JP2006101414A - ネットワーク管理装置及びネットワーク管理方法 - Google Patents
ネットワーク管理装置及びネットワーク管理方法 Download PDFInfo
- Publication number
- JP2006101414A JP2006101414A JP2004287638A JP2004287638A JP2006101414A JP 2006101414 A JP2006101414 A JP 2006101414A JP 2004287638 A JP2004287638 A JP 2004287638A JP 2004287638 A JP2004287638 A JP 2004287638A JP 2006101414 A JP2006101414 A JP 2006101414A
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- terminal devices
- communication
- network management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 通信の集中点を監視することによりLAN内でのウィルスの蔓延を防ぐことが出来るネットワーク管理装置及びネットワーク管理方法を提供する。
【解決手段】 ネットワーク管理装置1は、ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、複数の端末装置が個々にネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、ネットワークのゲートウェイに位置するネットワーク管理装置のIPアドレスをデフォルト設定するアドレス割付部(12)と、IPアドレスがネットワーク内において端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部(13)と、通信許可ルールに基づいて、端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部(11)とを備える。
【選択図】 図2
【解決手段】 ネットワーク管理装置1は、ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、複数の端末装置が個々にネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、ネットワークのゲートウェイに位置するネットワーク管理装置のIPアドレスをデフォルト設定するアドレス割付部(12)と、IPアドレスがネットワーク内において端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部(13)と、通信許可ルールに基づいて、端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部(11)とを備える。
【選択図】 図2
Description
LAN内におけるコンピュータウィルスの蔓延を未然に防ぐためのネットワーク管理装置及びネットワーク管理方法に関する。
従来、コンピュータウィルスが端末装置と外部ネットワーク間の直接通信にて感染した際に、感染済みの端末装置が属するLAN内においてそのウィルスが蔓延するのを防ぐ為にいくつかの手法が開発されている。
代表的なものとして、端末装置にウィルス検知用ソフトウェアをインストールし不正な通信を遮断する手法がある。ウィルス検知用ソフトウェアは既知のウィルスの情報をシグネチャとして持ち、それと比較することによってウィルスを検知したり、パーソナルファイアーウォールを備え、端末装置内に予め指定してある通信以外の通信を遮断することによってウィルスの感染を防いだりする(非特許文献1参照。)。
この他にも、ルータ等のネットワーク機器に、不正な通信を検知すると外部ネットワーク間との通信を遮断する機能、又はその不正な通信を管理者に通知する機能を持たせる手法が挙げられる(非特許文献2参照。)。
パーソナルファイアーウォール"フリーソフトウェアの紹介:パーソナルファイヤーウォールソフト"、[online]、[平成16年8月16日検索]、インターネット<http://www.okayama-u.ac.jp/user/cc/service/free3.html> アンチウィルスゲートウェイ"企業に必要なタイプ別ウィルス対策:ゲートウェイ型"、[online]、[平成16年8月16日検索]、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/rensai/anti_virus04/anti_virus01.html>
パーソナルファイアーウォール"フリーソフトウェアの紹介:パーソナルファイヤーウォールソフト"、[online]、[平成16年8月16日検索]、インターネット<http://www.okayama-u.ac.jp/user/cc/service/free3.html> アンチウィルスゲートウェイ"企業に必要なタイプ別ウィルス対策:ゲートウェイ型"、[online]、[平成16年8月16日検索]、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/rensai/anti_virus04/anti_virus01.html>
しかしながら、ソフトウェアをインストールする手法では、各端末装置にインストール処理を行う際に手間がかかり、その上ソフトウェア導入のコストが高かった。ウィルス検知の設定を適正に保つ為には、各端末装置のユーザが設定を勝手に変更できないようにパスワードで保護する等の処理が必要であり、運用の面でも手間がかかっていた。また、ウィルス検知の設定の更新等を各ユーザに委ねる場合は、常に適正な更新がなされているか否かはユーザ個人のモラルに頼らざるをえなかった。逆にユーザにしてみれば、このような設定処理及び更新処理が適正に行われているかを常に意識していなければならなかった。
ネットワーク機器にウィルス検知機能を持たせる手法では、ユーザはウィルス検知に対し特別に意識する必要はないが、LAN内の全てのネットワーク機器を監視遮断機能を備えた高価なネットワーク機器に交換する必要があり、これらのネットワーク機器導入のためのコストが高くなるという問題があった。
本発明は、上記問題点を解決する為になされたものであり、端末装置でのソフトウェア設定や、ネットワーク機器を新たに導入したり機能設定せずとも、通信の集中点を作成しその一点を監視することによりLAN内でのウィルスの蔓延を防ぐことが出来るネットワーク管理装置及びネットワーク管理方法を提供することを目的とする。
上記問題点を解決する為、本発明の第1の特徴は、複数の端末装置を備えるネットワークの管理を行うネットワーク管理装置であって、ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、複数の端末装置が個々にネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、複数の端末装置のデフォルトゲートウェイとしてネットワークのゲートウェイに位置するネットワーク管理装置のIPアドレスを設定するアドレス割付部と、単一サブネットとなるように割り当てられたIPアドレスがネットワーク内において端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部と、通信許可ルールに基づいて、端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部と、複数の端末装置が送受信するパケットの転送を行うルータ装置と、ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、デフォルトゲートウェイとしてネットワークのゲートウェイに位置するルータ装置のIPアドレスを設定するアドレス割付部と、通信可否ルールに従ってルータ装置のルーティングテーブルを設定するルータ操作部とを備えることを特徴とするネットワーク管理装置、であることを要旨とする。
本発明の第2の特徴は、複数の端末装置を備えるネットワークの管理を行うネットワーク管理装置であって、ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、複数の端末装置のデフォルトゲートウェイとしてネットワークのゲートウェイに位置するネットワーク管理装置のIPアドレスを設定するアドレス割付部と、単一サブネットとなるように割り当てられたIPアドレスがネットワーク内において端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部と、通信許可ルールに基づいて、端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部と、複数の端末装置の少なくとも1台がウィルスに感染したと推測される異常通信を検知し、アドレス格納部内の通信許可ルールを更新する異常監視通知部とを備えることを特徴とするネットワーク管理装置、であることを要旨とする。
本発明のネットワーク管理装置及びネットワーク管理方法では、LAN内の各端末装置にそれぞれ異なるサブネットとなるようなIPアドレスを付与し、各端末装置における通信は全てこのLANのゲートウェイになっているネットワーク管理装置に集中するように構成される。ネットワーク管理装置ではネットワークの管理者によって予め定められたルールにより通信の通過若しくは遮断を判断し、ウィルス感染に用いられる可能性が低く、必要性が高い通信のみを通過させる。具体的設定の例としては各端末装置のユーザに管理された端末装置同士の通信は遮断し、ネットワークの管理者によって管理されたサーバ等との通信は許可する。これは比較的知識もあり責任もあるネットワーク管理者に管理されたサーバはウィルス等に感染しにくく、比較的知識が少なく責任が軽い各端末のユーザに管理された端末装置はウィルス等に感染しやすいという理由や、端末装置同士の通信は必要性が比較的低いという理由からである。これにより、クライアント端末のソフトウェアの設定や、ネットワーク機器の機能に依らずにLAN内のウィルス蔓延を防ぐことが可能となる。
又、ネットワーク管理装置及びネットワーク管理方法では、各端末装置の全ての通信を監視することにより、端末装置のコンピュータウィルス感染を、既存のウィルス対策ソフトに依らず、ウィルスの既知未知をも問わずに検知することを可能とする。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
(第1の実施の形態)
(ネットワーク管理システム)
本発明の第1の実施の形態に係るネットワーク管理システム100は、図1に示すように、ネットワーク管理装置1が管理する内部ネットワークA、ネットワーク管理装置1aが管理する内部ネットワークBがあり、ネットワーク管理装置1,1aはLAN8にて通信可能となっている。尚、これらの内部ネットワークはLAN8上に複数存在して構わない。ネットワーク管理装置1,1aの上位ノードにはルータ装置7が配置され、このルータ装置7はインターネット等の外部ネットワーク9と接続されており、パケット通信可能となっている。
(ネットワーク管理システム)
本発明の第1の実施の形態に係るネットワーク管理システム100は、図1に示すように、ネットワーク管理装置1が管理する内部ネットワークA、ネットワーク管理装置1aが管理する内部ネットワークBがあり、ネットワーク管理装置1,1aはLAN8にて通信可能となっている。尚、これらの内部ネットワークはLAN8上に複数存在して構わない。ネットワーク管理装置1,1aの上位ノードにはルータ装置7が配置され、このルータ装置7はインターネット等の外部ネットワーク9と接続されており、パケット通信可能となっている。
内部ネットワークAには、ユーザが利用する端末装置2,3、ユーザ宛てのメールを配信するメールサーバ5、ユーザの要求によりコンテンツ等のデータを送受信するWebサーバ6が存在し、これらの装置はLAN4を介してネットワーク管理装置1に接続されている。LAN4には、この他にも、端末装置やサーバ等の機器が接続されていて構わない。尚、内部ネットワークBにも同様の装置が存在するが、内部ネットワークAの装置と同様である為説明は省略する。
ネットワーク管理装置1は、内部ネットワークAの全ての機器が内部ネットワーク外の装置、例えば内部ネットワークBや外部ネットワーク9と通信しようとした際、更に内部ネットワークA内の全ての機器、例えば端末装置2,3間にて通信を行おうとした際にもこれらの通信を集中管理する。以下、この通信集中管理を可能とする為のネットワーク管理装置1の内部構成について詳述する。
(ネットワーク管理装置)
ネットワーク管理装置1は、図2に示すように、パケット転送部11、アドレス割付部12、アドレス格納部13、外部インタフェース14及び内部インタフェース15等から構成される。ネットワーク管理装置1は、図示しないCPU、主メモリ、補助メモリ、通信制御装置等を備える一般のコンピュータであるものとする。
ネットワーク管理装置1は、図2に示すように、パケット転送部11、アドレス割付部12、アドレス格納部13、外部インタフェース14及び内部インタフェース15等から構成される。ネットワーク管理装置1は、図示しないCPU、主メモリ、補助メモリ、通信制御装置等を備える一般のコンピュータであるものとする。
パケット転送部11は、内部インタフェース15又は外部インタフェース14から受信するパケットを、アドレス格納部13内の転送許可データを参照して、内部インタフェース15又は外部インタフェース14に転送する機能を持つ。尚、転送許可データにより転送不可と判断されたパケットは廃棄される。
アドレス割付部12は、内部インタフェース15から端末装置2,3のアドレス割り付け要求を受信し、これに対し適切なアドレスを配布し、そのアドレスデータをアドレス格納部13に格納する機能を持つ。
アドレス格納部13は、端末装置2,3やサーバ4,5に割り付けられているアドレスや、パケットの転送の可否を設定している図3の通信許可データを格納している。端末装置2,3は、図3のようにそれぞれ異なるサブネットとなるようにIPアドレスが割り当てられている。更に、端末装置2,3やサーバ4,5、外部ネットワークそれぞれの間の通信の許可、拒否をネットワークのセキュリティポリシー等に応じて設定することができる。又、アドレス格納部13は、パケット転送部11やアドレス割付部12からの要求に応じてデータを渡す機能や、ネットワーク管理者等が通信許可ルールを設定する為のユーザーインターフェース機能を持つ。アドレス格納部13は、主メモリ又は補助メモリ等にて構成される。
外部インタフェース14は、図1の外部ネットワーク9と内部ネットワークA間の通信をパケット転送部11に受け渡しする機能を持つ。
内部インタフェース15は、図1の各端末装置2,3からのアドレス割り付け要求やLAN内の全ての機器におけるIP通信を、アドレス割付部12やパケット転送部11に対して受け渡す機能を持つ。
(ネットワーク管理方法)
次に、ネットワーク管理装置1におけるIPアドレス割り付け時の動作について図4のフローチャートを参照して説明する。
次に、ネットワーク管理装置1におけるIPアドレス割り付け時の動作について図4のフローチャートを参照して説明する。
(a)先ずステップS101において、例えば端末装置2がネットワークを使用する為にアドレスの割り付けを要求すると、図2のアドレス割付部12が内部インタフェース15を介してこれを受信する。
(b)ステップS102において、アドレス割付部12は、受信したアドレス割付要求に対し、端末装置2が使用可能なIPアドレスと、デフォルトゲートウェイのアドレスを発行する。端末装置2のIPアドレスとして他の端末装置に対し未だ割り当てられていないサブネットマスク「255.255.255.252」のサブネットのうちひとつのアドレスを割り当て、他の全ての端末装置と別のサブネットになるようにする。例えば、図1及び図3に示すように、端末装置2は「192.168.1.2/30」、端末装置3は「192.168.1.6/30」と、別サブネットに設定する。勿論、端末装置はLAN4上に複数台存在して構わない。尚、デフォルトゲートウェイのアドレスにはネットワーク管理装置1のアドレスを指定する。このデフォルト値により全ての通信は一旦ネットワーク管理装置1に集中することとなる。
(c)ステップS103において、アドレス割付部12はIPアドレスを発行すると同時に、その発行したIPアドレスと発行した端末装置2を識別する為の情報、例えばマシンアドレス等をアドレス格納部13に格納する。
(d)ステップS104において、アドレス割付部12は、発行したアドレスを内部インタフェース15を介して端末装置2に送信する。
次に、ネットワーク管理装置1におけるパケット転送の動作について図5のフローチャートを参照して説明する。
(a)ステップS201において、端末装置2が、例えば端末装置3に対しパケットを送信する。端末装置2から見ると他の端末装置のIPアドレスは別のサブネットのアドレスなので、すべての通信パケットはデフォルトゲートウェイ、つまりネットワーク管理装置1に向けて発信される。
(b)ステップS202において、発信パケットを受信したネットワーク管理装置1は、アドレス格納部13に予め格納されている図3の転送許可データと照合する。ステップS203において照合の結果、許可する通信の場合は、ステップS204において該当する端末装置へ向けて受け取ったパケットを転送する。許可しない通信の場合は、ステップS205において受け取ったパケットを破棄する。
本発明の第1の実施の形態によると、ウィルスが感染に利用する可能性がある通信を遮断するような転送許可設定を設定することにより、セキュリティを脅かす可能性のある不要な通信をネットワーク管理装置1にて確実に遮断することができる。上記のシステムではネットワーク管理装置1を導入するだけであり、従来の手法よりも導入コスト的に優れている。設定の管理はアドレス格納部13のデータの変更により一括して行えるため、管理コスト的にも優れている。
さらに上記のシステムでは、許可されている通信以外のすべての通信を禁止しているので、従来のウィルス対策用ソフトウェアで定義されていない未知のウィルスの蔓延に対しても効果を発揮する可能性がある。
(第2の実施の形態)
第1の実施の形態においては、ステップS203の通信許可判断の結果、通信不可と判断されたパケットはステップS205において廃棄されていた。しかし、通信許可と設定されている通信路においてもウィルスの感染拡大のための通信が流れている可能性がある。本実施形態ではそれらのウィルス感染拡大通信を検知し通信許可ルールを自動的に変更することによって、感染している端末をネットワークから隔離する機能を付加している。
第1の実施の形態においては、ステップS203の通信許可判断の結果、通信不可と判断されたパケットはステップS205において廃棄されていた。しかし、通信許可と設定されている通信路においてもウィルスの感染拡大のための通信が流れている可能性がある。本実施形態ではそれらのウィルス感染拡大通信を検知し通信許可ルールを自動的に変更することによって、感染している端末をネットワークから隔離する機能を付加している。
本発明の第2の実施の形態に係るネットワーク管理装置10は、図6に示すように、パケット転送部11、アドレス割付部12、アドレス格納部13、外部インタフェース14、内部インタフェース15及び異常監視通知部16等から構成される。
異常監視通知部16は、ウィルスの活動に伴う異常通信を検知すると、直ちにアドレス格納部13の通信許可ルールを更新し、感染した該当端末装置の通信を全て遮断するようにする。異常監視通知部16の異常通信検知方法としては、シグネチャ等の既知のパターンと比較することよりウィルスを検知する手法や、PINGやARP等の特殊パケットの通信量を監視して大きな変化を検知し、ウィルスの感染を推測する手法等がある。尚、他の装置については第1の実施の形態と同様である為、説明を省略する。
次にネットワーク管理装置10の動作について図7のフローチャートを参照して説明する。
(a)ステップS301において、一例として端末装置2にウィルスが感染した場合、端末装置2は他の機器に対し感染拡大のための特殊な通信を開始する。ネットワーク管理装置10はこのウィルス感染パケットを受信する。
(b)ステップS302において、受信したパケットの異常検査を行う。受信したパケットが異常であると判断した場合、ネットワーク管理装置はステップS307においてアドレス格納部の通信許可データを端末装置2の全ての通信を遮断するように変更する。このように変更を行うことによって、ネットワーク内の端末がウイルスに感染してしまった場合でも他の端末への感染拡大を防ぐことができる。さらにステップS308においてその旨を管理者に通知する。
異常だと判断されなかった場合は第1の実施形態と同様、通信の可否を判断し、許可された通信のみ転送を行い、許可されていない通信は破棄する。
第2の実施の形態によると、ネットワーク管理装置10は、従来のウィルス対策用ソフトウェアで定義されていない未知のウィルスにおいても、異常監視通知部16が感染源となる機器を検知し、属するネットワークから完全に遮断することにより、ウィルス感染による被害を最小限に抑えることが可能である。
(第3の実施の形態)
ネットワーク管理装置1のパケット転送部11は管理装置自身が持っていなければならない機能ではないため、図8に示すようにネットワーク管理装置1の位置に新たにルータ装置7aを設置し、パケット転送部11aの機能を肩代わりさせる構成をとることもできる。
ネットワーク管理装置1のパケット転送部11は管理装置自身が持っていなければならない機能ではないため、図8に示すようにネットワーク管理装置1の位置に新たにルータ装置7aを設置し、パケット転送部11aの機能を肩代わりさせる構成をとることもできる。
この場合、各端末のデフォルトゲートウェイとしてはルータ装置7aが指定される。又、アドレス割付部12がIPアドレスを割り付けたときは、アドレス格納部13及びルータ操作部14に通知される。この通知を受けたルータ操作部14は、アドレス格納部13に格納されている通信許可ルールに従って、ルータ装置7aのルーティングテーブルの設定を行う。この動作以外のIPアドレス割り付け動作や通信の流れは第1の実施の形態と同様である為、説明は省略する。このようにIPアドレスやルーティングテーブルを設定することにより、第1の実施形態と同様の効果を得ることができる。
ちなみに、図8ではルータ装置7aの直下にスイッチングHUB16を置き、そこにネットワーク管理装置1aを繋げているが、ネットワーク管理装置1aは図8の位置ではなくても、内部ネットワークAの中であればどこでも良い。
第3の実施の形態では、ネットワークに既存のルータを使用することが可能である。これにより、非常に高性能を必要とするネットワーク管理装置のパケット転送部11をルータに肩代わりさせることができ、比較的低性能のマシンでネットワーク管理装置1aを実現することができる。このことによって、第1の実施の形態と比べて、導入コストを低くすることが出来る。
(第4の実施の形態)
尚、第2の実施の形態の異常監視通知部16を備えたネットワーク管理装置10においても、第3の実施の形態と同様に既存のルータ装置7aを備えさせ、ネットワーク管理装置10と共同操作を行わせることも勿論可能である。これにより、ネットワーク管理装置10が比較的低性能のマシンで実現でき、第2の実施の形態と比べて、導入コストを低くすることが出来る。
尚、第2の実施の形態の異常監視通知部16を備えたネットワーク管理装置10においても、第3の実施の形態と同様に既存のルータ装置7aを備えさせ、ネットワーク管理装置10と共同操作を行わせることも勿論可能である。これにより、ネットワーク管理装置10が比較的低性能のマシンで実現でき、第2の実施の形態と比べて、導入コストを低くすることが出来る。
ちなみにこの実施形態をとる場合は、ルータ装置7aを流れる通信を全て傍受できるネットワーク構成をとる必要がある。
1、1a…ネットワーク管理装置
2,3…端末装置
4、8…LAN
5…メールサーバ
6…Webサーバ
7、7a…ルータ装置
9…外部ネットワーク
10、10a…ネットワーク管理装置
11、11a…パケット転送部
12…アドレス割付部
13…アドレス格納部
14…外部インタフェース
15…内部インタフェース
16…異常監視通知部
17…ルータ操作部
100…ネットワーク管理システム
2,3…端末装置
4、8…LAN
5…メールサーバ
6…Webサーバ
7、7a…ルータ装置
9…外部ネットワーク
10、10a…ネットワーク管理装置
11、11a…パケット転送部
12…アドレス割付部
13…アドレス格納部
14…外部インタフェース
15…内部インタフェース
16…異常監視通知部
17…ルータ操作部
100…ネットワーク管理システム
Claims (6)
- 複数の端末装置を備えるネットワークの管理を行うネットワーク管理装置であって、
前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、前記複数の端末装置のデフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ネットワーク管理装置のIPアドレスを設定するアドレス割付部と、
前記単一サブネットとなるように割り当てられたIPアドレスが前記ネットワーク内において前記端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部と、
前記通信許可ルールに基づいて、前記端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部と、
前記複数の端末装置が送受信するパケットの転送を行うルータ装置と、
前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、デフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ルータ装置のIPアドレスを設定するアドレス割付部と、
前記通信可否ルールに従って前記ルータ装置のルーティングテーブルを設定するルータ操作部と
を備えることを特徴とするネットワーク管理装置。 - 複数の端末装置を備えるネットワークの管理を行うネットワーク管理装置であって、
前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、前記複数の端末装置のデフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ネットワーク管理装置のIPアドレスを設定するアドレス割付部と、
前記単一サブネットとなるように割り当てられたIPアドレスが前記ネットワーク内において前記端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールを格納するアドレス格納部と、
前記通信許可ルールに基づいて、前記端末装置が送受信する通信パケットを転送又は破棄するかを決定するパケット転送部と、
前記複数の端末装置の少なくとも1台がウィルスに感染したと推測される異常通信を検知し、前記アドレス格納部内の前記通信許可ルールを更新する異常監視通知部
とを備えることを特徴とするネットワーク管理装置。 - 前記複数の端末装置が送受信するパケットの転送を行うルータ装置と、
前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当て、デフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ルータ装置のIPアドレスを設定するアドレス割付部(12)と、
前記通信可否ルールに従って前記ルータ装置のルーティングテーブルを設定するルータ操作部
とを更に備えることを特徴とする請求項2記載のネットワーク管理装置。 - 複数の端末装置を備えるネットワークにおいて、前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当てるステップと、
前記複数の端末装置のデフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ネットワークの管理装置のIPアドレスを設定するステップと、
前記単一サブネットとなるように割り当てられたIPアドレスが前記ネットワーク内において前記端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールをアドレス格納部に格納するステップと、
前記アドレス格納部内の前記通信許可ルールに基づいて、前記端末装置が送受信する通信パケットを転送又は破棄するかを決定するステップと、
前記デフォルトゲートウェイとして、前記ネットワークのゲートウェイに位置し、前記複数の端末装置が送受信するパケットの転送を行うルータ装置のIPアドレスを設定するステップと、
前記ルータ装置のルーティングテーブルを前記通信許可ルールに基づいて設定するステップ
とを備えることを特徴とするネットワーク管理方法。 - 複数の端末装置を備えるネットワークにおいて、前記ネットワークに割り当てられたIPアドレスの範囲をサブネットマスクのサブネットに分割し、前記複数の端末装置が個々に前記ネットワーク内にて単一サブネットとなるIPアドレスを保有するよう割り当てるステップと、
前記複数の端末装置のデフォルトゲートウェイとして前記ネットワークのゲートウェイに位置する前記ネットワークの管理装置のIPアドレスを設定するステップと、
前記単一サブネットとなるように割り当てられたIPアドレスが前記ネットワーク内において前記端末装置を含む他装置との間で通信可能か否かを示す通信許可ルールをアドレス格納部に格納するステップと、
前記アドレス格納部内の前記通信許可ルールに基づいて、前記端末装置が送受信する通信パケットを転送又は破棄するかを決定するステップと、
前記複数の端末装置の少なくとも1台がウィルスに感染したと推測される異常通信を検知し、前記アドレス格納部内の前記通信許可ルールを更新するステップと
を備えることを特徴とするネットワーク管理方法。 - 前記デフォルトゲートウェイとして、前記ネットワークのゲートウェイに位置し、前記複数の端末装置が送受信するパケットの転送を行うルータ装置のIPアドレスを設定するステップと、
前記ルータ装置のルーティングテーブルを前記通信許可ルールに基づいて設定するステップと
を更に備えることを特徴とする請求項5記載のネットワーク管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004287638A JP2006101414A (ja) | 2004-09-30 | 2004-09-30 | ネットワーク管理装置及びネットワーク管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004287638A JP2006101414A (ja) | 2004-09-30 | 2004-09-30 | ネットワーク管理装置及びネットワーク管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006101414A true JP2006101414A (ja) | 2006-04-13 |
Family
ID=36240771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004287638A Pending JP2006101414A (ja) | 2004-09-30 | 2004-09-30 | ネットワーク管理装置及びネットワーク管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006101414A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8145767B2 (en) | 2006-11-16 | 2012-03-27 | Sharp Kabushiki Kaisha | Sensor device, server node, sensor network system, method of establishing communication path, control program, and storage medium |
| EP3799351A1 (en) | 2019-09-26 | 2021-03-31 | Fujitsu Limited | Communication relay program, relay device communication relay method, and communication system |
-
2004
- 2004-09-30 JP JP2004287638A patent/JP2006101414A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8145767B2 (en) | 2006-11-16 | 2012-03-27 | Sharp Kabushiki Kaisha | Sensor device, server node, sensor network system, method of establishing communication path, control program, and storage medium |
| EP3799351A1 (en) | 2019-09-26 | 2021-03-31 | Fujitsu Limited | Communication relay program, relay device communication relay method, and communication system |
| US11671403B2 (en) | 2019-09-26 | 2023-06-06 | Fujitsu Limited | Relay device, non-transitory computer-readable storage medium and communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8261355B2 (en) | Topology-aware attack mitigation | |
| JP4327630B2 (ja) | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 | |
| US7607021B2 (en) | Isolation approach for network users associated with elevated risk | |
| US7890658B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| JP5943006B2 (ja) | 通信システム、制御装置、通信方法およびプログラム | |
| US20070192858A1 (en) | Peer based network access control | |
| US20070192500A1 (en) | Network access control including dynamic policy enforcement point | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| US20060191006A1 (en) | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater | |
| US20220021653A1 (en) | Network security device | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| CN112751814B (zh) | 一种信息上报方法、数据处理方法及装置 | |
| JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP2007266931A (ja) | 通信遮断装置、通信遮断プログラム | |
| US11159533B2 (en) | Relay apparatus | |
| JP2005250761A (ja) | アクセス制御システム | |
| US10050937B1 (en) | Reducing impact of network attacks in access networks | |
| JP2006101414A (ja) | ネットワーク管理装置及びネットワーク管理方法 | |
| JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
| KR101854996B1 (ko) | 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치 | |
| TWI732708B (zh) | 基於多接取邊緣運算的網路安全系統和網路安全方法 | |
| US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061128 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070619 |