JP2007006108A - パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム - Google Patents

パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム Download PDF

Info

Publication number
JP2007006108A
JP2007006108A JP2005183519A JP2005183519A JP2007006108A JP 2007006108 A JP2007006108 A JP 2007006108A JP 2005183519 A JP2005183519 A JP 2005183519A JP 2005183519 A JP2005183519 A JP 2005183519A JP 2007006108 A JP2007006108 A JP 2007006108A
Authority
JP
Japan
Prior art keywords
address
request
address translation
relay
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005183519A
Other languages
English (en)
Inventor
Katsutomo Matsuura
克智 松浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005183519A priority Critical patent/JP2007006108A/ja
Publication of JP2007006108A publication Critical patent/JP2007006108A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ポートスキャンによりポートを検知されることなく、WANからアクセス制御やアドレス変換の設定を変更でき、同じポート番号で複数のサーバを公開したりポート番号の無いプロトコルでも複数の端末が通信できるパケット中継方法、並びに中継装置、サーバ装置、及び通信システムを提供する。
【解決手段】ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置1において、アクセス制御部13は、認証サーバからのみアクセス制御ルール及びアドレス変換ルールの追加又は削除要求を受け付け、該要求によりアクセス制御テーブルを変更し、アドレス変換部14にアドレス変換ルールの追加又は削除を要求する。アドレス変換部14は、アドレス変換ルールの追加又は削除要求により、アドレス変換テーブルを変更する。
【選択図】図1

Description

本発明は、インターネットなどのWAN(Wide Area Network)とローカルエリアネットワーク(LAN)とを相互に接続し、WANから受信したパケットの通過を制御してLAN内の資源を保護したり、WANで使われるアドレスとLANで使われるアドレスとを相互変換して、WANで使われる1つのアドレスによりLAN内の複数の端末がWANへアクセスできるようにしたりするパケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システムに関する。
従来、インターネットなどのWANとLANとを相互に接続する中継装置が知られており、LAN内の資源を保護するために、WANからのパケットの宛先や送信元をチェックし、設定されたセキュリティポリシーに従って許可されたパケットのみLAN内に通過させるファイアウォール機能や、WANで使われる1つのアドレスによりLAN内の複数の端末がWANへアクセスできるように、WANで使われるアドレスとLANで使われるアドレスとを相互変換するアドレス変換(NAT:Network Address Translator)機能を備えている。
このような中継装置のファイアウォール機能において、認証により確認されたユーザからのアクセスにより、インターネットからでもファイアウォール装置に設定されているセキュリティポリシーを変更可能にしたものもある(例えば、特許文献1参照)。
また、アドレス変換機能において、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)のポート番号により、WANからのアクセスをLAN内の端末に振り分けることにより、WANからのLAN内の端末へのアクセスを可能にするものがある(例えば、特許文献2参照)。
特開2003‐132020号公報 特開2004‐112018号公報
しかしながら、特許文献1に記載のものでは、WANからLAN内の認証サーバへアクセスさせるため、特定のポート(例えば、9999番)は誰でもアクセス可能となっており、ポートスキャンによりこのポートが検知され第三者からアクセスされる可能性がある。
また、特許文献2に記載のものでは、WANからLAN内の端末へアクセスさせるとき、ポート番号一つに対して一つの端末に対応させることしかできないので、例えば、http(HyperText Transport Protocol)のディフォルトポート番号である80番で複数のサーバを公開することができない。さらに、ポート番号が無いプロトコル(IPsec (Security Architecture for Internet Protocol)やICMP(Internet Control Message Protocol)など)の場合も複数の端末で通信をすることができない。
そこで、本発明は、ポートスキャンによりポートを検知されることなく、WANからアクセス制御やアドレス変換の設定を変更でき、同じポート番号で複数のサーバを公開したりポート番号の無いプロトコルでも複数の端末が通信できるパケット中継方法、並びに中継装置、サーバ装置、及び通信システムを提供することを目的とする。
上記課題を解決するため、本発明のパケット中継方法は、ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置を用いて前記ローカルなネットワークと前記グローバルなネットワークとの間の通信におけるパケットを中継するパケット中継方法であって、前記中継装置は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみによりファイアウォール設定を変更し、前記グローバルなネットワークからのパケットを、前記ファイアウォール設定に基づいて許可されると判断されたパケットのみに関して前記ローカルなネットワーク内に通過させると共に、所定の終了条件に基づいて、前記サーバ装置からの要求によって変更したファイアウォール設定を使った通信が終了したと判断したときに、前記サーバ装置からの要求によって変更したファイアウォール設定を変更前の状態に戻すことを特徴とする。
本発明のパケット中継方法では、グローバルなネットワーク上の所定のサーバ装置からの要求のみが受け付けられ、この要求によりファイアウォール設定が変更され、他の装置からの要求は無視される。
また、上記課題を解決するため、本発明のパケット中継方法は、ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置を用いて前記ローカルなネットワークと前記グローバルなネットワークとの間の通信におけるパケットを中継するパケット中継方法であって、前記中継装置は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより、前記グローバルなネットワークから受信したパケットの送信元アドレスに対して前記ローカルなネットワークにおけるアドレスを対応付けたアドレス変換ルールを含むアドレス変換テーブルに、前記サーバから要求されたアドレス変換ルールを追加し、前記ローカルなネットワークで使用されるアドレスと前記グローバルなネットワークで使用されるアドレスとを、前記アドレス変換テーブルに含まれるアドレス変換ルールに基づいて相互に変換してパケットを中継すると共に、所定の終了条件に基づいて、前記サーバ装置からの要求によって追加したアドレス変換ルールを使った通信が終了したと判断したときに、前記サーバ装置からの要求によって追加したアドレス変換ルールを前記アドレス変換テーブルから削除することを特徴とする。
本発明のパケット中継方法では、グローバルなネットワーク上の所定のサーバ装置からの要求のみが受け付けられ、この要求によるアドレス変換ルールが追加され、他の装置からの要求は無視される。
上記課題を解決するため、本発明の中継装置は、ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置であって、前記グローバルなネットワークからのパケットを、ファイアウォール設定に基づいて許可されると判断されたパケットのみに関して前記ローカルなネットワーク内に通過させるアクセス制御手段を備え、前記アクセス制御手段は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより前記ファイアウォール設定を変更し、所定の終了条件に基づいて、該サーバ装置からの要求によって変更したファイアウォール設定を使った通信が終了したと判断したときに、前記サーバ装置からの要求によって変更したファイアウォール設定を変更前の状態に戻す手段を有することを特徴とするものである。
本発明の中継装置では、グローバルなネットワーク上の所定のサーバ装置からの要求のみが受け付けられ、この要求によりファイアウォール設定が変更される。したがって、他の装置からの要求は無視される。
また、上記課題を解決するため、本発明の中継装置は、ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置であって、前記ローカルなネットワークで使用されるアドレスと前記グローバルなネットワークで使用されるアドレスとを、前記グローバルなネットワークから受信したパケットの送信元アドレスに対して前記ローカルなネットワークにおけるアドレスを対応付けたアドレス変換ルールを含むアドレス変換テーブルに基づいて相互に変換するアドレス変換手段を備え、前記アドレス変換手段は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより、前記サーバから要求されたアドレス変換ルールを前記アドレス変換テーブルに追加し、所定の終了条件に基づいて、該サーバ装置からの要求によって追加したアドレス変換ルールを使った通信が終了したと判断したときに、前記サーバ装置からの要求によって追加したアドレス変換ルールを前記アドレス変換テーブルから削除する手段を有することを特徴とするものである。
本発明の中継装置では、グローバルなネットワーク上の所定のサーバ装置からの要求のみが受け付けられ、この要求によるアドレス変換ルールが追加される。したがって、他の装置からの要求は無視される。
また、上記課題を解決するため、本発明のサーバ装置は、端末装置と中継装置が接続されているネットワークに接続されたサーバ装置であって、前記ネットワーク上の端末装置からの認証要求により前記端末装置から受信した認証情報に基づいて前記端末装置を操作するユーザの認証を行う認証手段と、前記認証手段によって認証されたユーザが操作する前記端末装置に対応するアクセス許可を前記端末装置のアドレスに与えるように、ファイアウォール機能を備えた前記中継装置に対してファイアウォール設定の変更要求を行う手段と、前記端末装置からの通信終了通知を受信したとき、または、パケットの送受信が一定時間以上無くなったとき、または、通信開始時から一定時間経過したとき、のうちの少なくとも何れか1つの終了条件を満たしたときに、前記中継装置に対して前記端末装置のアドレスに与えたアクセス許可を解除するようにファイアウォール設定を元の状態に戻す要求を行う手段とを備えていることを特徴とするものである。
本発明のサーバ装置では、認証要求してきた端末装置のアドレスに対し、認証されたユーザが操作する端末装置に対応するアクセス許可が中継装置に設定され、前記終了条件が満たされたときに元に戻される。したがって、前記端末装置による通信中のみファイアウォールの設定が変更される。
上記課題を解決するため、本発明のサーバ装置は、端末装置と中継装置が接続されているネットワークに接続されたサーバ装置であって、前記ネットワーク上の端末装置からの認証要求により前記端末装置から受信した認証情報に基づいて前記端末装置を操作するユーザの認証を行う認証手段と、前記認証手段によって認証されたユーザが操作する前記端末装置のアドレスを送信元とするアドレス変換ルールを追加するように、アドレス変換機能を備えた前記中継装置に対してアドレス変換ルールの追加要求を行う手段と、前記端末装置からの通信終了通知を受信したとき、または、パケットの送受信が一定時間以上無くなったとき、または、通信開始時から一定時間経過したとき、のうちの少なくとも何れか1つの終了条件を満たしたときに、前記中継装置に対して前記端末装置に対応するアドレス変換ルールを削除する要求を行う手段とを備えていることを特徴とするものである。
本発明のサーバ装置では、認証要求してきた端末装置のアドレスに対し、認証されたユーザが操作する端末装置に対応するアドレス変換ルールが中継装置に設定され、前記終了条件が満たされたときに元に戻される。したがって、前記端末装置による通信中のみアドレス変換ルールが変更される。
本発明によれば、中継装置は、所定のサーバ装置からの要求のみを受け付け、該要求によってファイアウォールの設定やアドレス変換ルールを変更しているので、ポートスキャンによりポートを検知されることなく、グローバルなネットワークからアクセス制御やアドレス変換の設定を変更できる。
また、グローバルなネットワークから受信したパケットの送信元アドレスに対応したアドレス変換ルールを含んでいるので、同じポート番号で複数のサーバを公開することができ、ポート番号の無いプロトコルでも複数の端末が通信できる。
以下、本発明の一実施形態を図面を参照して説明する。
図1は本発明の一実施形態の中継装置を示すブロック図である。
図1において、1は中継装置で、インターネットなどのWANとLANとの間に介在されてこれらに接続され、WANとのパケットの送受信を行うWAN側ネットワークインターフェース部11と、LANとのパケットの送受信を行うLAN側ネットワークインターフェース部12と、WAN側ネットワークインターフェース部11およびLAN側ネットワークインターフェース部12が受信したパケットを分析してアクセス制御を行うアクセス制御部13と、アクセス制御部13で通過が許可されたパケットおよびLAN内からWAN側へ送信されるパケットを分析してアドレス変換を行うアドレス変換部14と、アクセス制御のためのデータやアドレス変換のためのデータを蓄えているデータベース部15とを備えている。
この中継装置1は、ファイアウォール機能を備えており、アクセス制御部13は、データベース部15に記憶されている図2に示すようなアクセス制御テーブルに基づいて、WAN側ネットワークインターフェース部11で受信したパケットをLAN側ネットワークインターフェース部12を介してLAN側に送信するか否かを決定している。
図2に示すアクセス制御テーブルにおいて、「ソースIPアドレス」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ソースポート番号」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元ポート番号を示し、「ディスティネーションIPアドレス」の列は、WAN側ネットワークインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WAN側ネットワークインターフェース部11で受信したパケットのプロトコル名および該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元および宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。
なお、「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名として、予め設定されていたプロトコル名とポート番号に対応付けられたプロトコル名を使用することができる。
例えば、図2に示すアクセス制御テーブルの1行目では、送信元IPアドレス、ポート番号に関係なく、宛先IPアドレスが「123.123.123.123」で、かつプロトコル名が「https(HyperText Transfer Protocol Security、例えばTCPの443)」であるパケットは、LAN側に送信される(accept)。
同様に、図2に示すアクセス制御テーブルの2行目では、送信元IPアドレスが「211.250.250.100」で、宛先IPアドレスが「123.123.123.123」で、かつプロトコル名が「ssh(Secure SHell、例えばTCPの22)」であるパケットは、LAN側に送信され、3行目では、全てのパケットが廃棄される(drop)。
アクセス制御部13は、このようなアクセス制御テーブルの上の行から順に、受信したパケットが一致するか否かを検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図2に示したアクセス制御テーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、この中継装置1は、データベース部15に、図3に示すようなアドレス変換テーブルを記憶しており、アドレス変換部14は、このアドレス変換テーブルに基づいて、WAN側ネットワークインターフェース部11で受信しアクセス制御部13を通過したパケットのディスティネーションIPアドレスをLANの内部のIPアドレスに変換して、LAN側ネットワークインターフェース部12を介してLAN側に送信する。
また、LAN側ネットワークインターフェース部12で受信したパケットのソースIPアドレスをWANのIPアドレス(グローバルアドレス)に変換して、アクセス制御部13に出力し、アクセス制御部13で許可されたパケットがWAN側ネットワークインターフェース部11を介してWAN側に送信される。
図3に示すアドレス変換テーブルにおいて、「ソースIPアドレス」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元IPアドレスを示し、「ディスティネーションIPアドレス」の列は、WAN側ネットワークインターフェース部11で受信したパケットの宛先IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、WAN側ネットワークインターフェース部11で受信したパケットのプロトコル名および該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部IPアドレス」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元および宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先IPアドレスに設定するLANのプライベートアドレスを示し、「プロトコルおよびポート番号」の列は、WAN側ネットワークインターフェース部11で受信したパケットの送信元および宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。
例えば、図3に示したアドレス変換テーブルの1行目では、送信元IPアドレスに関係なく、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCPの443(https)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
同様に、図3に示したアドレス変換テーブルの2行目では、送信元IPアドレスが「211.250.250.100」で、宛先IPアドレスが「123.123.123.123」でかつ宛先ポート番号が「TCPの22(SSH)」であるパケットは、宛先IPアドレスを「192.168.100.5」に書き替えられ、宛先ポート番号はそのままでLAN側に送信される。
このように設定することで、WAN側からの特定ポートまたはポートを持たないプロトコルへのアクセスをLAN内の端末に振り分けることができる。
また、アドレス変換部14は、このようなアドレス変換テーブルの上の行から順に、受信したパケットが一致するか否かを検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図3に示したアドレス変換テーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。
また、図3に示したアドレス変換テーブルの状態は、初期状態で、通信中の端末が無い状態のものであり、LAN内に存在する端末からの通信要求により、また後述するWAN側のサーバからの要求により、アドレス変換ルールが追加されて、WAN側からLAN内へのパケット、LAN内からWAN側へのパケットのそれぞれのアドレスが図3のアドレス変換テーブルに従って変換されて送信される。
前述した構成より成る中継装置1は、例えば図4に示すように、インターネット6に接続され、インターネット6上の認証サーバ2からの要求のみにより、図2に示したアクセス制御テーブルにアクセス制御ルールを追加し、図3に示したアドレス変換テーブルにアドレス変換ルールを追加できるようになっている。
具体的には、図4に示すように、中継装置1はインターネット6とLAN7に接続され、LAN7には端末3a,3b及びサーバ4a,4bが接続されて、これら全体で通信システムを構成している。
認証サーバ2は、中継装置1にアクセス可能なユーザを認証するための認証情報や、ユーザ毎にアクセスが許可されている中継装置1のアドレス、追加するアクセス制御ルール及びアドレス変換ルールなどのアクセス情報を記憶しており、インターネット6上の端末5a〜5cからの要求と共に受信した認証情報に基づいてユーザの認証を行い、認証されればアクセス情報に基づいて中継装置1にアクセス制御ルール及びアドレス変換ルールの追加を要求する。
例えば、インターネット6上の端末5aからサーバ4aと通信したい場合、端末5aを操作するユーザは、インターネット6上の認証サーバ2に接続し、認証サーバ2によって認証を受ける。
認証サーバ2による上記認証は、識別情報(ID)とパスワードの簡易なものから、ワンタイムパスワードや生体情報による高度なソフトウェア機能による認証でもよい。なお、このような認証に用いる情報は、インターネット上での情報漏洩を防ぐため、暗号化して送信することが好ましい。
認証サーバ2は、端末5aから認証要求を受けると、この認証要求の送信元アドレスを端末5aのアドレスとして記憶し、端末5aから受信した認証情報と記憶している認証情報に基づいて端末5aを操作するユーザの認証を行う。
ユーザが認証されれば、認証サーバ2は、記憶している当該ユーザのアクセス情報に基づいて、アクセスが許可されている中継装置1に対して、記憶している端末5aのアドレスを送信元アドレスとするアクセス制御ルール及びアドレス変換ルールの追加要求を送信する。
例えば、端末5aを操作するユーザがサーバ4aへのhttpアクセスのみ許可されている場合、認証サーバ2は、図5に示すような、端末5aのアドレス111.222.234.123を送信元としたhttpアクセスを許可するアクセス制御ルールと、図6に示すような、端末5aのアドレス111.222.234.123を送信元としたhttpのパケットの送信先アドレスをサーバ4aのアドレス192.168.100.4に変更するアドレス変換ルールの追加を中継装置1に対して要求する。
中継装置1のアクセス制御部13は、認証サーバ2からのアクセス制御ルール及びアドレス変換ルールの追加要求を受信すると、受信したアクセス制御ルールをデータベース部15に記憶しているアクセス制御テーブルに追加するとともに、アドレス変換部14に受信したアドレス変換ルールを追加するように要求する。
アドレス変換部14は、アクセス制御部13からアドレス変換ルールの追加要求を受けると、受信したアドレス変換ルールをデータベース部15に記憶しているアドレス変換テーブルに追加する。
例えば、上述の端末5aからのhttpアクセスを許可し、サーバ4aにアクセスされる場合、図2に示したアクセス制御テーブルに図5に示すアクセス制御ルールを追加し、アクセス制御テーブルを図7に示すように変更すると共に、図3に示したアドレス変換テーブルに図6に示すアドレス変換ルールを追加し、アドレス変換テーブルを図8に示すように変更する。
そして、アクセス制御ルール及びアドレス変換ルールの追加が終わると、アクセス制御部13は、認証サーバ2に追加完了通知を返送する。
認証サーバ2は、中継装置1から追加完了通知を受信すると、記憶している端末5aのアドレスと中継装置1のアドレスと追加したアクセス制御ルール及びアドレス変換ルールを関連付けて通信中情報として記憶し、端末5aに対して、認証されてアクセスが可能になった旨と、アクセス可能情報としてアクセスが許可されたサービス名(例えば、Webカメラなど、IPアドレスとポート番号でもよい)などを送信する。
端末5aでは、受信した情報を表示することにより、アクセスが可能になった旨とアクセス可能情報をユーザに知らせることができる。
このようにして、端末5aからのhttpアクセスはサーバ4aに振り分けられ、その他の端末からのhttpアクセスは拒否されることになる。
アクセスが可能になったことを知ったユーザは、LAN7内の端末やサーバと通信を開始する。
その後、LAN7内の端末やサーバとの通信を行ったユーザが、通信を終了するときは、認証サーバ2に通信終了を通知する。
認証サーバ2は、端末5aから通信終了通知を受信すると、通信が終了したものと判断し、通信終了通知の送信元のアドレスから、通信中情報の端末側のアドレスに一致するものがあるか否かを検索し、一致するものがあれば、一致した端末側のアドレスに関連付けられている中継装置1に対して、上記一致した端末側のアドレスに関連付けられているアクセス制御ルール及びアドレス変換ルールの削除を要求する。
中継装置1のアクセス制御部13は、アクセス制御ルール及びアドレス変換ルールの削除要求を受信すると、通信が終了したものと判断し、受信したアクセス制御ルールをデータベース部15に記憶しているアクセス制御テーブルから削除するとともに、アドレス変換部14に受信したアドレス変換ルールを削除するように要求する。
アドレス変換部14は、アクセス制御部13からアドレス変換ルールの削除要求を受けると、通信が終了したものと判断し、受信したアドレス変換ルールをデータベース部15に記憶しているアドレス変換テーブルから削除する。
このようにして、ユーザからの通信終了通知により、中継装置1のアクセス制御テーブルが図2の状態に戻され、アドレス変換テーブルが図3の状態に戻され、上記要求によってなされた変更が解除されるので、この変更によって追加されたアクセス制御ルール及びアドレス変換ルールによる誤ったアクセスを防止することができる。
また、中継装置1は、アクセス制御ルール及びアドレス変換ルールの追加や削除の要求を認証サーバ2からのみ受け付ければよく、ポートスキャンによりポートを検知されること無くアクセス制御ルール及びアドレス変換ルールを変更することができる。
また、認証サーバ2で認証を行っているので、IDとパスワードによる認証から、より高度な認証まで容易に行うことができる。
なお、上記実施形態の中継装置1では、端末5aからの通信終了の通知により通信が終了したものと判断してアクセス制御ルール及びアドレス変換ルールを削除したが、所定の終了条件を満たしたとき、例えば、パケットの送受信が一定時間以上無くなったときや、通信開始時から一定時間経過したときに通信終了と判断して、アクセス制御ルール及びアドレス変換ルールを削除するようにしてもよい。
また、中継装置1にアクセス制御ルール及びアドレス変換ルールを追加する際に、一定時間後に自動的に終了させるなどの終了条件を事前に定めておき、その条件が満たされた際に、通信が終了したものと判断して、アクセス制御ルール及びアドレス変換ルールを削除するようにしても良い。
また、認証サーバ2にhttpサーバとしての機能を持たせ、認証の受付やアクセス可能情報の表示や通信終了の通知などをホームページ上で行えるようにしてもよい。
また、認証サーバ2としてSIP(Session Initiation Protocol)サーバを用いてもよい。
本発明の一実施形態の中継装置を示すブロック図 本発明の一実施形態の中継装置のアクセス制御テーブルを示す図 本発明の一実施形態の中継装置のアドレス変換テーブルを示す図 本発明の一実施形態の中継装置を使った通信システムを示すネットワーク構成図 本発明の一実施形態の中継装置の追加されるアクセス制御ルールを示す図 本発明の一実施形態の中継装置の追加されるアドレス変換ルールを示す図 本発明の一実施形態の中継装置のアクセス制御ルール追加後のアクセス制御テーブルを示す図 本発明の一実施形態の中継装置のアドレス変換ルール追加後のアドレス変換テーブルを示す図
符号の説明
11…WAN側ネットワークインターフェース部、12…LAN側ネットワークインターフェース部、13…アクセス制御部、14…アドレス変換部、15…データベース部、1…中継装置、2…認証サーバ、3a,3b…端末、4a,4b…サーバ、5a,5b…端末、6…インターネット、7…LAN。

Claims (10)

  1. ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置を用いて前記ローカルなネットワークと前記グローバルなネットワークとの間の通信におけるパケットを中継するパケット中継方法であって、
    前記中継装置は、
    前記グローバルなネットワーク上の所定のサーバ装置からの要求のみによりファイアウォール設定を変更し、
    前記グローバルなネットワークからのパケットを、前記ファイアウォール設定に基づいて許可されると判断されたパケットのみに関して前記ローカルなネットワーク内に通過させると共に、
    所定の終了条件に基づいて、前記サーバ装置からの要求によって変更したファイアウォール設定を使った通信が終了したと判断したときに、前記サーバ装置からの要求によって変更したファイアウォール設定を変更前の状態に戻す
    ことを特徴とするパケット中継方法。
  2. ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置を用いて前記ローカルなネットワークと前記グローバルなネットワークとの間の通信におけるパケットを中継するパケット中継方法であって、
    前記中継装置は、
    前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより、前記グローバルなネットワークから受信したパケットの送信元アドレスに対して前記ローカルなネットワークにおけるアドレスを対応付けたアドレス変換ルールを含むアドレス変換テーブルに、前記サーバから要求されたアドレス変換ルールを追加し、
    前記ローカルなネットワークで使用されるアドレスと前記グローバルなネットワークで使用されるアドレスとを、前記アドレス変換テーブルに含まれるアドレス変換ルールに基づいて相互に変換してパケットを中継すると共に、
    所定の終了条件に基づいて、前記サーバ装置からの要求によって追加したアドレス変換ルールを使った通信が終了したと判断したときに、前記サーバ装置からの要求によって追加したアドレス変換ルールを前記アドレス変換テーブルから削除する
    ことを特徴とするパケット中継方法。
  3. ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置であって、
    前記グローバルなネットワークからのパケットを、ファイアウォール設定に基づいて許可されると判断されたパケットのみに関してローカルなネットワーク内に通過させるアクセス制御手段を備え、
    前記アクセス制御手段は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより前記ファイアウォール設定を変更し、所定の終了条件に基づいて、該サーバ装置からの要求によって変更したファイアウォール設定を使った通信が終了したと判断したときに、前記サーバ装置からの要求によって変更したファイアウォール設定を変更前の状態に戻す手段を有する
    ことを特徴とする中継装置。
  4. ローカルなネットワークとグローバルなネットワークとを相互に接続する中継装置であって、
    前記ローカルなネットワークで使用されるアドレスと前記グローバルなネットワークで使用されるアドレスとを、前記グローバルなネットワークから受信したパケットの送信元アドレスに対して前記ローカルなネットワークにおけるアドレスを対応付けたアドレス変換ルールを含むアドレス変換テーブルに基づいて相互に変換するアドレス変換手段を備え、
    前記アドレス変換手段は、前記グローバルなネットワーク上の所定のサーバ装置からの要求のみにより、前記サーバから要求されたアドレス変換ルールを前記アドレス変換テーブルに追加し、所定の終了条件に基づいて、該サーバ装置からの要求によって追加したアドレス変換ルールを使った通信が終了したと判断したときに、前記サーバ装置からの要求によって追加したアドレス変換ルールを前記アドレス変換テーブルから削除する手段を有する
    ことを特徴とする中継装置。
  5. 前記終了条件は、前記端末装置からの通信終了通知を受信したとき、または、パケットの送受信が一定時間以上無くなったとき、または、通信開始時から一定時間経過したとき、のうちの少なくとも何れか1つの条件を含む
    ことを特徴とする請求項3又は請求項4に記載の中継装置。
  6. 端末装置と中継装置が接続されているネットワークに接続されたサーバ装置であって、
    前記ネットワーク上の端末装置からの認証要求により前記端末装置から受信した認証情報に基づいて前記端末装置を操作するユーザの認証を行う認証手段と、
    前記認証手段によって認証されたユーザが操作する前記端末装置に対応するアクセス許可を前記端末装置のアドレスに与えるように、ファイアウォール機能を備えた前記中継装置に対してファイアウォール設定の変更要求を行う手段と、
    所定の終了条件を満たしたときに前記中継装置に対して前記端末装置のアドレスに与えたアクセス許可を解除するようにファイアウォール設定を元の状態に戻す要求を行う手段とを備えている
    ことを特徴とするサーバ装置。
  7. 前記終了条件は、前記端末装置からの通信終了通知を受信したとき、または、パケットの送受信が一定時間以上無くなったとき、または、通信開始時から一定時間経過したとき、のうちの少なくとも何れか1つの条件を含む
    ことを特徴とする請求項6に記載のサーバ装置。
  8. 端末装置と中継装置が接続されているネットワークに接続されたサーバ装置であって、
    前記ネットワーク上の端末装置からの認証要求により前記端末装置から受信した認証情報に基づいて前記端末装置を操作するユーザの認証を行う認証手段と、
    前記認証手段によって認証されたユーザが操作する前記端末装置のアドレスを送信元とするアドレス変換ルールを追加するように、アドレス変換機能を備えた前記中継装置に対してアドレス変換ルールの追加要求を行う手段と、
    所定の終了条件を満たしたときに前記中継装置に対して前記端末装置に対応するアドレス変換ルールを削除する要求を行う手段とを備えている
    ことを特徴とするサーバ装置。
  9. 前記終了条件は、前記端末装置からの通信終了通知を受信したとき、または、パケットの送受信が一定時間以上無くなったとき、または、通信開始時から一定時間経過したとき、のうちの少なくとも何れか1つの条件を含む
    ことを特徴とする請求項8に記載のサーバ装置。
  10. ネットワークに接続された端末装置と中継装置とサーバ装置とを有する通信システムであって、
    前記請求項3に記載の中継装置と前記請求項6に記載のサーバ装置の組、或いは前記請求項4に記載の中継装置と前記請求項8に記載のサーバ装置の組のうちの少なくとも何れか一方の組の中継装置とサーバ装置を備えている
    ことを特徴とする通信システム。
JP2005183519A 2005-06-23 2005-06-23 パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム Pending JP2007006108A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005183519A JP2007006108A (ja) 2005-06-23 2005-06-23 パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005183519A JP2007006108A (ja) 2005-06-23 2005-06-23 パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム

Publications (1)

Publication Number Publication Date
JP2007006108A true JP2007006108A (ja) 2007-01-11

Family

ID=37691284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005183519A Pending JP2007006108A (ja) 2005-06-23 2005-06-23 パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム

Country Status (1)

Country Link
JP (1) JP2007006108A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080566A (ja) * 2011-11-30 2012-04-19 Toshiba Corp インタフェース装置、このインタフェース装置を備えた電子機器及びインタフェース装置で使用される制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080566A (ja) * 2011-11-30 2012-04-19 Toshiba Corp インタフェース装置、このインタフェース装置を備えた電子機器及びインタフェース装置で使用される制御方法

Similar Documents

Publication Publication Date Title
JP4362132B2 (ja) アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
JP4237754B2 (ja) パーソナルリモートファイヤウォール
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
JP4803116B2 (ja) 仮想ネットワーク接続装置及びプログラム
KR100563907B1 (ko) 원격제어 시스템 및 방법
JP6027069B2 (ja) Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ
AU2013208840B2 (en) Device arrangement and method for implementing a data transfer network used in remote control of properties
US11297115B2 (en) Relaying media content via a relay server system without decryption
JP4101215B2 (ja) セキュリティポリシー設定方法
CN110800271B (zh) 激活应用于数据会话的进程的方法
JP4340848B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP2012064007A (ja) 情報処理装置、通信中継方法およびプログラム
JP2010283762A (ja) 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体
CN111066297B (zh) 远程访问控制系统
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP2006270431A (ja) 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
JP3999238B2 (ja) アドレス変換方法及びその装置
JP4619059B2 (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
JP2007006108A (ja) パケット中継方法、並びに中継装置、サーバ装置、及びこれらを備えた通信システム
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
JP2006352710A (ja) パケット中継装置及びプログラム
JP2008227626A (ja) ネットワークカメラの通信システムおよび通信方法
JP4789980B2 (ja) トンネル通信システムおよび制御装置
JP2005229435A (ja) リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070809

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091113