JP2005354410A - パケットフィルタ設定方法およびパケットフィルタ設定システム - Google Patents
パケットフィルタ設定方法およびパケットフィルタ設定システム Download PDFInfo
- Publication number
- JP2005354410A JP2005354410A JP2004172993A JP2004172993A JP2005354410A JP 2005354410 A JP2005354410 A JP 2005354410A JP 2004172993 A JP2004172993 A JP 2004172993A JP 2004172993 A JP2004172993 A JP 2004172993A JP 2005354410 A JP2005354410 A JP 2005354410A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- condition
- setting
- router
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】受信側が必要としないパケットが送信元に近いルータで遮断され、無効なパケット転送がなくなるようにして、回線を有効活用可能とするパケットフィルタ設定方法、並びにこれを実現するためのパケットフィルタ設定システムを提供すること。
【解決手段】特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、ホストは、この設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した設定要求パケットを送信し(S1,S2)、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットに記述された内容を解析して(S3)、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する(S4)ことを特徴とするパケットフィルタ設定方法およびこれを具体化したシステム。
【選択図】 図2
【解決手段】特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、ホストは、この設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した設定要求パケットを送信し(S1,S2)、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットに記述された内容を解析して(S3)、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する(S4)ことを特徴とするパケットフィルタ設定方法およびこれを具体化したシステム。
【選択図】 図2
Description
本発明は、IPネットワークのルータにおいて、パケットの転送、あるいは遮断を実施するフィルタリング技術に関し、より具体的には、パケットフィルタ設定方法、並びにこれを具体化したパケットフィルタ設定システムに関するものである。
周知のように、パケットフィルタリングは、パケットのあて先アドレス、あるいは送信元アドレスとあて先アドレスの組み合わせを調べて、通過させて良いパケットと、阻止すべきパケットとを区別することであり、これにより、余分なトラフィックが生じないように抑制するとともに、セキュリティ機能を実現するための簡便な方法である。
従来のパケットフィルタ設定方法としては、特許文献1に示されているように、COPS(Common Open Policy Service )プロトコルや、SNMP(Simple Network Management Protocol )を用いて、ネットワーク管理者の管理に基づき、ポリシーの1つとしてフィルタ条件を設定する方法が考えられている。
しかしながら、上記の従来方法では、ネットワーク管理者がネットワークを制御するための手段であって、ホストが自身のセキュリティ制御のためにルータにリアルタイムにフィルタ条件を設定変更することはできないという問題がある。従って、ルータに接続しているホストが、フィルタ設定を行いたい場合には、自らのホストに設定するか、ネットワーク管理者に依頼してルータに設定してもらう必要があり、リアルタイムな変更は行うことができない。
例えば、ファイル転送が必要な時のみftp(File Transfer Protocol )を使用可能とし、それ以外の場合は、セキュリティの観点からftpによる接続を遮断する場合や、ネットワークの導通確認が必要な時のみ、icmp(Internet Control Message Protocol )パケットを到達可能とする場合には、ホストにおいてフィルタ制御しなければならず、ルータ・ホスト間で無効なパケットが転送されるとともに、ホストのフィルタリング処理が行われCPU能力を消費する。
本発明の目的は、上記従来技術に基づく問題点を解消し、受信側が必要としないパケットが送信元に近いルータで遮断され、無効なパケット転送がなくなるようにして、回線を有効活用可能とするパケットフィルタ設定方法、並びにこれを実現するためのパケットフィルタ設定システムを提供することにある。
上記目的を達成するために、本発明の請求項1に記載のパケットフィルタ設定方法は、少なくとも1のルータとホストを有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信し、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定することを特徴とする。
本請求項に係るパケットフィルタ設定方法によれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。
本請求項に係るパケットフィルタ設定方法によれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。
本発明の請求項2に記載のパケットフィルタ設定方法は、少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、認証手段には、設定変更を許可するホストを予め登録しておき、ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与し、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、設定要求を認証する手段に転送し、認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知し、ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定することを特徴とする。
本請求項に係るパケットフィルタ設定方法によれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。
本請求項に係るパケットフィルタ設定方法によれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。
一方、本発明の請求項3に記載のパケットフィルタ設定システムは、少なくとも1のルータとホストを有するIPネットワークにおけるパケットフィルタ設定システムであって、特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義しておき、ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信する機能部を有し、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。
本請求項に係るパケットフィルタ設定システムによれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。
本発明の請求項4に記載のパケットフィルタ設定システムは、請求項3に記載のパケットフィルタ設定システムであって、ルータは、前記機能部に加えて、フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、フィルタが設定できたか否かを確認できるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、フィルタが設定できたか否かを確認できるという効果が得られる。
本発明の請求項5に記載のパケットフィルタ設定システムは、請求項3または4に記載のパケットフィルタ設定システムであって、ホストは、前記機能部に加えて、設定要求パケットを周期的に送信する機能部を有し、ルータは、前記機能部に加えて、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるという効果が得られる。
本発明の請求項6に記載のパケットフィルタ設定システムは、請求項3または4に記載のパケットフィルタ設定システムであって、IPネットワークにおいて、特定のIPマルチキャストアドレスを、パケットフィルタの確認パケット用アドレスとして定義しておき、ルータは、予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部を有し、ホストは、宛先IPアドレスが確認パケット用アドレスのパケットを受信したら、設定要求パケットを送信する機能部を有し、また、ルータは、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるとともに、確認作業に対する処理負荷を調整することができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるとともに、確認作業に対する処理負荷を調整することができるという効果が得られる。
本発明の請求項7に記載のパケットフィルタ設定システムは、少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するパケットフィルタ設定システムであって、認証手段には、設定変更を許可するホストを予め登録しておき、ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与して送信する機能部を有し、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部を有し、前記認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知する機能部を有し、ルータは、さらに、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。
本発明の請求項8に記載のパケットフィルタ設定システムは、請求項7に記載のパケットフィルタ設定システムであって、前記認証手段は、前記機能部に加えて、各ホストに対して変更を許可するパケットフィルタ条件を記憶する機能部を有し、前記認証手段には、予め、各ホストに対して変更を許可するパケットフィルタ条件を登録しておき、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有し、認証手段は、設定要求パケットを送信したホストが、正当なホストであり、かつ、パケットフィルタ条件が、各ホストに対して変更を許可するパケットフィルタ条件に該当することを確認した場合、設定許可をルータに通知する機能部を有し、ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。
本発明の請求項9に記載のパケットフィルタ設定システムは、請求項8に記載のパケットフィルタ設定システムであって、認証手段は、各ホストに対して変更を許可するパケットフィルタ条件を記憶する代わりに、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部を有し、認証手段は、設定要求が、各ホストに対して変更を許可しないパケットフィルタ条件に合致しない場合に、設定許可をルータに通知する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。
本発明の請求項10に記載のパケットフィルタ設定システムは、請求項8に記載のパケットフィルタ設定システムであって、認証手段は、各ホストの変更を許可するパケットフィルタ条件を記憶する機能部と、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部の両方を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるとともに、ホストが意図するフィルタ条件を作成しやすくなるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるとともに、ホストが意図するフィルタ条件を作成しやすくなるという効果が得られる。
本発明の請求項11に記載のパケットフィルタ設定システムは、請求項7〜10のいずれか1項に記載のパケットフィルタ設定システムであって、ルータは、認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、認証が成功したか失敗したかを確認することができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、認証が成功したか失敗したかを確認することができるという効果が得られる。
本発明の請求項12に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成されており、動作識別子は、追加と削除との2種類定義しておき、ホストは、パケットフィルタ条件を追加する場合に、動作識別子が追加で、追加条件を記述した設定要求を送信する、あるいは、パケットフィルタ条件を削除する場合に、動作識別子が削除で、削除条件を記述した設定要求を送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
本発明の請求項13に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は追加/削除識別子と転送/遮断識別子とから構成されており、ホストは、遮断条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを送信する、あるいは、転送条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを送信する、あるいは、遮断条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを送信する、あるいは、転送条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを送信する機能部を有することを特徴とする。
なお、本明細書中において記号「/」は、「または」を意味している。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
なお、本明細書中において記号「/」は、「または」を意味している。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
本発明の請求項14に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は、遮断条件追加,転送条件追加,遮断条件削除,転送条件削除の4種類を定義しておき、ホストは、遮断条件を追加する場合に、動作識別子が遮断条件追加で、追加する遮断条件を記載した条件設定パケットを送信する、あるいは、転送条件を追加する場合に、動作識別子が転送条件追加で、追加する転送条件を記載した条件設定パケットを送信する、あるいは、遮断条件を削除する場合に、動作識別子が遮断条件削除で、削除する遮断条件を記載した条件設定パケットを送信する、あるいは、転送条件を削除する場合に、動作識別子が転送条件削除で、削除する転送条件を記載した条件設定パケットを送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。
本発明の請求項15に記載のパケットフィルタ設定システムは、請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、ルータの出力インタフェースのパケットフィルタ条件の初期状態は、当該ルータ発パケットを除き全遮断としておき、ルータは、転送条件のみを追加および削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって安全側の制御を行うことができるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって安全側の制御を行うことができるという効果が得られる。
本発明の請求項16に記載のパケットフィルタ設定システムは、請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースのパケットフィルタ条件の初期状態を、全て転送としておき、ルータは、遮断条件のみを追加および削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって通信ができないというトラブルを減少させることが可能になるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって通信ができないというトラブルを減少させることが可能になるという効果が得られる。
本発明の請求項17に記載のパケットフィルタ設定システムは、請求項3〜16のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースは、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、少なくとも1のホストが要求するパケットフィルタ条件が転送である場合に、ルータは、当該送信元アドレスのパケットを転送設定する機能部を有するものであることを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。
本発明の請求項18に記載のパケットフィルタ設定システムは、請求項3〜16のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースにおいて、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、全てのホストが要求するパケットフィルタ条件が、遮断である場合に限り、ルータは、当該送信元アドレスのパケットを遮断設定する機能部を有するものであることを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。
本発明の請求項19に記載のパケットフィルタ設定システムは、請求項17に記載のパケットフィルタ設定システムであって、ルータは、遮断を要求する設定要求を受信した場合に、全ノードマルチキャストアドレスに対して、当該遮断条件を記述した遮断確認パケットを送信する機能部を有し、遮断確認パケットを受信したホストは、転送を希望する場合は、当該条件に対して転送設定要求を送信する機能部を有し、ルータは、さらに、転送設定要求を受信した場合は、転送条件のまま変更せず、あるいは、予め定めた時間内に転送設定要求を受信しない場合には、遮断設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるパケットに対し必要なホストと不要なホストと不要なホストが混在する場合、両者の要望に合わせたフィルタ条件を作成できるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるパケットに対し必要なホストと不要なホストと不要なホストが混在する場合、両者の要望に合わせたフィルタ条件を作成できるという効果が得られる。
本発明の請求項20に記載のパケットフィルタ設定システムは、請求項3〜19のいずれか1項に記載のパケットフィルタ設定システムであって、パケットフィルタ設定を行ったルータは、1以上のインタフェースにおいて、ある送信元アドレスに対し、フィルタ条件が送信元アドレス限定で、かつ転送であれば、当該送信元アドレスへの選択ルートであるインタフェースから、当該転送条件を記述した設定要求パケットを送信する機能部を有し、当該転送条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該条件を設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。
本発明の請求項21に記載のパケットフィルタ設定システムは、請求項3〜20のいずれか1項に記載のパケットフィルタ設定システムであって、パケットフィルタ設定を行ったルータは、ある送信元アドレスに対し、どのインタフェースにも転送設定がなければ、当該送信元アドレスへの選択ルートであるインタフェースから、当該送信元アドレスに対する遮断条件を記述した設定要求パケットを送信する機能部を有し、当該遮断条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該遮断条件を設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。
また、本発明は、請求項22に記載の通り、上記各項に記載のパケットフィルタ設定システムを実現するためのルータまたはホストの機能部の機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラムをも提供するものである。
