JP2007189735A - コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム - Google Patents

コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム Download PDF

Info

Publication number
JP2007189735A
JP2007189735A JP2007068138A JP2007068138A JP2007189735A JP 2007189735 A JP2007189735 A JP 2007189735A JP 2007068138 A JP2007068138 A JP 2007068138A JP 2007068138 A JP2007068138 A JP 2007068138A JP 2007189735 A JP2007189735 A JP 2007189735A
Authority
JP
Japan
Prior art keywords
configuration information
connection device
network connection
network
inter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007068138A
Other languages
English (en)
Inventor
Takao Baba
隆雄 馬場
Satoru Okuda
哲 奥田
Keisuke Kagamimori
恵介 鏡森
Masahiro Nakayasu
正宏 中安
Takumi Nagasaki
工 長崎
Kei Nishikawa
慶 西川
Arata Idemoto
新 出本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Electronics Services Co Ltd
Original Assignee
Hitachi Electronics Services Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Electronics Services Co Ltd filed Critical Hitachi Electronics Services Co Ltd
Priority to JP2007068138A priority Critical patent/JP2007189735A/ja
Publication of JP2007189735A publication Critical patent/JP2007189735A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークのセキュリティーの向上が図られ、且つ、保守・管理作業の簡略化が図られたコンフィギュレーション情報管理システムの提供。
【解決手段】ネットワーク間接続装置にアクセスするための各機種に対応したコマンドが格納されたコマンドファイルの集合であるコマンドファイル群23と、ネットワーク間接続装置から取得した情報に対して補正を行うための各機種に対応したパラメータが格納されたパラメータファイルの集合であるパラメータファイル群24と、をモジュール化して保持することで、コマンド若しくはパラメータの変更の必要が生じた場合の、更新作業の簡略化を図り、コンフィグ情報収集処理時には、当該コマンドファイル及びパラメータファイルの検証を行うと共に、ネットワーク間接続装置のパスワード変更を行うことで、セキュリティーの向上を図る。
【選択図】図2

Description

本発明は、ネットワークを相互に接続するネットワーク間接続装置に設定されるコンフィギュレーション情報を管理するコンフィギュレーション情報管理システムに関するものである。
近年の情報ネットワークに関する技術の進展は目覚しく、各企業内に情報ネットワークが構築されているのが普通となっている。情報ネットワークは、これを管理する際の便宜のためやネットワーク技術上の制限等の理由により、多数のセグメントに分けられ、これらのセグメント化されたネットワークが、ネットワーク間接続装置によって相互に接続されることによって構成されている。これらのネットワーク間接続装置には、ネットワークを相互に接続するための情報や、流れる情報の制御を行うための情報などの、いわゆるコンフィギュレーション情報が設定されるものがある。これらの各ネットワーク間接続装置に設定されるコンフィギュレーション情報はネットワークの動作上不可欠なものであり、ネットワークを管理する上ではこれらのコンフィギュレーション情報も管理する必要があるが、一企業内の情報ネットワークであっても、その規模が巨大化すると、セグメント数も非常に多数となり、従って、管理対象となるネットワーク間接続装置の数も膨大なものとなる。
このようなコンフィギュレーション情報の管理を一元的に行うことで、当該管理業務の便宜を図ったコンフィギュレーション情報管理システムが従来用いられており、当該コンフィギュレーション情報管理システムに関する従来技術が、特許文献1〜特許文献5などによって開示されている。
特開平8−202657号公報 特開2000−209239号公報 特開2002−190809号公報 特開2002−232428号公報 特開2003−18163号公報
各ネットワーク間接続装置は、設定されたコンフィギュレーション情報に従ってネットワークを流れる情報を制御するものであるため、悪意を持った者に当該設定を変更されると、情報の改竄・漏洩を生じ得ることとなる。従って、セキュリティー上の要請として、各ネットワーク間接続装置にアクセスするための情報(ログオンパスワード等)の管理を厳重にすると共に、パスワードの変更の頻度を上げることが望まれるが、ネットワークが大規模化するとネットワーク間接続装置の数も膨大なものとなり、各ネットワーク間接続装置に対するパスワードの変更作業を手動で行うことは非常に煩雑な作業となってしまう。
また、ネットワーク間接続装置のメーカ・機種が異なると、ネットワーク間接続装置にアクセスするため若しくはコンフィギュレーション情報を取得するための手順(例えばネットワーク間接続装置に入力するコマンドライン)も、異なるのが一般的である。従って、コンフィギュレーション情報管理システム内に当該コンフィギュレーション情報を取得するための手順が完全に埋め込まれている場合には、ネットワーク間接続装置の交換や新機種の導入があると、システム全体の変更を要することとなってしまうため、当該変更作業が煩雑となる問題があった。
本発明は、上記した点に鑑み、セキュリティーの向上が図られ、且つ、保守・管理作業の簡略化が図られたコンフィギュレーション情報管理システムを提供することを目的とする。
請求項1のコンフィギュレーション情報管理システムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルを、モジュール化して保持し、且つ、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルを、モジュール化して保持することを特徴とする。
請求項2のコンフィギュレーション情報管理システムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルを、モジュール化して保持し、且つ、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルを、モジュール化して保持し、予め設定された前記コンフィギュレーション情報の収集スケジュール若しくは随時の収集要求に従って、前記コマンドファイル及び前記パラメータファイルの変更の有無を自動的に検証することを特徴とする。
本発明に係る他の第1のコンフィギュレーション情報管理システムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルを、モジュール化して保持することを特徴とする。
上記構成によれば、ネットワーク間接続装置にアクセスしコンフィギュレーション情報を取得するためにネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルが、モジュール化されて保持されるため、コマンドの変更の必要性が生じた場合であっても、当該コマンドファイルの更新作業を行うのみで済み、コンフィギュレーション情報管理システム全体の更新を要しない。
本発明に係る他の第2のコンフィギュレーション情報管理システムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルを、モジュール化して保持することを特徴とする。
上記構成によれば、ネットワークを介してネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルが、モジュール化されて保持されるため、パラメータの変更の必要性が生じた場合であっても、当該パラメータファイルの更新作業を行うのみで済み、コンフィギュレーション情報管理システム全体の更新を要しない。
本発明に係る他の第3のコンフィギュレーション情報管理システムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、予め設定された前記コンフィギュレーション情報の収集スケジュール若しくは随時の収集要求に従って、前記ネットワークを介して前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイル及び前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルの、変更の有無を自動的に検証することを特徴とする。
上記構成によれば、予め設定された収集スケジュール若しくは随時の収集要求に従って、各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、ネットワークを介して収集する際に、コマンドファイル及びパラメータファイルの検証が行われる。
本発明に係る他の第4のコンフィギュレーション情報管理システムは、前記他の第3のコンフィギュレーション情報管理システムであって、前記各ネットワーク間接続装置から前記コンフィギュレーション情報を収集する際に、前記コマンドファイルを使用して前記各ネットワーク間接続装置からデータを収集し、当該データを、前記パラメータファイルを使用して前記各ネットワーク間接続装置に設定できるコンフィギュレーション情報ファイルに加工して、前記コンフィギュレーション情報管理部に格納することを特徴とする。
上記構成によれば、パラメータファイルに格納されたパラメータによって、各ネットワーク間接続装置から収集された情報が、各ネットワーク間接続装置にそのまま設定できるコンフィギュレーション情報ファイルに加工されて、コンフィギュレーション情報管理部に格納される。
本発明に係る他の第1のコンフィギュレーション情報収集プログラムは、ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システム内のコンピュータに、前記ネットワークを介して前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルの検証をする手順と、この検証結果が真であった場合には当該コマンドファイルを使用して前記ネットワーク間接続装置から前記コンフィギュレーション情報を収集する手順と、前記検証結果が偽であった場合にはその旨をユーザに通知して当該ネットワーク間接続装置に対する収集処理を終了する手順と、を実行させることを特徴とする。
上記構成によれば、コマンドファイルに改竄があったと認められた場合には、これに対応するネットワーク間接続装置からのコンフィギュレーション情報収集動作を行わずに、ユーザに改竄が検出された旨を通知し、コマンドファイルに問題が無い場合は、当該ファイルを使用してコンフィギュレーション情報収集が行われる。
本発明に係る他の第2のコンフィギュレーション情報収集プログラムは、前記他の第1のコンフィギュレーション情報収集プログラムであって、前記コマンドファイルの検証をする手順において、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルの検証をする手順を実行し、且つ、この検証結果が真であった場合には前記コマンドファイル及び前記パラメータファイルを使用して前記ネットワーク間接続装置から前記コンフィギュレーション情報を収集し加工する手順と、前記検証結果が偽であった場合にはその旨をユーザに通知して当該ネットワーク間接続装置に対する収集処理を終了する手順と、を実行させることを特徴とする。
上記構成によれば、コマンドファイル及びパラメータファイルに改竄があったと認められた場合には、これに対応するネットワーク間接続装置からのコンフィギュレーション情報収集動作を行わずに、ユーザに改竄が検出された旨を通知し、コマンドファイル及びパラメータファイルに問題が無い場合は、当該ファイルを使用してコンフィギュレーション情報の収集及び加工が行われる。
請求項1のコンフィギュレーション情報管理システムによれば、コマンドファイル及びパラメータファイルがモジュール化されて保持されるため、例えば、新しい機種のネットワーク間接続装置が導入されることにより、コマンド(ネットワーク間接続装置にアクセスしコンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンド)、若しくは、パラメータ(ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータ)の変更の必要性が生じた場合であっても、当該コマンドファイル若しくはパラメータファイルの更新作業を行うのみで済み、コンフィギュレーション情報管理システム全体の更新を必要としない。従って、コンフィギュレーション情報管理システムの保守・管理作業の簡略化が図られると共に運用の柔軟化も図られ、これによりコンフィギュレーション情報管理システムの保守・管理コストの低減が図られる。
本発明に係る他の第1のコンフィギュレーション情報管理システムによれば、コマンドファイルがモジュール化されて保持されるため、例えば、新しい機種のネットワーク間接続装置が導入されることにより、コマンド(ネットワーク間接続装置にアクセスしコンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンド)の変更の必要性が生じた場合であっても、当該コマンドファイルの更新作業を行うのみで済み、コンフィギュレーション情報管理システム全体の更新を必要としない。従って、コンフィギュレーション情報管理システムの保守・管理作業の簡略化が図られると共に運用の柔軟化も図られ、これによりコンフィギュレーション情報管理システムの保守・管理コストの低減が図られる。
本発明に係る他の第2のコンフィギュレーション情報管理システムによれば、パラメータファイルがモジュール化されて保持されるため、例えば、新しい機種のネットワーク間接続装置が導入されることにより、パラメータ(ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータ)の変更の必要性が生じた場合であっても、当該パラメータファイルの更新作業を行うのみで済み、コンフィギュレーション情報管理システム全体の更新を必要としない。従って、コンフィギュレーション情報管理システムの保守・管理作業の簡略化が図られると共に運用の柔軟化も図られ、これによりコンフィギュレーション情報管理システムの保守・管理コストの低減が図られる。
本発明に係る他の第2のコンフィギュレーション情報収集プログラムによれば、各ネットワーク間接続装置に設定されるコンフィギュレーション情報を収集する際に、コマンドファイル及びパラメータファイルの検証が行われ、コマンドファイル及びパラメータファイルに改竄があったと認められた場合には、これに対応するネットワーク間接続装置からのコンフィギュレーション情報収集を行わずに、ユーザに改竄が検出された旨を通知するため、セキュリティーの向上が図られる。コマンドファイルは、ネットワーク間接続装置へ入力されるコマンドラインが記載されたファイルであるため、これが改竄されると、ネットワーク間接続装置に対するいかなる操作も可能としてしまう危険性がある。しかし、本実施例のコンフィギュレーション情報収集プログラムによれば、コマンドファイル及びパラメータファイルに改竄があったと認められた場合には、これに対応するネットワーク間接続装置からのコンフィギュレーション情報収集動作を行わない(すなわち当該改竄があったコマンドラインがネットワーク間接続装置へ入力されることがない)ため、セキュリティーの向上が図られるのである。
以下、本発明の具体的実施例について、図面を参照しながら説明する。なお、以下の実施態様は、本発明を具体化する際の一形態であって、本発明をその範囲内に限定するためのものではない。
図1は本実施例のコンフィギュレーション情報管理システムを備えるネットワークの構成の一例の概略を示す図であり、図2はコンフィギュレーション情報管理システムの構成の概略を示すブロック図である。図3・図4はそれぞれコンフィギュレーション情報管理システムが有するテーブルの一例を示す図であり、図5はパスワード変更処理の動作の概略を示すフローチャートである。
本実施例のネットワーク1は、図1に示されるように、特定顧客(一企業)の管理下にあるネットワークであり、当該特定顧客は本社・支社・営業所によって階層化されて構成され、当該構成に応じてセグメント化された各ネットワーク(本社センタ内の100・110や、各支社及び各営業所の各ネットワーク)が、ネットワーク間接続装置であるファイアウォールF1やルータR0〜Rnによって相互に接続されて構成されており、TCP/IPプロトコルスイートによって通信が行われる。本社センタ内には、外部公開サーバS101(例えば、Webサーバやメールサーバ等)が公開側のネットワークセグメント100に設置され、ファイアウォールF1を介した内部側ネットワークセグメント110には、コンフィギュレーション情報管理システムサーバS111・各種内部サーバ(例えば、ネットワーク管理サーバや、各種業務サーバ等)S112と、クライアントとなる複数のパーソナルコンピュータ115が設置される。本社と支社間及び支社と営業所間は専用線で接続され、それぞれの支社や営業所にも内部サーバやパーソナルコンピュータが設置される。なお、本社と支社間及び支社と営業所間を結ぶ専用線は、VPN(仮想専用線)であってもよく、このことからも明らかなように、「特定顧客の管理下にあるネットワーク」とは、ネットワークを構成する物理的な伝送媒体や接続機器等が「特定顧客」の管理下にあるこということに限定しているものではない。
コンフィギュレーション情報管理システムサーバS111は、図2に示されるように、通信部111aと、コンフィギュレーション情報取得部111bと、コンフィギュレーション情報管理部111cと、接続情報取得部111dと、記憶部111eと、パスワード設定部111fと、を備える。また、記憶部111eには、図3に示されるような、ネットワーク間接続装置情報テーブルT30が格納される。ネットワーク間接続装置情報テーブルT30の「装置名」は各ネットワーク間接続装置に一意に割当てられる名前である。「グループ」は、各装置を管理し易いグループにグループ分けしたものであり必ずしも支社や営業所といった区分と同一であるものではない。「機種コード」は当該ネットワーク間接続装置の機種を示すものであり、「IPアドレス」は当該ネットワーク間接続装置に割当てられたIPアドレス、「ログオンID」及び「ログオンパスワード」は当該ネットワーク間接続装置にログオンするためのものである。
コンフィギュレーション情報管理システムは、予め設定されたスケジュール若しくは随時の取得要求に従って、ネットワーク間接続装置である各ルータR0〜Rn及びファイアウォールF1からコンフィギュレーション情報の収集を行うものであり、当該スケジュールの設定や取得要求の入力や取得結果の出力等は、クライアントとなる各パーソナルコンピュータ115によっても良いし、図示はしないが、コンフィギュレーション情報管理システムサーバS111に備えられる入出力装置によってもよい。各ルータからのコンフィギュレーション情報の収集動作は、収集スケジュール若しくは随時の収集要求によって定められるルータから、通信部111aとコンフィギュレーション情報取得部111bとによりコンフィギュレーション情報を取得し、当該情報をコンフィギュレーション情報管理部111cに蓄積・更新することによって行われる。なお、コンフィギュレーション情報とは、ネットワークを相互に接続するための情報(例えば、各ルータに備えられる各ポートに設定されるIPアドレス・サブネットマスク・ブロードキャストアドレス等や伝送媒体に関する情報など)や、流れる情報の制御を行うための情報(例えば、フィルタリング情報等)などをいう。
次に、コンフィギュレーション情報管理システムの本発明に関する、ネットワーク間接続装置のパスワード変更処理の動作の概略について、図5を参照しつつ説明する。ネットワーク間接続装置のパスワード変更処理は、予め設定されたパスワード変更スケジュールに従い若しくは随時のパスワード変更要求に従って起動される。当該パスワード変更スケジュールは、例えば、パスワードを変更するネットワーク間接続装置(ルータ若しくはファイアウォールなど)を選択して、変更処理の実行日時を設定することによって作成される。「ルータの選択」は、個別に「装置名」を指定すること若しくは「グループ」を指定することによって行われる。当該スケジュールの作成は、前述したごとく、各パーソナルコンピュータ115若しくはコンフィギュレーション情報管理システムサーバS111に備えられる入出力装置(図示なし)を使用して作成される。
図5のネットワーク間接続装置のパスワード変更処理では、「ルータの選択」が、「グループ」を指定することによって作成された場合のパスワード変更処理の動作の一例を示している。ネットワーク間接続装置のパスワード変更処理が起動されると、先ずパスワード変更のスケジューリングがなされているルータの抽出を行う。当該抽出は、パスワード変更スケジュールに記載されている「グループ名」を取得し、当該「グループ名」をキーとしてネットワーク間接続装置情報テーブルT30から「装置名」を取得することによって行われる。当該抽出動作はパスワード設定部111fによって行われ、パスワード設定部111fは、さらに図4に示されるような抽出した装置名のテーブルT40を作成し(ステップ51)、テーブルT40のデータ数(即ちパスワード変更を行うルータの数)を変数nに代入すると共に変数iに1を代入する(ステップ52)。次に、ループ1内の処理に移行し、ステップ53では、ネットワーク間接続装置情報テーブルT30を参照して、T40iの装置名に対応するルータ(装置名テーブルT40のi番目の装置名に該当するルータ。)へアクセスするための接続情報(ログオンIDやログオンパスワード等)を取得する。ステップ54では、当該接続情報を使用して、パスワード設定部111fと通信部111aとによりT40iの装置名に対応するルータにアクセスして、当該ルータのログオンパスワードを変更する。当該新しく設定するパスワードは、パスワード設定部111fによって自動的に生成するものであってもいいし、ユーザによって入力されるものであっても良い。続くステップ55では、ネットワーク間接続装置情報テーブルT30の、T40iのルータに対応するログオンパスワードを、前記新しく設定したパスワードで更新することで、変更したパスワードをネットワーク間接続装置情報テーブルT30に反映し、当該変更の履歴を記憶部111eに蓄積する。ステップ56では、変数iを1増加させてループ1内の処理(ステップ53〜ステップ56)を繰り返し、パスワード変更のスケジューリングがなされている全てのルータに対してパスワード変更処理を行った(i>nとなった)後に処理を終了する。
以上のごとく、本実施例のコンフィギュレーション情報管理システムによれば、ネットワーク間接続装置の特定(全選択などとしてもよい)と日時を設定したスケジュールを作成するのみ(若しくはネットワーク間接続装置を特定してパスワード変更要求を行うのみ)で、各ネットワーク間接続装置に対するパスワードの変更作業を行うことができるため、ネットワークの大規模化に伴いネットワーク間接続装置の数が膨大なものとなっても、パスワード変更作業の作業性に優れ、これにより保守管理コストの削減が図られる。また、「ネットワーク間接続装置の特定」をグループ単位で行うことができるため、例えば、セキュリティレベルに応じたグループ化を行うことにより、高いセキュリティレベルを要するグループに対しては頻繁にパスワード変更処理を行い、低いセキュリティレベルのグループは低頻度でパスワード変更処理を行う。といった運用を簡易に行うことが可能となるため、コンフィギュレーション情報管理システムの運用の柔軟化が図られる。
なお、本実施例では、パスワード変更処理において変更するパスワードを「ログオンパスワード」としているが、ネットワーク間接続装置が保持するパスワードに応じて(例えばイネーブルパスワードなど)それぞれを変更させるものであっても良い。
図6及び図7は本実施例のコンフィギュレーション情報管理システムの、コンフィギュレーション情報収集動作の概略を示すフローチャートである。なお、本実施例のコンフィギュレーション情報管理システムの構成、及び、当該コンフィギュレーション情報管理システムが備えられるネットワークの構成は実施例1と同様であるため、重複する部分についてはここでの説明を省略し、本実施例の説明において必要があるときは、図1〜図4を参照して説明する。
本実施例のコンフィギュレーション情報管理システムサーバS111(図2)に備えられる記憶部111eには、図8に示されるような機種情報テーブルT70が備えられ、且つ、ネットワーク1を介してネットワーク間接続装置にアクセスしコンフィギュレーション情報を取得するためにネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルの集合であるコマンドファイル群23と、ネットワーク1を介してネットワーク間接続装置から取得した情報に対して補正を行うための各機種に対応したパラメータが格納されたパラメータファイルの集合であるパラメータファイル群24と、がモジュール化されて保持されている。「ネットワーク間接続装置へ入力する各機種に対応したコマンド」とは、例えば、コンフィギュレーション情報管理システムがネットワーク間接続装置にTelnetやFTPなどを使用してログインする場合に必要となるコマンドや、TelnetやFTPなどを使用してネットワーク間接続装置に入力する(コンフィギュレーション情報を収集するための)各機種に対応したコマンドライン等であり、コマンドファイルはこれらのコマンドが格納されたファイルであって、ネットワーク間接続装置の各機種ごとに対応して作成され、記憶部111eに保持される。「ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータ」とは、ネットワーク間接続装置の機種の異同による情報の欠損などがある場合など(例えば特定の機種では特定の情報が取得できない場合等)にこれを補正するための、各機種に応じたパラメータであり、パラメータファイルはこれらのパラメータが格納されたファイルであって、ネットワーク間接続装置の各機種ごとに対応して作成され、記憶部111eに保持される。機種情報テーブルT70には、機種を一意に定める機種コードやメーカ名などと共に、前記した各機種に対応したコマンドファイルのファイル名とパラメータファイルのファイル名とが格納される。
次に、コンフィギュレーション情報の収集動作のうち主に本発明に関する部分を説明する。コンフィギュレーション情報の収集処理は、予め設定されたコンフィギュレーション情報の収集スケジュールに従い若しくは随時のコンフィギュレーション情報収集要求に従って起動される。コンフィギュレーション情報の収集スケジュールの作成は、実施例1のパスワード変更スケジュールの作成と同様の概念であるのでここでの説明を省略する。また、コンフィギュレーション情報収集処理(図6・図7)が起動された直後のステップ601及びステップ602の動作概念は、実施例1のネットワーク間接続装置のパスワード変更処理(図5)のステップ51及びステップ52と同様であるためここでの説明を省略する。
ステップ603では、ネットワーク間接続装置情報テーブルT30(図3)を参照して、T40iの装置名に対応するルータ(装置名テーブルT40(図4)のi番目の装置名に該当するルータ。)の機種コードを取得し、当該機種コードをキーとして機種情報テーブルT70から、当該ルータに対応するコマンドファイル名とパラメータファイル名を取得し、これに該当するコマンドファイル及びパラメータファイルを記憶部111eから取得する。続くステップ604ではステップ603で取得したコマンドファイル及びパラメータファイルの改竄(管理者が意図したものではない変更)の有無をチェックする。当該検証は、例えば、最初にコマンドファイル及びパラメータファイルをインストールする際に、ファイル構成から特定の計算方式に従って一意に生成されるキーを保存しておき、これと検証対象となるコマンドファイル及びパラメータファイルから同様の方法によって生成されるキーとを比較することによっても良いし、単純にファイル内容の全文一致を確認するなどしてもよい。
ステップ604における検証の結果、改竄なしと判断された場合には、ステップ606に移行し(ステップ605)、ネットワーク間接続装置情報テーブルT30を参照して、T40iの装置名に対応するルータへアクセスするための接続情報を取得すると共に、パスワード変更オン・オフのフラグ(本実施例では、ネットワーク間接続装置情報テーブルT30の「パスワード変更」が“1”である場合にパスワード変更オン、「パスワード変更」が“0”である場合にはパスワード変更オフとする)を取得する(ステップ606)。ステップ607では、ステップ606で取得したパスワード変更フラグにより、パスワード変更処理のオン・オフを判断し、これがオンである場合にはステップ608へと移行する。ステップ608では、ステップ606で取得した接続情報とステップ603で取得したコマンドファイルとを使用して、T40iのルータのパスワードを変更する(パスワード変更動作については実施例1と同様の概念)と共に、T40iのルータに設定されているコンフィギュレーション情報を取得する。ステップ609では当該取得したコンフィギュレーション情報の改竄(管理者が意図したものではない変更)の有無をチェックし(コンフィギュレーション情報管理部111cに保存されている情報と比較し)、改竄が検出された場合はユーザにその旨を通知して(ステップ612)、ステップ617へ移行する。一方、ステップ609における判断が否定であった場合には、ステップ608において取得されるコンフィギュレーション情報が、ルータの機種の相違に起因して、一部の情報を欠損等している場合があるため、ステップ603で取得したパラメータファイルを使用して補正し、各ネットワーク間接続装置(ルータ若しくはファイアウォール等)にそのまま設定できるコンフィギュレーション情報ファイルに変換してからコンフィギュレーション情報管理部111cに保存する(ステップ610)。続くステップ611は実施例1のステップ55と同様の概念である。一方、ステップ607における判断で、パスワード変更処理がオフとされている場合には、ステップ613においてT40iのルータに設定されているコンフィギュレーション情報を取得する。続くステップ614及びステップ615は、ステップ609及びステップ610と同様の処理である。ステップ605における判断が肯定であった場合(コマンドファイル・パラメータファイルの改竄が検出された場合)には、ユーザに改竄が検出された旨を通知した(ステップ616)後にステップ617へ移行し、当該ルータ(T40iの装置名に対応するルータ)へのアクセスを行うことなく、次のルータの処理へと移行する。ステップ617では、変数iを1増加させてループ1内の処理(ステップ603〜ステップ617)を繰り返し、コンフィギュレーション収集のスケジューリングがなされている全てのルータに対して収集処理を行った(i>nとなった)後に処理を終了する。なお、図6及び図7の処理は、コンフィギュレーション情報の収集動作としており、コンフィギュレーション情報の収集動作の中でパスワードの変更処理も行うような構成としているが、例えば、ユーザの選択等に従って、パスワードの変更処理のみを行う処理としても動作させることができ(ユーザがパスワードの変更処理のみを選択した場合には、ステップ608〜610、ステップ612〜615におけるコンフィギュレーション情報の収集動作を行わせないようにする)、この場合、実施例1と同等の機能をも備えるものとすることができる。
以上のごとく、本実施例のコンフィギュレーション情報管理システムによれば、コマンドファイル及びパラメータファイルがモジュール化されて保持されるため、例えば、新しい機種のネットワーク間接続装置が導入されることにより、コマンド(ネットワーク間接続装置にアクセスしコンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンド)の変更、若しくは、パラメータ(ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータ)の変更の必要性が生じた場合であっても、当該コマンドファイル又はパラメータファイルの更新作業(及びネットワーク間接続装置情報テーブルT30と機種情報テーブルT70の更新)を行うのみで済む。コンフィギュレーション情報管理システムのシステム内に各コマンドやパラメータが埋め込まれているものでは、コマンドやパラメータに変更の必要性が生じた場合にはシステム全体の更新作業を必要とするのに比して、本発明のコンフィギュレーション情報管理システムは汎用性が高く、保守・管理作業の簡略化が図られると共に運用の柔軟化も図られ、これによりコンフィギュレーション情報管理システムの保守・管理コストの低減が図られる。当該効果は、ネットワークが大規模であり、その運用期間も長期に亘る場合などには、異なるベンダの製品(ネットワーク間接続装置)を採用するケースも増加するため、より顕著となる。
