JP2005260345A - 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ - Google Patents
移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ Download PDFInfo
- Publication number
- JP2005260345A JP2005260345A JP2004065761A JP2004065761A JP2005260345A JP 2005260345 A JP2005260345 A JP 2005260345A JP 2004065761 A JP2004065761 A JP 2004065761A JP 2004065761 A JP2004065761 A JP 2004065761A JP 2005260345 A JP2005260345 A JP 2005260345A
- Authority
- JP
- Japan
- Prior art keywords
- filtering
- information
- network
- authentication
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 移動ユーザ端末の通信セッションがされるネットワーク接続に合わせ、継続パケットフィルタリングのためのユーザ毎のセキュリティポリシを、外部装置から取得または継続引き継ぎ適用することを可能とする。
【解決手段】 ファイアウォール装置が、振分管理テーブルに書き込まれる移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバから取得し、個別フィルタリングテーブルに書き込まれる移動ユーザの個別フィルタリングポリシと、共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシをセキュリティポリシ管理サーバから取得し、フィルタリングステートテーブル内のフィルタリングステート情報をセキュリティポリシ管理サーバヘ転送し、フィルタリングステートテーブルに書き込まれるフィルタリングステート情報をセキュリティポリシ管理サーバから取得する。
【選択図】 図2
【解決手段】 ファイアウォール装置が、振分管理テーブルに書き込まれる移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバから取得し、個別フィルタリングテーブルに書き込まれる移動ユーザの個別フィルタリングポリシと、共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシをセキュリティポリシ管理サーバから取得し、フィルタリングステートテーブル内のフィルタリングステート情報をセキュリティポリシ管理サーバヘ転送し、フィルタリングステートテーブルに書き込まれるフィルタリングステート情報をセキュリティポリシ管理サーバから取得する。
【選択図】 図2
Description
本発明は、移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバに係り、特に、インターネット技術のうち、ネットワークベースのセキュリティサービスを実現するファイアウォールシステムの高機能化、高性能化に関する技術に関する。
従来、エンドユーザの端末またはエンドユーザのネットワーク、または前記エンドユーザが接続するバックボーンネットワークのセキュリティを高める手段の1つとして、ファイアウォールがある。
ファイアウォールは、セキュリティを高めたいエンドユーザの端末またはエンドユーザのネットワークと外部ネットワークの間に配置され、予め決められたパケットフィルタリングポリシに従い、外部ネットワークからエンドユーザの端末またはネットワークに向かうパケット、またはエンドユーザの端末またはネットワークから外部ネットワークヘ向かうパケットに対して、前記パケットが通過可能か否かを判断し、可能な場合は該パケットを通過させ、可能でない場合は該パケットを破棄する等のパケットフィルタリング処理を実施する。
前記フィルタリング処理のためのフィルタリングポリシは、IPアドレス、プロトコル種別、ポート番号、パケット方向、パケット通過の可否、または他の条件を結びつけ、1つのルールとし、複数ルールをまとめたものである。
ファイアウォールは、セキュリティを高めたいエンドユーザの端末またはエンドユーザのネットワークと外部ネットワークの間に配置され、予め決められたパケットフィルタリングポリシに従い、外部ネットワークからエンドユーザの端末またはネットワークに向かうパケット、またはエンドユーザの端末またはネットワークから外部ネットワークヘ向かうパケットに対して、前記パケットが通過可能か否かを判断し、可能な場合は該パケットを通過させ、可能でない場合は該パケットを破棄する等のパケットフィルタリング処理を実施する。
前記フィルタリング処理のためのフィルタリングポリシは、IPアドレス、プロトコル種別、ポート番号、パケット方向、パケット通過の可否、または他の条件を結びつけ、1つのルールとし、複数ルールをまとめたものである。
また、ファイアウォールは機能配備方法により、以下の3つの形態に区分される。
1つ目は、図16に示すように、ファイアウォール20をエンドユーザの端末21の内部に具備する形態(以下、PCベースファイアウォールと称する)のもので、二つ目は、図17に示すように、ファイアウォール20を、エンドユーザのネットワークエッジとしてホームゲートウェイルータ等に具備する形態(以下、Customer Located Equipment;CLEベースファイアウォールと称する)のもので、いずれもエンドユーザまたはエンドユーザネットワーク管理者による独立のフィルタリングポリシで運用され、エンドユーザの端末21またはネットワーク22を外部ネットワーク24から守るために機能し利用される。
3つ目は、図18に示すように、ファイアウォール20が、独立のフィルタリングポリシで運用されセキュリティを高めたいエンドユーザ端末21またはネットワーク22を複数収容し、インターネットとして外部ネットワーク24に接続するネットワークエッジに機能配備される形態(以下、ネットワークベースファイアウォールと称する)のもので、エンドユーザの端末21またはネットワーク22を、外部、内部ネットワークから守るとともに、前記複数収容されるエンドユーザの端末21またはネットワーク22からの外部または内部ネットワークヘの不正トラヒック流出を抑えるために機能し利用される。なお、図16〜図18において、23はIP転送網である。
1つ目は、図16に示すように、ファイアウォール20をエンドユーザの端末21の内部に具備する形態(以下、PCベースファイアウォールと称する)のもので、二つ目は、図17に示すように、ファイアウォール20を、エンドユーザのネットワークエッジとしてホームゲートウェイルータ等に具備する形態(以下、Customer Located Equipment;CLEベースファイアウォールと称する)のもので、いずれもエンドユーザまたはエンドユーザネットワーク管理者による独立のフィルタリングポリシで運用され、エンドユーザの端末21またはネットワーク22を外部ネットワーク24から守るために機能し利用される。
3つ目は、図18に示すように、ファイアウォール20が、独立のフィルタリングポリシで運用されセキュリティを高めたいエンドユーザ端末21またはネットワーク22を複数収容し、インターネットとして外部ネットワーク24に接続するネットワークエッジに機能配備される形態(以下、ネットワークベースファイアウォールと称する)のもので、エンドユーザの端末21またはネットワーク22を、外部、内部ネットワークから守るとともに、前記複数収容されるエンドユーザの端末21またはネットワーク22からの外部または内部ネットワークヘの不正トラヒック流出を抑えるために機能し利用される。なお、図16〜図18において、23はIP転送網である。
さらに、前記ファイアウォールはフィルタリングポリシの保持方法により、以下の2つの形態に分類される。
1つは、フィルタリングポリシをエンドユーザの端末21またはネットワーク22を収容するファイアウォール内部に保持するものであり、通常のファイアウォールはこの方法が用いられている。
もう1つは、例えば、図19−1、図19−2、図19−3に示すように、フィルタリングポリシをファイアウォール外部の外部装置(例えば、管理サーバ等)に保持し、複数のファイアウォールにフィルタリングポリシを配布するものである。
ここで、先に示した3つのファイアウォール形態(PCベースファイアウォール、CLEベースファイアウォール、ネットワークベースファイアウォール)の多くは、セキュリティポリシをファイアウォール内部に保持するものである。
外部サーバ等にて管理されるフィルタリングポリシを配布する方法を用いるファイアウォールに関しては、下記非特許文献1により、例えば、図19−1に示すような端末ベースファイアウォールヘの適用が示されており、また、非特許文献2により、例えば、図19−2に示すようなCLEベースファイアウォールヘの適用が示されている。
1つは、フィルタリングポリシをエンドユーザの端末21またはネットワーク22を収容するファイアウォール内部に保持するものであり、通常のファイアウォールはこの方法が用いられている。
もう1つは、例えば、図19−1、図19−2、図19−3に示すように、フィルタリングポリシをファイアウォール外部の外部装置(例えば、管理サーバ等)に保持し、複数のファイアウォールにフィルタリングポリシを配布するものである。
ここで、先に示した3つのファイアウォール形態(PCベースファイアウォール、CLEベースファイアウォール、ネットワークベースファイアウォール)の多くは、セキュリティポリシをファイアウォール内部に保持するものである。
外部サーバ等にて管理されるフィルタリングポリシを配布する方法を用いるファイアウォールに関しては、下記非特許文献1により、例えば、図19−1に示すような端末ベースファイアウォールヘの適用が示されており、また、非特許文献2により、例えば、図19−2に示すようなCLEベースファイアウォールヘの適用が示されている。
ネットワークベースファイアウォールヘのフィルタリングポリシを配布する方法の適用においても、収容するエンドユーザの端末21またはネットワーク22が静的にインターネットヘのネットワーク接続される場合は、CLEベースファイアウォールと同様に扱い適用することができるが、ネットワークベースファイアウォールにおいて、収容するエンドユーザの端末21またはネットワーク22が複数接続ポイントから動的にインターネットヘ接続、切断を行い、また収容されるネットウークベースファイアウォールが変更される場合においては、例えば、図19−3に示すように、エンドユーザの端末21またはネットワーク22のインターネットヘのネットワーク接続または切断に合わせ、エンドユーザのフィルタリングポリシを最適に保持する手段を有するネットワークベースファイアウォール装置が必要になる。
複数のファイアウォールヘフィルタリングポリシを分配する方法を用い、ファイアウォールヘ収容されるエンドユーザの端末21またはネットワーク22が、複数接続ポイントから動的にインターネットヘ接続、切断を行う場合のネットワークベースファイアウォールについては、下記非特許文献3に示されている。
しかし、非特許文献3に記載のネットワークベースファイアウォールは通信セッションを一度切断し、移動後再接続するネットワーク移動する状況に限定され、通信セッションを維持した状態でネットワーク内を移動可能な、例えば、モバイルIP環境への適用は想定していない。
複数のファイアウォールヘフィルタリングポリシを分配する方法を用い、ファイアウォールヘ収容されるエンドユーザの端末21またはネットワーク22が、複数接続ポイントから動的にインターネットヘ接続、切断を行う場合のネットワークベースファイアウォールについては、下記非特許文献3に示されている。
しかし、非特許文献3に記載のネットワークベースファイアウォールは通信セッションを一度切断し、移動後再接続するネットワーク移動する状況に限定され、通信セッションを維持した状態でネットワーク内を移動可能な、例えば、モバイルIP環境への適用は想定していない。
また、ネットワークベースファイアウォールは、エンドユーザの端末21またはネットワーク22に対するパケットフィルタリングにおいて、ステートフルにパケットフィルタリング処理をおこなう場合がある。
通信セッションを維持した状態で複数ネットワークベースファイアウォールを移動するエンドユーザ端末21に対するパケットフィルタリングを実施する場合、フィルタリングポリシ以外にフィルタリング状態をも移動先々のネットワークベースファイアウォールヘ引き継ぐことが、効率的なフィルタリング処理、またはユーザの利便性上、重要であるが、それらは非特許文献3では、触れられておらず、下記非特許文献4において示されている。
非特許文献4では、ネットワークアーキテクチャとしてそのコンセプトが論じられており、詳細な実現方式として、前記フィルタリング状態をホームエージエントと連携して移動元のファイアウォールから引き継ぐ方式が示されている。
しかし、ホームネットワーク、ホームエージェントと連携した移動元ファイアウォールからのフィルタリング状態情報引継ぎは、本処理負荷によりホームエージェント本来の移動管理またはパケット転送処理性能に影響を及ぼす可能性があり、またネットワークベースファイアウォール間を次々と渡り歩き移動するエンドユーザの端末21に対する移動元ファイアウォールからのフィルタリング状態情報引継ぎ、適用処理性能が高速化できない可能性があり、また通信セッション維持可能な移動通信システムが今後ホームエージェントに依存しないことを想定した場合課題がある。
通信セッションを維持した状態で複数ネットワークベースファイアウォールを移動するエンドユーザ端末21に対するパケットフィルタリングを実施する場合、フィルタリングポリシ以外にフィルタリング状態をも移動先々のネットワークベースファイアウォールヘ引き継ぐことが、効率的なフィルタリング処理、またはユーザの利便性上、重要であるが、それらは非特許文献3では、触れられておらず、下記非特許文献4において示されている。
非特許文献4では、ネットワークアーキテクチャとしてそのコンセプトが論じられており、詳細な実現方式として、前記フィルタリング状態をホームエージエントと連携して移動元のファイアウォールから引き継ぐ方式が示されている。
しかし、ホームネットワーク、ホームエージェントと連携した移動元ファイアウォールからのフィルタリング状態情報引継ぎは、本処理負荷によりホームエージェント本来の移動管理またはパケット転送処理性能に影響を及ぼす可能性があり、またネットワークベースファイアウォール間を次々と渡り歩き移動するエンドユーザの端末21に対する移動元ファイアウォールからのフィルタリング状態情報引継ぎ、適用処理性能が高速化できない可能性があり、また通信セッション維持可能な移動通信システムが今後ホームエージェントに依存しないことを想定した場合課題がある。
なお、本願発明に関連する先行技術文献としては以下のものがある。
「Distributed Firewalls」(Nov.1999,Special Issue on Security,ISSN 1044-6397) 特表2002−544607公報「マネージメントデバイスから複数のネットワークセキュリティデバイスを管理する方法」 「ユビキタス環境に向けたネットワークベースファイアウォール」信学技報 NS2002-252,IN 2002-225(2003.3) 「A Study on User Security of an IP-based Mobile Network」(2003.3 電子情報信学会総合大会 講演番号 B-16-009)
「Distributed Firewalls」(Nov.1999,Special Issue on Security,ISSN 1044-6397) 特表2002−544607公報「マネージメントデバイスから複数のネットワークセキュリティデバイスを管理する方法」 「ユビキタス環境に向けたネットワークベースファイアウォール」信学技報 NS2002-252,IN 2002-225(2003.3) 「A Study on User Security of an IP-based Mobile Network」(2003.3 電子情報信学会総合大会 講演番号 B-16-009)
本発明では、インターネットまたはユビキタスネットワークとして外部ネットワークに接続する、固定ユーザ端末、または通信セッション維持しながら複数のアクセスネットワークを移動する移動ユーザの端末、または前記ユーザネットワークまたはユーザアクセス回線等に対し、外部または内部ネットワークからの不正アクセス、不正トラヒック等から保護するための、あるいは前記固定ユーザまたは移動ユーザの端末または前記ユーザネットワークからの外部または内部ネットワークに対する不正トラヒック流出を防止することが可能なネットワークベースのファイアウォールシステムであって、モバイルIP環境におけるホームネットワークとしての固定ユーザの端末だけでなく、移動ユーザとしてモバイルIPが適用されたネットワークシステムにおける移動ユーザの端末パケットに対するパケットフィルタリングを実施する課題を解決する。
モバイルIP環境におけるネットワークベースファイアウォールで、ユーザの移動に伴い収容されるネットワークヘの接続、切断を動的に行うだけでなく、移動先ネットワークヘのセッション維持可能なネットワークヘの接続をシームレスに行い、収容されるネットワークベースファイアウォールを変更する場合において、ファイアウォール内部にセキュリティポリシを保持する方法として、移動ユーザの端末の接続、切断または通信セッションが維持される接続に関係無く、全てのネットワークベースファイアウォールが収容する可能性のある移動ユーザの端末に関するフィルタリングポリシを全て保持することは有用でない。
モバイルIP環境におけるネットワークベースファイアウォールで、ユーザの移動に伴い収容されるネットワークヘの接続、切断を動的に行うだけでなく、移動先ネットワークヘのセッション維持可能なネットワークヘの接続をシームレスに行い、収容されるネットワークベースファイアウォールを変更する場合において、ファイアウォール内部にセキュリティポリシを保持する方法として、移動ユーザの端末の接続、切断または通信セッションが維持される接続に関係無く、全てのネットワークベースファイアウォールが収容する可能性のある移動ユーザの端末に関するフィルタリングポリシを全て保持することは有用でない。
また、ネットワークベースファイアウォールには、多数の固定ユーザまたは移動ユーザの端末が接続されるため、前記ネットワーク接続または通信セッションが維持される接続に合わせフィルタリングポリシを取得する手段を有するネットワークベースファイアウォール装置では、多量のフィルタリングポリシを取得する場合があり、この場合ネットワークベースファイアウォールの内部リソースは浪費され、本来のフィルタリングおよび転送用のリソースを割り当てられなくなり、フィルタリングおよび転送性能に影響を及ぼす。
従って、このような環境では、移動ユーザの端末の接続、切断または通信セッションが維持される接続に合わせ、保持するべきフィルタリングポリシを最適にフィルタリングポリシ管理する外部装置から判断取得する手段と、最適に保持する手段を有するネットワークベースファイアウォール装置が必要になる。
また、前記分散設置されたファイアウォールヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布量が装置性能を超えた場合、フィルタリングポリシが配布できなくなる。
従って、配布するフィルタリングポリシ量を抑える手段およびフィルタリングポリシ内容に合わせた配布手段を有するフィルタリングポリシ管理装置が必要になる。
従って、このような環境では、移動ユーザの端末の接続、切断または通信セッションが維持される接続に合わせ、保持するべきフィルタリングポリシを最適にフィルタリングポリシ管理する外部装置から判断取得する手段と、最適に保持する手段を有するネットワークベースファイアウォール装置が必要になる。
また、前記分散設置されたファイアウォールヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布量が装置性能を超えた場合、フィルタリングポリシが配布できなくなる。
従って、配布するフィルタリングポリシ量を抑える手段およびフィルタリングポリシ内容に合わせた配布手段を有するフィルタリングポリシ管理装置が必要になる。
また、端末モバイルIP環境においては、ホームネットワークでのユーザパケット情報としての端末IPアドレスが、セッション維持しながら移動を可能とするため移動先ネットワークでは気付けアドレスによる通信となり正常なパケットフィルタリング処理に影響を及ぼす。
従って、このようなモバイルIP移動ユーザの端末パケットに対するパケットフィルタリングとして、フィルタリング情報の一つである端末IPアドレスを気付けアドレスに読み替える手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IP(RFC2003 IP Encapsulation within IP, RFC2004 Minimal Encapsulation within IP)カプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力され、一様などちらかへのパケットフィルタリング対応ではフィルタリング精度に影響を及ぼす。
従って、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリングする手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP通信ネットワークに適用されるネットワークベースファイアウォールにおいて、フィルタリングポリシを前記ユーザのネットワーク接続または通信セッションが維持される接続に合わせて、フィルタリングポリシを管理する外付けサーバから取得する場合、ユーザ毎のフィルタリングポリシの適用だけでは、特に移動ユーザの通信セッション維持が生かされたパケットフィルタリング処理をおこなうことは困難である。
従って、移動元ネットワークでの動的なフィルタリング状態情報や効率的なフィルタリング処理フロー情報等を、移動元ファイアウォールから引き継ぎ適用する手段を有するネットワークベースファイアウォール装置が必要となる。
従って、このようなモバイルIP移動ユーザの端末パケットに対するパケットフィルタリングとして、フィルタリング情報の一つである端末IPアドレスを気付けアドレスに読み替える手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IP(RFC2003 IP Encapsulation within IP, RFC2004 Minimal Encapsulation within IP)カプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力され、一様などちらかへのパケットフィルタリング対応ではフィルタリング精度に影響を及ぼす。
従って、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリングする手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP通信ネットワークに適用されるネットワークベースファイアウォールにおいて、フィルタリングポリシを前記ユーザのネットワーク接続または通信セッションが維持される接続に合わせて、フィルタリングポリシを管理する外付けサーバから取得する場合、ユーザ毎のフィルタリングポリシの適用だけでは、特に移動ユーザの通信セッション維持が生かされたパケットフィルタリング処理をおこなうことは困難である。
従って、移動元ネットワークでの動的なフィルタリング状態情報や効率的なフィルタリング処理フロー情報等を、移動元ファイアウォールから引き継ぎ適用する手段を有するネットワークベースファイアウォール装置が必要となる。
本発明は、前述の事情に鑑みてなされたものであり、その目的とするところは、通信セッション維持可能なモバイルIP通信システム環境適用されるネットワークベースファイアウォールにおいて、パケットフィルタリングを行い、収容する固定ユーザまたは移動ユーザ端末が収容されるネットワークベースファイアウォールを変更する場合は、前記移動ユーザ端末のネットワーク接続または通信セッションが維持されるネットワーク接続に合わせ、継続パケットフィルタリングのためのユーザ毎のセキュリティポリシまたは効率的なパケットフィルタリングのためのフィルタリング状態情報を、外部装置または移動元ネットワークベースファイアウォールから取得または継続引き継ぎ適用することを可能とし、且つ取得するフィルタリングポリシまたは容量を最適に判断保持することを可能にし、且、配布するセキュリティポリシ量を軽減することを可能にする移動情報通信対応認証連携型分散ファイアウォールシステムを提供することにある。
また、本発明の他の目的は、前記移動情報通信対応認証連携型分散ファイアウォールシステムに適用されるファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバを提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
また、本発明の他の目的は、前記移動情報通信対応認証連携型分散ファイアウォールシステムに適用されるファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバを提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
前記課題を解決するために、本発明の移動情報通信対応認証連携型分散ファイアウォールシステムでは、ファイアウォール装置が、固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、前記固定ユーザまたは移動ユーザの端末からの認証情報より、IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、セキュリティポリシ管理サーバとの通信手段と、ホームエージェント手段との通信手段と、前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザのフィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれるフィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有することを特徴とする。
前記課題を解決するために、本発明の移動情報通信対応認証連携型分散ファイアウォールシステムでは、ファイアウォール装置が、固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、前記固定ユーザまたは移動ユーザの端末からの認証情報より、IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、セキュリティポリシ管理サーバとの通信手段と、ホームエージェント手段との通信手段と、前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザのフィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれるフィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、前記ネットワーク接続認証時のユーザ認証シーケンスまたは認証制御パケットを監視し、前記固定ユーザまたは移動ユーザの端末からのユーザを識別可能な情報を含む認証情報を受信し、前記認証情報を保持する手段と、前記認証情報を認証サーバに中継、通知する手段と、前記認証サーバから認証応答を受信し、前記認証応答が認証承認の場合、前記認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を、前記固定ユーザまたは移動ユーザの端末が前記ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、前記セキュリティポリシ管理サーバとの通信を開始する手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、前記認証サーバからの認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を受信し保持した後、前記保持しているユーザを識別可能な前記認証情報を、前記セキュリティポリシ管理サーバに通知する手段と、前記認証情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを受信し、当該受信した仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、前記保持済みの固定ユーザパケット情報または移動パケット情報と対応付けて前記振分管理テーブルに書き込むとともに、当該受信した個別フィルタリングポリシを前記個別フィルタリングテーブルに書込む手段と、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを各テーブルに書き込んだ後に、前記セキュリティポリシ管理サーバから通知される、移動元ファイアウォール装置にて保持されていたフィルタリングステート情報を受信し、当該受信したフィルタリングステート情報を、前記フィルタリングステートテーブルに書込む手段と、前記移動元ファイアウォールのフィルタリングステート情報に対する前記セキュリティポリシ管理サーバからの前記認証情報を含む転送依頼通知を受信して、前記セキュリティポリシ管理サーバヘ前記移動ユーザのフィルタリングステート情報を転送する手段と、前記振分管理テーブルへの書込み、前記個別フィルタリングテーブルへの書込み、および前記フィルタリングステートテーブル書込み完了後、前記固定ユーザまたは移動ユーザの端末へ認証承認として、固定ユーザパケット情報または移動パケットユーザ情報を通知する手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、前記移動先ネットワークにおける移動ユーザの前記認証承認の通知後、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を移動元ネットワークまたはホームエージェント手段ヘの登録応答シーケンスまたは登録応答パケットを監視し、前記登録応答に含まれる移動ユーザパケット情報を、ホームネットワークで取得した固定ユーザとしての固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、前記移動ユーザパケット情報を既に移動先ネットワークで前記認証サーバから取得し、書き込み済みの場合、前記固定ユーザパケット情報と対応付け、前記振分管理テーブルヘ上書きする手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、前記固定ユーザのネットワーク接続が認証承認後、または移動先ユーザの前記ホームエージェント手段ヘの移動ユーザパケット情報登録後、前記固定ユーザまたは移動ユーザの端末から送信されるパケットまたは前記固定ユーザまたは移動ユーザの端末宛パケットを受信し、前記固定ユーザまたは移動ユーザの端末パケットの転送ヘッダ情報または前記ホームネットワークとして前記ホームエージェント手段からモバイルIPトンネル転送のためカプセル化されている場合の当該移動ユーザの端末パケットの転送ヘッダ情報に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、前記振分け管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを前記抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分ける手段と、当該パケットを前記抽出した共通フィルタリングテーブル識別子で識別される共通フィルタリングテーブルを適用しパケットフィルタリングする手段と、当該パケットを前記抽出した個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを適用しパケットフィルタリングする手段と、当該パケットを前記固定ユーザパケット情報で識別されるフィルタリングステートテーブルを適用しパケットフィルタリングする手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、前記ファイアウォール装置に収容される前記固定ユーザまたは移動ユーザの端末が、前記IP転送網またはIP転送システムにおけるネットワーク接続切断時または他のネットワーク収容のファイアウォール装置配下へ移動時、前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、前記振分管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられて保持エントリされている前記仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、前記保持エントリを一定時間後、無効とする手段と、前記抽出された仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされている前記抽出された個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを一定時間後無効とする手段とを有することを特徴とする。
また、本発明では、セキュリティポリシ管理サーバが、前記認証情報と少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブルと、前記認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とが対応付けられた振分識別子管理テーブルと、前記認証情報と、移動元ファイアウォール装置から取得したフィルタリングステート情報とが対応付けられたフィルタリングステートキャッシュテーブルと、全てのファイアウォール装置情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたファイアウォール情報管理テーブルと、過去の転送元ファイアウォール情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたポリシ配布履歴管理テーブルと、前記認証サーバでの認証と連携し、前記振分識別子管理テーブル内の前記認証情報と対応づけられた前記仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記フィルタリングポリシ管理テーブル内の前記認証情報と対応づけられた前記個別フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、前記フィルタリングポリシ管理テーブル内の共通フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、前記認証サーバでの認証と連携し、前記移動ユーザの認証情報を検索キーとして前記ポリシ配布履歴管理テーブルを参照し、前回ファイアウォール装置が有する個別フィルタリングテーブルヘフィルタリングポリシを転送した移動元ファイアウォール装置を特定する手段と、前記移動元ファイアウォール装置を特定後、前記移動元ファイアウォール装置ヘフィルタリングステート情報の転送依頼として当該移動ユーザの前記認証情報を通知する手段と、前記フィルタリングステート情報の転送依頼に対する応答として、前記移動ユーザのフィルタリングステート情報を前記フィルタリングステートキャッシュテーブルヘ保持した後に、前記保持した移動ユーザのフィルタリングステート情報を移動先ファイアウォール装置へ転送する手段と、前記移動ユーザのフィルタリングステート情報の移動先ファイアウォール装置への転送後フィルタリングステートキャッシュテーブルの該移動ユーザのフィルタリングステート情報としての保持エントリを無効にする手段とを有することを特徴とする。
また、本発明では、前記認証サーバが、前記固定ユーザまたは移動ユーザの端末からの、ユーザ名を含む認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する手段と、認証承認の場合に、前記固定ユーザの固定ユーザパケット情報としてIPアドレス、または移動ユーザの端末の移動ユーザパケット情報としてモバイルIPにおける気付けアドレスを決定する手段とを有することを特徴とする。
また、本発明では、前記認証サーバがRADIUSサーバであり、前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続が、PPPプロトコルにしがたい、前記認証には、PAPまたはCHAPが用いられることを特徴とする。
また、本発明では、前記認証サーバがRADIUSサーバであり、前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続が、PPPプロトコルにしがたい、前記認証には、PAPまたはCHAPが用いられることを特徴とする。
本発明によれば、通信セッション維持可能なモバイルIP通信システム環境に適用されるネットワークベースファイアウォールにおいて、パケットフィルタリングを行い、収容する固定ユーザまたは移動ユーザ端末が収容されるネットワークベースファイアウォールを変更する場合は、前記移動ユーザの端末のネットワーク接続または通信セッションが維持されるネットワーク接続に合わせ、継続パケットフィルタリングのためのユーザ毎のセキュリティポリシまたは効率的なパケットフィルタリングのためのフィルタリング状態情報を、外部装置または移動元ネットワークベースファイアウォールから取得または継続引き継ぎ適用することを可能とし、且つ取得するフィルタリングポリシまたは容量を最適に判断保持することを可能にし、且つ、配布するセキュリティポリシ量を軽減することを可能にする。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、インターネットまたはユビキタスネットワークとして外部ネットワークに接続する、固定ユーザ端末、または通信セッション維持しながら複数のアクセスネットワークを移動する固定ユーザまたは移動ユーザの端末、または前記ユーザネットワークまたはユーザアクセス回線等に対し、外部または内部ネットワークからの不正アクセス、不正トラヒック等から保護するための、あるいは前記固定ユーザまたは移動ユーザの端末または前記ユーザネットワークからの外部または内部ネットワークに対する不正トラヒック流出を防止することが可能なネットワークベースのファイアウォールシステムにおいて、モバイルIP環境におけるホームネットワークとしての固定ユーザの端末だけでなく、移動ユーザとしてモバイルIPが適用されたネットワークシステムにおける移動ユーザの端末パケットに対するパケットフィルタリングを実施することが可能となる。
(2)本発明によれば、移動ユーザとして、特に、無線アクセスユーザにとって、通信アクセス帯域が狭いアクセス環境、または移動ユーザ端末として、特に、端末リソースが少ない端末環境において、通信セッション維持可能な移動環境をサポート可能な本ネットワークベースファイアウォールは、不正アクセスまたはトラヒックによるアクセス回線の占有や、携帯端末におけるパケット単位の不正課金を解消することが可能とある。
(1)本発明によれば、インターネットまたはユビキタスネットワークとして外部ネットワークに接続する、固定ユーザ端末、または通信セッション維持しながら複数のアクセスネットワークを移動する固定ユーザまたは移動ユーザの端末、または前記ユーザネットワークまたはユーザアクセス回線等に対し、外部または内部ネットワークからの不正アクセス、不正トラヒック等から保護するための、あるいは前記固定ユーザまたは移動ユーザの端末または前記ユーザネットワークからの外部または内部ネットワークに対する不正トラヒック流出を防止することが可能なネットワークベースのファイアウォールシステムにおいて、モバイルIP環境におけるホームネットワークとしての固定ユーザの端末だけでなく、移動ユーザとしてモバイルIPが適用されたネットワークシステムにおける移動ユーザの端末パケットに対するパケットフィルタリングを実施することが可能となる。
(2)本発明によれば、移動ユーザとして、特に、無線アクセスユーザにとって、通信アクセス帯域が狭いアクセス環境、または移動ユーザ端末として、特に、端末リソースが少ない端末環境において、通信セッション維持可能な移動環境をサポート可能な本ネットワークベースファイアウォールは、不正アクセスまたはトラヒックによるアクセス回線の占有や、携帯端末におけるパケット単位の不正課金を解消することが可能とある。
(3)本発明によれば、モバイルIP環境における、移動ユーザの端末の接続、切断または通信セッションが維持される接続に合わせ、保持するべきフィルタリングポリシを最適にフィルタリングポリシを管理する外部装置から判断取得し、最適に保持することにより、ユーザの移動に伴い収容されるネットワークヘの接続、切断を動的に行うだけでなく、移動先ネットワークヘのセッション維持可能なネットワークヘの接続をシームレスに行い、収容されるネットワークベースファイアウォールを変更する場合でも、全てのネットワークベースファイアウォールが収容する可能性のある移動ユーザの端末に関するフィルタリングポリシを全て保持する必要をなくすことが可能となる。
