is possible to improve.
[0095]
Furthermore, when generating the return direction session table T-1, it is possible to manage return direction communication packets from multiple interfaces by defining an interface group that can manage multiple external interfaces for which return direction communication is predicted and evaluated. It is said. For example, when the security gateway router device has
[0096]
Since interfaces are managed as interface groups, return direction communication packets returned from an interface other than the start direction communication interface can be processed if the interface group is the same, and multiple external interfaces can be defined. . Here, assuming that the network is placed at the edge of the corporate network and used as a firewall, the external interface refers to an interface (line) connecting the corporate to the Internet. At present, PPPoE (Point-to-Point Protocol over Ethernet (registered trademark)) and FTTH (Fiber To The Home) are considered to be mainstream.
[0097]
[Second Embodiment]
Referring to FIG. 4, the security gateway router apparatus according to the second embodiment of the present invention is a routing process C as a software process with respect to the security gateway router apparatus according to the first embodiment shown in FIG. It has a configuration with -6 added. Accordingly, corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
[0098]
In the security gateway router device according to the second embodiment, the routing search processing in the return direction router unit A-4 is also reduced by performing the routing search in advance. The routing process C-6 is a software process for resolving the transfer destination, and performs an operation equivalent to that of the return direction router unit A-4 by software.
[0099]
As the second embodiment of the present invention, the basic configuration is as described above, but it is not only the dynamic packet filter that operates simultaneously with the dynamic NAT / NAPT, but also policy routing, QoS class identification, Any function that needs to be searched by a packet header such as IPsec policy search is effective.
[0100]
The session manager process C-1 converts the start direction session table T-2 and the return direction session table T-1 (step S117), and then cooperates with the routing process C-6 to provide a routing table for return direction communication (not shown). ) And the transfer destination information is also associated with the return direction session table T-1. Specifically, if you know the flow in the start direction, you can know the flow in the return direction, so when sending the start direction communication packet, receive the return direction communication packet with the flow in the return direction (invert source and destination) in advance. The return direction ACLT-4 applied to the interface to be used (or the WAN interface when exiting to the WAN) is searched. When a filter result is obtained in the search for the return direction ACLT-4, the result is linked to the return direction session table T-1. The dynamic NAT / NAPT process is similarly linked. Further, by retrieving the policy routing ACL and the routing table, information on the transfer destination interface is obtained, and this is also linked to the return direction session table T-1. What is obtained from the routing table is the transfer destination interface (interface of the return direction router unit A-4).
[0101]
Thereafter, the session manager process C-1 searches the start direction ACLT-3 and the return direction ACLT-4 in cooperation with the start direction ACL lookup process C-3 and the return direction ACL lookup process C-4. The start direction communication session and the return direction session are registered in the start direction session table T-2 and the return direction session table T-1 (steps S115 and S116).
[0102]
Next, with respect to the operation of the security gateway router apparatus according to the second embodiment configured as described above, the difference from the operation of the security gateway router apparatus according to the first embodiment will be mainly described with reference to FIG. This will be briefly described with reference to the flowchart shown in FIG.
[0103]
According to the second embodiment, when a start direction communication packet arrives, when a session entry is generated and registered in the start direction session table T-2, routing for return direction communication as well as the return direction ACLT-4 is performed. By searching a table (not shown) and associating the transfer destination information with the return direction session table T-1, transfer destination search processing in the return direction router unit A-4 can be reduced, and the hardware can be used for each packet. The effect that the processing load to perform can be reduced is acquired.
[0104]
【The invention's effect】
As described above, the present invention has the following effects.
[0105]
The first effect is that the search process such as ACL is executed by predicting and evaluating the return direction communication at the time of creating the session table. Therefore, as the packet processing by hardware for the return direction communication, only the session table search process is loaded. It can be reduced.
[0106]
The second effect is that the interfaces are managed as an interface group, so that packets returned from an interface other than the sending interface for start direction communication can be processed if the group is the same, and a plurality of external interfaces can be defined. It is.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a security gateway router apparatus according to a first embodiment of the present invention.
FIG. 2 is a diagram showing session information of a return direction session table and a start direction session table in FIG. 1, a NAT / NAPT action table linked thereto, and the like.
FIG. 3 is a flowchart showing an operation of the security gateway router apparatus according to the first embodiment.
FIG. 4 is a block diagram showing a configuration of a security gateway router apparatus according to a second embodiment of the present invention.
FIG. 5 is a flowchart showing an operation of the security gateway router apparatus according to the second embodiment.
FIG. 6 is a block diagram showing a configuration of a conventional security gateway router device.
