JP2005182640A - ファイアウォール装置、及びそれを用いた通信システム、通信方法 - Google Patents

ファイアウォール装置、及びそれを用いた通信システム、通信方法 Download PDF

Info

Publication number
JP2005182640A
JP2005182640A JP2003425372A JP2003425372A JP2005182640A JP 2005182640 A JP2005182640 A JP 2005182640A JP 2003425372 A JP2003425372 A JP 2003425372A JP 2003425372 A JP2003425372 A JP 2003425372A JP 2005182640 A JP2005182640 A JP 2005182640A
Authority
JP
Japan
Prior art keywords
control data
remote control
packet
firewall
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003425372A
Other languages
English (en)
Inventor
Reiketsu Ko
令傑 孔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003425372A priority Critical patent/JP2005182640A/ja
Publication of JP2005182640A publication Critical patent/JP2005182640A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】OSや端末の状態に依存せずに独立して基本動作を行うことができ、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とする。
【解決手段】このファイアウォール装置1は、ハードウェアで構成され、受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを格納し、当該遠隔制御データが含まれていない場合には、制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール・コア部12を有する。
【選択図】 図1

Description

本発明は、例えば、不正なパケットをフィルタリングする機能等を備えたファイアウォール装置、及びそれを用いた通信システム、通信方法に関する。
従来、ネットワーク・システムの内部(LAN等)と外部(インターネット等)の境界部分にファイアウォール装置を設け、当該ファイアウォール装置により外部からのアクセスを制限することで、内部システムの安全性を高めることがなされている。このようなファイアウォール装置は、例えばインターネットから入ってくるパケット、LANから出ていくパケットを監視し、不正パケットを適宜破棄することはできるが、LAN内部で行われる通信に関する制御はできない。そこで、今日では、パーソナルファイアウォールというソフトウェアファイアウォールを端末毎に実装することがなされている。通常のファイアウォールがインターネットとLANの境界部分に設置され使用されるのに対して、このパーソナルファイアウォールはウイルススキャンソフト等との併用で個々の端末毎にインストールされてOS上で実行されるソフトウェアである(非特許文献1参照)。
NETWORK MAGAZINE(ネットワーク マガジン) 2004年1月号,P176-177,出版社アスキー,2003年11月22日発行
しかしながら、上記パーソナルファイアウォールは、前述したように端末毎にインストールされOS上で実行されるソフトウェアであることから、OSに依存するところが大きく、端末が起動していないときには実行されない。即ち、パーソナルファイアウォールでは、トラヒックが危険な状態下にあっても、端末が起動されていないと、フィルタリング等の各種機能を発揮することができない。
本発明の目的とするところは、ハードウェアによりファイアウォール装置を構成することで、OSに依存することなく、更に端末の状態によらず、独立してフィルタリング等の基本動作を行うことができるようにし、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とすることにある。
上記目的を達成するために、本発明の第1の態様では、ネットワークを介して外部と通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納するように制御するファイアウォール手段とを具備することを特徴とするファイアウォール装置が提供される。
本発明の第2の態様では、ネットワークを介して外部と通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール手段とを具備することを特徴とするファイアウォール装置が提供される。
本発明の第3の態様では、上記第2の態様において、上記ファイアウォール手段は、パケットが通過条件に合致していると判断した場合には当該パケットを通過し、通過条件に合致していないと判断した場合には当該パケットを破棄するように制御することを更に特徴とするファイアウォール装置が提供される。
本発明の第4の態様では、上記第2の態様において、上記パケットのログデータを格納するログデータ格納手段を更に有し、上記ファイアウォール手段は、上記パケットが制御データに含まれるログ条件に合致しているか否かを判断し、当該ログ条件に合致している場合には上記ログデータ格納手段に当該パケットのログデータを書き込むことを更に特徴とするファイアウォール装置が提供される。
本発明の第5の態様では、ネットワークを介して外部と通信する第1の通信手段と、端末と通信するための第2の通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、上記制御命令に従って、遠隔制御データに基づくデータの更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段とを具備することを特徴とするファイアウォール装置が提供される。
本発明の第6の態様では、上記第1乃至第5の態様において、上記遠隔制御データには、制御データやソフトウェア、制御命令の少なくともいずれかが含まれることを更に特徴とするファイアウォール装置が提供される。
本発明の第7の態様では、ネットワークを介してファイアウォール装置と制御センタとが接続された通信システムであって、上記制御センタは、上記ファイアウォール装置の制御データを記憶する制御データデータベースと、上記制御データを含む遠隔制御データを送信するセンタ通信手段と、を有し、上記ファイアウォール装置は、ネットワークを介して少なくとも制御センタと通信する通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、を有し、上記通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御することを特徴とする通信システムが提供される。
本発明の第8の態様では、制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムであって、上記制御センタは、上記ファイアウォール装置の制御データを記憶する制御データデータベースと、上記端末のデータを記憶する端末データベースと、上記制御データを含む遠隔制御データを送信するセンタ通信手段と、を有し、上記ファイアウォール装置は、ネットワークを介して少なくとも制御センタと通信する第1の通信手段と、端末と通信するための第2の通信手段と、少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、少なくとも制御データを格納する制御データ格納手段と、上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、を有する、ことを特徴とする通信システムが提供される。
本発明の第9の態様では、制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムによる通信方法であって、上記ファイアウォール装置において、ファイアウォール手段が、受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御し、制御手段が、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する、ことを特徴とする通信方法が提供される。
本発明によれば、ハードウェアによりファイアウォール装置を構成することで、OSに依存することなく、更に端末の状態によらず、独立してフィルタリング等の基本動作を行うことができるようにし、更にはファイアウォール機能とリモートコントロール機能とを明確に分離することで制御データ等の書き換えを端末による制御なくして独立して実行可能とする、ファイアウォール装置、及びそれを用いた通信システム、通信方法を提供することができる。
以下、図面を参照して、本発明の実施の形態について説明する。
(第1の実施の形態)
図1には、本発明の第1の実施の形態に係るファイアウォール装置、及びそれを用いた通信システムの構成例を示し、説明する。
この図1に示されるように、ファイアウォール装置1a,1b・・・を集中管理する遠隔制御センタ3は、端末データベース(DB)4と制御データDB5を有している。各端末2a,2b・・・は、ファイアウォール装置1a,1b・・・、ネットワーク6を介して、端末相互間で或いは遠隔制御センタ3と通信自在となっている。尚、以下の説明では、ファイアウォール装置1a,1b・・・を総称するときは符号1を用い、端末2a,2b・・・を総称するときは符号2を用いることとする。
ここで、上記ファイアウォール装置1の詳細な構成は、図2に示される通りである。
図2に示されるように、このファイアウォール装置1は、ネットワークインタフェース(I/F)部11、ファイアウォール・コア部12、遠隔制御データ格納部13、制御部14、制御データ格納部15、ログデータ格納部16、端末I/F部17を有する。
ネットワークI/F部11は、LANやWAN等のネットワーク6を介した通信の為のI/Fである。例えば、遠隔制御センタ3からパケットがネットワーク6を介して送信されると、当該パケットがネットワークI/F部11を介してファイアウォール・コア部12に送られる。ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに基づいて、データトラフィックを制御する為のものである。即ち、ファイアウォール・コア部12は、通過パケットを制限することができ、通過を許可していない不正パケットを破棄する、所謂パケットフィルタリングの機能を有する。この場合、ファイアウォール・コア部12は、上記パケットを制御データ格納部15に格納されている制御データ(通過条件)と比較し、通過の可否を決定する。この詳細は後述する。
遠隔制御データ格納部13は、遠隔制御センタ3からネットワーク6を介して送信された遠隔制御データを格納する為のものである。この遠隔制御データ格納部13は、ネットワーク6を介して遠隔制御センタ3等から送信された遠隔制御データ等の書き込みのみが可能となっており、当該遠隔制御データ等は制御部14によってのみ読み出しが可能となっている。即ち、ファイアウォール・コア部12は、遠隔制御データを遠隔制御データ格納部13に格納することはできても、当該遠隔制御データ格納部13より遠隔制御データを読み出すことはできない。ここで、遠隔制御データとは、遠隔制御センタ3からネットワーク6を介して送られたパケットのデータ部に含まれるもので、制御データやファームウェア等のソフトウェア、制御命令等を含むものである。
制御部14は、端末2又は遠隔制御センタ3からのパケットに含まれる制御命令に従ってファイアウォール装置1の制御を司る為のものである。より具体的には、ファイアウォール装置1の動作モードの設定、制御データの更新、ファームウェア等のソフトウェアの更新、ログデータに関する操作等の制御を司る。制御データ格納部15は、ファイアウォール・コア部12が動作する為の制御データを格納する為のものである。ログデータ格納部16は、ファイアウォール装置1の動作履歴を記録する為のものである。端末I/F部17は、ファイアウォール装置1と端末2との間の通信の為のI/Fである。
なお、ファイアウォール・コア部12はプログラムとして実装することも可能である。
また、制御部14についてもプログラムとして実装することが可能である。
尚、請求項に記載の通信手段、第1の通信手段とはネットワークI/F部11等に相当し、第2の通信手段とは端末I/F部17等に相当し、遠隔制御データ格納手段とは遠隔制御データ格納部13等に相当し、ファイアウォール手段とはファイアウォール・コア部12等に相当し、制御データ格納手段とは制御データ格納部15等に相当し、制御手段とは制御部14等に相当する。但し、これらの関係には限定されない。
以上の構成において、この第1の実施の形態に係るファイアウォール装置1では、管轄する端末2の状態(起動/非起動)に係らず、独立して基本動作を行うことができる点で、ソフトウェアで構成されたパーソナルファイアウォールとは相違する。例えば、従来技術に係るパーソナルファイアウォールでは、トラフィックが危険な状態になっても、端末2が起動していなければトラフィックを遮断することができなかったが、この第1の実施の形態に係るファイアウォール装置1では、端末2の状態に係らず遮断できる。
また、ファイアウォール装置1では、ファイアウォール機能とリモートコントロール機能とを明確に分離しているので、当該ファイアウォール機能に関しては端末2からの制御なくしても独立して実行可能であり、更には、制御データ格納部15の制御データ(制御パラメータを含む)の書き換えも端末2による制御なくして独立して実行可能である。また、遠隔制御センタ3により遠隔制御できるのは制御データ(制御パラメータを含む)の更新のみとすることで、セキュリティを担保している。
次に、図3(a)には遠隔制御センタ3から送信されるパケットの一例を示し、図3(b)には制御データに含まれる通過条件に係るテーブルの一例を示し、説明する。
先ず、図3(a)に示されるように、パケットはヘッダ部とデータ部からなり、当該ヘッダ部はIPヘッダ、TCP/UDPヘッダからなる。
このパケットのIPヘッダには、例えばバージョン番号(Ver.No.)やプロトコルタイプ(Protocol Type;以下、PTと略記する)、送信元IPアドレス(Src.ADDR;以下、SAと略記する)、宛先IPアドレス(Dst.ADDR;以下、DAと略記する)等が含まれている。更に、TCP/UDPヘッダには、送信元/宛先のポート番号(Port No.;以下、PNと略記する)等が含まれている。
一方、パケットのデータ部にはペイロードデータ(Payload Data)や特定情報(Specified Data;以下、SDと略記する)等が含まれている。このSDは、コンピュータウィルス等を有無を判断する為のものである。更に、遠隔制御データ(制御データ、ファームウェア、制御命令等を含む)は、このデータ部に含まれる。
そして、図3(b)に示されるように、パケットフィルタリングの通過条件に係るテーブルは、前述したパケットに含まれるIP,PT,SA,DA,DN,SP,そしてフラグ(通過の場合“1”、非通過の場合“0”等)を関連付けて、通過すべきか否かについて判断する上での条件を定めている。ファイアウォール・コア部12は、ネットワークI/F部11を介して受けたパケットの上記IP,PT,SA,DA,DN,SPの各情報を読み取り、図3(b)のテーブルで予め定められている条件と照らして、当該パケットの扱いを決定することになる(パケットフィルタリング)。
ここで、本実施の形態のファイアウォール装置1において、ログデータをログデータ格納部16に格納しているのは、日々刻々と変化する利用状況を適正に把握して、当該利用状況に応じて適切な処置を行うことは重要なことであり、こうした状況に対応するためには、ログの監視及び管理が重要になるからである。
以下、図4のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1がネットワーク6よりネットワークI/F部11を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明する。
尚、この処理は、第1の実施の形態に係る通信方法にも相当する。
ファイアウォール・コア部12は、ネットワークI/F部11を介してパケットを受けると、当該パケットを解析し、遠隔制御データが含まれているか否かを判断する(ステップS1)。そして、遠隔制御データが含まれている場合には、当該遠隔制御データを遠隔制御データ格納部13に格納し(ステップS2)、本処理を終了する。
一方、パケットに遠隔制御データが含まれていない場合には、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データとの照合を行う(ステップS3)。尚、この制御データには、ログ条件、通過条件が含まれる。そして、ファイアウォール・コア部12は、パケットのログデータがログ条件に合致しているか否かを判断し(ステップS4)、ログ条件に合致している場合にはログデータをログデータ格納部16に書き込み(ステップS5)、ステップS6に移行する。ログ条件に合致していない場合には、通過条件に照らして通過すべきか否かを判断する(ステップS6)。
このステップS6で、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに含まれる通過条件に係るテーブル(図3(b))を参照して、パケットを通過させるべきでないと判断した場合には、当該パケットを破棄し(ステップS7)、本処理を終了する。一方、通過させるべきと判断した場合には、端末I/F部17に当該パケットを送信し(ステップS8)、本処理を終了する。
次に、図5のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1が、端末2より端末I/F部17を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明する。
尚、この処理は、第1の実施の形態に係る通信方法にも相当する。
ファイアウォール・コア部12は、端末I/F部17を介してパケットを受けると、当該パケットを解析し、制御命令が含まれているか否かを判断する(ステップS11)。このステップS11にて、制御命令が含まれていると判断した場合には、ファイアウォール・コア部12は、当該制御命令を制御部14に送り(ステップS12)、本処理を終了する。一方、パケットに制御命令が含まれていないと判断した場合、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データとの照合を行う(ステップS13)。尚、この制御データには、ログ条件、通過条件が含まれる。
そして、ファイアウォール・コア部12は、パケットのログデータがログ条件に合致しているか否かを判断し(ステップS14)、ログ条件に合致している場合にはログデータをログデータ格納部16に書き込み(ステップS15)、ステップS16に移行する。これに対して、ログ条件に合致していない場合には、ファイアウォール・コア部12は、制御データ格納部15に格納されている制御データに含まれる通過条件に係るテーブルを参照して、パケットを通過すべきか否かを判断する(ステップS16)。
そして、このステップS16にて、ファイアウォール・コア部12は、パケットを通過させるべきでないと判断した場合には、当該パケットを破棄し(ステップS17)、本処理を終了することになる。一方、ファイアウォール・コア部12は、通過させるべきと判断した場合には、ネットワークI/F部11を介して当該パケットをネットワーク6に送信し(ステップS18)、本処理を終了することになる。
次に、図6及び図7のフローチャートを参照して、本発明の第1の実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明する。
尚、この処理は、第1の実施の形態に係る通信方法にも相当する。
図6に示すように、制御部14は、先ず端末2からの制御命令か否かを判断する(ステップS21)。ここで、端末2からの制御命令であると判断した場合には、それが設定の更新に係るものであるか否かを判断することになる(ステップS22)。
そして、このステップS22にて、設定の更新に係るものであると判断した場合、設定を更新する(ステップS23)。具体的には、制御部14は、ファイアウォール・コア部12の動作モード、制御データ、ログ設定の少なくともいずれかを更新する。
この後、制御部14は、更新に成功したか否かを判断し(ステップS24)、更新に成功しなかった場合には端末2に更新失敗の旨を通知し(ステップS25)、更新に成功した場合には端末2に更新成功の旨を通知し(ステップS26)、本処理を終了する。
一方、上記ステップS22にて、制御部14は、制御命令が設定の更新に係るものではないと判断した場合には設定の読み出しに係るものであるか否かを判断する(ステップS27)。このステップS27で、設定の読み出しに係るものではない場合には本処理を終了し、設定の読み出しに係るものである場合には設定を読み出す(ステップS28)。
より具体的には、制御部14は、ファイアウォール・コア部12の動作モード、制御データ、ログ設定に係る情報を制御データ格納部15から読み出すことになる。
そして、制御部14は、これら設定に係る情報を遠隔制御センタ3に送信すべきか否かを判断し(ステップS29)、送信すべきと判断した場合には、端末に設定送信の許可を取って、遠隔制御センタ3に当該情報を送信し(ステップS30)、本処理を終了する。一方、送信すべきでないと判断した場合には、上記情報を遠隔制御センタ3に送信することなく、本処理を終了する。
一方、図7に示すように、図6のステップS21で端末2からの制御命令ではないと判断した場合には、制御部14は、遠隔制御データ格納部13からのリクエストに応答して当該遠隔制御データ格納部13より遠隔制御データを読み出し(ステップS31)、当該遠隔制御データの正当性を確認することになる(ステップS32)。
次いで、制御部14は、遠隔制御データが有効であるか否かを判断し(ステップS33)、有効でないと判断した場合には、当該データを破棄し(ステップS34)、遠隔制御センタ3にデータを破棄した旨を通知し(ステップS35)、本処理を終了する。
一方、上記ステップS33にて、データが有効であると判断した場合には、端末2に更新申請を行い(ステップS36)、当該更新が許可されたか否かを判断し(ステップS37)、更新が許可されない場合にはステップS40に移行する。
これに対して、更新が許可された場合には、制御部14は、遠隔制御データの更新を行う(ステップS38)。具体的には、遠隔制御データに含まれる制御データ、ファームウェア等のソフトウェアの更新を行う。そして、制御部14は、更新に成功したか否かを判断し(ステップS39)、更新に成功しなかった場合には端末2及び遠隔制御センタ3に更新失敗の旨を通知し(ステップS40)、更新に成功した場合には端末2及び遠隔制御センタ3に更新成功の旨を通知し(ステップS26)、本処理を終了する。
以上説明したように、本発明の第1の実施の形態に係るファイアウォール装置1は、ハードウェアで構成されているので、OSに依存することなく、更には端末の状態(起動/非起動)に係らず、独立して基本動作を行うことができる。また、この第1の実施の形態に係るファイアウォール装置1では、ファイアウォール機能とリモートコントロール機能とを明確に分離しているので、当該ファイアウォール機能に関しては端末2からの制御なくしても独立して実行可能であり、制御データ格納部15の制御データの制御パラメータの書き換えも端末2による制御なくして独立して実行可能である。
(第2の実施の形態)
次に、本発明の第2の実施の形態に係るファイアウォール装置を用いた通信システムについて詳細に説明する。このファイアウォール装置を用いた通信システムの構成は、先に図1,2に示したものと略同様であるので、以下では、同一構成要素について同一符号を用い、第2の実施の形態の特徴的な処理を詳細に説明する。
尚、この処理は、第2の実施の形態に係る通信方法にも相当する。
本発明の第2の実施の形態においては、各端末2毎に前述したような構成及び作用のファイアウォール装置1を設置することで、安全な遠隔制御を実現する。
このファイアウォール装置1に対しては、遠隔制御センタ3による集中管理を行い、ユーザにメンテナンスフリーのサービスを提供する。尚、各ファイアウォール装置1は、ハードウェアで実現し、更にはユニークな固有IDを付与している。
このファイアウォール装置1の設置に伴って、各端末2に当該ファイアウォール装置1に対応する管理制御ソフトウェアをインストールする。端末2は、当該管理制御ソフトウェアに基づき、対応するファイアウォール装置1に関わる全ての設定(設定の更新、読み出しを含む)をすることができる。管理制御ソフトウェアは、端末2のアプリケーション情報、ユーザ識別情報をファイアウォール装置1に送信する機能も有する。
このような管理制御ソフトウェアのインストール完了後、端末2のユーザは、自分が使用するアプリケーション情報、通信光情報、禁止する通信光(又は種別、例えば暴力コンテンツを提供するサイト等)を登録し、登録情報を遠隔制御センタ3に送信する。
この遠隔制御センタ3は、ユーザの登録情報に基づいて当該ユーザの制御データを生成する。即ち、ファイアウォール装置1の固有ID毎に、URL、プロトコル情報、アプリケーション等に対応する制御データ(使用するプロトコル、固有通信光等を含む)を生成し、制御データDB5に登録する。そして、この生成された制御データを上記固有IDを有するファイアウォール装置1に送信し、設定を要求する。より具体的には、制御データを含む遠隔制御データをデータ部に持つパケットを送信する。
ファイアウォール装置1は、このパケット(制御データを含む)を受信すると、端末2に制御データの更新要求をし、当該端末2のユーザの更新認証を求める。端末2のユーザが更新承認をした場合には、ファイアウォール装置1は送信された制御データに基づき制御データ格納部15の設定を更新する。一方、端末2のユーザが更新承認をしない場合には、ファイアウォール装置1は設定を更新しない。ファイアウォール装置1は、更新に成功した場合は、更新の結果を遠隔制御センタ3に通知する。以上は、ファイアウォール装置1のファームウェアを更新する場合においても同様である。
以下は、前述した第1の実施の形態と特に作用上、異なる部分である。
ファイアウォール装置1は、未知のタイプ(未知のアプリケーション、未知のプロトコル等)のデータトラフィックを検出した場合は端末2に確認要求を出す。端末2のユーザが、当該確認要求を受け、通信を許可する場合には、制御データに未知のタイプを追加すると共に、遠隔制御センタ3にその旨を通知し、端末DB4の対応データ項目を更新(追加)する。通信を許可しない場合もその旨を通知するが、制御データへの追加は行わない。端末2のユーザがファイアウォール装置1からの確認要求を受け、一定の時間内に確認しない場合、端末2はその確認要求を遠隔制御センタ3へ送信する。
遠隔制御センタ3は、この端末2からの確認要求を受けた後、端末DB4と制御データDB5に登録された情報と照合する。ユーザの登録情報と一致しない、又は危険なデータと判断した場合、ファイアウォール装置1に当該データに対する遮断命令(制御命令)を出し、通信を許可しない。これに対して、遠隔制御センタ3は、ユーザの登録情報と一致し、且つ危険でないと判断した場合、ファイアウォール装置1に当該データに対する通過命令(制御命令)を出し、通信を許可する。このように、遠隔制御センタ3は、所定の場合には、ファイアウォール装置1に対して通過命令(制御命令)又は遮断命令(制御命令)を発行し、ファイアウォール装置1を制御することができる。
いかなる場合でも、ユーザの承認無しで、ファイアウォール装置1に設定した制御データやログデータ格納部16のログデータを読み出すことはできない。
以上説明したように、本発明の第2の実施の形態によれば、前述した第1の実施の形態に係るファイアウォール装置の効果に加えて、未知のタイプのデータトラフィックを検出した場合も、遠隔制御センタ3による集中管理により適正に対処できる。
以上、本発明の第1及び第2の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能である。例えば、第1及び第2の実施の形態に係るファイアウォール装置は、端末としてのパーソナルコンピュータに外付けするPCカードの如きもので実現することができる。更に、外部のインターネット等に対応するファイアウォール装置をシステムが備えている場合には、当該ファイアウォール装置との役割の分担により、効率的な処理を実現できる。
本発明の第1の実施の形態に係るファイアウォール装置、及びそれを用いた通信システムの構成例を示す図。 ファイアウォール装置1の詳細な構成を示す図。 (a)は制御センタ3から送信されるパケットの一例を示す図、(b)は制御データに含まれる通過条件に係るテーブルの一例を示す図。 本発明の一実施の形態に係るファイアウォール装置1がネットワーク6よりネットワークI/F部11を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明するフローチャート。 本発明の一実施の形態に係るファイアウォール装置1が、端末2より端末I/F部17を介してパケットの外部入力を受けた場合のファイアウォール・コア部12による処理の流れを詳細に説明するフローチャート。 本発明の一実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明するフローチャート。 本発明の一実施の形態に係るファイアウォール装置1の制御部14による処理を詳細に説明するフローチャート。
符号の説明
1・・・ファイアウォール装置、2・・・端末、3・・・制御センタ、4・・・端末DB、5・・・制御データDB、11・・・ネットワークI/F部、12・・・ファイアウォール・コア部12、13・・・遠隔制御データ格納部13、14・・・制御部、15・・・制御データ格納部、16・・・ログデータ格納部、17・・・端末I/F部。

Claims (9)

  1. ネットワークを介して外部と通信する通信手段と、
    少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
    上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納するように制御するファイアウォール手段と、
    を具備することを特徴とするファイアウォール装置。
  2. ネットワークを介して外部と通信する通信手段と、
    少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
    少なくとも制御データを格納する制御データ格納手段と、
    上記通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御するファイアウォール手段と、
    を具備することを特徴とするファイアウォール装置。
  3. 上記ファイアウォール手段は、パケットが通過条件に合致していると判断した場合には当該パケットを通過し、通過条件に合致していないと判断した場合には当該パケットを破棄するように制御することを更に特徴とする請求項2に記載のファイアウォール装置。
  4. 上記パケットのログデータを格納するログデータ格納手段を更に有し、上記ファイアウォール手段は、上記パケットが制御データに含まれるログ条件に合致しているか否かを判断し、当該ログ条件に合致している場合には上記ログデータ格納手段に当該パケットのログデータを書き込むことを更に特徴とする請求項2に記載のファイアウォール装置。
  5. ネットワークを介して外部と通信する第1の通信手段と、
    端末と通信する第2の通信手段と、
    少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
    少なくとも制御データを格納する制御データ格納手段と、
    上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断する当該パケットに上記端末による制御命令が含まれているか否かを判断し、更には、当該パケットに制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、
    上記制御命令に従って、遠隔制御データに基づくデータの更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、
    を具備することを特徴とするファイアウォール装置。
  6. 上記遠隔制御データには、制御データやソフトウェア、制御命令の少なくともいずれかが含まれることを更に特徴とする請求項1乃至5のいずれかに記載のファイアウォール装置。
  7. ネットワークを介してファイアウォール装置と制御センタとが接続された通信システムであって、
    上記制御センタは、
    上記ファイアウォール装置の制御データを記憶する制御データデータベースと、
    上記制御データを含む遠隔制御データを送信するセンタ通信手段と、
    を有し、
    上記ファイアウォール装置は、
    ネットワークを介して少なくとも制御センタと通信する通信手段と、
    少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
    少なくとも制御データを格納する制御データ格納手段と、
    を有し、
    上記通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断するように制御することを特徴とする通信システム。
  8. 制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムであって、
    上記制御センタは、
    上記ファイアウォール装置の制御データを記憶する制御データデータベースと、
    上記端末のデータを記憶する端末データベースと、
    上記制御データを含む遠隔制御データを送信するセンタ通信手段と、
    を有し、
    上記ファイアウォール装置は、
    ネットワークを介して少なくとも制御センタと通信する第1の通信手段と、
    端末と通信するための第2の通信手段と、
    少なくとも遠隔制御データを格納する遠隔制御データ格納手段と、
    少なくとも制御データを格納する制御データ格納手段と、
    上記第1の通信手段又は第2の通信手段にて受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを上記遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、上記制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断し、更には当該パケットに上記端末による制御命令が含まれているか否かを判断し、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御するファイアウォール手段と、
    上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する制御手段と、
    を有する、
    ことを特徴とする通信システム。
  9. 制御センタと、ネットワークを介して当該制御センタと接続されたファイアウォール装置と、当該ファイアウォール装置を介して制御センタと通信自在な端末とからなる通信システムによる通信方法であって、
    上記ファイアウォール装置において、
    ファイアウォール手段が、受信したパケットを解析し、当該パケットに制御センタからの遠隔制御データが含まれているか否かを判断し、当該遠隔制御データが含まれている場合には当該遠隔制御データを遠隔制御データ格納手段に格納し、当該遠隔制御データが含まれていない場合には、制御データ格納手段に格納されている制御データに基づいて当該パケットが通過条件に合致しているか否かを判断し、更には当該パケットに上記端末による制御命令が含まれているか否かを判断し、当該パケットに端末或いは制御センタからの制御命令が含まれている場合には制御手段に転送するように制御し、
    制御手段が、上記制御命令に従って、ファイアウォール手段の設定の更新或いは読み出し、又は遠隔制御データに基づく更新処理を行い、当該更新処理の結果を上記ネットワーク及び上記端末の少なくともいずれかに通知するように制御する、
    ことを特徴とする通信方法。
JP2003425372A 2003-12-22 2003-12-22 ファイアウォール装置、及びそれを用いた通信システム、通信方法 Pending JP2005182640A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003425372A JP2005182640A (ja) 2003-12-22 2003-12-22 ファイアウォール装置、及びそれを用いた通信システム、通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003425372A JP2005182640A (ja) 2003-12-22 2003-12-22 ファイアウォール装置、及びそれを用いた通信システム、通信方法

Publications (1)

Publication Number Publication Date
JP2005182640A true JP2005182640A (ja) 2005-07-07

Family

ID=34785271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003425372A Pending JP2005182640A (ja) 2003-12-22 2003-12-22 ファイアウォール装置、及びそれを用いた通信システム、通信方法

Country Status (1)

Country Link
JP (1) JP2005182640A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194744A (ja) * 2006-01-17 2007-08-02 Omron Corp 通信中継装置、操作端末、操作対象端末、通信システム、通信中継方法、操作端末の制御方法、操作対象端末の制御方法、プログラム、およびプログラムを記録した記録媒体
JP2014524169A (ja) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2017163505A (ja) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
JP2021083128A (ja) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007194744A (ja) * 2006-01-17 2007-08-02 Omron Corp 通信中継装置、操作端末、操作対象端末、通信システム、通信中継方法、操作端末の制御方法、操作対象端末の制御方法、プログラム、およびプログラムを記録した記録媒体
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2014524169A (ja) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
JP2017163505A (ja) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
JP7028543B2 (ja) 2016-03-11 2022-03-02 Necプラットフォームズ株式会社 通信システム
JP2021083128A (ja) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
JP7114769B2 (ja) 2021-03-05 2022-08-08 Necプラットフォームズ株式会社 通信システム

Similar Documents

Publication Publication Date Title
US9319429B2 (en) Network quarantine system, network quarantine method and program therefor
US8239674B2 (en) System and method of protecting files from unauthorized modification or deletion
TWI497337B (zh) 用於直接存取網路之網路位置確定的方法、系統及電腦可讀取媒體
EP1936917B1 (en) Communication apparatus and control method thereof
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
US11728990B2 (en) Control apparatus
JP2019140541A (ja) 通信制御方法、通信制御装置及び通信制御プログラム
JP2020017809A (ja) 通信装置及び通信システム
JP2005182640A (ja) ファイアウォール装置、及びそれを用いた通信システム、通信方法
JP2017175593A (ja) ルータの脆弱性を除去する方法及びシステム
KR102118380B1 (ko) 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템
KR20030003593A (ko) 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
US7188164B1 (en) Secure network access control
JP4689388B2 (ja) 通信装置、その制御方法及び制御プログラム
KR100766724B1 (ko) 보안스위치 및 보안시스템 및 방법
WO2018164036A1 (ja) 通信制御方法、通信制御プログラムの記録媒体及び通信装置
KR102110815B1 (ko) 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
CN111143857B (zh) 一种数据分享方法、机器人控制器及存储介质
JP6591504B2 (ja) パケットフィルタリング装置
JP4697614B2 (ja) 印刷時間制御機器、方法、及び、プログラム
KR101762859B1 (ko) 콜백 기법을 적용한 시큐어 펌웨어 업데이트 시스템 및 그 방법
KR101059698B1 (ko) 에이피아이 후킹 모듈을 포함하는 휴대용 저장장치 및 이를 이용한 개인 방화벽 운용 방법
JP7225355B2 (ja) 制御装置
KR102600442B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102578800B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법