(4)本発明によれば、ネットワークベースファイアウォールには、多数の固定ユーザまたは移動ユーザの端末が接続されるため、多量のフィルタリングポリシを取得する場合があるが、前記ネットワーク接続または通信セッションが維持される接続に合わせ保持するべきフィルタリングポリシを最適にフィルタリングポリシを管理する外部装置から判断取得し、最適に保持することにより、ネットワークベースファイアウォールの内部リソースまたは本来のフィルタリングおよび転送処理用のリソース浪費を解消し、フィルタリングおよび転送性能に影響を及ぼすのを防止することが可能となる。
(5)本発明によれば、分散設置されたファイアウォール装置ヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布するフィルタリングポリシ量を抑え、フィルタリングポリシ内容に合わせた配布方法により、配布量が装置性能を超えフィルタリングポリシが配布できなくなる問題を解消することが可能となる。
(4)本発明によれば、ネットワークベースファイアウォールには、多数の固定ユーザまたは移動ユーザの端末が接続されるため、多量のフィルタリングポリシを取得する場合があるが、前記ネットワーク接続または通信セッションが維持される接続に合わせ保持するべきフィルタリングポリシを最適にフィルタリングポリシを管理する外部装置から判断取得し、最適に保持することにより、ネットワークベースファイアウォールの内部リソースまたは本来のフィルタリングおよび転送処理用のリソース浪費を解消し、フィルタリングおよび転送性能に影響を及ぼすのを防止することが可能となる。
(5)本発明によれば、分散設置されたファイアウォール装置ヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布するフィルタリングポリシ量を抑え、フィルタリングポリシ内容に合わせた配布方法により、配布量が装置性能を超えフィルタリングポリシが配布できなくなる問題を解消することが可能となる。
(6)本発明によれば、端末モバイルIP環境においては、ホームネットワークでのユーザパケット情報としての端末IPアドレスが、セッション維持しながら移動を可能とするため移動先ネットワークでは気付けアドレスによる通信となるため、モバイルIP移動ユーザの端末パケットに対するパケットフィルタリングとして、フィルタリング情報の一つである端末IPアドレスを気付けアドレスに読み替え機能により、端末モバイルIP環境における正常なパケットフィルタリング処理を実現することが可能となる。
(7)本発明によれば、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IPカプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力されるが、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリング可能であるため、固定または移動ユーザを限定せず、フィルタリング精度を保持することが可能となる。
(7)本発明によれば、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IPカプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力されるが、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリング可能であるため、固定または移動ユーザを限定せず、フィルタリング精度を保持することが可能となる。
(8)本発明によれば、移動元ネットワークでの動的なフィルタリング状態情報や効率的なフィルタリング処理フロー情報等を、移動元ファイアウォールから引き継ぎ適用可能とすることで、前記モバイルIP通信ネットワークに適用されるネットワークベースファイアウォールにおいて、フィルタリングポリシを前記ユーザのネットワーク接続または通信セッションが維持される接続に合わせて、フィルタリングポリシを管理する外付けサーバから取得する場合、ユーザ毎のフィルタリングポリシの適用によるパケットフィルタリングだけでなく、特に、移動ユーザの通信セッション維持が活かされるパケットフィルタリング処理を行うことが可能となる。
(9)本発明によれば、フィルタリングポリシを、ネットワークにおいて一元管理または分散管理し、移動ユーザの移動先々のネットワークベースファイアウォールヘ適用することで、ネットワーク管理者として内部ネットワークセキュリティポリシを容易に制御でき、ユーザのセキュリティポリシ管理も容易に把握することが可能となる。
(9)本発明によれば、フィルタリングポリシを、ネットワークにおいて一元管理または分散管理し、移動ユーザの移動先々のネットワークベースファイアウォールヘ適用することで、ネットワーク管理者として内部ネットワークセキュリティポリシを容易に制御でき、ユーザのセキュリティポリシ管理も容易に把握することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
本実施例では、本発明のネットワークベースファイアウォールが適用されるIP転送網またはIP転送システムとして、モバイルIP網またはモバイルIP通信システムの場合の、移動ユーザの端末パケットに対するパケットフィルタリングの形態について説明する。
図1は、本発明の実施例の移動情報通信対応認証連携型分散ファイアウォールシステムのシステム構成を示すブロック図である。
モバイルIPシステムにおける固定ユーザ端末5と、移動ユーザ端末6、6は、複数のアクセスネットワーク41、42を介して、IP転送網1へ接続され、また、複数の外部ネットワーク3が接続されインターネット2へ接続される。
IP転送網1には、複数のファイアウォール装置81、82が分散設置され、また、認証サーバ9とセキュリティポリシ管理サーバ10が接続される。ここで、認証サーバ9は、例えば、RADIUSサーバ(Remote Authentication Dial In User Service)であり、認証には、PAP(Password Authentication Protocol)またはCHAP(Challenge Handshake Authentication Protocol)が用いられる。
また、モバイルIPシステム(Mobile IP:Mobile IPv6/Mobile IPv4 , RFC3344 IP Mobility Support for IPv4)として、移動端末6の移動管理エージェントとしてホームエージェント7が接続される。なお、ホームエージェント7に代えて、ホームエージェント相当のモバイルIP管理ホームエージェントを使用してもよい。
前記ファイアウォール装置81は、有線アクセスネットワーク41と、有線アクセスネットワーク41に接続される固定ユーザ端末5と、有線アクセスネットワーク41をホームネットワークとする移動ユーザ端末6を収容し、固定ユーザ端末5と移動ユーザ端末6のパケットに対するパケットフィルタリングを実施する。
また、移動ユーザ端末6の移動先ファイアウォールとしてのファイアウォール装置82は、無線アクセスネットウーク42と、移動して接続される移動ユーザ端末6を収容し、移動ユーザ端末6のパケットに対するパケットフィルタリングを開始する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
本実施例では、本発明のネットワークベースファイアウォールが適用されるIP転送網またはIP転送システムとして、モバイルIP網またはモバイルIP通信システムの場合の、移動ユーザの端末パケットに対するパケットフィルタリングの形態について説明する。
図1は、本発明の実施例の移動情報通信対応認証連携型分散ファイアウォールシステムのシステム構成を示すブロック図である。
モバイルIPシステムにおける固定ユーザ端末5と、移動ユーザ端末6、6は、複数のアクセスネットワーク41、42を介して、IP転送網1へ接続され、また、複数の外部ネットワーク3が接続されインターネット2へ接続される。
IP転送網1には、複数のファイアウォール装置81、82が分散設置され、また、認証サーバ9とセキュリティポリシ管理サーバ10が接続される。ここで、認証サーバ9は、例えば、RADIUSサーバ(Remote Authentication Dial In User Service)であり、認証には、PAP(Password Authentication Protocol)またはCHAP(Challenge Handshake Authentication Protocol)が用いられる。
また、モバイルIPシステム(Mobile IP:Mobile IPv6/Mobile IPv4 , RFC3344 IP Mobility Support for IPv4)として、移動端末6の移動管理エージェントとしてホームエージェント7が接続される。なお、ホームエージェント7に代えて、ホームエージェント相当のモバイルIP管理ホームエージェントを使用してもよい。
前記ファイアウォール装置81は、有線アクセスネットワーク41と、有線アクセスネットワーク41に接続される固定ユーザ端末5と、有線アクセスネットワーク41をホームネットワークとする移動ユーザ端末6を収容し、固定ユーザ端末5と移動ユーザ端末6のパケットに対するパケットフィルタリングを実施する。
また、移動ユーザ端末6の移動先ファイアウォールとしてのファイアウォール装置82は、無線アクセスネットウーク42と、移動して接続される移動ユーザ端末6を収容し、移動ユーザ端末6のパケットに対するパケットフィルタリングを開始する。
固定ユーザ端末5または移動ユーザ端末6は、例えば、公衆網(ISDN)やADSL、Ethernet(LAN)等の有線接続方式で有線アクセスネットワーク41を介し、ファイアウォール装置81またはIP転送網1に接続される。
移動ユーザ端末6は、例えば、無線LAN等の無線接続方式で、無線アクセスネットワーク42を介し、移動ユーザ端末6の移動先としての移動先ファイアウォール装置82またはIP転送網1に接続される。
固定ユーザ端末5としては、例えば、デスクトップ型パーソナルコンピュータが使用され、移動ユーザ端末6としては、例えば、ノート型携帯パーソナルコンピュータが使用される。
固定ユーザ端末5と移動ユーザ端末6は、アクセスネットワーク41を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP(Point-to-point Protocol)接続認証方式で接続し、前記端末5または端末6に対する全てパケットは前記ファイアウォール装置81を通過するものとする。
また、移動ユーザ端末6は、移動後のアクセスネットワーク42を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP接続認証方式およびモバイルIPシステムで通信セッションを維持するホームエージェント7とネットワーク接続し、移動後の移動ユーザ端末6に対する全てパケットは前記ファイアウォール装置82を通過するものとし、移動ユーザ端末6のパケットフィルタリングは移動先最寄のファイアウォール装置82で実施される。
移動ユーザ端末6は、例えば、無線LAN等の無線接続方式で、無線アクセスネットワーク42を介し、移動ユーザ端末6の移動先としての移動先ファイアウォール装置82またはIP転送網1に接続される。
固定ユーザ端末5としては、例えば、デスクトップ型パーソナルコンピュータが使用され、移動ユーザ端末6としては、例えば、ノート型携帯パーソナルコンピュータが使用される。
固定ユーザ端末5と移動ユーザ端末6は、アクセスネットワーク41を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP(Point-to-point Protocol)接続認証方式で接続し、前記端末5または端末6に対する全てパケットは前記ファイアウォール装置81を通過するものとする。
また、移動ユーザ端末6は、移動後のアクセスネットワーク42を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP接続認証方式およびモバイルIPシステムで通信セッションを維持するホームエージェント7とネットワーク接続し、移動後の移動ユーザ端末6に対する全てパケットは前記ファイアウォール装置82を通過するものとし、移動ユーザ端末6のパケットフィルタリングは移動先最寄のファイアウォール装置82で実施される。
図2は、図1に示すファイアウォール装置81、82と、ホームエージェント7と、認証サーバ9と、セキュリティポリシ管理サーバ10の内部構成を示す図である。
ファイアウォール装置81、82は、移動ユーザ端末6がアクセスネットワーク41に対しネットワーク移動し、移動先にて収容されるファイアウォール装置82へ変わっても、ユーザ毎の事前登録された静的なフィルタリングポリシを継続適用するとともに、移動元ファイアウォール装置81にて動的に生成されるフィルタリング状態ポリシを引継適用し、移動ユーザ端末6のパケットに対し、パケットフィルタリングを実施するにあたり、移動ユーザ端末6のパケットに対してパケットフィルタリングを実施する仮想ファイアウォール801を少なくとも1つ有する。
ファイアウォール装置81、82は、パケットフィルタリングを行うための静的なフィルタリングポリシを保持するフィルタリングテーブルとして、ユーザ毎のフィルタリングポリシを保持する個別フィルタリングテーブル803と、複数のユーザに共通するまたは複数のユーザで共有するフィルタリングポリシを保持する共通フィルタリングテーブル802を少なくとも1つ有する。
また、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォールの識別子(以下、仮想ファイアウォール識別子)、共通フィルタリングテーブルの識別子(以下、共通フィルタリングテーブル識別子)、個別フィルタリングテーブルの識別子(以下、個別フィルタリングテーブル識別子)を対応管理する振分管理テーブル806を有する。
さらに、固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPI(Stateful Packet lnspection)におけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理するフィルタリングステートテーブル804を少なくとも1つ有する。
ファイアウォール装置81、82は、移動ユーザ端末6がアクセスネットワーク41に対しネットワーク移動し、移動先にて収容されるファイアウォール装置82へ変わっても、ユーザ毎の事前登録された静的なフィルタリングポリシを継続適用するとともに、移動元ファイアウォール装置81にて動的に生成されるフィルタリング状態ポリシを引継適用し、移動ユーザ端末6のパケットに対し、パケットフィルタリングを実施するにあたり、移動ユーザ端末6のパケットに対してパケットフィルタリングを実施する仮想ファイアウォール801を少なくとも1つ有する。
ファイアウォール装置81、82は、パケットフィルタリングを行うための静的なフィルタリングポリシを保持するフィルタリングテーブルとして、ユーザ毎のフィルタリングポリシを保持する個別フィルタリングテーブル803と、複数のユーザに共通するまたは複数のユーザで共有するフィルタリングポリシを保持する共通フィルタリングテーブル802を少なくとも1つ有する。
また、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォールの識別子(以下、仮想ファイアウォール識別子)、共通フィルタリングテーブルの識別子(以下、共通フィルタリングテーブル識別子)、個別フィルタリングテーブルの識別子(以下、個別フィルタリングテーブル識別子)を対応管理する振分管理テーブル806を有する。
さらに、固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPI(Stateful Packet lnspection)におけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理するフィルタリングステートテーブル804を少なくとも1つ有する。
また、移動ユーザ端末6のパケットフィルタリングを実施するにあたりファイアウォール装置81、82は、以下の装置と通信する。
ファイアウォール装置81、82は、移動ユーザ端末6が、IP転送網1へのネットワーク接続可能か否か、またはネットワーク移動に伴う通信セッション維持するネットワーク接続が可能か否か、端末からの認証情報より判断する認証サーバ9と通信する。
認証サーバ9は、認証情報部901と、固定ユーザパケット情報部902と、移動ユーザパケット情報部903とから構成され、
また、移動ユーザ端末6の移動に伴う通信セッション維持可能なIP転送網1として、モバイルIP技術または拡張されたモバイルIP技術があり、モバイルIP転送網またはモバイルIP転送システムにおける、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先ネットワークで認証サーバ9から取得した移動ユーザパケット情報を登録応答するホームエージェント7と通信する。
ホームエージェント7は、固定ユーザパケット情報部701と、移動ユーザパケット情報部702とから構成される。
ファイアウォール装置81、82は、移動ユーザ端末6が、IP転送網1へのネットワーク接続可能か否か、またはネットワーク移動に伴う通信セッション維持するネットワーク接続が可能か否か、端末からの認証情報より判断する認証サーバ9と通信する。
認証サーバ9は、認証情報部901と、固定ユーザパケット情報部902と、移動ユーザパケット情報部903とから構成され、
また、移動ユーザ端末6の移動に伴う通信セッション維持可能なIP転送網1として、モバイルIP技術または拡張されたモバイルIP技術があり、モバイルIP転送網またはモバイルIP転送システムにおける、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先ネットワークで認証サーバ9から取得した移動ユーザパケット情報を登録応答するホームエージェント7と通信する。
ホームエージェント7は、固定ユーザパケット情報部701と、移動ユーザパケット情報部702とから構成される。
さらに、IP転送網1において、一元または分散管理するセキュリティポリシ管理サーバ10と通信する。
セキュリティポリシ管理サーバ10は、共通フィルタリングテーブル802に書込まれるフィルタリングポリシと、認証情報と対応付けられた個別フィルタリングテーブル803に書込まれるフィルタリングポリシとを管理するフィルタリングポリシ管理テーブル1001と、認証情報と対応付けられた振分管理テーブル806に書き込まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを管理する振分識別子管理テーブル1002と、移動元ファイアウォール装置81にて保持済みの移動ユーザ端末6のフィルタリングステート情報を、移動先アクセスネットワーク42を収容する移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込むためのキャッシュとしてのフィルタリングステートキャッシュテーブル1005と、分散設置されるファイアウォール装置情報を管理するファイアウォール情報管理テーブル1003と、認証情報とフィルタリングポリシを配布した移動元ファイアウォール装置情報が対応付けられたポリシ配布履歴管理テーブル1004とから構成される。
セキュリティポリシ管理サーバ10は、共通フィルタリングテーブル802に書込まれるフィルタリングポリシと、認証情報と対応付けられた個別フィルタリングテーブル803に書込まれるフィルタリングポリシとを管理するフィルタリングポリシ管理テーブル1001と、認証情報と対応付けられた振分管理テーブル806に書き込まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを管理する振分識別子管理テーブル1002と、移動元ファイアウォール装置81にて保持済みの移動ユーザ端末6のフィルタリングステート情報を、移動先アクセスネットワーク42を収容する移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込むためのキャッシュとしてのフィルタリングステートキャッシュテーブル1005と、分散設置されるファイアウォール装置情報を管理するファイアウォール情報管理テーブル1003と、認証情報とフィルタリングポリシを配布した移動元ファイアウォール装置情報が対応付けられたポリシ配布履歴管理テーブル1004とから構成される。
以下、本実施例のファイアウォール装置の主な動作概要を説明する。
本実施例のファイアウォール装置は、認証サーバ9での認証と連携し、振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、セキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、個別フィルタリングテーブル803に書き込まれる固定ユーザまたは移動ユーザのフィルタリングポリシを、前記セキュリティポリシ管理サーバ10から取得し、ファイアウォール装置81、82の立ち上げまたは再開処理を契機に、共通フィルタリングテーブル802に書き込まれるフィルタリングポリシをセキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10へ転送し、あるいは認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10から取得し、ホームエージェント7への移動ユーザパケット情報の登録応答と連携し、移動ユーザパケット情報を、ホームネットワークとしてアクセスネットワーク41にて使用していたユーザパケット情報と対応付けて振分管理テーブル806へ書き込み、移動先アクセスネットワーク42をホームネットワークとしてネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワーク42として通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングすることがあげられる。
本実施例のファイアウォール装置は、認証サーバ9での認証と連携し、振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、セキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、個別フィルタリングテーブル803に書き込まれる固定ユーザまたは移動ユーザのフィルタリングポリシを、前記セキュリティポリシ管理サーバ10から取得し、ファイアウォール装置81、82の立ち上げまたは再開処理を契機に、共通フィルタリングテーブル802に書き込まれるフィルタリングポリシをセキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10へ転送し、あるいは認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10から取得し、ホームエージェント7への移動ユーザパケット情報の登録応答と連携し、移動ユーザパケット情報を、ホームネットワークとしてアクセスネットワーク41にて使用していたユーザパケット情報と対応付けて振分管理テーブル806へ書き込み、移動先アクセスネットワーク42をホームネットワークとしてネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワーク42として通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングすることがあげられる。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、移動ユーザ端末6の認証サーバ9との通信動作を説明する。
移動先ファイアウォール装置82は、移動ユーザ端末6の通信セッションを維持するためのネットワーク接続認証時の、ユーザ認証シーケンスまたは認証制御パケットを監視し、移動ユーザ端末6からのユーザを識別可能な情報を含む認証情報を受信すると、当該認証情報を保持し、当該認証情報を認証サーバ9に中継、通知する。
認証サーバ9から認証応答を受信し、認証応答が認証承認の場合、認証応答に含まれる移動ユーザパケット情報を、移動ユーザ端末6が、ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、セキュリティポリシ管理サーバ10との通信を開始する。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、移動ユーザ端末6のセキュリティポリシ管理サーバ10との通信動作を説明する。
認証サーバ9での認証と連携したセキュリティポリシ管理サーバ10との通信として、移動先ファイアウォール装置82は、認証サーバ9からの認証応答に含まれる移動ユーザ端末6の移動ユーザパケット情報を受信し保持した後、保持している移動ユーザ端末6を識別可能な認証情報を、セキュリティポリシ管理サーバ10に通知する。
認証情報の通知の応答として、セキュリティポリシ管理サーバ10から識別子応答を受信し、識別子応答に含まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を保持し、保持済みの移動ユーザパケット情報とを対応付け、振分管理テーブル806に書き込む。
移動先ファイアウォール装置82は、移動ユーザ端末6の通信セッションを維持するためのネットワーク接続認証時の、ユーザ認証シーケンスまたは認証制御パケットを監視し、移動ユーザ端末6からのユーザを識別可能な情報を含む認証情報を受信すると、当該認証情報を保持し、当該認証情報を認証サーバ9に中継、通知する。
認証サーバ9から認証応答を受信し、認証応答が認証承認の場合、認証応答に含まれる移動ユーザパケット情報を、移動ユーザ端末6が、ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、セキュリティポリシ管理サーバ10との通信を開始する。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、移動ユーザ端末6のセキュリティポリシ管理サーバ10との通信動作を説明する。
認証サーバ9での認証と連携したセキュリティポリシ管理サーバ10との通信として、移動先ファイアウォール装置82は、認証サーバ9からの認証応答に含まれる移動ユーザ端末6の移動ユーザパケット情報を受信し保持した後、保持している移動ユーザ端末6を識別可能な認証情報を、セキュリティポリシ管理サーバ10に通知する。
認証情報の通知の応答として、セキュリティポリシ管理サーバ10から識別子応答を受信し、識別子応答に含まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を保持し、保持済みの移動ユーザパケット情報とを対応付け、振分管理テーブル806に書き込む。
セキュリティポリシ管理サーバ10への振分管理テーブル806の書き込み完了通知の応答として、セキュリティポリシ管理サーバ10からのフィルタリングポリシ応答を受信し、フィルタリングポリシ応答に含まれる個別フィルタリングテーブル情報を保持し、仮想ファイアウォール801の個別フィルタリングテーブル803に書き込む。
セキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知の応答として、セキュリティポリシ管理サーバ10からのフィルタリングステート応答を受信し、フィルタリングステート応答に含まれる移動元ファイアウォール装置81にて保持されたフィルタリングステート情報を保持する。
ここで、移動元ファイアウォール装置81は、移動先ファイアウォール装置のセキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知を契機とした、移動元ファイアウォール装置81のフィルタリングステート情報に対するセキュリティポリシ管理サーバ10からの認証情報を含む転送依頼通知の応答として、セキュリティポリシ管理サーバ10へ移動ユーザ端末6のフィルタリングステート情報を転送済みである。
そこで、保持済みのフィルタリングステート情報を移動先ファイアウォール装置82のファイアウォール部800のフィルタリングステートテーブル804に書込み、移動先ファイアウォール装置82において、振分管理テーブル806の書込みと、個別フィルタリングテーブル803の書き込みと、フィルタリングステートテーブル804の書込み完了後、移動ユーザ端末6へ認証承認として、移動パケットユーザ情報を通知する。
セキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知の応答として、セキュリティポリシ管理サーバ10からのフィルタリングステート応答を受信し、フィルタリングステート応答に含まれる移動元ファイアウォール装置81にて保持されたフィルタリングステート情報を保持する。
ここで、移動元ファイアウォール装置81は、移動先ファイアウォール装置のセキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知を契機とした、移動元ファイアウォール装置81のフィルタリングステート情報に対するセキュリティポリシ管理サーバ10からの認証情報を含む転送依頼通知の応答として、セキュリティポリシ管理サーバ10へ移動ユーザ端末6のフィルタリングステート情報を転送済みである。
そこで、保持済みのフィルタリングステート情報を移動先ファイアウォール装置82のファイアウォール部800のフィルタリングステートテーブル804に書込み、移動先ファイアウォール装置82において、振分管理テーブル806の書込みと、個別フィルタリングテーブル803の書き込みと、フィルタリングステートテーブル804の書込み完了後、移動ユーザ端末6へ認証承認として、移動パケットユーザ情報を通知する。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、モバイルIPシステムにおけるホームエージェント7との通信動作を説明する。
移動先ファイアウォール装置82は、ホームエージェント7との通信手段として、移動先アクセスネットワーク42における移動ユーザ端末6の認証承認の通知後、移動先ファイアウォール装置82は、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先アクセスネットワークで認証サーバ9から取得した移動ユーザパケット情報を、移動元アクセスネットワークまたはホームエージェント7への登録応答シーケンスまたは登録応答パケットを監視し、登録応答に含まれる移動ユーザパケット情報を保持し、ホームネットワークとしての移動元アクセスネットワーク41で取得した固定ユーザとしての固定ユーザパケット情報と対応付け、振分管理テーブル806へ書き込み、移動ユーザパケット情報を既に移動先アクセスネットワーク42で認証サーバ9から取得し、振分管理テーブル806へ書き込み済みの場合は、固定ユーザパケット情報と対応付け、振分管理テーブル806へ上書きする。
移動先ファイアウォール装置82は、ホームエージェント7との通信手段として、移動先アクセスネットワーク42における移動ユーザ端末6の認証承認の通知後、移動先ファイアウォール装置82は、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先アクセスネットワークで認証サーバ9から取得した移動ユーザパケット情報を、移動元アクセスネットワークまたはホームエージェント7への登録応答シーケンスまたは登録応答パケットを監視し、登録応答に含まれる移動ユーザパケット情報を保持し、ホームネットワークとしての移動元アクセスネットワーク41で取得した固定ユーザとしての固定ユーザパケット情報と対応付け、振分管理テーブル806へ書き込み、移動ユーザパケット情報を既に移動先アクセスネットワーク42で認証サーバ9から取得し、振分管理テーブル806へ書き込み済みの場合は、固定ユーザパケット情報と対応付け、振分管理テーブル806へ上書きする。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、共通フィルタリングテーブルの動作を説明する。
共通フィルタリングテーブル802に書き込まれる複数ユーザに共通または共有するフィルタリングポリシとしての共通フィルタリングポリシを、ファイアウォール装置81、82は、自装置の立ち上げまたは再開処理を契機にセキュリティポリシ管理サーバ10から取得する。
ファイアウォール装置81、82の立ち上げまたは再開処理時、例えば、ファイアウォール装置18、82は、ファイアウォール装置情報をセキュリティポリシ管理サーバ10へ通知し、ファイアウォール装置情報の通知に対するセキュリティポリシ管理サーバ10からの応答として、当該応答に含まれる共通フィルタリングテーブル情報を保持し、共通フィルタリングテーブル802に書き込む。これにより、移動ユーザ端末6の移動に関わらず、共通フィルタリングポリシは事前に移動先ファイアウォール装置82に保持されることになる。
共通フィルタリングテーブル802に書き込まれる複数ユーザに共通または共有するフィルタリングポリシとしての共通フィルタリングポリシを、ファイアウォール装置81、82は、自装置の立ち上げまたは再開処理を契機にセキュリティポリシ管理サーバ10から取得する。
ファイアウォール装置81、82の立ち上げまたは再開処理時、例えば、ファイアウォール装置18、82は、ファイアウォール装置情報をセキュリティポリシ管理サーバ10へ通知し、ファイアウォール装置情報の通知に対するセキュリティポリシ管理サーバ10からの応答として、当該応答に含まれる共通フィルタリングテーブル情報を保持し、共通フィルタリングテーブル802に書き込む。これにより、移動ユーザ端末6の移動に関わらず、共通フィルタリングポリシは事前に移動先ファイアウォール装置82に保持されることになる。
次に、移動ユーザ端末6のパケットフィルタリング動作を説明する。
アクセスネットワークの移動に伴う通信セッション維持された移動ユーザ端末6のパケットに対し、移動先ファイアウォール装置82は、モバイルIPシステムにおいて、移動先アクセスネットワーク42をホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワークとして通信する移動ユーザ端末6のパケットであるか認識し、パケットフィルタリングする動作として、移動先ファイアウォール装置82は、移動先ユーザの端末6のホームエージェント7への移動ユーザパケット情報登録後、移動ユーザ端末6から送信されるパケットまたは移動ユーザ端末6宛のパケットを受信し、移動ユーザ端末6のパケットの転送ヘッダ情報またはホームネットワークとしてホームエージェントからのモバイルIPトンネル転送のためカプセル化される場合の移動ユーザ端末6のパケットの転送ヘッダ情報に対し、転送ヘッダ情報に含まれる固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分け、当該パケットを共通フィルタリングテーブル802と、個別フィルタリングテーブル803と、フィルタリングステートテーブル804を適用しパケットフィルタリングする。
アクセスネットワークの移動に伴う通信セッション維持された移動ユーザ端末6のパケットに対し、移動先ファイアウォール装置82は、モバイルIPシステムにおいて、移動先アクセスネットワーク42をホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワークとして通信する移動ユーザ端末6のパケットであるか認識し、パケットフィルタリングする動作として、移動先ファイアウォール装置82は、移動先ユーザの端末6のホームエージェント7への移動ユーザパケット情報登録後、移動ユーザ端末6から送信されるパケットまたは移動ユーザ端末6宛のパケットを受信し、移動ユーザ端末6のパケットの転送ヘッダ情報またはホームネットワークとしてホームエージェントからのモバイルIPトンネル転送のためカプセル化される場合の移動ユーザ端末6のパケットの転送ヘッダ情報に対し、転送ヘッダ情報に含まれる固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分け、当該パケットを共通フィルタリングテーブル802と、個別フィルタリングテーブル803と、フィルタリングステートテーブル804を適用しパケットフィルタリングする。
次に、移動ユーザ端末6がネットワーク接続を切断、あるいは他のアクセスネットワークヘ移動した場合のテーブル処理動作を説明する。
ファイアウォール装置82に収容される移動ユーザ端末6が、IP転送網1におけるネットワーク接続切断時、または他のファイアウォール装置収容のアクセスネットワーク配下へ移動時に、移動元ファイアウォール装置となるファイアウォール装置82は、保持していた固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられ保持エントリされた仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、保持エントリを一定時間後無効とし、抽出仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされる個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブル803を一定時間後無効とする。
ファイアウォール装置82に収容される移動ユーザ端末6が、IP転送網1におけるネットワーク接続切断時、または他のファイアウォール装置収容のアクセスネットワーク配下へ移動時に、移動元ファイアウォール装置となるファイアウォール装置82は、保持していた固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられ保持エントリされた仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、保持エントリを一定時間後無効とし、抽出仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされる個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブル803を一定時間後無効とする。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、セキュリティポリシ管理サーバ10は、IP転送網1に分散設置される全てのファイアウォール装置81、82と通信するが、その詳細動作を説明する。
事前にセキュリティポリシ管理サーバ10が有するテーブルとして、認証情報と、少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブル1001を有し、このフィルタリングポリシ管理テーブル1001に記載されたフィルタリングポリシは、ファイアウォール装置81、82が有する共通フィルタリングテーブル802または個別フィルタリングテーブル803へ書込まれる。
また、認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子が対応付けられた振分識別子管理テーブル1002を有し、この振分識別子管理テーブル1002内の情報は、ファイアウォール装置81、82が有する振分管理テーブル806へ書き込まれ。
また、認証情報と、移動元ファイアウォール装置81から取得したフィルタリングステート情報が対応付けられたフィルタリングステートキャッシュテーブル1005を有し、このフィルタリングステートキャッシュテーブル1005の情報は、ファイアウォール装置81、82が有するフィルタリングステートテーブル804へ書き込まれる。
また、全てのファイアウォール装置情報と、固定ユーザまたは移動ユーザの認証情報と対応付けられたファイアウォール情報管理テーブル1003を有し、これにより、ファイアウォール装置81、82が立ち上げまたは再開処理時、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシの転送先ファイアウォール装置を特定する。
また、個別フィルタリングテーブル803に書き込まれたフィルタリングポリシ転送履歴として、過去の転送元ファイアウォール81の情報と、固定ユーザまたは移動ユーザの認証情報とが対応付けられたポリシ配布履歴管理テーブル1004を有し、これにより、フィルタリングステート情報の取得時取得先の移動元ファイアウォール81を特定する。
事前にセキュリティポリシ管理サーバ10が有するテーブルとして、認証情報と、少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブル1001を有し、このフィルタリングポリシ管理テーブル1001に記載されたフィルタリングポリシは、ファイアウォール装置81、82が有する共通フィルタリングテーブル802または個別フィルタリングテーブル803へ書込まれる。