FIG. 7 is a flowchart showing the operation of a conventional security gateway router device.
[Explanation of symbols]
A-1 Return direction session lookup section
A-2 Return direction dynamic NAT / NAPT section
A-3 Dynamic packet filter section
A-4 Return direction router
B-1 Start direction router
B-2 Start direction packet filter section
B-3 Start direction session lookup section
B-4 Start direction dynamic packet filter part
B-5 Starting direction dynamic NAT / NAPT part
C-1 Session Manager Process
C-2 NAT / NAPT manager process
C-3 ACL lookup process
C-4 ACL lookup process
C-5 Dynamic Packet Filter Manager Process
C-6 Routing process
T-1 Return direction session table
T-2 Start direction session table
T-3 Start direction ACL
T-4 Return direction ACL
Claims (12)
開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、
新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と
を有することを特徴とするセキュリティゲートウェイルータ装置。In a security gateway router device that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table,
A start direction session lookup unit that searches the return direction ACL when generating the start direction session table and determines whether the return direction session table can be generated;
A session manager process that generates the return direction session table and the start direction session table for a new session and deletes the return direction session table and the start direction session table for an end session;
A start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process;
A return direction ACL lookup process for retrieving a return direction ACL in cooperation with the session manager process;
A security gateway router apparatus comprising: a return direction session lookup unit that searches a return direction session table for a return direction communication packet and obtains information associated therewith when there is a session entry.
開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、
新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、
戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と
を有することを特徴とするセキュリティゲートウェイルータ装置。In a security gateway router device that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table,
A start direction session lookup unit that searches the return direction ACL when generating the start direction session table and determines whether the return direction session table can be generated;
A session manager process that generates the return direction session table and the start direction session table for a new session and deletes the return direction session table and the start direction session table for an end session;
A start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process;
A return direction ACL lookup process for retrieving a return direction ACL in cooperation with the session manager process;
A routing process that resolves the transfer destination of the return direction communication packet in cooperation with the session manager process;
A security gateway router apparatus comprising: a return direction session lookup unit that searches a return direction session table for a return direction communication packet and obtains information associated therewith when there is a session entry.
開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、
開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、
開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、
開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う開始方向動的NAT/NAPT部と、
新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
前記セッションマネージャプロセスと連携してネットワークアドレス/ポート割当てを行うNAT/NAPTマネージャプロセスと、
前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、
戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部と
を有することを特徴とするセキュリティゲートウェイルータ装置。A start direction router that resolves the transfer destination of the start direction communication packet; and
A start direction ACL lookup unit for searching the start direction ACL for the start direction communication packet;
Search the start direction session table for the start direction communication packet, and if there is a session entry, start direction session lookup unit to obtain the accompanying information;
A start direction dynamic packet filter unit for determining whether or not a start direction communication packet can pass;
A start direction dynamic NAT / NAPT unit that dynamically performs network address / port conversion for the start direction communication packet;
A session manager process that generates the return direction session table and the start direction session table for a new session and deletes the return direction session table and the start direction session table for an end session;
A NAT / NAPT manager process that performs network address / port assignment in cooperation with the session manager process;
A start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process;
A return direction ACL lookup process for retrieving a return direction ACL in cooperation with the session manager process;
A dynamic packet filter manager process that determines whether or not a return direction communication packet can pass in cooperation with the session manager process;
A return direction session lookup section that searches the return direction session table for a return direction communication packet and obtains information associated with the session entry; and
A return direction dynamic NAT / NAPT unit for performing network address / port conversion on a return direction communication packet based on information obtained by searching the return direction session table;
A return direction dynamic packet filter unit that determines whether or not a return direction communication packet can pass based on information obtained by searching the return direction session table;
A security gateway router apparatus comprising: a return direction router unit that resolves a transfer destination of a return direction communication packet based on information obtained by searching the return direction session table.
開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、
開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、
開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、
開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う開始方向動的NAT/NAPT部と、
新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
前記セッションマネージャプロセスと連携してネットワークアドレス/ポートの割当てを行うNAT/NAPTマネージャプロセスと、
前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、
前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、
前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部と
を有することを特徴とするセキュリティゲートウェイルータ装置。A start direction router that resolves the transfer destination of the start direction communication packet; and
A start direction ACL lookup unit for searching the start direction ACL for the start direction communication packet;
Search the start direction session table for the start direction communication packet, and if there is a session entry, start direction session lookup unit to obtain the accompanying information;
A start direction dynamic packet filter unit for determining whether or not a start direction communication packet can pass;
A start direction dynamic NAT / NAPT unit for assigning a network address / port for a start direction communication packet;
A session manager process that generates the return direction session table and the start direction session table for a new session and deletes the return direction session table and the start direction session table for an end session;
A NAT / NAPT manager process for allocating network addresses / ports in cooperation with the session manager process;
A start direction ACL lookup process for searching for a start direction ACL in cooperation with the session manager process;
A return direction ACL lookup process for retrieving a return direction ACL in cooperation with the session manager process;
A dynamic packet filter manager process that determines whether or not a return direction communication packet can pass in cooperation with the session manager process;
A routing process that resolves the transfer destination of the return direction communication packet in cooperation with the session manager process;
A return direction dynamic NAT / NAPT unit for performing network address / port conversion on a return direction communication packet based on information obtained by searching the return direction session table;
A return direction dynamic packet filter unit that determines whether or not a return direction communication packet can pass based on information obtained by searching the return direction session table;
A security gateway router apparatus comprising: a return direction router unit that resolves a transfer destination of a return direction communication packet based on information obtained by searching the return direction session table.
開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、
セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と
を含むことを特徴とするセッションテーブル管理方法。In a session table management method for a security gateway router device that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table,
A step of searching the return direction ACL when generating the start direction session table by the start direction session lookup unit and determining whether or not the return direction session table can be generated;
Generating the return direction session table and the start direction session table for a new session by a session manager process and deleting the return direction session table and the start direction session table for an end session;
Retrieving a start direction ACL by a start direction ACL lookup process in cooperation with the session manager process;
Retrieving a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process;
A session table management method comprising: a step of searching a return direction communication table for a return direction communication packet by a return direction session lookup unit, and acquiring information associated therewith when there is a session entry.
開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、
セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
開始方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して開始方向ACLを検索する工程と、
戻り方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して戻り方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、
戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と
を含むことを特徴とするセッションテーブル管理方法。In a session table management method for a security gateway router device that implements a dynamic NAT / NAPT function and a dynamic packet filter function using a session table,
A step of searching the return direction ACL when generating the start direction session table by the start direction session lookup unit and determining whether or not the return direction session table can be generated;
Generating the return direction session table and the start direction session table for a new session by a session manager process and deleting the return direction session table and the start direction session table for an end session;
Retrieving a start direction ACL in cooperation with the session manager process by a start direction ACL lookup process;
Retrieving a return direction ACL in cooperation with the session manager process by a return direction ACL lookup process;
Resolving a transfer destination of a return direction communication packet by a routing process in cooperation with the session manager process;
A session table management method comprising: a step of searching a return direction communication table for a return direction communication packet by a return direction session lookup unit, and acquiring information associated therewith when there is a session entry.
開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、
開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、
開始方向動的NAT/NAPT部により開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う工程と、
セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポート割当てを行う工程と、
前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、
戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、
戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、
戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程と
を含むことを特徴とするセッションテーブル管理方法。Resolving the transfer destination of the start direction communication packet by the start direction router unit;
Searching the start direction communication packet for the start direction communication packet by the start direction ACL lookup unit;
A step of searching a start direction session table for a start direction communication packet by a start direction session lookup unit and acquiring information accompanying it when there is a session entry;
Determining whether or not the start direction communication packet can be passed by the start direction dynamic packet filter unit;
Dynamically performing network address / port conversion for the start direction communication packet by the start direction dynamic NAT / NAPT unit;
Generating the return direction session table and the start direction session table for a new session by a session manager process and deleting the return direction session table and the start direction session table for an end session;
Network address / port assignment by a NAT / NAPT manager process in cooperation with the session manager process;
Retrieving a start direction ACL by a start direction ACL lookup process in cooperation with the session manager process;
Retrieving a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process;
Determining whether a return direction communication packet can be passed by a dynamic packet filter manager process in cooperation with the session manager process;
A step of searching the return direction session table for the return direction communication packet by the return direction session lookup unit and obtaining information accompanying it when there is a session entry;
Performing a network address / port conversion on a return direction communication packet based on information obtained by searching the return direction session table by a return direction dynamic NAT / NAPT unit;
Determining whether or not a return direction communication packet can pass based on information obtained by searching the return direction session table by a return direction dynamic packet filter unit;
Resolving the transfer destination of the return direction communication packet based on the information obtained by the search of the return direction session table by the return direction router unit.
開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、
開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、
開始方向動的NAT/NAPT部により開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う工程と、
セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポートの割当てを行う工程と、
前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、
前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、
戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、
戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、
戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程と
を有することを特徴とするセッションテーブル管理方法。Resolving the transfer destination of the start direction communication packet by the start direction router unit;
Searching the start direction communication packet for the start direction communication packet by the start direction ACL lookup unit;
A step of searching a start direction session table for a start direction communication packet by a start direction session lookup unit and acquiring information accompanying it when there is a session entry;
Determining whether or not the start direction communication packet can be passed by the start direction dynamic packet filter unit;
Assigning a network address / port for the start direction communication packet by the start direction dynamic NAT / NAPT unit;
Generating the return direction session table and the start direction session table for a new session by a session manager process and deleting the return direction session table and the start direction session table for an end session;
Assigning a network address / port by a NAT / NAPT manager process in cooperation with the session manager process;
Retrieving a start direction ACL by a start direction ACL lookup process in cooperation with the session manager process;
Retrieving a return direction ACL by a return direction ACL lookup process in cooperation with the session manager process;
Determining whether a return direction communication packet can be passed by a dynamic packet filter manager process in cooperation with the session manager process;
Resolving a transfer destination of a return direction communication packet by a routing process in cooperation with the session manager process;
Performing a network address / port conversion on a return direction communication packet based on information obtained by searching the return direction session table by a return direction dynamic NAT / NAPT unit;
Determining whether or not a return direction communication packet can pass based on information obtained by searching the return direction session table by a return direction dynamic packet filter unit;
And a step of resolving the transfer destination of the return direction communication packet based on the information obtained by searching the return direction session table by the return direction router unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003180473A JP4131203B2 (en) | 2003-06-25 | 2003-06-25 | Security gateway router device and session table management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003180473A JP4131203B2 (en) | 2003-06-25 | 2003-06-25 | Security gateway router device and session table management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005020222A true JP2005020222A (en) | 2005-01-20 |
| JP4131203B2 JP4131203B2 (en) | 2008-08-13 |
Family
ID=34181448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003180473A Expired - Fee Related JP4131203B2 (en) | 2003-06-25 | 2003-06-25 | Security gateway router device and session table management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4131203B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010011206A (en) * | 2008-06-27 | 2010-01-14 | Mitsubishi Electric Corp | Gateway device and packet filtering method |
| US9824107B2 (en) | 2006-10-25 | 2017-11-21 | Entit Software Llc | Tracking changing state data to assist in computer network security |
-
2003
- 2003-06-25 JP JP2003180473A patent/JP4131203B2/en not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9824107B2 (en) | 2006-10-25 | 2017-11-21 | Entit Software Llc | Tracking changing state data to assist in computer network security |
| JP2010011206A (en) * | 2008-06-27 | 2010-01-14 | Mitsubishi Electric Corp | Gateway device and packet filtering method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4131203B2 (en) | 2008-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3465620B2 (en) | Virtual private network construction system | |
| US8054804B2 (en) | Method of and system for support of user devices roaming between routing realms by a single network server | |
| JP4919608B2 (en) | Packet transfer device | |
| JP3717836B2 (en) | Dynamic load balancer | |
| EP1535449B1 (en) | System and method for dynamic simultaneous connection to multiple service providers | |
| CN107046506B (en) | Message processing method, flow classifier and service function example | |
| JPWO2005027438A1 (en) | Packet relay device | |
| WO2007031593A1 (en) | Routing data packets from a multihomed host | |
| JP4077351B2 (en) | Name / address converter | |
| KR101358775B1 (en) | User access method, system, and access server, access device | |
| US11463357B2 (en) | Method and system for propagating network traffic flows between end points based on service and priority policies | |
| US7870246B1 (en) | System, method, and computer program product for platform-independent port discovery | |
| JP3858884B2 (en) | Network access gateway, network access gateway control method and program | |
| US20130246603A1 (en) | System, method, and computer program product for automatic router discovery | |
| KR100964860B1 (en) | Device and method for address mapping | |
| JP4131203B2 (en) | Security gateway router device and session table management method | |
| Cisco | Configuring IP Addressing | |
| Cisco | Configuring IP Addressing | |
| Cisco | Configuring IP Addressing | |
| Cisco | Configuring IP Addressing | |
| Cisco | Configuring IP | |
| Stott | Snmp-based layer-3 path discovery | |
| US11824738B2 (en) | Network traffic flooding for unknown data-link to transport mapping scenarios | |
| JP5152835B2 (en) | Multiple access device | |
| KR100881418B1 (en) | Apparatus and method of network address translation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050124 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050314 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060518 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070118 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080404 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080430 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080513 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110606 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110606 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120606 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120606 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130606 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |