JP2005027218A - パケット経路制御装置およびファイアウォール負荷軽減方法 - Google Patents
パケット経路制御装置およびファイアウォール負荷軽減方法 Download PDFInfo
- Publication number
- JP2005027218A JP2005027218A JP2003270373A JP2003270373A JP2005027218A JP 2005027218 A JP2005027218 A JP 2005027218A JP 2003270373 A JP2003270373 A JP 2003270373A JP 2003270373 A JP2003270373 A JP 2003270373A JP 2005027218 A JP2005027218 A JP 2005027218A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- firewall
- packets
- path control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ファイアウォールのパケット処理の負荷を軽減する。
【解決手段】 ファイアウォール30(30a〜30n)のパケットの処理負荷を軽減するため、パケット経路制御装置1Bを、1以上のファイアウォール30(30a〜30n)への出力インターフェースおよび1以上のファイアウォール30(30a〜30n)からの入力インターフェース151a〜151nと、ファイアウォール30(30a〜30n)から受信したパケットに関する情報を取得するパケットヘッダ情報抽出部6a〜6bと、この情報に基づき各パケットの出力先に関する情報を編集するカットスルー情報設定部5と、各パケットの出力先に関する情報を格納するフォワーディング部10と、この出力先に関する情報に基づきパケットを出力するスイッチ2とを備える構成とした。
【選択図】 図1
【解決手段】 ファイアウォール30(30a〜30n)のパケットの処理負荷を軽減するため、パケット経路制御装置1Bを、1以上のファイアウォール30(30a〜30n)への出力インターフェースおよび1以上のファイアウォール30(30a〜30n)からの入力インターフェース151a〜151nと、ファイアウォール30(30a〜30n)から受信したパケットに関する情報を取得するパケットヘッダ情報抽出部6a〜6bと、この情報に基づき各パケットの出力先に関する情報を編集するカットスルー情報設定部5と、各パケットの出力先に関する情報を格納するフォワーディング部10と、この出力先に関する情報に基づきパケットを出力するスイッチ2とを備える構成とした。
【選択図】 図1
Description
本発明は、ファイアウォールの負荷軽減に資するパケット経路制御装置およびファイアウォール負荷軽減方法に関する。
企業内のローカルエリアネットワーク(LAN)をインターネットからの不正侵入を保護するために、企業内LANとインターネットとの間にファイアウォールを設置することが行われている。
例えば、企業内LANとインターネットとの間に要求される接続数に対して、1つのファイアウォールで処理できる接続数が少ない場合等には、複数のファイアウォールを並列に設置するネットワークシステムが構築される。
例えば、企業内LANとインターネットとの間に要求される接続数に対して、1つのファイアウォールで処理できる接続数が少ない場合等には、複数のファイアウォールを並列に設置するネットワークシステムが構築される。
このようなシステムにより、ファイアウォール全体として所定の接続処理能力を担保できるが、特定のファイアウォールに負荷が集中すると、そのファイアウォールで処理できる許容限度を超えてしまうおそれがある。このため、複数のファイアウォールを並列的に用いるシステムでは、各ファイアウォールの接続負荷を考慮する必要がある。
そこで、各ファイアウォールの接続負荷を軽減するため、ネットワーク内の各ファイアウォールの負荷を管理する装置を設置し、負荷の低いファイアウォールを選択して、ファイアウォールの負荷を分散(軽減)する技術がある(特許文献1参照)。
特開2000−330897号公報([0019]〜[0037])
そこで、各ファイアウォールの接続負荷を軽減するため、ネットワーク内の各ファイアウォールの負荷を管理する装置を設置し、負荷の低いファイアウォールを選択して、ファイアウォールの負荷を分散(軽減)する技術がある(特許文献1参照)。
しかし、従来技術のような方法は、ファイアウォールの負荷を軽減するために接続数に応じたファイアウォールを設置する必要があり、利用者のコスト負担が大きい。特に、大規模なネットワークに適したファイアウォールは、個人向けのファイアウォールに比べて高価であり、それを複数設置することは利用者のコストの負担が大きくなる。
そこで、本発明では、前記した問題を解決するパケット経路制御装置およびファイアウォール負荷軽減方法を提供することを課題とする。
前記課題を解決するため、本発明の請求項1に係る発明は、ファイアウォールのパケットの処理負荷を軽減するパケット経路制御装置であって、1以上のファイアウォールへの出力インターフェースおよび1以上のファイアウォールからの入力インターフェースと、前記ファイアウォールから受信したパケットに関する情報を取得するパケットヘッダ情報抽出部と、この情報に基づき各パケットの出力先に関する情報を編集するカットスルー情報選択部と、前記各パケットの出力先に関する情報を格納するフォワーディング部と、この出力先に関する情報に基づき、パケットを出力するスイッチとを備えることを特徴とする。
この構成によれば、ルータ(パケット経路制御装置)は、各ネットワークから受信したパケットを、いったんファイアウォールを経由させてから受信する。そして、このルータは、ファイアウォールを経由して受信した(戻って来た)パケットに関する情報、すなわちファイアウォールで破棄されなかったパケットに関する情報を取得するので、この情報に基づきパケットの出力先に関する情報をフォワーディング部に設定することで、戻って来たパケットと同じ特徴を有する後続のパケットは、ファイアウォールを経由しないようにすることができる。したがって、ファイアウォールのパケット処理の負荷を軽減することができる。
請求項2に係る発明は、ファイアウォールのパケットの処理負荷を軽減するパケット経路制御装置であって、1以上のファイアウォールへの出力インターフェースおよび1以上のファイアウォールからの入力インターフェースと、前記ファイアウォールから受信したパケットに関する情報を取得するパケットヘッダ情報抽出部と、前記ファイアウォールに送信したパケットに関する情報を取得し、前記ファイアウォールから受信したパケットに関する情報と照合するパケットヘッダ情報照合部と、前記照合結果に基づき各パケットの出力先に関する情報を作成するカットスルー情報選択部と、前記各パケットの出力先に関する情報を格納するフォワーディング部と、この出力先に関する情報に基づき、パケットを出力または破棄するスイッチとを備えることを特徴とする。
を特徴とする。
を特徴とする。
請求項6に係る発明は、パケットの経路制御によりファイアウォールのパケットの処理負荷を軽減する方法であって、パケット経路制御装置が、ファイアウォールへ出力されたパケットに関する情報を取得するステップと、前記ファイアウォールから入力されたパケットに関する情報を取得するステップと、前記ファイアウォールへ出力されたパケットに関する情報から、前記ファイアウォールから入力されたパケットに関する情報を除外した差分の情報である破棄パケットに関する情報を作成するステップと、前記パケット経路制御装置が受信したパケットのうち、前記破棄パケットに関する情報に適合するパケットを破棄するステップとを備えることを特徴とする。
この構成によれば、ルータ(パケット経路制御装置)は、ファイアウォールで破棄されたパケットに関する情報を取得するので、このパケットと同じ特徴を有する後続のパケットは、ファイアウォールを経由せず、このルータで破棄することができる。したがって、ファイアウォールがパケットを処理する負荷、特にパケットの破棄の処理負担を軽減することができる。
請求項3に係る発明は、請求項1または請求項2に記載のパケット経路制御装置パケットの出力先に関する情報が、前記パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号のうち少なくとも1の項目を含んで構成されることを特徴とする。
この構成によれば、前記パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号といったIPパケットのヘッダ情報に含まれている情報に基づいて、各パケットの出力先を設定(指示)することができる。
請求項4に係る発明は、請求項1から請求項3のいずれか1項に記載のパケット経路制御装置の前記カットスルー情報選択部が、ファイアウォールから受信したパケットに関する情報により、各パケットの特徴となる情報を選択し、この特徴となる情報に基づき各パケットの出力先に関する情報を編集することを特徴とする。
この構成によれば、ファイアウォールから戻って来たパケットに関する情報(ヘッダ情報)をそのままパケットの出力先の情報(カットスルーの情報)とせず、パケットヘッダ情報抽出部から抽出された情報を選択し、編集することができるので、抽出された情報の中から必要な情報のみをパケットの出力先の情報として設定することができる。また、この情報の編集にあたり、パケットに関する情報(ヘッダ情報)からパケットの特徴となる情報、例えばヘッダ情報のポート番号等を、ファイアウォールを経由させないパケットの共通する特徴として設定することも可能となる。
請求項5に係る発明は、請求項1から請求項4のいずれか1項に記載のパケット経路制御装置の前記フォワーディング部のパケットの出力先に関する各情報のそれぞれが、情報の種類に対して予め決められた所定時間ごとに消去されることを特徴とする。
この構成によれば、フォワーディング部のパケットの出力先に関する情報(フォワーディングテーブルの情報)は、その情報の種類に対して予め決められた所定時間ごとに消去されるので、例えば、ファイアウォールのセキュリティポリシー(パケット破棄のルール)が変更されたにも拘わらず、ルータ(パケット経路制御装置)がいつまでも過去のセキュリティポリシーに基づいたパケットのフォワーディング(出力先の決定)やフィルタリングを行うのを防ぐことができる。すなわち、ファイアウォールのセキュリティポリシーが変更された場合に、フォワーディング部のフォワーディングテーブルもこれに速やかに対応できるようにすることにより、ルータ(経路制御装置)のファイアウォールのセキュリティポリシーに同調したパケットのフォワーディング(出力先の決定)やフィルタリング処理を可能とする。
ここで、情報の種類は、例えばパケットの送信元IPアドレスや、プロトコルといったパケットの特徴を表す項目により分類されたものであり、所定時間とは、後記する実施の形態では、フォワーディングテーブル内のタイマ値である。
ここで、情報の種類は、例えばパケットの送信元IPアドレスや、プロトコルといったパケットの特徴を表す項目により分類されたものであり、所定時間とは、後記する実施の形態では、フォワーディングテーブル内のタイマ値である。
請求項1、請求項3および請求項4に係る発明によれば、ルータ(経路制御装置)がパケットを受信し、このパケットが一度ファイアウォールを通過すると、そのパケットと同じ特徴を有する後続パケットはファイアウォールを経由せず、直接各ネットワーク(LAN等)に転送されるので、ファイアウォールのパケット処理の負荷(ファイアウォールに入力される総トラフィック量)を軽減することができる。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
請求項2および請求項6に係る発明によれば、ファイアウォールが破棄したパケットと同じ特徴を有するパケットは、それ以後ファイアウォールを通ることなく、ルータ内で破棄するので、各ファイアウォールのパケット処理の負荷、特にパケットの破棄の負担を軽減することができる。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを低減できる。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを低減できる。
請求項5に係る発明によれば、ルータ(経路制御装置)は、ファイアウォールのセキュリティポリシーに同調したパケットのフォワーディング(出力先の決定)やフィルタリング処理を行うことができるので、ファイアウォールのパケット処理の負荷を軽減することができる。また、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを低減できる。
次に、本発明の実施の形態について、図面を参照して詳細に説明する。
まず、本発明の実施の形態の基本的構成および処理手順について説明し、その後、特徴的構成を第1の実施の形態および第2の実施の形態として説明する。
まず、本発明の実施の形態の基本的構成および処理手順について説明し、その後、特徴的構成を第1の実施の形態および第2の実施の形態として説明する。
<基本的構成>
図3は、本発明の実施の形態の基本的構成となるルータ(パケット経路制御装置)1Аと、ルータ1Аに接続される複数のファイアウォール30(30a〜30n)を示した図である。
ルータ1Aおよびファイアウォール30(30a〜30n)の構成およびパケットの処理手順を、図3を用いて説明する。
なお、二点鎖線の矢印は各種制御情報(抽出されたヘッダ情報やフォワーディングテーブルへの設定情報)の流れを示し、実線の矢印は、制御対象となるパケットの流れを示す。
図3は、本発明の実施の形態の基本的構成となるルータ(パケット経路制御装置)1Аと、ルータ1Аに接続される複数のファイアウォール30(30a〜30n)を示した図である。
ルータ1Aおよびファイアウォール30(30a〜30n)の構成およびパケットの処理手順を、図3を用いて説明する。
なお、二点鎖線の矢印は各種制御情報(抽出されたヘッダ情報やフォワーディングテーブルへの設定情報)の流れを示し、実線の矢印は、制御対象となるパケットの流れを示す。
ルータ1Аは、受信したIPパケット(以下パケットと略す)のヘッダ情報を読み込み、パケットを所定のネットワーク、ファイアウォール30(30a〜30n)、またはインターネットへ送信(転送)する機能を有する。
したがって、ルータ1Aは、インターネットからパケットを受信する入力インターフェース100と、インターネット側へパケットを送信する出力インターフェース101と、パケットのヘッダ情報等を読み込んで各パケットの出力先を指定するフォワーディング部10と、フォワーディング部10のフォワーディングテーブルの設定を行うためのフォワーディングテーブル設定部9と、このフォワーディングテーブル設定部9に各種情報を入力する設定インターフェース900と、指定された出力先にパケットをスイッチ(出力)するスイッチ2と、ファイアウォール30(30a〜30n)へパケットを送信する出力インターフェース150(150a〜150n)と、ファイアウォール30(30a〜30n)からのパケットを受信する入力インターフェース151(151a〜151n)と、パケットを各ネットワーク(LAN等)に出力するための出力インターフェース200(200a〜200n)と、各ネットワーク(LAN等)からパケットを受信する入力インターフェース201(201a〜201n)とを含んで構成される。
ファイアウォール30(30a〜30n)は、ルータ1Аから送信されたパケットのヘッダ情報等を参照し、所定のルールに適合するパケットを破棄し、破棄しなかったパケットを、ルータ1Аに出力する(戻す)機能を有する。
ここで所定のルールとは、例えば「パケットのプロトコルがUDP(User Datagram Protocol)で、ポート番号53とポート番号123以外であった場合は、このパケットをすべて破棄する」といったルールである。
ここで所定のルールとは、例えば「パケットのプロトコルがUDP(User Datagram Protocol)で、ポート番号53とポート番号123以外であった場合は、このパケットをすべて破棄する」といったルールである。
以下、図3を参照して、ルータ1Аとファイアウォール30(30a〜30n)のパケットの処理手順を、ルータ1Aがインターネット側からパケットを受信した場合を例に説明する。
ルータ1Аは、入力インターフェース100で、インターネットから送信されてくるパケットを受信する。そして、フォワーディング部10が、フォワーディング部10内のフォワーディングテーブルの内容を参照して、受信したパケットに出力インターフェース150(150a〜150n)を指定するデータを付加する。
スイッチ2は、フォワーディング部10から出力されたパケットを受信し、このパケットに付加された出力インターフェース150(150a〜150n)を指定するデータを参照して、このパケットを出力インターフェース150(150a〜150n)へスイッチする。
そして、出力インターフェース150(150a〜150n)は、このパケットをファイアウォール30(30a〜30n)へ出力する。
そして、出力インターフェース150(150a〜150n)は、このパケットをファイアウォール30(30a〜30n)へ出力する。
ファイアウォール30(30a〜30n)は、ルータ1Аからパケットを受信すると、所定のルールを参照して、ルータ1Аへ出力すべきパケットはルータ1Аへ出力し、その他のパケットは破棄する。
ルータ1Аの入力インターフェース151(151a〜151n)は、ファイアウォール30(30a〜30n)から、ファイアウォール30(30a〜30n)を通過したパケットを受信する。そして、このパケットを、フォワーディング部10へ出力する。
フォワーディング部10は、フォワーディング部10に格納されたフォワーディングテーブルの情報を参照して、受信したパケットに出力インターフェース200(200a〜200n)を指定するデータを付加する。
ここで、フォワーディングテーブルは、スイッチ2のパケットの出力先(スイッチ先)を指定する情報であり、フォワーディング部10内の記憶媒体に記憶されているものである。
フォワーディングテーブルは、例えば、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、IPパケットのスイッチ出力端子、パケットの有効時間であるタイマ値等を含んで構成される。
フォワーディングテーブルは、例えば、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、IPパケットのスイッチ出力端子、パケットの有効時間であるタイマ値等を含んで構成される。
このフォワーディングテーブルの情報は、このルータ1Аのオペレータが、フォワーディングテーブル設定部9を介して設定できるものとする。具体的には、オペレータは所定のオペレーションサポートシステム(OSS)を用いて、設定インターフェース900からフォワーディングテーブル設定部9に設定情報の入力を行う。
スイッチ2は、フォワーディング部10から出力されたパケットを受信し、このパケットに付加された出力先に関するデータを参照して、このパケットを出力インターフェース200(200a〜200n)へスイッチする。そして、出力インターフェース200(200a〜200n)は、ネットワーク(LAN等)を介して各クライアントにパケットを送信する。
以上、本実施の形態の基本的構成であるルータ1Aおよびファイアウォール30(30a〜30n)のパケット処理手順について説明した。
<第1の実施の形態>
次に、本発明の第1の実施の形態について図1を用いて説明する。前記説明した基本的構成と同様の構成要素は、同じ符号を付して説明を省略する。
次に、本発明の第1の実施の形態について図1を用いて説明する。前記説明した基本的構成と同様の構成要素は、同じ符号を付して説明を省略する。
図1は、本発明の第1の実施の形態であるルータ1Bの構成を示した図である。
本実施の形態のルータ1Bは、ファイアウォール30(30a〜30n)で破棄されなかった(通過できた)パケットのヘッダ情報を記録しておき、このヘッダ情報と同じ特徴を有するヘッダ情報を有するパケットについては、直接各ネットワーク(LAN等)に送信する、すなわちファイアウォール30(30a〜30n)への出力をカットスルーすることを特徴とする。
本実施の形態のルータ1Bは、ファイアウォール30(30a〜30n)で破棄されなかった(通過できた)パケットのヘッダ情報を記録しておき、このヘッダ情報と同じ特徴を有するヘッダ情報を有するパケットについては、直接各ネットワーク(LAN等)に送信する、すなわちファイアウォール30(30a〜30n)への出力をカットスルーすることを特徴とする。
したがって、ルータ1Bは、前記した基本的構成であるルータ1Aに、パケットのヘッダ情報を抽出するパケットヘッダ情報抽出部6a〜6nと、ファイアウォールをカットスルーさせるパケットの特徴に関する情報を選択するカットスルー情報選択部5とを付加した構成となっている。
なお、パケットのヘッダ情報とは、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号等を含んで構成され、パケットの先頭に付加されている情報である。
なお、パケットのヘッダ情報とは、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号等を含んで構成され、パケットの先頭に付加されている情報である。
パケットヘッダ情報抽出部6a〜6nは、ファイアウォール30(30a〜30n)を通過したパケットのヘッダ情報を抽出し、カットスルー情報選択部5の図示しない記憶手段に記録する。
カットスルー情報選択部5は、ファイアウォールを経由させない(カットスルーさせる)パケットに関する情報(特徴)を作成する手段である。
すなわち、カットスルー情報選択部5は、パケットヘッダ情報抽出部6a〜6nから抽出されたヘッダ情報を所定のルールを用いて選択、編集し、カットスルーさせるパケットの特徴となる情報を作成する。そして、この情報を、フォワーディングテーブル設定部9を介してフォワーディング部10に出力し、フォワーディングテーブルを書き換える。
すなわち、カットスルー情報選択部5は、パケットヘッダ情報抽出部6a〜6nから抽出されたヘッダ情報を所定のルールを用いて選択、編集し、カットスルーさせるパケットの特徴となる情報を作成する。そして、この情報を、フォワーディングテーブル設定部9を介してフォワーディング部10に出力し、フォワーディングテーブルを書き換える。
カットスルーさせるパケットの特徴となる情報とは、パケットヘッダ情報抽出部6a〜6nから抽出されたヘッダ情報、すなわちファイアウォール30(30a〜30n)を通過したパケットのヘッダ情報から作成されるもので、例えば、「パケットの送信元IPアドレスが『221.038.204.070』で、プロトコルが『UDP』」といった情報である。
ここで、カットスルー情報選択部5がヘッダ情報を選択、編集するためのルールは、予め設定されたものでもよいが、オペレータが設定インターフェース900を介し、OSSにより設定や書き換えができるものとする。なお、このルールは、カットスルー情報選択部5内に記憶されているものとする。
例えば、オペレータは、カットスルー情報選択部5に、パケットヘッダ情報抽出部6a〜6nから抽出されたヘッダ情報のうち、ポート番号「69」のヘッダ情報のみを選択してフォワーディングテーブル設定部9に出力するよう設定することもできる。すなわち、ファイアウォール30(30a〜30n)を通過したパケットのうち、送信元ポート番号「69」のパケットのみをカットスルーするよう設定することもできる。
ここで、本実施の形態のルータ1B内のフォワーディングテーブルについて説明する。
表1は、フォワーディングテーブルを例示したものである。
前記したとおり、フォワーディングテーブルは、スイッチ2の出力先を指定する情報であり、表1に例示されるように、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、IPパケットのスイッチ出力端子、各パケットの有効時間であるタイマ値などを含んで構成される。
表1は、フォワーディングテーブルを例示したものである。
前記したとおり、フォワーディングテーブルは、スイッチ2の出力先を指定する情報であり、表1に例示されるように、パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、IPパケットのスイッチ出力端子、各パケットの有効時間であるタイマ値などを含んで構成される。
例えば、表1の1行目の情報は、送信元IPアドレスが「221.038.204.063」、送信元ポート番号が「69」で、宛先IPアドレスが「090.134.006.197」で、宛先ポート番号が「1025」であり、プロトコル番号が「17」(UDP)であるパケットのスイッチ出力端子は、「#2」であることを示している。
これらの情報は、オペレータがフォワーディングテーブル設定部9を介して、手動で設定することもできる。
これらの情報は、オペレータがフォワーディングテーブル設定部9を介して、手動で設定することもできる。
また、カットスルー情報選択部5は、図示しないタイマを持ち、フォワーディング部10のフォワーディングテーブルに記述された情報を、その情報の種類に対して予め決められた所定時間ごとに消去する。このようにすることで、ファイアウォール30(30a〜30n)のセキュリティポリシーが変更された場合、フォワーディングテーブルもこれに速やかに対応することができる。
なお、前記した所定時間(消去するタイミング)は、オペレータがOSSを用いて設定することができ、各パケットの消去されるタイミング(有効時間)は、フォワーディングテーブルの「タイマ値」に記述される。
なお、前記した所定時間(消去するタイミング)は、オペレータがOSSを用いて設定することができ、各パケットの消去されるタイミング(有効時間)は、フォワーディングテーブルの「タイマ値」に記述される。
フォワーディングテーブル設定部9は、前記したカットスルーさせるパケットの特徴となる情報をフォワーディング部10のフォワーディングテーブルに書き込む。
例えば、カットスルー情報選択部5で設定されたルールが、「カットスルーさせるパケットの特徴は、ファイアウォール30(30a〜30n)を通過できたパケットで、ヘッダ情報のパケットの送信元IPアドレスと、送信元ポート番号と、宛先IPアドレスと、宛先ポート番号と、プロトコル番号とがすべて共通するパケット」というルールであった場合、フォワーディングテーブル設定部9は、これらの要素に関するヘッダ情報をフォワーディング部10のフォワーディングテーブルに書き込む。
例えば、カットスルー情報選択部5で設定されたルールが、「カットスルーさせるパケットの特徴は、ファイアウォール30(30a〜30n)を通過できたパケットで、ヘッダ情報のパケットの送信元IPアドレスと、送信元ポート番号と、宛先IPアドレスと、宛先ポート番号と、プロトコル番号とがすべて共通するパケット」というルールであった場合、フォワーディングテーブル設定部9は、これらの要素に関するヘッダ情報をフォワーディング部10のフォワーディングテーブルに書き込む。
このフォワーディングテーブルの情報に基づき、フォワーディング部10はインターネット側から来たパケットのうち、ファイアウォール30(30a〜30n)を通過したデータ(パケット)と同じ特徴のヘッダ情報を有するパケットについては、ファイアウォール30(30a〜30n)を経由せず、出力インターフェース200a〜200nへ直接送信する。すなわちファイアウォール30(30a〜30n)をカットスルーさせる。
具体的には、フォワーディングテーブルには、当初(パケットがルータ1Bで受信されたとき)、表2に例示されるようにIPパケットスイッチ出力端子が「#2」と書かれていたものを、このパケットがファイアウォール30(30a〜30n)を通過すると、表3に示されるように、IPパケットスイッチ出力端子を「#5」(出力インターフェース200a)に書き換える。
このようにして、ファイアウォール30(30a〜30n)が一度通過できたパケットと同じ特徴を有するパケットは、前記したフォワーディングテーブルに基づきスイッチ(出力)されるので、それ以後はファイアウォール30(30a〜30n)を通ることなく、ルータ1Bから直接各ネットワーク(LAN等)に転送される。
例えば、このルータ1Bでストリーミングデータを受信した場合、このデータの先頭パケットが一度ファイアウォール30(30a〜30n)を通過すると、そのパケットに後続するパケットは、ファイアウォール30(30a〜30n)を経由せず、直接各ネットワーク(LAN等)に転送されるので、各ファイアウォールのパケット処理の負荷を軽減することができる。
このようなルータは、送信されてくるデータがストリーミングデータなど容量の多いデータである場合や、ファイアウォール30(30a〜30n)の処理能力が低い場合にも有効である。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
例えば、このルータ1Bでストリーミングデータを受信した場合、このデータの先頭パケットが一度ファイアウォール30(30a〜30n)を通過すると、そのパケットに後続するパケットは、ファイアウォール30(30a〜30n)を経由せず、直接各ネットワーク(LAN等)に転送されるので、各ファイアウォールのパケット処理の負荷を軽減することができる。
このようなルータは、送信されてくるデータがストリーミングデータなど容量の多いデータである場合や、ファイアウォール30(30a〜30n)の処理能力が低い場合にも有効である。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
<第2の実施の形態>
図2は、本発明の第2の実施の形態であるルータ1Cの構成を示した図である。
以下、第2の実施の形態を、図2を参照して説明する。前記した基本的構成と第1の実施の形態と同様の構成要素は、同じ符号を付して説明を省略する。
図2は、本発明の第2の実施の形態であるルータ1Cの構成を示した図である。
以下、第2の実施の形態を、図2を参照して説明する。前記した基本的構成と第1の実施の形態と同様の構成要素は、同じ符号を付して説明を省略する。
本実施の形態のルータ1Cは、ファイアウォール30(30a〜30n)へ向かったパケットのヘッダ情報を記憶しておき、この情報に基づいて、インターネットから受信したパケットのうち、このパケットと同じ特徴を有するパケットはルータ1C内で破棄し、各ネットワーク(LAN等)には送信しない機能を有する。
したがって、本実施の形態のルータ1Cは、第1の実施の形態のルータ1Bに、ファイアウォール30(30a〜30n)へ向かったパケットのヘッダ情報を記憶するパケットヘッダ情報照合部7a〜7nを付加した構成となっている。
パケットヘッダ情報照合部7a〜7nは、ルータ1Cからファイアウォール30(30a〜30n)へ向かったパケットに関する情報を記憶しておき、ファイアウォール30(30a〜30n)から戻って来たパケットに関する情報と照合することで、ファイアウォール30(30a〜30n)で破棄されたパケットのヘッダ情報を取得する。したがって、パケットヘッダ情報照合部7a〜7nは、ファイアウォール30(30a〜30n)へ向かったパケットのヘッダ情報を記憶する図示しない記憶手段および照合手段を備えるものとする。
図4は、ルータ1Cのパケットの処理手順を示したフローチャートである。
ルータ1Cのパケットの処理手順を、図2を参照しつつ、図4のフローチャートを用いて説明する。ここでは、ルータ1Cがインターネット側からパケットを受信した場合を例として説明する。
ルータ1Cのパケットの処理手順を、図2を参照しつつ、図4のフローチャートを用いて説明する。ここでは、ルータ1Cがインターネット側からパケットを受信した場合を例として説明する。
ステップS101では、ルータ1Cは、インターネット側からパケット(データ)を受信し始めると、パケットヘッダ情報照合部7a〜7nが、ファイアウォール30(30a〜30n)へスイッチ(出力)されたパケットのヘッダ情報を取得して記録する。
ステップS102では、パケットヘッダ情報照合部7a〜7nは、パケットヘッダ情報抽出部6a〜6nからファイアウォール30(30a〜30n)を通過してきたパケットのヘッダ情報を取得する。
ステップS103では、パケットヘッダ情報照合部7a〜7nは、ステップS101で記録したファイアウォール30(30a〜30n)へスイッチされたパケットのヘッダ情報と、ステップS102で取得したファイアウォール30(30a〜30n)を通過してきたパケットのヘッダ情報とを照合する。
ステップS104では、パケットヘッダ情報照合部7a〜7nは、ステップS101で記録したパケットのヘッダ情報からファイアウォール30(30a〜30n)を通過してきたパケットのヘッダ情報を除いた差分の情報、すなわちファイアウォール30(30a〜30n)で破棄されたパケットのヘッダ情報をカットスルー情報選択部5へ出力する。
ステップS105では、カットスルー情報選択部5が、所定のルールに基づき、パケットヘッダ情報照合部7a〜7nから転送されたヘッダ情報を編集し、この情報をフォワーディングテーブル設定部9へ出力する。
ここで、前記した所定のルールは、第1の実施の形態のルータ1Bのように、オペレータが設定できるものとする。以下では、オペレータが、カットスルー情報選択部5に、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、IPパケットのスイッチ出力端子がすべて一致(共通)するパケットをカットスルーするように設定したとして説明する。
ステップS106では、フォワーディングテーブル設定部9は、前記した設定により、フォワーディング部10のフォワーディングテーブルを、前記したヘッダ情報を有するパケット、すなわち送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号がすべて一致するパケットは、パケットの破棄用スイッチ出力端子(架空のスイッチ出力端子)にスイッチするよう書き換える。表4に、書き換えられたフォワーディングテーブルを例示する。
このようにして、以降、ルータ1Cで受信したパケットのうち、フォワーディングテーブルに書かれた情報、すなわち送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号がすべて一致(適合)するパケットは、フォワーディング部10でパケットの破棄用スイッチ出力端子(表4のIPパケットスイッチ出力端子「#0」)にスイッチされる。すなわち、これらのパケットは、スイッチ2内で破棄され、ファイアウォール30(30a〜30n)には出力されない。
このように、ファイアウォール30(30a〜30n)が破棄したパケットと同じ特徴を有するヘッダ情報を有するパケットは、それ以後ファイアウォール30(30a〜30n)を通ることなく、ルータ1Cで破棄するので、各ファイアウォールのパケット処理の負荷、特にパケットの破棄の負担を軽減することができる。
このようなルータ1Cは、ファイアウォール30(30a〜30n)の処理能力が低い場合、あるいは各パケットのステートに関する情報までチェックしてパケットをフィルタリングするステートフル・パケット・インスペクション方式のファイアウォールを利用する場合にも有効である。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
このようなルータ1Cは、ファイアウォール30(30a〜30n)の処理能力が低い場合、あるいは各パケットのステートに関する情報までチェックしてパケットをフィルタリングするステートフル・パケット・インスペクション方式のファイアウォールを利用する場合にも有効である。
また、各ファイアウォールのパケット処理の負荷を軽減することで、多数のファイアウォールを設置しなくとも、必要とされる処理能力を担保でき、ファイアウォール設置にかかるコストを軽減できる。
なお、本発明は前記した各実施の形態に限定されるものではなく、本発明の要旨を変更しない範囲で広く応用可能である。例えば、各実施の形態では、ルータがインターネット側からパケットを受信した場合を例に説明したが、各ネットワーク(LAN等)側からパケットを送信する場合も同様にファイアウォールをカットスルーすることができる。
また、カットスルー情報選択部5に記憶(蓄積)されたヘッダ情報を編集するためのルールやフォワーディング部10のフォワーディングテーブルの情報は、ファイアウォール30(30a〜30n)に設定されたパケット破棄のルールが変更されたときは、カットスルー情報選択部5がこれをすべて消去するようにしてもよい。
すなわち、カットスルー情報選択部5は、所定時間ごとに出力インターフェース150a〜150nを介して、ファイアウォール30(30a〜30n)に設定されたパケット破棄のルールに関するデータを取得し、これを図示しない記憶手段に記憶する。そして、ファイアウォール30(30a〜30n)から取得したパケット破棄のルールが、以前記憶したルールとは異なるルールであった場合、カットスルー情報選択部5が、カットスルー情報選択部5に記憶(蓄積)されたヘッダ情報を編集するためのルールやフォワーディング部10のフォワーディングテーブルの情報を消去する。このようにすることで、ファイアウォール側でセキュリティポリシー(パケット破棄のルール)の変更があった場合も、ルータ側はこれに速やかに対応できる。
また、カットスルー情報選択部5に記憶(蓄積)されたヘッダ情報を編集するためのルールやフォワーディング部10のフォワーディングテーブルの情報は、ファイアウォール30(30a〜30n)に設定されたパケット破棄のルールが変更されたときは、カットスルー情報選択部5がこれをすべて消去するようにしてもよい。
すなわち、カットスルー情報選択部5は、所定時間ごとに出力インターフェース150a〜150nを介して、ファイアウォール30(30a〜30n)に設定されたパケット破棄のルールに関するデータを取得し、これを図示しない記憶手段に記憶する。そして、ファイアウォール30(30a〜30n)から取得したパケット破棄のルールが、以前記憶したルールとは異なるルールであった場合、カットスルー情報選択部5が、カットスルー情報選択部5に記憶(蓄積)されたヘッダ情報を編集するためのルールやフォワーディング部10のフォワーディングテーブルの情報を消去する。このようにすることで、ファイアウォール側でセキュリティポリシー(パケット破棄のルール)の変更があった場合も、ルータ側はこれに速やかに対応できる。
1B,1C ルータ(パケット経路制御装置)
2 スイッチ
5 カットスルー情報選択部
6a〜6n パケットヘッダ情報抽出部
7a〜7n パケットヘッダ情報照合部
10 フォワーディング部
30(30a〜30n)ファイアウォール
150a〜150n 出力インターフェース
151a〜151n 入力インターフェース
2 スイッチ
5 カットスルー情報選択部
6a〜6n パケットヘッダ情報抽出部
7a〜7n パケットヘッダ情報照合部
10 フォワーディング部
30(30a〜30n)ファイアウォール
150a〜150n 出力インターフェース
151a〜151n 入力インターフェース
Claims (6)
- ファイアウォールのパケットの処理負荷を軽減するパケット経路制御装置であって、
1以上のファイアウォールへの出力インターフェースおよび1以上のファイアウォールからの入力インターフェースと、
前記ファイアウォールから受信したパケットに関する情報を取得するパケットヘッダ情報抽出部と、
この情報に基づき各パケットの出力先に関する情報を編集するカットスルー情報選択部と、
前記各パケットの出力先に関する情報を格納するフォワーディング部と、
この出力先に関する情報に基づき、パケットを出力するスイッチと、
を備えることを特徴とするパケット経路制御装置。 - ファイアウォールのパケットの処理負荷を軽減するパケット経路制御装置であって、
1以上のファイアウォールへの出力インターフェースおよび1以上のファイアウォールからの入力インターフェースと、
前記ファイアウォールから受信したパケットに関する情報を取得するパケットヘッダ情報抽出部と、
前記ファイアウォールに送信したパケットに関する情報を取得し、前記ファイアウォールから受信したパケットに関する情報と照合するパケットヘッダ情報照合部と、
前記照合結果に基づき各パケットの出力先に関する情報を作成するカットスルー情報選択部と、
前記各パケットの出力先に関する情報を格納するフォワーディング部と、
この出力先に関する情報に基づき、パケットを出力または破棄するスイッチと、
を備えることを特徴とするパケット経路制御装置。 - 前記各パケットの出力先に関する情報が、前記パケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号のうち少なくとも1の項目を含んで構成されることを特徴とする請求項1または請求項2に記載のパケット経路制御装置。
- 前記カットスルー情報選択部が、前記ファイアウォールから受信したパケットに関する情報により、各パケットの特徴となる情報を選択し、この特徴となる情報に基づき各パケットの出力先に関する情報を編集することを特徴とする請求項1から請求項3のいずれか1項に記載のパケット経路制御装置。
- 前記フォワーディング部の各パケットの出力先に関する情報のそれぞれが、情報の種類に対して予め決められた所定時間ごとに消去されることを特徴とする請求項1から請求項4のいずれか1項に記載のパケット経路制御装置。
- パケットの経路制御によりファイアウォールのパケットの処理負荷を軽減する方法であって、
パケット経路制御装置が、
ファイアウォールへ出力されたパケットに関する情報を取得するステップと、
前記ファイアウォールから入力されたパケットに関する情報を取得するステップと、
前記ファイアウォールへ出力されたパケットに関する情報から、前記ファイアウォールから入力されたパケットに関する情報を除外した差分の情報である破棄パケットに関する情報を作成するステップと、
前記パケット経路制御装置が受信したパケットのうち、前記破棄パケットに関する情報に適合するパケットを破棄するステップと
を備えることを特徴とするファイアウォール負荷軽減方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003270373A JP2005027218A (ja) | 2003-07-02 | 2003-07-02 | パケット経路制御装置およびファイアウォール負荷軽減方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003270373A JP2005027218A (ja) | 2003-07-02 | 2003-07-02 | パケット経路制御装置およびファイアウォール負荷軽減方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005027218A true JP2005027218A (ja) | 2005-01-27 |
Family
ID=34190339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003270373A Pending JP2005027218A (ja) | 2003-07-02 | 2003-07-02 | パケット経路制御装置およびファイアウォール負荷軽減方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005027218A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009065294A (ja) * | 2007-09-04 | 2009-03-26 | Fujitsu Ltd | データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム |
| JP2012164185A (ja) * | 2011-02-08 | 2012-08-30 | Nec System Technologies Ltd | サーバ、クライアント、これらを有するバックアップシステム、及びこれらのバックアップ方法 |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
-
2003
- 2003-07-02 JP JP2003270373A patent/JP2005027218A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009065294A (ja) * | 2007-09-04 | 2009-03-26 | Fujitsu Ltd | データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム |
| US8151340B2 (en) | 2007-09-04 | 2012-04-03 | Fujitsu Limited | Data relay device and data relay method |
| JP2012164185A (ja) * | 2011-02-08 | 2012-08-30 | Nec System Technologies Ltd | サーバ、クライアント、これらを有するバックアップシステム、及びこれらのバックアップ方法 |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6826694B1 (en) | High resolution access control | |
| EP1326393B1 (en) | Validation of the configuration of a Firewall | |
| EP0909074B1 (en) | Methods and apparatus for a computer network firewall with multiple domain support | |
| US7444408B2 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
| US6574666B1 (en) | System and method for dynamic retrieval loading and deletion of packet rules in a network firewall | |
| US10701190B2 (en) | Efficient parsing of optional header fields | |
| JP2009165153A (ja) | 複数のデータ型からなるデータ・ストリームを異なる優先レベルで配信する方法、システムおよびコンピュータ・プログラム | |
| JP2006270894A (ja) | ゲートウェイ装置、端末装置、通信システムおよびプログラム | |
| CN108737217B (zh) | 一种抓包方法及装置 | |
| CN106470213A (zh) | 一种攻击报文的溯源方法和装置 | |
| US7584299B2 (en) | Configuration of VPNs | |
| WO2006043371A1 (ja) | 防御装置、防御方法および防御プログラム並びにネットワーク攻撃防御システム | |
| AU2004227600B2 (en) | Selective diversion and injection of communication traffic | |
| KR101323852B1 (ko) | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 | |
| EP1357724B1 (fr) | Dispositif de gestion de filtres de données | |
| US8045564B2 (en) | Protocol-level filtering | |
| JP2005027218A (ja) | パケット経路制御装置およびファイアウォール負荷軽減方法 | |
| US20030023785A1 (en) | Data processing program, computer readable recording medium recorded with data processing program and data processing apparatus | |
| CN116015889A (zh) | 数据流转发方法、装置、网络设备及存储介质 | |
| Cisco | Release Notes for the Catalyst 6000 Intrusion Detection System Module Software Release 2.5(0)S0 | |
| JP5513999B2 (ja) | オーダ投入装置、オーダ投入方法およびそのプログラム | |
| JP4282413B2 (ja) | ルータ装置及びそのパケット処理方法並びにプログラム | |
| JP2007228449A (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム | |
| JP4345452B2 (ja) | パケット選別装置 | |
| JP3882638B2 (ja) | ルーティング経路管理装置、その方法、及びそのプログラム |