また、認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子が対応付けられた振分識別子管理テーブル1002を有し、この振分識別子管理テーブル1002内の情報は、ファイアウォール装置81、82が有する振分管理テーブル806へ書き込まれ。
また、認証情報と、移動元ファイアウォール装置81から取得したフィルタリングステート情報が対応付けられたフィルタリングステートキャッシュテーブル1005を有し、このフィルタリングステートキャッシュテーブル1005の情報は、ファイアウォール装置81、82が有するフィルタリングステートテーブル804へ書き込まれる。
また、全てのファイアウォール装置情報と、固定ユーザまたは移動ユーザの認証情報と対応付けられたファイアウォール情報管理テーブル1003を有し、これにより、ファイアウォール装置81、82が立ち上げまたは再開処理時、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシの転送先ファイアウォール装置を特定する。
また、個別フィルタリングテーブル803に書き込まれたフィルタリングポリシ転送履歴として、過去の転送元ファイアウォール81の情報と、固定ユーザまたは移動ユーザの認証情報とが対応付けられたポリシ配布履歴管理テーブル1004を有し、これにより、フィルタリングステート情報の取得時取得先の移動元ファイアウォール81を特定する。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、全てのファイアウォール装置81、82と通信するセキュリティポリシ管理サーバ10が有する各テーブル情報の詳細配布動作を説明する。
セキュリティポリシ管理サーバ10は、認証サーバ9での認証と連携し、移動ユーザ端末6の移動先ファイアウォール装置82が有する振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、移動先ファイアウォール装置82へ通知し、認証サーバ9での認証と連携し、移動先ファイアウォール装置82が有する個別フィルタリングテーブル803に書き込まれるフィルタリングポリシを、移動ユーザ端末6を収容する移動先ファイアウォール装置82へ通知する。
ここで、移動先ファイアウォール装置82が有する共通フィルタリングテーブル802に書き込まれるフィルタリングポリシは、移動ユーザ端末6の移動と関係なく、事前にファイアウォール装置82の立ち上げ時に移動先ファイアウォール装置82へ通知してある。
セキュリティポリシ管理サーバ10は、認証サーバ9での認証と連携し、移動ユーザ端末6の移動先ファイアウォール装置82が有する振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、移動先ファイアウォール装置82へ通知し、認証サーバ9での認証と連携し、移動先ファイアウォール装置82が有する個別フィルタリングテーブル803に書き込まれるフィルタリングポリシを、移動ユーザ端末6を収容する移動先ファイアウォール装置82へ通知する。
ここで、移動先ファイアウォール装置82が有する共通フィルタリングテーブル802に書き込まれるフィルタリングポリシは、移動ユーザ端末6の移動と関係なく、事前にファイアウォール装置82の立ち上げ時に移動先ファイアウォール装置82へ通知してある。
また、認証サーバ9での認証と連携し、移動ユーザ端末6の移動元ファイアウォール装置81が有するフィルタリングステート情報を移動先ファイアウォール装置82に通知するために、移動ユーザ端末6の認証情報を検索キーとして、セキュリティポリシ管理サーバ10にて管理されたポリシ配布履歴管理テーブル1004を参照し、前回ファイアウォール装置が有する個別フィルタリングテーブル803ヘフィルタリングポリシを転送した移動元ファイアウォール装置81を特定し、移動元ファイアウォール装置81を特定後、移動元ファイアウォール装置81ヘフィルタリングステート情報の転送依頼として移動ユーザ端末6の認証情報を通知する。
転送依頼としての移動ユーザ端末6の認証情報通知に対する応答に含まれる移動ユーザ端末6のフィルタリングステート情報をセキュリティポリシ管理サーバ10が有するフィルタリングステートキャッシュテーブル1005へ保持し、移動先ファイアウォール装置82からの移動ユーザ端末6の個別フィルタリングテーブル803の書き込み完了応答受信を契機に、保持している移動ユーザ端末6のフィルタリングステート情報を移動先ファイアウォール装置82へ転送する。
なお、移動ユーザ端末6のフィルタリングステート情報の移動先ファイアウォール装置82への転送後、フィルタリングステートキャッシュテーブル1005の移動ユーザ端末6のフィルタリングステート情報としての保持エントリを無効にする。
転送依頼としての移動ユーザ端末6の認証情報通知に対する応答に含まれる移動ユーザ端末6のフィルタリングステート情報をセキュリティポリシ管理サーバ10が有するフィルタリングステートキャッシュテーブル1005へ保持し、移動先ファイアウォール装置82からの移動ユーザ端末6の個別フィルタリングテーブル803の書き込み完了応答受信を契機に、保持している移動ユーザ端末6のフィルタリングステート情報を移動先ファイアウォール装置82へ転送する。
なお、移動ユーザ端末6のフィルタリングステート情報の移動先ファイアウォール装置82への転送後、フィルタリングステートキャッシュテーブル1005の移動ユーザ端末6のフィルタリングステート情報としての保持エントリを無効にする。
次に、移動ユーザ端末6がIP転送網1または分散設置されるファイアウォール装置81と82間を、通信セッションを維持しながら移動し、セキュリティポリシ管理サーバ10からセキュリティポリシを取得し、パケットフィルタリング可能とする実施例について、図3〜18のテーブル構成図と、図15のパケット処理フロー図を用いて詳しく説明する。
図1のシステム構成において、本実施例のファイアウォール装置81は、固定ユーザの端末5または移動ユーザ端末6を収容しており、移動ユーザ端末6は移動元ファイアウォール装置81において最初のネットワーク接続し、モバイルIPシステムによる通信セッションを維持しつつ、移動先ファイアウォール装置82へ移動する場合における移動ユーザ端末6のパケットに対するフィルタリングポリシ取得またはパケットフィルタリング動作を説明する。
図15−1では、ファイアウォール装置81、82の共通フィルタリングテーブル802へ書き込まれるセキュリティポリシは、全ユーザ共通のフィルタリングポリシであるため、事前に装置内に保持しておくことが可能である。
そこで、移動ユーザ端末6にとって移動元となるファイアウォール装置81と移動先となるファイアウォール装置82は、自装置立ち上げの際、セキュリティポリシ管理サーバ10から取得する。
移動先または移動元ファイアウォール装置81、82は、自装置立ち上げ時(ステップ10−1)、セキュリティポリシ管理サーバ10ヘファイアウォール装置識別子を通知する(ステップ10−2)。
図1のシステム構成において、本実施例のファイアウォール装置81は、固定ユーザの端末5または移動ユーザ端末6を収容しており、移動ユーザ端末6は移動元ファイアウォール装置81において最初のネットワーク接続し、モバイルIPシステムによる通信セッションを維持しつつ、移動先ファイアウォール装置82へ移動する場合における移動ユーザ端末6のパケットに対するフィルタリングポリシ取得またはパケットフィルタリング動作を説明する。
図15−1では、ファイアウォール装置81、82の共通フィルタリングテーブル802へ書き込まれるセキュリティポリシは、全ユーザ共通のフィルタリングポリシであるため、事前に装置内に保持しておくことが可能である。
そこで、移動ユーザ端末6にとって移動元となるファイアウォール装置81と移動先となるファイアウォール装置82は、自装置立ち上げの際、セキュリティポリシ管理サーバ10から取得する。
移動先または移動元ファイアウォール装置81、82は、自装置立ち上げ時(ステップ10−1)、セキュリティポリシ管理サーバ10ヘファイアウォール装置識別子を通知する(ステップ10−2)。
セキュリティポリシ管理サーバ10では、図12に示すファイアウォール装置情報管理テーブル1003を参照し、管理対象のファイアウォール装置であるかを検索し、セキュリティポリシ送信に必要なファイアウォール装置情報を抽出し(ステップ10−3)、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシを転送する(ステップ10−4)。
同時に、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004にヘポリシ配布履歴情報を書き込む(ステップ10−5)。
一方、フィルタリングポリシを受信した移動先または移動元ファイアウォール装置81、82は、共通フィルタリングテーブルヘ書き込み動作する(ステップ10−6)。
以上により、移動先または移動元ファイアウォール装置81、82は、移動ユーザ端末6のネットワーク接続に関わらず、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシを事前に保持することを可能にする。
同時に、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004にヘポリシ配布履歴情報を書き込む(ステップ10−5)。
一方、フィルタリングポリシを受信した移動先または移動元ファイアウォール装置81、82は、共通フィルタリングテーブルヘ書き込み動作する(ステップ10−6)。
以上により、移動先または移動元ファイアウォール装置81、82は、移動ユーザ端末6のネットワーク接続に関わらず、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシを事前に保持することを可能にする。
次に、図15−2を用いて、移動ユーザ端末6が移動元ファイアウォール81に収容され、最初のネットワーク接続において、認証サーバ9での認証と連携し、フィルタリングポリシを取得しパケットフィルタリングを実施する実施例を説明する。
まず移動ユーザ端末6は、移動元ファイアウォール装置81を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−1)。
移動元ファイアウォール装置81は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持し(ステップ11−2)、認証サーバ9へユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、図3に示す認証情報部901に基づき判断し(ステップ11−4)、図4に示す固定ユーザパケット情報部902よりIPアドレス(IP_1)を決定するとともに、固定ユーザパケット情報部902のIPアドレス使用中フラグを立てる(ステップ11−5)。
認証サーバ9にて決定されたIPアドレス(IP_1)は、移動ユーザ端末6に対し送信されるが(ステップ11−6)、ここで認証パケットを監視している移動元ファイアウォール装置81にて一時保持され(ステップ11−7)、移動ユーザ端末6に対するパケットフィルタリングに必要な情報をセキュリティポリシ管理サーバ10から取得する動作、つまり認証と連携してフィルタリングポリシの動的な適用を開始する。
まず移動ユーザ端末6は、移動元ファイアウォール装置81を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−1)。
移動元ファイアウォール装置81は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持し(ステップ11−2)、認証サーバ9へユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、図3に示す認証情報部901に基づき判断し(ステップ11−4)、図4に示す固定ユーザパケット情報部902よりIPアドレス(IP_1)を決定するとともに、固定ユーザパケット情報部902のIPアドレス使用中フラグを立てる(ステップ11−5)。
認証サーバ9にて決定されたIPアドレス(IP_1)は、移動ユーザ端末6に対し送信されるが(ステップ11−6)、ここで認証パケットを監視している移動元ファイアウォール装置81にて一時保持され(ステップ11−7)、移動ユーザ端末6に対するパケットフィルタリングに必要な情報をセキュリティポリシ管理サーバ10から取得する動作、つまり認証と連携してフィルタリングポリシの動的な適用を開始する。
認証サーバ9からの固定ユーザパケット情報(IP_1)を移動元ファイアウォール81にて保持後、移動元ファイアウォール装置81は既に保持しているユーザ名(ユーザ6)をセキュリティポリシ管理サーバ10へ送信する(ステップ11−8)。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、図11に示す振分識別子管理テーブル1002からユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ11−9)、移動元ファイアウォール装置81へ通知する(ステップ11−10)。
移動元ファイアウォール装置81は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、図9に示す振分管理テーブル806へ、既に保持している移動ユーザ端末6の固定ユーザパケット情報(IP_1)と対応付けて書き込む(ステップ11−11)。
次に、移動元ファイアウォール装置81は、書き込み済みの振分管理テーブル806の個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバ10へ送信する(ステップ11−12)。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、図10−2に示すフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ11−13)、移動元ファイアウォール装置81へ通知する(ステップ11−14)。
移動元ファイアウォール装置81は、通知されたフィルタリングポリシを、図7に示す個別フィルタリングテーブル803へ書き込む(ステップ11−16)。
ここで、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004ヘ、ユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込んでおく(ステップ11−15)。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、図11に示す振分識別子管理テーブル1002からユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ11−9)、移動元ファイアウォール装置81へ通知する(ステップ11−10)。
移動元ファイアウォール装置81は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、図9に示す振分管理テーブル806へ、既に保持している移動ユーザ端末6の固定ユーザパケット情報(IP_1)と対応付けて書き込む(ステップ11−11)。
次に、移動元ファイアウォール装置81は、書き込み済みの振分管理テーブル806の個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバ10へ送信する(ステップ11−12)。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、図10−2に示すフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ11−13)、移動元ファイアウォール装置81へ通知する(ステップ11−14)。
移動元ファイアウォール装置81は、通知されたフィルタリングポリシを、図7に示す個別フィルタリングテーブル803へ書き込む(ステップ11−16)。
ここで、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004ヘ、ユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込んでおく(ステップ11−15)。
以上、移動ユーザ端末6のパケットに対するパケットフィルタリング上必要な情報を取得後、移動ユーザ端末6の認証シーケンスを再開させ、移動ユーザ端末6へ、認証サーバ9からの固定ユーザパケット情報(IP_1)を通知する(ステップ11−17)。
以降は、移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動元ファイアウォール装置81へ到着すると(ステップ11−18)、固定ユーザパケット情報(IP_1)を検索キーとして、図9に示す振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−19)、図8に示すフィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−20)と、図6に示す共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−21)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−23)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−22、ステップ11−24)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ11−25)。
また、外部ネットワーク3またはインターネット2からの移動ユーザ端末6宛てのパケットが到着すると(ステップ11−26)、固定ユーザパケット情報(IP_1)を検索キーとして振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−27)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−28)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−29)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−31)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−30、ステップ11−32)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ11−33)。
以降は、移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動元ファイアウォール装置81へ到着すると(ステップ11−18)、固定ユーザパケット情報(IP_1)を検索キーとして、図9に示す振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−19)、図8に示すフィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−20)と、図6に示す共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−21)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−23)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−22、ステップ11−24)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ11−25)。
また、外部ネットワーク3またはインターネット2からの移動ユーザ端末6宛てのパケットが到着すると(ステップ11−26)、固定ユーザパケット情報(IP_1)を検索キーとして振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−27)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−28)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−29)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−31)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−30、ステップ11−32)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ11−33)。
次に、図15−3を用いて、移動ユーザ端末6がモバイルIPシステムを使用し、通信セッションを維持移動し、移動元ファイアウォール81に収容され、通信セッションが維持されるネットワーク接続において、認証サーバ9での認証と連携し、フィルタリングポリシの取得を実施する実施例を説明する。
移動ユーザ端末6は、移動先ファイアウォール装置82を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−1)。
移動先ファイアウォール装置82は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持した後(ステップ12−2)、認証サーバ9へのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、認証情報部901より判断し(ステップ12−4)、図5に示す移動ユーザパケット情報部903より、モバイルIPとして気付けアドレス(IP_11)を決定するとともに、移動ユーザパケット情報部903のIPアドレス使用中ララグを立てる(ステップ12−5)。
移動ユーザ端末6は、移動先ファイアウォール装置82を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−1)。
移動先ファイアウォール装置82は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持した後(ステップ12−2)、認証サーバ9へのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、認証情報部901より判断し(ステップ12−4)、図5に示す移動ユーザパケット情報部903より、モバイルIPとして気付けアドレス(IP_11)を決定するとともに、移動ユーザパケット情報部903のIPアドレス使用中ララグを立てる(ステップ12−5)。
認証サーバ9にて決定されたIPアドレス(IP_11)は、移動ユーザ端末6に対し送信されるが(ステップ12−6)、ここで認証パケットを監視している移動先ファイアウォール装置82にて一時保持され(ステップ12−7)、移動ユーザ端末6に対するパケットフィルタリングに必要な情報をセキュリティポリシ管理サーバ10から取得する動作、つまり認証と連携してフィルタリングポリシの動的な適用を開始する。
認証サーバ9からの移動ユーザパケット情報(IP_11)を移動先ファイアウォール82にて保持後、移動先ファイアウォール装置82は既に保持しているユーザ名(ユーザ6)をセキュリティポリシ管理サーバ10へ送信する(ステップ12−8)。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、振分識別子管理テーブル1002から、ユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ12−9)、移動先ファイアウォール装置82へ通知する(ステップ12−10)。
移動先ファイアウォール装置82は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、振分管理テーブル806へ既に保持している移動ユーザ端末6の移動ユーザパケット情報(IP_11)と対応付けて書き込む(ステップ12−11)。
認証サーバ9からの移動ユーザパケット情報(IP_11)を移動先ファイアウォール82にて保持後、移動先ファイアウォール装置82は既に保持しているユーザ名(ユーザ6)をセキュリティポリシ管理サーバ10へ送信する(ステップ12−8)。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、振分識別子管理テーブル1002から、ユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ12−9)、移動先ファイアウォール装置82へ通知する(ステップ12−10)。
移動先ファイアウォール装置82は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、振分管理テーブル806へ既に保持している移動ユーザ端末6の移動ユーザパケット情報(IP_11)と対応付けて書き込む(ステップ12−11)。
次に、移動先ファイアウォール装置82は、書き込み済みの振分管理テーブル806の個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバ10へ送信する(ステップ12−12)。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、のフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ12−13)、移動先ファイアウォール装置82へ通知する(ステップ12−14)。
移動先ファイアウォール装置82は、通知されたフィルタリングポリシを、個別フィルタリングテーブル803へ書き込む(ステップ12−17)。
ここで、セキュリティポリシ管理サーバ10は、ポリシ配布履歴管理テーブル1004ヘユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込む(ステップ12−15)とともに、ユーザ名(ユーザ6)を検索キーとしてポリシ配布履歴管理テーブル1004を参照し、移動元ファイアウォール装置81を特定する(ステップ12−16)。
これは、次のステップである動的なフィルタリングポリシとして、フィルタリングステート情報をセキュリティポリシ管理サーバ10経由で移動元ファイアウォール装置81から取得する上で必要となる。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、のフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ12−13)、移動先ファイアウォール装置82へ通知する(ステップ12−14)。
移動先ファイアウォール装置82は、通知されたフィルタリングポリシを、個別フィルタリングテーブル803へ書き込む(ステップ12−17)。
ここで、セキュリティポリシ管理サーバ10は、ポリシ配布履歴管理テーブル1004ヘユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込む(ステップ12−15)とともに、ユーザ名(ユーザ6)を検索キーとしてポリシ配布履歴管理テーブル1004を参照し、移動元ファイアウォール装置81を特定する(ステップ12−16)。
これは、次のステップである動的なフィルタリングポリシとして、フィルタリングステート情報をセキュリティポリシ管理サーバ10経由で移動元ファイアウォール装置81から取得する上で必要となる。
また、後述するが、既にセキュリティポリシ管理サーバ10の、図14に示すフィルタリングステートキャッシュテーブル1005に、フィルタリングステート情報を移動元ファイアウォール装置81から取得済みであるとし、以下の説明を継続する。
フィルタリングポリシを取得した後、移動先ファイアウォール装置82はセキュリティポリシ管理サーバ10ヘユーザ名含めたフィルタリングステート情報転送依頼を通知する(ステップ12−18)。
セキュリティポリシ管理サーバ10は、受信した転送依頼通知に含まれるユーザ名(ユーザ6)を検索キーとして、フィルタリングステートキャッシュテーブル1005からフィルタリングステート情報を抽出し(ステップ12−19)、移動先ファイアウォール装置82へ転送する(ステップ12−20)。
転送されたフィルタリングステート情報は、移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込まれる(ステップ12−21)。
以上、モバイルIP通信システムにおける移動ユーザ端末6のパケットに対するパケットフィルタリング上必要な情報を取得後、移動ユーザ端末6認証シーケンスを再開させ、移動ユーザ端末6へ、認証サーバ9からの移動ユーザパケット情報(IP_11)を通知する(12−22)。
フィルタリングポリシを取得した後、移動先ファイアウォール装置82はセキュリティポリシ管理サーバ10ヘユーザ名含めたフィルタリングステート情報転送依頼を通知する(ステップ12−18)。
セキュリティポリシ管理サーバ10は、受信した転送依頼通知に含まれるユーザ名(ユーザ6)を検索キーとして、フィルタリングステートキャッシュテーブル1005からフィルタリングステート情報を抽出し(ステップ12−19)、移動先ファイアウォール装置82へ転送する(ステップ12−20)。
転送されたフィルタリングステート情報は、移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込まれる(ステップ12−21)。
以上、モバイルIP通信システムにおける移動ユーザ端末6のパケットに対するパケットフィルタリング上必要な情報を取得後、移動ユーザ端末6認証シーケンスを再開させ、移動ユーザ端末6へ、認証サーバ9からの移動ユーザパケット情報(IP_11)を通知する(12−22)。
次に、図15−4を用いて、移動ユーザ端末6がモバイルIPシステムを使用し、通信セッションを維持移動し、移動元ファイアウォール81に収容され、通信セッションが維持されるネットワーク接続において、認証サーバ9での認証と連携し、取得したフィルタリングポリシを適用し、モバイルIPパケットフィルタリングを実施する場合について説明する。
移動ユーザ端末6は、移動先ファイアウォール装置82にて、セキュリティポリシ管理サーバ10よりフィルタリングポリシを取得した後、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレスを、ホームエージェント7への登録応答動作と連携して取得したフィルタリングポリシヘも適用し、モバイルIPパケットのパケットフィルタリングを実施する。
まずモバイルIPシステム動作として、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレス(IP_11)を、移動先ファイアウォール装置82を介してホームエージェント7へ送信する(ステップ13−1)。
モバイルIPシステムにおける移動ユーザ端末6とホームエージェント7との気付けアドレス登録応答パケットを監視する移動先ファイアウォール装置82は、ホームエージェント7へ登録される気付けアドレス(IP_11)を保持した後(ステップ13−2)、ホームエージェント7へ送信する(ステップ13−3)。
移動ユーザ端末6は、移動先ファイアウォール装置82にて、セキュリティポリシ管理サーバ10よりフィルタリングポリシを取得した後、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレスを、ホームエージェント7への登録応答動作と連携して取得したフィルタリングポリシヘも適用し、モバイルIPパケットのパケットフィルタリングを実施する。
まずモバイルIPシステム動作として、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレス(IP_11)を、移動先ファイアウォール装置82を介してホームエージェント7へ送信する(ステップ13−1)。
モバイルIPシステムにおける移動ユーザ端末6とホームエージェント7との気付けアドレス登録応答パケットを監視する移動先ファイアウォール装置82は、ホームエージェント7へ登録される気付けアドレス(IP_11)を保持した後(ステップ13−2)、ホームエージェント7へ送信する(ステップ13−3)。
移動先ファイアウォール装置82を介して、移動ユーザ端末6の気付けアドレス(IP、11)を受信したホームエージェント7は、気付けアドレス登録パケットに含まれる、移動元ネットワークで使用していた固定ユーザパケット情報(IP_1)と気付けアドレスとしての移動ユーザパケット情報(IP_11)を対応付けて登録し(ステップ13−4、ステップ13−5)、登録応答を移動ユーザ端末6へ送信する(ステップ13−6)。
移動先ファイアウォール装置82は登録応答に対し、ホームエージェント7からの登録応答にふくまれる固定ユーザパケット情報(IP_1)を検索キーとして、振分管理テーブル806から振分情報を抽出し(ステップ13−7)、気付けアドレスとしての移動ユーザパケット情報(IP_11)と対応付けて再書き込みする(ステップ13−8)。
ここで、認証サーバ9から気付けアドレス(IP_11)を取得済みの場合、前述の図15−3のステップ12−11で既に対応つけて管理済みであるため、再確認した上で上書き処理することを補足する。
気付けアドレスとしての移動ユーザパケット情報の振分管理テーブル806への対応付けて管理後、移動ユーザ端末6に対し、ホームエージェント7からの登録応答シーケンスを再開する(ステップ13−9)。
移動先ファイアウォール装置82は登録応答に対し、ホームエージェント7からの登録応答にふくまれる固定ユーザパケット情報(IP_1)を検索キーとして、振分管理テーブル806から振分情報を抽出し(ステップ13−7)、気付けアドレスとしての移動ユーザパケット情報(IP_11)と対応付けて再書き込みする(ステップ13−8)。
ここで、認証サーバ9から気付けアドレス(IP_11)を取得済みの場合、前述の図15−3のステップ12−11で既に対応つけて管理済みであるため、再確認した上で上書き処理することを補足する。
気付けアドレスとしての移動ユーザパケット情報の振分管理テーブル806への対応付けて管理後、移動ユーザ端末6に対し、ホームエージェント7からの登録応答シーケンスを再開する(ステップ13−9)。
以上、移動先ファイアウォール装置82にて、セキュリティポリシ管理サーバ10よりフィルタリングポリシを取得後、移動ユーザ端末6からのパケットを各フィルタリングポリシヘ振り分け適用しパケットフィルタリングをおこなうための、モバイルIP気付けアドレス対応管理について説明である。
以降は、モバイルIPシステムにおける移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動先ファイアウォール装置82へ到着すると(ステップ13−10)、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−11)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−12)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−13)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−15)を実施するとともに、各フィルタリング状態情報はフィルタリングステートテーブル804へ書き込んだ後(ステップ13−14、ステップ13−16)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ13−17)。
以降は、モバイルIPシステムにおける移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動先ファイアウォール装置82へ到着すると(ステップ13−10)、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−11)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−12)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−13)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−15)を実施するとともに、各フィルタリング状態情報はフィルタリングステートテーブル804へ書き込んだ後(ステップ13−14、ステップ13−16)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ13−17)。
また、外部ネットワーク3またはインターネット2からの移動ユーザ端末6宛てのパケットがホームエージェント経由で到着する場合、移動ユーザ端末6宛てのパケットはまずホームエージェントでインターセプトされ(ステップ13−18)、気付けアドレスとして移動ユーザパケット情報(IP_11)を抽出後(13−19)、移動ユーザパケット情報(IP_11)によるIP in IPカプセル化転送される(ステップ13−20)。
カプセル化転送されたモバイルIPパケットを移動先ファイアウォール82で受信すると、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−21)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−22)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−23)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−25)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ13−24、13−26)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ13−27)。
カプセル化転送されたモバイルIPパケットを移動先ファイアウォール82で受信すると、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−21)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−22)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−23)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−25)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ13−24、13−26)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ13−27)。
次に、図15−5を用いて、前述の図15−3においてスキップした、セキュリティポリシ管理サーバ10における移動ユーザ端末6に対する移動元ファイアウォール装置81からのフィルタリングステート情報の取得について説明する。
セキュリティポリシ管理サーバ10は、移動ユーザ端末6の移動先ファイアウォール装置82におけるフィルタリングポリシの通知と同時に、移動元ファイアウォール装置81を、前述の図15−3のステップ12−16により特定し、移動元ファイアウォール装置81へ、移動ユーザ端末6に対するユーザ名(ユーザ6)を含む、フィルタリングステート情報転送依頼を通知する(ステップ14−1)。
移動元ファイアウォール装置81は、フィルタリングステート情報転送依頼に含まれるユーザ名(ユーザ6)を検索キーに、フィルタリングステートテーブル804を参照し、フィルタリングステート情報を抽出し(ステップ14−2)、セキュリティポリシ管理サーバ10へ転送する(ステップ13−3)。
セキュリティポリシ管理サーバ10は、移動先ファイアウォール装置82へ転送するために、受信したフィルタリングステート情報をフィルタリングステートキャッシュテーブル1005へ書き込む(ステップ14−4)。
以降、前述の図15−3のステップ(12−18、12−19)のとおり、移動先ファイアウォール装置81からのフィルタリングステート情報転送依頼を契機に転送する。
セキュリティポリシ管理サーバ10は、移動ユーザ端末6の移動先ファイアウォール装置82におけるフィルタリングポリシの通知と同時に、移動元ファイアウォール装置81を、前述の図15−3のステップ12−16により特定し、移動元ファイアウォール装置81へ、移動ユーザ端末6に対するユーザ名(ユーザ6)を含む、フィルタリングステート情報転送依頼を通知する(ステップ14−1)。
移動元ファイアウォール装置81は、フィルタリングステート情報転送依頼に含まれるユーザ名(ユーザ6)を検索キーに、フィルタリングステートテーブル804を参照し、フィルタリングステート情報を抽出し(ステップ14−2)、セキュリティポリシ管理サーバ10へ転送する(ステップ13−3)。
セキュリティポリシ管理サーバ10は、移動先ファイアウォール装置82へ転送するために、受信したフィルタリングステート情報をフィルタリングステートキャッシュテーブル1005へ書き込む(ステップ14−4)。
以降、前述の図15−3のステップ(12−18、12−19)のとおり、移動先ファイアウォール装置81からのフィルタリングステート情報転送依頼を契機に転送する。
次に、図15−6を用いて、移動ユーザ端末6が、ネットワーク切断した場合の収容されるファイアウォールシステムにおける、テーブルエントリ削除について説明する。
移動ユーザ端末6が、ネットワーク接続を切断すると、切断要求が認証サーバ9へ送信される(ステップ15−1)。
移動元または移動先ファイアウォール装置81、82は、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとして、振分管理テーブル806のエントリをタイマ処理と連動して削除する(ステップ15−2)。
また、振分管理テーブル806のエントリ削除時に抽出された個別フィルタリングテーブル識別子を検索キーとして、個別フィルタリングテーブル803のエントリをタイマ処理と連動して削除する(ステップ15−3)。
また、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとしてフィルタリングステートテーブル804のエントリをタイマ処理と連動して削除する(ステップ15ー4)。
以上のファイアウォール装置内の各テーブルエントリの削除後、認証サーバ9へのネットワーク切断要求シーケンスを再開し(ステップ15−5)、切断要求受信した認証サーバ9は、固定ユーザパケット情報部902、または移動ユーザパケット情報部903の使用中フラグを未使用フラグヘ変更する(ステップ15−6)。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
移動ユーザ端末6が、ネットワーク接続を切断すると、切断要求が認証サーバ9へ送信される(ステップ15−1)。
移動元または移動先ファイアウォール装置81、82は、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとして、振分管理テーブル806のエントリをタイマ処理と連動して削除する(ステップ15−2)。
また、振分管理テーブル806のエントリ削除時に抽出された個別フィルタリングテーブル識別子を検索キーとして、個別フィルタリングテーブル803のエントリをタイマ処理と連動して削除する(ステップ15−3)。
また、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとしてフィルタリングステートテーブル804のエントリをタイマ処理と連動して削除する(ステップ15ー4)。
以上のファイアウォール装置内の各テーブルエントリの削除後、認証サーバ9へのネットワーク切断要求シーケンスを再開し(ステップ15−5)、切断要求受信した認証サーバ9は、固定ユーザパケット情報部902、または移動ユーザパケット情報部903の使用中フラグを未使用フラグヘ変更する(ステップ15−6)。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
インターネットまたはインターネットサービス利用が爆発的に普及している中、ユーザの端末またはユーザネットワーク、企業ネットワーク、あるいはインターネット接続事業者等が提供するネットワークのセキュリティ対策は不可欠である。
一方、ユーザはユビキタスコンピューティングをはじめ、いつでもどこでもコンピュータをネットワークに接続するモバイルコンピューティングが加速しており、本発明の移動性を考慮したセキュリティシステムとしてのファイアウォールシステムは、今後のユビキタスコンピューティングにおいて高性能、高機能なネットワークセキュリティ環境を提供可能とするものであり、エンドユーザにとってのみならず、通信事業会社および企業ネットワークに対する需要は非常に高くなるものと思われる。
一方、ユーザはユビキタスコンピューティングをはじめ、いつでもどこでもコンピュータをネットワークに接続するモバイルコンピューティングが加速しており、本発明の移動性を考慮したセキュリティシステムとしてのファイアウォールシステムは、今後のユビキタスコンピューティングにおいて高性能、高機能なネットワークセキュリティ環境を提供可能とするものであり、エンドユーザにとってのみならず、通信事業会社および企業ネットワークに対する需要は非常に高くなるものと思われる。
1,23 IP転送網
2 インターネット
3,24 外部ネットワーク
41、42 アクセスネットワーク
5 固定ユーザの端末
6 移動ユーザの端末
7 モバイルIPシステムにおけるホームエージェント
701 ホームエージェントの固定ユーザパケット情報部
702 ホームエージェントの移動ユーザパケット情報部
81,82 ファイアウォール装置
800 ファイアウォール装置のファイアウォール部
801 ファイアウォール装置の仮想ファイアウォール
802 ファイアウォール装置の共通フィルタリングテーブル
803 ファイアウォール装置の個別フィルタリングテーブル
804 ファイアウォール装置のフィルタリングステートテーブル
805 ファイアウォール装置のIP処理部
806 ファイアウォール装置の振分管理テーブル
9 認証サーバ
901 認証サーバの認証情報部
902 認証サーバの固定ユーザパケット情報部
903 認証サーバの移動ユーザパケット情報部
10 セキュリティポリシ管理サーバ
1001 セキュリティポリシ管理サーバのフィルタリングポリシ管理テーブル
1002 セキュリティポリシ管理サーバの振分識別子管理テーブル
1003 セキュリティポリシ管理サーバのファイアウォール情報管理テーブル
1004 セキュリティポリシ管理サーバのポリシ配布履歴管理テーブル
1005 セキュリティポリシ管理サーバのフィルタリングステートキャッシュテーブル
20 ファイアウォール
21 端末
22 セキュリティを高めたいネットワーク
25 外部装置
2 インターネット
3,24 外部ネットワーク
41、42 アクセスネットワーク
5 固定ユーザの端末
6 移動ユーザの端末
7 モバイルIPシステムにおけるホームエージェント
701 ホームエージェントの固定ユーザパケット情報部
702 ホームエージェントの移動ユーザパケット情報部
81,82 ファイアウォール装置
800 ファイアウォール装置のファイアウォール部
801 ファイアウォール装置の仮想ファイアウォール
802 ファイアウォール装置の共通フィルタリングテーブル
803 ファイアウォール装置の個別フィルタリングテーブル
804 ファイアウォール装置のフィルタリングステートテーブル
805 ファイアウォール装置のIP処理部
806 ファイアウォール装置の振分管理テーブル
9 認証サーバ
901 認証サーバの認証情報部
902 認証サーバの固定ユーザパケット情報部
903 認証サーバの移動ユーザパケット情報部
10 セキュリティポリシ管理サーバ
1001 セキュリティポリシ管理サーバのフィルタリングポリシ管理テーブル
1002 セキュリティポリシ管理サーバの振分識別子管理テーブル
1003 セキュリティポリシ管理サーバのファイアウォール情報管理テーブル
1004 セキュリティポリシ管理サーバのポリシ配布履歴管理テーブル
1005 セキュリティポリシ管理サーバのフィルタリングステートキャッシュテーブル
20 ファイアウォール
21 端末
22 セキュリティを高めたいネットワーク
25 外部装置
Claims (20)
- 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムであって、
前記ファイアウォール装置は、前記固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、
前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、
パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、
前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、
前記固定ユーザまたは移動ユーザの端末からの認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、
前記セキュリティポリシ管理サーバとの通信手段と、
前記ホームエージェント手段との通信手段と、
前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザの個別フィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、
前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、
前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、
移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有し、
前記セキュリティポリシ管理サーバは、前記認証情報と少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブルと、
前記認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とが対応付けられた振分識別子管理テーブルと、
前記認証情報と、移動元ファイアウォール装置から取得したフィルタリングステート情報とが対応付けられたフィルタリングステートキャッシュテーブルと、
全てのファイアウォール装置情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたファイアウォール情報管理テーブルと、
過去の転送元ファイアウォール情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたポリシ配布履歴管理テーブルとを有し、
前記ホームエージェント手段は、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報、または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を、前記移動ユーザの端末の移動元ネットワークで使用していた固定ユーザパケット情報とを対応づけて登録する手段を有することを特徴とする移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記ネットワーク接続認証時のユーザ認証シーケンスまたは認証制御パケットを監視し、前記固定ユーザまたは移動ユーザの端末からのユーザを識別可能な情報を含む認証情報を受信し、前記認証情報を保持する手段と、
前記認証情報を認証サーバに中継、通知する手段と、
前記認証サーバから認証応答を受信し、前記認証応答が認証承認の場合、前記認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を、前記固定ユーザまたは移動ユーザの端末が前記ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、前記セキュリティポリシ管理サーバとの通信を開始する手段とを有することを特徴とする請求項1に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記認証サーバからの認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を受信し保持した後、前記保持しているユーザを識別可能な前記認証情報を、前記セキュリティポリシ管理サーバに通知する手段と、
前記認証情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを受信し、当該受信した仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、前記保持済みの固定ユーザパケット情報または移動パケット情報と対応付けて前記振分管理テーブルに書き込むとともに、当該受信した個別フィルタリングポリシを前記個別フィルタリングテーブルに書込む手段と、
前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを各テーブルに書き込んだ後に、前記セキュリティポリシ管理サーバから通知される、移動元ファイアウォール装置にて保持されていたフィルタリングステート情報を受信し、当該受信したフィルタリングステート情報を、前記フィルタリングステートテーブルに書込む手段と、
前記移動元ファイアウォールのフィルタリングステート情報に対する前記セキュリティポリシ管理サーバからの前記認証情報を含む転送依頼通知を受信して、前記セキュリティポリシ管理サーバヘ前記移動ユーザのフィルタリングステート情報を転送する手段と、
前記振分管理テーブルへの書込み、前記個別フィルタリングテーブルへの書込み、および前記フィルタリングステートテーブル書込み完了後、前記固定ユーザまたは移動ユーザの端末へ認証承認として、固定ユーザパケット情報または移動パケットユーザ情報を通知する手段とを有することを特徴とする請求項2に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記移動先ネットワークにおける移動ユーザの前記認証承認の通知後、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を移動元ネットワークまたはホームエージェント手段ヘの登録応答シーケンスまたは登録応答パケットを監視し、前記登録応答に含まれる移動ユーザパケット情報を、ホームネットワークで取得した固定ユーザとしての固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動ユーザパケット情報を既に移動先ネットワークで前記認証サーバから取得し、書き込み済みの場合、前記固定ユーザパケット情報と対応付け、前記振分管理テーブルヘ上書きする手段とを有することを特徴とする請求項3に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、自装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、
前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする請求項1ないし請求項4のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記固定ユーザのネットワーク接続が認証承認後、または移動先ユーザの前記ホームエージェント手段ヘの移動ユーザパケット情報登録後、前記固定ユーザまたは移動ユーザの端末から送信されるパケットまたは前記固定ユーザまたは移動ユーザの端末宛パケットを受信し、前記固定ユーザまたは移動ユーザの端末パケットの転送ヘッダ情報または前記ホームネットワークとして前記ホームエージェント手段からモバイルIPトンネル転送のためカプセル化されている場合の当該移動ユーザの端末パケットの転送ヘッダ情報に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、前記振分け管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを前記抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分ける手段と、
当該パケットを前記抽出した共通フィルタリングテーブル識別子で識別される共通フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記抽出した個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記固定ユーザパケット情報で識別されるフィルタリングステートテーブルを適用しパケットフィルタリングする手段とを有することを特徴とする請求項1ないし請求項5のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記ファイアウォール装置に収容される前記固定ユーザまたは移動ユーザの端末が、前記IP転送網またはIP転送システムにおけるネットワーク接続切断時または他のネットワーク収容のファイアウォール装置配下へ移動時、前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、前記振分管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられて保持エントリされている前記仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、前記保持エントリを一定時間後、無効とする手段と、
前記抽出された仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされている前記抽出された個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを一定時間後無効とする手段とを有することを特徴とする請求項1ないし請求項6のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記セキュリティポリシ管理サーバは、前記認証サーバでの認証と連携し、前記振分識別子管理テーブル内の前記認証情報と対応づけられた前記仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記フィルタリングポリシ管理テーブル内の前記認証情報と対応づけられた前記個別フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記フィルタリングポリシ管理テーブル内の共通フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記認証サーバでの認証と連携し、前記移動ユーザの認証情報を検索キーとして前記ポリシ配布履歴管理テーブルを参照し、前回ファイアウォール装置が有する個別フィルタリングテーブルヘフィルタリングポリシを転送した移動元ファイアウォール装置を特定する手段と、
前記移動元ファイアウォール装置を特定後、前記移動元ファイアウォール装置ヘフィルタリングステート情報の転送依頼として当該移動ユーザの前記認証情報を通知する手段と、
前記フィルタリングステート情報の転送依頼に対する応答として、前記移動ユーザのフィルタリングステート情報を前記フィルタリングステートキャッシュテーブルヘ保持した後に、前記保持した移動ユーザのフィルタリングステート情報を移動先ファイアウォール装置へ転送する手段と、
前記移動ユーザのフィルタリングステート情報の移動先ファイアウォール装置への転送後フィルタリングステートキャッシュテーブルの該移動ユーザのフィルタリングステート情報としての保持エントリを無効にする手段とを有することを特徴とする請求項1ないし請求項7のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記認証サーバは、前記固定ユーザまたは移動ユーザの端末からの、ユーザ名を含む認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する手段と、
認証承認の場合に、前記固定ユーザの固定ユーザパケット情報としてIPアドレス、または移動ユーザの端末の移動ユーザパケット情報としてモバイルIPにおける気付けアドレスを決定する手段とを有することを特徴とする請求項1ないし請求項8のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記認証サーバは、RADIUSサーバであり、
前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続は、PPPプロトコルにしたがい、
前記認証には、PAPまたはCHAPが用いられることを特徴とする請求項9に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムにおけるファイアウォール装置であって、
前記固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、
前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、
パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、
前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、
前記固定ユーザまたは移動ユーザの端末からの認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、
前記セキュリティポリシ管理サーバとの通信手段と、
前記ホームエージェント手段との通信手段と、
前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザの個別フィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、
前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、
前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、
移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有することを特徴とするファイアウォール装置。 - 前記ネットワーク接続認証時のユーザ認証シーケンスまたは認証制御パケットを監視し、前記固定ユーザまたは移動ユーザの端末からのユーザを識別可能な情報を含む認証情報を受信し、前記認証情報を保持する手段と、
前記認証情報を認証サーバに中継、通知する手段と、
前記認証サーバから認証応答を受信し、前記認証応答が認証承認の場合、前記認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を、前記固定ユーザまたは移動ユーザの端末が前記ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、前記セキュリティポリシ管理サーバとの通信を開始する手段とを有することを特徴とする請求項11に記載のファイアウォール装置。 - 前記認証サーバからの認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を受信し保持した後、前記保持しているユーザを識別可能な前記認証情報を、前記セキュリティポリシ管理サーバに通知する手段と、
前記認証情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを受信し、当該受信した仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、前記保持済みの固定ユーザパケット情報または移動パケット情報と対応付けて前記振分管理テーブルに書き込むとともに、当該受信した個別フィルタリングポリシを、前記個別フィルタリングテーブルに書込む手段と、
前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを各テーブルに書き込んだ後に、前記セキュリティポリシ管理サーバから通知される、移動元ファイアウォール装置にて保持されていたフィルタリングステート情報を受信し、当該受信したフィルタリングステート情報を、前記フィルタリングステートテーブルに書込む手段と、
前記移動元ファイアウォールのフィルタリングステート情報に対する前記セキュリティポリシ管理サーバからの前記認証情報を含む転送依頼通知を受信して、前記セキュリティポリシ管理サーバヘ前記移動ユーザのフィルタリングステート情報を転送する手段と、
前記振分管理テーブルへの書込み、前記個別フィルタリングテーブルへの書込み、および前記フィルタリングステートテーブル書込み完了後、前記固定ユーザまたは移動ユーザの端末へ認証承認として、固定ユーザパケット情報または移動パケットユーザ情報を通知する手段とを有することを特徴とする請求項12に記載のファイアウォール装置。 - 前記移動先ネットワークにおける移動ユーザの前記認証承認の通知後、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を移動元ネットワークまたはホームエージェント手段ヘの登録応答シーケンスまたは登録応答パケットを監視し、前記登録応答に含まれる移動ユーザパケット情報を、ホームネットワークで取得した固定ユーザとしての固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動ユーザパケット情報を既に移動先ネットワークで前記認証サーバから取得し、書き込み済みの場合、前記固定ユーザパケット情報と対応付け、前記振分管理テーブルヘ上書きする手段とを有することを特徴とする請求項13に記載のファイアウォール装置。 - 自装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、
前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする請求項11ないし請求項14のいずれか1項に記載のファイアウォール装置。 - 前記固定ユーザのネットワーク接続が認証承認後、または移動先ユーザの前記ホームエージェント手段ヘの移動ユーザパケット情報登録後、前記固定ユーザまたは移動ユーザの端末から送信されるパケットまたは前記固定ユーザまたは移動ユーザの端末宛パケットを受信し、前記固定ユーザまたは移動ユーザの端末パケットの転送ヘッダ情報または前記ホームネットワークとして前記ホームエージェント手段からモバイルIPトンネル転送のためカプセル化されている場合の当該移動ユーザの端末パケットの転送ヘッダ情報に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、前記振分け管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを前記抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分ける手段と、
当該パケットを前記抽出した共通フィルタリングテーブル識別子で識別される共通フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記抽出した個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記固定ユーザパケット情報で識別されるフィルタリングステートテーブルを適用しパケットフィルタリングする手段とを有することを特徴とする請求項11ないし請求項15のいずれか1項に記載のファイアウォール装置。 - 前記ファイアウォール装置に収容される前記固定ユーザまたは移動ユーザの端末が、前記IP転送網またはIP転送システムにおけるネットワーク接続切断時または他のネットワーク収容のファイアウォール装置配下へ移動時、前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、前記振分管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられて保持エントリされている前記仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、前記保持エントリを一定時間後、無効とする手段と、
前記抽出された仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされている前記抽出された個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを一定時間後無効とする手段とを有することを特徴とする請求項11ないし請求項16のいずれか1項に記載のファイアウォール装置。 - 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムにおけるセキュリティポリシ管理サーバであって、
前記認証情報と少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブルと、
前記認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とが対応付けられた振分識別子管理テーブルと、
前記認証情報と、移動元ファイアウォール装置から取得したフィルタリングステート情報とが対応付けられたフィルタリングステートキャッシュテーブルと、
全てのファイアウォール装置情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたファイアウォール情報管理テーブルと、
過去の転送元ファイアウォール情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたポリシ配布履歴管理テーブルと、
前記認証サーバでの認証と連携し、前記振分識別子管理テーブル内の前記認証情報と対応づけられた前記仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記フィルタリングポリシ管理テーブル内の前記認証情報と対応づけられた前記フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記フィルタリングポリシ管理テーブル内の共通フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記認証サーバでの認証と連携し、前記移動ユーザの認証情報を検索キーとして前記ポリシ配布履歴管理テーブルを参照し、前回ファイアウォール装置が有する個別フィルタリングテーブルヘフィルタリングポリシを転送した移動元ファイアウォール装置を特定する手段と、
前記移動元ファイアウォール装置を特定後、前記移動元ファイアウォール装置ヘフィルタリングステート情報の転送依頼として当該移動ユーザの前記認証情報を通知する手段と、
前記フィルタリングステート情報の転送依頼に対する応答として、前記移動ユーザのフィルタリングステート情報を前記フィルタリングステートキャッシュテーブルヘ保持した後に、前記保持した移動ユーザのフィルタリングステート情報を移動先ファイアウォール装置へ転送する手段と、
前記移動ユーザのフィルタリングステート情報の移動先ファイアウォール装置への転送後フィルタリングステートキャッシュテーブルの該移動ユーザのフィルタリングステート情報としての保持エントリを無効にする手段とを有することを特徴とするセキュリティポリシ管理サーバ。 - 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムにおける認証サーバであって、
前記固定ユーザまたは移動ユーザの端末からの、ユーザ名を含む認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する手段と、
認証承認の場合に、前記固定ユーザの固定ユーザパケット情報としてIPアドレス、または移動ユーザの端末の移動ユーザパケット情報としてモバイルIPにおける気付けアドレスを決定する手段とを有することを特徴とする認証サーバ。 - 前記認証サーバは、RADIUSサーバであり、
前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続は、PPPプロトコルにしたがい、
前記認証には、PAPまたはCHAPが用いられることを特徴とする請求項19に記載認証サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004065761A JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004065761A JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005260345A true JP2005260345A (ja) | 2005-09-22 |
| JP4271062B2 JP4271062B2 (ja) | 2009-06-03 |
Family
ID=35085687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004065761A Expired - Fee Related JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4271062B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239578A (zh) * | 2014-10-10 | 2014-12-24 | 北京国双科技有限公司 | 数据表的处理方法和装置 |
| JP2017505942A (ja) * | 2013-12-20 | 2017-02-23 | マカフィー, インコーポレイテッド | インテリジェントファイアウォールアクセスルール |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001268617A (ja) * | 2000-03-21 | 2001-09-28 | Mitsubishi Electric Corp | 無線通信方法 |
| JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
| JP2003229870A (ja) * | 2002-02-04 | 2003-08-15 | Oki Electric Ind Co Ltd | ネットワークサーバ及びネットワーク |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
-
2004
- 2004-03-09 JP JP2004065761A patent/JP4271062B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001268617A (ja) * | 2000-03-21 | 2001-09-28 | Mitsubishi Electric Corp | 無線通信方法 |
| JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
| JP2003229870A (ja) * | 2002-02-04 | 2003-08-15 | Oki Electric Ind Co Ltd | ネットワークサーバ及びネットワーク |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
Non-Patent Citations (2)
| Title |
|---|
| 岡 大祐 他: "ユビキタス環境に向けたネットワークベースファイアウォール", 電子情報通信学会技術研究報告, vol. 第102巻,第693号, JPN6008034676, 27 February 2003 (2003-02-27), pages 121 - 124, ISSN: 0001086490 * |
| 長田 和彦 他: "高信頼/高性能な常時接続ユーザ向けネットワーク提供型ファイアウォールの構成法", 電子情報通信学会技術研究報告, vol. 第103巻,第387号, JPN6008034678, 16 October 2003 (2003-10-16), pages 1 - 4, ISSN: 0001086491 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017505942A (ja) * | 2013-12-20 | 2017-02-23 | マカフィー, インコーポレイテッド | インテリジェントファイアウォールアクセスルール |
| US10367787B2 (en) | 2013-12-20 | 2019-07-30 | Mcafee, Llc | Intelligent firewall access rules |
| US10904216B2 (en) | 2013-12-20 | 2021-01-26 | Mcafee, Llc | Intelligent firewall access rules |
| US11997069B2 (en) | 2013-12-20 | 2024-05-28 | Mcafee, Llc | Intelligent firewall access rules |
| CN104239578A (zh) * | 2014-10-10 | 2014-12-24 | 北京国双科技有限公司 | 数据表的处理方法和装置 |
| CN104239578B (zh) * | 2014-10-10 | 2017-11-14 | 北京国双科技有限公司 | 数据表的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4271062B2 (ja) | 2009-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8761815B2 (en) | Method, device and system for accessing mobile device user information | |
| RU2270531C2 (ru) | Система и способ использования ip-адреса как идентификатора беспроводного устройства | |
| JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
| JP4802263B2 (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| CN106789526B (zh) | 多系统网络连接的方法及装置 | |
| JPH1188431A (ja) | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 | |
| AU2001288394A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| JP2006262141A (ja) | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム | |
| JP2011154622A (ja) | アクセス制御システム及びアクセス制御方法 | |
| JP2003318992A5 (ja) | ||
| US8019879B2 (en) | Wireless communications systems and wireless communications methods | |
| JP2010016834A (ja) | フィルタリング方法 | |
| KR20140099598A (ko) | 모바일 vpn 서비스를 제공하는 방법 | |
| JP2008066907A (ja) | パケット通信装置 | |
| JP2005020112A (ja) | ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法 | |
| KR20040021305A (ko) | UPnP 네트워크의 원격지 보안 접속 시스템 및 방법 | |
| JP2005167646A (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
| JP4271062B2 (ja) | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP4357401B2 (ja) | フィルタリング方法 | |
| JP2007049503A (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
| JP2003283546A (ja) | 無線モバイルルータ | |
| WO2009052735A1 (fr) | Procédé, système et dispositif de gestion destinés à un paquet d'apparence | |
| JP2005252997A (ja) | 通信システム、通信方法、通信プログラム、記録媒体、および、移動ルータ | |
| JP2013126219A (ja) | 転送サーバおよび転送プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060406 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080715 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080916 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090224 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090224 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120306 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130306 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |