JP2005217757A - ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム - Google Patents
ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム Download PDFInfo
- Publication number
- JP2005217757A JP2005217757A JP2004021485A JP2004021485A JP2005217757A JP 2005217757 A JP2005217757 A JP 2005217757A JP 2004021485 A JP2004021485 A JP 2004021485A JP 2004021485 A JP2004021485 A JP 2004021485A JP 2005217757 A JP2005217757 A JP 2005217757A
- Authority
- JP
- Japan
- Prior art keywords
- user
- firewall
- server
- group
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 柔軟性、利便性、迅速性を高める。
【解決手段】 ファイアウオール管理システムにおいて、複数の第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積部と、各第1グループユーザがサーバ装置を利用して提供する複数のサーバ機能に対する第2グループユーザからのアクセスに関して、ファイアウオール装置が実行するアクセス制御設定を管理するファイアウオール装置管理部とを備え、ファイアウオール装置管理部はユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じてアクセス制御設定を変化させることで、ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させる。
【選択図】 図1
【解決手段】 ファイアウオール管理システムにおいて、複数の第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積部と、各第1グループユーザがサーバ装置を利用して提供する複数のサーバ機能に対する第2グループユーザからのアクセスに関して、ファイアウオール装置が実行するアクセス制御設定を管理するファイアウオール装置管理部とを備え、ファイアウオール装置管理部はユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じてアクセス制御設定を変化させることで、ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させる。
【選択図】 図1
Description
本発明はファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラムに関し、例えば、ホスティングサービスやハウジングサービスを利用する場合などのファイアウオール設定に適用して好適なものである。
ファイアウオールの管理に関する従来技術としては、下記の特許文献1に記載されたものがある。
特許文献1の技術では、相互に関連を有する複数のファイアウオールのあいだで、アクセス制御設定の内容を整合させ、設定内容に矛盾が生じないようにすることができる。設定内容に矛盾があると、本来、許可されるはずの通信がいずれかのファイアウオールによって遮断されたり、反対に、本来、遮断されるはずの通信がすべてのファイアウオールを通過してしまったりすることが起こり得るが、特許文献1はこれを防止するものである。
一方、ホスティングサービスは、ホスティングサービスを提供するホスティング事業者が運用するLAN(ローカルエリアネットワーク)内に設置したサーバ装置に、ホスティングサービスを利用してWebページをエンドユーザに提供しようとするホスティングサービス利用者のためのWebサーバ機能を搭載し、その管理を行うものである。
ホスティングサービス利用者の側からすると、自身でWebサーバを運用してエンドユーザにWebページを提供する場合に比べ、ホスティングサービスを利用すれば、Webサーバの運用、管理、保守などのための手間やコストの負担を無くすことができる利点がある。多くの場合、自身でWebサーバの運用を行うケースに比べて、ホスティングサービスを利用したケースのほうがはるかに低コストである。
反対に、ホスティング事業者のほうでは、個々のホスティングサービス利用者から得られる利益は少なくても、多数のホスティングサービス利用者にホスティングサービスを利用させることによって利益を蓄積することで十分な収益を上げることができる。そのため、1台のサーバ装置を、多数のホスティングサービス利用者のためのWebサーバとして利用している。
特開2000−216780号公報
ところで、ホスティングサービスでは、前記Webサーバに対する多数のエンドユーザからのアクセスが同じファイアウオール経由で実行されるため、当該ファイアウオールにおけるアクセス制御設定に個々のホスティングサービス利用者の要望を反映させることは難しい。このことは、ホスティングサービス利用者の立場からすると、ホスティングサービスの柔軟性や利便性が低いことにつながる。
例えば、あるホスティングサービス利用者(U1とする)があるエンドユーザ(EU1とする)から自身がホスティングサービスを利用して提供するWebサーバ(WS1とする)へのアクセスを禁止したいと望んだとしても、他のホスティングサービス利用者(U2とする)がそのエンドユーザEU1から自身がホスティングサービスを利用して提供するWebサーバ(WS2とする)へのアクセスを許可したいと望むこともあるから、ホスティング事業者は全ホスティングサービス利用者の要望に矛盾なく応えることが難しい。
上述した特許文献1の技術も、このようなアクセス制御設定を可能にするものではない。
なお、ホスティング事業者が多くのホスティングサービス利用者からの要望を取りまとめ、できるだけ多数のホスティングサービス利用者がある程度、満足できる共通のアクセス制御設定をファイアウオールに施す方法も考えられる。
しかしこの方法では、ホスティングサービス利用者には要望を提出する負担が発生する上、必ずしも自身が提出した要望を完全に充足するアクセス制御設定が施されるとは限らず、また、自身が提出した要望がどの程度、充足されたのかを知ることも必ずしも容易ではないのでホスティングサービスに対する不透明感が残って満足感が得にくく、利便性が低下する可能性が高い。
さらにホスティング事業者の側からすると、要望の取りまとめに多大な手数がかかり、要望に対応したアクセス制御設定を迅速に施すことが難しい。
かかる課題を解決するために、第1の本発明では、第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理システムにおいて、(1)複数の前記第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積部と、(2)各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理するファイアウオール装置管理部とを備え、(3)当該ファイアウオール装置管理部は前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とする。
また、第2の本発明では、第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理方法において、(1)複数の前記第1グループユーザに関するユーザ情報をユーザ情報蓄積部に蓄積しておき、(2)ファイアウオール装置管理部が、各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理し、(3)しかも当該ファイアウオール装置管理部は、前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とする。
さらに、第3の本発明では、第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理プログラムにおいて、コンピュータに、(1)複数の前記第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積機能と、(2)各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理するファイアウオール装置管理機能とを実現させ、(3)当該ファイアウオール装置管理機能は前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とする。
本発明によれば、柔軟性や利便性を高め、迅速にアクセス制御設定の変更を行うことができる。
(A)実施形態
以下、本発明にかかるファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラムの実施形態について説明する。
以下、本発明にかかるファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラムの実施形態について説明する。
(A−1)実施形態の構成
本実施形態にかかる通信システム10の全体構成例を図1に示す。なお、当該通信システム10中に、図示しないサーバ類(例えば、DNSサーバなど)が存在していてもよいことは当然である。
本実施形態にかかる通信システム10の全体構成例を図1に示す。なお、当該通信システム10中に、図示しないサーバ類(例えば、DNSサーバなど)が存在していてもよいことは当然である。
図1において、当該通信システム10は、インターネット11と、LAN12〜14と、ファイアウオール(FW)装置20〜22と、ネットワーク装置群23と、サーバ装置25〜30と、操作端末31〜33とを備えている。
このうちインターネット11は各ユーザU1、U2,EU1などが操作する操作端末31〜33とLAN12を接続するためのネットワークである。本発明の構成上、この部分にインターネットを用いることは必ずしも必須の要件ではないが、ここではインターネットを想定する。
操作端末31〜33は通常のパーソナルコンピュータやワークステーションであってよい。この操作端末31〜33には各種のクライアント機能が搭載されていてよいが、本実施形態では主としてWebの利用を想定するため、少なくともWebブラウザは搭載している必要がある。
操作端末31はWebブラウザBR1を搭載し、操作端末32はWebブラウザBR2を搭載し、操作端末33はWebブラウザBE1を搭載しているものとする。また、操作端末31はユーザU1によって操作され、操作端末32はユーザU2によって操作され、操作端末33はユーザEU1によって操作される。また、操作端末31のIPアドレスをPA31とし、操作端末32のIPアドレスをPA32とし、操作端末33のIPアドレスをPA33とする。
通信システム10におけるユーザは大きく2つに分けることができる。その1つは、ホスティング事業者HE1のホスティングサービスを利用して自身が作成したWebページを提供するユーザ(前記ホスティングサービス利用者、すなわちサービス利用ユーザ)であり、もう1つは、そのWebページにアクセスして閲覧するユーザ(エンドユーザ)である。
必ずしもホスティングサービス利用者の全員が本実施形態で特徴的なパーソナル・ファイアウオール・サービスの契約を行わなくてもよいが、ここでは、全員が契約を行うものとする。この場合、ホスティングサービス利用者(前記サービス利用者)はそのままパーソナル・ファイアウオール・サービス利用者でもある。パーソナル・ファイアウオール・サービスは、前記サービス利用ユーザが後述するファイアウオール管理装置24を操作することにより、LAN12内のファイアウオール装置(例えば、21)に関するアクセス制御設定(後述するパケットフィルタの設定)を自身の望むものに変更できることをサービス内容とする。
ユーザU1とU2はこのサービス利用ユーザに該当し、ユーザEU1はこのエンドユーザに該当する。図1の例では、サービス利用ユーザを二人、エンドユーザを一人だけ図示しているが、実際にはいずれのユーザも多数となるのが普通である。
また、サービス利用ユーザは予めLAN12内にそのユーザ情報を登録してあるが、基本的にエンドユーザのほうはそのような登録を行っていない。したがって多数である点は同じでも、サービス利用ユーザは特定多数、エンドユーザは不特定多数となる。
なお、ホスティング事業者HE1の具体例としては、例えば、ISP(インターネットサービスプロバイダ)やSI(システムインテグレータ)などがある。
前記サーバ装置25〜30は、通常のワークステーションやパーソナルコンピュータであってよい。
前記ホスティングは、厳密にはハウジング(あるいはコロケーション)などと区別して用いられる用語であるが、本実施形態では、エンドユーザからのアクセスが同じファイアウオール装置(例えば、21)を経由して複数のサービス利用ユーザのWebページ(例えば、WebサーバWS1とWS2が提供するWebページ)に到達する点が重要であり、この点では、ホスティングもハウジング等も基本的に同じであるから、以下では特に必要な場合を除き、そのような厳密な区別は行わないものとする。したがって本実施形態で用いる「ホスティング」には、ハウジングなども含まれ得る。
ハウジングには1台のサーバ装置をただ1つのWebサーバとしてのみ用いる場合を含むが、以下では主として、バーチャルホスト機能を用いるケースについて説明する。
サービス利用ユーザ(例えば、U1,U2)が自身が作成したWebページをホスティングサービスを利用してエンドユーザに提供するということは、LAN12内のいずれかのサーバ装置(例えば、27)に、各サービス利用ユーザが自身のための仮想的なホスト(仮想Webサーバ)を持つことを意味する。多くのWebサーバソフトは、このような仮想的なWebサーバを実現するための機能(バーチャルホスト機能)を標準で装備している。
バーチャルホスト機能は、実際には1台のサーバ装置を、見かけ上(エンドユーザからみて)多数のWebサーバとしてはたらかせる機能のことである。したがって、例えば、エンドユーザEU1がWebブラウザBE1に、あるURL(例えば、URL1)を入力してWebサーバWS1が提供するWebページを閲覧したときと、別なURL(例えば、URL2)を入力してWebサーバWS2が提供するWebページを閲覧したときは、物理的には同じサーバ装置27が機能しているが、エンドユーザからみた場合、2つの独立したサーバ装置が存在しているかのように見える。
なお、このバーチャルホスト機能の実現法はサーバ装置(例えば、27)に対するIPアドレスの付与の観点で2つに分けることができる。
その第1は、当該サーバ装置27に1つのIPアドレスのみを付与する方法であり、第2は、バーチャルホスト(仮想Webサーバ)の数と同数のIPアドレスを付与する方法である。
このうち第1の方法では、DNSサーバの別名の機能を用いて、複数のドメイン名(URLのパス名などを除いた文字列)が1つのIPアドレスに対応付けられるようにしておく必要があるものの、IPアドレスの節約の観点で有利である。また、第1の方法を用いる場合、エンドユーザEU1のWebブラウザBE1は、サーバ装置27のホスト名や仮想Webサーバ(WS1またはWS2)のドメイン名をサーバ装置27側に伝える機能を持つ必要がある。具体的には、WebブラウザBE1が送信するHTTPリクエストメッセージのなかに、サーバ装置27のホスト名や仮想Webサーバ(WS1またはWS2)のドメイン名を収容して届ける機能である。このような機能は、新しいバージョン(HTTP/1.1)のWebブラウザなら装備しているが、古いバージョン(HTTP/1.0など)のWebブラウザは装備していない。
第2の方法は、IPアドレスの消費量は多いものの、DNSサーバへの登録も通常のものでよいし、エンドユーザのWebブラウザのバージョンにも制約はなく、ファイアウオール装置(例えば、21)の管理も容易になる利点がある。
本実施形態におけるバーチャルホスト機能は、主として、この第2の方法によって実現するものとする。
第2の方法によって実現するとき、LAN12内の各サーバ装置(例えば、前記サーバ装置27)には、搭載している仮想Webサーバの数と同数のNIC(Network Interface Card)が装着され、サーバ装置27のOS(オペレーティングシステム)が持つ複数IPアドレス設定機能により仮想Webサーバの数と同数のIPアドレスが付与される。例えば、前記サーバ装置27に2つの仮想Webサーバ(WS1とWS2)が搭載されているものとすると、当該サーバ装置27には、前記仮想WebサーバWS1のためのIPアドレスPA1と、仮想WebサーバWS2のためのIPアドレスPA2が付与されることになる。
後述するように、本実施形態の構成上、サービス利用ユーザであるU1やU2が操作する操作端末31や32のIPアドレスが変動しても特段、問題はないが、ファイアウオール装置(21など)においてOSI参照モデルのネットワーク層やトランスポート層の制御情報(IPアドレスやポート番号)を利用してIPパケットのフィルタリングを行うパケットフィルタリング方式を有効に活用するには、エンドユーザであるEU1が操作する操作端末33のIPアドレス(PA33)は固定されていることが前提となる。ただしサービス利用ユーザ(例えば、U1)が自身の操作端末を用い、エンドユーザとしていずれかのWebページ(例えば、WS2が提供するWebページ)にアクセスすることもあり得るので、その意味では、操作端末31、32のIPアドレス(PA31,PA32)も固定されていることが望ましい。
前記LAN12内に設置されるサーバ装置の数は6つより多くてもよく、少なくてもよいが、図1では、当該LAN12内に6つのサーバ装置25〜30が設置されている。各サーバ装置25〜30が提供するサーバの種類は、必ずしもWebサーバに限る必要はなく、メールサーバやFTPサーバなどもあり得るが、ここではWebサーバを想定する。
6つのサーバ装置25〜30のなかには、前記バーチャルホスト機能によって1台で複数の仮想Webサーバとして機能するサーバ装置27のような装置だけでなく、1台で1つのWebサーバとして機能するサーバ装置が混在していてもよい。前記ハウジングの場合には、このようなサーバ装置もあり得る。
前記LAN12内には3つのファイアウオール装置20〜22が設置されているが、本実施形態の原理を説明する上では、LAN12内のファイアウオール装置は1つでよい。
ただし実際のホスティングサービスでは、特定のサービス利用ユーザのために専用線を用意することなどもあり得る。例えば、前記ハウジングの場合には、サービス利用ユーザがLAN12内に持ち込んだ1台のサーバ装置(例えば、25)のため、インターネット11へのアクセス回線として専用線(例えば、AC3)を用意すること等もあり得る。
また、LAN12内に多くのサーバ装置を設置する場合には、1つのアクセス回線では帯域が不足するため、複数のアクセス回線を用意することが必要となる可能性もある。そのようなケースでは、図1のように3つのアクセス回線AC1〜AC3が必要となることもある。アクセス回線に十分な帯域を確保しておかないと、アクセス回線の帯域不足が原因となって応答時間(エンドユーザの操作端末(例えば、33)がHTTPリクエストメッセージを送信してからHTTPレスポンスメッセージを受信するまでの時間)が長くなる可能性があるからである。
アクセス回線が複数用意された場合、図1に示したように、アクセス回線ごとにファイアウオール装置を設けることがあり得る。これにより、負荷が分散され、ファイアウオール装置自体の処理遅延が原因となって、前記応答時間が長くなる可能性を低減できる。
各ファイアウオール装置自体の機能は3つのファイアウオール装置20〜22のすべてが同じであってよいが、以下の説明では、主として、3つのファイアウオール装置20〜22のうちの1つであるファイアウオール装置21に注目する。任意のエンドユーザ(その一人がEU1)からのサーバ装置27へのアクセスは、前記仮想サーバWS1へのアクセスも、仮想サーバWS2へのアクセスも含め、当該ファイアウオール装置21を経由して行われるものとする。
ファイアウオール装置21のフィルタリング方式としては、いわゆるステートフルインスペクションや、アプリケーションレベルゲートウエイ方式を用いることも可能であるが、ここでは主として、前記IPアドレスとポート番号をもとにIPパケットを中継するか否かを決める前述のパケットフィルタリング方式を用いるものとする。
パケットフィルタリング方式では、ファイアウオール装置21があるIPパケット(例えば、PK1)を中継するか、遮断するかを、そのIPパケットのヘッダに含まれる4つの情報に基づいて決定する。この4つの情報は、IPヘッダに含まれる宛先IPアドレス、送信元IPアドレス、トランスポート層ヘッダ(TCPヘッダまたはUDPヘッダ)に含まれる宛先ポート番号、送信元ポート番号である。
図1中、PK1とPK2はIPパケットを示しており、パケットPK1は操作端末33から送信されインターネット11やファイアウオール装置21などを経由して、サーバ装置27に届けられるパケットである。前記HTTPリクエストメッセージはこのパケットPK1に収容して届けられる。
エンドユーザEU1がWebブラウザBE1で前記URL1を指定した場合、周知のDNSシステムによる名前解決の過程を経て操作端末33から送信される当該パケットPK1には、宛先IPアドレスとして前記PA1が記述され、送信元IPアドレスとして自操作端末33のIPアドレスであるPA33が記述されている。また、当該パケットPK1の宛先ポート番号としては通常、HTTPに対応するウエルノウンポート番号である80番が記述され、送信元ポート番号の値はウエルノウンポート番号と重複しない範囲から、その都度、異なる値をWebブラウザBE1が決めて記述する。
また、パケットPK2は、前記サーバ装置27が送信し、ファイアウオール装置21,インターネット11などを経由して操作端末33へ届けられるパケットである。前記HTTPレスポンスメッセージはこのパケットPK2に収容して届けられる。
当該パケットPK2が、前記パケットPK1に対する応答として仮想WebサーバWS1(または、WS2)およびサーバ装置27が送信するパケットであるものとすると、当該パケットPK2のヘッダ情報は、前記パケットPK1と対称的な関係にある。
すなわち、当該パケットPK2の宛先IPアドレスとしては前記PA33が、送信元IPアドレスとしては前記PA1(WS2が送信する場合には、PA2)が、宛先ポート番号としては、前記パケットPK1に送信元ポート番号として記述されていたものと同じポート番号が、送信元ポート番号としては前記80番がそれぞれ記述される。
したがって、例えば、ファイアウオール装置21のアクセス制御設定(パケットフィルタの設定)として、LAN12の外から内へ向かうパケットについて、その送信元IPアドレスがPA33のものは遮断する旨の設定がしてあった場合には、前記パケットPK1はファイアウオール装置21で遮断されるため、LAN12の内部に入ることができず、サーバ装置27へも届かない。
また、前記パケットフィルタの設定としては、例えば、LAN12の外から内へ向かうパケットについて、その送信元IPアドレスがPA33で宛先ポート番号が80番のものを遮断する旨の設定を行うこともできる。この場合、操作端末33からウエルノウンポート番号が80番以外の通信アプリケーションへのアクセスは許可される。例えば、ウエルノウンポート番号が80番以外の通信アプリケーション(例えば、ウエルノウンポート番号が110番のメールサーバ(POP3サーバ)など)がいずれかのサーバ装置25〜30に搭載されていたとすると、操作端末33からそのサーバ装置へのアクセスは可能となる。
LAN12の内から外へ向かうパケット(例えば、PK2)に対しても同様なパケットフィルタの設定を行うことが可能である。例えば、LAN12内のいずれかのサーバを踏み台として図示しない第3者のサーバなどにDoS攻撃を行うことを防ぐ場合などに、このような設定が必要になることがある。
ネットワーク装置群23は、1または複数のネットワーク機器を示している。具体的には、当該ネットワーク装置群23にはルータやレイヤ2スイッチなどのネットワーク機器が該当し、LAN12内における各装置間でフレーム(IPパケットを収容しているMACフレーム)やパケットの中継を行う。
ファイアウオール(FW)管理装置24は、本実施形態に特徴的な構成要素であり、ファイアウオール装置21を含む各ファイアウオール装置20〜22のアクセス制御設定などを管理する装置である。
管理者A1は、当該ファイアウオール管理装置24を介して、LAN12やファイアウオール装置20〜22の管理を行う権限を持つ管理者である。ファイアウオール管理装置24がそのためのユーザインタフェースを持つ場合、当該管理者A1は(ネットワークを経由することなく)直接、当該ファイアウオール管理装置24を操作して、前記管理を実行することもできる。必要に応じて、ネットワーク(例えば、インターネット11やISDN網など)を経由して、管理者A1がファイアウオール管理装置24を操作する構成としてもよい。
前記サービス利用ユーザU1,U2も、ファイアウオール管理装置24を操作することにより、前記パケットフィルタの設定を自身の望むものに変更することが可能である。ただし各サービス利用ユーザが変更する権限を持つのは、自身が作成したWebページを提供する仮想Webサーバに関するパケットフィルタ設定だけである。例えば、サービス利用ユーザU1の場合、自身が作成、提供するWebページに対応する仮想WebサーバであるWS1,すなわち、IPアドレスがPA1のパケットフィルタの設定のみ変更することができる。
このパケットフィルタには、LAN12の外から内へ向かう宛先IPアドレスがPA1(宛先ポート番号が80番)のパケットに対するパケットフィルタと、LAN12の内から外へ向かう送信元IPアドレスがPA1(送信元ポート番号が80番)のパケットに対するパケットフィルタが含まれる。
ただし、適切な管理を遂行できるようにするため、管理者A1には、各サービス利用ユーザ(例えば、U1)が行った設定に反しても、自身の判断ですべてのパケットフィルタの設定を変更できる権限を与えておくことが望ましい。あるサービス利用ユーザ(例えば、U1)によるパケットフィルタの設定が不適切である場合、その影響範囲がそのサービス利用ユーザの仮想Webサーバ(ここでは、WS1)のみに局限されるのであればよいが実際には必ずしもそうではないからである。
例えば、サービス利用ユーザ(例えば、U1)によるパケットフィルタの設定が不適切であるためにそのサービス利用ユーザの仮想Webサーバ(ここでは、WS1)が外部からのDoS攻撃にさらされた場合、同じサーバ装置(ここでは、27)に搭載されている他の仮想Webサーバ(ここでは、WS2)や、当該LAN12内の他のサーバ装置(例えば、25など)にも、当該DoS攻撃の影響が波及することがあり、管理者A1はそのような影響を予防したり、最小限度に抑える必要がある。
なお、エンドユーザ(例えば、EU1)が前記パケットフィルタの設定を変更することは確実に禁止する必要があることは当然である。そのような変更が可能であるということは、実質的に、ファイアウオール装置21が存在しないことに等しいからである。
前記ファイアウオール管理装置24の内部構成例を図2に示す。
(A−1−1)ファイアウオール管理装置の内部構成例
図2において、当該ファイアウオール管理装置24は、ユーザI/F部40と、管理者I/F部41と、FW設定制御部42と、FW装置情報データベース43と、ユーザ情報データベース44と、ユーザFW設定情報データベース45と、FW設定部46とを備えている。
図2において、当該ファイアウオール管理装置24は、ユーザI/F部40と、管理者I/F部41と、FW設定制御部42と、FW装置情報データベース43と、ユーザ情報データベース44と、ユーザFW設定情報データベース45と、FW設定部46とを備えている。
このうちユーザI/F部40は、前記サービス利用ユーザ(例えば、U1)に対してユーザインタフェースを提供する部分である。
具体的には、例えば当該ユーザI/F部40は、前記パケットフィルタの設定を変更したり、自身が行った設定の内容を確認したりするための設定用Webページ(設定画面)を、サービス利用ユーザ(例えば、U1)の操作端末(例えば、31)上のWebブラウザ(例えば、BR1)に送信し、その設定用Webページにサービス利用ユーザが入力した内容に応じて、パケットフィルタの設定を変更することになる。このような設定用Webページは、いわゆるフォームの仕組みを利用して提供することができる。
この場合、ユーザI/F部40はWebサーバ機能を持つことになる。
また、当該ユーザI/F部40は、真にサービス利用ユーザである者にのみ、その権限の範囲内に限ってパケットフィルタの設定や設定内容の確認を許容するため、ユーザ認証に対応する機能を備える必要がある。これによって、前記エンドユーザ(例えば、EU1)がパケットフィルタの設定を変更することを確実に防止できる。また、あるサービス利用ユーザ(例えば、U1)が他のサービス利用ユーザ(例えば、U2)の行ったパケットフィルタの設定を閲覧したり、その設定内容を変更したりすることも防止できる。
ただしユーザ認証には、予めファイアウオール管理装置24内に登録してあるユーザ情報(例えば、ユーザIDやパスワードなど)の照合などが必要となるため、当該ユーザI/F部40単独では行えず、ファイアウオール管理装置24内の他の構成要素(42など)との連携が必要となる。この点は、上述したパケットフィルタの設定内容を確認したり変更したりする場合も同様である。
なお、このようなユーザ認証などを行うため、ファイアウオール装置(例えば、20)のパケットフィルタには、サービス利用ユーザ(例えば、U1)とのあいだの通信を許可する旨の設定を行っておく必要があることは当然である。
具体的なユーザ認証の方法には様々なものがあり得る。例えば、前記設定用Webページ(または、その前に閲覧させるサービス利用ユーザ用のトップページや所定の認証用Webページなど)で、ユーザIDやパスワードを入力させることによってユーザ認証を行うこともできる。
また、公開鍵系の暗号など暗号技術を利用して、ユーザ認証を行うことも可能である。そのために、例えばSSLなどを活用してもよい。操作端末(例えば、13)とユーザI/F部40のあいだの通信をSSLで行った上で、ユーザIDやパスワードを入力させれば、真に、公開鍵と対をなす秘密鍵を持っていて、なおかつ、正しいユーザIDとパスワードを入力できるユーザのみ正当と認めることになり、二重にユーザの正当性を検証することができるため、セキュリティ強度は比較的高まる。この場合、アプリケーション層ではHTTPSプロトコルによる通信が行われることになる。
管理者I/F部41も、管理者A1向けである点を除き、基本的に当該ユーザI/F部40と同様な機能を持つ。
ただし管理者によっては、WebページなどのGUI(グラフィカル・ユーザ・インタフェース)よりも、TelnetなどのCLI(コマンド・ライン・インタフェース)を提供することも望ましい。
上述したように、管理者A1は、インターネット11ではなく、ISDN網などを経由して当該管理者I/F部41にアクセスする構成としてもよい。
FW設定制御部42は、当該FW管理装置24内で中心的な機能をはたす部分である。前記ユーザ認証や、ユーザ認証の結果がOKであった場合に行うパケットフィルタの設定変更などは、このFW設定制御部42の制御のもとで実行される。FW設定制御部42は、各種データベース43〜45を操作するため、データベース管理システム(DBMS)を搭載している。
ユーザ情報データベース44は、ユーザ情報を蓄積するデータベースである。パケットフィルタの設定を変更する権限を持つ管理者A1やサービス利用ユーザU1,U2に関するユーザ情報がここに登録されている。
ユーザ情報データベース44には1または複数のテーブルが格納され得るが、その主体は、ユーザ情報テーブルTB1である。ユーザ情報テーブルTB1には、前記パーソナル・ファイアウオール・サービスの提供を受けるサービス利用ユーザに関するユーザ情報が登録される。
ユーザ情報テーブルTB1の構成例は図3に示す通りである。
図3に示すように、当該ユーザ情報テーブルTB1は、データ項目として、ユーザIDと、パスワードと、サーバIPアドレスとを備えている。
このうちユーザIDは、各ユーザ(管理者およびサービス利用ユーザ)を少なくともファイアウオール管理装置24内で一意に識別できる識別子である。
パスワードは、各ユーザが予め登録した文字列である。
正当なユーザ(例えば、U1)が、前記認証用Webページなどに自身のユーザIDとパスワードを入力して送信してきた場合、入力されたユーザIDを検索キーとして当該ユーザ情報テーブルTB1を検索し、検索結果としてユーザ情報テーブルTB1に登録してあるパスワードを得て、前記認証用Webページに入力されたパスワードとそのパスワードが一致すれば、認証結果はOKとなる。したがって、ユーザIDとパスワードの双方が正しくなければ、認証結果はNGとなる。
サーバIPアドレスは、前記仮想WebサーバのIPアドレスである。
したがって、ユーザが例えばサービス利用ユーザU1である場合、そのユーザIDには、サーバIPアドレスとして、前記PA1が対応付けられることになる。また、ユーザが例えば管理者A1である場合には、すべてのサーバ(WS1,WS2を含む)のIPアドレスが当該サーバIPアドレスとして登録されることになる。もちろん、この場合などには、すべてのサーバのIPアドレスを効率的に指定できるように、正規表現を利用して記述を簡略化できるようにしておくとよい。
ユーザFW設定情報データベース45には1または複数のテーブルが格納され得るが、その主体は、ユーザFW設定情報テーブルTB2である。ユーザFW設定情報テーブルTB2の構成例は図4に示す通りである。
図4に示すように、当該ユーザFW設定情報テーブルTB2は、データ項目として、送信元IPアドレスと、宛先TCPポート番号と、FW動作とを備えている。
このうち送信元IPアドレスは、上述したパケット(例えば、PK1など)の送信元IPアドレスを記述する。多くのIPアドレスを効率的に記述できるように、正規表現を用いてもよいことは、これも同様である。
なお、図4に示したユーザFW設定情報テーブルTB2は、個々のサービス利用ユーザが設定するパケットフィルタに対応するテーブルである。また当該ユーザFW設定情報テーブルTB2は、上述したパケットPK1のように、LAN12の外から内へ向かうパケットを対象としたパケットフィルタに相当するものであるから、データ項目として、宛先IPアドレスは用意されていない。この方向のパケットの場合、宛先IPアドレスは仮想WebサーバのIPアドレスであり、個々のサービス利用ユーザ(例えば、U1)にとっては、前記ユーザ認証の結果がOKとなった時点で確定しているからである。例えば、サービス利用ユーザU1にとっては、仮想WebサーバWS1のIPアドレスである前記PA1が、当該宛先IPアドレスである。
したがって、前記踏み台とされないようにすること等を目的として、LAN12の内から外へ向かうパケット(例えば、PK2)のためのパケットフィルタを設定する場合、そのパケットフィルタに対応するテーブルでは、図4と逆に、データ項目として、送信元IPアドレスを省くことができる。
宛先TCPポート番号は、上述した宛先ポート番号に対する。
仮想Webサーバの場合、宛先TCPポート番号として通常、上述した80番が記述される。Webで使用されるアプリケーション層プロトコルであるHTTPは、トランスポート層のプロトコルでTCPを用いることが前提であるため、上述したトランスポート層ヘッダはTCPヘッダであり、宛先ポート番号も宛先TCPポート番号となる。
FW動作は、受け取ったパケットのヘッダ情報に応じてファイアウオール装置21が実行するフィルタリング動作を示している。
許可は、そのパケットを中継し通過させることを指し、遮断は、通過させないことを指す。もし必要ならば、単に遮断するだけでなく、アクセスを拒否する旨のメッセージをアクセス元の端末(例えば、33)へ返送するようにしてもよいが、そのような場合のFW動作は、拒否となる。
FW装置情報データベース43には多数のテーブルが格納され得るが、その主体は、FW設定情報テーブルTB3と、FW装置情報テーブルTB4である。
このうちFW設定情報テーブルTB3は、各サービス利用ユーザ(U1やU2)が設定したパケットフィルタ(ここでは、LAN12の外から内へ向かうパケットを対象としたパケットフィルタ)の内容を統合した結果として得られるパケットフィルタを示している。したがってこのFW設定情報テーブルTB3は、ファイアウオール装置21のアクセス制御設定そのものを表しており、対象となるファイアウオール装置21に設定しておけばよい。このため、当該テーブルTB3は、必ずしもデータベースの形でファイアウオール装置21の外部に記憶しておく必要はないが、ここでは、FW装置情報データベース43中にも格納しておくものとする。
当該FW設定情報テーブルTB3の構成例は図5に示す通りである。
図5に示すように、当該FW設定情報テーブルTB3は、データ項目として、送信元IPアドレスと、宛先IPアドレスと、宛先TCPポート番号と、FW動作とを備えている。
このうち送信元IPアドレスと、宛先TCPポート番号と、FW動作については、図4に示したユーザFW設定情報テーブルTB2と同じであるので、その詳しい説明は省略する。
当該FW設定情報テーブルTB3には、前記ユーザFW設定情報テーブルTB2で省略されていた宛先IPアドレスが、データ項目として用意されている。この宛先IPアドレスは、内向きのパケット(前記パケットPK1など)の宛先を仮想Webサーバのレベルまで特定(例えば、WS1宛てであるか、WS2宛てであるかを特定)するために必要となる。
前記FW装置情報テーブルTB4は、前記ファイアウオール装置20〜22を外形的に管理するためのテーブルである。
当該FW装置情報テーブルTB4の構成例は図6に示す通りである。
図6に示すように、当該FW装置情報テーブルTB4は、データ項目として、FW装置IPアドレスと、FW装置種別と、ユーザIDとを備えている。
このうちユーザIDは、図3に示したユーザ情報テーブルTB1のユーザIDと同じである。あるサービス利用ユーザ(例えば、U1)から、パケットフィルタの設定の変更要求を受け取った場合、FW設定制御部42は、そのサービス利用ユーザに対応するファイアウオール装置を特定した上で、該当するファイアウオール装置(例えば、21)と通信(設定用通信)を行って、その変更要求の内容を実際のファイアウオール装置の設定に反映させる必要がある。
ファイアウオール装置とサービス利用ユーザの対応関係は1対1のこともあり得るが、多くの場合、1対多であり、1つのファイアウオール装置(例えば、21)に多数のサービス利用ユーザ(すなわち、多数の仮想Webサーバ(例えば、WS1とWS2))が対応付けられる。
また、アクセス回線(例えば、AC2)と各ファイアウオール装置20〜22のあいだに負荷分散装置を配置して、内向きのパケット(例えば、PK1)を各ファイアウオール装置に振り分ける構成を取る場合などを除き、同じ仮想Webサーバ(例えば、WS1)が複数のファイアウオール装置(例えば、21と22)に対応付けられることもない。
FW装置IPアドレスは、LAN12内で各ファイアウオール装置を一意に指定するためのIPアドレスである。これまで説明したIPアドレス(例えば、PA31、PA33,PA1など)はすべて、グローバルな範囲で一意なグローバルIPアドレスであるが、このFW装置IPアドレスは、LAN12内においてFW管理装置24と、各ファイアウオール装置(例えば、21)とのあいだの設定用通信に使用するだけであるので、グローバルな範囲で一意である必要はなく、プライベートIPアドレスなどを利用することが可能である。
また、ファイアウオール装置の仕様によっては、OSI参照モデルのネットワーク層のプロトコルとしてIPプロトコル以外の通信プロトコルを用いて、FW管理装置24とファイアウオール装置(例えば、21)のあいだの設定用通信を行うこともあり得る。その場合などには、IPアドレス以外の識別子が使用される可能性がある。ここで、設定用通信に用いる通信プロトコルを設定プロトコルと呼ぶ。
なお、ファイアウオール装置によっては、前記パケット(例えば、PK1やPK2)を送受するポートとは別に、設定専用のポート(コンソールポート)を搭載し、パケットフィルタの設定などは当該コンソールポートで受け付ける構成を取る場合もあり得る。そのようなケースでは、ファイアウオール装置(例えば、21)とFW管理装置24をつなぐ伝送路そのものが物理的に独立しているため、識別子が不要な可能性もある。
FW装置種別は、各ファイアウオール装置(例えば、21)の機種などを特定するための情報である。
ファイアウオール装置は、ベンダの相違により、また、ベンダが同じであっても機種の相違により、前記設定プロトコルが相違し得るから、FW装置種別を登録しておく必要がある。必要に応じて、当該FW装置種別には、バージョン情報なども含まれ得る。
複数ベンダ、複数機種のファイアウオール装置に対応するため、FW管理装置24は、複数の設定プロトコルを処理する機能(複数の設定プロトコルモジュール)を搭載する必要がある。
FW設定制御部42は、サービス利用ユーザ(例えば、U1)からパケットフィルタの設定の変更要求を受けた場合、そのサービス利用ユーザU1のユーザIDを検索キーとしてFW装置情報テーブルTB4を検索すれば、検索結果として該当するファイアウオール装置(例えば、21)のIPアドレスとそのファイアウオール装置21の種別(種別情報)を得ることができるので、該当する設定プロトコルを特定することができる。
FW設定制御部42に接続されているFW設定部46は、FW設定制御部42からの制御に応じて、各ファイアウオール装置(例えば、21)のパケットフィルタの設定変更のための前記設定用通信を実行する部分である。当該FW設定部46はその内部に複数のFW設定部(図示の例では、46Aと46B)を備えている。
各FW設定部46A、46Bは上述した設定プロトコルモジュールに相当する。
図示の例では、ファイアウオール装置20と21は設定プロトコルが同じなので、同一のFW設定部46Aと設定用通信を行うが、ファイアウオール装置22はこれらと設定プロトコルが異なるため、別のFW設定部46Bと設定用通信を行うことになる。
ただし、設定プロトコルに限らず、パケットフィルタの構成に関する仕様(一例として、パケットフィルタをバイナリ形式で記述するか、テキスト形式で記述するか等)なども、個々のファイアウオール装置ごとに相違する可能性があるため、FW設定部(例えば、46A)は、このような仕様(前記設定プロトコルもこのような仕様の一例である)にも対応する機能を持つことが望ましい。
以下、上記のような構成を有する本実施形態の動作について説明する。
(A−2)実施形態の動作
前提として、ユーザU1やU2はホスティング事業者HE1と契約(ホスティングサービス契約)を結び、自身が作成したWebページを提供するための仮想WebサーバWS1,WS2をサーバ装置27上に有しているものとする。
前提として、ユーザU1やU2はホスティング事業者HE1と契約(ホスティングサービス契約)を結び、自身が作成したWebページを提供するための仮想WebサーバWS1,WS2をサーバ装置27上に有しているものとする。
また、ホスティングサービス契約を結んだとき、またはその後で、前記サービス利用ユーザ全員(U1,U2も含む)が、パーソナル・ファイアウオール・サービス契約を結んだものとする。
パーソナル・ファイアウオール・サービスを提供するには、上述したユーザ認証を行う必要があるため、ユーザ認証に必要な各種のユーザ情報(例えば、ユーザIDやパスワードなど)を、前記サービス利用ユーザからLAN12(ホスティング事業者HE1)へ通知しておく必要がある。この通知は、書類や記憶媒体を郵送することによって行ってもよいが、ネットワーク(例えば、インターネット11)経由の通信によって行うこともできる。
通知を受けると、管理者A1などが、前記管理者I/F部41を介してFW管理装置24にアクセスし、前記ユーザ情報データベース44内のユーザ情報テーブルTB1に通知を受けたユーザ情報を登録する。なお、本実施形態の構成上、各サービス利用ユーザは、自身の作成したWebページを提供する仮想Webサーバ(例えば、WS1)のIPアドレスを知る必要はない。したがってサーバIPアドレス(例えば、PA1など)は管理者A1が自由に決めることができ、決めたあとでも管理上の必要に応じてサービス利用ユーザに通知することなく適宜、変更することが可能である。
ユーザ情報の登録が完了すると、サービス利用ユーザはいつでも、前記ユーザI/F部40を介してFW管理装置24にアクセスし、前記ユーザ認証を受けたあと、パケットフィルタの設定を確認したり、変更したりすることが可能であるため、透明性が高く、迅速性、柔軟性および利便性に優れている。
ただし上述したように、各サービス利用ユーザが確認、変更する権限を持つのは、自身が作成したWebページを提供する仮想Webサーバに関するパケットフィルタ設定だけである。例えば、サービス利用ユーザU1の場合、自身が提供するWebページに対応する仮想WebサーバであるWS1,すなわち、IPアドレスがPA1のパケットフィルタの設定のみ確認、変更することができる。
ここで、IPアドレスPA1とサービス利用ユーザU1が行ったパケットフィルタ設定との対応付けは、FW設定制御部42が自動的に行うため、サービス利用ユーザU1は当該IPアドレスPA1を知らなくてもパケットフィルタの設定や設定内容の確認を行うことができる。
FW設定制御部42は、前記ユーザ認証の過程で操作端末31から受け取るユーザIDを検索キーとして、前記ユーザ情報データベース44に格納されているユーザ情報テーブルTB1を検索し、検索結果としてサーバIPアドレス(ここでは、U1に対応するPA1)を得ることができるため、ユーザIDとサーバIPアドレスとの対応関係を把握することが可能である。
前記権限の範囲内である限り、パケットフィルタの設定をどのように行うかは、サービス利用ユーザ(例えば、U1)の自由であるが、ここでは、サービス利用ユーザU1が前記エンドユーザEU1から仮想WebサーバWS1へ送信されるパケットを遮断するような設定を行ったものとする。このパケットはこの時点までファイアウオール装置21の通過を許可していたものである。
この場合、サービス利用ユーザU1は、例えば上述したように、LAN12の外から内へ向かうパケットについて、その送信元IPアドレスがPA33で宛先ポート番号が80番のものを遮断する旨の設定を行えばよい。
この設定内容は、前記データベース43内のFW設定情報テーブルTB3に反映されるとともに、前記設定用通信により、該当するファイアウオール装置(ここでは、21)の設定に反映される。
FW管理装置24が当該設定用通信を行うために、前記データベース43内のFW装置情報テーブルTB4を検索し、この検索結果に応じて設定プロトコルに対応するFW設定部(ここでは、46A)を特定すると、当該FW設定部46Aが該当するファイアウオール装置21と設定用通信を行い、サービス利用ユーザU1が要求したパケットフィルタの設定が、実際のファイアウオール装置21の設定に反映されることになる。
この反映のあとエンドユーザEU1が操作端末33を用いて仮想WebサーバWS1にアクセスしようとしても、そのアクセスのために送信したパケット(宛先IPアドレスがPA1、送信元IPアドレスがPA33、宛先ポート番号が80番のパケットPK1)がこれまでのようにファイアウオール装置21を越えることができないため、サービス利用ユーザU1の望むアクセス制御が即座に実現される。サービス利用ユーザU1がパケットフィルタの設定の変更を要求してから、その要求内容が反映されるまでの間、管理者A1が介在する必要はないため、管理者A1の負担もまったくない。
一方、サービス利用ユーザU2は同じエンドユーザEU1から仮想WebサーバWS2へのアクセスを許可する旨のパケットフィルタ設定を行ったものとする。このアクセスのためのパケットはこの時点までファイアウオール装置21で遮断していたものである。この設定の内容は、前記サービス利用ユーザU1によるパケットフィルタの設定変更の場合と同様の手順で、ファイアウオール装置21の設定に反映される。
この反映のあとエンドユーザEU1が操作端末33を用いて仮想WebサーバWS2にアクセスするため、パケット(例えば、宛先IPアドレスがPA2、送信元IPアドレスがPA33、宛先ポート番号が80番のパケットPK1)を送信すると、当該パケットPK1はこれまでと異なりファイアウオール装置21で遮断されることなく中継され、さらにネットワーク装置群23による中継を経て、サーバ装置27に搭載されている宛先の仮想WebサーバWS2へ到達する。
この反映のあとエンドユーザEU1が操作端末33を用いて仮想WebサーバWS2にアクセスするため、パケット(例えば、宛先IPアドレスがPA2、送信元IPアドレスがPA33、宛先ポート番号が80番のパケットPK1)を送信すると、当該パケットPK1はこれまでと異なりファイアウオール装置21で遮断されることなく中継され、さらにネットワーク装置群23による中継を経て、サーバ装置27に搭載されている宛先の仮想WebサーバWS2へ到達する。
このように本実施形態では、各サービス利用ユーザU1,U2が、同じエンドユーザEU1からのアクセスに対して異なるパケットフィルタ設定を行った場合でも、矛盾なく、各サービス利用ユーザU1、U2の意思を反映したアクセス制御を実行することが可能である。
なお、ここではバーチャルホスト機能を利用して、同じサーバ装置27上に搭載された仮想WebサーバWS1,WS2へのアクセスを例に説明したが、1つのサーバ装置(例えば、25)が1つのWebサーバを搭載する場合に行う各サーバ装置へのアクセスに対するアクセス制御でもまったく同じである。
(A−3)実施形態の効果
本実施形態によれば、柔軟性や利便性を高く、迅速にパケットフィルタ設定の変更を行うことができる。
本実施形態によれば、柔軟性や利便性を高く、迅速にパケットフィルタ設定の変更を行うことができる。
また、サービス利用ユーザ(例えば、U1)は、いつでも、パケットフィルタの設定内容を確認したり、設定の変更を行うことができ、変更の内容はただちにファイアウオール装置(例えば、21)の設定に反映されるため、サービスの透明性も高い。
(B)他の実施形態
図1に示したLAN12のネットワーク構成は、図示したものに限定する必要がないことは当然である。
図1に示したLAN12のネットワーク構成は、図示したものに限定する必要がないことは当然である。
また、上記実施形態ではIPアドレスを各装置(操作端末やサーバ装置)に付与するものとしたが、このような付与は、直接、そのIPアドレスをその装置に設定することのみを意味しないことは当然である。ネットワーク機器などが持つNAT機能などにより、各装置とIPアドレスのあいだに同様な対応付けが実現されれば足りるからである。
さらに、上記実施形態ではホスティング事業者が提供するホスティングサービスを例に説明したが、本発明はホスティングサービス以外にも適用可能である。
例えば、1つの企業のネットワーク内で、その企業のある部門(例えば、営業部)と別な部門(例えば、技術開発部)が提供するWebページをバーチャルホスト機能を利用して提供すること等もあり得るし、そのようなWebページを提供する機能を持つ1または複数台のWebサーバ装置を所定の部門(例えば、情報システム部など)が一括管理する構成もあり得る。この場合、前記ホスティング事業者HE1は情報システム部に置き換えて考える必要がある。
なお、本発明は、Webサーバ以外のサーバについても適用可能であることはすでに説明した通りである。
また、上記実施形態では、バーチャルホスト機能の実現法として、1つのサーバ装置(例えば、27)にバーチャルホスト(仮想Webサーバ)の数と同数のIPアドレスを付与する第2の方法を用いたが、ファイアウオール装置(例えば、21)がアプリケーションレベルゲートウエイである場合などには、1つのサーバ装置(例えば、27)に1つのIPアドレスのみを付与する第1の方法を用いることができる可能性がある。
例えば、アプリケーションレベルゲートウエイの場合、その仕様によっては、IPパケット(例えば、PK1)に収容されているHTTPリクエストメッセージ中に含まれる仮想Webサーバ(WS1またはWS2)のドメイン名などを解釈することも可能であるので、宛先IPアドレスが同じであっても、ドメイン名にもとづいて仮想Webサーバを識別(例えば、前記WS1とWS2を識別)することができるからである。
そして、アプリケーションレベルゲートウエイが実行するアクセス制御の内容に、ユーザからの設定に依存して変化するオプションがある場合などには、前記パケットフィルタの設定を変更させたように、サービス利用ユーザにその設定を変更させることもできる。
なお、上記実施形態ではIPアドレス(パケットの送信元IPアドレス)に基づいてエンドユーザを識別したが、実際には、例えば、ダイヤルアップIP接続でアクセスしてくるエンドユーザや、プロキシ経由でアクセスしてくるエンドユーザの場合などには、アクセスのたびに送信元IPアドレスが変動する可能性があって送信元IPアドレスでエンドユーザを特定することは難しい。ただし、アプリケーションレベルゲートウエイの場合には、送信元IPアドレスでアクセス元のユーザを特定することなく、アクセスの仕方に対して制限をかけることもできる。
また、前記インターネット11を他のネットワークに置き換えた構成を取る場合など、OSI参照モデルのネットワーク層のプロトコルは必ずしもIPプロトコルである必要はない。一例として、IPXプロトコルを使用できる可能性もある。
また、上記実施形態では、各テーブルTB1〜TB4につき、具体的なデータ項目を列挙してその構成を図示したが、各テーブルの構成は必ずしも図示した通りのものである必要はない。
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
10…通信システム、11…インターネット、12〜14…LAN、20〜22…FW装置、23…ネットワーク装置群、24…FW管理装置、25〜30…サーバ装置、31〜33…操作端末、40…ユーザI/F部、41…管理者I/F部、42…FW設定制御部、43…FW装置情報データベース、44…ユーザ情報データベース、45…ユーザFW設定情報データベース、46…FW設定部、TB1〜TB4…テーブル、PK1、PK2…パケット、BR1、BR2,BE1…Webブラウザ、U1,U2…サービス利用ユーザ、EU1…エンドユーザ、A1…管理者、WS1、WS2…仮想Webサーバ、PA1,PA2,PA31〜PA33…IPアドレス。
Claims (4)
- 第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理システムにおいて、
複数の前記第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積部と、
各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理するファイアウオール装置管理部とを備え、
当該ファイアウオール装置管理部は前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とするファイアウオール管理システム。 - 請求項1のファイアウオール管理システムにおいて、
前記ファイアウオール装置が複数存在する場合、各ファイアウオール装置に関する属性情報であるファイアウオール情報を蓄積しておくファイアウオール情報蓄積部と、
各ファイアウオール装置の仕様に対応する1または複数の仕様対応部とを備え、
前記ファイアウオール装置管理部は、
第1グループユーザからの前記要求に応じてファイアウオール装置のアクセス制御設定を変化させるとき、前記ファイアウオール情報をもとに該当するファイアウオール装置の仕様に対応する仕様対応部を特定し、その仕様対応部を介して当該ファイアウオール装置におけるアクセス制御設定の変更を実現することを特徴とするファイアウオール管理システム。 - 第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理方法において、
複数の前記第1グループユーザに関するユーザ情報をユーザ情報蓄積部に蓄積しておき、
ファイアウオール装置管理部が、各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理し、
しかも当該ファイアウオール装置管理部は、前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とするファイアウオール管理方法。 - 第1グループに属するユーザである第1グループユーザが、第2グループに属するユーザである第2グループユーザに対して、自身のサーバ機能に第1のネットワーク経由でアクセスさせるため、当該サーバ機能を第2のネットワーク内に設置されたサーバ装置に搭載した上、そのサーバ装置に関する管理を所定の管理者に委託する場合、当該第1のネットワークと第2のネットワークの境界に配置するファイアウオール装置を管理するファイアウオール管理プログラムにおいて、コンピュータに、
複数の前記第1グループユーザに関するユーザ情報を蓄積しておくユーザ情報蓄積機能と、
各第1グループユーザが前記サーバ装置を利用して提供する複数のサーバ機能に対する前記第2グループユーザからのアクセスに関して、前記ファイアウオール装置がアクセス制御設定に基づいて実行するアクセス制御を管理するファイアウオール装置管理機能とを実現させ、
当該ファイアウオール装置管理機能は前記ユーザ情報をもとに個々の第1グループユーザからのアクセス制御設定に関する要求を識別し、その要求に応じて前記アクセス制御設定を変化させることで、前記ファイアウオール装置が実行する各サーバ機能へのアクセス制御を変化させることを特徴とするファイアウオール管理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004021485A JP2005217757A (ja) | 2004-01-29 | 2004-01-29 | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004021485A JP2005217757A (ja) | 2004-01-29 | 2004-01-29 | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005217757A true JP2005217757A (ja) | 2005-08-11 |
Family
ID=34905115
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004021485A Abandoned JP2005217757A (ja) | 2004-01-29 | 2004-01-29 | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005217757A (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007136811A2 (en) * | 2006-05-18 | 2007-11-29 | Microsoft Corporation | Exceptions grouping |
US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8122492B2 (en) | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
JP2015165700A (ja) * | 2008-12-10 | 2015-09-17 | アマゾン テクノロジーズ インコーポレイテッド | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 |
US9374341B2 (en) | 2008-12-10 | 2016-06-21 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US9521037B2 (en) | 2008-12-10 | 2016-12-13 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
JP2017028403A (ja) * | 2015-07-17 | 2017-02-02 | 三菱電機株式会社 | ファイアウォール管理装置およびファイアウォール管理プログラム |
JP2020167587A (ja) * | 2019-03-29 | 2020-10-08 | 株式会社デンソー | 中継装置 |
-
2004
- 2004-01-29 JP JP2004021485A patent/JP2005217757A/ja not_active Abandoned
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8122492B2 (en) | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
WO2007136811A2 (en) * | 2006-05-18 | 2007-11-29 | Microsoft Corporation | Exceptions grouping |
WO2007139696A2 (en) * | 2006-05-18 | 2007-12-06 | Microsoft Corporation | Exceptions grouping |
WO2007136811A3 (en) * | 2006-05-18 | 2008-03-06 | Microsoft Corp | Exceptions grouping |
WO2007139696A3 (en) * | 2006-05-18 | 2008-03-06 | Microsoft Corp | Exceptions grouping |
US8176157B2 (en) | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US9374341B2 (en) | 2008-12-10 | 2016-06-21 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US9521037B2 (en) | 2008-12-10 | 2016-12-13 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
JP2015165700A (ja) * | 2008-12-10 | 2015-09-17 | アマゾン テクノロジーズ インコーポレイテッド | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 |
US9756018B2 (en) | 2008-12-10 | 2017-09-05 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US10728089B2 (en) | 2008-12-10 | 2020-07-28 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US10868715B2 (en) | 2008-12-10 | 2020-12-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US10951586B2 (en) | 2008-12-10 | 2021-03-16 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US11290320B2 (en) | 2008-12-10 | 2022-03-29 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US11831496B2 (en) | 2008-12-10 | 2023-11-28 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
JP2017028403A (ja) * | 2015-07-17 | 2017-02-02 | 三菱電機株式会社 | ファイアウォール管理装置およびファイアウォール管理プログラム |
JP2020167587A (ja) * | 2019-03-29 | 2020-10-08 | 株式会社デンソー | 中継装置 |
JP7306020B2 (ja) | 2019-03-29 | 2023-07-11 | 株式会社デンソー | 中継装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
US7733795B2 (en) | Virtual network testing and deployment using network stack instances and containers | |
CA2182777C (en) | Security system for interconnected computer networks | |
US9037738B2 (en) | Web-based security and filtering system for inbound/outbound communications with proxy chaining | |
JP5038887B2 (ja) | ネットワークを管理するシステムおよび方法 | |
RU2646343C1 (ru) | Объекты виртуального сетевого интерфейса | |
US6131120A (en) | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers | |
US7356841B2 (en) | Server and method for providing specific network services | |
US10440057B2 (en) | Methods, apparatus and systems for processing service requests | |
EP1134955A1 (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers | |
Aboba et al. | Criteria for evaluating roaming protocols | |
MX2011003223A (es) | Acceso al proveedor de servicio. | |
JP2008504776A (ja) | 動的デバイスアドレス管理のための方法およびシステム | |
JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
WO2004047402A1 (en) | Management of network security domains | |
JP2005217757A (ja) | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム | |
JP2003316742A (ja) | シングルサインオン機能を有する匿名通信方法および装置 | |
US20060159087A1 (en) | Method for identifying personal information on a network | |
JP2011186873A (ja) | 社内情報閲覧用サーバ・システムおよびその制御方法 | |
Cisco | M through R Commands | |
Cisco | B - Accessing the Dashboard | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060221 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20061030 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20070702 |