JP2005108215A - 印刷装置のためのsnmpパケットフィルタ処理 - Google Patents

印刷装置のためのsnmpパケットフィルタ処理 Download PDF

Info

Publication number
JP2005108215A
JP2005108215A JP2004272093A JP2004272093A JP2005108215A JP 2005108215 A JP2005108215 A JP 2005108215A JP 2004272093 A JP2004272093 A JP 2004272093A JP 2004272093 A JP2004272093 A JP 2004272093A JP 2005108215 A JP2005108215 A JP 2005108215A
Authority
JP
Japan
Prior art keywords
address
input packet
packet
source address
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004272093A
Other languages
English (en)
Inventor
Sheng Lee
シエン・リー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba TEC Corp
Original Assignee
Toshiba Corp
Toshiba TEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba TEC Corp filed Critical Toshiba Corp
Publication of JP2005108215A publication Critical patent/JP2005108215A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】 小さい群のユーザに対して装置への可視性を制限する能力を管理者に与えることができる方法およびシステムを提供する。
【解決手段】 IPアドレスフィルタは、SNMPエージェント内に常駐し、入力SNMPパケットをフィルタ処理するよう動作し、それによって、印刷装置への可視性を小さい選択された群のユーザに制限する。管理サーバコンピュータは、IPアドレスの範囲をアクセスの許可または拒絶のいずれか一方に決定する。フィルタは、管理サーバコンピュータによって選択されたアドレスの範囲内に参照IPアドレスを有し、選択されたアドレスに対応するアクションを割り当てる。アクションは、SNMPパケットが処理されることを許可する、または、送信元アドレスに応答することなくSNMPパケットを拒絶してパケットをドロップする、のいずれか一方である。入力パケットのソースアドレスが参照アドレスに適合するか否かを決定するために、32ビットマスクもフィルタに含まれる。
【選択図】 図1

Description

本発明は、一般的にコンピュータネットワーク管理に関わる。より詳細には、本発明は、通信プロトコルを用いるデータパケットのフィルタ処理に関わる。
インターネットのようなコンピュータベースのネットワークは、システム上で情報のパケットを送信する。パケットは、コンポジット全体として伝送され交換される、データおよび制御信号を含む一連の2進数字である。データ、制御信号あるいはエラー制御情報は、特定のフォーマットで配列される。これらのフォーマットは、プロトコルの形態で表されることができる。プロトコルは、通信機能単位の中でフォーマットおよび相互作用の制御を管理する取り決めの正式な集合である。プロトコルは、ネットワークの一部分、サービスの種類、または、管理手順でさえも管理する。インターネット、イントラネット、イーサネット(登録商標)、または、他のコンピュータネットワークのような階層化された通信システムアーキテクチャにおいて、プロトコルは、その階層化された構成の中で機能的な相互運用を容易化するよう適合される手順の正式な集合である。プロトコルの結果的な使用は、情報システムの情報を交換する能力である。
多くのコンピュータネットワークは、伝送制御プロトコルまたはTCPを使用する。伝送制御プロトコルは、パケット交換方式の通信ネットワーク上でホスト対ホスト伝送を制御するネットワークプロトコルである。TCPと協力してインターネットプロトコルまたはIPプロトコルが動作される。IPプロトコルは、パケット交換方式のコンピュータネットワークの相互接続されたシステムにおいて使用されるよう設計された標準プロトコルである。IPプロトコルは、ソースからデスティネーションまでデータグラムと呼ばれるデータのブロックを伝送し、このときソースおよびデスティネーションは固定長のアドレスによって識別されるホストである。インターネットプロトコルは、小型パケットネットワークを通る伝送のために必要であれば長いデータグラムの断片化および再組立を行う。断片化は、長いデータグラムを多数のデータグラムに分けることを伴い、それら多数のデータグラムはデスティネーションコンピュータに伝送され再組立される。伝送制御プロトコル/インターネットプロトコルまたはTCP/IPは、データグラムまたはパケットがインターネット上でどのように伝送されるかを制御する。TCP/IPは、インターネットプロトコルスイートの一部である2つの相互に関連するプロトコルである。TCPがOSIトランスポート層で動作してデータをパケットに分け、IPはOSIネットワーク層で動作してコンピュータネットワーク上でパケットのルーティングを扱う。
シンプルネットワーク管理プロトコルまたはSNMPは、(a)IPゲートウェイおよびそれらが付けられているネットワークを管理し制御するために使用され、(b)TCPエラー補正のマスキング効果をすり抜けてIPを直接的に使用し、(c)異常に動作している可能性のあるネットワーク上のIPデータグラムに直接的なアクセスを有することにより管理を必要とし、(d)ゲートウェイが記憶しなくてはならない変数の組を定義し、(e)ゲートウェイ上の全ての制御動作が、データ変数を取り出すまたは記憶する、即ち、コマンドを書き込み、状態を読み出すことに類似する動作の副次的な影響であることを特定するTCP/IP標準プロトコルである。
現代のデジタル印刷装置は、上述のネットワークプロトコルを通じて管理者およびユーザに最新の装置および印刷ジョブ状態を提供するに十分高性能である。管理者は、SNMPを用いて、装置に遠隔的にアクセスするだけでなく、装置を遠隔的に構成することができる。SNMPは、管理プロトコルとしては非常に有力であるが、十分なセキュリティがないといった1つの深刻な欠点を有する。SNMPには非常に限定されたセキュリティが組み込まれている。この欠点は、コンピュータネットワークにおいて、装置上で利用可能なリソースを見ることができる全てのユーザに同じである。実際、印刷装置に対して可視性を有する全てのユーザは、装置パラメータを引き出すか変更することさえできる。本明細書で用いる可視性といった用語は、リソースを実際にモニタリングすることを伴ってまたは伴わずに、リソースの状態に対して認識があることを意味する。
セキュリティ特性が組み込まれていない場合、装置の可視性を小さい群のユーザに限定するために管理者はなんらかの機構を有することが望ましい。エンタープライズ・ファイアウォールは、インターネットからSNMPトラフィックをブロックすることができるが、ファイアウォールのイントラネット側上でのSNMPアクセスを防止することにはあまり寄与しない。ルータは、ネットワークパケットをフィルタ処理することができるが、イントラネット上にルータが配置されない場合もある。
従って、ネットワーク上での装置の可視性を限定することができ、全てのIPベースのネットワーク上で実行可能であり、高性能のルータを追加することなくネットワークトラフィック管理を代替し、実施の際に影響が最小となる方法およびシステムが必要である。
本発明によると、小さい群のユーザに対して装置への可視性を制限する能力を管理者に与えることができる方法およびシステムが提供される。同方法は、データパケットに関連するアドレス範囲を特定する工程を含む。続いて、管理者によって定められたアドレス範囲に対応する1つ以上のフィルタが生成される。フィルタは、参照アドレス、アドレスマスク、および、適合するアドレスに対してとられる所望のアクションを表す指示を含む。フィルタは、入力パケットを受信し、パケットのソースアドレスを参照アドレスと比較して、相互に関連するアドレスを決定する。続いて、フィルタは、パケットの進行を許可するまたはパケットを拒絶してパケットをドロップするいずれかのソースアドレスによるアクションを表す指示を実行する。相互に関連するアドレスを生成するためには、フィルタはまずソースアドレスとアドレスマスクとの間でビットワイズAND演算を行う。次に、フィルタは、参照アドレスとアドレスマスクとの間でビットワイズAND演算を行う。2つの結果が比較される。結果が等しい場合、相互に関連するアドレスが得られる。結果が等しくない場合、ソースアドレスは特定範囲外となる。
さらに、本発明によると、高性能のルータを追加することなくネットワークトラフィック管理を代替し、ネットワークの性能に対する影響が最小の、全てのIPベースのネットワーク上で実行されることができるシステムが提供される。システムは、データパケットと関連するアドレス範囲を特定する手段を含む。システム管理者は、フィルタが許可または拒絶するソースアドレス範囲を決定する。システムはまた、特定されたアドレス範囲に対応する少なくとも1つのフィルタを生成する手段を用いる。1つ以上のフィルタは、参照アドレス、アドレスマスク、および、相互に関連するアドレスに対してとられる所望のアクションを表す指示を含む。システムは、入力パケットを受信する手段、および、入力パケットのソースアドレスと参照アドレスとを比較して相互に関連するアドレスを決定する手段を含む。システム内には、入力パケットのソースアドレスに従って所望のアクションを表す指示を実行する手段が設けられる。
本発明の更なる目的、利点、および、新規の特徴は、以下の説明に記載されており、かつ、当業者には以下の説明および本発明の実施から明らかとなるであろう。本発明の目的および利点は、添付の特許請求の範囲によって包含される様々な構造および方法によって実現され達成されるであろう。
本発明によると、小さい群のユーザに対して装置への可視性を制限する能力を管理者に与えることができる方法およびシステムが提供される。
本明細書に組み込まれ、本明細書の一部を構成する添付の図面は、本発明の幾つかの態様を例示し、以下の記載とともに本発明の原理を説明する。
本発明は、分散型コンピュータシステム上での装置パラメータへのアクセスを限定する管理者のためのシステムおよび方法を提供する。より詳細には、本発明は、コンピュータ通信プロトコル内で実行されるパケットフィルタを使用する方法に関わる。本明細書に記載するように、シンプルネットワーク管理プロトコル(SNMP)が好適な実施形態で使用されるが、前述のおよび以下に説明する本発明の使用がSNMPに制限される必要がないことは当業者には理解されるであろう。IP、TCP、HTTP、FTP等を含むがこれらに制限されない他のプロトコルも本発明によって検討され、パケットフィルタは通信プロトコルに相応して関連する全てのエージェントに組み込まれ得る。
IPアドレスフィルタはSNMPエージェント内に常駐し、入力するSNMPパケットのフィルタ処理を課せられる。フィルタは、参照IPアドレス、アドレスマスク、および、適合するアドレスに対してとられるべき「許可」または「拒絶」のアクションを含む。アドレスマスクは、管理者によって設定され、許可されるアドレスの範囲を決定する。マスクは、入力パケットのソースアドレスによって適合されなくてはならない参照アドレスにおけるビットを特定する32ビットのビットマップを有する。参照アドレスは、管理者によって入力され、それによりフィルタはアドレスを比較して入力パケットのソースアドレスが参照アドレスと「適合」するか否かを判断することが可能となる。管理者は、次に、適合したアドレスが確認されると、フィルタによって取られるべき適当なアクション計画を決定する。
図1を参照するに、本発明において実行されるフィルタの構成要素として検討される適合処理のブロック図が示される。フィルタは、ステップ102において入力SNMPパケットを受信する。SNMPパケットフィルタは、固定のポート、即ち、SNMPについてはポート161に決められているパケットに対して作用することは当業者には明らかであろう。更に、使用されるプロトコル、例えば、HTTP、FTP、IP、TCP等に関連するポート数は、プロトコルフィルタ処理が本発明によって検討されていないため必要ないことも当業者には理解されるであろう。
ステップ104において、IPベースのネットワークのパケットに関連する全てのヘッダに含まれるソースアドレスがフィルタによって確認される。ソースアドレスのビットワイズ−AND値およびアドレスマスクが決定される。本説明では、ビットワイズ演算子は、単数よりもむしろビットのベクトルとしてオペランドを扱う。ブールビットワイズ演算子は、ブール関数(NOT、AND、OR、XOR)を用いて各オペランドのビットNを組み合わせて結果のビットNを生成する。例えば、ビットワイズAND演算子(Cプログラミング言語において「&」)は、13&9を(2進)1101&1001=1001=9として評価する一方で、論理AND(C言語では「&&」として指定される)は13&&9をTRUE&&TRUE=TRUE=1として評価する。幾つかの言語では、例えば、Acorn社のBASIC Vでは、同じ演算子がビットワイズおよび論理演算の両方に使用される。これは、通常、0(偽)でも−1(真)でもない値xに対してNOTを適用する以外では可能であり、この場合、xおよび(NOTx)の両方共ゼロ以外であり、従って、TRUEとして扱われる。通常「ビットワイズ」として説明されないビットレベルでの他の演算はシフトおよび回転を含む。
ステップ204においてソースアドレスのビットワイズ−AND値およびアドレスマスクを確認した後、フィルタはステップ106に進む。ステップ106において、参照IPアドレスのビットワイズ−AND値およびアドレスマスクが決定される。ステップ104および106それぞれから2つのビットワイズ−AND値が得られ、それらがステップ108において比較される。それぞれの結果が等しい場合、つまり、ソースアドレスビットワイズ−AND値が参照アドレスビットワイズ−AND値と等しい場合、ソースアドレスおよび参照アドレスはステップ112に示すように適合する。ソースアドレスのビットワイズ−AND値と参照アドレスのビットワイズ−AND値が等しくない場合、ビットワイズ−ANDソースアドレスおよびビットワイズ−ANDアドレスはステップ110に示すように適合しない。
図2を参照するに、本明細書で検討するフィルタを動作する方法が示される。本実施形態の発明は、多数のフィルタを有し、入力パケットは第1のフィルタを通るがその後のフィルタを通らない。例示目的のために、追加的なフィルタのバンク128は、単一のフィルタ、フィルタ#1に関わる実施形態の最初の説明に続いて詳細に述べる。図2に示すように、方法は、ステップ202において入力パケットを受信することから開始される。パケットはステップ204においてフィルタ#1によって受信され、パケットのソースアドレスがフィルタ#1の参照アドレスと適合するか否かの判断が行われる。図1を参照して説明する処理がフィルタ#1において行われ、2つの可能な判断が出力される。入力パケットのソースアドレスがフィルタ#1の参照アドレスに適合するといった第1の判断であると、システムはステップ210に進み、対応するアクション#1が実施される。図示するように、適合されるアドレスに対応するアクション#1が入力パケットの進行を拒絶(ブロック)する場合、パケットがステップ218において拒絶されドロップされる。このような場合、システムは送られたアドレスに対して応答せず、単にパケットをドロップし次のパケットの受信を待つ。ステップ204における適合するアドレスに対応するアクション#1がパケットの進行を許可する場合、パケットはステップ226で処理される。
ステップ204において、入力パケットのソースアドレスがフィルタ#1の参照アドレスに適合しないと判断されたとき、即ち、ソースアドレスが特定アドレスの範囲外であるとき、パケットはステップ216におけるアクション#xに進む。フィルタ#1において特定されるアクションが適合されたソースアドレスを有するパケットに対して実施される一方で、フィルタ#1は未適合のソースアドレスを有するパケットに対して逆のアクションが実施されることを示す。つまり、フィルタ#1がステップ210において、適合されたソースアドレスパケットを許可するようアクション#1を設定する場合、ステップ216において未適合のソースアドレスパケットを拒絶するようアクション#xをフィルタ#1が設定することは理解できるであろう。従って、アクション#xは、アクション#1において行われる逆のアクションに対応する。例えばアクション#1がステップ210において適合されたソースアドレスパケットを拒絶する場合、アクション#xは未適合のソースアドレスパケットをステップ226に進めることを可能にする。従って、アクション#1がステップ210において適合されたソースアドレスパケットを受けるよう設定されている場合、アクション#xはステップ224において拒絶し無視するよう設定される。
更なる説明は、以下の例で実現される。管理者はIPアドレス範囲159.119.44.0から159.119.45.255のトラフィック以外の装置への全てのトラフィックを全てブロックすることを望む。管理者は、「アクション=許可、アドレス=159.119.45.168、マスク=255.255.254.0」のパラメータを有するフィルタを最初に特定する。「アドレス」パラメータは特定範囲内の全てのIPアドレスである。「255.255.254.0」のマスクは、入力パケットのソースアドレスにおける2つの最上位オクテットが参照アドレスの同じ2つのオクテットに適合しなくてはならない、即ち、ソースアドレスは159.119から開始されなくてはならないことを意味する。第3のオクテットの最下位ビット(「45」)および第4のオクテット全体(「168」)は2つのアドレスを比較している間は確認されない。事実上は、ソースアドレスの2つの最上位オクテットは「159.119」でなくてはならず、最下位オクテット(第4のオクテット)は0から255のどの数でもよい。第3のオクテットは、最下位ビットが1または0でもよいため44または45でもよい。
上述の例におけるマスクが「255.255.252.0」である場合、第3のオクテットの2つの最下位ビットは確認されない。従って、アドレス範囲は159.119.44.0から159.119.47.255となる。最下位ビットを決定するために、オクテット(8ビットに対するネットワーク項)が最初に2値に変換され、適当なビットに対応する数が決定される。従って、上述した第2の範囲では、255−252=3または0011となる。これら2つの最下位数を用いて、フィルタは、組み込まれるアドレス、例えば、159.119.44.0から159.119.47.255の範囲を確認することができる。従って、フィルタが159.119.46.130のソースアドレスを有する入力パケットを受信すると、フィルタは適合するアドレスに従うアクション(許可)を行う。しかしながら、入力パケットのソースアドレスが159.119.60.32の場合、フィルタは入力パケットをドロップし、アドレス159.119.60.32が159.119.44.0から159.119.47.255の範囲内にないため応答を供給しない。
コンピュータネットワーク上の入力トラフィックのより改良された制御に関して、本発明は、入力パケットおよびネットワークに常駐する装置への可視性を制御するために協働する多数のフィルタの使用を検討する。本実施形態では、入力パケットのソースアドレスは第1のフィルタで試験される。適合がある場合、パケットは単一のフィルタに関して上述したように処理される。入力パケットのソースアドレスが範囲外、即ち、第1のフィルタに常駐する参照IPアドレスに適合しない場合、第2のフィルタがパケットを受信する。第2のフィルタ内に含まれる参照IPアドレスとの適合を判断する際、そこに記憶される対応するアクションが実施される。入力パケットのソースアドレスが第2のフィルタの参照IPアドレスと適合しない場合、パケットはフィルタのバンク228中の次のフィルタに進み、以下同様である。
図2に戻ると、フィルタ#2から始まりフィルタ#nで終わる幾つかのフィルタを有する追加的なフィルタのバンク228が例示される。フィルタの数は管理者の望む数によってだけ制限されることが当業者に理解されるであろう。ステップ204におけるフィルタ#1との適合が負の判断であると、パケットはステップ206におけるフィルタ#2に進む。ここでは、フィルタ#2は記憶する参照IPアドレスと入力パケットのソースアドレスが適合するか否かを判断する。適合は、上述の手順に従って判断され、ビットワイズ−AND計算および演算が行われる。ステップ206においてフィルタ#2によって実施される演算の結果が適合されたアドレスの場合、システムはステップ212に進み、適合されたアドレスに対応するアクションが実施される。ステップ212において実施されるアクションが適合されたソースアドレスパケットを許可するようフィルタ#2によって設定される場合、パケットは処理のためにステップ226に進められる。ステップ212において実施されるべきアクションが適合されたソースアドレスを有する入力パケットをブロックまたは拒絶するようフィルタ#2によって設定されるとき、パケットはステップ220においてシステムから拒絶されドロップされる。ドロップされたパケットの発信者に対して応答は送られず、そのようなどの応答も要求されないことは当業者には理解されるであろう。
ステップ206において入力パケットのソースアドレスがフィルタ#2において記憶される参照IPアドレスに適合しないと判断されると、入力パケットは次のフィルタ、フィルタ#3(図示せず)から最後のフィルタ、フィルタ#nまで送られる。前述したように、フィルタの数が図示するように3つのフィルタに制限される必要はなく、システム管理者によって決められる任意の数のフィルタが本発明に組み込まれる。図2に示すように、入力パケットは分析のためにステップ208においてフィルタ#nによって受信される。フィルタ#nは、フィルタ#nの参照IPアドレスに適合するアドレスがみつけられ得るか否かを判断するために入力パケットのソースアドレスを処理する。ステップ208において適合があった場合、フィルタ#nは、適合するアドレスに対応するよう設定されたアクション#n214を実施する。アクション#nが適合されたソースアドレスを有する入力パケットを拒絶またはドロップする場合、パケットはステップ222に送られ、入力パケットはドロップされる。しかしながら、適合されたソースアドレスを有する入力パケットがステップ214に従って許可される場合、入力パケットはステップ226における処理に送られる。
ステップ208においてフィルタ#nがそこに記憶される参照IPアドレスに入力パケットのソースアドレスが適合しないと判断されるとき、システムはステップ216に進む。ステップ216において、最後のフィルタのアクション、即ち、アクション#nの逆のアクションであるアクション#xが実施される。従って、アクション#nがパケットを許可した場合、アクション#xは拒絶し、またその逆もある。ステップ216は、2つの可能性を提供し、1つ目は未適合のソースアドレスを有するパケットをステップ226における処理に進むことを許可し、2つ目はステップ224においてパケットを拒絶およびドロップする。フィルタ処理は、一旦適合が見つかると停止される。このような場合、前述したように、ソースアドレスは1つ1つのフィルタの範囲外にあり、最後のフィルタの逆のアクションがパケットに対して行われ、それにより、216においてアクション#xが使用される。フィルタの順番は最初から最後まで順次に実行されるため重要であることは、当業者には理解されるであろう。従って、あるアドレスは1つのフィルタで許可されても別のフィルタで拒絶される場合がある。システム管理者は、各フィルタに対する優先順位を決定し、それに応じて割り当てなくてはならない。
図3を参照するに、本発明が実行される典型的なコンピュータネットワークが示される。システムは、管理サーバコンピュータ302と、多数のユーザ群306、308、および310と、多機能周辺機器304とを有する。これらハードウェアコンポーネントはイントラネット316を介して互いと相互に作用する。前述したとおり、イントラネットは、ファイアウォール312により、インターネット314を介して入ろうとするパケットに対して僅かに高いレベルのセキュリティを有する。従って、本発明のフィルタ処理の態様は、イントラネット316内で実行される。管理者である管理サーバコンピュータ302は、ユーザ群A306、ユーザ群B308、および、ユーザ群C310の各ユーザコンピュータに対してIPまたはソースアドレスを、また、多機能周辺機器304に対してIPアドレスを割り当てる。本発明は、管理サーバコンピュータ302が多機能周辺機器304のコンフィギュレーションをユーザ群306、308、および、310が見るまたは変更することを選択的に許可または禁止することを可能にする。
例えば、管理サーバコンピュータはユーザ群A306に対して1組のIPアドレス159.119.45.168から159.119.45.171を、ユーザ群B308に対して別の組のIPアドレス159.119.45.172から159.119.45.175を、ユーザ群C310に対して第3の組のIPアドレス159.119.45.176から159.119.45.180を割り当てる。IPアドレスの組は、群間で重なりが生じないよう選択される。選択されるアドレスは例示目的に過ぎず図3に示す装置の数に関してこれらのアドレスに本発明が制限されないことは当業者には理解されるであろう。各装置に対してアドレスを割り当てた後、管理サーバコンピュータ302はどの許容可能な範囲のアドレスが多機能周辺機器304のコンフィギュレーションにアクセスできるかを決定する。管理サーバコンピュータ302は、群A306におけるアドレスから生じるパケットのアクセスを許可するが、郡B308および群C310から生ずるパケットをドロップするよう、1つ以上のフィルタを設定する。あるいは、管理サーバコンピュータは、群A306および群C310において生ずるアドレスからのパケットをドロップするが、群B308におけるアドレスから生ずるパケットを多機能周辺機器304によって処理できるよう、フィルタを有効にしてもよい。同様にして、管理サーバコンピュータ302は許可可能なアドレスを群A306、群B308、群C310に属するアドレスにだけ限定し、インターネット314からファイアウォール312を介して多機能周辺機器304まで伝えられるアドレスを禁止するよう、フィルタを有効にしてもよい。
本明細書で利用されるフィルタは例えば、ウェブ管理のようなユーザインタフェースを通じて管理サーバコンピュータによって割り当て、変更、または、削除されてもよく、ウィンドウズ(登録商標)システムで共通のシステムコンフィギュレーションデータベース、またはUnix(登録商標)ベースのシステムで共通のパーサービスコンフィギュレーションファイルに永久的に記憶される。SNMPサービスは、始動時にフィルタをロードする。本発明によるフィルタ処理方法は、パケットがネットワークから受信された後に始められる。以下に説明し特許請求の範囲に記載するように、アドレス適合がない場合、応答は返されず、サービスはソースアドレスでのアプリケーションに対して略不可視となる。フィルタ処理方法は、論理演算だけが関わっているためサービスの機能を妨げない。多数のフィルタが存在する場合、相当効率的ではあるが、少なくともフィルタの数だけ決定、許可または拒絶が任意の所与のパケットに対して行われるようフィルタを配置することが望ましいことは当業者には理解されるであろう。
本発明の好適な実施形態の前述の説明は例示および説明目的である。本発明は、網羅的となるよう、また、開示される明確な形態に本発明を制限するよう意図されていない。明白な変形または変更は、上記教示により可能となる。実施形態は、本発明の原理の最適な例示を提供するために選択され説明されており、当業者はその実質的な適用法を、検討される特定の使用法に適するように、本発明を様々な実施形態および様々な変形において利用することができる。全てのこのような変形および変更は、公平、合法的、かつ、公正に権利が与えられる幅に従って解釈すると添付の特許請求の範囲によって定められる、本発明の範囲内にある。
本発明による方法の構成要素のブロック図である。 本発明によるアドレスフィルタ処理方法のフローチャートを示す図である。 ネットワークコンピュータシステムを表すブロック図である。
符号の説明
161…ポート、128…バンク、228…バンク、302…管理サーバコンピュータ、304…プリンタ、306…ユーザ群A、308…ユーザ群B、310…ユーザ群C、312…ファイアウォール、314…インターネット、316…イントラネット

Claims (24)

  1. 分散型コンピュータシステム上で装置パラメータへのアクセスを管理者が制限する方法であって、
    データパケットに関連するアドレス範囲を特定する工程と、
    参照アドレス、アドレスマスク、および、相互に関連するアドレスに対してとられるべき所望のアクションを表す指示を含む、前記特定されたアドレス範囲に対応する少なくとも1つのフィルタを生成する工程と、
    入力パケットを受信する工程と、
    前記相互に関連するアドレスを決定するために前記参照アドレスに対して前記入力パケットのソースアドレスを比較する工程と、
    前記入力パケットの前記ソースアドレスに従って前記所望のアクションを表す前記指示を実行する工程と、
    を備える方法。
  2. 前記比較工程は、
    前記ソースアドレスと前記アドレスマスクとの間でビットワイズAND演算を実施する工程と、
    前記参照アドレスと前記アドレスマスクとの間でビットワイズAND演算を実施する工程、および、
    前記ビットワイズAND演算の結果を比較する工程をさらに備え、
    前記比較結果が等しい場合、前記相互に関連するアドレスを生じ、
    前記比較結果が等しくない場合、前記特定範囲外のアドレスを生ずる、請求項1に記載の方法。
  3. 前記所望のアクションは、前記入力パケットをブロックする指示を含む、請求項1に記載の方法。
  4. 前記特定されたアドレス範囲内のソースアドレスを有する前記入力パケットをドロップする工程をさらに備える、請求項3に記載の方法。
  5. 前記特定されたアドレス範囲外のソースアドレスを有する前記入力パケットを許可する工程をさらに備える、請求項3に記載の方法。
  6. 前記特定されたアドレス範囲外の前記ソースアドレスを有する前記入力パケットを処理する工程をさらに備える、請求項5に記載の方法。
  7. 前記所望のアクションは、前記入力パケットを許可する指示を含む、請求項1に記載の方法。
  8. 前記入力パケットを処理する工程をさらに備える、請求項7に記載の方法。
  9. 前記特定されたアドレス範囲外のソースアドレスを有する前記入力パケットをブロックする工程をさらに備える、請求項7に記載の方法。
  10. 前記特定されたアドレス範囲外の前記ソースアドレスを有する前記入力パケットをドロップする工程をさらに備える、請求項9に記載の方法。
  11. 前記フィルタはSNMPエージェント内に組み込まれる、請求項1に記載の方法。
  12. 前記ソースアドレスおよび前記参照アドレスはインターネットプロトコルアドレスである、請求項1に記載の方法。
  13. 分散型コンピュータシステム上で装置パラメータへのアクセスを管理者が制限するシステムであって、
    データパケットと関連するアドレス範囲を特定する手段と、
    参照アドレス、アドレスマスク、および相互に関連するアドレスに対してとられる所望のアクションを表す指示を含み、前記特定されたアドレス範囲に対応する少なくとも1つのフィルタを生成する手段と、
    入力パケットを受信する手段と、
    前記相互に関連するアドレスを決定するために前記参照アドレスに対して前記入力パケットのソースアドレスを比較する手段と、
    前記入力パケットの前記ソースアドレスに従って前記所望のアクションを表す前記指示を実行する手段と、
    を備えるシステム。
  14. 前記比較工程は、
    前記ソースアドレスと前記アドレスマスクとの間のビットワイズAND演算を実施する手段と、
    前記参照アドレスと前記アドレスマスクとの間のビットワイズAND演算を実施する手段、および、
    前記ビットワイズAND演算の結果を比較する手段をさらに備え、
    前記比較結果が等しい場合、前記相互に関連するアドレスを生じ、
    前記比較結果が等しくない場合、前記特定範囲外のアドレスを生ずる、請求項13に記載のシステム。
  15. 前記所望のアクションは、前記入力パケットをブロックする指示を含む、請求項13に記載のシステム。
  16. 前記特定されたアドレス範囲内のソースアドレスを有する前記入力パケットをドロップする手段をさらに備える、請求項15に記載のシステム。
  17. 前記特定されたアドレス範囲外のソースアドレスを有する前記入力パケットを許可する手段をさらに備える、請求項15に記載のシステム。
  18. 前記特定されたアドレス範囲外の前記ソースアドレスを有する前記入力パケットを処理する手段をさらに備える、請求項17に記載のシステム。
  19. 前記所望のアクションは、前記入力パケットを許可する指示を含む、請求項13に記載のシステム。
  20. 前記入力パケットを処理する手段をさらに備える、請求項19に記載のシステム。
  21. 前記特定されたアドレス範囲外のソースアドレスを有する前記入力パケットをブロックする手段をさらに備える、請求項19に記載のシステム。
  22. 前記特定されたアドレス範囲外の前記ソースアドレスを有する前記入力パケットをドロップする手段をさらに備える、請求項21に記載のシステム。
  23. 前記フィルタはSNMPエージェント内に組み込まれる、請求項13に記載のシステム。
  24. 前記ソースアドレスおよび前記参照アドレスはインターネットプロトコルアドレスである、請求項13に記載のシステム。
JP2004272093A 2003-09-30 2004-09-17 印刷装置のためのsnmpパケットフィルタ処理 Pending JP2005108215A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/675,708 US20050071493A1 (en) 2003-09-30 2003-09-30 SNMP packet filtering for printing devices

Publications (1)

Publication Number Publication Date
JP2005108215A true JP2005108215A (ja) 2005-04-21

Family

ID=34377241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004272093A Pending JP2005108215A (ja) 2003-09-30 2004-09-17 印刷装置のためのsnmpパケットフィルタ処理

Country Status (2)

Country Link
US (2) US20050071493A1 (ja)
JP (1) JP2005108215A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008010018A (ja) * 2007-09-21 2008-01-17 Brother Ind Ltd 情報処理装置、通信システム、管理装置、及び、プログラム
US8095627B2 (en) 2005-06-30 2012-01-10 Brother Kogyo Kabushiki Kaisha Information processing device, communication system, management device, method, and program

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060187832A1 (en) * 2005-02-18 2006-08-24 Broadcom Corporation Filter based range check in a network device
JP4161980B2 (ja) * 2005-05-31 2008-10-08 ブラザー工業株式会社 通信装置、管理システム、情報処理装置、及び、プログラム
FR2887384B1 (fr) * 2005-06-21 2007-08-31 Exosec Soc Par Actions Simplif "procede et systeme pour proteger un systeme d'information constitue autour d'un reseau local"
JP4616718B2 (ja) * 2005-07-19 2011-01-19 株式会社リコー ネットワーク機器
US8050181B2 (en) * 2006-02-14 2011-11-01 Jds Uniphase Corporation Sliding frame comparator in a network diagnostic device
JP2009050372A (ja) * 2007-08-24 2009-03-12 Ge Medical Systems Global Technology Co Llc 超音波診断装置
US8782746B2 (en) * 2008-10-17 2014-07-15 Comcast Cable Communications, Llc System and method for supporting multiple identities for a secure identity device
US9692784B1 (en) * 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US11909719B1 (en) * 2021-11-24 2024-02-20 Amazon Technologies, Inc. Managing the allocations and assignments of internet protocol (IP) addresses for computing resource networks

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0653700B1 (en) * 1993-11-16 2002-01-30 Fujitsu Limited Network printer apparatus
US5832298A (en) * 1995-05-30 1998-11-03 Canon Kabushiki Kaisha Adaptive graphical user interface for a network peripheral
US5720015A (en) * 1996-04-22 1998-02-17 Lexmark International, Inc. Method and apparatus for providing remote printer resource management
EP0979458A4 (en) * 1996-05-14 2000-05-03 Ricoh Corp Ltd JAVA PRINTER
JP3834878B2 (ja) * 1996-07-23 2006-10-18 ソニー株式会社 印刷システム、印刷方法、変換装置、データ処理方法、および印刷装置
US5956487A (en) * 1996-10-25 1999-09-21 Hewlett-Packard Company Embedding web access mechanism in an appliance for user interface functions including a web server and web browser
US5901286A (en) * 1996-11-15 1999-05-04 Canon Information Systems, Inc. Method and apparatus for communicating with a network peripheral
US6184996B1 (en) * 1997-06-18 2001-02-06 Hewlett-Packard Company Network printer with remote print queue control procedure
US6141749A (en) 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
EP0935182A1 (en) * 1998-01-09 1999-08-11 Hewlett-Packard Company Secure printing
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US7409694B2 (en) * 1998-09-09 2008-08-05 Microsoft Corporation Highly componentized system architecture with loadable virtual memory manager
JP3780726B2 (ja) * 1999-02-17 2006-05-31 ブラザー工業株式会社 画像処理システム及び記録媒体
JP3403971B2 (ja) * 1999-06-02 2003-05-06 富士通株式会社 パケット転送装置
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
US20020007422A1 (en) * 2000-07-06 2002-01-17 Bennett Keith E. Providing equipment access to supply chain members
US7065564B2 (en) * 2000-12-22 2006-06-20 Canon Kabushiki Kaisha Network system, method and apparatus for processing information, and control program
US7269647B2 (en) * 2000-12-15 2007-09-11 International Business Machines Corporation Simplified network packet analyzer for distributed packet snooper
US20020078200A1 (en) * 2000-12-18 2002-06-20 Helms Janine L. Printer configuration service through a firewall
EP1358559A4 (en) * 2001-01-31 2009-04-29 Lancope Inc NETWORK PORT-PROFILING
US20020174362A1 (en) * 2001-03-29 2002-11-21 Ibm Corporation Method and system for network management capable of identifying sources of small packets
US7552239B2 (en) * 2001-05-14 2009-06-23 Canon Information Systems, Inc. Network device mimic support
GB2376549A (en) * 2001-06-04 2002-12-18 Hewlett Packard Co Network including raster-driven print engine
IL159264A0 (en) * 2001-06-11 2004-06-01 Bluefire Security Technology Packet filtering system and methods
US7239409B2 (en) * 2001-06-22 2007-07-03 Hewlett-Packard Development Company, L.P. Remote access to print job retention
US7522627B2 (en) * 2001-09-14 2009-04-21 Nokia Corporation System and method for packet forwarding
US20030074428A1 (en) * 2001-10-11 2003-04-17 Haines Robert E. Device configuration method and apparatus
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
US7284061B2 (en) * 2001-11-13 2007-10-16 Canon Kabushiki Kaisha Obtaining temporary exclusive control of a device
US20030160989A1 (en) * 2002-02-25 2003-08-28 Xerox Corporation System for installing a printer driver on a network
JP3962612B2 (ja) * 2002-03-12 2007-08-22 キヤノン株式会社 情報処理装置及び情報処理装置で実行される設定方法とプログラム
US7756956B2 (en) * 2002-11-14 2010-07-13 Canon Development Americas, Inc. Mimic support address resolution
US20040117488A1 (en) * 2002-12-12 2004-06-17 Mcnamee Kevin Dynamic callback packet filtering gateway
US20040184106A1 (en) * 2003-03-21 2004-09-23 Sharp Laboratories Of America, Inc. Hybrid printer driver for color and black and white print-job splitting
US7298512B2 (en) * 2003-03-26 2007-11-20 Hewlett-Packard Development Company, L.P. Printing device with embedded database connector
US7436533B2 (en) * 2003-04-16 2008-10-14 Infoprint Solutions Company, Llc Printer discovery, status and automatic addition of printer to print spooler database
US7409707B2 (en) * 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8095627B2 (en) 2005-06-30 2012-01-10 Brother Kogyo Kabushiki Kaisha Information processing device, communication system, management device, method, and program
JP2008010018A (ja) * 2007-09-21 2008-01-17 Brother Ind Ltd 情報処理装置、通信システム、管理装置、及び、プログラム

Also Published As

Publication number Publication date
US20050071493A1 (en) 2005-03-31
US20070260722A1 (en) 2007-11-08
US7603456B2 (en) 2009-10-13

Similar Documents

Publication Publication Date Title
AU2004202137B2 (en) Multi-layered firewall architecture
US7367052B1 (en) Access list key compression
EP1231754B1 (en) Handling information about packet data connections in a security gateway element
EP1326393B1 (en) Validation of the configuration of a Firewall
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
Lopez et al. Framework for interface to network security functions
US7260840B2 (en) Multi-layer based method for implementing network firewalls
US7409707B2 (en) Method for managing network filter based policies
US7496955B2 (en) Dual mode firewall
US7308711B2 (en) Method and framework for integrating a plurality of network policies
EP1303079B1 (en) Central policy based traffic management
US7882540B2 (en) System and method for on-demand dynamic control of security policies/rules by a client computing device
US7603456B2 (en) System and method for securing remote administrative access to a processing device
US7463593B2 (en) Network host isolation tool
US8914339B2 (en) Device for managing data filters
CN112217782A (zh) 用于在计算机网络中识别攻击的设备和方法
EP1659752A1 (en) System and method for snmp packet filtering for printing devices
CN117499267B (zh) 网络设备的资产测绘方法、设备及存储介质
WO2004062216A1 (ja) ファイアウォールのポリシをチェックする装置
KR20240117337A (ko) 가상 방화벽 시스템
Lopez et al. RFC 8329: Framework for Interface to Network Security Functions
Dunbar et al. Internet Engineering Task Force (IETF) D. Lopez Request for Comments: 8329 Telefonica I+ D Category: Informational E. Lopez
CN118869620A (zh) 一种软硬件结合的车载网络流量的处理方法及装置
El Khoury Hicham et al. A Specification Method for Analyzing Fine Grained Network Security Mechanism Configurations