JP2006252109A - Network access controller, device for remote operation and system - Google Patents
Network access controller, device for remote operation and system Download PDFInfo
- Publication number
- JP2006252109A JP2006252109A JP2005066837A JP2005066837A JP2006252109A JP 2006252109 A JP2006252109 A JP 2006252109A JP 2005066837 A JP2005066837 A JP 2005066837A JP 2005066837 A JP2005066837 A JP 2005066837A JP 2006252109 A JP2006252109 A JP 2006252109A
- Authority
- JP
- Japan
- Prior art keywords
- threat level
- control
- function unit
- control condition
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、異なるネットワークセグメント間の通信を中継するネットワークアクセス制御装置、遠隔操作用装置及びシステムに関するものである。ネットワークアクセス制御装置とは、アクセス制御機能を有するルータやファイアウォール装置が相当する。 The present invention relates to a network access control device, a remote operation device, and a system that relay communication between different network segments. The network access control device corresponds to a router or firewall device having an access control function.
図12に示すように、従来のネットワークアクセス制御装置では、遠隔操作用装置310において、遠隔操作機能部311を起動し、遠隔操作により、ネットワークアクセス制御装置320における信号の通過又は遮断の制御を行う。
As shown in FIG. 12, in the conventional network access control device, the remote
遠隔操作用装置310は、このための条件を、ネットワークアクセス制御装置320内の制御条件設定機能部324で制御条件テーブル326に設定する。また、制御条件変更機能部325で制御条件テーブル326を変更する。
The
そして、信号観測機能部321でネットワークセグメント間の通信信号を観測し、信号解読機能部322で信号のデータ内容を解読し、解読した信号を信号制御機能部323でプロトコルの種類、発信元、受信先などの条件により、制御条件テーブル326に設定された制御条件に従い、通過又は遮断するか判定し、制御を行っていた。
The signal
しかしながら、従来の装置では、ネットワークアクセス制御装置320内の制御条件変更機能部325で制御条件テーブル326を変更する際には、図12のように、遠隔操作用装置310の遠隔操作機能部311をネットワークアクセス制御装置320内の制御条件変更機能部325に接続していた。
However, in the conventional apparatus, when the control condition table 326 is changed by the control condition
従って、複数のネットワークアクセス制御装置の変更操作を行う場合は、ネットワークアクセス制御装置ごとに遠隔操作機能部311を各ネットワークアクセス制御装置内の制御条件変更機能部325に接続し、制御条件テーブルを変更する操作を繰り返さなければならなかった。
Therefore, when performing a change operation of a plurality of network access control devices, the remote
また、コンピュータウィルスが流行している場合や、外部公開サーバに対するDOS攻撃が行われている場合など、一時的かつ緊急に、ネットワークに接続している情報処理装置の正常な動作を脅かす信号がネットワークセグメント内に侵入する危険がある場合は、従来の装置では、遠隔操作用装置310の遠隔操作機能部311を手動で起動し、各ネットワークアクセス制御装置内の制御条件変更機能部325により、制御条件テーブル326を変更する操作を行い、当該信号を遮断する制御条件に変更していた。そして、ウィルス対策などにより、危険が解除できた後に、再度当初の設定に復元する操作が必要であった。
In addition, signals that threaten the normal operation of information processing devices connected to the network temporarily and urgently, such as when a computer virus is prevalent or a DOS attack is being carried out on an external public server When there is a risk of entering the segment, in the conventional device, the remote
本発明は、異なるネットワークセグメント間の通信を中継するネットワークアクセス制御装置において、異なるネットワークセグメント間の通信信号を観測する信号観測機能部と、前記通信信号から前記異なるネットワークセグメント間の通信を制御する際の制御条件の情報を解読する信号解読機能部と、前記制御条件に従って信号を通過又は遮断することにより前記異なるネットワークセグメント間の通信を制御する信号制御機能部と、前記通信信号を制御する条件を格納する制御条件テーブルと、ネットワークの脅威の程度に応じて決定される脅威レベルと、前記脅威レベルを変更する脅威レベル変更機能部と、前記制御条件の組合せと前記脅威レベルを対応づけて格納する脅威レベル詳細テーブルと、前記脅威レベル詳細テーブルから前記脅威レベルに応じた制御条件を取り出し、前記制御条件テーブルに格納する制御条件生成部と、を備えたことを最も主要な特徴とする。 The present invention provides a network access control device that relays communication between different network segments, a signal observation function unit that observes communication signals between different network segments, and control of communication between the different network segments from the communication signals. A signal decoding function unit for decoding the control condition information, a signal control function unit for controlling communication between the different network segments by passing or blocking signals according to the control condition, and a condition for controlling the communication signal. A control condition table to be stored, a threat level determined according to the threat level of the network, a threat level changing function unit for changing the threat level, a combination of the control conditions and the threat level are stored in association with each other From the threat level detail table and the threat level detail table Taking out a control condition corresponding to the serial threat level, the most important feature in that and a control condition generating unit to be stored in the control condition table.
本発明のネットワークアクセス制御装置は、前記通信信号の制御条件を脅威の程度に応じて数値で定義する脅威レベルと、前記脅威レベルを変更する脅威レベル変更機能部と、前記制御条件の組合せと前記脅威レベルを対応づけて格納する脅威レベル詳細テーブルと、を備えたことにより、脅威レベルの数値の変更によって簡単な操作で制御条件テーブルの制御条件を変更できるという利点がある。 The network access control device according to the present invention provides a threat level that defines a control condition of the communication signal numerically according to a threat level, a threat level changing function unit that changes the threat level, a combination of the control conditions, The provision of the threat level detail table that stores the threat levels in association with each other has an advantage that the control conditions of the control condition table can be changed by a simple operation by changing the numerical value of the threat level.
制御条件を容易に変更するという目的を、ネットワークへのアクセス制御で、実現した。 The purpose of easily changing the control conditions was realized by controlling access to the network.
図1は、本発明のネットワークアクセス制御装置の実施例1を示すブロック図である。
図示のネットワークアクセス制御装置a110は、従来のものと同様に、信号観測機能部111、信号解読機能部112、信号制御機能部113、制御条件設定機能部114、制御条件変更機能部115、及び制御条件テーブル116を備えるとともに、本発明の特徴部分として、脅威レベル記憶部117、脅威レベル詳細テーブル118、制御条件テーブル生成部119を備える。
FIG. 1 is a block diagram showing a first embodiment of a network access control apparatus of the present invention.
The network access control device a110 shown in the figure is similar to the conventional one, the signal
また、図示の遠隔操作用装置130は、従来のものと同様に、遠隔操作機能部131を備えるとともに、本発明の特徴部分として、一括遠隔操作機能部132を備える。
信号観測機能部111は、異なるネットワークセグメント間の通信信号を観測する。
信号解読機能部112は、前記通信信号から前記異なるネットワークセグメント間の通信を制御する際の制御条件の情報を解読する。
Further, the illustrated
The signal
The signal
信号制御機能部113は、前記制御条件に従って信号を通過又は遮断することにより前記異なるネットワークセグメント間の通信を制御する。
制御条件テーブル116は、前記通信信号を制御する条件を格納するテーブルであり、ファイアウォールのフィルタリングテーブル等に相当する。
脅威レベル記憶部117は、遠隔操作用装置130から 通知された脅威レベルを格納するエリアである。
脅威レベルとは、前記通信信号の制御条件を脅威の程度に応じて数値で定義する。
制御条件設定機能部114は、前記制御条件テーブル116に制御条件を入力し、脅威レベルに数値を入力する。
The signal
The control condition table 116 stores conditions for controlling the communication signal, and corresponds to a firewall filtering table or the like.
The threat
The threat level is a numerical value that defines the control condition of the communication signal according to the degree of threat.
The control condition
制御条件変更機能部115は、前記制御条件テーブル116に設定された制御条件を変更する。
制御条件テーブル生成部119は、受信した脅威レベルに対応する制御条件を脅威レベル詳細テーブル118から抽出して、脅威レベルに応じた制御条件テーブル116を生成する。
脅威レベル詳細テーブル118は、前記制御条件の組合せと前記脅威レベルを対応づけて格納する。
The control condition changing
The control condition
The threat level detail table 118 stores the combination of the control conditions and the threat level in association with each other.
遠隔操作用装置130は、任意のネットワークセグメントに接続することができ、複数のネットワークアクセス制御装置の遠隔操作を可能とする。例えば、ネットワークセグメントAを中継し、ネットワークアクセス制御装置a110を操作する。また、ネットワークセグメントAを中継し、ネットワークアクセス制御装置b120を操作する(図2参照)。
The
遠隔操作機能部131は、例えば、ネットワークアクセス制御装置a110に宛てて設定用信号105を発行する。これにより、ネットワークアクセス制御装置a110の制御条件設定機能部114又は制御条件変更機能部115を起動する。
一括遠隔操作機能部132は、複数のネットワークアクセス制御装置を一斉に操作する。
図2は、本発明に係るシステムの全体構成を示す。
具体的なシステム構成としては、各ネットワークセグメントA,B,Cを、パーソナルコンピュータ、ルータ、ネットワークプリンタ等のネットワーク機器によって構成する。つまり、これらの機器をネットワークのノードとして構成される。
For example, the remote
The collective remote
FIG. 2 shows the overall configuration of the system according to the present invention.
As a specific system configuration, each network segment A, B, C is configured by a network device such as a personal computer, a router, or a network printer. That is, these devices are configured as network nodes.
図3は、ネットワークセグメントA101からネットワークセグメントB102宛にネットワークアクセス信号104が送信される場合のネットワークアクセス制御装置a110の動作を示す。
まず、ネットワークセグメントA101からネットワークアクセス信号104が送信される。その場合、ネットワークアクセス制御装置a110では、信号観測機能部111によりネットワークセグメントA101との間の通信回線に信号があるかどうかを観測している。
FIG. 3 shows the operation of the network access control apparatus a110 when the
First, the
信号観測機能部111は、ネットワークアクセス信号104を観測すると、そのネットワークアクセス信号104を信号解読機能部112に渡す。
信号解読機能部112は、ネットワークアクセス信号104に含まれるデータを解読し、制御条件に一致するか否かをチェックする。
ここに、制御条件とは、信号を制御するための条件をいい、具体例を挙げれば、次のようなものである。例えば、ネットワークアクセス信号104がウィルス等から発信されたおそれがある場合にその対策として信号を制御するとする。その場合の制御条件は、該当するプロトコルと、送信元、受信先によって決まる。または、受信先でウィルス対策が済んでいるか否かによって決定してもよい。
When the signal
The signal
Here, the control condition refers to a condition for controlling a signal, and a specific example is as follows. For example, when there is a possibility that the
このため、信号解読機能部112は、ネットワークアクセス信号104に含まれるデータを解読する。その情報としては、例えば、送信元および受信先のIPアドレスや通信プロトコルなどが挙げられる。
Therefore, the signal
図4は、制御条件テーブルの内容の一例を示す。
このテーブルは、異なるネットワークセグメント間の通信を制御するに際し、通常のフィルタリングを行うときに用いられる。これは、ファイアウォールの場合のフィルタリングテーブルに相当するものである。
図4に示す制御条件テーブルでは、ウィルス対策をする場合の制御条件の内容の一例を具体的に示している。
その制御条件は、図4の例では、送信元、送信先、通信プロトコルである。
FIG. 4 shows an example of the contents of the control condition table.
This table is used for normal filtering when controlling communication between different network segments. This corresponds to a filtering table in the case of a firewall.
The control condition table shown in FIG. 4 specifically shows an example of the contents of the control conditions when taking anti-virus measures.
The control conditions are a transmission source, a transmission destination, and a communication protocol in the example of FIG.
その具体的な内容は、セグメントBからセグメントAへのプロトコルXによる通信、およびセグメントAからセグメントBへのプロトコルY,Zによる通信のみを許可し、それ以外の通信を遮断するというものである。
ここに、セグメントとは、ネットワークセグメントに属するパーソナルコンピュータ、ルータ、ネットワークプリンタ等のネットワーク機器をいう。これらは、IPアドレスの範囲や、複数のIPアドレスで表現される。
The specific contents are that only communication by the protocol X from the segment B to the segment A and communication by the protocols Y and Z from the segment A to the segment B are permitted, and other communication is blocked.
Here, the segment refers to a network device such as a personal computer, a router, or a network printer that belongs to the network segment. These are expressed by a range of IP addresses or a plurality of IP addresses.
また、一般的なパケットフィルタリング型のファイアウォールの場合、制御条件は、図示のものの他に、ポート番号、通信方向等のパラメータが含まれる。しかしながら、本発明を説明するに際しては、上記最小限の条件のみを挙げれば十分であると考えられるため、省略することとする。
さて、上述した図4の内容は、脅威レベル3のときを示している。
ここに、脅威レベルとは、通信信号の制御条件を脅威の程度に応じて定義した数値をいう。
In the case of a general packet filtering type firewall, the control conditions include parameters such as a port number and a communication direction in addition to the illustrated control conditions. However, in describing the present invention, it is considered sufficient to list only the above-mentioned minimum conditions, and will be omitted.
The content of FIG. 4 described above shows the case of the
Here, the threat level is a numerical value that defines the control condition of the communication signal according to the degree of threat.
本発明における脅威レベルを図を用いて説明する。
図5は、脅威レベルと制御条件の設定方針の例を示す。
図では、脅威レベル1が最も脅威が大きく、脅威レベル5が最も脅威が小さい場合を表わす。例えば、危険度の高いウイルスやワームが流行中であり、外部とのネットワークを遮断する必要があるような場合は、脅威レベル1が該当する。
また、図6は、本発明における脅威レベル詳細テーブルの例を示す。
制御条件テーブルに含まれるパラメータに加え、脅威レベルが各条件ごとに付加されている。
遠隔操作装置から脅威レベルが指定されたとき、指定された脅威レベルと、脅威レベル詳細テーブルによって制御条件テーブルを生成する。
生成する方法は、図5に示すとおりである。
The threat level in the present invention will be described with reference to the drawings.
FIG. 5 shows an example of a threat level and control condition setting policy.
In the figure,
FIG. 6 shows an example of a threat level detail table in the present invention.
In addition to the parameters included in the control condition table, a threat level is added for each condition.
When a threat level is designated from the remote control device, a control condition table is generated based on the designated threat level and the threat level detail table.
The generation method is as shown in FIG.
具体的には、例えば、脅威レベル3が指定されたときは、図6の脅威レベル詳細テーブルから、脅威レベル1から3までの制御条件が取り出される。
このとき、上記の設定内容は、脅威レベル1の場合の制御条件(全て遮断)をベースとして、脅威レベルが低くなるに従って許可してよい通信内容が追加されるように設定される。すなわち、脅威レベルが低くなるに従って、制御条件はより緩和されるようになっている。
Specifically, for example, when
At this time, the above setting contents are set so that communication contents that may be permitted are added as the threat level becomes lower, based on the control condition (all blocking) in the case of
制御条件テーブルの生成時において、送信元、送信先、通信プロトコルの条件が重なる場合は、より低い脅威レベルの制御条件で上書きされる。例えば、脅威レベル詳細テーブルにおいて、脅威レベル3の場合は、プロトコルXの通信はセグメントAからBのみ通過するが、脅威レベル4の場合は、セグメントBからすべてのセグメントに対して通過する。また、プロトコルY、Zの通信については、セグメントAからBのみ通過するが、脅威レベル4の場合は、セグメントBからすべてのセグメントに対して通過する。このため、これらの設定は、脅威レベル4の設定で上書きされる。
When the control condition table is generated, if the conditions of the transmission source, the transmission destination, and the communication protocol overlap, they are overwritten with the control condition of a lower threat level. For example, in the threat level detail table, when the threat level is 3, the communication of the protocol X passes only from the segment A to B, but when the threat level is 4, the segment B passes through all the segments. In addition, for communications of protocols Y and Z, only the segments A to B pass, but in the case of the
この処理は、図7のようにして実現される。
図7は、制御条件テーブル生成処理のフローチャートである。
まず、ステップS1では、脅威レベル詳細テーブルから1つの制御条件を取り出す。そして、ステップS2で、より高い脅威レベルに同じ通信プロトコルが存在するか判定される。存在するときは、ステップS3で、送信先・送信元が一致するか判定する。その際に、ANY、つまり送信先や送信元を不問とする場合は一致すると見なす。その結果、一致するときは、ステップS4で、制御条件を上書きする。
This process is realized as shown in FIG.
FIG. 7 is a flowchart of the control condition table generation process.
First, in step S1, one control condition is extracted from the threat level detail table. Then, in step S2, it is determined whether the same communication protocol exists at a higher threat level. If it exists, it is determined in step S3 whether the transmission destination and the transmission source match. At that time, if ANY, that is, the transmission destination and the transmission source are unquestioned, they are regarded as matching. As a result, if they match, the control condition is overwritten in step S4.
一方、ステップS2で、より高い脅威レベルに通信プロトコルが存在しないときは、ステップS5で、新たな制御条件としてステップS1で取り出された制御条件を制御条件テーブルに追加する。
以上の処理を指定された脅威レベルまでの全ての制御条件について終了するまで繰り返す。
その結果、脅威レベル3のときは、図6の脅威レベル詳細テーブルから図4の制御条件テーブルが得られる。
また、脅威レベル4が指定された場合の制御条件テーブルは図8のようになる。
On the other hand, if there is no communication protocol at a higher threat level in step S2, the control condition extracted in step S1 is added to the control condition table as a new control condition in step S5.
The above processing is repeated until all the control conditions up to the specified threat level are completed.
As a result, when the threat level is 3, the control condition table of FIG. 4 is obtained from the threat level detail table of FIG.
Further, the control condition table when the
次に、上述した制御条件テーブル116を設定又は変更させる場合の動作を説明する。
管理者は図9に示す遠隔操作用装置130における遠隔操作機能部131を用いて、設定用信号105とともに、脅威レベル情報109に対応する制御条件情報108をネットワークセグメントA101を介してネットワークアクセス制御装置a110に送信する。そして、設定用信号105によって制御条件設定機能部114又は制御条件変更機能部115が起動される。
このとき、新規登録の場合は、制御条件設定機能部114が使用される。すでに行った設定を変更する場合は、制御条件変更機能部115が使用される。しかしながら、制御条件設定機能部114に変更機能を持たせても構わない。
Next, an operation when the control condition table 116 described above is set or changed will be described.
The administrator uses the remote
At this time, in the case of new registration, the control condition setting
制御条件設定機能部114および制御条件変更機能部115は、受け取った制御条件情報108と脅威レベル情報109とによって脅威レベル詳細テーブル118を設定、もしくは変更する。
このとき、脅威レベル詳細テーブル118の設定内容は、脅威レベルがより低い場合に、より緩和された制御条件が設定されるようにする。このチェックのため、ネットワークアクセス制御装置a110側か遠隔操作用装置130側に、入力した制御条件がより高い脅威レベルの制御条件に比べ、緩和した条件になっているかどうかをチェックする処理部を設けてもよい。
The control condition setting
At this time, the setting content of the threat level detail table 118 is such that more relaxed control conditions are set when the threat level is lower. For this check, a processing unit is provided on the network access control device a110 side or the
次に、制御条件を一括して変更させる場合の動作を説明する。
管理者は、図10に示す遠隔操作用装置130の一括遠隔操作機能部132を用いて、現在の脅威レベル指示信号106をネットワークセグメントA101を介してネットワークアクセス制御装置a110及びb120に送信する。そして、脅威レベル指示信号106によってネットワークアクセス制御装置a110及びb120に対して現在の脅威レベルが指定される。
これにより、ネットワークアクセス制御装置a110及びb120では、制御条件テーブル生成部119及び129がそれぞれ起動される。
Next, the operation when changing the control conditions in a batch will be described.
The administrator transmits the current threat level instruction signal 106 to the network access control devices a110 and b120 via the network segment A101 using the collective remote
Thereby, in the network access control devices a110 and b120, the control condition
これにより、ネットワークアクセス制御装置a110において、制御条件テーブル生成部119は、受信した脅威レベル情報109を脅威レベル記憶部117に保存する。制御条件テーブル生成部119は、保存した脅威レベルと脅威レベル詳細テーブル118をもとに、指定された脅威レベルに応じた制御条件テーブル116を、前述したように、図7のフローチャートに従って生成する。
Thereby, in the network access control apparatus a110, the control condition
一方、ネットワークアクセス制御装置b120において、制御条件テーブル生成部129は、受信した脅威レベル情報109を脅威レベル記憶部127に保存する。制御条件テーブル生成部129は、保存した脅威レベルと脅威レベル詳細テーブル128をもとに、指定された脅威レベルに応じた制御条件テーブル126を、図7のフローチャートに従って生成する。
On the other hand, in the network access control apparatus b120, the control condition table generation unit 129 stores the received
なお、制御条件テーブルは、制御条件の生成に先立って一旦クリアされる。制御条件テーブルがクリアされるときから制御条件テーブルの生成が終了されるときまでの間、すべての通信は遮断または通過を保留される。 Note that the control condition table is once cleared prior to generation of the control condition. From the time when the control condition table is cleared until the time when the generation of the control condition table is finished, all communication is blocked or blocked.
なお、遠隔操作用装置130に各セグメントからウィルス対策状況を通知させて受信するウィルス対策状況受信部を設け、各セグメントのウイルス対策状況を保持するようにし、そのときのウィルス対策状況に応じた脅威レベルを、自動的に指定させるようにしてもよい。
The
また、IDS等のネットワーク監視システムからウイルスの流行状況や攻撃状況等の情報を受け取り、それに応じた脅威レベルを自動的に指定するようにしてもよい。例えば、各セグメントから通知されたウイルス対策情報とウイルス対策ソフトの提供会社のサーバーから取得した最新ウイルス対策ソフト版数を比較し、ウイルス対策が済んでいないネットワークセグメントがあれば、脅威レベルを1段階挙げるようにすれば、自動的に制御テーブルを更新できる。 Further, information such as the virus epidemic status and the attack status may be received from a network monitoring system such as IDS, and the threat level corresponding thereto may be automatically designated. For example, the anti-virus information notified from each segment is compared with the latest anti-virus software version obtained from the server of the anti-virus software provider. If you list, you can automatically update the control table.
上述したように、実施例1によれば、遠隔操作用装置に一括遠隔操作機能部を設けたことにより、遠隔操作用装置から脅威レベル情報の変更操作を1回行うことで、複数のネットワークアクセス制御装置の脅威レベルを変更できる。
また、ネットワークアクセス制御装置に脅威レベル詳細テーブルを設けたことにより、脅威レベルにおけるレベル情報の数値が変更されると、脅威レベル変更機能部が、レベル情報に対応づけられた制御条件テーブルにおける制御条件情報も変更するので、簡単な操作で複数の制御条件を変更できる。
かつ、制御条件テーブルは従来と同じ形式であるので、アクセス制御の処理ロジックは従来のものをそのまま流用できる。
As described above, according to the first embodiment, since the remote operation device is provided with the collective remote operation function unit, it is possible to perform a plurality of network accesses by performing the threat level information change operation once from the remote operation device. The threat level of the control device can be changed.
Also, by providing the threat level detail table in the network access control device, when the numerical value of the level information at the threat level is changed, the threat level changing function unit controls the control condition in the control condition table associated with the level information. Since the information is also changed, a plurality of control conditions can be changed with a simple operation.
In addition, since the control condition table has the same format as the prior art, the conventional processing logic for access control can be used as it is.
実施例2では、図11に示すように、遠隔操作用装置230の一括遠隔操作機能部232が複数の遠隔操作機能部231、241を包含する。
これにより、複数のネットワークアクセス制御装置a110、b120の制御条件設定機能部114及び124または制御条件変更機能部115及び125を同時に起動する。
In the second embodiment, as shown in FIG. 11, the collective remote
As a result, the control condition setting
次に、制御条件を一括して設定及び変更させる場合の動作を説明する。
管理者は、図11に示す遠隔操作用装置230に備えた一括遠隔操作機能部232を起動する。一括遠隔操作機能部232は、遠隔操作機能部231、241を制御して、操作対象となる全てのネットワークアクセス制御装置に対して、指定された脅威レベルを指定する。このとき、どのネットワークアクセス制御装置に脅威レベルを指定するかを指定させてもよい。
Next, the operation when the control conditions are set and changed collectively will be described.
The administrator activates the collective remote
これにより、設定用信号105がネットワークセグメントA101からネットワークアクセス制御装置a110及びb120に送信される。そして、設定用信号105によって制御条件設定機能部114又は制御条件変更機能部115が起動される。
制御条件設定機能部114、124、および制御条件変更機能部115、125は、受け取った制御条件情報108と脅威レベル情報109とによって脅威レベル詳細テーブル118、128を設定、もしくは変更する。
このとき、脅威レベル詳細テーブル118、128の設定内容は、脅威レベルがより低い場合に、より緩和された制御条件が設定されるようにする。このチェックのため、ネットワークアクセス制御装置a110、b120側か遠隔操作用装置230側に、入力した制御条件がより高い脅威レベルの制御条件に比べ、緩和した条件になっているかどうかをチェックする処理部を設けてもよい。
As a result, the setting signal 105 is transmitted from the network segment A101 to the network access control devices a110 and b120. Then, the control condition setting
The control condition setting
At this time, the setting contents of the threat level detail tables 118 and 128 are such that more relaxed control conditions are set when the threat level is lower. For this check, a processing unit that checks whether the control conditions input to the network access control devices a110 and b120 or the
なお、実施例1と同じく、遠隔操作用装置130に各セグメントからウィルス対策状況を通知させて、各セグメントのウィルス対策状況を保持するようにし、そのときのウィルス対策状況に応じた脅威レベルを、自動的に一括指定させるようにしてもよい。
As in the first embodiment, the
また、IDS(侵入検知システム)等のネットワーク監視システムからウイルスの流行状況や攻撃状況等の情報を受け取り、それに応じた脅威レベルを自動的に一括指定するようにしてもよい。各セグメントごとのウイルス対策状況は実施例1と同様にして、確認できるが、さらに、ウイルス対策が済んでいないセグメントに隣接するネットワークアクセス制御装置にのみ高い脅威レベルを指定するよう、一括遠隔操作機能部132を動作させてもよい。
Further, information such as a virus epidemic state or an attack state may be received from a network monitoring system such as an IDS (intrusion detection system), and threat levels corresponding to the information may be automatically specified collectively. The anti-virus status for each segment can be confirmed in the same way as in the first embodiment, but further, the batch remote control function is used to specify a high threat level only to the network access control device adjacent to the segment for which anti-virus measures have not been completed. The
以上のように、実施例2によれば、遠隔操作用装置の一括遠隔操作機能部に遠隔操作機能部を包含させることにより、複数のネットワークアクセス制御装置の制御条件を一括して設定することが可能となる。これにより、ネットワークアクセス制御装置1台分の制御条件設定操作あるいは制御条件変更操作で、管理対象であるネットワークセグメント内のすべてのネットワークアクセス制御装置に制御条件を設定あるいは変更できる。 As described above, according to the second embodiment, it is possible to collectively set the control conditions of a plurality of network access control devices by including the remote operation function unit in the collective remote operation function unit of the remote operation device. It becomes possible. Thereby, the control condition can be set or changed in all the network access control devices in the network segment to be managed by the control condition setting operation or the control condition changing operation for one network access control device.
また、ネットワークアクセス制御装置の脅威レベルにネットワークの脅威度に対応させた意味を持たせ、下位の制御条件を上位で共有し、制御条件テーブルでは差分だけを追加削除することにより、下位脅威レベルの制御条件変更が、上位脅威レベルに対応する制御条件に必然的に反映され、一貫した制御条件の管理が実現できる。 In addition, the threat level of the network access control device has a meaning corresponding to the threat level of the network, the lower control conditions are shared with the upper level, and only the differences are added to or deleted from the control condition table. The control condition change is inevitably reflected in the control condition corresponding to the higher threat level, so that the control condition can be managed consistently.
また、例えば、ワーム型ウイルス流行時やサービス拒否を引き起こす通信(DOS)による攻撃が外部ネットワークセグメントから大量に流れてきた場合など、緊急に外部ネットワークセグメントとの通信を遮断したい場合、ネットワークがさらされている脅威度に合わせて「所定値」を変えると(例えば、3から 1または2に変更)、脅威レベル詳細テーブルの脅威レベル値を変更しなくとも相対的に所定値を上回るため、即時にネットワークセグメントの隔離が可能となる。 In addition, the network is exposed when it is necessary to urgently block communication with the external network segment, for example, when a worm-type virus epidemic occurs or a large number of attacks (DOS) that cause denial of service flow from the external network segment. If the “predetermined value” is changed in accordance with the threat level (for example, changed from 3 to 1 or 2), the threat level value is relatively exceeded without changing the threat level value in the threat level detail table. Network segment isolation is possible.
上述した実施例1及び2では、ネットワークアクセス制御装置a110、b120として、ネットワークセグメントA101、B102、C103へのアクセス制御を行うファイアウォール、ルータなどについて説明したが、本発明は、これに限らず、情報処理装置の電子的資源へのアクセス制御装置としても適用可能である。すなわち、上述した実施例において、通信の中継先を情報処理装置とし、通信解読対象を情報処理装置内のサービスポートやファイルアクセス先にする場合である。 In the first and second embodiments described above, the firewall, the router, and the like that perform access control to the network segments A101, B102, and C103 have been described as the network access control devices a110 and b120. The present invention can also be applied as an access control device to the electronic resource of the processing device. That is, in the above-described embodiment, the communication relay destination is the information processing apparatus, and the communication decoding target is the service port or file access destination in the information processing apparatus.
101 ネットワークセグメントA
110 ネットワークアクセス制御装置a
111 信号観測機能部
112 信号解読機能部
113 信号制御機能部
114 制御条件設定機能部
115 制御条件変更機能部
116 制御条件テーブル
117 脅威レベル
118 脅威レベル詳細テーブル
119 脅威レベル変更機能部
130 遠隔操作用装置
131 遠隔操作機能部
132 一括遠隔操作機能部
101 Network segment A
110 Network access control device a
DESCRIPTION OF
Claims (4)
異なるネットワークセグメント間の通信信号を観測する信号観測機能部と、
前記通信信号から前記異なるネットワークセグメント間の通信を制御する際の制御条件の情報を解読する信号解読機能部と、
前記制御条件に従って信号を通過又は遮断することにより前記異なるネットワークセグメント間の通信を制御する信号制御機能部と、
前記通信信号を制御する条件を格納する制御条件テーブルと、
ネットワークの脅威の程度に応じて決定される脅威レベルと、
前記脅威レベルを変更する脅威レベル変更機能部と、
前記制御条件の組合せと前記脅威レベルを対応づけて格納する脅威レベル詳細テーブルと、
前記脅威レベル詳細テーブルから前記脅威レベルに応じた制御条件を取り出し、前記制御条件テーブルに格納する制御条件生成部と、
を備えたことを特徴とするネットワークアクセス制御装置。 In a network access control device that relays communication between different network segments,
A signal observation function unit for observing communication signals between different network segments;
A signal decoding function unit for decoding information on a control condition when controlling communication between the different network segments from the communication signal;
A signal control function unit that controls communication between the different network segments by passing or blocking signals according to the control conditions;
A control condition table for storing conditions for controlling the communication signal;
Threat levels determined by the degree of network threat,
A threat level changing function unit for changing the threat level;
A threat level detail table for storing the combination of the control conditions and the threat level in association with each other;
A control condition generating unit that extracts control conditions corresponding to the threat level from the threat level detail table and stores them in the control condition table;
A network access control device comprising:
複数のネットワークアクセス制御装置に対して前記遠隔操作機能部により前記脅威レベルを送信する一括遠隔操作機能部と、
を備えたことを特徴とする遠隔操作用装置。 A remote operation function unit for transmitting the threat level to the network access control device according to claim 1;
A batch remote control function unit that transmits the threat level to the plurality of network access control devices by the remote control function unit;
A remote control device characterized by comprising:
ウイルス対策済でないネットワークセグメントが存在する場合に脅威レベルを上げる、
ことを特徴とする請求項2に記載の遠隔操作用装置。 An anti-virus status receiving unit that receives the anti-virus status of each network segment is further provided.
Raise the threat level when there are network segments that are not antivirus protected,
The remote control device according to claim 2, wherein the device is a remote control device.
請求項2または3に記載の遠隔操作用装置と、
から成るシステム。
A network access control device according to claim 1;
The remote control device according to claim 2 or 3,
A system consisting of
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005066837A JP2006252109A (en) | 2005-03-10 | 2005-03-10 | Network access controller, device for remote operation and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005066837A JP2006252109A (en) | 2005-03-10 | 2005-03-10 | Network access controller, device for remote operation and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006252109A true JP2006252109A (en) | 2006-09-21 |
Family
ID=37092546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005066837A Pending JP2006252109A (en) | 2005-03-10 | 2005-03-10 | Network access controller, device for remote operation and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006252109A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019176309A (en) * | 2018-03-28 | 2019-10-10 | ソフトバンク株式会社 | Duplication module, duplication method, duplication program, and monitoring system |
| WO2023079721A1 (en) * | 2021-11-08 | 2023-05-11 | 日本電気株式会社 | Data processing device, data processing method, and recording medium |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001325172A (en) * | 2000-05-17 | 2001-11-22 | Fujitsu Ltd | Communication setting management system |
| JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
| JP2003018157A (en) * | 2001-07-03 | 2003-01-17 | Mitsubishi Electric Corp | Communication controller, communication control system, and the communication control method |
| JP2003216577A (en) * | 2002-01-18 | 2003-07-31 | Komu Square:Kk | Method and system for providing security level information |
| WO2004095801A1 (en) * | 2003-03-31 | 2004-11-04 | Intel Corporation | Methods and systems for managing security policies |
| JP2004348292A (en) * | 2003-05-20 | 2004-12-09 | Nec Corp | Cybersecurity system, method for providing cybersecurity, and control program |
| JP2004355450A (en) * | 2003-05-30 | 2004-12-16 | Kyocera Communication Systems Co Ltd | System and method for supervising state of terminal |
-
2005
- 2005-03-10 JP JP2005066837A patent/JP2006252109A/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001325172A (en) * | 2000-05-17 | 2001-11-22 | Fujitsu Ltd | Communication setting management system |
| JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
| JP2003018157A (en) * | 2001-07-03 | 2003-01-17 | Mitsubishi Electric Corp | Communication controller, communication control system, and the communication control method |
| JP2003216577A (en) * | 2002-01-18 | 2003-07-31 | Komu Square:Kk | Method and system for providing security level information |
| WO2004095801A1 (en) * | 2003-03-31 | 2004-11-04 | Intel Corporation | Methods and systems for managing security policies |
| JP2006521598A (en) * | 2003-03-31 | 2006-09-21 | インテル コーポレイション | Method and system for managing security policies |
| JP2004348292A (en) * | 2003-05-20 | 2004-12-09 | Nec Corp | Cybersecurity system, method for providing cybersecurity, and control program |
| JP2004355450A (en) * | 2003-05-30 | 2004-12-16 | Kyocera Communication Systems Co Ltd | System and method for supervising state of terminal |
Non-Patent Citations (2)
| Title |
|---|
| 松枝 知直: "(自分で作ってネットワークがスッキリ分かる)LANはじめて講座", N+I NETWORK GUIDE, vol. 第2巻 第1号, JPN6010021039, 18 December 2001 (2001-12-18), JP, pages 99 - 104, ISSN: 0001595722 * |
| 織田 薫: "ゼロから学ぶ.NETで作るインターネット・サーバー 第3回", 日経INTERNET SOLUTIONS, vol. 第65号, JPN6010021037, 22 November 2002 (2002-11-22), JP, pages 124 - 131, ISSN: 0001595721 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019176309A (en) * | 2018-03-28 | 2019-10-10 | ソフトバンク株式会社 | Duplication module, duplication method, duplication program, and monitoring system |
| WO2023079721A1 (en) * | 2021-11-08 | 2023-05-11 | 日本電気株式会社 | Data processing device, data processing method, and recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8737398B2 (en) | Communication module with network isolation and communication filter | |
| US20180198801A1 (en) | Cyber vaccines and antibodies | |
| EP3175304B1 (en) | Apparatus and method for security of industrial control networks | |
| JP2005197823A (en) | Illegitimate access control apparatus between firewall and router | |
| US10193890B2 (en) | Communication apparatus to manage whitelist information | |
| JP2016220213A (en) | Configurable Robustness Agent in Plant Security System | |
| JP5411916B2 (en) | Protection relay and network system including the same | |
| JP2006339933A (en) | Network access control method and system thereof | |
| KR20160036201A (en) | Abnormal communication interception apparatus and method | |
| JP2006243878A (en) | Unauthorized access detection system | |
| JP2017005402A (en) | Communication device | |
| JP2017204721A (en) | Security system | |
| JP7006178B2 (en) | Security monitoring device | |
| JP6977507B2 (en) | Controls and control systems | |
| JP6068483B2 (en) | Method and apparatus for monitoring a mobile radio interface on a mobile terminal | |
| JP7150552B2 (en) | Network protection devices and network protection systems | |
| JP2005193590A (en) | Printing device | |
| JP4694578B2 (en) | Method and system for protecting a computer network from packet flood | |
| KR101881061B1 (en) | 2-way communication apparatus capable of changing communication mode and method thereof | |
| RU2304302C2 (en) | Method for processing network packets to detect computer attacks | |
| JP2007052550A (en) | Computer system and information processing terminal | |
| JP2006252109A (en) | Network access controller, device for remote operation and system | |
| US20190028479A1 (en) | Relay apparatus | |
| Yuhong et al. | Industrial internet security protection based on an industrial firewall | |
| JP2017163505A (en) | Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070131 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100118 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100420 |