コマンドファイル及びパラメータファイルをモジュール化して保持する構成とすると、システム内にコマンドやパラメータが埋め込まれている場合に比して、コマンドやパラメータに対する改竄が行われる危険性が高まるが、本実施例のコンフィギュレーション情報管理システムによれば、コマンドファイル及びパラメータファイルに改竄があったと認められた場合には、ユーザに改竄が検出された旨を通知し、これに対応するネットワーク間接続装置へのアクセスを行わない(すなわち改竄のあった可能性のあるファイルが使用されることが無い)ため、セキュリティーの向上が図られる。
なお、実施例のネットワーク1では、TCP/IPプロトコルスイートによって通信が行われるものとしたが、本発明をこれに限るものではなく、各ネットワークの設計思想に基づいて定められるプロトコルに応じて必要となるコマンド等をファイル化して保持することで、有効に本発明を適用することができる。
コンフィギュレーション情報管理システムを備えるネットワークの構成の概略を示す図 コンフィギュレーション情報管理システムの構成の概略を示すブロック図 ネットワーク間接続装置情報テーブルの一例を示す図 装置名テーブルの一例を示す図 パスワード変更処理の動作の概略を示すフローチャート コンフィギュレーション情報収集動作の概略を示すフローチャート コンフィギュレーション情報収集動作の概略を示すフローチャート 機種情報テーブルの一例を示す図
符号の説明
1 ネットワーク
111a 通信部
111b コンフィギュレーション情報取得部
111c コンフィギュレーション情報管理部
111d 接続情報取得部
111e 記憶部
111f パスワード設定部
F1 ファイアウォール(ネットワーク間接続装置)
R0〜Rn ルータ(ネットワーク間接続装置)
S111 コンフィギュレーション情報管理システムサーバ
T30 ネットワーク間接続装置情報テーブル
T70 機種情報テーブル

Claims (2)

  1. ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルを、モジュール化して保持し、且つ、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルを、モジュール化して保持することを特徴とするコンフィギュレーション情報管理システム。
  2. ネットワーク間接続装置によって相互に接続されて構成されるネットワークにおいて、通信部とコンフィギュレーション情報取得部とコンフィギュレーション情報管理部とを備えることにより、前記各ネットワーク間接続装置に設定されるコンフィギュレーション情報を、前記ネットワークを介して収集し、当該コンフィギュレーション情報を保存・管理するコンフィギュレーション情報管理システムであって、前記ネットワーク間接続装置にアクセスし前記コンフィギュレーション情報を取得するために前記ネットワーク間接続装置へ入力する各機種に対応したコマンドが格納されたコマンドファイルを、モジュール化して保持し、且つ、前記ネットワークを介して前記ネットワーク間接続装置から取得した情報に対して補正を行うためのパラメータが格納されたパラメータファイルを、モジュール化して保持し、予め設定された前記コンフィギュレーション情報の収集スケジュール若しくは随時の収集要求に従って、前記コマンドファイル及び前記パラメータファイルの変更の有無を自動的に検証することを特徴とするコンフィギュレーション情報管理システム。
JP2007068138A 2007-03-16 2007-03-16 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム Pending JP2007189735A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007068138A JP2007189735A (ja) 2007-03-16 2007-03-16 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007068138A JP2007189735A (ja) 2007-03-16 2007-03-16 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004296749A Division JP3964419B2 (ja) 2004-10-08 2004-10-08 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Publications (1)

Publication Number Publication Date
JP2007189735A true JP2007189735A (ja) 2007-07-26

Family

ID=38344532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007068138A Pending JP2007189735A (ja) 2007-03-16 2007-03-16 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Country Status (1)

Country Link
JP (1) JP2007189735A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009277081A (ja) * 2008-05-15 2009-11-26 Internatl Business Mach Corp <Ibm> ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
JP2018157292A (ja) * 2017-03-16 2018-10-04 ソフトバンク株式会社 ネットワーク調査装置、ネットワーク調査方法、及びプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009277081A (ja) * 2008-05-15 2009-11-26 Internatl Business Mach Corp <Ibm> ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
US8548916B2 (en) 2008-05-15 2013-10-01 International Business Machines Corporation Managing passwords used when detecting information on configuration items disposed on a network
US9069944B2 (en) 2008-05-15 2015-06-30 International Business Machines Corporation Managing passwords used when detecting information on configuration items disposed on a network
JP2018157292A (ja) * 2017-03-16 2018-10-04 ソフトバンク株式会社 ネットワーク調査装置、ネットワーク調査方法、及びプログラム

Similar Documents

Publication Publication Date Title
US7925666B1 (en) System and method for managing the application of access control lists on network devices
US7184942B2 (en) Verifying the configuration of a virtual network
EP2156610B1 (en) Managing network components using usb keys
US20040064480A1 (en) System and method for utilizing profile information
US8799466B2 (en) Method and apparatus for automatic verification of a network access control construct for a network switch
US10944638B1 (en) Internet of things device discovery and configuration
CN104506351B (zh) 在线全自动配置合规性安全审计方法及系统
US20070244930A1 (en) System and method for utilizing profile information
JP2003216576A (ja) 脆弱点監視方法及びシステム
CN112231168A (zh) 微服务器管控方法、装置、设备及存储介质
CN113014427A (zh) 网络管理方法和设备,及存储介质
CN108234164A (zh) 集群部署方法及装置
JP2011199623A (ja) ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム
CN114064155A (zh) 基于容器的算法调用方法、装置、设备及存储介质
US20160323266A1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
CN105391566B (zh) 一种动态的网络设备配置比对的方法及装置
JP2007189735A (ja) コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム
US20210297503A1 (en) Device provisioning in a multi-tenant service
JP3964419B2 (ja) コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム
JP3921216B2 (ja) コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム
JP6962239B2 (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム
CN114270785A (zh) 设定装置、通信系统、设定方法以及程序
US20080250127A1 (en) Network management program, network management device, and network management method
Cisco Configuring Devices with Cisco UGM
CN113810415A (zh) 一种通过堡垒机免托管主机账户运维的方法