特に、本発明は、請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムを構成するに好適に用い得るルータを提供することをも、その特徴とする。すなわち、請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムは、その特徴的機能を実現するルータによるところが大きい。
以上をまとめると、本発明においては、ホストがセキュリティ用にルータからホスト方向へのパケット転送に限定して、フィルタ条件を設定する。この場合、リアルタイムにフィルタ条件の変更を可能とするように、IPパケットにフィルタ条件を記述しネットワークレイヤで制御する。また、ルータがフィルタ条件の設定パケットかどうかを容易に判断することができるように、予め定めたIPマルチキャストアドレスを用いる。
また、本発明に係る技術においては、ホストは事前にルータに通知せず電源断や回線断が発生する可能性が大きいため、ルータが周期的に監視することにより、フィルタ条件の有効性を確認することは有効である。また、ネットワークセキュリティの観点から、ルータに不正なフィルタ条件を設定されないように、設定要求をネットワークで認証することも有効である。
また、上記の設定要求の認証においては、認証サーバにフィルタ条件のうちの変更可能な条件,変更不可能な条件あるいは条件範囲を記憶し、認証条件で参照することにより、セキュリティを向上させることができる。
また、認証結果をホストに通知することにより、ホストでネットワークの動作を確認することが可能になる。
また、認証結果をホストに通知することにより、ホストでネットワークの動作を確認することが可能になる。
ルータにおけるフィルタ条件設定においては、設定処理が追加であるか削除であるか、あるいは遮断条件であるか転送条件であるかをを識別子として明示的に指定することが、ルータにおける、条件記述解析の高速化や処理負荷の低減に有効である。
また、ルータの初期条件を、全て遮断か全て転送かに定めておけば、条件追加処理が簡略化される。
また、ルータの初期条件を、全て遮断か全て転送かに定めておけば、条件追加処理が簡略化される。
また、通常、ルータのインタフェースには、一般的に複数のホストが接続されることが考えられ、その場合には、各ホストから要望されるフィルタ条件の論理和を取った条件を設定する必要がある。特に遮断の要求がある場合には、要求元以外に遮断しても良いかを問い合わせることにより、突然パケットを受信しなくなる故障が発生した場合との区別が容易になる。
また、ルータのフィルタ条件を、上流ルータのフィルタ条件に反映させれば、上流ルータ間の回線に無効パケットが転送されることがなくなり、回線が有効活用できる。
本発明によれば、IPネットワークにおいて、受信側が必要としないパケットが送信元に近いルータで遮断され、無効なパケット転送がなくなるという効果が得られる。なお、本発明のより具体的な効果は、下記の実施例により詳細に示される。
以下に、添付の図面に示す好適実施形態に基づいて、を詳細に説明する。
〔実施例1〕
本発明の実施例1を、図1のネットワーク構成例を用いて説明する。
ルータ101とホスト102,ホスト103,ホスト104から構成される。
ルータ101には、ホスト102を接続するインタフェース(1)(以下、インタフェースをIFと、インタフェース(1)をIF(1)等と略記する)111と、ホスト103およびホスト104が接続されるIF(2)112が存在する。ホスト102のIPアドレスを2002::2とし、ホスト103のIPアドレスを3000::2とし、ホスト104のIPアドレスを4000::2とする。また、フィルタ条件設定パケット用のIPアドレスを、例えば、ff02::100と定めておく。
上記のネットワーク構成例やIPアドレスの値は、説明を明確化するための一例であって、本発明を制限するものではない。
本発明の実施例1を、図1のネットワーク構成例を用いて説明する。
ルータ101とホスト102,ホスト103,ホスト104から構成される。
ルータ101には、ホスト102を接続するインタフェース(1)(以下、インタフェースをIFと、インタフェース(1)をIF(1)等と略記する)111と、ホスト103およびホスト104が接続されるIF(2)112が存在する。ホスト102のIPアドレスを2002::2とし、ホスト103のIPアドレスを3000::2とし、ホスト104のIPアドレスを4000::2とする。また、フィルタ条件設定パケット用のIPアドレスを、例えば、ff02::100と定めておく。
上記のネットワーク構成例やIPアドレスの値は、説明を明確化するための一例であって、本発明を制限するものではない。
実施例1の動作を、図2の動作例を用いて説明する。
ホスト102は、ホスト103からのパケット受信を拒否する場合に、送信元3000::2のパケットを遮断と記述し、宛先IPアドレスをff02::100としたフィルタ設定要求パケットを送信する(S1,S2)。
ルータ101は、IF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し(S3)、送信元3000::2を遮断と記述されているので、当該パケットを受信したIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定する(S4)。
ホスト102は、ホスト103からのパケット受信を拒否する場合に、送信元3000::2のパケットを遮断と記述し、宛先IPアドレスをff02::100としたフィルタ設定要求パケットを送信する(S1,S2)。
ルータ101は、IF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し(S3)、送信元3000::2を遮断と記述されているので、当該パケットを受信したIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定する(S4)。
あるいは、ホスト102はホスト103からのパケット受信を拒否する場合に、送信元3000::2、宛先2000::2のパケットを遮断と記述し、宛先IPアドレスをff02::100としたフィルタ設定要求パケットを送信する方法もある。
その場合、ルータ101はIF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し、送信元3000::2,宛先2000::2のパケットを遮断と記述されているので、当該パケットを受信したIF(1)111の出力方法に、送信元3000::2,宛先2000::2のパケットを遮断するフィルタを設定する。
その場合、ルータ101はIF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し、送信元3000::2,宛先2000::2のパケットを遮断と記述されているので、当該パケットを受信したIF(1)111の出力方法に、送信元3000::2,宛先2000::2のパケットを遮断するフィルタを設定する。
〔実施例2〕
本発明の実施例2のネットワーク構成は、図1と同様である。
本発明の実施例2の動作を、図3の動作例を用いて説明する。
実施例2では、ルータ101がIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定後(S5〜S7)に、ホスト102にフィルタ設定完了通知を送信する(S8)ところが実施例1と異なる。
本発明の実施例2のネットワーク構成は、図1と同様である。
本発明の実施例2の動作を、図3の動作例を用いて説明する。
実施例2では、ルータ101がIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定後(S5〜S7)に、ホスト102にフィルタ設定完了通知を送信する(S8)ところが実施例1と異なる。
〔実施例3〕
本発明の実施例3のネットワーク構成例は、図1と同様である。
本発明の実施例3の動作例は、図4に示すように、ホスト102が周期的にフィルタ設定通知を送信する(S10〜S12)ところ、およびルータ101がフィルタ設定時にタイマを起動する(S14)ところが異なる。
ルータ101は、タイマ動作中にフィルタ設定通知を受信したら、タイマを更新する(S15)。
あるいは、ルータ101はフィルタ設定通知を、ある一定時間以上受信せずタイムアウトしたら、設定したフィルタ条件を解除する(S16〜S17)。
本発明の実施例3のネットワーク構成例は、図1と同様である。
本発明の実施例3の動作例は、図4に示すように、ホスト102が周期的にフィルタ設定通知を送信する(S10〜S12)ところ、およびルータ101がフィルタ設定時にタイマを起動する(S14)ところが異なる。
ルータ101は、タイマ動作中にフィルタ設定通知を受信したら、タイマを更新する(S15)。
あるいは、ルータ101はフィルタ設定通知を、ある一定時間以上受信せずタイムアウトしたら、設定したフィルタ条件を解除する(S16〜S17)。
〔実施例4〕
本発明の実施例4の動作例を、図5に示す。図5に示すように、ルータがフィルタ設定を確認し、フィルタ設定通知はフィルタ設定確認の応答として送信されるところが、実施例3と異なる。
ルータ101は、確認送信タイマを用いて、フィルタ設定確認通知を周期的に送信する(S22〜S27)。フィルタ設定確認通知の宛先アドレスは、実施例1のフィルタ条件設定パケット用のIPアドレスと同一で、パケットの記述内容で識別してもよいし、異なるIPアドレスとし、IPアドレスにより識別してもよい。
フィルタ条件継続タイマの動作は、実施例3のタイマ動作と同様である。
本発明の実施例4の動作例を、図5に示す。図5に示すように、ルータがフィルタ設定を確認し、フィルタ設定通知はフィルタ設定確認の応答として送信されるところが、実施例3と異なる。
ルータ101は、確認送信タイマを用いて、フィルタ設定確認通知を周期的に送信する(S22〜S27)。フィルタ設定確認通知の宛先アドレスは、実施例1のフィルタ条件設定パケット用のIPアドレスと同一で、パケットの記述内容で識別してもよいし、異なるIPアドレスとし、IPアドレスにより識別してもよい。
フィルタ条件継続タイマの動作は、実施例3のタイマ動作と同様である。
〔実施例5〕
本発明の実施例5のネットワーク構成を、図6に示す。実施例5のネットワーク構成は、図1に示す実施例1のネットワーク構成に、認証サーバ205を追加した構成である。すなわち、ルータ201とホスト202,ホスト203,ホスト204および認証サーバ205から構成される。
ルータ201にはホスト202を接続するIF(1)211と、ホスト203および204が接続されるIF(2)212が存在する。また、ホスト202のIPアドレスを2000::2とし、ホスト203のIPアドレスを3000::2とし、ホスト204のIPアドレスを4000::2とする。
本発明の実施例5のネットワーク構成を、図6に示す。実施例5のネットワーク構成は、図1に示す実施例1のネットワーク構成に、認証サーバ205を追加した構成である。すなわち、ルータ201とホスト202,ホスト203,ホスト204および認証サーバ205から構成される。
ルータ201にはホスト202を接続するIF(1)211と、ホスト203および204が接続されるIF(2)212が存在する。また、ホスト202のIPアドレスを2000::2とし、ホスト203のIPアドレスを3000::2とし、ホスト204のIPアドレスを4000::2とする。
実施例5の動作を、図7の動作例を用いて説明する。
実施例5では、ホストはフィルタ設定要求にホスト認証情報を添付する。ホスト情報としては、ユーザIDとパスワードの組み合わせ,電子証明書などが考えられるが、本発明は、ルータにおいてホストから受信したフィルタ設定要求と、その認証結果を対応付けできることが重要であって、ホスト認証方法を限定するものではない。
ルータ201はフィルタ設定要求を受信したら、当該メッセージに添付されたホスト認証情報を認証サーバ205に転送し(S29〜S31)、その応答を受信した時に応答が認証成功であればフィルタ設定を実行する(S32〜S34)。
なお、図8に示すように、認証サーバ205からの応答が認証失敗であれば、ルータ201はフィルタ設定を実行しない(S35〜S38)。
実施例5では、ホストはフィルタ設定要求にホスト認証情報を添付する。ホスト情報としては、ユーザIDとパスワードの組み合わせ,電子証明書などが考えられるが、本発明は、ルータにおいてホストから受信したフィルタ設定要求と、その認証結果を対応付けできることが重要であって、ホスト認証方法を限定するものではない。
ルータ201はフィルタ設定要求を受信したら、当該メッセージに添付されたホスト認証情報を認証サーバ205に転送し(S29〜S31)、その応答を受信した時に応答が認証成功であればフィルタ設定を実行する(S32〜S34)。
なお、図8に示すように、認証サーバ205からの応答が認証失敗であれば、ルータ201はフィルタ設定を実行しない(S35〜S38)。
〔実施例6〕
本発明の実施例6のネットワーク構成および動作は、実施例5と同様である。
ただし、認証サーバ205にホストが変更してもよいフィルタ条件を登録しておく点と、ルータ201が認証サーバ205に送信する認証要求に、ホスト認証情報だけでなく、フィルタ条件をも添付する所が異なる。図9に、認証サーバの205のフィルタ条件管理テーブル構成例を示す。
フィルタ条件管理テーブルは、ホスト名と変更許可範囲とから構成される。ホスト名は、図9では、ホストのIPアドレスを例として示すが、ホストを識別できればよく、他にもMACアドレスでも、文字列からなるユーザIDでもよい。変更範囲は、図9では、IPアドレスの1つの範囲を例として示すが、IPアドレス,IPプロトコル番号,TCPポート番号,UDPポート番号,ICMPタイプ,コードの組み合わせを複数記述してもよい。
本発明の実施例6のネットワーク構成および動作は、実施例5と同様である。
ただし、認証サーバ205にホストが変更してもよいフィルタ条件を登録しておく点と、ルータ201が認証サーバ205に送信する認証要求に、ホスト認証情報だけでなく、フィルタ条件をも添付する所が異なる。図9に、認証サーバの205のフィルタ条件管理テーブル構成例を示す。
フィルタ条件管理テーブルは、ホスト名と変更許可範囲とから構成される。ホスト名は、図9では、ホストのIPアドレスを例として示すが、ホストを識別できればよく、他にもMACアドレスでも、文字列からなるユーザIDでもよい。変更範囲は、図9では、IPアドレスの1つの範囲を例として示すが、IPアドレス,IPプロトコル番号,TCPポート番号,UDPポート番号,ICMPタイプ,コードの組み合わせを複数記述してもよい。
各ホストが設定可能なフィルタ条件は、上記のように、認証サーバ205に予め登録しておき、認証サーバ205は、ルータ201から通知されたフィルタ条件が、登録してあるフィルタ条件の範囲内であれば、認証成功通知に、当該フィルタ条件を添付し、ルータ201は認証成功に添付されたフィルタ条件を設定する。
あるいは、認証サーバ205は、実施例5と異なり、ホストが認証されても、当該ホストからの設定変更要求条件が変更範囲になければ、認証失敗をルータに応答することも考えられる。図9のテーブル記述例でいえば、認証サーバ205は、ホスト2002::2から送信元IP=3000::2の遮断要求を許可されるが、同ホストの送信元IP=4000::2の遮断要求は拒否する。
あるいは、認証サーバ205は、実施例5と異なり、ホストが認証されても、当該ホストからの設定変更要求条件が変更範囲になければ、認証失敗をルータに応答することも考えられる。図9のテーブル記述例でいえば、認証サーバ205は、ホスト2002::2から送信元IP=3000::2の遮断要求を許可されるが、同ホストの送信元IP=4000::2の遮断要求は拒否する。
〔実施例7〕
本発明の実施例7のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更できないフィルタ条件を登録しておく点が実施例6と異なる。この場合、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲になければ、認証成功通知にホストから要求されたフィルタ条件を添付し、ルータ201は、認証成功に添付されたフィルタ条件を設定する。また、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲にあれば、認証失敗をルータ201に応答することも考えられる。
本発明の実施例7のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更できないフィルタ条件を登録しておく点が実施例6と異なる。この場合、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲になければ、認証成功通知にホストから要求されたフィルタ条件を添付し、ルータ201は、認証成功に添付されたフィルタ条件を設定する。また、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲にあれば、認証失敗をルータ201に応答することも考えられる。
〔実施例8〕
本発明の実施例8のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更してもよいフィルタ条件と、ホストが変更できないフィルタ条件の両方を登録しておく点が、実施例6と異なる。
この場合、認証サーバ205の動作としては、フィルタ条件管理テーブルに一括して変更してもよい条件と変更できない条件を記憶する方法でも、あるいは変更してもよい条件のテーブルと変更できない条件のテーブルをそれぞれ用意し、両方を参照する方法でもよい。
認証サーバ205のフィルタ条件管理テーブル検索動作例としては、予めフィルタ条件を登録順、あるいは優先度順に整列記憶させ、検索時には最初に合致した条件を適用する方法や、あるいは、フィルタ条件登録時に各フィルタ条件の優先度を明記してフィルタ条件管理テーブルに記憶し、フィルタ条件管理テーブル検索時には、合致した条件のうち優先度が最高の条件を適用する方法が考えられる。
本発明の実施例8のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更してもよいフィルタ条件と、ホストが変更できないフィルタ条件の両方を登録しておく点が、実施例6と異なる。
この場合、認証サーバ205の動作としては、フィルタ条件管理テーブルに一括して変更してもよい条件と変更できない条件を記憶する方法でも、あるいは変更してもよい条件のテーブルと変更できない条件のテーブルをそれぞれ用意し、両方を参照する方法でもよい。
認証サーバ205のフィルタ条件管理テーブル検索動作例としては、予めフィルタ条件を登録順、あるいは優先度順に整列記憶させ、検索時には最初に合致した条件を適用する方法や、あるいは、フィルタ条件登録時に各フィルタ条件の優先度を明記してフィルタ条件管理テーブルに記憶し、フィルタ条件管理テーブル検索時には、合致した条件のうち優先度が最高の条件を適用する方法が考えられる。
〔実施例9〕
本発明の実施例9の動作を、図10と図11の動作例を用いて説明する。
図10の動作例1は、認証成功時の動作を示し、ルータ201は認証サーバ205から認証成功を通知された場合に、ホストに認証成功を通知する(S41〜S44)。認証成功は、実施例2の設定完了通知が兼ねてもよい。また、図11の動作例は、認証失敗時の動作を示し、ルータ201は認証サーバ205から認証失敗を通知された場合に、ホストに認証失敗を通知する(S47〜S49)。
また、予めルータ201に送信回数を設定し、ルータ201は認証成功通知および認証失敗通知を設定した回数送信することも考えられる。
本発明の実施例9の動作を、図10と図11の動作例を用いて説明する。
図10の動作例1は、認証成功時の動作を示し、ルータ201は認証サーバ205から認証成功を通知された場合に、ホストに認証成功を通知する(S41〜S44)。認証成功は、実施例2の設定完了通知が兼ねてもよい。また、図11の動作例は、認証失敗時の動作を示し、ルータ201は認証サーバ205から認証失敗を通知された場合に、ホストに認証失敗を通知する(S47〜S49)。
また、予めルータ201に送信回数を設定し、ルータ201は認証成功通知および認証失敗通知を設定した回数送信することも考えられる。
〔実施例10〕
本発明の実施例10の設定要求パケットフォーマット例を、図12に示す。
設定要求パケットは、IPヘッダとデータとから構成される。IPヘッダには、図のようにIPオプションヘッダが追加される場合がある。データは条件毎に複数記述可能で、各データは、動作識別子とデータ長と条件内容とから構成される。動作識別子は、例えば追加が1で、削除は2とする。追加と削除が識別できれば、他の値でもよい。
転送か遮断かの識別は、条件内容に含まれる。
本発明の実施例10の設定要求パケットフォーマット例を、図12に示す。
設定要求パケットは、IPヘッダとデータとから構成される。IPヘッダには、図のようにIPオプションヘッダが追加される場合がある。データは条件毎に複数記述可能で、各データは、動作識別子とデータ長と条件内容とから構成される。動作識別子は、例えば追加が1で、削除は2とする。追加と削除が識別できれば、他の値でもよい。
転送か遮断かの識別は、条件内容に含まれる。
〔実施例11〕
本発明の実施例11の設定要求パケットフォーマット例を、図13に示す。
設定要求パケットは、実施例10の図12と基本部分は同様であるが、動作識別子が、追加/削除識別子と、転送/遮断識別子であるところが異なる。追加/削除識別子は、例えば、追加が1で削除は2とする。追加と削除が識別できれば他の値でもよい。転送/遮断識別子は、例えば転送が1で遮断が2とする。転送と遮断が識別できれば他の値でもよい。実施例11では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。
本発明の実施例11の設定要求パケットフォーマット例を、図13に示す。
設定要求パケットは、実施例10の図12と基本部分は同様であるが、動作識別子が、追加/削除識別子と、転送/遮断識別子であるところが異なる。追加/削除識別子は、例えば、追加が1で削除は2とする。追加と削除が識別できれば他の値でもよい。転送/遮断識別子は、例えば転送が1で遮断が2とする。転送と遮断が識別できれば他の値でもよい。実施例11では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。
〔実施例12〕
本発明の実施例12の設定要求パケットフォーマット例は、図12と同様である。
ただし、動作識別子の定義が異なる。動作識別子は、例えば遮断条件追加が1で、転送条件追加は2、遮断条件削除が3、転送条件削除が4とする。もちろん、上記4種類が識別できれば、他の値でもよい。
実施例12では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。
本発明の実施例12の設定要求パケットフォーマット例は、図12と同様である。
ただし、動作識別子の定義が異なる。動作識別子は、例えば遮断条件追加が1で、転送条件追加は2、遮断条件削除が3、転送条件削除が4とする。もちろん、上記4種類が識別できれば、他の値でもよい。
実施例12では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。
〔実施例13〕
本発明の実施例13の動作を、図14の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ発を除き、全ての出力を遮断している(S50)。
例えば、ホスト202は送信元IPアドレスが3000::2の遮断条件の設定要求を送信しても、元々遮断なので処理は実施されない(S51,S52)。次に、上記アドレスの転送条件を設定した場合、ルータ201において転送設定される(S53〜S55)。この時、ルータ201が設定完了通知,認証成功通知,認証失敗通知を送信する場合には、ルータ発のパケットは遮断の対象外なので、送信される。
本発明の実施例13の動作を、図14の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ発を除き、全ての出力を遮断している(S50)。
例えば、ホスト202は送信元IPアドレスが3000::2の遮断条件の設定要求を送信しても、元々遮断なので処理は実施されない(S51,S52)。次に、上記アドレスの転送条件を設定した場合、ルータ201において転送設定される(S53〜S55)。この時、ルータ201が設定完了通知,認証成功通知,認証失敗通知を送信する場合には、ルータ発のパケットは遮断の対象外なので、送信される。
〔実施例14〕
本発明の実施例14の動作を、図15の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ201発を除き、全ての出力を転送設定している(S56)。
例えば、ホスト202は送信元IPアドレスが3000::2の転送条件の設定要求を送信しても、元々転送なので、処理は実施されない(S57,S58)。次に、上記アドレスの遮断条件を設定した場合、ルータ201において遮断設定される(S59〜S61)。
本発明の実施例14の動作を、図15の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ201発を除き、全ての出力を転送設定している(S56)。
例えば、ホスト202は送信元IPアドレスが3000::2の転送条件の設定要求を送信しても、元々転送なので、処理は実施されない(S57,S58)。次に、上記アドレスの遮断条件を設定した場合、ルータ201において遮断設定される(S59〜S61)。
〔実施例15〕
本発明の実施例15のシステム構成例を図16、動作例を図17に示す。
ここでは、ルータ301のIF(1)311にIPアドレスが2000::2のホスト302から2000::4のホスト304までの3台のホストが接続されている構成で説明する。
実施例15の動作は、図17に例示するように、ホスト302が3000::2からのパケットを遮断要求した場合、ルータ301のIF(1)311には遮断設定される(S62,S63)。次に、ホスト303が3000::2からのパケットを転送要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、IF(1)311としては、転送設定となる(S64,S65)。
次に、ホスト304が3000::2からのパケットを遮断要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、転送設定のままで条件変更はされない(S66,S67)。
本発明の実施例15のシステム構成例を図16、動作例を図17に示す。
ここでは、ルータ301のIF(1)311にIPアドレスが2000::2のホスト302から2000::4のホスト304までの3台のホストが接続されている構成で説明する。
実施例15の動作は、図17に例示するように、ホスト302が3000::2からのパケットを遮断要求した場合、ルータ301のIF(1)311には遮断設定される(S62,S63)。次に、ホスト303が3000::2からのパケットを転送要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、IF(1)311としては、転送設定となる(S64,S65)。
次に、ホスト304が3000::2からのパケットを遮断要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、転送設定のままで条件変更はされない(S66,S67)。
〔実施例16〕
本発明の実施例16のネットワーク構成は図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例16の動作は、図18に示すように、IPアドレス3000::2のホスト305が転送設定であるとする(S68)。ホスト302が3000::2からのパケットを遮断要求した場合、他のホストは遮断でないために条件変更はしない(S69,S70)。次に、ホスト303が3000::2からのパケットを遮断要求した場合にも、ホスト304が遮断でないため、条件変更はしない(S71,S72)。次に、ホスト304が3000::2からのパケットを遮断要求した場合、全てのホストが遮断条件となるため、3000::2からのパケットを遮断設定する(S73,S74)。
本発明の実施例16のネットワーク構成は図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例16の動作は、図18に示すように、IPアドレス3000::2のホスト305が転送設定であるとする(S68)。ホスト302が3000::2からのパケットを遮断要求した場合、他のホストは遮断でないために条件変更はしない(S69,S70)。次に、ホスト303が3000::2からのパケットを遮断要求した場合にも、ホスト304が遮断でないため、条件変更はしない(S71,S72)。次に、ホスト304が3000::2からのパケットを遮断要求した場合、全てのホストが遮断条件となるため、3000::2からのパケットを遮断設定する(S73,S74)。
〔実施例17〕
本発明の実施例17のネットワーク構成は、図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例17の動作例は、図19に示すように、3000::2が転送設定であるとする(S75)。ホスト302が3000::2からのパケットを遮断要求した場合(S76)、ルータ301は他のホストに転送する必要があるかどうかを、遮断条件を記載した変更確認を全ノードに送信するとともに、応答監視タイマを起動する(S77,S78)。ルータ301は監視タイマがタイムアウトしたら(S79)、3000::2からのパケットの転送が必要なホストがないと判断し、当該条件について遮断設定を行う(S80)。
本発明の実施例17のネットワーク構成は、図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例17の動作例は、図19に示すように、3000::2が転送設定であるとする(S75)。ホスト302が3000::2からのパケットを遮断要求した場合(S76)、ルータ301は他のホストに転送する必要があるかどうかを、遮断条件を記載した変更確認を全ノードに送信するとともに、応答監視タイマを起動する(S77,S78)。ルータ301は監視タイマがタイムアウトしたら(S79)、3000::2からのパケットの転送が必要なホストがないと判断し、当該条件について遮断設定を行う(S80)。
〔実施例18〕
本発明の実施例18のネットワーク構成を図20に、動作例を図21に示す。
実施例18の説明に用いるネットワーク構成では、ルータ401にはIPアドレスが2001::2のホスト402と2002::2のホスト403が、それぞれIF(11)411とIF(12)412に接続されており、IF(13)413にはルータ402のIF(21)421が接続され、ルータ402のIF(22)422には、それぞれIPアドレスが3000::2のホスト406と4000::2のホスト407が接続されている。
本発明の実施例18のネットワーク構成を図20に、動作例を図21に示す。
実施例18の説明に用いるネットワーク構成では、ルータ401にはIPアドレスが2001::2のホスト402と2002::2のホスト403が、それぞれIF(11)411とIF(12)412に接続されており、IF(13)413にはルータ402のIF(21)421が接続され、ルータ402のIF(22)422には、それぞれIPアドレスが3000::2のホスト406と4000::2のホスト407が接続されている。
次に、実施例18の動作を、図21の動作例を用いて説明する。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを転送する設定要求をIF(11)411にて受信した場合、IF(11)411に当該転送設定を行う(S82,S83)。ルータ401において、1以上のIFにおいて送信元アドレスが3000::2であるパケットの転送設定がなされたので、ルータ401はルーチングテーブルを参照して、3000::2の選択経路であるルータ(2)402に、送信元アドレスが3000::2であるパケットを転送する設定要求を送信する(S85)。
ルータ(2)402は、送信元アドレスが3000::2であるパケットを転送する設定要求を、IF(21)421にて受信した場合、IF(21)421に当該転送設定を実施する(S86)。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを転送する設定要求をIF(11)411にて受信した場合、IF(11)411に当該転送設定を行う(S82,S83)。ルータ401において、1以上のIFにおいて送信元アドレスが3000::2であるパケットの転送設定がなされたので、ルータ401はルーチングテーブルを参照して、3000::2の選択経路であるルータ(2)402に、送信元アドレスが3000::2であるパケットを転送する設定要求を送信する(S85)。
ルータ(2)402は、送信元アドレスが3000::2であるパケットを転送する設定要求を、IF(21)421にて受信した場合、IF(21)421に当該転送設定を実施する(S86)。
〔実施例19〕
本発明の実施例19のネットワーク構成は、図20と同様である。
以下、実施例19の動作を、図22の動作例を用いて説明する。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを遮断する設定要求をインタフェース411にて受信した場合、IF(11)411に当該遮断設定を行う(S88,S89)。この時、IF(12)412でも送信元アドレスが3000::2であるパケットが遮断設定であるとする。
本発明の実施例19のネットワーク構成は、図20と同様である。
以下、実施例19の動作を、図22の動作例を用いて説明する。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを遮断する設定要求をインタフェース411にて受信した場合、IF(11)411に当該遮断設定を行う(S88,S89)。この時、IF(12)412でも送信元アドレスが3000::2であるパケットが遮断設定であるとする。
ルータ(1)401では、全IFにおいて、送信元アドレスが3000::2であるパケットの遮断要求設定がされたので、ルータ(1)401はルーチングテーブルを参照し、3000::2の選択経路であるルータ(2)402に送信元アドレスが3000::2であるパケットを遮断する設定要求を送信する(S91)。ルータ(2)402は、送信元アドレスが3000::2であるパケットを遮断する設定要求をIF(21)421にて受信した場合、IF(21)421に当該遮断設定を実施する(S92)。
なお、前述のように、本発明に係るパケットフィルタ設定システムを実現するためのルータまたはホストの機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラムとしても商品化できるという効果もある。
また、前述のように、本発明に係るパケットフィルタ設定システムは、これを構成するために好適に用いうるルータ単体としても、商品化可能である。
例えば、以下の通りである。
(1)請求項3に記載のパケットフィルタ設定システムに用いられ、
宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とするルータ。
(2)請求項4に記載のパケットフィルタ設定システムに用いられ、
フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とするルータ。
(3)請求項5に記載のパケットフィルタ設定システムに用いられ、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とするルータ。
例えば、以下の通りである。
(1)請求項3に記載のパケットフィルタ設定システムに用いられ、
宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とするルータ。
(2)請求項4に記載のパケットフィルタ設定システムに用いられ、
フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とするルータ。
(3)請求項5に記載のパケットフィルタ設定システムに用いられ、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とするルータ。
(4)請求項6に記載のパケットフィルタ設定システムに用いられ、
予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部と、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とするルータ。
(5)請求項7に記載のパケットフィルタ設定システムに用いられ、
設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部と、
認証手段から、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするルータ。
予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部と、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とするルータ。
(5)請求項7に記載のパケットフィルタ設定システムに用いられ、
設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部と、
認証手段から、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするルータ。
(6)請求項8に記載のパケットフィルタ設定システムに用いられ、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有することを特徴とするルータ。
(7)請求項11に記載のパケットフィルタ設定システムに用いられ、
認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とするルータ。
(8)請求項12に記載のパケットフィルタ設定システムに用いられ、
動作識別子が追加で、追加条件を記述した設定要求を受信した場合、パケットフィルタ条件を追加し、及び、動作識別子が削除で、削除条件を記述した設定要求を受信した場合、パケットフィルタ条件を削除する場合に、機能部を有することを特徴とするルータ。
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有することを特徴とするルータ。
(7)請求項11に記載のパケットフィルタ設定システムに用いられ、
認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とするルータ。
(8)請求項12に記載のパケットフィルタ設定システムに用いられ、
動作識別子が追加で、追加条件を記述した設定要求を受信した場合、パケットフィルタ条件を追加し、及び、動作識別子が削除で、削除条件を記述した設定要求を受信した場合、パケットフィルタ条件を削除する場合に、機能部を有することを特徴とするルータ。
(9)請求項13に記載のパケットフィルタ設定システムに用いられ、
追加削除識別子が追加で、転送遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを受信した場合、当該遮断条件を追加し、
あるいは、追加削除識別子が追加で、転送遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを受信した場合、当該転送条件を追加し、
あるいは、追加削除識別子が削除で、転送遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを受信した場合、遮断条件を削除し、
あるいは、追加削除識別子が削除で、転送遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを受信した場合、転送条件を削除する、機能部を有することを特徴とするルータ。
追加削除識別子が追加で、転送遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを受信した場合、当該遮断条件を追加し、
あるいは、追加削除識別子が追加で、転送遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを受信した場合、当該転送条件を追加し、
あるいは、追加削除識別子が削除で、転送遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを受信した場合、遮断条件を削除し、
あるいは、追加削除識別子が削除で、転送遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを受信した場合、転送条件を削除する、機能部を有することを特徴とするルータ。
なお、上記実施形態並びに実施例は、いずれも本発明の一例を示したものであり、本発明はこれらに限定されるものではなく、本発明の趣旨を変更しない範囲内で適宜の変更・改良を行ってもよいことはいうまでもない。
101,201,301,401,404 ルータ
102,103,104,202,203,204,302,303,304,305,306,402,403,406,407 ホスト
205 認証サーバ
111,112,211,212,311,312,411,412,413,421 IF
S1〜S92 処理ステップ
102,103,104,202,203,204,302,303,304,305,306,402,403,406,407 ホスト
205 認証サーバ
111,112,211,212,311,312,411,412,413,421 IF
S1〜S92 処理ステップ
Claims (22)
- 少なくとも1のルータとホストを有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、
特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、
ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信し、
ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定することを特徴とするパケットフィルタ設定方法。 - 少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、
認証手段には、設定変更を許可するホストを予め登録しておき、
ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与し、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、パケットフィルタ条件の設定要求を認証する手段に転送し、
認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知し、
ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定することを特徴とするパケットフィルタ設定方法。 - 少なくとも1のルータとホストを有するIPネットワークにおけるパケットフィルタ設定システムであって、
特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義しておき、
ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信する機能部を有し、
ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3に記載のパケットフィルタ設定システムであって、
ルータは、前記機能部に加えて、フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3または4に記載のパケットフィルタ設定システムであって、
ホストは、前記機能部に加えて、設定要求パケットを周期的に送信する機能部を有し、
ルータは、前記機能部に加えて、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3または4に記載のパケットフィルタ設定システムであって、
IPネットワークにおいて、特定のIPマルチキャストアドレスを、パケットフィルタの確認パケット用アドレスとして定義しておき、
ルータは、予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部を有し、
ホストは、宛先IPアドレスが確認パケット用アドレスのパケットを受信したら、設定要求パケットを送信する機能部を有し、
また、ルータは、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とするパケットフィルタ設定システム。 - 少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するパケットフィルタ設定システムであって、
認証手段には、設定変更を許可するホストを予め登録しておき、
ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与して送信する機能部を有し、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部を有し、
前記認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知する機能部を有し、
ルータは、さらに、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項7に記載のパケットフィルタ設定システムであって、
認証手段は、前記機能部に加えて、各ホストに対して変更を許可するパケットフィルタ条件を記憶する機能部を有し、
前記認証手段には、予め、各ホストに対して変更を許可するパケットフィルタ条件を登録しておき、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有し、
認証手段は、設定要求パケットを送信したホストが、正当なホストであり、かつ、パケットフィルタ条件が、各ホストに対して変更を許可するパケットフィルタ条件に該当することを確認した場合、設定許可をルータに通知する機能部を有し、
ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項8に記載のパケットフィルタ設定システムであって、
認証手段は、各ホストに対して変更を許可するパケットフィルタ条件を記憶する代わりに、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部を有し、
認証手段は、設定要求が、各ホストに対して変更を許可しないパケットフィルタ条件に合致しない場合に、設定許可をルータに通知する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項8に記載のパケットフィルタ設定システムであって、
認証手段は、各ホストの変更を許可するパケットフィルタ条件を記憶する機能部と、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部の両方を有することを特徴とするパケットフィルタ設定システム。 - 請求項7〜10のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータは、認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成されており、
動作識別子は、追加と削除との2種類定義しておき、
ホストは、パケットフィルタ条件を追加する場合に、動作識別子が追加で、追加条件を記述した設定要求を送信する、あるいは、パケットフィルタ条件を削除する場合に、動作識別子が削除で、削除条件を記述した設定要求を送信する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は追加/削除識別子と転送/遮断識別子とから構成されており、
ホストは、遮断条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを送信する、
あるいは、転送条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを送信する、
あるいは、遮断条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを送信する、
あるいは、転送条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを送信する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は、遮断条件追加,転送条件追加,遮断条件削除,転送条件削除の4種類を定義しておき、
ホストは、遮断条件を追加する場合に、動作識別子が遮断条件追加で、追加する遮断条件を記載した条件設定パケットを送信する、
あるいは、転送条件を追加する場合に、動作識別子が転送条件追加で、追加する転送条件を記載した条件設定パケットを送信する、
あるいは、遮断条件を削除する場合に、動作識別子が遮断条件削除で、削除する遮断条件を記載した条件設定パケットを送信する、
あるいは、転送条件を削除する場合に、動作識別子が転送条件削除で、削除する転送条件を記載した条件設定パケットを送信する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータの出力インタフェースのパケットフィルタ条件の初期状態は、当該ルータ発パケットを除き全遮断としておき、
ルータは、転送条件のみを追加および削除する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースのパケットフィルタ条件の初期状態を、全て転送としておき、
ルータは、遮断条件のみを追加および削除する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜16のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースは、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、少なくとも1のホストが要求するパケットフィルタ条件が転送である場合に、ルータは、当該送信元アドレスのパケットを転送設定する機能部を有するものであることを特徴とするパケットフィルタ設定システム。 - 請求項3〜16のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースにおいて、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、全てのホストが要求するパケットフィルタ条件が、遮断である場合に限り、ルータは、当該送信元アドレスのパケットを遮断設定する機能部を有するものであることを特徴とするパケットフィルタ設定システム。 - 請求項17に記載のパケットフィルタ設定システムであって、
ルータは、遮断を要求する設定要求を受信した場合に、全ノードマルチキャストアドレスに対して、当該遮断条件を記述した遮断確認パケットを送信する機能部を有し、
遮断確認パケットを受信したホストは、転送を希望する場合は、当該条件に対して転送設定要求を送信する機能部を有し、
ルータは、さらに、転送設定要求を受信した場合は、転送条件のまま変更せず、あるいは、予め定めた時間内に転送設定要求を受信しない場合には、遮断設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜19のいずれか1項に記載のパケットフィルタ設定システムであって、
パケットフィルタ設定を行ったルータは、1以上のインタフェースにおいて、ある送信元アドレスに対し、フィルタ条件が送信元アドレス限定で、かつ転送であれば、当該送信元アドレスへの選択ルートであるインタフェースから、当該転送条件を記述した設定要求パケットを送信する機能部を有し、
当該転送条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該条件を設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜20のいずれか1項に記載のパケットフィルタ設定システムであって、
パケットフィルタ設定を行ったルータは、ある送信元アドレスに対し、どのインタフェースにも転送設定がなければ、当該送信元アドレスへの選択ルートであるインタフェースから、当該送信元アドレスに対する遮断条件を記述した設定要求パケットを送信する機能部を有し、
当該遮断条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該遮断条件を設定する機能部を有することを特徴とするパケットフィルタ設定システム。 - 請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムを実現するためのルータまたはホストの機能部の機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004172993A JP4302004B2 (ja) | 2004-06-10 | 2004-06-10 | パケットフィルタ設定方法およびパケットフィルタ設定システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004172993A JP4302004B2 (ja) | 2004-06-10 | 2004-06-10 | パケットフィルタ設定方法およびパケットフィルタ設定システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005354410A true JP2005354410A (ja) | 2005-12-22 |
| JP4302004B2 JP4302004B2 (ja) | 2009-07-22 |
Family
ID=35588482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004172993A Expired - Fee Related JP4302004B2 (ja) | 2004-06-10 | 2004-06-10 | パケットフィルタ設定方法およびパケットフィルタ設定システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4302004B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010081311A (ja) * | 2008-09-26 | 2010-04-08 | Nec Corp | ネットワーク、中継ノード、制御パラメータ設定方法、およびプログラム |
| JP2012120154A (ja) * | 2010-12-03 | 2012-06-21 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークノード制御方法 |
| US8270017B2 (en) | 2007-12-20 | 2012-09-18 | Canon Kabushiki Kaisha | Network card device for determining permissibility for processing data from a data source and method of controlling the same |
| US8412867B2 (en) | 2007-06-08 | 2013-04-02 | Nec Corporation | Semiconductor integrated circuit and filter and informational delivery method using same |
| KR101296376B1 (ko) * | 2012-03-02 | 2013-08-14 | 건국대학교 산학협력단 | IPv6 네트워크에서 호스트 장치 차단 방법, 그리고 이를 구현한 네트워크 관리장치 |
| US8531963B2 (en) | 2007-06-08 | 2013-09-10 | Nec Corporation | Semiconductor integrated circuit and filter control method |
| JP2015027098A (ja) * | 2010-12-03 | 2015-02-05 | 日本電信電話株式会社 | ネットワークノード制御方法 |
-
2004
- 2004-06-10 JP JP2004172993A patent/JP4302004B2/ja not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8412867B2 (en) | 2007-06-08 | 2013-04-02 | Nec Corporation | Semiconductor integrated circuit and filter and informational delivery method using same |
| US8531963B2 (en) | 2007-06-08 | 2013-09-10 | Nec Corporation | Semiconductor integrated circuit and filter control method |
| US8270017B2 (en) | 2007-12-20 | 2012-09-18 | Canon Kabushiki Kaisha | Network card device for determining permissibility for processing data from a data source and method of controlling the same |
| JP2010081311A (ja) * | 2008-09-26 | 2010-04-08 | Nec Corp | ネットワーク、中継ノード、制御パラメータ設定方法、およびプログラム |
| JP2012120154A (ja) * | 2010-12-03 | 2012-06-21 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークノード制御方法 |
| JP2015027098A (ja) * | 2010-12-03 | 2015-02-05 | 日本電信電話株式会社 | ネットワークノード制御方法 |
| KR101296376B1 (ko) * | 2012-03-02 | 2013-08-14 | 건국대학교 산학협력단 | IPv6 네트워크에서 호스트 장치 차단 방법, 그리고 이를 구현한 네트워크 관리장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4302004B2 (ja) | 2009-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7814311B2 (en) | Role aware network security enforcement | |
| JP4327575B2 (ja) | 動的ファイアウォールシステム | |
| US7376134B2 (en) | Privileged network routing | |
| EP1480405B1 (en) | System and implementation method of controlled multicast | |
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| US7886335B1 (en) | Reconciliation of multiple sets of network access control policies | |
| US7856016B2 (en) | Access control method, access control system, and packet communication apparatus | |
| US6345299B2 (en) | Distributed security system for a communication network | |
| KR101143050B1 (ko) | 네트워크로의 액세스 관리 | |
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| WO2008080314A1 (fr) | Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| JP2003198637A (ja) | パケット検証方法 | |
| US8954601B1 (en) | Authentication and encryption of routing protocol traffic | |
| JP4302004B2 (ja) | パケットフィルタ設定方法およびパケットフィルタ設定システム | |
| CN104426864B (zh) | 跨域远程命令的实现方法及系统 | |
| EP1244265A2 (en) | Integrated policy implementation service for communication network | |
| WO2009135427A1 (zh) | 一种分布式网络设备安全集中防护的装置与方法 | |
| US10469498B2 (en) | Communication system, control instruction apparatus, communication control method and program | |
| KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
| JP3549861B2 (ja) | 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム | |
| Cisco | General Commands | |
| Cisco | SNMP Support for VPNs | |
| Cisco | Configuring Network Security | |
| CN117501671A (zh) | 使用路由来源授权(ROA)进行边界网关协议(BGP)FlowSpec发起授权 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060714 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090213 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090407 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090421 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090421 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120501 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130501 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140501 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |