JP2006270315A - ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム - Google Patents

ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム Download PDF

Info

Publication number
JP2006270315A
JP2006270315A JP2005083313A JP2005083313A JP2006270315A JP 2006270315 A JP2006270315 A JP 2006270315A JP 2005083313 A JP2005083313 A JP 2005083313A JP 2005083313 A JP2005083313 A JP 2005083313A JP 2006270315 A JP2006270315 A JP 2006270315A
Authority
JP
Japan
Prior art keywords
network
filtering rule
firewall server
communication
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005083313A
Other languages
English (en)
Other versions
JP4158777B2 (ja
Inventor
Suguru Shimamura
英 島村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005083313A priority Critical patent/JP4158777B2/ja
Publication of JP2006270315A publication Critical patent/JP2006270315A/ja
Application granted granted Critical
Publication of JP4158777B2 publication Critical patent/JP4158777B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク情報の設定変更が先に行われたり、悪意の第三者によってネットワーク情報の設定変更が行われたりしても、意図しない通信が行われてしまうことがないようにする。
【解決手段】ネットワーク情報の設定変更が行われた場合、ネットワーク設定変更手段123よりパケットフィルタ部122に対して、通信を全て遮断する遮断モードへの移行を指示する。また、ネットワーク設定変更手段123より、管理者11に対してフィルタリングルールの見直しを促す。これを受けて、管理者11は、ルール変更手段120を使用し、フィルタリングルール管理部121が管理しているフィルタリングルールを修正する。このフィルタリングルールの修正後、ルール変更手段120は、パケットフィルタ部122に遮断モードの解除を指示する。
【選択図】 図1

Description

この発明は、ネットワークの接続環境を示すネットワーク情報と通信の通過規則を示すフィルタリングルールとが設定されたファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラムに関するものである。
従来より、ファイアウォールシステムでは、不正アクセスやウイルスなどからの攻撃を避けるためにネットワーク間にファイアウォールサーバを設けている。
〔事例1〕
図7にファイアウォールサーバの設置例を示す。この例では、ファイアウォールサーバ1のネットワークインタフェースI0に外部ネットワーク2が接続され、ネットワークインタフェースI1に第1の内部ネットワーク3が接続され、ネットワークインタフェースI2に第2の内部ネットワーク4が接続されている。
また、ファイアウォールサーバ1内には、通信の通過規則を示すフィルタリングルールが設定されている。この例では、内部ネットワーク3と4との間の相互の任意の通信を可能にするために、次のようなフィルタリングルールが設定されている。
フィルタリングルール:「入力ネットワークインタフェース=I0以外かつ出力ネットワークインタフェースI0以外ならば通過させる」
ファイアウォールサーバ1は、このフィルタリングルールに従い、ネットワークインタフェースI0からの通信パケット、ネットワークインタフェースI0への通信パケットについては、これを破棄する。
〔DMZネットワークの増設〕
以上の前提条件の下、今、図8に示すように、新たにDMZネットワーク5を増設し、これをファイアウォールサーバ1のネットワークインタフェースI3に接続するものとする。この場合、管理者は、ネットワークインタフェースI3に対してアドレス等の必要な情報の設定を行う。すなわち、ファイアウォールサーバ1に設定されているネットワークの接続環境を示すネットワーク情報の設定変更を行う。
このとき、フィルタリングルールについても修正しないと、DMZネットワーク5に対しては外部ネットワーク2からの通信のみを許可したいにも拘わらず、「入力ネットワークインタフェース=I0以外かつ出力ネットワークインタフェースI0以外ならば通過させる」という従前のフィルタリングルールが適用されてしまうために、内部ネットワーク3とDMZネットワーク5との間の意図しない通信、内部ネットワーク4とDMZネットワーク5との間の意図しない通信が許可されてしまうことになる。
このため、管理者は、DMZネットワーク5をネットワークインタフェースI3に増設する場合、ネットワーク情報の設定変更と合わせてフィルタリングルールの修正を行い、両者に食い違いが生じないようにする必要がある。
〔事例2〕
図9にファイアウォールサーバの別の設置例を示す。この例では、ファイアウォールサーバ1のネットワークインタフェースI0にネットワーク6が接続され、ネットワークインタフェースI1にネットワーク7が接続されている。
ファイアウォールサーバ1内には通信の通過規則を示すフィルタリングルールが設定されている。この例では、ネットワーク6からネットワーク7へのSSH(Secure Shell)通信を許可するために、次のようなフィルタリングルールが設定されている。
フィルタリングルール:「入力ネットワークインタフェース=I0かつ出力ネットワークインタフェース=I1かつ通信=SSHならば通過させる」
〔ルータを介するネットワークの増設〕
このような状態から、今、図10に示すように、ネットワーク7の先にルータ8を設置し、このルータ8に新たなネットワーク9を接続するものとする。この場合、管理者は、ファイアウォールサーバ1内のルーティングテーブルに、ネットワーク情報として「宛先アドレスがネットワーク9に含まれる通信パケットはネットワークインタフェースI1から出力する」というエントリを追加する。
このとき、フィルタリングルールについても修正しないと、ネットワーク9に対してはネットワーク6からのSSH通信を禁止したいにも拘わらず、「入力ネットワークインタフェース=I0かつ出力ネットワークインタフェース=I1かつ通信=SSHならば通過させる」という従前のフィルタリングルールが適用されてしまうために、ネットワーク6からネットワーク9への意図しない通信が許可されてしまうことになる。
このため、管理者は、ルータ8を介してネットワーク9を増設する場合、ネットワーク情報の設定変更と合わせてフィルタリングルールの修正を行い、両者に食い違いが生じないようにする必要がある。
〔運用手順〕
上述した事例1、2から分かるように、ファイアウォールサーバ1にネットワークを増設する場合、管理者はネットワーク情報の設定変更とあわせてフィルタリングルールの修正を行う。この場合、ネットワーク情報の設定を先に行ってしまうと、フィルタリングルールの修正が行われるまで、ファイアウォールサーバ1を介して意図しない通信が行われてしまう可能性がある。
そこで、ファイアウォールサーバ1にネットワークを増設する場合、ファイアウォールサーバ1の動作を停止するなどして、一時的にファイアウォールサーバ1を介する通信を遮断状態としたうえ、ネットワーク情報の設定変更とフィルタリングルールの修正を行うという運用手順がとられる。
なお、ネットワーク情報の変更については、特許文献1に「ネットワーク機器における設定情報の変更」として示されている。また、フィルタリングルールについては、特許文献2に「パケットの通過規則」として示されている。
特開2002−190809号公報 特開2004−348292号公報
しかしながら、従来はファイアウォールサーバにネットワークを増設する際の運用手順が煩わしく、ミスが生じやすい。例えば、運用手順のミスにより、ファイアウォールサーバを介する通信を一時的に遮断状態とすることなく、ネットワーク情報の設定変更を先に行うと、フィルタリングルールの修正を行うまで、ファイアウォールサーバを介して意図しない通信が行われてしまう可能性がある。また、ネットワーク情報の設定変更後、フィルタリングルールの修正を忘れると、意図しない通信が許可され続けてしまうことになる。
また、ネットワーク情報の設定変更が悪意のある第三者によって行われた場合、知らない間に、ファイアウォールサーバを介して意図しない通信が行われてしまう虞れがある。
本発明は、このような課題を解決するためになされたもので、その目的とするところは、ネットワーク情報の設定変更が先に行われたり、悪意の第三者によってネットワーク情報の設定変更が行われたりしても、意図しない通信が行われてしまう虞れがないフィルタリングルール変更方法、ファイアウォールサーバおよびプログラムを提供することにある。
このような目的を達成するために本発明は、ファイアウォールサーバ内に設定されたネットワーク情報の設定変更を監視するようにし、ネットワーク情報の設定変更が確認された場合、ファイアウォールサーバを介する通信を全て遮断するとともに、ファイアウォールサーバ内に設定されているフィルタリングルールの変更を促すようにしたものである。
この発明によれば、ファイアウォールサーバにおいて、ネットワーク情報が設定変更されると、ファイアウォールサーバを介する通信が全て遮断されると同時に、フィルタリングルールの変更が促される。
〔事例1〕
例えば、ファイアウォールサーバへのネットワークの増設に際し、管理者が先にファイアウォールサーバ内のネットワーク情報を設定変更すると、ファイアウォールサーバにおける通信が自動的に遮断状態となり、管理者に対してフィルタリングルールの変更が促される。これに促されて、管理者はフィルタリングルールを修正するが、その間、ファイアウォールサーバにおける通信は遮断状態となっているので、ファイアウォールサーバを介して意図しない通信が行われてしまうことはない。フィルタリングルールの修正後、ファイアウォールサーバにおける通信の遮断状態を解除すると、修正されたフィルタリングルールによって通信が再開される。
〔事例2〕
例えば、悪意の第三者がネットワーク情報を設定変更すると、ファイアウォールサーバにおける通信が自動的に遮断状態となる。これにより、悪意の第三者によるファイアウォールサーバを介する意図しない通信を直ちに防ぐことができる。また、ファイアウォールサーバにおける通信が遮断状態となると同時に、管理者に対してフィルタリングルールの変更が促される。これにより、管理者は、自分がネットワーク情報の設定変更を行っていないにも拘わらず、フィルタリングルールの変更が促されたことから、悪意の第三者によってネットワーク情報の設定変更が行われたことを知ることができる。これにに促されて、管理者はフィルタリングルールを修正するが、その間、ファイアウォールサーバにおける通信は遮断状態となっているので、ファイアウォールサーバを介して意図しない通信が行われてしまうこともない。フィルタリングルールの修正後、ファイアウォールサーバにおける通信の遮断状態を解除すると、修正されたフィルタリングルールによって通信が再開される。
なお、本発明は、ファイアウォールサーバにおけるフィルタリングルール変更方法、この方法を適用したファイアウォールサーバ、この方法による処理を実現させるためのプログラムとして提供することも可能である。また、このプログラムを記憶させたフレキシブルディスク、CD−ROM、メモリカードなどの記録媒体としても提供可能である。
本発明によれば、ファイアウォールサーバ内に設定されたネットワーク情報の設定変更を監視するようにし、ネットワーク情報の設定変更が確認された場合、ファイアウォールサーバを介する通信を全て遮断するとともに、ファイアウォールサーバ内に設定されているフィルタリングルールの変更を促すようにしたので、例えば、管理者が先にファイアウォールサーバ内のネットワーク情報を設定変更しても、フィルタリングを修正するまでの間に意図しない通信が行われてしまう虞れがなく、運用手順にしばられることなく、ファイアウォールサーバへのネットワークの増設を行うことが可能となる。また、悪意の第三者によるネットワーク情報の設定変更に対しても、意図しない通信を防ぐことが可能となる。
また、本発明によれば、フィルタリングルールの変更が促されるので、フィルタリングルールの修正忘れが防止される。また、フィルタリングルールの変更を管理者に対して促すことにより、悪意の第三者によるネットワーク情報の設定変更を知ることが可能となり、フィルタリングルールの修正後、ファイアウォールサーバにおける通信の遮断状態を解除することによって、食い違いのないフィルタリングルールとネットワーク情報とに基づいて、ネットワーク間の通信を仲介することができるようになる。
以下、本発明を図面に基づいて詳細に説明する。
〔実施の形態1〕
図1は本発明に係るフィルタリングルール変更方法の実施に用いるファイアウォールサーバの一例(実施の形態1)を示すブロック構成図である。
このファイアウォールサーバ10は、ファイアウォール部12と、パケット入出力部13とから構成されている。
ファイアウォール部12は、ルール変更手段120と、フィルタリングルール管理部121と、パケットフィルタ部122と、ネットワーク設定変更手段123とから構成されている。
パケット入出力部13は、パケット処理部130と、ネットワーク設定管理部131とから構成されている。
ルール変更手段120は、管理者11にファイアウォールサーバ10内のフィルタリングルールを変更するためのユーザインタフェースを提供する。さらに、あらゆる通信パケット14を通過させない遮断モードの解除をパケットフィルタ部122に通知する機能を有する。
フィルタリングルール管理部121は、ルール変更手段120を利用して管理者11が設定する、ファイアウォールサーバ10を介した通信パケット14を通過させるか遮断するかを判定する基準(パケットの通過規則)となるフィルタリングルールを管理する機能を有する。
パケットフィルタ部122は、パケット入出力部13のパケット処理部130から通信パケット14を受け取る機能を有する。さらに、フィルタリングルール管理部121からフィルタリングルールを読み込み、通信パケット14の内容とフィルタリングルールの内容とを比較して、通信パケット14を通過させるかまたは破棄するかを判定する機能を有する。さらに、ファイアウォールサーバ10を通過してよいと判定した通信パケット14をパケット入出力部13のパケット処理部130へ引き渡す機能を有する。さらに、ネットワーク変更手段123から伝えられた、あらゆる通信パケット14を通過させない遮断モードへの移行指示にしたがって、すべての通信パケット14を破棄する機能を有する。
ネットワーク設定変更手段123は、管理者11にファイアウォールサーバ10内のネットワーク情報の設定を変更するためのユーザインタフェースを提供する。さらに、ネットワーク情報の設定を変更する際に、パケットフィルタ部122へあらゆる通信パケット14を通過させない遮断モードへ移行するように通知する機能を有する。さらに、ネットワーク情報の設定を変更する際に、フィルタリングルールを見直すように管理者11へ通知する機能を有する。
パケット処理部130は、ファイアウォールサーバ10を通過しようとする通信パケット14をネットワーク15から受け取り、パケットフィルタ部122へ通信パケット14を受け渡す機能を有する。さらに、パケットフィルタ部122においてファイアウォールサーバ10を通過してよいと判定された通信パケット14を受け取り、通信パケット14に記載された送信先とネットワーク情報に含まれるルーティングテーブルとを照らし合わせた結果、パケットを送出すべき適切なネットワークインタフェースへ通信パケット14を転送する機能を有する。
ネットワーク設定管理部131は、ネットワーク15から通信パケット14を受信するネットワークインタフェースに割り当てるアドレスや、通信パケット14の送信先ごとに、いずれのネットワークインタフェースから送出すべきかを定めるルーティングテーブルなどのネットワーク情報を保持している。
次に、図2に示すフローチャートを参照して、このファイアウォールサーバ10の動作について説明する。
例えば、ファイアウォールサーバ10に、新たなネットワークを増設する場合、管理者11は、ネットワーク設定変更手段123を使用して、ネットワーク設定管理部131が管理するネットワーク情報の設定変更を行う(ステップ200)。
このとき、ネットワーク設定変更手段123は、パケットフィルタ部122に対して、あらゆる通信パケット14を通過させない遮断モード、すなわち通信を全て遮断する遮断モードへ移行するように指示する(ステップ201)。これを受けて、パケットフィルタ部122は、ファイアウォールサーバ10を通過しようとするあらゆる通信パケット14を破棄する(ステップ207)。
また、ネットワーク設定変更手段123は、ネットワーク設定管理部131が管理するネットワーク情報の設定を実際に変更するとともに(ステップ202)、管理者11に対してフィルタリングルールの見直しを促す(ステップ203)。
ネットワーク設定変更手段123からフィルタリングルールを見直すように勧められた管理者11は、ルール変更手段120を使用して、現在用いられているフィルタリングルールを、設定変更したネットワーク情報と食い違いのないフィルタリングルールに修正する(ステップ204)。
管理者11によってフィルタリングルールが修正されると、フィルタリングルール管理部121は、その修正されたフィルタリングルールを格納する(ステップ205)。また、ルール変更手段120は、パケットフィルタ部122に遮断モードの解除を指示する(ステップ206)。
これにより、パケットフィルタ部122における遮断モードが解除され、ファイアウォールサーバ10を通過しようとする通信パケット14に対して、修正されたフィルタリングルールを基準とした通過/破棄の判定が再開される(ステップ208)。
以上の動作手順により、ネットワーク情報の設定の変更を検知し、管理者11に対してフィルタリングルールの修正を促すことによって、ネットワーク情報とフィルタリングルールとの間で食い違いのない設定を維持することが可能となる。
次に、図3を用いて、上述した動作内容を具体例に説明する。まず、前提として、この例では、ファイアウォールサーバ10のネットワークインタフェースI0に外部ネットワーク33が接続され、ネットワークインタフェースI1に第1の内部ネットワーク31が接続され、ネットワークインタフェースI2に第2の内部ネットワーク32が接続されているものとする。
また、ファイアウォールサーバ10内に、内部ネットワーク31と32との間の相互通信を許可することを目的として、次のようなフィルタリングルールが設定されているものとする。
フィルタリングルール:「入力ネットワークインタフェース=I0以外かつ出力ネットワークインタフェースI0以外ならば通過させる」
また、ファイアウォールサーバ10内に、ネットワーク情報として、次のようなネットワークインタフェースの設定が行われているものとする。
・ネットワークインタフェースI0
アドレス:172.16.1.1/24
・ネットワークインタフェースI1
アドレス:192.168.1.254/24
・ネットワークインタフェースI2
アドレス:192.168.2.254/24
〔DMZネットワークの増設〕
以上の前提条件の下で、今、図4に示すように、新たにDMZネットワーク34(192.168.3.0/24)を増設し、これをファイアウォールサーバ10のネットワークインタフェースI3に接続するものとする。
この場合、管理者11は、ネットワーク設定変更手段123を用いて、ネットワークインタフェースI3を介する通信を可能とするためのネットワーク情報の設定操作を行う。すなわち、現在のネットワーク情報に、次のようなネットワークインタフェースの設定を加える。
・ネットワークインタフェースI3
アドレス:192.168.3.254/24
すると、ネットワーク設定変更手段123は、パケットフィルタ部122に対して、あらゆる通信パケット14を破棄する遮断モードへの移行を指示する。そして、ネットワーク設定管理部131は、管理するネットワーク情報の設定を変更する。
一方、ネットワーク情報の設定の変更を検知したネットワーク設定変更手段123は、管理者11に対し、フィルタリングルールの見直しを行うように通知する。フィルタリングルールの見直しを勧められた管理者11は、現時点のフィルタリングルールを見直すことによって、現在の設定のままでは、DMZネットワーク34から内部ネットワーク31や32への通信が可能になってしまううえに、外部ネットワーク33からDMZネットワーク34への通信が不可能であることに気づくことができる。
よって、管理者11は、意図しない通信パケットの通過を禁止するために、ルール変更手段120を用いて、以下に示すようなフィルタリングルールを現状のフィルタリングルールよりも高い優先度で設定する。
フィルタリングルール:「入力ネットワークインタフェース=I0かつ出力ネットワークインタフェース=I3ならば通過させる」、「入力ネットワークインタフェース=I3ならば遮断する」
フィルタリングルール管理部121は、この修正されたフィルタリングルールを格納し、ルール変更手段120は、パケットフィルタ部122に対して遮断モードを解除するように指示する。遮断モードの解除通知を受け取ったパケットフィルタ部122は、あらゆる通信パケット14を破棄することをやめ、新たに設定されたフィルタリングルールに基づいた通信パケット14の通過/破棄の判定を再開する。
以上の説明から分かるように、本実施の形態のファイアウォールサーバ10によれば、管理者11が先にファイアウォールサーバ10内のネットワーク情報を設定しても、フィルタリングルールを修正するまでの間、パケットフィルタ部122があらゆる通信パケット14を破棄する遮断モードに移行しているので、変更前のフィルタリングルールではファイアウォールサーバ10を通過してしまうはずのDMZネットワーク33から内部ネットワーク31、内部ネットワーク32への通信パケット14が、ファイアウォールサーバ10を通過することが避けられる。これにより、運用手順にしばられることなく、ファイアウォールサーバ10へのDMZネットワーク33の増設を行うことが可能となる。また、管理者11にフィルタリングルールの変更が促されるので、フィルタリングルールの修正忘れが防止される。
また、本実施の形態のファイアウォールサーバ10によれば、ネットワーク設定管理部131が管理するネットワーク情報の設定変更が管理者ではなく、悪意の第三者によって行われた場合、パケットフィルタ部122があらゆる通信パケット14を破棄する遮断モードに自動的に移行するので、知らない間に、ファイアウォールサーバ10を介して意図しない通信が行われてしまう虞れがない。また、管理者11は、自分がネットワーク情報の設定変更を行っていないにも拘わらず、フィルタリングルールの変更が促されたことから、悪意の第三者によってネットワーク情報の設定変更が行われたことを知ることができる。また、これに促されて、管理者11はフィルタリングルールを修正するが、その間、ファイアウォールサーバ10における通信は遮断状態となっているので、ファイアウォールサーバ10を介して意図しない通信が行われてしまうこともない。
〔実施の形態2〕
次に、図5を用いて、本発明に係るフィルタリングルール変更方法の実施に用いるファイアウォールサーバの他の例(実施の形態2)について説明する。
この実施の形態2は、ファイアウォールサーバ10のファイアウォール部12に、変更検出通知手段124と、比較用ネットワーク情報125を保有するネットワーク設定監視部126が追加され、ネットワーク設定変更手段460がファイアウォールサーバ10とネットワークで接続された管理クライアント46内に存在し、ネットワーク設定監視部126がネットワーク設定管理部131に対してネットワーク情報の設定変更を定期的にポーリングする点で実施の形態1と異なる。
ネットワーク設定監視部126は、比較用ネットワーク情報125とネットワーク設定管理部131が管理するネットワーク情報とを定期的に比較し、ネットワーク設定管理部131が管理するネットワーク情報の設定変更を検出する機能を有する。さらに、ネットワーク情報の設定変更を検出したときには、変更検出通知手段124を介して管理者11に対してフィルタリングルールの見直しを促す機能を有する。なお、ネットワーク設定監視部126は、比較用ネットワーク情報125ととして、設定変更される前の最新の値とワーク情報を保有する。
変更検出通知手段124は、ネットワーク設定監視部126においてネットワーク情報の設定変更が検出された場合に、管理者11にその内容を通知するユーザインタフェースを提供する。
次に、図6に示すフローチャートを用いて、この実施の形態2のファイアウォールサーバ10での具体的な処理の流れを説明する。
例えば、ファイアウォールサーバ10に、新たなネットワークを増設するものとする。この場合、管理者11は、管理クライアント46のネットワーク設定変更手段460を使用して、ネットワーク情報の設定変更を行う(ステップ500)。これにより、ネットワーク設定変更手段460がネットワーク設定管理部131にアクセスし、ネットワーク情報の設定を実際に変更する(ステップ501)。
一方、ネットワーク設定監視部126は、ネットワーク設定管理部131が管理するネットワーク情報を定期的にポーリングし、比較用ネットワーク情報125と照合することによって、ネットワーク情報の設定変更を検出する(ステップ502)。
すると、ネットワーク設定監視部126は、パケットフィルタ部122に対して、あらゆる通信パケット14を破棄する遮断モードへの移行を指示する(ステップ503)。これにより、パケットフィルタ部122は、遮断モードへ移行し、ファイアウォールサーバ10を通過しようとするあらゆる通信パケット14を破棄する。
次に、ネットワーク設定監視部126は、変更検出通知手段124を起動する(ステップ504)。変更検出通知手段124は、メールやコンソール画面への出力を行うことによって、管理者11にフィルタリングルールの見直しを促す(ステップ505)。
変更検出通知手段124からフィルタリングルールを見直すように勧められた管理者41は、ルール変更手段120を使用して、現在用いられているフィルタリングルールを、設定変更したネットワーク情報と食い違いのないフィルタリングルールに修正する(ステップ506)。フィルタリングルール管理部121は、この管理者11によって修正されたフィルタリングルールを格納する(ステップ507)。
すると、ルール変更手段120がネットワーク設定監視部126にフィルタリングルールが修正された旨を通知する(ステップ508)。これを受けて、ネットーワーク設定監視部126は、ネットワーク設定管理部131が管理している最新のネットワーク情報を、新たな比較用ネットワーク情報125として格納する(ステップ509)。
この後、ネットワーク設定監視部126は、パケットフィルタ部122に遮断モードの解除を指示する。遮断モードの解除を指示されたパケットフィルタ部122は、ファイアウォールサーバ10を通過しようとする通信パケット14に対して、修正されたフィルタリングルールを基準とした通過/破棄の判定を再開する(ステップ510)。
以上の動作手順により、ネットワーク情報の設定変更を検知し、管理者11に対してフィルタリングルールの修正を促すことによって、ネットワーク情報とフィルタリングルールとの間で食い違いのない設定を維持することが可能となる。
この実施の形態2において、ファイアウォールサーバ10は、実施の形態1で示したようなネットワーク設定変更手段123を持たず、ファイアウォールサーバ10に接続された管理クライアント46におけるネットワーク設定変更手段460からの操作により、ネットワーク設定管理部131が管理するネットワーク情報の設定変更が行われる。なお、ファイアウォールサーバ10内のOSのコマンド等を利用することによって、ネットワーク情報の設定変更を行った場合であっても、同様にしてネットワーク情報の設定変更を検出することが可能である。
また、この実施の形態2において、ネットワーク設定監視部126は、ネットワーク情報を定期的にポーリングし、そのネットワーク情報と比較用ネットワーク情報125とを照合することによってネットワーク情報の設定変更を検知するので、悪意のある第三者がファイアウォールサーバ10に侵入し、故意にネットワーク情報の設定が変更されたとしても、意図しない通信を防ぐことができる。
上述した実施の形態1や実施の形態2におけるファイアウォールサーバ10内での処理動作は、プロセッサや記憶装置からなるハードウェアと、これらのハードウェアと協働して各種機能を実現させるプログラムとによって実現される。また、プログラムは媒体に記憶された形で提供され、ハードウェアシステムに組み込まれている記憶装置、例えばハードディスク装置にインストールされることによって実行される。
なお、従来技術として例示した特許文献1には、ネットワーク機器管理装置と複数のネットワーク機器保守管理装置とを通信ネットワークを介して接続したネットワーク機器管理システムが示されている。このネットワーク機器管理システムにおいて、ネットワーク機器管理装置は、定期的に機器保守管理装置を介してネットワーク機器の設定状況(ネットワーク情報)を監視し、差異があるときにはそれを外部に通知する。ネットワーク機器保守装置は、ネットワーク機器管理装置に指示されて、配下のネットワーク機器からその設定情報(ネットワーク情報)を取り込み、事前に保持しているネットワーク機器の既設設定情報と取り込んだ設定情報とを比較し、差異があるときにはその設定情報をネットワーク機器管理装置に報告するとともに、新たな既設設定情報として保持する。
この特許文献1に示されたネットワーク機器管理システムは、ネットワーク情報の設定変更が検出された場合、最新の設定をネットワーク機器保守装置とネットワーク機器管理装置に格納して世代管理を行うことを目的としており、ファイアウォールサーバの存在はなく、ネットワーク情報の設定が変更された場合にファイアウォールサーバを介した通信を全て遮断し、管理者に通知するというアクションはとられない。このネットワーク機器管理システムにおけるネットワーク機器の設定変更を検出することの効果は、ネットワーク機器における設定の最新状態を事業者側で一元的に管理できることであり、それ以上の効果はない。これに対して、本発明では、ファイアウォールサーバ内で、ネットワーク情報の設定変更を監視し、ネットワーク情報が変更された場合に、意図しない通信が行われることを避けることを目的としており、遠隔の装置やサイトは使用しない。
また、従来技術として例示した特許文献2には、ユーザ端末と通信網との間にファイアウォールを設置する構成が示されている。このファイアウォールは、不正なパケットを検知した場合、その旨の警告情報を含む監視結果情報をネットワークを介して監視センタへ送信する。監視センタでは、監視サーバが、監視結果情報の解析結果に基づいて、必要に応じて、パケットの通過規則を適切に変更し、変更情報を作成して、ファイアウォールへ送る。
この特許文献2において、不正なパケットの検知を特許文献1に示されたネットワーク情報の設定変更に置き換えた場合、ネットワーク情報の設定変更が検知された時に、監視センタからファイアウォール内のパケットの通過規則を変更することが考えられる。しかし、この場合、監視センタからパケットの通過規則が変更されるまで、ファイアウォール内では従前のパケット通過規則が適用されてしまうために、ファイアウォールを介して意図しない通信が行われてしまう。本発明を適用した場合、ファイアウォールを介する通信は全て遮断されるので、監視センタからパケットの通過規則が変更されるまでの間、ファイアウォールを介して意図しない通信が行われてしまうことはない。
本発明に係るフィルタリングルール変更方法の実施に用いるファイアウォールサーバの一例(実施の形態1)を示すブロック構成図である。 このファイアウォールサーバの動作を説明するためのフローチャートである。 このファイアウォールサーバの動作内容を具体例に説明するための図である。 図3においてDMZネットワークを増設する場合の動作内容を説明するための図である。 本発明に係るフィルタリングルール変更方法の実施に用いるファイアウォールサーバの他の例(実施の形態2)を示すブロック構成図である。 このファイアウォールサーバの動作を説明するためのフローチャートである。 ファイアウォールサーバの設置例(事例1)を示す図である。 事例1においてDMZネットワークを増設した際の意図しない通信を説明する図である。 ファイアウォールサーバの設置例(事例2)を示す図である。 事例2においてルータを介してネットワークをを増設した際の意図しない通信を説明する図である。
符号の説明
10…ファイアウォールサーバ、12…ファイアウォール部、13…パケット入出力部、14…通信パケット、15…ネットワーク、31,32…内部ネットワーク、33…外部ネットワーク、34…DMZネットワーク、I0,I1,I2,I3…ネットワークインタフェース、46…管理クライアント、120…ルール変更手段、121…フィルタリングルール管理部、122…パケットフィルタ部、123…ネットワーク設定変更手段、124…変更検出通知手段、125…比較用ネットワーク情報、126…ネットワーク設定監視部、130…パケット処理部、131…ネットワーク設定管理部、、460…ネットワーク設定変更手段。

Claims (6)

  1. ネットワークの接続環境を示すネットワーク情報と通信の通過規則を示すフィルタリングルールとが設定されたファイアウォールサーバにおけるフィルタリングルール変更方法であって、
    前記ネットワーク情報の設定変更を監視するステップと、
    前記ネットワーク情報の設定変更が確認された場合、前記ファイアウォールサーバを介する通信を全て遮断するとともに、前記フィルタリングルールの変更を促すステップと
    を備えたことを特徴とするファイアウォールサーバにおけるフィルタリングルール変更方法。
  2. ネットワークの接続環境を示すネットワーク情報と通信の通過規則を示すフィルタリングルールとが設定されたファイアウォールサーバにおいて、
    前記ネットワーク情報の設定変更を監視する手段と、
    前記ネットワーク情報の設定変更が確認された場合、前記ファイアウォールサーバを介する通信を全て遮断するとともに、前記フィルタリングルールの変更を促す手段と
    を備えたことを特徴とするファイアウォールサーバ。
  3. ネットワークの接続環境を示すネットワーク情報と通信の通過規則を示すフィルタリングルールとが設定されたファイアウォールサーバのコンピュータに、
    前記ネットワーク情報の設定変更を監視する処理と、
    前記ネットワーク情報の設定変更が確認された場合、前記ファイアウォールサーバを介する通信を全て遮断するとともに、前記フィルタリングルールの変更を促す処理と
    を実現させるためのプログラム。
  4. 請求項1に記載されたファイアウォールサーバにおけるフィルタリングルール変更方法において、
    さらに、
    前記フィルタリングルールの変更に促されて前記フィルタリングルールを修正するステップと、
    前記フィルタリングルールが修正された後に前記ファイアウォールサーバを介する全ての通信の遮断状態を解除するステップと
    を備えたことを特徴とするファイアウォールサーバにおけるフィルタリングルール変更方法。
  5. 請求項2に記載されたファイアウォールサーバにおいて、
    さらに、
    前記フィルタリングルールの変更に促されて修正された前記フィルタリングルールを格納する手段と、
    前記修正されたフィルタリングルールが格納された後に前記ファイアウォールサーバを介する全ての通信の遮断状態を解除する手段と
    を備えたことを特徴とするファイアウォールサーバ。
  6. 請求項3に記載されたプログラムにおいて、
    前記コンピュータに、
    さらに、
    前記フィルタリングルールの変更に促されて修正された前記フィルタリングルールを格納する処理と、
    前記修正されたフィルタリングルールが格納された後に前記ファイアウォールサーバを介する全ての通信の遮断状態を解除する処理と
    を実現させるためのプログラム。
JP2005083313A 2005-03-23 2005-03-23 ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム Expired - Fee Related JP4158777B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005083313A JP4158777B2 (ja) 2005-03-23 2005-03-23 ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005083313A JP4158777B2 (ja) 2005-03-23 2005-03-23 ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム

Publications (2)

Publication Number Publication Date
JP2006270315A true JP2006270315A (ja) 2006-10-05
JP4158777B2 JP4158777B2 (ja) 2008-10-01

Family

ID=37205833

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005083313A Expired - Fee Related JP4158777B2 (ja) 2005-03-23 2005-03-23 ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム

Country Status (1)

Country Link
JP (1) JP4158777B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010146960A1 (en) * 2009-06-15 2010-12-23 Canon Kabushiki Kaisha Information processing apparatus, control method thereof and computer program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010146960A1 (en) * 2009-06-15 2010-12-23 Canon Kabushiki Kaisha Information processing apparatus, control method thereof and computer program

Also Published As

Publication number Publication date
JP4158777B2 (ja) 2008-10-01

Similar Documents

Publication Publication Date Title
CN109565500B (zh) 按需安全性架构
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
US20060120284A1 (en) Apparatus and method for controlling abnormal traffic
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
JP2010015601A (ja) コンピュータシステム
US20140201297A1 (en) System, method and computer readable medium for processing unsolicited electronic mail
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
JP4398316B2 (ja) ネットワーク管理装置、ネットワーク管理方法、およびプログラム
KR20180046894A (ko) Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템
JP5177366B2 (ja) サービス提供システム、フィルタリング装置、及びフィルタリング方法
JP2008052325A (ja) 端末装置セキュリティ判定プログラム
JP2005193590A (ja) 印刷装置
JP4158777B2 (ja) ファイアウォールサーバにおけるフィルタリングルール変更方法、ファイアウォールサーバおよびプログラム
JP2007052550A (ja) コンピュータシステム及び情報処理端末
US11159533B2 (en) Relay apparatus
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
JPWO2006043327A1 (ja) 中継装置及びネットワークシステム
JP2008011008A (ja) 不正アクセス防止システム
JP4063771B2 (ja) ルータ
JP2007150927A (ja) 通信経路指定システム、ネットワーク中継装置、制御ポリシー設定装置及びそのネットワーク中継制御方法
JPWO2016170598A1 (ja) 情報処理装置、方法およびプログラム
JP2009259041A (ja) サーバ装置およびセキュリティ制御方法
JP5095286B2 (ja) 通信制御システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080624

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080707

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110725

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees