JP2005136629A - ネットワークシステム - Google Patents
ネットワークシステム Download PDFInfo
- Publication number
- JP2005136629A JP2005136629A JP2003369371A JP2003369371A JP2005136629A JP 2005136629 A JP2005136629 A JP 2005136629A JP 2003369371 A JP2003369371 A JP 2003369371A JP 2003369371 A JP2003369371 A JP 2003369371A JP 2005136629 A JP2005136629 A JP 2005136629A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information processing
- processing apparatus
- network
- switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワーク全体のセキュリティーを向上させる。
【解決手段】 パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から送信される所定パケットを取り込む取込手段、所定フィルタリング条件を設定する設定手段を備える。
【選択図】図1
【解決手段】 パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から送信される所定パケットを取り込む取込手段、所定フィルタリング条件を設定する設定手段を備える。
【選択図】図1
Description
本発明は、パケットによる通信機能を有する情報処理装置から送信されるパケットを制御するための技術に関する。
現在、IP端末(IPパケットによる通信機能を有する情報処理装置。たとえば、一般的なパーソナルコンピュータやワークステーション。)は、ケーブルを外部接続機器(たとえばハブ、トランシーバ、スイッチングハブ、ルータ)に接続、または、無線LANアダプタ/カードを経由し、無線LANアクセスポイントと接続するだけでネットワークに接続可能となっている。ネットワークには、セキュリティホールを利用したウィルスが蔓延している。このため、常に感染への予防策を立てる必要がある。
しかしながら、現在のウィルス感染原因の大半は人的ミス(パッチ適用忘れ、旧版ウィルス定義ファイルによる運用)によるものであり、今後もその数を減少させることは難しい。また、現在の社内ネットワークはDHCPサーバ(IPアドレスの配布)や認証サーバ(クライアント認証)によるIP端末情報の集中管理を行っているが、IP端末に独自で(管理対象外の)IPアドレスを設定したり、認証を必要としないアプリケーションサーバへ無条件にアクセスできる。このため、ネットワークのセキュリティーが非常に弱くなっている。
また、ルータ/ハブや無線LANアクセスポイントにおいて、ポートでの通信を制御するために、認証サーバ(RADIUSサーバ)と連携し、ユーザ認証後でなければ通信出来ないようにするIEEE802.1xがある。
しかしながら、特に有線LANに対して、既存のネットワークで使用しているルータ/ハブをRADIUS対応に交換しなければならず、ネットワーク(特に社内の有線LANのみを利用する中小規模の事業者や、個人にPCを配布し、自宅と教室で共通して利用する教育機関でのネットワーク)の再構築費用がかかる。また、IP払い出し、ユーザ認証、ウイルスチェックソフトのバージョン(定義ファイルバージョン)等の複数条件によってルータ/ハブのポート単位での制限が行えない。
(例えば特許文献1等参照)。
特開平09−172450号公報
特開2001−77811号公報
特願2002−346949
RADIUS(RFC2138,2139)IEEE802.1X:相互接続実験報告書(musenlan2002.pdf)Symantec AntiVirus:(sav_ce.pdf)
(例えば特許文献1等参照)。
本発明の課題は、IP端末と外部接続機器の間に通信で必要なIPアドレスとポート番号を制限するIP制限機構を設け、且つ、IP制限機構を集中管理(IP制限機構管理機能)し、他の管理サーバ(DHCP・ウイルスチェック・認証・IDS等)と連携し、ネットワーク全体のセキュリティーを向上させることにある。
本発明は、上記課題を解決するためになされたものであり、パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情
報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から所定プロトコルで送信される所定パケットを取り込む取込手段、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する設定手段、を備え、前記制限切換手段は、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換え、前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち前記設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、ネットワークシステム。
報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から所定プロトコルで送信される所定パケットを取り込む取込手段、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する設定手段、を備え、前記制限切換手段は、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換え、前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち前記設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、ネットワークシステム。
本発明によれば、スイッチ手段はこれに入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える。たとえば、他の管理サーバ(DHCP・ウイルスチェック・認証・IDS等)と連携するフィルタリング条件配布手段から特定の情報を含むパケットが取り込まれた場合に、フィルタリング手段を経由する伝送路とフィルタリング手段を経由しない伝送路のいずれかにパケット伝送路を切り換える。従って、情報処理装置から送信されるパケットを制御することが可能となり、ネットワーク全体のセキュリティーを向上させることが可能となる。
上記ネットワークシステムにおいては、例えば、前記フィルタリング条件は、前記所定サーバにアクセスするパケットのみを通過させるための条件を含む。これは、フィルタリング条件の一例を示したものである。例えば、宛先IPアドレスやポート番号をフィルタリング条件とすることが可能である。
上記ネットワークシステムにおいては、例えば、前記所定サーバは、DHCPサーバ、又は、ウイルスチェックサーバのいずれかである。これは、所定サーバの一例を示したものである。従って、本発明の所定サーバは他のサーバであってもよい。
上記ネットワークシステムにおいては、例えば、前記所定サーバは、自己にアクセスした情報処理装置に対して所定データを含むパケットを送信するとともに、その情報処理装置を前記フィルタリング条件配布手段に通知し、前記フィルタリング条件配布手段は、前記所定サーバから前記通知を受けた場合、前記情報処理装置に受信されることを目的として所定プロトコルで所定パケットを送信し、前記制限切換手段は、前記取り込み手段が取り込んだ所定パケットが特定のデータを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第1パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由しないパケット伝送路に切り換える。これは、所定サーバとフィルタリング条件配布手段との連携動作を例示したもの
である。
である。
上記ネットワークシステムにおいては、例えば、前記所定プロトコルはICMPプロトコルである。このようにすれば、パケット制御装置は、フィルタリング条件配布手段から送信されるパケットを取り込むことが可能であり、そのためにパケット制御装置にIP通信プログラムを持つ必要がない。
上記ネットワークシステムにおいては、例えば、前記スイッチ手段は、接点式のスイッチである。
本発明は装置の発明として次のように特定できる。パケットによる通信機能を有する情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御する装置であって、前記情報処理装置および前記ネットワークが接続され、入力される切換命令に従って、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段と、前記スイッチ手段に前記切換命令を入力する制限切換手段と、
を備えるパケット制御装置。
を備えるパケット制御装置。
上記パケット制御装置においては、例えば、前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える。
また、上記パケット制御装置においては、例えば、前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える。
また、上記パケット制御装置においては、例えば、前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち予め設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる。
また、上記パケット制御装置においては、例えば、前記フィルタリング条件を設定する設定手段をさらに備える。
また、上記パケット制御装置においては、例えば、前記ネットワーク側から前記情報処理装置に受信されることを目的として所定プロトコルで送信されるパケットを取り込む取込手段をさらに備え、前記設定手段は、前記取込手段が取り込んだパケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する。
また、上記パケット制御装置においては、例えば、前記制限切換手段は、前記取込手段が取り込んだパケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、
前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換える。
前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換える。
また、上記パケット制御装置においては、例えば、前記フィルタリング条件は、所定サーバにアクセスするパケットのみを通過させるための条件を含む。
また、上記パケット制御装置においては、例えば、前記所定サーバは、DHCPサーバ、又は、ウイルスチェックサーバのいずれかである。
また、上記パケット制御装置においては、例えば、前記制限切換手段は、前記取込手段が取り込んだパケットが特定のデータを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第1パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由しないパケット伝送路に切り換える。
また、上記パケット制御装置においては、例えば、前記所定プロトコルはICMPプロトコルである。
また、上記パケット制御装置においては、例えば、前記スイッチ手段は、接点式のスイッチである。
本発明によれば、登録されていないIP端末やウイルスチェック機能が古いIP端末から送信されるパケットを制御することが可能であることから、悪意のあるIP端末のネットワークへの接続を遮断し、IP制限機構管理装置が他のサーバ(認証サーバ・IDS等)と連携することで、ネットワーク接続後の悪意のあるIP端末の切り離しをネットワークを運用したまま、他の正しいIP端末の通信に影響を与えることなく行える。
以下、本発明の一実施形態であるパケット制御装置を含むネットワークシステムの概略システム構成について図面を参照しながら説明する。
(第1実施形態)
(概略システム構成)
図1に、本実施形態のネットワークシステムの概略システム構成例を示す。このネットワークシステムは、複数の(同図では3つを例示する)IP端末100(本発明の情報処理装置に相当)、IP制限機構200(本発明のパケット制御装置に相当)、IP制限機構管理装置300(本発明のフィルタリング条件配布手段に相当)、および、DHCPサーバ400(本発明の所定サーバに相当)を包含する。このネットワークシステムは、IP制限機構200、IP制限機構管理装置300、および、DHCPサーバ400が連携して、IP端末100とネットワークNとの間のパケット伝送路を状況に応じて切り換えることにより、IP端末100からネットワークNに送出されるパケットを制御し、これにより、セキュリティを高めようとするものである。
(第1実施形態)
(概略システム構成)
図1に、本実施形態のネットワークシステムの概略システム構成例を示す。このネットワークシステムは、複数の(同図では3つを例示する)IP端末100(本発明の情報処理装置に相当)、IP制限機構200(本発明のパケット制御装置に相当)、IP制限機構管理装置300(本発明のフィルタリング条件配布手段に相当)、および、DHCPサーバ400(本発明の所定サーバに相当)を包含する。このネットワークシステムは、IP制限機構200、IP制限機構管理装置300、および、DHCPサーバ400が連携して、IP端末100とネットワークNとの間のパケット伝送路を状況に応じて切り換えることにより、IP端末100からネットワークNに送出されるパケットを制御し、これにより、セキュリティを高めようとするものである。
IP端末100は、IPパケットによる通信機能を有する一般的なパーソナルコンピュータ等の情報処理装置であり、IP制限機構200(およびスイッチングハブSH)を介してネットワークNに接続されている。IP端末100は、CPU等の制御装置および処理装置、これにバス等を介して接続された、ディスプレイ等の画像表示装置、キーボードやマウス等の入力装置、ハードディスク装置等の記憶装置、および、LANカード等の通信装置等を備える。IP端末100は、その記憶装置にインストールされている各種プロ
グラムを読み込んで実行することにより、後述の各種機能、処理を実現する。
(IP制限機構200の構成)
IP制限機構200は、IP端末100とネットワークNとの間に設けられ、IP端末100から送信されるIPパケットを制御するためのものであり、そのために、IP端末100とネットワークNとの間のパケット伝送路を、状況に応じて切り換える。IP制限機構200の概略構成例を図2に示す。
グラムを読み込んで実行することにより、後述の各種機能、処理を実現する。
(IP制限機構200の構成)
IP制限機構200は、IP端末100とネットワークNとの間に設けられ、IP端末100から送信されるIPパケットを制御するためのものであり、そのために、IP端末100とネットワークNとの間のパケット伝送路を、状況に応じて切り換える。IP制限機構200の概略構成例を図2に示す。
IP制限機構200は、スイッチ210、端末側分岐部220、ネットワーク側分岐部230、制限回路240、制限IP/PORT格納メモリ250、制限データ検出部260、端末監視部270、制限切換部280、および、端末MAC/IPアドレス格納メモリ290等を備えている。なお、複数のIP端末100に対応可能なように、複数のIP制限機構200を、外部接続機器(たとえばスイッチングハブやルータ等)の内部に組み込んで構成してもよい(図11参照)。このようにIP制限機構200を従来の外部接続機器に内蔵することとすれば、設置スペースを同等とした構成をとれる。また、外部接続機器とは異なる筐体の内部に組み込んで構成してもよい(図12参照)。このようにすれば、既存設備を継続して利用できる。また、IP制限機構200を個々の筐体に組み込んで構成してもよい(図13参照)。このように、IP制限機構200を外部接続機器外部に設けるようにすれば、ソフトやベンダ等が限定されることがないことから、汎用性を持たせることが可能となる。
スイッチ210は、第1パケット入力部211、第2パケット入力部212、および、パケット出力部213を有する。第1パケット入力部211には、IP端末100が直接(制限回路240を介することなく)接続され該IP端末100から送信されるIPパケットが入力される。第2パケット入力部212には、IP端末100が制限回路240(本発明のパケットフィルタリング手段に相当)を介して接続され該IP端末100から送信されるIPパケットが入力される。パケット出力部213には、ネットワークNが接続される。スイッチ210は、これに入力される切換命令に従って第1又は第2パケット入力部211又は212のいずれかとパケット出力部213とを接続させる。これにより、スイッチ210は、IP端末100とネットワークNとの間のパケット伝送路を切り換える。具体的には、IP端末100から送信されるIPパケットをそのまま(制限回路202を介することなく)ネットワークNに送出するための第1パケット伝送路と、IP端末100から送信されるIPパケットを制限回路202を介してネットワークNに送出するための第2パケット伝送路と、を切り換える。なお、スイッチ210としては、各種スイッチを用いることが可能である。例えば、所定回路により構成されるスイッチ、または、(機械)接点式スイッチ等の物理的なスイッチを用いることが可能である。
端末側分岐部220は、IP端末100から送信されるIPパケットを受信し、これを複数の分岐先(スイッチ210、制限回路240、および端末監視部270)それぞれへ転送するデータ分岐機能を有する。ネットワーク側分岐部230は、ネットワークN側から到着するIPパケットを受信し、これを複数の分岐先(IP端末100、および制限データ検出部260等)それぞれへ転送するデータ分岐機能を有する。
制限回路240にはIP端末100から送信されるIPパケットが端末側分岐部220を介して入力される。制限回路240は、IP端末100から送信されるIPパケットのうち予め設定されたフィルタリング条件(ここでは制限IP/PORT格納メモリ250に設定されたIPアドレス/PORT番号)に従って取捨選択し、この取捨選択したIPパケットのみを通過させるための回路である。この取捨選択したIPパケットは、第2パケット入力部212に入力される。
制限IP/PORT格納メモリ250は、制限対象のIPアドレス/PORT番号を保
存するためのメモリである。このIPアドレス/PORT番号は、例えば、IP制限機構管理装置300から受信する(後述)。
存するためのメモリである。このIPアドレス/PORT番号は、例えば、IP制限機構管理装置300から受信する(後述)。
制限データ検出部260は、ネットワークN側(たとえばIP制限機構管理装置300)からIP端末100に受信されることを目的としてICMPプロトコル(本発明の所定プロトコルに相当)で送信されるICMPエコーリクエスト(フィルタリング条件を指定する指定データを含むパケット)を取り込むためのものである(本発明の取込手段に相当)。また、制限データ検出部260は、その取り込んだパケットがフィルタリング条件を指定する指定データを含む場合、その指定データにより指定されるフィルタリング条件を、制限IP/PORT格納メモリ250に設定(保存)する。また、制限データ検出部260は、制限切換部280へ制限データの変更を通知する。
制限切換部280(本発明の制限切換手段に相当)は、スイッチ210に対して切換命令を入力するためのものである。制限切換部280は、たとえば、端末監視部270から制限切換を依頼された場合や、制限データ検出部260から制限データの変更を通知された場合に、スイッチ210に対して切換命令(切換信号、または、切換コマンド等)を入力する。また、制限切換部280は、ネットワークN側(たとえばIP制限機構管理装置300)からIP端末100に受信されることを目的としてICMPプロトコル(本発明の所定プロトコルに相当)で送信されるICMPエコーリクエスト(パケット)を取り込む(この場合、本発明の取込手段に相当)。そして、制限切換部280は、その取り込んだパケットが制限解除データ等の特定のデータを含む場合にも、スイッチ210に対して切換命令を入力する。
(IP制限機構管理装置300の構成)
IP制限機構管理装置300の概略構成例を図3に示す。IP制限機構管理装置300は、IP端末100に受信されることを目的としてICMPプロトコル(本発明の所定プロトコルに相当)で、フィルタリング条件や制限解除データ等の特定のデータを含むICMPエコーリクエスト(パケット)を送信するためのものである。
(IP制限機構管理装置300の構成)
IP制限機構管理装置300の概略構成例を図3に示す。IP制限機構管理装置300は、IP端末100に受信されることを目的としてICMPプロトコル(本発明の所定プロトコルに相当)で、フィルタリング条件や制限解除データ等の特定のデータを含むICMPエコーリクエスト(パケット)を送信するためのものである。
IP制限管理装置300は、CPU等の制御装置および処理装置、これにバス等を介して接続された、ディスプレイ等の画像表示装置、キーボードやマウス等の入力装置、ハードディスク装置等の記憶装置、および、LANカード等の通信装置等を備える、一般的なパーソナルコンピュータ等の情報処理装置である。IP制限機構管理装置300は、その記憶装置にインストールされている各種プログラムを読み込んで実行することにより、IP制限機構管理機能、他のサーバ連携機能、IP制限機構通信機能、他のサーバのプロキシー機能等を実現する。IP制限機構管理装置300は、IP端末管理データベース等も備えている。
IP制限機構管理機能310は、IP端末100の管理(制限中や解除しているIP端末の情報)を行い他のサーバ(ここではDHCPサーバ400)の情報を元に、IP制限機構200への制限情報の通知や、初期化データの配布管理を行う。
IP端末管理データベース320は、制限中や制限解除のIP端末の情報を管理するためのデータベースである。
他のサーバ連携機能330〜360は、他のサーバ(DHCPサーバ、ウィルスチェックサーバ、認証サーバ、IDSサーバ等)ごとのデータ管理機能と、サーバ間通信のための通信ソフトで構成され、他の管理サーバの状態の変化を検出し、IP制限機構管理機能310へ通知する。
IP制限機構通信機能370は、IP制限機構200への制限データの配送を行う。他
のサーバのプロキシー機能380は、他の管理サーバとIP端末100の間に入り、他の管理サーバの代理として動作する機能である。この機能により、IP端末100が他の管理サーバで許可されてから、IP制限機構200の制限が解除されるタイムラグをなくすことができる。
のサーバのプロキシー機能380は、他の管理サーバとIP端末100の間に入り、他の管理サーバの代理として動作する機能である。この機能により、IP端末100が他の管理サーバで許可されてから、IP制限機構200の制限が解除されるタイムラグをなくすことができる。
DHCPサーバ400(本発明の所定サーバに相当)は、IP端末100からIP制限機構200を介してアクセスされるサーバである。
次に、上記ネットワークシステムの動作について図面を参照しながら説明する。
(IP制限機構200の初期化待ち状態)
まず、IP制限機構200を初期化待ち状態とするための処理について図5(特に図5の下段ブロック)等を参照しながら説明する。初期化待ち状態とは、スイッチ210の第2パケット入力部212とパケット出力部213とが接続された状態、かつ、各メモリが初期化された状態をいう。この初期化待ち状態とするための処理は、端末監視部270が主体となって行う。
(IP制限機構200の初期化待ち状態)
まず、IP制限機構200を初期化待ち状態とするための処理について図5(特に図5の下段ブロック)等を参照しながら説明する。初期化待ち状態とは、スイッチ210の第2パケット入力部212とパケット出力部213とが接続された状態、かつ、各メモリが初期化された状態をいう。この初期化待ち状態とするための処理は、端末監視部270が主体となって行う。
図2に示すように、端末監視部270には、端末100から送信されたIPパケットが、端末側分岐部220を介して入力される。端末監視部270は、IPパケットが入力されると、そのIPパケットが制限対象か否かを判定する。この判定のために、端末監視部270は、そのIPパケットの送信元IPアドレスと、端末MAC/IPアドレス格納メモリ290に保存されたIPアドレスとを照合する。端末MAC/IPアドレス格納メモリ290には、IP端末100のIPアドレスとMACアドレスとそのIP端末100が接続されているポートの識別情報との対応関係が保存されている。これらは図4に示すように、既存の自動学習の手順により得られたものである。
その照合の結果、両IPアドレスが一致しない場合、端末監視部270は、その入力されたIPパケットは制限対象でないと判定して、制限切換部280に対して制限切換を依頼する。これとともに、各メモリ250等を初期化する。なお、端末監視部270は、IP端末100から送信されるTD信号がT1秒断である場合も、同様の処理を行う。
端末監視部270から依頼を受けると、制限切換部280は、スイッチ210に対して切換命令を入力する。この切換命令が入力されると、スイッチ210は、制限解除状態(すなわち第1パケット入力部211とパケット出力部213とが接続された状態)であれば、制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換える。これにより、IP端末100から送信されるIPパケットを制限回路202を介してネットワークNに送出するための第2パケット伝送路が形成される。
以上の処理により、IP制限機構200の状態が「初期化待ち」状態となる。この状態は、たとえば、IP制限機構200がその内部に保持する初期化待ちフラグがオンに設定されること等により表される。
(IP制限機構200の初期化)
次に、IP制限機構200を初期化するための処理について図5を参照しながら説明する。初期化処理は、フィルタリング条件を設定する処理を含む。この初期化処理は、IP制限機構200、および、IP制限機構管理装置300が連携することで行う。
(IP制限機構200の初期化)
次に、IP制限機構200を初期化するための処理について図5を参照しながら説明する。初期化処理は、フィルタリング条件を設定する処理を含む。この初期化処理は、IP制限機構200、および、IP制限機構管理装置300が連携することで行う。
以下、この処理について具体的に説明する。IP制限機構管理装置300は、定期的に管理対象IPネットワーク1のブロードキャストアドレス(ここでは192.100.10.0)に対して、初期化データ(本発明のフィルタリング条件を指定する指定データに相当)をそのオプショナルデータ部分に含むICMPエコーリクエスト(パケット)を送信する(S100)。初期化データは、IP端末100から送信されるIPパケットのうち、DHCPサ
ーバ400にアクセスするIPパケットを通過させるための条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を含む。
ーバ400にアクセスするIPパケットを通過させるための条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を含む。
このIP制限機構管理装置300から送信されたICMPエコーリクエストは、ネットワーク側分岐部230を介して、IP制限機構200(制限データ検出部260)に入力される(S101)とともに、IP端末100にも入力される。
制限データ検出部260は、IP制限機構管理装置300から送信されたICMPエコーリクエストが入力されると、初期化待ちの状態の場合、このパケットを取り込む。このパケットは初期化データ(フィルタリング条件を指定する指定データ)を含むため、制限データ検出部260は、その指定データにより指定されるフィルタリング条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を、制限IP/PORT格納メモリ250に設定(保存)する。これとともに、制限データ検出部260は、制限切換部280に対して制限データの変更を通知する。
制限データ検出部260からの通知を受けると、制限切換部280は、スイッチ210に対して切換命令を入力する。この切換命令が入力されると、スイッチ210は、制限解除状態であれば(すなわち第1パケット入力部211とパケット出力部213とが接続された状態)、制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換える。なお、この切換は、予め制限状態に切り換えられているときは、行われない。これにより、IP端末100から送信されるIPパケットを制限回路202を介してネットワークNに送出するための第2パケット伝送路が形成される。
以上の処理により、IP制限機構200の初期化が完了する。すなわち、IP制限機構200の状態が「初期化待ち」完了状態となる。この状態は、たとえば、初期化待ちフラグがオフに設定されることにより表される。
(管理外IP端末の通信を制限する処理)
次に、管理外IP端末の通信を制限する処理について説明する。
(管理外IP端末の通信を制限する処理)
次に、管理外IP端末の通信を制限する処理について説明する。
この処理は、IP制限機構200、IP制限機構管理装置300、および、DHCPサーバ400等が連携することで行う。以下、この処理について具体的に説明する。
IP端末100が、DHCPサーバ400にアクセスするために、IPアドレス払い出しリクエストのIPパケット(DHCPDISCOVERパケット)を該当ポートへ送信(ブロードキャスト)したとする(S102)。なお、DHCPDISCOVERパケットの宛先MACアドレス、および宛先IPアドレスはオールビットオンされている。
このIPパケットはまず、端末側分岐部220を介して制限回路240に入力される。制限回路240は、IPパケットが入力されると、そのIPパケットが制限対象か否かを判定する。この判定のために、制限回路240は、そのIPパケットの宛先IPアドレスおよびポート番号と、制限IP/PORT格納メモリ250に格納されたIPアドレスおよびポート番号とを照合する。制限IP/PORT格納メモリ250には、上述の通り、制限対象IPパケットのIPアドレスおよびポート番号(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))が設定(保存)されている。
その照合の結果、両IPアドレスおよびポート番号が一致した場合(ここでは一致する)、制限回路240は、その入力されたIPパケットは制限対象でないと判定してこれを通過させる。すなわち、ここでは、上述の通りスイッチ210が制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換えられているため、その入力されたIPパケットは、制限回路240を通過してスイッチ210を介
してネットワークNに送出される(S102)。このように、制限回路240は、IP端末100から送信されるIPパケットのうちIP/PORT格納メモリ250に予め設定(保存)されたフィルタリング条件に従ってIPパケットを取捨選択し、この取捨選択したIPパケットのみをネットワークN側に通過させる。なお、制限回路240は、その照合の結果、両IPアドレスが一致しない場合、その入力されたIPパケットを廃棄する。これにより、この段階で、IP端末100が、DHCPサーバ400以外と通信することを制限できる。
してネットワークNに送出される(S102)。このように、制限回路240は、IP端末100から送信されるIPパケットのうちIP/PORT格納メモリ250に予め設定(保存)されたフィルタリング条件に従ってIPパケットを取捨選択し、この取捨選択したIPパケットのみをネットワークN側に通過させる。なお、制限回路240は、その照合の結果、両IPアドレスが一致しない場合、その入力されたIPパケットを廃棄する。これにより、この段階で、IP端末100が、DHCPサーバ400以外と通信することを制限できる。
DHCPサーバ400は、IP端末100から送信されるIPアドレス払い出しリクエストのパケットを受信すると、そのリクエスト元のIP端末100に対して、IPアドレスを払い出す(S103)。すなわち、所定IPアドレス(ここではIPアドレス:192.100.10.5)を含むIPパケットを、そのリクエスト元のIP端末100に送信する。
これとともに、DHCPサーバ400は、IPアドレス払い出し完了のIP端末100をIP制限機構管理装置300に知らせるために、所定のIPパケットをIP制限機構管理装置300に送信する(S104)。
IP端末100は、DHCPサーバ400から送信されるIPパケットを受信すると、そのIPパケットに含まれているIPアドレス(ここではIPアドレス:192.100.10.5)を、自己のIP通信のためのアドレスとして設定する。
一方、IP制限機構管理装置300は、DHCPサーバ400から送信されるIPパケットを受信すると、制限解除データ(本発明の特定のデータに相当)をそのオプショナル部分に含むICMPエコーリクエスト(パケット)を、そのリクエスト元のIP端末100に送信する(S105)。このIP制限機構管理装置300から送信されたICMPエコーリクエストは、ネットワーク側分岐部230を介して、制限切換部280に入力されるとともに、IP端末100にも入力される(S105、S106)。
制限切換部280は、IP制限機構管理装置300から送信されたICMPエコーリクエストが入力されると、このパケットを取り込む。このパケットは制限解除データを含むため、制限切換部280は、スイッチ210に対して切換命令を入力する。この切換命令が入力されると、スイッチ210は、制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)であれば、制限解除状態(すなわち第1パケット入力部211とパケット出力部213とが接続された状態)に切り換える。これにより、IP端末100から送信されるIPパケットを直接(制限回路202を介することなく)ネットワークNに送出するための第1パケット伝送路が形成される。従って、以後、DHCPサーバ400に限らず、通信をすることが可能となる。なお、この切換は、予め制限解除状態に切り換えられているときは、行われない。
一方、IP端末100は、S105でIP制限機構管理装置300から送信されたICMPエコーリクエストを受信すると、ICMPエコーリプライ(パケット)を、IP制限機構管理装置300に対して送信する(S107)。これにより、制限解除が完了となる。
以上説明したように、本実施形態のネットワークシステムによれば、ICMPプロトコルによるパケット(ICMPエコーリクエスト等)を利用していることから、ルータやスイッチングハブで分けられたネットワークやリモートアクセス(インターネットVPN接続等)でもネットワーク全体を一つのIP制限機構管理装置300で管理できる。
また、IP制限機構管理装置300を、他の管理サーバ(DHCPサーバ400)とI
P端末100の間に設置し、IP端末100から見て、他の管理サーバの代理(プロキシー)サーバとしていることから、ネットワーク全体のセキュリティ管理に関する通信をIP制限機構管理装置300でモニタリングでき、セキュリティ管理者の負荷を軽減できる。また、既存のネットワーク構成を変更することなく、セキュリティ効果を高めることが可能となる。(従来は、IEEE802.1Xと同様な機能を持った、アクセスポイント・スイッチングハブ等の導入により、アクセスポイント・スイッチングハブにMAC・IPアドレスが追加されネットワークアドレス体系の変更が必要であった)。また、フィルタリング条件を自動的に設定できることから、人為的ミスの撲滅が可能となる。また、IP制限機構200は、MACアドレスを持たず、ハードウェアのみで構成できることから、安価に同一の機器を製造できる。また、IP接続機構200をIEEE802.3afにより給電し動作可能
なIP端末100〜外部接続機器間のケーフ゛ルと一体化し、利用できる。また、IP制限機構200とIP制限機構管理装置300の間は既存のICMPプロトコルを利用することから、ファイアウォール等を含めたネットワークの設定変更が不要となる。また、IP制限機構管理装置300は一システムだけで、ネットワーク全体を管理できる。
P端末100の間に設置し、IP端末100から見て、他の管理サーバの代理(プロキシー)サーバとしていることから、ネットワーク全体のセキュリティ管理に関する通信をIP制限機構管理装置300でモニタリングでき、セキュリティ管理者の負荷を軽減できる。また、既存のネットワーク構成を変更することなく、セキュリティ効果を高めることが可能となる。(従来は、IEEE802.1Xと同様な機能を持った、アクセスポイント・スイッチングハブ等の導入により、アクセスポイント・スイッチングハブにMAC・IPアドレスが追加されネットワークアドレス体系の変更が必要であった)。また、フィルタリング条件を自動的に設定できることから、人為的ミスの撲滅が可能となる。また、IP制限機構200は、MACアドレスを持たず、ハードウェアのみで構成できることから、安価に同一の機器を製造できる。また、IP接続機構200をIEEE802.3afにより給電し動作可能
なIP端末100〜外部接続機器間のケーフ゛ルと一体化し、利用できる。また、IP制限機構200とIP制限機構管理装置300の間は既存のICMPプロトコルを利用することから、ファイアウォール等を含めたネットワークの設定変更が不要となる。また、IP制限機構管理装置300は一システムだけで、ネットワーク全体を管理できる。
なお、本実施形態のネットワークシステムは、IEEE802.1xに代わる物ではなく、特に有線LANに対して、ユーザ認証だけでなく、IPアドレスの集中管理・ウイルスチェックソフトの集中管理及びIDS等でのウイルス進入・セキュリティ検出等を含めて、統合的且つ動的(ネットワーク接続時だけ出なく、運用中でもダイナミックにIP通信の制限を行う)に安価で実現する方法である。
(第2実施形態)
(ウィルスチェック未完了のIP端末の通信を制限する処理)
(概略システム構成)
図6に、本実施形態のネットワークシステムの概略システム構成例を示す。図6に示すように、本実施形態のネットワークシステムは、ウイルスチェックサーバ500さらに包含する他は第1実施形態と同様の構成であるため、第1実施形態と同一の符号を付してその説明を省略する。
(第2実施形態)
(ウィルスチェック未完了のIP端末の通信を制限する処理)
(概略システム構成)
図6に、本実施形態のネットワークシステムの概略システム構成例を示す。図6に示すように、本実施形態のネットワークシステムは、ウイルスチェックサーバ500さらに包含する他は第1実施形態と同様の構成であるため、第1実施形態と同一の符号を付してその説明を省略する。
次に、上記ネットワークシステムの動作について図面を参照しながら説明する。
(IP制限機構200の初期化待ち状態)
IP制限機構200を初期化待ち状態とするための処理については、第1実施形態で既に説明したので省略する。
(IP制限機構200の初期化)
次に、IP制限機構200を初期化するための処理について図7を参照しながら説明する。初期化処理は、フィルタリング条件を設定する処理を含む。この初期化処理は、IP制限機構200、および、IP制限機構管理装置300が連携することで行う。
(IP制限機構200の初期化待ち状態)
IP制限機構200を初期化待ち状態とするための処理については、第1実施形態で既に説明したので省略する。
(IP制限機構200の初期化)
次に、IP制限機構200を初期化するための処理について図7を参照しながら説明する。初期化処理は、フィルタリング条件を設定する処理を含む。この初期化処理は、IP制限機構200、および、IP制限機構管理装置300が連携することで行う。
以下、この処理について具体的に説明する。IP制限機構管理装置300は、定期的に管理対象IPネットワーク1のブロードキャストアドレス(ここでは192.100.10.0)に対して、初期化データ(本発明のフィルタリング条件を指定する指定データに相当)をそのオプショナルデータ部分に含むICMPエコーリクエスト(パケット)を送信する(S200)。初期化データは、IP端末100から送信されるIPパケットのうち、DHCPサーバ400にアクセスするIPパケットを通過させるための条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を含む。
このIP制限機構管理装置300から送信されたICMPエコーパケットは、ネットワーク側分岐部230を介して、IP制限機構200(制限データ検出部260)に入力される(S201)とともに、IP端末100にも入力される。
制限データ検出部260は、IP制限機構管理装置300から送信されたICMPエコ
ーパケットが入力されると、初期化待ちの状態の場合、このパケットを取り込む。このパケットは初期化データ(フィルタリング条件を指定する指定データ)を含むため、制限データ検出部260は、その指定データにより指定されるフィルタリング条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を、制限IP/PORT格納メモリ250に設定(保存)する。これとともに、制限データ検出部260は、制限切換部280に対して制限データの変更を通知する。
ーパケットが入力されると、初期化待ちの状態の場合、このパケットを取り込む。このパケットは初期化データ(フィルタリング条件を指定する指定データ)を含むため、制限データ検出部260は、その指定データにより指定されるフィルタリング条件(ブロードキャストアドレス(ここでは255.255.255.255)、ポート番号(ここでは67,68))を、制限IP/PORT格納メモリ250に設定(保存)する。これとともに、制限データ検出部260は、制限切換部280に対して制限データの変更を通知する。
制限データ検出部260からの通知を受けると、制限切換部280は、スイッチ210に対して切換命令を入力する。この切換命令が入力されると、スイッチ210は、制限解除状態であれば(すなわち第1パケット入力部211とパケット出力部213とが接続された状態)、制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換える。なお、この切換は、予め制限状態に切り換えられているときは、行われない。これにより、IP端末100から送信されるIPパケットを制限回路202を介してネットワークNに送出するための第2パケット伝送路が形成される。
以上の処理により、IP制限機構200の初期化が完了する。すなわち、IP制限機構200の状態が「初期化待ち」完了状態となる。この状態は、たとえば、初期化待ちフラグがオフに設定されることにより表される。
(管理外IP端末の通信を制限する処理)
次に、管理外IP端末の通信を制限する処理について説明する。
(管理外IP端末の通信を制限する処理)
次に、管理外IP端末の通信を制限する処理について説明する。
この処理は、IP制限機構200、IP制限機構管理装置300、および、DHCPサーバ400等(他の管理サーバ)が連携することで行う。
(連携の概要)
DHCPサーバ400との連携方法は、DHCPサーバ400に、IP制限機構管理装置300と通信するための各エージェントソフトを組み込む。各エージェントソフトは、DHCPサーバ400の状態変化を常時監視し、状態変化があった場合に、IP制限機構管理装置300へ通知する。IP制限機構200が通信を許可する条件は、IP制限機構管理機能と連携したDHCPサーバ400で端末としての許可が確認出来たIP端末100のみとなり、その条件を満たさない限り、ネットワークNとの通信が不可能となる。
(連携の概要)
DHCPサーバ400との連携方法は、DHCPサーバ400に、IP制限機構管理装置300と通信するための各エージェントソフトを組み込む。各エージェントソフトは、DHCPサーバ400の状態変化を常時監視し、状態変化があった場合に、IP制限機構管理装置300へ通知する。IP制限機構200が通信を許可する条件は、IP制限機構管理機能と連携したDHCPサーバ400で端末としての許可が確認出来たIP端末100のみとなり、その条件を満たさない限り、ネットワークNとの通信が不可能となる。
IP制限機構200はMAC/IPアドレスを持たず、IP制限機構管理装置300から制限のON/OFF指示によって制限切り換えを行う。この時のデータはIP制限機構200がMAC/IPアドレスを持っていないことから、IP制限機構管理装置300から接続されるIP端末100のIPアドレスに対しての、ICMPパケットICMPパケットを使用する。
(連携の詳細)
以下、この処理について具体的に説明する。
(連携の詳細)
以下、この処理について具体的に説明する。
IP端末100が、DHCPサーバ400にアクセスするために、IPアドレス払い出しリクエストのIPパケット(DHCPDISCOVERパケット)を該当ポートへ送信(ブロードキャスト)したとする(S202)。なお、DHCPDISCOVERパケットの宛先MACアドレス、および宛先IPアドレスはオールビットオンされている。
このIPパケットはまず、端末側分岐部220を介して制限回路240に入力される。制限回路240は、IPパケットが入力されると、そのIPパケットが制限対象か否かを判定する。この判定のために、制限回路240は、そのIPパケットの宛先IPアドレスおよびポート番号と、制限IP/PORT格納メモリ250に格納されたIPアドレスおよびポート番号とを照合する。制限IP/PORT格納メモリ250には、上述の通り、制限対象IPパケットのIPアドレスおよびポート番号(ブロードキャストアドレス(こ
こでは255.255.255.255)、ポート番号(ここでは67,68))が設定(保存)されている。
こでは255.255.255.255)、ポート番号(ここでは67,68))が設定(保存)されている。
その照合の結果、両IPアドレスおよびポート番号が一致した場合(ここでは一致する)、制限回路240は、その入力されたIPパケットは制限対象でないと判定してこれを通過させる。すなわち、ここでは、上述の通りスイッチ210が制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換えられているため、その入力されたIPパケットは、制限回路240を通過してスイッチ210を介してネットワークNに送出される(S202)。このように、制限回路240は、IP端末100から送信されるIPパケットのうちIP/PORT格納メモリ250に予め設定(保存)されたフィルタリング条件に従ってIPパケットを取捨選択し、この取捨選択したIPパケットのみを値とワークN側に通過させる。なお、制限回路240は、その照合の結果、両IPアドレスが一致しない場合、その入力されたIPパケットを廃棄する。これにより、この段階で、IP端末100が、DHCPサーバ400以外との通信することを制限できる。
DHCPサーバ400は、IP端末100から送信されるIPアドレス払い出しリクエストのパケットを受信すると、そのリクエスト元のIP端末100に対して、IPアドレスを払い出す(S203)。すなわち、所定IPアドレス(ここではIPアドレス:192.100.10.5)を含むIPパケットを、そのリクエスト元のIP端末100に送信する。これとともに、DHCPサーバ400は、IPアドレス払い出し完了のIP端末100をIP制限機構管理装置300に知らせるために、所定のIPパケットをIP制限機構管理装置300に送信する(S204)。
IP端末100は、DHCPサーバ400から送信されるIPパケットを受信すると、そのIPパケットに含まれているIPアドレス(ここではIPアドレス:192.100.10.5)を、自己のIP通信のためのアドレスとして設定する。
一方、IP制限機構管理装置300は、DHCPサーバ400から送信されるIPパケットを受信すると、本発明のフィルタリング条件を指定する指定データに相当する、ウイルスチェックサーバ500のIPアドレス(ここでは192.200.20.4)およびそのポート番号(ここではALL)をそのオプショナル部分に含むICMPエコーリクエスト(パケット
を)、そのリクエスト元のIP端末100に送信する(S205、S206)。
を)、そのリクエスト元のIP端末100に送信する(S205、S206)。
このIP制限管理装置300から送信されたICMPエコーリクエストは、ネットワーク分岐部230を介して、IP制限機構200(制限データ検出部260)に入力される(S206)とともに、IP端末100にも入力される。
制限データ検出部260は、IP制限機構管理装置300から送信されたICMPエコーリクエストが入力されると、このパケットを取り込む。このパケットはフィルタリング条件を指定する指定データを含むため、制限データ検出部260は、その指定データにより指定されるフィルタリング条件(ウイルスチェックサーバ500のIPアドレス(ここでは192.200.20.4)およびそのポート番号(ここではALL))を、制限IP/PORT格
納メモリ250に設定(保存)する。
納メモリ250に設定(保存)する。
一方、IP端末100は、ICMPエコーリクエストを受信すると、ICMPエコーリプライ(パケット)を、IP制限機構管理装置300に送信する(S207)。これにより、制限追加完了となる。
ここで、IP端末100が、最新のウイルス定義をダウンロードするために、ウイルスチェックサーバ500のIPアドレス(192.200.20.4)およびそのポート番号(ALL)を宛先
アドレス等に設定した、最新のウイルス定義リクエストのIPパケットを送信したとする(S208)。なお、この処理を行うために、IP端末100では、ウイルスチェックのためのクライアントソフトが起動されているものとする。
アドレス等に設定した、最新のウイルス定義リクエストのIPパケットを送信したとする(S208)。なお、この処理を行うために、IP端末100では、ウイルスチェックのためのクライアントソフトが起動されているものとする。
このIPパケットはまず、端末側分岐部220を介して制限回路240に入力される。制限回路240は、IPパケットが入力されると、そのIPパケットが制限対象か否かを判定する。この判定のために、制限回路240は、そのIPパケットの宛先IPアドレスおよびポート番号と、制限IP/PORT格納メモリ250に格納されたIPアドレスおよびポート番号とを照合する。制限IP/PORT格納メモリ250には、上述の通り、制限対象IPパケットのIPアドレスおよびポート番号(ウイルスチェックサーバ500のIPアドレス(ここでは182.0.20.4)、そのポート番号(ここではALL))が設定(保存
)されている。
)されている。
その照合の結果、両IPアドレスおよびポート番号が一致した場合(ここでは一致する)、制限回路240は、その入力されたIPパケットは制限対象でないと判定してこれを通過させる。すなわち、ここでは、上述の通りスイッチ210が制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)に切り換えられているため、その入力されたIPパケットは、制限回路240を通過してスイッチ210を介してネットワークNに送出される(S208)。このように、制限回路240は、IP端末100から送信されるIPパケットのうちIP/PORT格納メモリ250に予め設定(保存)されたフィルタリング条件に従ってIPパケットを取捨選択し、この取捨選択したIPパケットのみをネットワークN側に通過させる。なお、制限回路240は、その照合の結果、両IPアドレスが一致しない場合、その入力されたIPパケットを廃棄する。これにより、この段階で、IP端末100が、ウイルスチェックサーバ500以外と通信することを制限できる。
ウイルスチェックサーバ500は、IP端末100から送信される最新のウイルス定義リクエストのパケットを受信すると、そのリクエスト元のIP端末100に対して、最新のウイルス定義を配布する(S209)。これとともに、ウイルスチェックサーバ500は、ウイルス定義の更新完了のIP端末100をIP制限機構管理装置300に知らせるために、所定のIPパケットをIP制限機構管理装置300に送信する(S210)。
IP端末100は、ウイルスチェックサーバ500から送信される最新のウイルス定義を受信(ダウンロード)すると、これを利用可能なようにインストール(更新)する。
一方、IP制限機構管理装置300は、ウイルスチェックサーバ500から送信されるIPパケットを受信すると、制限解除データ(本発明の特定のデータに相当)をそのオプショナル部分に含むICMPエコーリクエスト(パケット)を、そのリクエスト元のIP端末100に送信する(S211)。このIP制限機構管理装置300から送信されたICMPエコーリクエストは、ネットワーク側分岐部230を介して、制限切換部280に入力されるとともに、IP端末100にも入力される(S211、S212)。
制限切換部280は、IP制限機構管理装置300から送信されたICMPエコーリクエストが入力されると、このパケットを取り込む。このパケットは制限解除データが含むため、制限切換部280は、スイッチ210に対して切換命令を入力する。この切換命令が入力されると、スイッチ210は、制限状態(すなわち第2パケット入力部212とパケット出力部213とが接続された状態)であれば、制限解除状態(すなわち第1パケット入力部211とパケット出力部213とが接続された状態)に切り換える。これにより、IP端末100から送信されるIPパケットを直接(制限回路202を介することなく)ネットワークNに送出するための第1パケット伝送路が形成される。従って、以後、D
HCPサーバ400およびウイルスチェックサーバ500に限らず、通信をすることが可能となる。なお、この切換は、予め制限解除状態に切り換えられているときは、行われない。
HCPサーバ400およびウイルスチェックサーバ500に限らず、通信をすることが可能となる。なお、この切換は、予め制限解除状態に切り換えられているときは、行われない。
一方、IP端末100は、S211でIP制限機構管理装置300から送信されたICMPエコーリクエストを受信すると、ICMPエコーリプライ(パケット)を、IP制限機構管理装置300に対して送信する(S213)。これにより、制限解除が完了となる。
以上説明したように、本実施形態のネットワークシステムによれば、ウイルスチェックソフトが導入されていない場合や、最新ウイルス定義が更新されていない場合には、アクセス可能なサーバが所定サーバ(ウイルスチェックサーバ500)に制限される。従って、これらソフト等の導入を促進させることが可能となることから、ウイルスチェックソフトの未導入や最新ウイルス定義の更新忘れ等の人的ミスによるウイルス感染を防止することが可能となる。また、ウイルス対策ソフトは既存のシステム(他の管理サーバとしてのウイルスチェックサーバで一括管理)で対応できることから、ソフトの制限がない。
以下、中小企業において、既存のネットワーク構成を変更せずに、PCクライアント端末(IP端末に相当)の制限を行う例について説明する。
現在のネットワーク構成を図8に示す。同図に示すように、本ネットワークは、IPアドレスの割り当てを行うDHCPサーバ、インターネットとイントラネットを分離するファイアウォール、不正進入のチェックを行うIDS、社内データの一元管理を行うファイルサーバ、および、IP端末PCへのウイルスチェックソフトのインストールとウイルス定義ファイルの管理と配布を行うウイルスチェックサーバ等を包含する。
このネットワーク構成には、次の問題点がある。(1)個人所有のIP端末(たとえばパーソナルコンピュータ)をスイッチングハブの空きポートに接続し、IP端末に固定でIPアドレスを付与すると、社内ネットワーク上のIP端末PCにアクセスできてしまう。(2)IP端末内のウイルスチェックソフトが起動されていなかったり、ウイルス定義ファイルの更新がされていなくても、イントラネット上のIP端末やファイルサーバにアクセスできてしまう。(3)ファイアウォールにより社内にウイルスに汚染されたIP端末が見つかった場合に即座に該当IP端末をネットワークからから切り離せない。(4)IDSにより社内ネットワークから社内及びインターネットに対して不正侵入を行っているIP端末が見つかった場合に即座に該当IP端末をネットワークから切り離せない。
上記の問題に対して、本実施例では、図9に示すように、図8に示したスイッチングハブに代えて、IP制限機構内蔵のスイッチングハブを用いる。これにより、(1)個人所有のIP端末をスイッチングハブの空きポートに接続し、IP端末に固定でIPアドレスを付与しても、IP制限機構によりネットワークへの接続をできなくできる。(2)IP端末内のウイルスチェックソフトが起動されていなかったり、ウイルス定義ファイルの更新がされていなくても、IP制限機構によりネットワークへの接続をできなくできる。
IP制限機構管理機能では、本ネットワーク上に接続出来る(IP制限機構の制限解除)IP端末は、(1)DHCPサーバからIPアドレスを配布されたIP端末であること、(2)ウイルスチェックサーバにより、IP端末上のウイルスチェックソフトが有効であること及び、ウイルス定義ファイルが最新であること、の2点共クリアしたIP端末でなければならないように設定されている。
従って、(1)ファイアウォールにより社内にウイルスに汚染されたIP端末が見つかった場合に即座に該当IP端末をネットワークから切り離せる。(2)IDSにより社内ネネットワークから社内及びインターネットに対して不正侵入を行っているIP端末が見つかった場合に即座に該当IP端末をネットワークから切り離せる。(3)IP制限機構管理機能ではファイアウォールやIDSから通知された検出情報や、ファイアウォールやIDSに組み込んだエージェントソフトから通知された切り離しIP端末情報により、該当IP端末が接続されているIP制限機構に対して制限をかけることにより、該当IP端末をネットワークから切り離すことができる。
次に、教育機関において、受講者個々がIP端末(たとえばパーソナルコンピュータ)を持ち、ネットワークに接続する例について説明する。現在のネットワーク構成を図10に示す。IP制限機構は(アクセスサーバ、DHCPリレーエージェント)のみ通信可能となっている。IP端末は、以下の手順を経る事で初めて、ネットワークに接続できる。IP端末はDHCPリレーエージェントにIPアドレスの払い出しを要求する。(2)DHCPリレーエージェントはDHCPサーバへIPアドレスを要求する。(3)DHCPサーバはDHCPリレーエージェントへIPアドレスを払い出す。(4)DHCPリレーエージェントはIP端末にIPアドレスを通知する。(5)IP端末は、アクセスサーバへ認証を要求する。(6)アクセスサーバは認証サーバへ認証を要求する。(7)認証サーバからIP端末へ認証完了が返される。(8)認証サーバからアクセスサーバへ応答が返される。(9)認証サーバからIP制限機構管理機能へ認証完了を通知される。(10)IP制限機構管理機能は、該当IP端末を収容しているIP制限機構へ、ウイルスチェックサーバへのアクセスを許可する。(11)IP端末はウイルスチェックサーバへウイルス定義(ウイルスパターン)の更新を依頼する。(12)ウイルスチェックサーバは、IP端末へ最新のウイルスパターンを通知する。(13)IP端末はウイルスチェックが最新となったことをウイルスチェックサーバに報告する。(14)ウイルスチェックサーバは、ウイルスチェックが最新となったことをIP制限機構管理機能へ通知する。(15)IP制限機構管理機能は該当IP端末を収容しているIP制限機構へ制限解除を行う。(16)IP端末はネットワークに制限無く接続される。
本発明は、その精神または主要な特徴から逸脱することなく、他の様々な形で実施することができる。このため、上記の実施形態は、あらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。
本発明は次のように特定することもできる。
(付記)
(付記1)パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から所定プロトコルで送信される所定パケットを取り込む取込手
段、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する設定手段、を備え、前記制限切換手段は、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換え、前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち前記設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、ネットワークシステム。(1)
(付記2)前記フィルタリング条件は、前記所定サーバにアクセスするパケットのみを通過させるための条件を含む、付記1に記載のネットワークシステム。(2)
(付記3)前記所定サーバは、DHCPサーバ、又は、ウイルスチェックサーバのいずれかである、付記2に記載のネットワークシステム。
(付記1)パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、前記パケット制御装置は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、前記スイッチ手段に前記切換命令を入力する制限切換手段、前記フィルタリング条件配布手段から所定プロトコルで送信される所定パケットを取り込む取込手
段、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する設定手段、を備え、前記制限切換手段は、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換え、前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち前記設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、ネットワークシステム。(1)
(付記2)前記フィルタリング条件は、前記所定サーバにアクセスするパケットのみを通過させるための条件を含む、付記1に記載のネットワークシステム。(2)
(付記3)前記所定サーバは、DHCPサーバ、又は、ウイルスチェックサーバのいずれかである、付記2に記載のネットワークシステム。
(付記4)前記所定サーバは、自己にアクセスした情報処理装置に対して所定データを含むパケットを送信するとともに、その情報処理装置を前記フィルタリング条件配布手段に通知し、前記フィルタリング条件配布手段は、前記所定サーバから前記通知を受けた場合、前記情報処理装置に受信されることを目的として所定プロトコルで所定パケットを送信し、前記制限切換手段は、前記取り込み手段が取り込んだ所定パケットが特定のデータを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第1パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由しないパケット伝送路に切り換える、付記2に記載のネットワークシステム。(3)
(付記5)前記所定プロトコルはICMPプロトコルである、付記1又は4に記載のネットワークシステム。
(付記5)前記所定プロトコルはICMPプロトコルである、付記1又は4に記載のネットワークシステム。
(付記6)前記スイッチ手段は、接点式のスイッチである付記1から5のいずれかに記載のネットワークシステム。
(付記7)パケットによる通信機能を有する情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御する装置であって、前記情報処理装置および前記ネットワークが接続され、入力される切換命令に従って、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段と、前記スイッチ手段に前記切換命令を入力する制限切換手段と、を備えるパケット制御装置。(4)
(付記8)前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える、付記7に記載のパケット制御装置。
(付記8)前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える、付記7に記載のパケット制御装置。
(付記9)前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り
換える、付記7に記載のパケット制御装置。(5)
(付記10)前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち予め設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、付記9に記載のパケット制御装置。
換える、付記7に記載のパケット制御装置。(5)
(付記10)前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち予め設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、付記9に記載のパケット制御装置。
(付記11)前記フィルタリング条件を設定する設定手段をさらに備える、付記10に記載のパケット制御装置。
(付記12)前記ネットワーク側から前記情報処理装置に受信されることを目的として所定プロトコルで送信されるパケットを取り込む取込手段をさらに備え、前記設定手段は、前記取込手段が取り込んだパケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する、付記11に記載のパケット制御装置。
(付記13)前記制限切換手段は、前記取込手段が取り込んだパケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換える、付記12に記載のパケット制御装置。
(付記14)前記フィルタリング条件は、所定サーバにアクセスするパケットのみを通過させるための条件を含む、付記13に記載のパケット制御装置。
(付記15)前記所定サーバは、DHCPサーバ、又は、ウイルスチェックサーバのいずれかである、付記14に記載のパケット制御装置。
(付記16)前記制限切換手段は、前記取込手段が取り込んだパケットが特定のデータを含む場合、前記スイッチ手段に切換命令を入力し、前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第1パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由しないパケット伝送路に切り換える、付記13に記載のパケット制御装置。
(付記17)前記所定プロトコルはICMPプロトコルである、付記12に記載のパケット制御装置。
(付記18)前記スイッチ手段は、接点式のスイッチである付記7から17のいずれかに記載のパケット制御装置。
本発明によれば、IP端末と外部接続機器の間に通信で必要なIPアドレスとポート番号を制限するIP制限機構を設け、且つ、IP制限機構を集中管理(IP制限機構管理機能)し、他の管理サーバ(DHCP・ウイルスチェック・認証・IDS等)と連携し、ネットワーク全体のセキュリティーを向上させることが可能となる。
100 IP端末
200 IP制限機構
300 IP制限機構管理装置
400 DHCPサーバ
500 ウイルスチェックサーバ
N ネットワーク
200 IP制限機構
300 IP制限機構管理装置
400 DHCPサーバ
500 ウイルスチェックサーバ
N ネットワーク
Claims (5)
- パケットによる通信機能を有する情報処理装置、および、該情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御するパケット制御装置を包含するネットワークシステムであって、
さらに、前記情報処理装置に受信されることを目的として所定パケットを送信するフィルタリング条件配布手段、および、前記情報処理装置から前記パケット制御装置を介してアクセスされる所定サーバを包含し、
前記パケット制御装置は、
前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段、
前記スイッチ手段に前記切換命令を入力する制限切換手段、
前記フィルタリング条件配布手段から所定プロトコルで送信される所定パケットを取り込む取込手段、
前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、その指定データにより指定される所定フィルタリング条件を設定する設定手段、
を備え、
前記制限切換手段は、前記取込手段が取り込んだ所定パケットが所定フィルタリング条件を指定する指定データを含む場合、前記スイッチ手段に切換命令を入力し、
前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第2パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由するパケット伝送路に切り換え、
前記パケットフィルタリング手段は、前記情報処理装置から送信されるパケットのうち前記設定されたフィルタリング条件に従って取捨選択したパケットのみを通過させる、
ネットワークシステム。 - 前記フィルタリング条件は、前記所定サーバにアクセスするパケットのみを通過させるための条件を含む、
請求項1に記載のネットワークシステム。 - 前記所定サーバは、自己にアクセスした情報処理装置に対して所定データを含むパケットを送信するとともに、その情報処理装置を前記フィルタリング条件配布手段に通知し、
前記フィルタリング条件配布手段は、前記所定サーバから前記通知を受けた場合、前記情報処理装置に受信されることを目的として所定プロトコルで所定パケットを送信し、
前記制限切換手段は、前記取り込み手段が取り込んだ所定パケットが特定のデータを含む場合、前記スイッチ手段に切換命令を入力し、
前記スイッチ手段は、前記制限切換手段から切換命令が入力されると、前記第1パケット入力部とパケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を、前記フィルタリング手段を経由しないパケット伝送路に切り換える、
請求項2に記載のネットワークシステム。 - パケットによる通信機能を有する情報処理装置とネットワークとの間に設けられ、前記情報処理装置から送信されるパケットを制御する装置であって、
前記情報処理装置および前記ネットワークが接続され、入力される切換命令に従って、前記情報処理装置とネットワークとの間のパケット伝送路を切り換えるスイッチ手段と、
前記スイッチ手段に前記切換命令を入力する制限切換手段と、
を備えるパケット制御装置。 - 前記スイッチ手段は、前記情報処理装置が接続され該情報処理装置から送信されるパケットが入力される第1パケット入力部と、前記情報処理装置がパケットフィルタリング手段を介して接続され該情報処理装置から送信されるパケットが入力される第2パケット入力部と、前記ネットワークが接続されるパケット出力部とを有し、入力される切換命令に従って前記第1又は第2パケット入力部のいずれかと前記パケット出力部とを接続させることにより、前記情報処理装置とネットワークとの間のパケット伝送路を切り換える、
請求項4に記載のパケット制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003369371A JP4290526B2 (ja) | 2003-10-29 | 2003-10-29 | ネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003369371A JP4290526B2 (ja) | 2003-10-29 | 2003-10-29 | ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005136629A true JP2005136629A (ja) | 2005-05-26 |
| JP4290526B2 JP4290526B2 (ja) | 2009-07-08 |
Family
ID=34646753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003369371A Expired - Fee Related JP4290526B2 (ja) | 2003-10-29 | 2003-10-29 | ネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4290526B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071474A (ja) * | 2007-09-12 | 2009-04-02 | Hitachi Communication Technologies Ltd | アクセスサーバ及び接続制限方法 |
| JP2010199673A (ja) * | 2009-02-23 | 2010-09-09 | Fujitsu Telecom Networks Ltd | ユーザ認証システムおよびユーザ認証方法 |
| JP2017200012A (ja) * | 2016-04-26 | 2017-11-02 | 株式会社ナカヨ | 統合脅威管理システム、統合脅威管理装置、および統合脅威管理方法 |
| JP2018157483A (ja) * | 2017-03-21 | 2018-10-04 | 株式会社富士通アドバンストエンジニアリング | 接続制御装置およびネットワークシステム |
| CN111095137A (zh) * | 2018-01-22 | 2020-05-01 | 欧姆龙株式会社 | 控制装置、控制方法和控制程序 |
-
2003
- 2003-10-29 JP JP2003369371A patent/JP4290526B2/ja not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071474A (ja) * | 2007-09-12 | 2009-04-02 | Hitachi Communication Technologies Ltd | アクセスサーバ及び接続制限方法 |
| JP2010199673A (ja) * | 2009-02-23 | 2010-09-09 | Fujitsu Telecom Networks Ltd | ユーザ認証システムおよびユーザ認証方法 |
| JP2017200012A (ja) * | 2016-04-26 | 2017-11-02 | 株式会社ナカヨ | 統合脅威管理システム、統合脅威管理装置、および統合脅威管理方法 |
| JP2018157483A (ja) * | 2017-03-21 | 2018-10-04 | 株式会社富士通アドバンストエンジニアリング | 接続制御装置およびネットワークシステム |
| CN111095137A (zh) * | 2018-01-22 | 2020-05-01 | 欧姆龙株式会社 | 控制装置、控制方法和控制程序 |
| CN111095137B (zh) * | 2018-01-22 | 2023-08-08 | 欧姆龙株式会社 | 控制装置、控制方法和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4290526B2 (ja) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2694022C2 (ru) | Системы и способы автоматического обнаружения устройства, управления устройством и удаленной помощи | |
| US9363285B2 (en) | Communication system, network for qualification screening/setting, communication device, and network connection method | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| JP4487150B2 (ja) | 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| US7360242B2 (en) | Personal firewall with location detection | |
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US20190379745A1 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| JP2006262141A (ja) | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| US20090007254A1 (en) | Restricting communication service | |
| JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
| US20060150243A1 (en) | Management of network security domains | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| JP5018969B2 (ja) | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 | |
| JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
| JP4290526B2 (ja) | ネットワークシステム | |
| US7359338B2 (en) | Method and apparatus for transferring packets in network | |
| US9823944B2 (en) | Deployment control device and deployment control method for deploying virtual machine for allowing access | |
| US8065412B2 (en) | Information processing apparatus for obtaining address information by a server apparatus of devices in a client apparatus | |
| JP2003324457A (ja) | アクセス制御装置、方法、プログラムおよび記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060802 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090317 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090401 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130410 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140410 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |