JP2006067314A - アクセス制御リスト生成装置およびアクセス制御リスト生成方法 - Google Patents
アクセス制御リスト生成装置およびアクセス制御リスト生成方法 Download PDFInfo
- Publication number
- JP2006067314A JP2006067314A JP2004248505A JP2004248505A JP2006067314A JP 2006067314 A JP2006067314 A JP 2006067314A JP 2004248505 A JP2004248505 A JP 2004248505A JP 2004248505 A JP2004248505 A JP 2004248505A JP 2006067314 A JP2006067314 A JP 2006067314A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control list
- mobile
- firewall
- items
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 サーバが移転してIPアドレスが変わった場合も、状況に応じてアクセス制御リストの内容を変更する。
【解決手段】 アクセス制御リスト1を管理するアクセス制御リスト管理サーバと、アクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォールとを備え、アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を、モバイルファイアウォールにおいて実際にパケットをフィルタリングするための項目に変換する変換手段12と、動的に設定が可能な項目としてドメイン名を指定した場合、DNSに問い合わせを行なうDNSアクセス部13と、動的に設定が必要な項目の変更を監視する監視手段14,15とを備える。
【選択図】 図5
【解決手段】 アクセス制御リスト1を管理するアクセス制御リスト管理サーバと、アクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォールとを備え、アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を、モバイルファイアウォールにおいて実際にパケットをフィルタリングするための項目に変換する変換手段12と、動的に設定が可能な項目としてドメイン名を指定した場合、DNSに問い合わせを行なうDNSアクセス部13と、動的に設定が必要な項目の変更を監視する監視手段14,15とを備える。
【選択図】 図5
Description
本発明は、IP移動通信網におけるモバイルファイアウォールのアクセス制御リストに関し、より詳しくは、アクセス制御リストの内容を動的に変更するアクセス制御リスト生成装置およびアクセス制御リスト生成方法に関する。
移動通信網においてパケットをフィルタリングするモバイルファイアウォールは、アクセス制御リストを保持し、移動機に対するファイアウォール機能の適用を可能とする。アクセス制御リストは、IPパケットのフィルタでのパケットの通過・廃棄を決定するためのパターンマッチ表で、多くのモバイルファイアフォールに実装されている。モバイルファイアフォールはまた、移動通信網上の目的アドレスまでの転送経路を選択するルータ内に配置されている場合が多い。
アクセス制御リストには、例えばIPアドレスなどが記述され、TCP/IP通信では、IPアドレスはその端末が属しているネットワークのポリシーやアドレス設定情報によって割り振られるので、端末が移動して所属するネットワークが変わると、それに応じてIPアドレスも変更になり、移動前に張ったセッションを継続することは基本的にできない。確かにDHCPを利用して動的にIPアドレスを割り振るようにすれば、同じ端末を別のネットワークに持っていても、Webの閲覧や電子メールなどを利用することは可能であるが、端末自体が異なるネットワーク間を任意に移動しながら1対1で途切れることなく通信するようなケースでは使用することはできない。これは、異なるネットワークへ移動するたびに新しいIPアドレスを取得しなければならないためで、結果としてそれまでのセッションが切断されてしまうからである。
上述したモバイルファイアウォールの従来例として、特許文献1には、ホームエージェント装置と複数のファイアウォール装置と移動機とを備えた通信制御装置が記載されている。この装置は、移動機が例えばファイアウォール装置に接続すると、ファイアウォール装置は、移動機の識別情報及び設定ファイルをホームエージェント装置から受信し、設定ファイルを使用して、移動機用のファイアウォールを選定し、このファイアウォールに設定されているフィルタリング条件に基づいて通信拒否の判定を行なう。具体的には、移動機を接続可能な複数のファイアウォール装置と、当該移動機の識別情報と対応付けて格納する格納手段と、前記移動機の接続先のファイアウォール装置を検知したことに伴い、前記移動機の識別情報に対応するファイアウォール設定情報を、前記ファイアウォール装置宛に送信する送信手段とを備える。
また、特許文献2には、パケットのフィルタリングを高速かつ高度に行なう通信制御装置が記載されている。ルータが備える入力フィルタは、パケットタイプ判定部とJAVA(登録商標)プロセッサとを有する。パケットタイプ判定部は、パケットに適用可能なプロトコルの種別であるパケットタイプを判定する。JAVA(登録商標)プロセッサは、パケットタイプ判定部により判定されたパケットタイプに対応するバイトコードを選択し、このバイトコードを選択し、このバイトコードを使用して前記パケットの通過可否を判定する。具体的には、パケットのフィルタリングを行なう通信制御装置において、前記パケットに適用可能なバイトコードを使用して、当該パケットの通過可否を判定する通過判定手段を備える。
また、アクセス制御リストを動的に変更する方法として、特許文献3には、ファイル名やレイアウトを動的に設定又は変更できるようにして、ファイル定義情報が別ファイルとして設けられているため、所定のパラメータを参照して指定されたファイル名のファイルにアクセスすることにより、ファイル名やレコード項目のレイアウトを動的に設定または変更することが記載されている。
特願2002−346271号公報
特願2002−346279号公報
特開2002−195846号公報
しかしながら、上述した特許文献1および2に記載した従来のモバイルファイアウォールは、アクセス制御リストが固定的であり、状況に応じて動的に変えることができなかった。特に、DNSサーバやメールサーバなどのサーバを指定して、通信を許可する場合に、従来のアクセス制御リストは、当該通信を具体的なIPアドレスやポート番号で指定していたため、サーバが移転などを行い、IPアドレスやポート番号が変わった場合のサーバ収容の全ユーザがアクセス制御リストの変更を強いられたり、負荷分散などでサーバ複数のIPアドレスを使用している場合に、記述が複雑になるという問題があった。
また、上述した特許文献3に記載したアクセス制御リストを動的に変更する方法では、IPアドレスを移動などに合わせて動的に割り当てる場合に、移動先で一時的に割り当てられたアドレス(気付アドレス)をアクセス制御リストに反映させて、気付アドレスを直接用いた通信を行えるようにすることができなかった。
本発明は、上述した事情に鑑みてなされたものであって、モバイルファイアウォールにおいて状況に応じて動的に変更可能なアクセス制御リスト生成装置およびアクセス制御リスト生成方法を提供することを目的としている。
本発明は、上述した事情に鑑みてなされたものであって、モバイルファイアウォールにおいて状況に応じて動的に変更可能なアクセス制御リスト生成装置およびアクセス制御リスト生成方法を提供することを目的としている。
上記課題を解決するために、請求項1記載のアクセス制御リスト生成装置は、
移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバと、前記アクセス制御リスト管理サーバから転送されるアクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォールとからなる移動通信網において、前記モバイルファイアウォールにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成するアクセス制御リスト生成装置であって、前記アクセス制御リスト管理サーバから転送されるアクセス制御リストのうち動的に設定が可能な項目を前記モバイルファイアウォールにおいて実際にパケットをフィルタリングするための項目に変換する変換手段を備えたことを特徴とする。この構成によれば、サーバが移転してIPアドレスが変わった場合でも、アクセス制御リストの変更が不要になり、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバと、前記アクセス制御リスト管理サーバから転送されるアクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォールとからなる移動通信網において、前記モバイルファイアウォールにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成するアクセス制御リスト生成装置であって、前記アクセス制御リスト管理サーバから転送されるアクセス制御リストのうち動的に設定が可能な項目を前記モバイルファイアウォールにおいて実際にパケットをフィルタリングするための項目に変換する変換手段を備えたことを特徴とする。この構成によれば、サーバが移転してIPアドレスが変わった場合でも、アクセス制御リストの変更が不要になり、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
また、請求項2記載のアクセス制御リスト生成装置は、請求項1において、前記モバイルファイアウォールは、前記動的に設定が必要な項目の変更を監視する監視手段を備え、前記監視手段で得られた情報を前記変換手段に渡すことを特徴とする。この構成によれば、アクセス制御リストの内容が変更した場合にその都度その変更を監視することができ、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
また、請求項3記載のアクセス制御リスト生成装置は、請求項1において、前記変換手段は、前記動的に設定が可能な項目として前記ユーザのドメイン名を指定した場合、最新の情報を得るためにDNS(Domain Name System)に問い合わせを行なうDNSアクセス部を備えたことを特徴とする。この構成によれば、アクセス制御リストのドメイン名を状況に応じて動的に変更することができ、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
また、請求項4記載のアクセス制御リスト生成方法は、移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバから前記アクセス制御リストをモバイルファイアウォールに転送し、モバイルファイアウォールにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成するアクセス制御リスト生成方法であって、前記アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を明示する明示ステップと、前記明示ステップにおいて明示された前記動的に設定が可能な項目を前記モバイルファイアウォールにおいて実際にパケットをフィルタリングするための項目に変換する変換ステップと、を含むことを特徴とする。この構成によれば、サーバが移転してIPアドレスが変わった場合でも、アクセス制御リストの変更が不要になり、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
また、請求項5記載のアクセス制御リスト生成方法は、請求項4において、前記モバイルファイアウォールにおいて前記動的に設定が必要な項目の変更を監視する監視ステップを含み、前記監視ステップにおいて得られた情報を前記変換ステップに渡すことを特徴とする。この構成によれば、アクセス制御リストの内容が変更した場合にその都度その変更を監視することができ、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
また、請求項6記載のアクセス制御リスト生成方法は、請求項4において、前記変換ステップにおいて前記動的に設定が可能な項目として前記ユーザのドメイン名が指定されている場合、最新の情報を得るためにDNS(Domain Name System)に問い合わせを行なうことを特徴とする。この構成によれば、アクセス制御リストのドメイン名を状況に応じて動的に変更することができ、状況に応じて動的に変更が可能なアクセス制御リストを生成できる。
以上説明したように、本発明においては、ネットワークで管理しているアクセス制御リストで、動的に設定が必要な項目をドメイン名やキーワードで明示する。モバイルファイアウォールは、アクセス制御リストを得ると、動的に設定が必要な項目を具体的なIPアドレスやポート番号に書き換え、パケットのフィルタをする。動的設定項目は、適切な間隔で再検査し、必要に応じて書き換える。
従って、アクセス制御リストの内容を状況に応じて動的に変えることが可能になり、サーバが移転してIPアドレスが変わった場合も、アクセス制御リストの変更が不要になり、負荷分散等でサーバが複数のIPアドレスを使用している場合も、記述が簡単になり、これにより、誤りが減り、移動に合わせて動的に割当てられたIPアドレスでの通信のフィルタリングを行なえるようになる。
以下、図面を参照して本発明のアクセス制御リスト生成装置の実施形態について詳細に説明する。
図1は、本発明の実施形態に係るアクセス制御リスト生成システムの構成を示す概略ブロック図である。
同図に示すように、このシステムは、アクセス制御リスト2と、ルータ3と、インタフェース7と、パケットスイッチ4と、入力フィルタ5と、出力フィルタ6とを備える。
アクセス制御リスト2は、IPアドレスやポート番号などを指定してパケット通過の可否を設定するための対応テーブルであり、アクセスしてきた条件ごとの動作を規定し、ルータ3の入力フィルタ5に実装されている。
図1は、本発明の実施形態に係るアクセス制御リスト生成システムの構成を示す概略ブロック図である。
同図に示すように、このシステムは、アクセス制御リスト2と、ルータ3と、インタフェース7と、パケットスイッチ4と、入力フィルタ5と、出力フィルタ6とを備える。
アクセス制御リスト2は、IPアドレスやポート番号などを指定してパケット通過の可否を設定するための対応テーブルであり、アクセスしてきた条件ごとの動作を規定し、ルータ3の入力フィルタ5に実装されている。
ルータ3は、ルーティング機能を持ち、ネットワーク上の目的アドレスまでの転送経路を選択する。具体的には、隣接する機器同士が経路情報を交換し、最適経路を計算し、ルーティングテーブルを生成する。このルーティングテーブルに基づいて入力されたパケットを適切なポートから送出する。
インタフェース7は、ルータ3と他の機器とを接続するための装置であり、ルータ3の両端に配置され、パケットをルータ3に入力したり出力したりする。
パケットスイッチ4は、パケットを交換するスイッチであり、データを小包にしたパケットをネットワーク上で伝送または交換するスイッチである。
インタフェース7は、ルータ3と他の機器とを接続するための装置であり、ルータ3の両端に配置され、パケットをルータ3に入力したり出力したりする。
パケットスイッチ4は、パケットを交換するスイッチであり、データを小包にしたパケットをネットワーク上で伝送または交換するスイッチである。
入力フィルタ5および出力フィルタ6は、パケットスイッチ4に入力されたり出力されたりするパケットをフィルタリングする。すなわち、ファイアウォールの一種で、アクセス制御リスト2に記述されている送信者/受信者のIPアドレスやTCP/UDPポート番号を基にパケットをフィルタリングする。これらIPパケットの入力フィルタ5および出力フィルタ6は、各インタフェース7の入口や出口に配置される。
アクセス制御リスト2は、通常、各行が1つのパターンとなっている。実装によって記述方法は異なるが、図1に示した例では、最初の項目(左端の列)が、パケットを捨てる(deny)か通過させる(permit)か、次の項目(左から2番目の列)が、IPパケットの上位層プロトコルの指定(IPと指定している場合は、上位層が何でも良いことを示す)、次の項目(左から3番目の列)が、IPパケットのソースアドレスとソースポート番号(ソースポート番号は省略可能、ソースアドレスをanyとした場合はソースアドレスが何でも良いことを示す)、最後の項目(右端の列)が、IPパケットの宛先アドレスとオプションの宛先ポート番号(宛先ポート番号は省略可能、宛先アドレスをanyとした場合は宛先アドレスが何でも良いことを示す)を示している。
より詳細に説明すると、最初の項目では、第1行および第2行が「deny」となっているのでパケットを捨て、第3行〜第7行は「permit」となっているのでパケットを通過させる。
次の項目では、第1行および第2行が「ip」と指定されているので、上位層はなんでもよく、第3行〜第7行が順に「tcp」,「ospf」, 「ospf」, 「ospf」,「udp」, 「udp」,「icmp」と、その上位層プロトコルが指定されている。
次の項目では、第1行および第2行が「ip」と指定されているので、上位層はなんでもよく、第3行〜第7行が順に「tcp」,「ospf」, 「ospf」, 「ospf」,「udp」, 「udp」,「icmp」と、その上位層プロトコルが指定されている。
3番目の項目では、第1行目が「10.0.0.0/8」と記述されているので、IPパケットのソースアドレスが「10.0.0.0/8」であることを示し、第2行および第3行が「any」と記述されているので、ソースアドレスは何でも良く、第4〜第6行が「202.245.184.0/24」と記述されているので、IPパケットのソースアドレスが「202.245.184.0/24」であることを示している。第7行〜第9行目「any」と記述されているので、ソースアドレスが何でも良いことを示している。
最後の項目では、第1行に「any」と記述されているので、宛先アドレスが何でも良いことを示し、第2行に「202.245.184.255」と記述されているので、宛先アドレスが「202.245.184.255」であることを示し、第3行に「202.245.184.0/24」と記述されているので、宛先アドレスが「202.245.184.0/24」であることを示し、第4行に「202.245.184.3」と記述されているので、宛先アドレスが「202.245.184.3」であることを示し、第5行に「224.0.0.5」と記述されているので、宛先アドレスが「224.0.0.5」であることを示し、第6行に「224.0.0.6」と記述されているので、宛先アドレスが「224.0.0.6」であることを示し、第7行に「202.245.184.0/24」と記述されているので、宛先アドレスが「202.245.184.0/24」であることを示し、第8行に「202.245.184.49」と記述されているので、宛先アドレスが「202.245.184.49」であることを示し、第9行に「202.245.184.0/24」と記述されているので、宛先アドレスが「202.245.184.0/24」であることを示している。
次に、ルータ3は、インタフェース7から入力されるパケットに対し入力フィルタ5を適用し、出力されるパケットに対し出力フィルタ6を適用する。すなわち、1つのインタフェース7に、入力用のアクセス制御リストと出力用のアクセス制御リストとの2つを設定する。アクセス制御リスト2をIPパケットと比較する際には、IPパケットをアクセス制御リスト2の上から順に比較し、最初に一致した行の指定により切り捨てる(deny)か通過させる(permit)かを決定する。
図2は、本発明の実施形態に係るアクセス制御リスト生成システムの動作を示す概略図である。
まず、ユーザは、アクセス制御リストの設定を行い、IP移動通信網を介してアクセス制御リスト管理サーバ8に対してセキュリティ設定の登録を行なう(ステップS1)。ユーザは予め何らかの方法(手入力や適切なファイルのDL(ダウンロード)など)で、自己所有端末のアクセス制御リストを設定しておき、ネットワーク側に配置されたアクセス制御リスト管理サーバ8で管理する。
まず、ユーザは、アクセス制御リストの設定を行い、IP移動通信網を介してアクセス制御リスト管理サーバ8に対してセキュリティ設定の登録を行なう(ステップS1)。ユーザは予め何らかの方法(手入力や適切なファイルのDL(ダウンロード)など)で、自己所有端末のアクセス制御リストを設定しておき、ネットワーク側に配置されたアクセス制御リスト管理サーバ8で管理する。
次に、アクセス制御リスト管理サーバ8は、ユーザ毎のアクセス制御リスト1を生成する(ステップS2)。このアクセス制御リストは、図1に示した入力フィルタ5に設定されているアクセス制御リストとは異なるので、アクセス制御リスト1とする。アクセス制御リスト1は、動的に設定が必要な項目をドメイン名またはキーワードで明示しておき、モバイルファイアウォール10においてこの動的に設定が必要な項目をIPアドレスまたはポート番号に置き換え、パケットのフィルタリングを行なう。これにより、アクセス制御リスト1を状況に応じて動的に変えることができる。
すなわち、ユーザが使用する移動通信端末9aが9bに移動(ハンドオーバ)した場合、これに追従してモバイルファイアウォール10aも10bに移動する(ステップS3)。アクセス制御リスト1は、必要に応じてモバイルファイアウォール10bに転送され(ステップS4)、ユーザ個別のアクセス制御リスト2に従ってパケットのフィルタリングを行なう(ステップS5)。その際、モバイルファイアウォール10bは、移動通信端末9bが接続しているルータ3上にあるIPパケットの入力フィルタ5を用いる。
このようにして、モバイルファイアウォール10a,10bは、動的に設定が必要な項目を具体的なIPアドレスまたはポート番号に書き換え、パケットのフィルタリングをした後、この動的設定項目を適切な間隔で再検査し、必要に応じて書き換える。
このようにして、モバイルファイアウォール10a,10bは、動的に設定が必要な項目を具体的なIPアドレスまたはポート番号に書き換え、パケットのフィルタリングをした後、この動的設定項目を適切な間隔で再検査し、必要に応じて書き換える。
図3は、本発明の実施形態に係るアクセス制御リスト生成システムの機能構成を示す機能ブロック図である。
このシステムは、移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバ8と、アクセス制御リスト管理サーバから8転送されるアクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォール10a,10bとを備え、モバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成する。
このシステムは、移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバ8と、アクセス制御リスト管理サーバから8転送されるアクセス制御リストを用いてパケットをフィルタリングするモバイルファイアウォール10a,10bとを備え、モバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成する。
本実施形態は、特に、アクセス制御リスト管理サーバ8において管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を明示する明示部11と、明示部11によって明示された動的に設定が可能な項目をモバイルファイアウォール8において実際にパケットをフィルタリングするための項目に変換する変換部12とを備える。また、モバイルファイアウォール8は、動的に設定が必要な項目の変更を監視するDHCP監視部14およびPPP監視部15を備え、DHCP監視部14およびPPP監視部15で得られた情報を変換部12に渡す。変換部12は、動的に設定が可能な項目としてユーザのドメイン名が指定されている場合、最新の情報を得るためにDNS(Domain Name System)に問い合わせを行なうDNSアクセス部13を備える。
なお、本発明のアクセス制御リスト生成装置は、上述したアクセス制御リスト生成システムにおいて、変換部12と、監視部14,15と、DNSアクセス部13とからなり、本実施形態においてはモバイルファイアウォール内に配置されている。
なお、本発明のアクセス制御リスト生成装置は、上述したアクセス制御リスト生成システムにおいて、変換部12と、監視部14,15と、DNSアクセス部13とからなり、本実施形態においてはモバイルファイアウォール内に配置されている。
図4は、本発明の実施形態に係るアクセス制御リスト生成方法を示すシーケンス図である。
この方法は、まず、移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストをアクセス制御リスト管理サーバ8に転送し(ステップS41)、アクセス制御リスト管理サーバにてユーザ毎のアクセス制御リストを生成する(ステップS42)。その際、アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を明示する(ステップS43)。次に、アクセス制御リスト管理サーバ8からアクセス制御リストをモバイルファイアウォール10a,10bに転送し(ステップS44)、モバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成する。このとき、ステップS43において明示された動的に設定が可能な項目をモバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするための項目に変換する(ステップS45)。また、モバイルファイアウォール10a,10bにおいて動的に設定が必要な項目の変更を監視する(ステップS46)。また、ステップS45において、動的に設定が可能な項目としてユーザのドメイン名が指定されている場合、最新の情報を得るためにDNSに問い合わせを行なう。
この方法は、まず、移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストをアクセス制御リスト管理サーバ8に転送し(ステップS41)、アクセス制御リスト管理サーバにてユーザ毎のアクセス制御リストを生成する(ステップS42)。その際、アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を明示する(ステップS43)。次に、アクセス制御リスト管理サーバ8からアクセス制御リストをモバイルファイアウォール10a,10bに転送し(ステップS44)、モバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするためのアクセス制御リストを生成する。このとき、ステップS43において明示された動的に設定が可能な項目をモバイルファイアウォール10a,10bにおいて実際にパケットをフィルタリングするための項目に変換する(ステップS45)。また、モバイルファイアウォール10a,10bにおいて動的に設定が必要な項目の変更を監視する(ステップS46)。また、ステップS45において、動的に設定が可能な項目としてユーザのドメイン名が指定されている場合、最新の情報を得るためにDNSに問い合わせを行なう。
図5は、本発明の実施形態に係るアクセス制御リスト生成システムにおいて、アクセス制御リストを記述する際に、動的に設定する項目を明示する方法を示す概略ブロック図である。
同図に示すように、アクセス制御リスト管理サーバ8(図2を参照)は、ユーザ毎のアクセス制御リスト1を保持し、アクセス制御リスト1は、ルータ3においてパケットフィルタ装置としての変換部12においてDNS(Domain Name System)アクセス部13,DHCP(Dinamic Host Configuration Protocol)監視部14,PPP(Point−to−Point Protocol)監視部15を介してアクセス制御リスト2に変換され、モバイルファイアウォール10a,10b(図2を参照)に保持される。
同図に示すように、アクセス制御リスト管理サーバ8(図2を参照)は、ユーザ毎のアクセス制御リスト1を保持し、アクセス制御リスト1は、ルータ3においてパケットフィルタ装置としての変換部12においてDNS(Domain Name System)アクセス部13,DHCP(Dinamic Host Configuration Protocol)監視部14,PPP(Point−to−Point Protocol)監視部15を介してアクセス制御リスト2に変換され、モバイルファイアウォール10a,10b(図2を参照)に保持される。
同図に示すように、アクセス制御リスト管理サーバ8が保持するアクセス制御リスト1の設定内容は、以下のように記述されている。
permit tcp <dynamicaddress> <dns a mail example.jp> pop3 established
permit tcp <dynamicaddress> <dns a mail example.jp> smtp established
permit udp <dynamicaddress> <dns srv sip example.jp>
permit udp <dynamicaddress> <dhcp option dns servers> dns
permit tcp <dynamicaddress> <dns a mail example.jp> pop3 established
permit tcp <dynamicaddress> <dns a mail example.jp> smtp established
permit udp <dynamicaddress> <dns srv sip example.jp>
permit udp <dynamicaddress> <dhcp option dns servers> dns
また、モバイルファイアウォール10a,10bが保持するアクセス制御リスト2の設定内容は、以下のように記述されている。
permit tcp 192.0.2.1 192.0.2.111 110 established
permit tcp 192.0.2.1 192.0.2.26 25 established
permit udp 192.0.2.1 192.0.2.61 5060
permit udp 192.0.2.1 192.0.2.62 5060
permit udp 192.0.2.1 192.0.2.54 53
permit tcp 192.0.2.1 192.0.2.111 110 established
permit tcp 192.0.2.1 192.0.2.26 25 established
permit udp 192.0.2.1 192.0.2.61 5060
permit udp 192.0.2.1 192.0.2.62 5060
permit udp 192.0.2.1 192.0.2.54 53
ここで、アクセス制御リスト管理サーバ8では、アクセス制御リスト1に記述する際に、動的に設定する項目を明示するが、その方法を(1)ユーザが使用するメールサーバの場合、(2)ユーザが動的に取得するIPアドレスの場合、(3)ユーザが動的に取得するサーバアドレスの場合、(4)マクロ機能によるグループ指定一括動的自動設定の場合、(5)他の設定ファイルを取り込む場合、に分けて説明する。
(1)ユーザが使用するメールサーバなど
ユーザが使用するメールサーバなどは、ユーザがIPアドレスを知らなかったり、サーバ管理者の都合でIPアドレスが変更することがある。その際、ユーザはドメイン名を知っているので、アクセス制御リストでIPアドレスを明示する代わりにドメイン名を指定することができる。ドメイン名からIPアドレスへの変換は、DNSのAレコードまたはAAAAレコードを使用するので、記号<>を用いて、<dns a ドメイン名>という書き方をする。
[例]:
permit top 192.0.2.1 <dns amail.example.jp>pop3 established
permit top 192.0.2.1 <dns amail.example.jp>smtp established
ユーザが使用するメールサーバなどは、ユーザがIPアドレスを知らなかったり、サーバ管理者の都合でIPアドレスが変更することがある。その際、ユーザはドメイン名を知っているので、アクセス制御リストでIPアドレスを明示する代わりにドメイン名を指定することができる。ドメイン名からIPアドレスへの変換は、DNSのAレコードまたはAAAAレコードを使用するので、記号<>を用いて、<dns a ドメイン名>という書き方をする。
[例]:
permit top 192.0.2.1 <dns amail.example.jp>pop3 established
permit top 192.0.2.1 <dns amail.example.jp>smtp established
このようなアクセス制御リスト1を得たモバイルファイアウォール10は、DNSの問い合わせを行い、ドメイン名をIPアドレスに変換し、実際にIPパケットフィルタに使用するアクセス制御リスト2にする。また、DNSの情報のTTL(有効な秒数)を記憶し、期限切れになる前にDNS問い合わせを行い、最新情報に保つようにする。DNSは、同じドメイン名に複数のレコードを記述でき、この場合、DNS問い合わせに複数の答えが返ってくる。DNSの問い合わせの結果、複数のIPアドレスが帰ってきた場合、モバイルファイアウォール10は、行をIPアドレスの数だけ複製し、各行にそれぞれのIPアドレスを設定する。
なお、IPv6アドレスを使用する場合は、上記の<dns a ドメイン名>が<dns aaaa ドメイン名>に変わる。
DNSのSRVレコードでは、サーバアドレスとサーバポート番号の両方を指定できる。この場合、ドメイン名からIPアドレスとポート番号への変換を、ここでは<dns srv ドメイン名>という書き方をする。
[例]
permit udp 192.0.2.1<dns srv sip.example.jp>
DNSのSRVレコードでは、サーバアドレスとサーバポート番号の両方を指定できる。この場合、ドメイン名からIPアドレスとポート番号への変換を、ここでは<dns srv ドメイン名>という書き方をする。
[例]
permit udp 192.0.2.1<dns srv sip.example.jp>
(2)ユーザが動的に取得するIPアドレス
ユーザが動的にネットワークから割り当てを受ける場合、予めユーザはアクセス制御リストでIPアドレスを明示できない。ここでは、<dynamicaddress>と指定する。
[例]
permit udp 192.0.2.1<dynamicaddress>any dns
ユーザが動的にネットワークから割り当てを受ける場合、予めユーザはアクセス制御リストでIPアドレスを明示できない。ここでは、<dynamicaddress>と指定する。
[例]
permit udp 192.0.2.1<dynamicaddress>any dns
アドレス割当は、通常、モバイルファイアウォール10が配置されたルータ3を通して、PPPかDHCPのプロトコルで割当てられる。モバイルファイアウォール10は、この割当てアドレスを記憶し、アクセス制御リスト1の該当部分を書き換え、実際にIPパケットフィルタに使用するアクセス制御リスト2にする。
IPv6のアドレス自動設定などで、移動通信端末9a側でアドレスを生成する場合、モバイルファイアウォール10はその移動通信端末9aの使用するアドレスを得る必要がある。これは、一般的には端末とネットワークの間の認証プログラムの実行や、端末番号とIPアドレスの対応付けを確認するARP(Address Resolution Protocol)やND(Neighber Discovery)により得ることができる。
(3)ユーザが動的に取得するサーバアドレス
ユーザが使用するDNSサーバのアドレスなどは、PPPやDHCPにより、ネットワーク内のサーバからルータ3を経由して移動通信端末9aに通知される。このため、予めユーザは、アクセス制御リスト1でIPアドレスを明示することはできない。ここでは、<dhcp DHCPオプション>と指定する。
[例]
permit udp 192.0.2.1<dhcp option dns servers> dns
ユーザが使用するDNSサーバのアドレスなどは、PPPやDHCPにより、ネットワーク内のサーバからルータ3を経由して移動通信端末9aに通知される。このため、予めユーザは、アクセス制御リスト1でIPアドレスを明示することはできない。ここでは、<dhcp DHCPオプション>と指定する。
[例]
permit udp 192.0.2.1<dhcp option dns servers> dns
モバイルファイアウォール10は、PPPやDHCPのプロトコル動作を監視し、オプションの割当てを記憶し、アクセス制御リスト1の該当部分を書き換え、実際にIPパケットフィルタに使用するアクセス制御リスト2にする。複数のサーバIPアドレスが指定された場合、モバイルファイアウォール10は、行をIPアドレスの数だけ複製し、各行にそれぞれのIPアドレスを設定する。
(4)マクロ機能によるグループ指定一括動的自動設定
ユーザがアクセス制御リスト1を設定するにあたり、1つの通信相手識別子(ドメイン名など)が何度も出てくるケースが多く、これらをユーザがいちいち登録することは非常に面倒な作業である。また、項目(1)の機能(ドメイン名の動的アドレス変換)によりアドレスを直接指定する必要が無いため簡単に設定できるようになってはいるが、それでも、長いドメイン名を扱うことは人間が不得意とするところである。これを解決するために、マクロ機能による端末指定およびグループ指定を可能とする。
ユーザがアクセス制御リスト1を設定するにあたり、1つの通信相手識別子(ドメイン名など)が何度も出てくるケースが多く、これらをユーザがいちいち登録することは非常に面倒な作業である。また、項目(1)の機能(ドメイン名の動的アドレス変換)によりアドレスを直接指定する必要が無いため簡単に設定できるようになってはいるが、それでも、長いドメイン名を扱うことは人間が不得意とするところである。これを解決するために、マクロ機能による端末指定およびグループ指定を可能とする。
アクセス制御リスト1は、プロトコルやポート番号や通信相手ごとに指定する必要があるため、同じドメイン名を指定することが多い。しかし、ユーザ個別に持つモバイルファイアウォール10のアクセス制御リスト2では、通信相手(例えば、父)を指定するために、ドメイン名(taro.yamada.yokosuka.kanagawa.jp)のようにインターネット空間において一意である必要は無く、当該ユーザの空間としてFATHERのように簡易に指定できる方が便利である。これをマクロを用いて以下のように設定できるようにする。
〔例〕
define FATHER taro.yamada.yokosuka.kanagawa.jp
define MOTHER hanako.yamada.yokosuka.kanagawa.jp
define BROTHER kenji.yamada.yokosuka.kanagawa.jp
define SISTER aiko.yamada.yokosuka.kanagawa.jp
define FATHER taro.yamada.yokosuka.kanagawa.jp
define MOTHER hanako.yamada.yokosuka.kanagawa.jp
define BROTHER kenji.yamada.yokosuka.kanagawa.jp
define SISTER aiko.yamada.yokosuka.kanagawa.jp
さらにこのマクロ機能を用いて、次のようなグループ指定(例えば、家族)ができるようにする。
〔例〕
define FAMILY {FATHER MOTHER BROTHER SISTER}
〔例〕
define FAMILY {FATHER MOTHER BROTHER SISTER}
これにより、以下のようなグループという概念を用いたアクセス制御リスト1の設定が可能となる。
〔例〕
permit tcp FAMILY <dynamicaddress> telnet
この機能により、アクセス制御リスト1に記入する内容が格段に減ることが期待される。
〔例〕
permit tcp FAMILY <dynamicaddress> telnet
この機能により、アクセス制御リスト1に記入する内容が格段に減ることが期待される。
(5) 他の設定ファイルの取り込み
モバイルファイアウォール10のサービス提供事業者等が一定の設定例をまとめた設定パターンファイルを提供したり、ユーザがアクセスファイルの固定的な部分を別ファイルとして管理できるように、アクセス制御リスト1に他の設定ファイルの取り込み機能を導入する。記述例は、以下のとおりである。
〔例〕
include “pattern1.acl”
モバイルファイアウォール10のサービス提供事業者等が一定の設定例をまとめた設定パターンファイルを提供したり、ユーザがアクセスファイルの固定的な部分を別ファイルとして管理できるように、アクセス制御リスト1に他の設定ファイルの取り込み機能を導入する。記述例は、以下のとおりである。
〔例〕
include “pattern1.acl”
ユーザによる利用例としては、項目(4)のマクロ部分のみを別ファイルとして記述することなどが考えられる。これにより、項目(4)の例のFAMILYの設定を家族で使いまわすことが可能になる。
上記の記述方式は、一例であり、同等の能力を持つその他の記述方式を用いても構わない。
上記の記述方式は、一例であり、同等の能力を持つその他の記述方式を用いても構わない。
なお、上述したアクセス制御リスト生成システムにおいて、変換部12および監視部14,15とからなるアクセス制御リスト生成装置は、モバイルファイアウォール内に配置されているが、モバイルファイアウォールがルータに配置されている場合、当該ルータ内に配置されてもよいし、モバイルファイアウォールまたはルータとは別に独立したサーバ内に配置され、変換された結果をモバイルファイアフォールまたはルータに通知するように構成しても良い。
図6は、本発明の他の実施形態におけるアクセス制御リストのサーバの内容設定およびモバイルファイアウォールの設定内容と、他のサーバの内部構成を示す概略ブロック図である。
本実施形態では、アクセス制御リスト生成装置は、モバイルファイアウォールまたはルータとは別に独立したサーバ内に配置された例である。
本実施形態では、アクセス制御リスト生成装置は、モバイルファイアウォールまたはルータとは別に独立したサーバ内に配置された例である。
アクセス制御リスト管理サーバ8において管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を実際にパケットをフィルタリングするための項目に変換する変換部12、動的に設定が必要な項目の変更を監視するDHCP監視部14およびPPP監視部15、およびDNSアクセス部13は、モバイルファイアウォールまたはルータとは、別のサーバ内に配置され、アクセス制御リストは、変換部12で変換された後、モバイルファイアウォールに転送される。
なお、アクセス制御リストの内容については、図5で前述したものと同様であるので省略する。
なお、アクセス制御リストの内容については、図5で前述したものと同様であるので省略する。
以上説明したように、本発明により、アクセス制御リストの内容を、状況に応じて動的に変えることが可能になり、サーバが移転してIPアドレスが変わった場合も、アクセス制御リストの変更が不要になり、負荷分散等でサーバが複数のIPアドレスを使用している場合も、記述が簡単になり、従って、誤りが減り、移動に合わせて動的に割当てられたIPアドレスでの通信のフィルタリングを行なえるようになる。
1…第1のアクセス制御リスト(サーバ側)、2…第2のアクセス制御リスト(ファイアウォール側)、3…ルータ、4…パケットスイッチ、5…入力フィルタ、6…出力フィルタ、7…インタフェース、8…アクセス制御リスト管理サーバ、9a,9b…移動機(移動通信端末)、10a,10b…モバイルファイアウォール、11…明示部、12…変換部、13…DNSアクセス部、14…DHCP監視部、15…PPP監視部
Claims (6)
- 移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバと、前記アクセス制御リスト管理サーバから転送されるアクセス制御リストを用いてパケットフィルタリングするモバイルファイアウォールとからなる移動通信網において、前記モバイルファイアウォールにおいて実際にパケットフィルタリングするためのアクセス制御リストを生成するアクセス制御リスト生成装置であって、
前記アクセス制御リスト管理サーバから転送されるアクセス制御リストのうち動的に設定が可能な項目を前記モバイルファイアウォールにおいて実際にパケットフィルタリングするための項目に変換する変換手段を備えたことを特徴とするアクセス制御リスト生成装置。 - 前記モバイルファイアウォールは、前記動的に設定が必要な項目の変更を監視する監視手段を備え、前記監視手段で得られた情報を前記変換手段に渡すことを特徴とする請求項1記載のアクセス制御リスト生成装置。
- 前記変換手段は、前記動的に設定が可能な項目として前記ユーザのドメイン名が指定されている場合、最新の情報を得るためにDNS(Domain Name System)に問い合わせを行なうDNSアクセス部を備えたことを特徴とする請求項1記載のアクセス制御リスト生成装置。
- 移動機を有するユーザによるセキュリティ設定のためのアクセス制御リストを管理するアクセス制御リスト管理サーバから前記アクセス制御リストをモバイルファイアウォールに転送し、モバイルファイアウォールにおいて実際にパケットフィルタリングするためのアクセス制御リストを生成するアクセス制御リスト生成方法であって、
前記アクセス制御リスト管理サーバにおいて管理されるアクセス制御リストの各項目のうち動的に設定が可能な項目を明示する明示ステップと、
前記明示ステップにおいて明示された前記動的に設定が可能な項目を前記モバイルファイアウォールにおいて実際にパケットフィルタリングするための項目に変換する変換ステップと、
を含むことを特徴とするアクセス制御リスト生成方法。 - 前記モバイルファイアウォールにおいて前記動的に設定が必要な項目の変更を監視する監視ステップを含み、前記監視ステップにおいて得られた情報を前記変換ステップに渡すことを特徴とする請求項4記載のアクセス制御リスト生成方法。
- 前記変換ステップにおいて前記動的に設定が可能な項目として前記ユーザのドメイン名が指定されている場合、最新の情報を得るためにDNS(Domain Name System)に問い合わせを行なうことを特徴とする請求項4記載のアクセス制御リスト生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004248505A JP2006067314A (ja) | 2004-08-27 | 2004-08-27 | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004248505A JP2006067314A (ja) | 2004-08-27 | 2004-08-27 | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006067314A true JP2006067314A (ja) | 2006-03-09 |
Family
ID=36113376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004248505A Pending JP2006067314A (ja) | 2004-08-27 | 2004-08-27 | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006067314A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008154009A (ja) * | 2006-12-18 | 2008-07-03 | Canon Inc | 通信装置及びその制御方法 |
| JP2010507871A (ja) * | 2006-11-03 | 2010-03-11 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 |
| JP2011024019A (ja) * | 2009-07-16 | 2011-02-03 | Nec Access Technica Ltd | ネットワークシステム、ネットワーク装置、ネットワーク方法及びプログラム |
| US8239930B2 (en) | 2006-10-25 | 2012-08-07 | Nokia Corporation | Method for controlling access to a network in a communication system |
| JP2014087024A (ja) * | 2012-10-26 | 2014-05-12 | Kddi Corp | 無線通信装置、無線通信方法、及びプログラム |
| JP2017028403A (ja) * | 2015-07-17 | 2017-02-02 | 三菱電機株式会社 | ファイアウォール管理装置およびファイアウォール管理プログラム |
| JP2018125765A (ja) * | 2017-02-02 | 2018-08-09 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| WO2019064823A1 (ja) * | 2017-09-28 | 2019-04-04 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| CN112019361A (zh) * | 2019-05-30 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
| CN115150107A (zh) * | 2021-03-16 | 2022-10-04 | 瑞昱半导体股份有限公司 | 在网络交换器中进行分组过滤的方法以及相关过滤器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186831A (ja) * | 2001-12-13 | 2003-07-04 | Sony Corp | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
-
2004
- 2004-08-27 JP JP2004248505A patent/JP2006067314A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003186831A (ja) * | 2001-12-13 | 2003-07-04 | Sony Corp | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
| JP2004357234A (ja) * | 2003-05-30 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8239930B2 (en) | 2006-10-25 | 2012-08-07 | Nokia Corporation | Method for controlling access to a network in a communication system |
| JP2010507871A (ja) * | 2006-11-03 | 2010-03-11 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 |
| JP2008154009A (ja) * | 2006-12-18 | 2008-07-03 | Canon Inc | 通信装置及びその制御方法 |
| JP2011024019A (ja) * | 2009-07-16 | 2011-02-03 | Nec Access Technica Ltd | ネットワークシステム、ネットワーク装置、ネットワーク方法及びプログラム |
| JP2014087024A (ja) * | 2012-10-26 | 2014-05-12 | Kddi Corp | 無線通信装置、無線通信方法、及びプログラム |
| JP2017028403A (ja) * | 2015-07-17 | 2017-02-02 | 三菱電機株式会社 | ファイアウォール管理装置およびファイアウォール管理プログラム |
| JP2018125765A (ja) * | 2017-02-02 | 2018-08-09 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| US11303525B2 (en) | 2017-02-02 | 2022-04-12 | Nec Corporation | Communication system, communication control method, and communication program |
| WO2019064823A1 (ja) * | 2017-09-28 | 2019-04-04 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| JP2019068119A (ja) * | 2017-09-28 | 2019-04-25 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| US11303476B2 (en) | 2017-09-28 | 2022-04-12 | Nec Corporation | Communication apparatus, communication system, communication control method, communication program and device connection control program |
| CN112019361A (zh) * | 2019-05-30 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
| CN115150107A (zh) * | 2021-03-16 | 2022-10-04 | 瑞昱半导体股份有限公司 | 在网络交换器中进行分组过滤的方法以及相关过滤器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006174350A (ja) | 通信装置 | |
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| US7633948B2 (en) | Relay device and server, and port forward setting method | |
| JP5088100B2 (ja) | Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法 | |
| JP2003348116A (ja) | 家庭内ネットワーク向けアドレス自動設定方式 | |
| Popoviciu | Deploying ipv6 networks | |
| US8917629B2 (en) | Method and apparatus for detecting devices on a local area network | |
| KR20040068365A (ko) | 네트워크 라우팅 디바이스를 자동으로 구성하는 방법 | |
| JP2004304235A (ja) | 名前/アドレス変換装置 | |
| JP2006067314A (ja) | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 | |
| JP2004120534A (ja) | ルータと中継装置、フォワーディング方法 | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
| JP3692107B2 (ja) | 名前解決装置及び名前解決方法 | |
| US7711852B1 (en) | Arrangement in a router for inserting address prefixes based on command line address identifiers | |
| JP5638063B2 (ja) | 通信装置、通信装置の制御方法、プログラム | |
| JP2003101566A (ja) | ネットワーク機器の管理方法および装置 | |
| EP2077029B1 (en) | Identifying a subnet address range from dns information | |
| JP2008072519A (ja) | 機器検索装置、機器検索方法及びプログラム | |
| JP4013967B2 (ja) | 名前解決サーバおよびパケット転送装置 | |
| Wachs | A secure and resilient communication infrastructure for decentralized networking applications | |
| JP2008206081A (ja) | マルチホーミング通信システムに用いられるデータ中継装置およびデータ中継方法 | |
| Leroy et al. | Preparing network configurations for IPv6 renumbering | |
| CN107547687A (zh) | 一种报文传输方法和装置 | |
| Set | Independent Submission M. Stubbig Request for Comments: 8522 Independent Category: Informational February 2019 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061226 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070216 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070306 |