JP2008078823A - ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム - Google Patents
ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム Download PDFInfo
- Publication number
- JP2008078823A JP2008078823A JP2006253503A JP2006253503A JP2008078823A JP 2008078823 A JP2008078823 A JP 2008078823A JP 2006253503 A JP2006253503 A JP 2006253503A JP 2006253503 A JP2006253503 A JP 2006253503A JP 2008078823 A JP2008078823 A JP 2008078823A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- port
- external
- internal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】セキュリティを確保しつつ、外部端末から内部端末への接続を容易とすることが可能なネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラムを提供することを目的とする。
【解決手段】内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、外部端末から端末情報取得要求があると、外部端末の認証を行う認証機能実行部62と、内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理部66と、認証が成功すると端末情報に基づく端末名称のリストを外部端末に送信すると共に、外部端末から端末名称を指定したポートのオープン要求を受信すると、指定された端末名称に対応するポートを開き、そのポート番号を外部端末に送信するWebサーバ機能実行部61とを有することにより上記課題を解決する。
【選択図】図3
【解決手段】内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、外部端末から端末情報取得要求があると、外部端末の認証を行う認証機能実行部62と、内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理部66と、認証が成功すると端末情報に基づく端末名称のリストを外部端末に送信すると共に、外部端末から端末名称を指定したポートのオープン要求を受信すると、指定された端末名称に対応するポートを開き、そのポート番号を外部端末に送信するWebサーバ機能実行部61とを有することにより上記課題を解決する。
【選択図】図3
Description
本発明は、ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラムに係り、特にポートフィルタリング機能を有するネットワーク機器、そのネットワーク機器で実行されるポート開閉制御方法およびポート開閉制御プログラムに関する。
例えばインターネット等のグローバルネットワーク(外部ネットワーク)に接続された機器からユーザのプライベートネットワーク(内部ネットワーク)に不用意に侵入されることを防ぐため、グローバルネットワークとプライベートネットワークの境界点では従来からファイアウォールやNAT(Network Address Translation)等のネットワーク機器が使用されている。
これらのネットワーク機器では、グローバルネットワーク側に接続された端末(外部端末)と、プライベートネットワーク側に接続された端末(内部端末)とを相互接続するとき、ポートを利用してセキュリティを確保している。
特許文献1には、着信メッセージを1つのポートから他のポートに転送することで、ファイアウォールを越えた通信を可能とする内容が記載されている。特許文献2には、アプリケーション毎に任意のポートを登録し、そのポートを動的にオープンする内容が記載されている。
特開2005−12775号公報
特開2005−92456号公報
しかしながら、上記のようなネットワーク機器は、セキュリティ上、不要なポートを閉じておき、必要に応じてポートをオープンすることが望ましく、この実現方法が課題となっていた。
例えば特許文献1では、外部クライアントが、内部ネットワークに接続されている内部サーバ(Webサーバ)と通信するようになっている。つまり、特許文献1では、この通信を行う為にファイアウォールのポートを予め開けておく必要があり、ファイアウォールのポートを必要に応じてオープンすることはできなかった。
また、特許文献1では、外部クライアントに通知するポート番号(外部クライアントが送信宛先とするポート番号)にランダム性が無く、また認証された外部クライアント以外からのパケットデータを受信しないといった仕組みも無いため、悪意のある外部クライアントに一旦このポート番号が知れてしまうと、DoS(Denial of Service attack)攻撃等の対象になりやすいといった問題があった。
特許文献1は、トランスポートとしてTCPを使用することが前提となっている。この場合、データはTCPコネクション上で送受信される。しかし、UDPの場合には端末間のコネクションが無いため、TCPの場合に比べてマルチキャストパケット等、意図しない端末からのデータを受信し易いといった問題があった。
ポートの開閉制御を行う他の方法としては、UPnP(Universal Plug and Play)規格として標準化されたルータのポートの開閉制御(Port Mapping)がある。この方法はプライベートネットワーク側に接続されたUPnPクライアント端末がルータに対してポートの開閉制御を行うことが可能となっている。
しかし、この方法は、プライベートネットワーク側に接続された端末からグローバルネットワーク側に接続された端末へ発呼接続する場合に、必要な任意のポートをUPnPクライアント端末から開閉制御を行うことができるが、グローバルネットワーク側に接続された端末からルータの任意のポートを開閉制御することができない。
従って、グローバルネットワーク側に接続された端末からプライベートネットワーク側に接続された端末へ、いつでも接続できるようにするため、ルータは接続用のポートを常にオープンしておく必要があり、セキュリティ面で問題になる場合があった。
本発明は、上記の点に鑑みなされたもので、セキュリティを確保しつつ、外部端末から内部端末への接続を容易とすることが可能なネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラムを提供することを目的とする。
上記課題を解決するため、本発明は、内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証手段と、内部ネットワーク側に接続されている内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理手段と、前記認証が成功すると前記端末情報に基づく端末名称のリストを外部端末に送信する端末名称リスト送信手段と、前記外部端末から前記端末名称を指定したポートのオープン要求を受信すると前記端末情報に基づき前記指定された端末名称に対応するポートを開くポート開閉制御手段と、そのポート番号を外部端末に送信するポート番号送信手段とを有することを特徴とする。
また、上記課題を解決するため、本発明は、内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証手段と、内部ネットワーク側に接続されている内部端末の端末名称を端末情報として管理している端末情報管理部と、前記認証が成功すると前記端末情報に基づく端末名称のリストを外部端末に送信する端末名称リスト送信手段と、前記外部端末から前記端末名称およびポート番号を指定したポートのオープン要求を受信すると、前記指定されたポート番号に対応するポートを開くポート開閉制御手段とを有することを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
本発明によれば、セキュリティを確保しつつ、外部端末から内部端末への接続を容易とすることが可能なネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラムを提供可能である。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。以下の実施例は、アドレス変換(NAT)機能を有するネットワーク機器を介して、プライベートネットワーク側に接続された端末とグローバルネットワーク側に接続された端末とを相互接続するものである。
以下の実施例では、プライベートネットワーク側に接続された端末とグローバルネットワーク側に接続された端末とを相互接続するとき以外、ネットワーク機器のポートを開かないようにすると共に、グローバルネットワーク側に接続された端末からポートのオープン要求を認証後に行えるようにすることで、セキュリティを確保しつつ、外部端末から内部端末への接続を容易としたものである。
本実施例では、グローバルネットワーク側に接続されたIP電話からNAT機能を持ったブロードバンドルータを介して、プライベートネットワーク側にあるIP電話に接続して通話を行い、又はグローバルネットワーク側に接続されたITU−T勧告T.38に準拠したファクシミリ端末(IP-FAX)から同ブロードバンドルータを介してプライベートネットワークにあるファクシミリ端末に接続してFAX通信を行う例について説明する。
図1は本発明による通信システムの一実施例のネットワーク構成図である。図1の通信システムは、グローバルネットワーク1に接続されたIP電話11,ファクシミリ端末12及びパーソナルコンピュータ(PC)13と、プライベートネットワーク2に接続されたブロードバンドルータ20,IP電話21,ファクシミリ端末22及びPC23とを含む構成である。
グローバルネットワーク1は例えばIP電話サービスを提供している通信事業者のネットワークであり、IP電話11を含む多数のIP電話,ファクシミリ端末12を含む多数のファクシミリ端末,PC13を含む多数のPC等の端末が接続されている。図1では、これらの端末の代表として、IP電話11,ファクシミリ端末12,PC13を図示している。
プライベートネットワーク2は、ブロードバンドルータ20,IP電話21,ファクシミリ端末22及びPC23から構成されるネットワークドメインである。ブロードバンドルータ20はグローバルネットワーク1とプライベートネットワーク2に接続し、後述する本発明の動作により、グローバルネットワーク1に接続された端末とプライベートネットワーク2に接続された端末との間の通信を可能とする。なお、本実施例の端末は、SIP(Session Initiation Protocol)を使用した呼接続を行うものとする。
図2は本発明によるブロードバンドルータのハードウェア構成の一例を示すブロック図である。図2のブロードバンドルータ20は、CPU30,クロック生成部31,メインメモリ32,ROM(Read Only Memory)33,SRAM(Static Random Access Memory)34,LANコントローラ35〜39,LAN I/F(Interface)40〜44,システムバス45等から構成されている。
CPU30は、ROM33に記憶されている制御処理プログラムやOS(Operating System)を実行、処理する。クロック生成部31は、水晶発振子と分周回路から構成されており、CPU30の動作タイミングを制御するためのクロックを生成している。メインメモリ32は、DRAM(Dynamic Random Access Memory)より構成されており、CPU30のワークエリア等で使用される。
ROM33は電源オン時のシステム立ち上げやブロードバンドルータ20の機能を実現するための各種プログラムが予め書き込まれている。SRAM34は蓄積しているデータを保持するための操作(リフレッシュ操作)が不要なメモリであり、専用バッテリ(図示を省略)によりバックアップされている。
LANコントローラ35〜39はIEEE(Institute of Electrical and Electronics Engineers)802.3規格に準拠した通信プロトコルを実行し、LAN I/F40〜44を介してグローバルネットワーク1に接続された端末やイーサネット(登録商標)に接続された他の端末との通信を制御する。
LAN I/F40は、グローバルネットワーク1に接続するためのポート(WAN側ポート)である。また、LAN I/F41〜44はプライベートネットワーク2側の端末と接続するためのポート(LAN側ポート)である。LAN I/F41には、LANケーブルを介してIP電話21が接続されている。また、LAN I/F42にはLANケーブルを介してファクシミリ端末22が接続されている。また、LAN I/F43にはLANケーブルを介してPC23が接続されている。
以下に示している各実施例の動作処理は特に明記しない限り、CPU30がROM33に記憶された制御処理プログラムに従い、メインメモリ32をワークエリアとして使用して実行、処理する。
図3は本発明によるブロードバンドルータのソフトウェア構成の一例を示すブロック図である。図3のブロードバンドルータ20のソフトウェアは、OS60,Webサーバ機能実行部61,認証機能実行部62,ファイアウォール(Firewall)機能実行部63,NAT機能実行部64,DHCP(Dynamic Host Configuration Protocol)機能実行部65,端末情報管理部66等のソフトウェアモジュールから構成される。
Webサーバ機能実行部61はグローバルネットワーク1に接続された端末からHTTPプロトコルにより各種のコマンドを受け付けると共に、プライベートネットワーク2側に接続された端末(例えばPC23)のWebブラウザから操作情報を受け取って、各種の設定を行う。ブロードバンドルータ20は、HTTPプロトコルによるHTTP通信を実行できるように、常に80番のポートをオープンにしている。
認証機能実行部62は管理者モードでの接続を許可するためのIDとパスワードとを使用した認証手順や、後述するような端末情報取得コマンドを受信した場合、RFC2617に記載されたダイジェスト認証手順を実行する。
ファイアウォール機能実行部63はグローバルネットワーク1側から受信したパケットをプライベートネットワーク2側へ転送するためのポートの開閉制御を行う。NAT機能実行部64はグローバルネットワーク1側から受信したパケットの宛先IPアドレス(ブロードバンドルータ20のグローバルIPアドレス)を、受信ポート番号に対応付けて管理しているプライベートIPアドレスに置き換えて、このプライベートIPアドレス宛にパケットを転送するとともに、プライベートネットワーク2側から受信したパケットの送信元IPアドレスを自装置のグローバルIPアドレスに置き換えて、このパケットをその宛先IPアドレス宛に送信する。
また、NAT機能実行部64はプライベートネットワーク2側から受信するパケットがSIPメッセージであり、そのSDP(Session Description Protocol)に送信元IPアドレスとしてプライベートIPアドレスが入っている場合、そのプライベートIPアドレスを自装置のグローバルIPアドレスに置き換える。なお、この仕様はUPnP NATトラバーサル仕様と同じである。
DHCP機能実行部65は、プライベートネットワーク2側の端末からIPアドレスの割り当て要求を受けると、プライベートIPアドレスを動的に割り当てる。なお、プライベートネットワーク2側の端末は、自端末のIPアドレスを起動時にDHCPにより取得する動作モードとなっている。
端末情報管理部66は、プライベートネットワーク2側に接続された端末(例えばPC23)のWebブラウザからの操作により管理者モードで接続され、管理者用の設定画面にて端末情報を登録するメニューが選択されると、Webサーバ機能実行部61から呼び出される。そして、端末情報管理部66は、LAN側ポートに接続された端末のIPアドレス、ポート番号、端末名称等をSRAM34に記憶し、又は、SRAM34に記憶されたIPアドレス、ポート番号、端末名称等をPC23等の管理者用端末のWebブラウザに表示するためにWebサーバ機能実行部61に渡す。
また、端末情報管理部66はグローバルネットワーク1側にある端末から端末情報取得コマンドを受信した時にもWebサーバ機能実行部61から呼び出され、SRAM34に記憶されているLAN側ポートに接続された端末の端末名称のリストをWebサーバ機能実行部61に渡す。
本実施例では、プライベートネットワーク2側に接続された端末、すなわち、IP電話21,ファクシミリ端末22又はPC23の電源がオンとされると、DHCP手順によりブロードバンドルータ20からIPアドレス(プライベートIPアドレス)が割り当てられる。
今、プライベートネットワーク2側にはPC23のみが接続されているとする。例えばユーザ(管理者)がPC23のWebブラウザからブロードバンドルータ20に、IDとパスワードとを使用した認証手順を経て管理者モードで接続すると、Webブラウザの画面は管理者用の設定画面となる。
ここで、ユーザが端末情報を登録するメニューを選択すると、WebブラウザはPC23に現在割り当てられているプライベートIPアドレスを、図4(a)に示すように表形式で表示する。図4は端末情報が遷移する様子を表した一例の説明図である。
図4(a)の表に記憶されているプライベートIPアドレスは自端末、すなわちPC23に割り当てられたIPアドレスである。したがって、ユーザはブロードバンドルータ20がグローバルネットワーク1から受信するパケットをPC23に転送するポート番号とPC23の端末名称とを登録する。
グローバルネットワーク1から受信するパケットをPC23に転送するポート番号とPC23の端末名称とを登録した後、Webブラウザの画面は図4(b)に示すように表示される。
次に、ユーザは、IP電話21をブロードバンドルータ20のLAN側ポートに接続したとする。端末情報管理部66は、IP電話21に割り当てられたIPアドレスに対応付けて、ブロードバンドルータ20がグローバルネットワーク1側から受信するパケットをIP電話21に転送するポート番号とIP電話21の端末名称とを登録する。
その後、同様にして、ユーザはファクシミリ端末22をブロードバンドルータ20のLAN側ポートに接続したとする。端末情報管理部66はファクシミリ端末22に割り当てられたIPアドレスに対応付けて、ブロードバンドルータ20がグローバルネットワーク1側から受信するパケットをファクシミリ端末22に転送するポート番号とファクシミリ端末22の端末名称とを登録する。
グローバルネットワーク1から受信するパケットをPC23,IP電話21及びファクシミリ端末22に転送するポート番号とPC23,IP電話21及びファクシミリ端末22の端末名称とを登録した後、Webブラウザの画面は、図4(c)に示すように表示される。図4に示したIPアドレス、ポート番号、端末名称は例えばSRAM34に記憶される。
次に、グローバルネットワーク1に接続されているIP電話11がプライベートネットワーク2に接続されているIP電話21に発呼接続するまでの手順について図5〜図8の動作フローを参照しつつ説明する。図5,図6は、グローバルネットワーク側に接続されているIP電話の動作フローを示す。また、図7、図8はブロードバンドルータの動作フローを示す。
まず、IP電話11のユーザはブロードバンドルータ20から端末情報を取得するための操作を行う。この操作はIP電話11のディスプレイに表示されたメニュー等を操作することで実行する。
IP電話11は、宛先ネットワークドメインの端末情報取得操作が行われたと判定するまでステップS1の処理を繰り返しており、ブロードバンドルータ20から端末情報を取得するための操作により、ステップS2の処理に進む。ステップS2に進み、IP電話11は端末情報取得コマンドをHTTPのGETメソッドを使用して宛先ネットワークドメインにあるブロードバンドルータ20へ送信する。
ブロードバンドルータ20は、端末情報取得コマンドを受信したと判定するまでステップS21の処理を繰り返しており、IP電話11から端末情報取得コマンドを受信したと判定すると、ステップS22の処理に進む。
ステップS22に進み、ブロードバンドルータ20は、端末情報取得コマンドを受信すると、RFC2617に記載されているダイジェスト認証処理を実行する。ブロードバンドルータ20にはIP電話11のユーザ名とパスワードが予め登録されている。ブロードバンドルータ20はチャレンジと呼ばれる認証用の乱数(nonce)を生成し、この乱数をステータスコード401(認証要求)のレスポンスメッセージに入れて返信する。
IP電話11は、認証要求のレスポンスメッセージを受信したと判定するまでステップS3を繰り返しており、ブロードバンドルータ20から認証要求のレスポンスメッセージを受信したと判定すると、ステップS4の処理に進む。IP電話11は認証要求のレスポンスメッセージを受信してステップS4に進むと、IP電話11に予め登録されている認証用のユーザ名,パスワード,相手端末から受信した乱数(nonce),自端末で生成した乱数(cnonce)等を用いてダイジェストを計算する。このダイジェストの計算アルゴリズムはMD5を使用する。
ステップS5に進み、IP電話11は求まったダイジェストの値(response)を認証用のユーザ名や自端末で生成した乱数(cnonce)等と共にHTTPリクエストメッセージに入れてブロードバンドルータ20へ送信する。
ブロードバンドルータ20は、ダイジェストの値,認証用のユーザ名,IP電話11で生成した乱数を受信したと判定するまでステップS23の処理を繰り返しており、IP電話11からダイジェストの値,認証用のユーザ名,IP電話11で生成した乱数を受信したと判定すると、ステップS24の処理に進む。
ステップS24に進み、ブロードバンドルータ20は受信した認証用のユーザ名,IP電話11で生成した乱数(cnonce),予めユーザ名と対応付けて登録されているパスワード,自端末で生成した乱数(nonce)等を用いてダイジェストを計算する。このダイジェストの計算アルゴリズムはMD5を使用する。
ステップS25に進み、ブロードバンドルータ20はステップS24において求まったダイジェストの値と、IP電話11から受信したダイジェストの値(response)とを比較する。このダイジェストの値が一致した場合、ブロードバンドルータ20はIP電話11が正しいパスワードを送信したと判定し、認証処理を終了する。
そして、ブロードバンドルータ20はステップS26に進み、端末情報取得コマンドに対応した処理として、既に登録された端末情報である端末名称のリスト(図4(c)に示した3つの端末についての端末名称)をIP電話11へ返信する。なお、ブロードバンドルータ20はダイジェストの値が一致しない場合、ステップS30に進み、端末情報取得コマンドに対してエラーレスポンスを返し、端末情報取得コマンドに対応した処理を実行せず、処理を終了する。
IP電話11は、端末名称のリスト又はエラーレスポンスを受信したと判定するまでステップS6及びS7を繰り返しており、ブロードバンドルータ20から端末名称のリストを受信したと判定すると、ステップS8の処理に進む。なお、ブロードバンドルータ20からエラーレスポンスを受信したと判定すると、IP電話11は処理を終了する。
ステップS8に進み、IP電話11はブロードバンドルータ20から受信した端末名称のリストに基づき、それらの端末名称をディスプレイに表示する。ユーザはIP電話21と接続したいため、IP電話21の端末名称を選択する。
IP電話11は、端末名称が選択されたと判定するまでステップS9の処理を繰り返しており、端末名称が選択されるとステップS10に進み、選択された端末名称とオープンされるポート番号を問い合わせる情報を含めたポートのオープン要求コマンドをHTTPのGETメソッドを使用してブロードバンドルータ20へ送信する。
ブロードバンドルータ20は、ポートのオープン要求コマンドを受信したと判定するまでステップS27の処理を繰り返しており、ポートのオープン要求コマンドを受信するとステップS28の処理に進み、ポートのオープン要求コマンドに含まれた端末名称に対応付けて管理されているポート番号6000のポートをオープンし、このポート番号をHTTPレスポンスに入れて返信する。
IP電話11は、HTTPレスポンスを受信したと判定するまでステップS11の処理を繰り返しており、ブロードバンドルータ20からHTTPレスポンスを受信するとステップS12に進み、宛先のIPアドレスとしてブロードバンドルータ20のIPアドレスを指定し、また宛先のポート番号としてHTTPレスポンスに含まれていたポート番号を指定した呼接続メッセージ(INVITE)をUDPパケットにて送信する。
ステップS29に進み、ブロードバンドルータ20はオープンしたポートで受信した呼接続メッセージのパケットを、ポート番号に対応付けて管理しているプライベートIPアドレス宛、即ちIP電話21に送信する。この時の宛先ポート番号はSIP用のデフォルト値である5060である。
IP電話21は呼接続メッセージを受信すると、100 Tryingと180 Ringingとを返信して呼び出し音を鳴らす。ブロードバンドルータ20は着呼端末からレスポンスメッセージを受信するまでステップS31の処理を繰り返しており、IP電話21からレスポンスメッセージを受信するとステップS32に進む。
ステップS32に進み、ブロードバンドルータ20はIP電話21から受信したレスポンスメッセージが200 OKでなければ、ステップS33に進み、受信したレスポンスメッセージを発呼端末であるIP電話11に転送してステップS31の処理に戻る。ここでは、ブロードバンドルータ20が100 Tryingと180 RingingとをIP電話11に転送する。
ユーザがIP電話21の受話器を取ると、IP電話21は音声データと音声制御データの受信ポート番号を含めた200 OKを返信する。なお、音声データをRTP(Real-time Transport Protocol)、音声制御データをRTCP (Real-time Transport Control Protocol)で送受信するため、200 OKに含まれている受信ポート番号は5004と5005である。
ブロードバンドルータ20は、IP電話21から受信したレスポンスメッセージが200 OKであるので、ステップS32からステップS34に進み、レスポンスメッセージのパケットヘッダ及びSDPに含まれているIP電話21がセットした自端末IPアドレス(プライベートIPアドレス)を自装置のグローバルIPアドレスに置き換える。
また、ブロードバンドルータ20は音声データ及び音声制御データの受信ポート番号をそれぞれ別の番号、例えば10000と10001とに置き換えて発呼端末のIP電話11へ送信する。ステップS35に進み、ブロードバンドルータ20はステップS34において置き換えた置換後の音声用のポート番号10000,10001のポートをオープンする。なお、ブロードバンドルータ20は置換前と置換後のIPアドレスとポート番号とをそれぞれ対応付けてメインメモリ32に記憶する。
IP電話11は、200 OKを受信したと判定するまでステップS13の処理を繰り返しており、200 OKを受信すると、ステップS14に進み、ACKメッセージを送信して呼接続を完了する。そして、ブロードバンドルータ20は、IP電話11からのACKメッセージを着呼端末であるIP電話21に転送する(ステップS36)。
その後、IP電話11は音声データと音声制御データとをブロードバンドルータ20のポート10000と10001宛にそれぞれ送信する。ブロードバンドルータ20は音声データと音声制御データとを、それぞれIP電話21のポート5004と5005宛に送信する。ブロードバンドルータ20は、また、IP電話21から受信する音声データと音声制御データとをIP電話11へ転送する。このとき、IP電話11とIP電話21とはユーザ同士の会話ができる状態となっている。
なお、IP電話11またはIP電話21は、受話器が下ろされたか否かを判定し続けている。例えばIP電話11は受話器を下ろされたと判定するまでステップS16の処理を繰り返している。会話が終了して例えばIP電話11のユーザが受話器を下ろすと、IP電話11はステップS17に進み、BYEメッセージを送信する。IP電話11はIP電話21から200 OKを受信すると(S18においてYES)、通信が終了する。
200 OKを受信したIP電話11はポートのクローズ要求コマンドをHTTPのPOSTメソッドを使用してブロードバンドルータ20へ送信する(ステップS19)。ブロードバンドルータ20はポートのクローズ要求コマンドを受信するまでステップS38の処理を繰り返しており、ポートのクローズ要求コマンドをIP電話11から受信したと判定すると、ステップS39に進む。そして、ブロードバンドルータ20は、今回の通信でオープンした全てのポートを閉じる。
なお、上記の実施例では、ブロードバンドルータ20のLAN側ポートに接続された端末の端末情報として、ポート番号をIPアドレス及び端末名称と対応付けてSRAM34に記憶していたが、ポート番号を管理者が設定するのではなく、IP電話11からポートのオープン要求コマンドを受信したときに、任意のポート番号を割り当てるようにしてもよい。
この時、ランダムな番号を割り当てると、オープンされたポート番号を悪意のある外部端末に知れ難くなり、その結果、プライベートネットワークへ不正侵入し難くなり、セキュリティを向上させることができる。
また、上記の実施例では、認証用のユーザ名及びパスワードをIP電話11に予め登録している場合を示したが、認証時にユーザが認証用のユーザ名及びパスワードを入力できるようにしてもよい。
また、会話が終了した時にIP電話がポートのクローズ要求コマンドをブロードバンドルータ20へ送信するのではなく、ブロードバンドルータ20がBYE、200 OKのシーケンスを監視していて、この200 OKを送信した後に、今回の通信でオープンした全てのポートを閉じるようにしてもよい。
本実施例では、ブロードバンドルータ20がグローバルネットワーク1に接続された端末の認証を行った後、その認証した端末から受信したパケットのみをプライベートネットワーク2側の端末へ転送する場合について説明する。
実施例1と同様に、ブロードバンドルータ20はグローバルネットワーク1に接続されたIP電話11から端末情報取得コマンドを受信する。ブロードバンドルータ20はIP電話11の認証が成功すると、その後のシーケンスにてIP電話11からのパケットを受信するためにオープンしたポートの番号を、IP電話11のIPアドレスと対応付けてメインメモリ32に記憶する。
オープンしたポートは呼制御メッセージ用の6000、音声データ用の10000、音声制御データ用の10001である。ブロードバンドルータ20は、これらのポートで受信するパケットのパケットヘッダ部にある送信元アドレスがIP電話11のIPアドレスと一致するか否かをチェックして、一致した場合のみ、そのパケットをIP電話21へ転送する。もし一致しない場合は、その受信パケットを破棄する。このように、実施例2では認証した端末以外から受信したパケットがプライベートネットワーク2側の端末へ転送されることを防止する。
本実施例では、ブロードバンドルータ20がオープンするポート番号を外部端末から指定することによって、オープンするポート番号が固定化されないようにする場合について説明する。図9,図10は、グローバルネットワーク側に接続されているIP電話の動作フローを示す。また、図11、図12はブロードバンドルータの動作フローを示す。
まず、プライベートネットワーク2の管理者がPC23のWebブラウザを使用してブロードバンドルータ20に、IDとパスワードとを使用した認証手順を経て管理者モードで接続すると、Webブラウザには管理者用の設定画面が表示される。ここで、管理者はブロードバンドルータ20のLAN側ポートに接続され、IPアドレスが割り当てられている端末の端末名称を登録する。
ブロードバンドルータ20のLAN側ポートには、実施例1と同様、IP電話21,ファクシミリ端末22,PC23が接続されている。管理者は、各端末に割り当てられたIPアドレスと対応付けて端末名称を登録する。これらのIPアドレス及び端末名称は例えばSRAM34にIPアドレス−端末名称対応テーブルとして記憶される。各端末に割り当てられたIPアドレスおよび登録された端末名称は、図4(c)に示したものと同様である。
次に、第1の実施例と同様、グローバルネットワーク1に接続されているIP電話11がプライベートネットワーク2に接続されているIP電話21に発呼接続する場合について説明する。
まず、IP電話11のユーザはブロードバンドルータ20から端末情報を取得するための操作を行う。この操作はIP電話11のディスプレイに表示されたメニュー等を操作することで実行する。
IP電話11は、ステップS41及びS42において、前述したステップS1及びS2と同様に、端末情報取得コマンドをHTTPのGETメソッドを使用してブロードバンドルータ20へ送信する。
ブロードバンドルータ20は端末情報取得コマンドを受信すると(ステップS71でYES)、ステップS72〜S75において、前述したS22〜S25と同様にダイジェスト認証処理を実行して、IP電話11を認証する。認証に成功すると、ブロードバンドルータ20はステップS76に進み、端末情報取得コマンドに対応した処理として、既に登録された端末情報である端末名称のリスト(図4(c)に示した3つの端末についての端末名称)をIP電話11へ返信する。なお、本実施例では、図4(c)に示されているポート番号は、まだ登録されていない。
IP電話11は端末名称のリストを受信すると(ステップS46でYES),ステップS48において、前述したステップS8と同様、端末名称のリストに基づき、それらの端末名称をディスプレイに表示する。ユーザはIP電話21と接続したいため、IP電話21の端末名称を選択する。
端末名称が選択されると(ステップS49でYES)、IP電話11はステップS50に進み、ブロードバンドルータ20が呼制御メッセージを受信するためのポート番号を決定する。ポート番号を決定する所定の方法としては、例えば20000〜65535の範囲からランダムに選択する方法がある。
そして、IP電話11はステップS51に進み、ステップS50で決定したポート番号と選択された端末名称とを含めたポートのオープン要求コマンドをHTTPのPOSTメソッドを使用してブロードバンドルータ20へ送信する。
ブロードバンドルータ20は、ポートのオープン要求コマンドを受信すると(ステップS77でYES)、ステップS78に進み、ポートのオープン要求コマンドに含まれたポート番号のポートをオープンする。ポートのオープンが成功すると、ブロードバンドルータ20はステップS80に進み、正常応答(200 OK)をIP電話11に返したあと、ポートのオープン要求コマンドに含まれた端末名称をSRAM34に記憶されたIPアドレス−端末名称対応テーブルと照合してIPアドレスを特定する。そして、ブロードバンドルータ20は特定したIPアドレスを、今オープンしたポート番号と対応付けてメインメモリ32に記憶する。
一方、ブロードバンドルータ20はポートのオープン要求コマンドに含まれたポート番号のポートが既に使用されていてオープンできない場合、ステップS79に進み、ポートが使用中であることを示すエラー応答を返す。
例えばブロードバンドルータ20は、このエラー応答として、RFC2616で規定されていないステータスコードに、このエラーコードを割り当て、このエラーコードをHTTPレスポンスメッセージのステータスラインに入れて応答する。
IP電話11はポートが使用中であることを示すエラー応答を受信すると(ステップS53でYES)、ステップS50に戻り、別のポート番号を選択して、再度ポートのオープン要求コマンドをブロードバンドルータ20へ送信する。IP電話11はポートのオープン要求コマンドに対する正常応答を受信すると、ステップS54に進み、宛先のIPアドレスとしてブロードバンドルータ20のIPアドレスを指定し、また宛先のポート番号としてポートのオープン要求コマンドに入れたポート番号を指定した呼接続メッセージ(INVITE)をUDPパケットにて送信する。
なお、IP電話11が呼接続メッセージをブロードバンドルータ20に送信したあとのIP電話11のステップS55〜S61の処理及びブロードバンドルータ20のステップS81〜S91の処理は、前述したステップS13〜S19及びS29〜S39と同様であるため、説明を省略する。
なお、上記の実施例では、ブロードバンドルータ20が呼制御メッセージを受信するためのポート番号を、IP電話11における端末内部の処理により自動的に決める場合を示したが、ユーザが端末名称を選択した後、IP電話11のディスプレイに、このポート番号の入力画面を表示して、ユーザに入力させるようにしてもよい。
また、上記の実施例では、IP電話11から送信される音声データと音声制御データとを受信するポート番号をブロードバンドルータ20が決める場合について示したが、これらのポート番号もIP電話11から指示するようにすることも可能である。
本実施例では、ブロードバンドルータ20がグローバルネットワーク1に接続された端末の認証を行った後、その認証した端末から受信したパケットのみをプライベートネットワーク2側の端末へ転送する場合について説明する。
第1の実施例と同様に、ブロードバンドルータ20はグローバルネットワーク1に接続されたIP電話11から端末情報取得コマンドを受信する。ブロードバンドルータ20はIP電話11の認証が成功すると、その後のシーケンスにてIP電話11からのパケットを受信するためにオープンしたポートの番号を、IP電話11のIPアドレスと対応付けてメインメモリ32に記憶する。
オープンしたポートはIP電話11からポートのオープン要求コマンドで指定された呼制御メッセージ用のポート番号,音声データ用の10000,音声制御データ用の10001である。ブロードバンドルータ20は、これらのポートで受信するパケットのパケットヘッダ部にある送信元アドレスがIP電話11のIPアドレスと一致するか否かをチェックして、一致した場合のみ、そのパケットをIP電話21へ転送する。もし一致しない場合は、その受信パケットを破棄する。このように、実施例4では、認証した端末以外から受信したパケットがプライベートネットワーク2側の端末へ転送されることを防止している。
上記の実施例では、IP電話同士の通信を例に挙げたが、図1に示すファクシミリ端末12とファクシミリ端末22との間の通信にも同様に適用できる。この場合、ブロードバンドルータ20がオープンするポートは、音声データ用および音声制御データ用に代わって、FAXデータ用となる。
また、ファクシミリ端末22のFAXデータ受信用ポート番号は20000〜65535の範囲から選択された番号、例えば40000である。この場合、プライベートネットワーク2にいるユーザ(管理者)はPC23を使用して管理者モードにて、ブロードバンドルータ20がグローバルネットワーク1から受信するパケットをファクシミリ端末22に転送するポート番号に対応付けて、ファクシミリ端末22のFAXデータ受信用ポート番号をブロードバンドルータ20に登録する。図4(d)は、図4(c)の登録データにFAXデータ受信用ポート番号を追加登録した例を示している。
ブロードバンドルータ20は、ファクシミリ端末22用の呼接続ポート(ポート番号7000)でファクシミリ端末12からの呼接続メッセージ(INVITE)を受信すると、このポート番号に対応付けて管理しているプライベートIPアドレス宛、すなわちファクシミリ端末22に送信する。この時の宛先ポート番号はSIP用のデフォルト値である5060である。
ファクシミリ端末22は呼接続メッセージを受信すると、FAXデータ受信用ポート番号(40000)を含めた200 OKを返信する。ブロードバンドルータ20は、200 OKを受信すると、この200 OKのパケットヘッダとSDPに含まれたファクシミリ端末22がセットした自端末IPアドレス(プライベートIPアドレス)を、自装置のグローバルIPアドレスに置き換え、また、FAXデータの受信ポート番号を別の番号、例えば10002に置き換えてファクシミリ端末12へ送信する。
また、ブロードバンドルータ20はFAXデータ用の置き換えたポート番号(10002)のポートをオープンする。なお、ブロードバンドルータ20は置換前と置換後のIPアドレスとポート番号とをそれぞれ対応付けてメインメモリ32に記憶する。ファクシミリ端末12は200 OKを受信すると、ACKメッセージを送信して呼接続を完了し、FAX通信ができる状態となる。
その後、ファクシミリ端末12はITU−T勧告T.38に従ったFAX制御データと画像データとをブロードバンドルータ20のポート10002宛に送信し、ブロードバンドルータ20が、FAX制御データと画像データとをファクシミリ端末22のポート40000宛に送信する。また、ブロードバンドルータ20は、ファクシミリ端末22から受信するFAX制御データをファクシミリ端末12へ転送する。
画像データの伝送が終了すると、ファクシミリ端末12からBYEメッセージが送信され、ファクシミリ端末22は200 OKで応答する。その後、ファクシミリ端末22はポートのクローズ要求コマンドをHTTPのPOSTメソッドを使用してブロードバンドルータ20へ送信する。ブロードバンドルータ20はポートのクローズ要求コマンドを受信すると、今回の通信でオープンした全てのポートを閉じる。
なお、ファクシミリ端末同士の通信手順として、呼接続した後、音声データおよび音声制御データの送受信を実行し(ユーザ同士の会話ではなくファクシミリ端末が音声データを生成して送信)、その後にFAXデータの送受信を実行する方法もある。
この場合、ファクシミリ端末12が開始した呼接続メッセージ(INVITE),200 OK,ACKの呼接続シーケンスと音声データの送受信の後に、ファクシミリ端末22からFAXチャネルを接続するための呼接続メッセージ(INVITE)を送信する。ブロードバンドルータ20はファクシミリ端末22から、この呼接続メッセージ(INVITE)を受信すると、この呼接続メッセージのパケットヘッダとSDPに含まれたFAXデータの受信ポート番号を別の番号、例えば10002に置き換えてファクシミリ端末12へ送信する。
ブロードバンドルータ20は、FAX用の置き換えたポート番号(10002)のポートをオープンする。その後、ファクシミリ端末12が200 OKを返し、ファクシミリ端末22が200 OKを受信するとACKを送信して、オープンしたFAX用のポートを使用してITU−T勧告T.38に準拠したプロトコルを実行し、ファクシミリ端末12からファクシミリ端末22へ画像データを送信する。
上記の実施例では、外部端末としてグローバルネットワーク1に接続された端末を例に挙げたが、図13に示すように、グローバルネットワーク1の先にあるプライベートネットワーク3に接続された端末であってもよい。
図13は本発明による通信システムの他の実施例のネットワーク構成図である。図13の通信システムに含まれるグローバルネットワーク1,プライベートネットワーク2,ブロードバンドルータ20,IP電話21,ファクシミリ端末22,PC23は、図1に示した通信システムと同様である。
プライベートネットワーク3は、ブロードバンドルータ50,IP電話51,ファクシミリ端末52,PC53から構成されるネットワークドメインである。プライベートネットワーク3にあるブロードバンドルータ50,IP電話51,ファクシミリ端末52,PC53の各端末は、それぞれプライベートネットワーク2にあるブロードバンドルータ20,IP電話21,ファクシミリ端末22,PC23と同じ動作処理を実行する。
ここではプライベートネットワーク3にあるIP電話51がプライベートネットワーク2にあるIP電話21に発呼接続する場合について説明する。IP電話51がブロードバンドルータ20から認証処理を経て端末情報を取得し、その後、ポートのオープン要求コマンドを送信して正常応答(200 OK)を受信するまでのシーケンスは、上記の実施例で示したようにHTTPプロトコルを使用して実行する。
その後、IP電話51はブロードバンドルータ20を宛先とした呼接続メッセージ(INVITE)を送信する。ブロードバンドルータ50は、この呼接続メッセージに含まれたIP電話51のIPアドレス(プライベートIPアドレス)を自端末のグローバルIPアドレスに、音声データ及び音声制御データの受信ポート番号(5004と5005)をそれぞれ別の番号、例えば、10000と10001に置き換えてブロードバンドルータ20へ送信する。
その後、IP電話51,IP電話21、ブロードバンドルータ50及びブロードバンドルータ20は上記の実施例と同様の動作処理、又はそれに準じた動作処理を実行して、IP電話51とIP電話21のユーザ同士の間で会話が実行される。
(まとめ)
本発明による通信システムによれば、グローバルネットワーク及びプライベートネットワークの境界点にあるルータにより認証されたグローバルネットワーク側にある端末(外部端末)からルータのプライベートネットワーク側にある端末へ接続を行う場合、外部端末からルータへポートをオープンする依頼を出すと、依頼を受けたルータが所定のポートをオープンし、通信終了後に外部端末からルータへオープンしたポートをクローズする依頼を出し、依頼を受けたルータがオープンした全てのポートをクローズするため、例えばインターネット等のグローバルネットワークからプライベートネットワークへの不正侵入を防止でき、セキュリティが向上する。
(まとめ)
本発明による通信システムによれば、グローバルネットワーク及びプライベートネットワークの境界点にあるルータにより認証されたグローバルネットワーク側にある端末(外部端末)からルータのプライベートネットワーク側にある端末へ接続を行う場合、外部端末からルータへポートをオープンする依頼を出すと、依頼を受けたルータが所定のポートをオープンし、通信終了後に外部端末からルータへオープンしたポートをクローズする依頼を出し、依頼を受けたルータがオープンした全てのポートをクローズするため、例えばインターネット等のグローバルネットワークからプライベートネットワークへの不正侵入を防止でき、セキュリティが向上する。
また、本発明による通信システムによれば、グローバルネットワーク及びプライベートネットワークの境界点にあるルータにより認証されたグローバルネットワーク側にある外部端末からルータのプライベートネットワーク側にある端末へ接続を行う場合、外部端末からルータへポートをオープンする依頼を出すと、依頼を受けたルータが所定のポートをオープンし、オープンしたポートで受信するパケットデータの中で外部端末から送信されたものだけをプライベートネットワーク側にある端末へ転送し、通信終了後に外部端末からルータへオープンしたポートをクローズする依頼を出し、依頼を受けたルータがオープンした全てのポートをクローズするため、インターネット等のグローバルネットワークからプライベートネットワークへの不正侵入を防止でき、セキュリティが向上する。
また、本発明による通信システムによれば、グローバルネットワーク及びプライベートネットワークの境界点にあるルータにより認証されたグローバルネットワーク側にある外部端末からルータのプライベートネットワーク側にある端末へ接続を行う場合、外部端末からルータへ指定したポートをオープンする依頼を出すと、その依頼を受けたルータが指定されたポートをオープンし、通信終了後に外部端末からルータへオープンしたポートをクローズする依頼を出し、依頼を受けたルータがオープンした全てのポートをクローズするため、インターネット等のグローバルネットワークからプライベートネットワークへの不正侵入を防止でき、セキュリティが向上する。
さらに、オープンするポート番号を外部端末から指定できるため、使用するポート番号が固定化されることを防止でき、セキュリティの向上効果が高まる。
また、本発明による通信システムによれば、グローバルネットワーク及びプライベートネットワークの境界点にあるルータにより認証されたグローバルネットワーク側にある外部端末からルータのプライベートネットワーク側にある端末へ接続を行う場合、外部端末からルータへ指定したポートをオープンする依頼を出すと、この依頼を受けたルータが指定されたポートをオープンし、オープンしたポートで受信するパケットデータの中で外部端末から送信されたものだけをプライベートネットワーク側にある端末へ転送し、通信終了後に外部端末からルータへオープンしたポートをクローズする依頼を出し、依頼を受けたルータがオープンした全てのポートをクローズするため、インターネット等のグローバルネットワークからプライベートネットワークへの不正侵入を防止でき、セキュリティが向上する。
さらに、オープンするポート番号を外部端末から指定できるため、使用するポート番号が固定化されることを防止でき、セキュリティの向上効果が高まる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1 グローバルネットワーク
2,3 プライベートネットワーク
11,21,51 IP電話
12,22,52 ファクシミリ端末(IP−FAX)
13,23,53 PC
20,50 ブロードバンドルータ
30 CPU
31 クロック生成部
33 ROM
34 SRAM
35〜39 LANコントローラ
40〜44 LAN I/F
60 OS
61 Webサーバ機能実行部
62 認証機能実行部
63 ファイアウォール(Firewall)機能実行部
64 NAT機能実行部
65 DHCP(Dynamic Host Configuration Protocol)機能実行部
66 端末情報管理部
2,3 プライベートネットワーク
11,21,51 IP電話
12,22,52 ファクシミリ端末(IP−FAX)
13,23,53 PC
20,50 ブロードバンドルータ
30 CPU
31 クロック生成部
33 ROM
34 SRAM
35〜39 LANコントローラ
40〜44 LAN I/F
60 OS
61 Webサーバ機能実行部
62 認証機能実行部
63 ファイアウォール(Firewall)機能実行部
64 NAT機能実行部
65 DHCP(Dynamic Host Configuration Protocol)機能実行部
66 端末情報管理部
Claims (17)
- 内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、
外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証手段と、
内部ネットワーク側に接続されている内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理手段と、
前記認証が成功すると前記端末情報に基づく端末名称のリストを外部端末に送信する端末名称リスト送信手段と、
前記外部端末から前記端末名称を指定したポートのオープン要求を受信すると前記端末情報に基づき前記指定された端末名称に対応するポートを開くポート開閉制御手段と、
そのポート番号を外部端末に送信するポート番号送信手段と
を有することを特徴とするネットワーク機器。 - 内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器であって、
外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証手段と、
内部ネットワーク側に接続されている内部端末の端末名称を端末情報として管理している端末情報管理部と、
前記認証が成功すると前記端末情報に基づく端末名称のリストを外部端末に送信する端末名称リスト送信手段と、
前記外部端末から前記端末名称およびポート番号を指定したポートのオープン要求を受信すると、前記指定されたポート番号に対応するポートを開くポート開閉制御手段と
を有することを特徴とするネットワーク機器。 - 前記ポートのオープン要求に応じて開いたポートでパケットデータを受信すると、前記ポートのオープン要求で指定された端末名称に対応する内部端末へ、前記パケットデータを転送させるパケットデータ転送手段を更に有することを特徴とする請求項1又は2記載のネットワーク機器。
- 前記パケットデータ転送手段は、前記外部端末から受信したパケットデータの宛先を前記ネットワーク機器のアドレスから前記内部端末のアドレスに置き換え、前記内部装置から受信したパケットデータの送信元を前記内部端末のアドレスから前記ネットワーク機器のアドレスに置き換えることを特徴とする請求項3記載のネットワーク機器。
- 前記ポートのオープン要求に応じて開いたポートでパケットデータを受信すると、前記パケットデータのうち前記ポートのオープン要求を送信した前記外部端末からのパケットデータのみを前記ポートのオープン要求で指定された端末名称に対応する内部端末へ転送させるファイアウォール手段を更に有することを特徴とする請求項1又は2記載のネットワーク機器。
- 前記ポート開閉制御手段は、前記外部端末から前記オープンしたポートのクローズ要求を受信すると、前記外部端末から受信した前記ポートのオープン要求に応じて開いたポートを閉じることを特徴とする請求項1乃至5何れか一項記載のネットワーク装置。
- 前記認証手段は、前記認証が失敗するとエラーを送信し、前記端末情報に基づく端末名称のリストは外部端末に送信しないことを特徴とする請求項1乃至6何れか一項記載のネットワーク装置。
- 前記ネットワーク機器はルータ装置であることを特徴とする請求項1乃至7何れか一項記載のネットワーク機器。
- 内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器におけるポート開閉制御方法であって、
外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証機能実行ステップと、
前記認証が成功すると、内部ネットワーク側に接続されている内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理部から取得した前記端末情報に基づく端末名称のリストを外部端末に送信するリスト送信ステップと、
前記外部端末から前記端末名称を指定したポートのオープン要求を受信すると前記端末情報に基づき前記指定された端末名称に対応するポートを開くポートのオープンステップと、
そのポート番号を外部端末に送信するポート番号送信ステップと
を有することを特徴とするポート開閉制御方法。 - 内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有するネットワーク機器におけるポート開閉制御方法であって、
外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証機能実行ステップと、
前記認証が成功すると、内部ネットワーク側に接続されている内部端末の端末名称を端末情報として管理している端末情報管理部から取得した前記端末情報に基づく端末名称のリストを外部端末に送信するリスト送信ステップと、
前記外部端末から前記端末名称およびポート番号を指定したポートのオープン要求を受信すると、前記指定されたポート番号に対応するポートを開くポートのオープンステップと
を有することを特徴とするポート開閉制御方法。 - 前記ポートのオープン要求に応じて開いたポートでパケットデータを受信すると、前記ポートのオープン要求で指定された端末名称に対応する内部端末へ、前記パケットデータを転送させるパケットデータ転送ステップを更に有することを特徴とする請求項9又は10記載のポート開閉制御方法。
- 前記パケットデータ転送ステップは、前記外部端末から受信したパケットデータの宛先を前記ネットワーク機器のアドレスから前記内部端末のアドレスに置き換え、前記内部装置から受信したパケットデータの送信元を前記内部端末のアドレスから前記ネットワーク機器のアドレスに置き換えることを特徴とする請求項11記載のポート開閉制御方法。
- 前記ポートのオープン要求に応じて開いたポートでパケットデータを受信すると、前記パケットデータのうち前記ポートのオープン要求を送信した前記外部端末からのパケットデータのみを前記ポートのオープン要求で指定された端末名称に対応する内部端末へ転送させるファイアウォール機能実行ステップを更に有することを特徴とする請求項9又は10記載のポート開閉制御方法。
- 前記外部端末から前記オープンしたポートのクローズ要求を受信すると、前記外部端末から受信した前記ポートのオープン要求に応じて開いたポートを閉じるポートのクローズステップを有することを特徴とする請求項9乃至13何れか一項記載のポート開閉制御方法。
- 前記認証機能実行ステップは、前記認証が失敗するとエラーを送信し、前記端末情報に基づく端末名称のリストを外部端末に送信するリスト送信ステップは実行しないことを特徴とする請求項9乃至14何れか一項記載のポート開閉制御方法。
- 前記ネットワーク機器はルータ装置であることを特徴とする請求項9乃至15何れか一項記載のポート開閉制御方法。
- 内部ネットワークと外部ネットワークとの間に接続されており、ポートフィルタリング機能を有する、記憶装置と演算処理装置とを含むネットワーク機器の制御プログラムであって、
外部ネットワーク側に接続されている外部端末から端末情報取得要求があると、前記外部端末の認証を行う認証手段と、
内部ネットワーク側に接続されている内部端末の端末名称及びポート番号を端末情報として管理している端末情報管理手段と、
前記認証が成功すると前記端末情報に基づく端末名称のリストを外部端末に送信する端末名称リスト送信手段と、
前記外部端末から前記端末名称を指定したポートのオープン要求を受信すると前記端末情報に基づき前記指定された端末名称に対応するポートを開くポート開閉制御手段と、
そのポート番号を外部端末に送信するポート番号送信手段と
して機能させるポート開閉制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006253503A JP2008078823A (ja) | 2006-09-19 | 2006-09-19 | ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006253503A JP2008078823A (ja) | 2006-09-19 | 2006-09-19 | ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008078823A true JP2008078823A (ja) | 2008-04-03 |
Family
ID=39350452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006253503A Pending JP2008078823A (ja) | 2006-09-19 | 2006-09-19 | ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008078823A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009296419A (ja) * | 2008-06-06 | 2009-12-17 | Ricoh Co Ltd | 通信中継装置、通信システム、通信方法およびプログラム |
JP2010049308A (ja) * | 2008-08-19 | 2010-03-04 | Kyocera Mita Corp | 電子機器および制御プログラム |
JP2010079831A (ja) * | 2008-09-29 | 2010-04-08 | Brother Ind Ltd | 通信システム及び通信制御プログラム |
JP2011123921A (ja) * | 2011-03-23 | 2011-06-23 | Brother Industries Ltd | 通信システム及び通信制御プログラム |
JP2011155545A (ja) * | 2010-01-28 | 2011-08-11 | Fujitsu Ltd | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
JP2014527729A (ja) * | 2011-12-09 | 2014-10-16 | ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. | モバイルブロードバンドデバイスを管理する方法、デバイス及びシステム |
US9128808B2 (en) | 2009-03-28 | 2015-09-08 | Brother Kogyo Kabushiki Kaisha | Computer readable storage medium for registration of site information and a computer to register site information |
-
2006
- 2006-09-19 JP JP2006253503A patent/JP2008078823A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009296419A (ja) * | 2008-06-06 | 2009-12-17 | Ricoh Co Ltd | 通信中継装置、通信システム、通信方法およびプログラム |
JP2010049308A (ja) * | 2008-08-19 | 2010-03-04 | Kyocera Mita Corp | 電子機器および制御プログラム |
JP2010079831A (ja) * | 2008-09-29 | 2010-04-08 | Brother Ind Ltd | 通信システム及び通信制御プログラム |
JP4710947B2 (ja) * | 2008-09-29 | 2011-06-29 | ブラザー工業株式会社 | 通信システム及び通信制御プログラム |
US8321453B2 (en) | 2008-09-29 | 2012-11-27 | Brother Kogyo Kabushiki Kaisha | Communication system |
US9128808B2 (en) | 2009-03-28 | 2015-09-08 | Brother Kogyo Kabushiki Kaisha | Computer readable storage medium for registration of site information and a computer to register site information |
JP2011155545A (ja) * | 2010-01-28 | 2011-08-11 | Fujitsu Ltd | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
JP2011123921A (ja) * | 2011-03-23 | 2011-06-23 | Brother Industries Ltd | 通信システム及び通信制御プログラム |
JP2014527729A (ja) * | 2011-12-09 | 2014-10-16 | ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. | モバイルブロードバンドデバイスを管理する方法、デバイス及びシステム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
US8312532B2 (en) | Connection supporting apparatus | |
JP4405360B2 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
JP4636617B2 (ja) | ゲートウェイ装置、接続制御装置及びネットワーク接続システム | |
JP4909277B2 (ja) | ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器 | |
US9065684B2 (en) | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium | |
US20090313386A1 (en) | Communication apparatus, communication method and communication system | |
JP2007097010A (ja) | 接続支援装置およびゲートウェイ装置 | |
JP2008078823A (ja) | ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム | |
KR101258988B1 (ko) | VoIP 서비스 시스템 및 그 시스템의 패킷처리방법 | |
JP2008507929A (ja) | プライベートネットワークへの遠隔アクセスを安全にする方法およびシステム | |
US20110145426A1 (en) | Networking method of communication apparatus, communication apparatus and storage medium | |
JP2006094041A (ja) | 電化機器、サーバ装置、携帯端末、通信システム、通信方法、及びプログラム | |
JP2009230256A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
JP2008078822A (ja) | 管理端末、ポート開閉制御方法およびポート開閉制御プログラム | |
US11206172B2 (en) | Method for establishing a management session between an item of equipment and a device for management of this item of equipment | |
JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
JP4667473B2 (ja) | データ中継装置、データ中継方法およびデータ中継プログラム | |
JP2007096554A (ja) | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 | |
CN1787523B (zh) | 动态打开网络地址转换和防火墙端口的方法 | |
JP4073931B2 (ja) | 端末、通信装置、通信確立方法および認証方法 | |
JP5367386B2 (ja) | Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム | |
KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
JP2007081971A (ja) | Ip通信装置及びip電話装置 | |
JP2006352710A (ja) | パケット中継装置及びプログラム |