JP2006054770A - ファイアウォール装置 - Google Patents
ファイアウォール装置 Download PDFInfo
- Publication number
- JP2006054770A JP2006054770A JP2004236302A JP2004236302A JP2006054770A JP 2006054770 A JP2006054770 A JP 2006054770A JP 2004236302 A JP2004236302 A JP 2004236302A JP 2004236302 A JP2004236302 A JP 2004236302A JP 2006054770 A JP2006054770 A JP 2006054770A
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- packet
- network
- received
- firewalls
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 低コストで通信の負荷分散が可能なファイアウォール装置を実現する。
【解決手段】 通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置において、第1及び第2のネットワークに相互に接続される第1のファイアウォールと、第1及び第3のネットワークに相互に接続される第2のファイアウォールとを備え、第1若しくは第2のファイアウォールが、第2若しくは第3のネットワークからパケットを受信した場合は第1のネットワークを介して予め設定されているルーティング設定に基づき第2若しくは第1のファイアウォールに転送し、第2若しくは第1のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づき第2若しくは第3のネットワークに転送する。
【選択図】 図1
【解決手段】 通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置において、第1及び第2のネットワークに相互に接続される第1のファイアウォールと、第1及び第3のネットワークに相互に接続される第2のファイアウォールとを備え、第1若しくは第2のファイアウォールが、第2若しくは第3のネットワークからパケットを受信した場合は第1のネットワークを介して予め設定されているルーティング設定に基づき第2若しくは第1のファイアウォールに転送し、第2若しくは第1のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づき第2若しくは第3のネットワークに転送する。
【選択図】 図1
Description
本発明は、組織内部のネットワークとインターネット等の外部のネットワークとの間に設置され通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置に関し、特に低コストで通信の負荷分散が可能なファイアウォール装置に関する。
従来の組織内部のネットワークとインターネット等の外部のネットワークとの間に設置され通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置に関連する先行技術文献としては次のようなものがある。
図12はこのような従来の通信の負荷分散を行わないファイアウォールを用いたネットワークシステムの一例を示す構成ブロック図である。図12において1は通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール、2はサーバ、3及び4はコンピュータ、100はインターネット等の外部のネットワーク、101及び102はイントラネット等の組織内部のネットワークである。
ファイアウォール1は外部のネットワーク100に相互に接続されると共に内部のネットワーク101及び102とも相互に接続される。サーバ2はネットワーク101に相互に接続され、コンピュータ3及び4はネットワーク102に相互に接続される。
ここで、図12に示すネットワークシステムにおけるファイアウォール1の動作を図13を用いて説明する。図13は通信パケットの流れを説明する説明図である。
図13中”TD01”及び”TD02”に示すように、外部のネットワーク100から伝播してくる通信パケットは必ずファイアウォールを介して内部のネットワーク101及び102に転送される。
この時、ファイアウォール1は通過する通信パケットの内容を検査して、通過を許可されていない通信パケットの通過を図13中”DD01”に示すように遮断して不正なアクセスの防止等を行う。
図12に示すような従来のネットワークシステムでは、ファイアウォール1を伝播する通信パケットの数が多い場合には、ファイアウォール1が過負荷になって処理能力の低下が生じる恐れがある。
このため、従来では複数のファイアウォールを用いて通信の負荷分散を行っている。図14はこのような従来の通信の負荷分散を行なうファイアウォール装置の一例を示す構成ブロック図である。
図14において5,9,10及び11はネットワークからの通信パケットを管理し複数のファイアウォールに負荷分散させて通信パケットを転送するロードバランサ等の負荷分散手段、6,7及び8は通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール、103はインターネット等の外部のネットワークである。また、5,6,7,8,9,10及び11はファイアウォール装置(図示せず。)を構成している。
負荷分散手段5は外部のネットワーク103に相互に接続されると共にファイアウォール6,7及び8に相互に接続される。負荷分散手段9は図14中”NT11”に示す内部のネットワークに相互に接続されると共にファイアウォール6,7及び8に相互に接続される。
また、負荷分散手段10は図14中”NT12”に示す内部のネットワークに相互に接続されると共にファイアウォール6,7及び8に相互に接続される。負荷分散手段11は図14中”NT13”に示す内部のネットワークに相互に接続されると共にファイアウォール6,7及び8に相互に接続される。
ここで、図14に示す従来例の動作を図15、図16、図17、図18及び図19を用いて説明する。図15及び図19は負荷分散手段5,9,10及び11の動作を説明するフロー図、図17はファイアウォール6,7及び8の動作を説明するフロー図、図16及び図18は通信パケットの流れ等を説明する説明図である。
図15中”S001”において負荷分散手段5は、ネットワーク103からパケットを受信したか否かを判断し、もし、ネットワーク103からパケットを受信したと判断した場合には、図15中”S002”において負荷分散手段5は、負荷を考慮してファイアウォール6〜8の中で最適なファイアウォールを選択し、図15中”S003”において負荷分散手段5は、選択されたファイアウォールに受信したパケットを転送する。
例えば、図16中”TS21”に示すようにネットワーク103から”TCP SYNパケット(以下、単にパケットと呼ぶ。)”を受信した場合には、負荷分散手段5は、負荷を考慮してファイアウォール6〜8の中で最適なファイアウォール6選択し、図16中”TP21”に示すように負荷分散手段5は、選択されたファイアウォール6に受信したパケットを転送する。
一方、図17中”S101”においてファイアウォール6は、負荷分散手段5からパケットを受信したか否かを判断し、もし、負荷分散手段5からパケットを受信したと判断した場合には、図17中”S102”においてファイアウォール6は、受信したパケットを検査して通過を許可するか否かを判断する。
もし、図17中”S102”において受信したパケットを検査した結果、当該パケットの通過を拒否すると判断した場合には、図17中”S103”においてファイアウォール6は、パケットの通過を拒否する。
一方、もし、図17中”S102”において受信したパケットを検査した結果、当該パケットの通過を許可すると判断した場合には、図17中”S104”においてファイアウォール6は、セッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
例えば、図16中”RT21”に示すようにファイアウォール6は、自らのセッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
また、図17中”S105”においてファイアウォール6は、受信したパケットを通過させ送信先のネットワークに接続された負荷分散手段に転送する。
例えば、図18中”TP31”に示すようにファイアウォール6は、受信したパケットを通過させ図18中”NT13”に示す送信先のネットワークに接続された負荷分散手段11に転送する。
さらに、図17中”S106”においてファイアウォール6は、並列の配置されたファイアウォール7及び8間でセッションテーブルの同期を行い、図17中”S104”のステップでファイアウォール6のセッションテーブルに記録されたセッション情報を共有する。これは、当該パケットに対する応答パケットが負荷分散手段によって必ずファイアウォール6に転送されるかわからないためである。
例えば、図18中”SY31”及び”SY32”に示すようにファイアウォール6は、並列に設置されたファイアウォール7及び8間でセッションテーブルの同期を行い、ファイアウォール6のセッションテーブルに記録されたセッション情報を共有する。
最後に、図19中”S201”において負荷分散手段11は、ファイアウォールからパケットを受信したか否かを判断し、もし、ファイアウォールからパケットを受信したと判断した場合には、図19中”S202”において負荷分散手段11は、受信したパケットを接続されているネットワークに転送する。
例えば、図18中”TP32”に示すように負荷分散手段11は、受信したパケットを図18中”NT13”に示す接続されているネットワークに転送する。
また、当該パケット(TCP SYNパケット)に対する”TCP SYN/ACKパケット(以下、単に応答パケットと呼ぶ。)”が図18中”NT13”に示すネットワークから負荷分散手段11に送信されてきた場合には、負荷分散手段11は図15に示すフロー図に従って動作してファイアウォール6〜8から負荷を考慮して最適なファイアウォールを選択して応答パケットを選択したファイアウォールに転送させる。
そして、このような応答パケットを受信したファイアウォールは図17に示すフロー図に従って動作して応答パケットを負荷分散手段5に転送させ、応答パケットを受信した負荷分散手段5は図19に示すフロー図に従って動作してネットワーク103に応答パケットを転送する。
この時、各ファイアウォール6〜8は、それぞれセッションテーブルを同期しているので、各々のセッションテーブルには当該応答パケットに対応する先のパケットのセッション情報が記録されているので何の問題もなく受信した応答パケットをネットワーク103に接続された負荷分散手段5に転送することができる。
この結果、複数台のファイアウォールを並列に設置して接続された各ネットワークに接続された負荷分散手段が当該ネットワークからパケットを受信した場合には、負荷を考慮して最適なファイアウォールを選択してネットワークから受信したパケットを選択したファイアウォールに転送し、ファイアウォールからパケットを受信した場合には、負荷分散手段が受信したパケットを接続されているネットワークに転送することにより、通信パケットの負荷分散を行うことが可能なファイアウォール装置を実現することができる。
しかし、図14に示す従来例では、複数台のファイアウォールとは別個に接続されるネットワーク数と同数の負荷分散手段を設ける必要性があり、コスト高になってしまうといった問題点があった。
また、複数台のファイアウォールを物理的に並列に接続する必要性があり、ケーブル接続が非常に複雑になってしまうといった問題点があった。
また、実際にパケットが流れるまでパケットがどのファイアウォールを通過するかが予測困難であるため不具合発生時の原因箇所の調査が難しくなるといった問題点があった。
また、各ファイアウォール間でセッションテーブルの同期を行う必要性があるので、各ファイアウォール間の同期処理が複雑になり、ファイアウォールの処理能力低下の要因となってしまうといった問題点があった。
さらに、あるファイアウォールに新たなインターフェースを増設する場合には、並列接続されている全てのファイアウォールに同じインターフェースを増設する必要性が生じてしまい煩雑であり、インターフェースの増設に伴い通信負荷が増加してファイアウォールの処理能力低下の要因となってしまうといった問題点があった。
従って本発明が解決しようとする課題は、低コストで通信の負荷分散が可能なファイアウォール装置を実現することにある。
従って本発明が解決しようとする課題は、低コストで通信の負荷分散が可能なファイアウォール装置を実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置において、
第1及び第2のネットワークに相互に接続される第1のファイアウォールと、前記第1及び第3のネットワークに相互に接続される第2のファイアウォールとを備え、前記第1若しくは前記第2のファイアウォールが、前記第2若しくは前記第3のネットワークからパケットを受信した場合は前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、前記第2若しくは前記第1のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置において、
第1及び第2のネットワークに相互に接続される第1のファイアウォールと、前記第1及び第3のネットワークに相互に接続される第2のファイアウォールとを備え、前記第1若しくは前記第2のファイアウォールが、前記第2若しくは前記第3のネットワークからパケットを受信した場合は前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、前記第2若しくは前記第1のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項2記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールの設定情報を集中管理して必要に応じて前記第1及び前記第2のファイアウォールに配信する管理サーバを備えたことにより、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。
請求項1記載の発明であるファイアウォール装置において、
前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールの設定情報を集中管理して必要に応じて前記第1及び前記第2のファイアウォールに配信する管理サーバを備えたことにより、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。
請求項3記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールにおける各種ログを収集して蓄積する管理サーバを備えたことにより、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。
請求項1記載の発明であるファイアウォール装置において、
前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールにおける各種ログを収集して蓄積する管理サーバを備えたことにより、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。
請求項4記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1のファイアウォールと前記第2のネットワークとの間、前記第2のファイアウォールと前記第3のネットワークとの間にそれぞれ設けられる第1及び第2のスイッチと、前記第1のネットワークに相互に接続されると共に前記第1若しくは前記第2のファイアウォールの不具合を検出した場合には、不具合が発生したファイアウォールを切断し前記第2若しくは前記第3のネットワークに接続して処理を代行するバックアップ用のファイアウォールとを備えことにより、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
請求項1記載の発明であるファイアウォール装置において、
前記第1のファイアウォールと前記第2のネットワークとの間、前記第2のファイアウォールと前記第3のネットワークとの間にそれぞれ設けられる第1及び第2のスイッチと、前記第1のネットワークに相互に接続されると共に前記第1若しくは前記第2のファイアウォールの不具合を検出した場合には、不具合が発生したファイアウォールを切断し前記第2若しくは前記第3のネットワークに接続して処理を代行するバックアップ用のファイアウォールとを備えことにより、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
請求項5記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、前記パケットの通過を許可すると判断した場合にはセッションテーブルにセッション情報を記録して内容を更新し、前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、前記パケットの通過を許可すると判断した場合にはセッションテーブルにセッション情報を記録して内容を更新し、前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項6記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、前記パケットの通過を許可すると判断した場合には前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、セッションテーブルにセッション情報を記録して内容を更新することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、前記パケットの通過を許可すると判断した場合には前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、セッションテーブルにセッション情報を記録して内容を更新することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項7記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、セッションテーブルにセッション情報を記録して内容を更新し、前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、セッションテーブルにセッション情報を記録して内容を更新し、前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項8記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送し、セッションテーブルにセッション情報を記録して内容を更新することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送し、セッションテーブルにセッション情報を記録して内容を更新することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項9記載の発明は、
請求項1乃至請求項8のいずれかに記載の発明であるファイアウォール装置において、
前記バックアップ用のファイアウォール並びに前記第1及び前記第2のファイアウォールが、
CPUボードに通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール機能を搭載したものであることにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。また、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。また、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。さらに、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
請求項1乃至請求項8のいずれかに記載の発明であるファイアウォール装置において、
前記バックアップ用のファイアウォール並びに前記第1及び前記第2のファイアウォールが、
CPUボードに通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール機能を搭載したものであることにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。また、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。また、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。さらに、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
請求項10記載の発明は、
請求項2若しくは請求項3記載の発明であるファイアウォール装置において、
前記管理サーバが、
記憶手段を備えたCPUボードで構成されることにより、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。また、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。
請求項2若しくは請求項3記載の発明であるファイアウォール装置において、
前記管理サーバが、
記憶手段を備えたCPUボードで構成されることにより、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。また、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。
本発明によれば次のような効果がある。
請求項1,5,6,7,8及び請求項9の発明によれば、
複数台のファイアウォールのそれぞれの背面側のネットワーク端子を1つのネットワークに相互に接続されると共に複数台のファイアウォールの正面側のネットワーク端子を複数のネットワークに接続させ、ネットワーク側からパケットを受信した場合はネットワークを介して予め設定されているルーティング設定に基づき他のファイアウォールに転送し、他のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づきネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
請求項1,5,6,7,8及び請求項9の発明によれば、
複数台のファイアウォールのそれぞれの背面側のネットワーク端子を1つのネットワークに相互に接続されると共に複数台のファイアウォールの正面側のネットワーク端子を複数のネットワークに接続させ、ネットワーク側からパケットを受信した場合はネットワークを介して予め設定されているルーティング設定に基づき他のファイアウォールに転送し、他のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づきネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
また、請求項2,9及び請求項10の発明によれば、管理サーバが各ファイアウォールのルーティングの設定変更等の設定情報を集中管理して必要に応じて各ファイアウォールに配信することにより、ファイアウォールの台数が多くなっても管理サーバに必要とする設定情報を記憶させておけば良いので保守性が向上することになる。
また、請求項3,9及び請求項10の発明によれば、ネットワークで接続される各ファイアウォールにおけるシステム上のログやセキュリティ上のログ等の各種ログを収集して記憶手段に適宜蓄積することにより、各ファイアウォールにおいて不具合が発生した場合に原因の解析を容易にすることができる。
また、請求項4及び請求項9の発明によれば、バックアップ用のファイアウォールを備え、正常動作時にはネットワークを介して各ファイアウォールの動作を監視して、各ファイアウォールの不具合を検出した場合には、不具合が発生したファイアウォールを切断してバックアップ用のファイアウォールが処理を代行することにより、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係る通信の負荷分散を行なうファイアウォール装置の一実施例を示す構成ブロック図である。
図1において12は通信経路が記述されたルーティングテーブルに従ってパケットを送信先のネットワークまで中継するルータ、13は各ファイアウォールの設定情報の保管管理やログの記録を行うハードディスク等の記憶手段を備えたCPU(Central Processing Unit)ボードで構成される管理サーバ、14,15,16及び17はCPUボードに通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール機能を搭載したファイアウォール、18はCPUボードに通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール機能を搭載したバックアップ用のファイアウォール、19,20,21及び22は2つの分岐入出力端子を有し複数のケーブルを束ねるスイッチ、104はインターネット等の外部のネットワーク、105はファイアウォール及び管理サーバが接続されるネットワークである。
また、13,14,15,16,17,18,19,20,21及び22はファイアウォール装置(図示せず。)を構成している。
ルータ12は外部のネットワーク104に相互に接続されると共にスイッチ19の入出力端子に相互に接続される。同様に、図1中”NT41”に示す内部のネットワークはスイッチ20の入出力端子に、図1中”NT42”に示す内部のネットワークはスイッチ21の入出力端子に、図1中”NT43”に示す内部のネットワークはスイッチ22の入出力端子にそれぞれ相互に接続される。
スイッチ19の一方の分岐入出力端子はファイアウォール14の正面側のネットワーク端子に相互に接続される。同様に、スイッチ20の一方の分岐入出力端子はファイアウォール15の正面側のネットワーク端子に、スイッチ21の一方の分岐入出力端子はファイアウォール16の正面側のネットワーク端子に、スイッチ22の一方の分岐入出力端子はファイアウォール17の正面側のネットワーク端子にそれぞれ相互に接続される。
また、スイッチ19,20,21及び22の他方の分岐入出力端子はファイアウォール18の4つのネットワーク端子にそれぞれ相互に接続される。さらに、管理サーバ13、ファイアウォール14,15,16,17及びバックアップ用のファイアウォール18の背面側のネットワーク端子はそれぞれネットワーク105に相互に接続される。
ここで、図1に示す実施例の動作を図2、図3、図4、図5、図6、図7、図8及び図9を用いて説明する。図2及び図5はファイアウォールの動作を説明するフロー図、図3、図4、図6、図7、図8及び図9は通信パケットの流れ等を説明する説明図である。
図2中”S301”においてファイアウォールは、スイッチ(或いは、ルータ及びスイッチ)を介してネットワークから”TCP SYNパケット(以下、単にパケットと呼ぶ。)”を受信したか否かを判断し、もし、ネットワークからパケットを受信したと判断した場合には、図2中”S302”においてファイアウォールは、受信したパケットを検査して通過を許可するか否かを判断する。
もし、図2中”S302”において受信したパケットを検査した結果、当該パケットの通過を拒否すると判断した場合には、図3中”S303”においてファイアウォールは、パケットの通過を拒否する。
一方、もし、図2中”S302”において受信したパケットを検査した結果、当該パケットの通過を許可すると判断した場合には、図2中”S304”においてファイアウォールは、セッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
例えば、図3中”TS51”に示すようにネットワーク104からルータ12及びスイッチ19を介してパケットを受信し、受信したパケットを検査した結果、当該パケットの通過を許可すると判断した場合には、ファイアウォール14は、図4中”RT61”に示すように自らのセッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
また、図2中”S305”においてファイアウォールは、受信したパケットを通過させると共にネットワーク105を介して予め設定されているルーティング設定に基づき他のファイアウォールに転送する。
例えば、図4中”TP61”に示すようにファイアウォール14は、受信したパケットを通過させると共にネットワーク105を介して予め設定されているルーティング設定に基づきファイアウォール15に転送する。
一方、図5中”401”においてファイアウォールは他のファイアウォールからネットワーク105を介してパケットを受信したか否かを判断し、もし、ネットワーク105を介して他のファイアウォールからパケットを受信したと判断した場合には、図5中”S402”においてファイアウォールは、セッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
例えば、図4中”TP61”に示すようにパケットを受信した場合には、ファイアウォール15は、図6中”RT71”に示すように自らのセッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
また、図5中”S403”においてファイアウォールは、受信したパケットを通過させると共にスイッチ(或いは、ルータ及びスイッチ)を介して予め設定されているルーティング設定に基づき接続されているネットワークに転送する。
例えば、図6中”TP71”に示すようにファイアウォール15は、受信したパケットを通過させると共にスイッチ20を介して予め設定されているルーティング設定に基づき図6中”NT41”に示すネットワークに転送する。
このように、パケットの転送に際しては、予め設定されているルーティング設定に基づき必要なファイアウォール、上述の説明ではファイアウォール14及び15が動作するもののファイアウォール装置を構成する他のファイアウォール16及び17は動作せずリソースが全く消費されないことがわかる。
言い換えれば、各ファイアウォールは自らが担当(接続されている)するネットワークを通過するパケットのみの転送にかかわるだけで、他のネットワークを通過するパケットに関しては何ら処理を行うことがないので、従来例のように負荷分散手段を用いることなく通信の負荷分散を行うことが可能になる。
一方、当該パケット(TCP SYNパケット)に対する”TCP SYN/ACKパケット(以下、単に応答パケットと呼ぶ。)が、図6中”NT41”に示すネットワークから送信されてきた場合を説明する。
例えば、図7中”TS81”に示すように図7中”NT41”に示すようなネットワークからスイッチ20を介してパケットを受信し、受信したパケットを検査した結果、当該パケットの通過を許可すると判断した場合には、ファイアウォール15は、図7中”RT81”に示すように自らのセッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
そして、例えば、図8中”TP91”に示すようにファイアウォール15は、受信したパケットを通過させると共にネットワーク105を介して予め設定されているルーティング設定に基づきファイアウォール14に転送する。
例えば、図8中”TP91”に示すようにパケットを受信した場合には、ファイアウォール14は、図8中”RT91”に示すように自らのセッションテーブルにセッション情報(IPアドレス、TCPヘッダのフラグ、シーケンス番号、ポート番号等)を記録して内容を更新する。
そして、例えば、図9中”TP101”に示すようにファイアウォール14は、受信したパケットを通過させると共にスイッチ19及びルータ12を介して予め設定されているルーティング設定に基づきネットワーク104に転送する。
この結果、複数台のファイアウォールのそれぞれの背面側のネットワーク端子を1つのネットワーク105に相互に接続されると共に複数台のファイアウォールの正面側のネットワーク端子をスイッチ等を介して複数のネットワークに接続させ、ネットワーク側からパケットを受信した場合はネットワーク105を介して予め設定されているルーティング設定に基づき他のファイアウォールに転送し、他のファイアウォールからパケットを受信した場合はスイッチ等を介して予め設定されているルーティング設定に基づきネットワークに転送することにより、負荷分散手段を用いることなく低コストで通信の負荷分散が可能になる。
また、複数台のファイアウォールを物理的に並列に接続する必要性がないので、ケーブル接続が単純になり、パケットがどのファイアウォールを通過するかが明確であるため不具合発生時の原因箇所の調査が容易になる。
また、各ファイアウォールは予め設定されているルーティング設定に基づき個々に独立して動作するので、各ファイアウォール間でのセッションテーブルの同期処理が不要になり、ファイアウォールの処理能力低下を抑制することが可能になる。
さらに、各ファイアウォールは個々に独立しているので、ファイアウォール装置に新たなインターフェースを増設する場合であっても個々のファイアウォールに同じインターフェースを増設する必要はなくなる。
また、バックアップ用のファイアウォール18の動作を図10を用いて説明する。図10は障害発生時の通信パケットの流れ等を説明する説明図である。
例えば、図1〜図9の説明のようにファイアウォール14がネットワーク105を介してファイアウォール15にパケットを転送する場合において、図10中”FA111”に示すようにファイアウォール15に不具合が生じた場合を想定する。
バックアップ用のファイアウォール18は、正常動作時にはネットワーク105を介して各ファイアウォール14〜17の動作を監視して、各ファイアウォール14〜17の不具合を検出した場合には、不具合が発生したファイアウォールを切断してファイアウォール18が処理を代行する。
例えば、図10中”FA111”に示すようなファイアウォール15の不具合を検出した場合、バックアップ用のファイアウォール18は、不具合が発生したファイアウォール15を切断して処理を代行する。
すなわち、図10中”PH111”に示すようにネットワーク104から送信されてきたパケットは、ルータ12及びスイッチ19を介してファイアウォール14で受信され、ファイアウォール14からネットワーク105を介してバックアップ用のファイアウォール18に転送される。
そして、図10中”PH111”に示すようにネットワーク103から送信されてきたパケットは、バックアップ用のファイアウォール18からスイッチ20を介して図10中”NT41”に示すネットワークに転送される。
この結果、バックアップ用のファイアウォール18を備え、正常動作時にはネットワーク105を介して各ファイアウォール14〜17の動作を監視して、各ファイアウォール14〜17の不具合を検出した場合には、不具合が発生したファイアウォールを切断してファイアウォール18が処理を代行することにより、各ファイアウォールに不具合が生じた場合であっても処理停止することなく継続動作が可能となる。
また、管理サーバ13の動作を図11を用いて説明する。図11は情報設定時の情報の流れ等を説明する説明図である。
各ファイアウォール14〜17の動作に必要なルーティング設定等の設定情報は管理サーバ13の記憶手段に保管管理され、ルーティングの設定変更等の必要に応じて管理サーバ13から上述の設定情報がネットワーク105を介して各ファイアウォール14〜17に配信されて設定される。
例えば、ルーティングの設定変更等が必要となった場合、図11中”SI121”に示すように管理サーバ13は新しい設定情報をネットワーク105を介して各ファイアウォール14〜17に配信する。一方、各ファイアウォール14〜17では配信された新しい設定情報を設定して動作を開始する。
この結果、管理サーバ13が各ファイアウォール14〜17のルーティングの設定変更等の設定情報を集中管理して必要に応じて各ファイアウォール14〜17に配信することにより、ファイアウォールの台数が多くなっても管理サーバ13に必要とする設定情報を記憶させておけば良いので保守性が向上することになる。
また、管理サーバ13は、必要に応じてネットワーク105で接続される各ファイアウォール14〜17におけるシステム上のログやセキュリティ上のログ等の各種ログを収集して記憶手段に適宜蓄積しておいても構わない。
この場合には、蓄積された各種ログの内容を解析することにより、各ファイアウォール14〜17において不具合が発生した場合に原因の解析を容易にすることができる。
なお、図1に示す実施例においては説明の簡単のために、ルータ12、管理サーバ13及びバックアップ用のファイアウォール18を例示しているが、勿論、これらは必須の構成要素ではなく省略しても構わない。
また、バックアップ用のファイアウォール18を用いない場合にはスイッチ19,20,21及び22もまた不要である。
また、図1に示す実施例では4つのファイアウォール14,15,16及び17を例示して説明しているが、勿論、ファイアウォールの数は2台以上であれば何ら限定されるものではなく、接続されるネットワークの数に応じて使用するファイアウォールの台数を適宜増減させても構わない。
また、各ファイアウォール14〜17は前述の説明ように独立して動作しているが、各ファイアウォール14〜17で構成されるファイアウォール装置(或いは、各ファイアウォール14〜17に管理サーバ13及びバックアップ用のファイアウォール18を加えたファイアウォール装置)は、1台のファイアウォールと等価に取り扱うことが可能になる。
また、図2或いは図5に示すフロー図においては”セッションテーブルの更新”の後に”パケットの転送”を行うステップになっているが、勿論、”パケットの転送”の後に”セッションテーブルの更新”を行うステップであっても構わない。
また、図1に示す実施例では説明の簡単のために、背面側のネットワーク端子や正面側のネットワーク端子といった表現をしているが、特にこの形態に限定されるものではなく、1つのファイアウォールに2系統のネットワーク(各ファイアウォールが共通に接続されるネットワーク105及び転送先のネットワーク)が接続される構成であればどのような形態であっても構わない。
また、スイッチ19,20,21及び22は複数のケーブルを束ねる目的で使用されており、スイッチの代わりにリピータハブ等を用いて複数のケーブルを接続しても構わない。
1,6,7,8,14,15,16,17,18 ファイアウォール
2 サーバ
3,4 コンピュータ
5,9,10,11 負荷分散手段
12 ルータ
13 管理サーバ
19,20,21,22 スイッチ
100,101,102,103,104,105 ネットワーク
2 サーバ
3,4 コンピュータ
5,9,10,11 負荷分散手段
12 ルータ
13 管理サーバ
19,20,21,22 スイッチ
100,101,102,103,104,105 ネットワーク
Claims (10)
- 通信の負荷分散を行いながら外部からの不正なアクセスを防止するファイアウォール装置において、
第1及び第2のネットワークに相互に接続される第1のファイアウォールと、
前記第1及び第3のネットワークに相互に接続される第2のファイアウォールとを備え、
前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信した場合は前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、前記第2若しくは前記第1のファイアウォールからパケットを受信した場合は予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することを特徴とするファイアウォール装置。 - 前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールの設定情報を集中管理して必要に応じて前記第1及び前記第2のファイアウォールに配信する管理サーバ
を備えたことを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1のネットワークに相互に接続されると共に前記第1及び前記第2のファイアウォールにおける各種ログを収集して蓄積する管理サーバ
を備えたことを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1のファイアウォールと前記第2のネットワークとの間、前記第2のファイアウォールと前記第3のネットワークとの間にそれぞれ設けられる第1及び第2のスイッチと、
前記第1のネットワークに相互に接続されると共に前記第1若しくは前記第2のファイアウォールの不具合を検出した場合には、不具合が発生したファイアウォールを切断し前記第2若しくは前記第3のネットワークに接続して処理を代行するバックアップ用のファイアウォールと
を備えことを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、
前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、
前記パケットの通過を許可すると判断した場合にはセッションテーブルにセッション情報を記録して内容を更新し、
前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送することを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1若しくは前記第2のファイアウォールが、
前記第2若しくは前記第3のネットワークからパケットを受信したと判断した場合に、受信したパケットを検査して通過を許可するか否かを判断し、
前記パケットの通過を拒否すると判断した場合には前記パケットの通過を拒否し、
前記パケットの通過を許可すると判断した場合には前記パケットを通過させると共に前記第1のネットワークを介して予め設定されているルーティング設定に基づき前記第2若しくは前記第1のファイアウォールに転送し、
セッションテーブルにセッション情報を記録して内容を更新することを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、セッションテーブルにセッション情報を記録して内容を更新し、
前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送することを特徴とする
請求項1記載のファイアウォール装置。 - 前記第1若しくは前記第2のファイアウォールが、
前記第1のネットワークを介してパケットを受信したと判断した場合には、前記パケットを通過させると共に予め設定されているルーティング設定に基づき前記第2若しくは前記第3のネットワークに転送し、
セッションテーブルにセッション情報を記録して内容を更新することを特徴とする
請求項1記載のファイアウォール装置。 - 前記バックアップ用のファイアウォール並びに前記第1及び前記第2のファイアウォールが、
CPUボードに通過する通信パケットの内容を検査して通過の許可/拒否を判断するファイアウォール機能を搭載したものであることを特徴とする
請求項1乃至請求項8のいずれかに記載のファイアウォール装置。 - 前記管理サーバが、
記憶手段を備えたCPUボードで構成されることを特徴とする
請求項2若しくは請求項3記載のファイアウォール装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004236302A JP2006054770A (ja) | 2004-08-16 | 2004-08-16 | ファイアウォール装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004236302A JP2006054770A (ja) | 2004-08-16 | 2004-08-16 | ファイアウォール装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006054770A true JP2006054770A (ja) | 2006-02-23 |
Family
ID=36031934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004236302A Pending JP2006054770A (ja) | 2004-08-16 | 2004-08-16 | ファイアウォール装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006054770A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009523397A (ja) * | 2007-01-19 | 2009-06-18 | プランティー−ネット カンパニー,リミテッド | Isp網における有害情報接続遮断システム及び方法 |
JP2014526739A (ja) * | 2011-09-08 | 2014-10-06 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおける認証共有 |
JP2014529259A (ja) * | 2011-09-08 | 2014-10-30 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおけるアプリケーション状態共有 |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
-
2004
- 2004-08-16 JP JP2004236302A patent/JP2006054770A/ja active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009523397A (ja) * | 2007-01-19 | 2009-06-18 | プランティー−ネット カンパニー,リミテッド | Isp網における有害情報接続遮断システム及び方法 |
JP2014526739A (ja) * | 2011-09-08 | 2014-10-06 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおける認証共有 |
JP2014529259A (ja) * | 2011-09-08 | 2014-10-30 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおけるアプリケーション状態共有 |
JP2016028501A (ja) * | 2011-09-08 | 2016-02-25 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおけるアプリケーション状態共有 |
CN105407099A (zh) * | 2011-09-08 | 2016-03-16 | 迈可菲公司 | 防火墙群集中的验证共享 |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
JP2016521097A (ja) * | 2013-06-07 | 2016-07-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ネットワーク・コンピューティング環境においてファイアウォール・クラスタを管理するための方法、システム、およびコンピュータ・プログラム(ネットワーク・コンピューティング環境におけるリージョンのファイアウォール・クラスタリング) |
US9882875B2 (en) | 2013-06-07 | 2018-01-30 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
CN105493445B (zh) * | 2013-06-07 | 2019-03-19 | 国际商业机器公司 | 用于联网计算环境中的区域防火墙集群的方法和系统 |
US10237238B2 (en) | 2013-06-07 | 2019-03-19 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2523403B1 (en) | Network system and network redundancy method | |
EP3761592B1 (en) | System and method for virtual interfaces and advanced smart routing in a global virtual network | |
US9609549B2 (en) | Dynamic network load rebalancing | |
CN101442471B (zh) | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 | |
CN112153049B (zh) | 入侵检测方法、装置,电子设备和计算机可读介质 | |
CN102291455B (zh) | 分布式集群处理系统及其报文处理方法 | |
WO2011093228A1 (ja) | フロントエンドシステム、フロントエンド処理方法 | |
EP1411678A1 (en) | Method and system for content-oriented routing of packets in a storage-embedded network | |
US7801060B2 (en) | Network management apparatus and network system | |
WO2012165446A1 (ja) | 通信経路制御システム、及び通信経路制御方法 | |
JP5782925B2 (ja) | 情報処理装置、プログラム、および制御方法 | |
US9306959B2 (en) | Dual bypass module and methods thereof | |
US11296947B2 (en) | SD-WAN device, system, and network | |
US20130091264A1 (en) | Dynamic session migration between network security gateways | |
CN114616858A (zh) | 包括多个upf实例的upf节点执行qos监测的方法和执行该方法的upf节点 | |
JP5564661B2 (ja) | 中継ノード及び中継処理プログラム | |
JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
JP2007074074A (ja) | トラヒック分散制御装置、パケット通信ネットワークおよびプログラム | |
US20130305090A1 (en) | Test configuration resource manager | |
JP2006054770A (ja) | ファイアウォール装置 | |
US8707100B2 (en) | Testing a network using randomly distributed commands | |
US8655969B2 (en) | Statistics reporting in a network test system | |
JP3426832B2 (ja) | ネットワークアクセス制御方法 | |
US9912575B2 (en) | Routing network traffic packets through a shared inline tool | |
CN106161051B (zh) | 客户端智能选线 |