JP2009017269A - ネットワーク制御装置、ネットワーク制御方法、およびプログラム - Google Patents

ネットワーク制御装置、ネットワーク制御方法、およびプログラム Download PDF

Info

Publication number
JP2009017269A
JP2009017269A JP2007177223A JP2007177223A JP2009017269A JP 2009017269 A JP2009017269 A JP 2009017269A JP 2007177223 A JP2007177223 A JP 2007177223A JP 2007177223 A JP2007177223 A JP 2007177223A JP 2009017269 A JP2009017269 A JP 2009017269A
Authority
JP
Japan
Prior art keywords
filter condition
filter
control device
unit
designation information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007177223A
Other languages
English (en)
Inventor
Satoshi Kiyofuji
聡史 清藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007177223A priority Critical patent/JP2009017269A/ja
Publication of JP2009017269A publication Critical patent/JP2009017269A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ルータ14やFW15に既に設定されているフィルタ条件と、これらの機器に新たに設定されるフィルタ条件との競合を検出することができるネットワーク制御装置20を提供する。
【解決手段】本発明のネットワーク制御装置20は、通信データの一部を指定する指定情報と当該指定情報に該当する通信データの対処とを含むフィルタ条件が入力された場合に、当該入力されたフィルタ条件に含まれている指定情報が、通信制御装置に既に設定されているいずれかのフィルタ条件に含まれている指定情報と同一である場合にエラーを通知する。また、当該入力されたフィルタ条件に含まれている指定情報が、通信制御装置に既に設定されているいずれのフィルタ条件に含まれている指定情報とも異なる場合には、当該入力されたフィルタ条件を通信制御装置に設定する。
【選択図】図1

Description

本発明は、通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を、ルータ等の通信制御装置に設定するための技術に関する。
インターネットが普及し、情報インフラとしての重要度が増す一方で、ネットワーク上のトラフィックを増大させ、通信を処理している回線やネットワーク機器、サーバの機能(リソース)を占有することにより、他の利用者の利便性を妨害したり、サーバを過負荷にすることによってサーバそのものの異常動作を誘発させようとするDoS(Denial of Services)といわれるような攻撃が行われるようになってきた。
このようなDoS攻撃を検出する技術としては、例えば特許文献1のようなものがある。特許文献1では、攻撃検出システムが、第1の監視期間内に受信した信号の数をカウントし、カウントした信号数が第1の閾値を超えるか否かを判別し、カウントした信号数が第1の閾値を超えた場合に、第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントし、カウントした所定の処理内容の信号数が、第2の閾値を超えるか否かを判別し、カウントした所定の処理内容の信号数が第2の閾値を超えた場合に、当該信号をDoS攻撃による信号と判別する。
また、ルータやファイアウォール等には、例えば図11に示すようなACL(Access Control List)60が設けられており、当該ACL60には、ACL番号61毎に、通信データを指定する指定情報63(例えば送信元IPアドレス65および宛先IPアドレス66等)と、当該指定情報63に該当する通信データの対処方法64とを含むフィルタ条件62が格納されている。
図11に示したACL60において、ACL番号61が「001」のフィルタ条件62は、送信元IPアドレス65がどのようなIPアドレスであっても、宛先IPアドレス66が「192.168.0.100」である通信データについては、当該通信データによる総通信帯域の最大値が100Mbps以下に制限されることを意味している。
ACL番号61が「002」のフィルタ条件62では、送信元IPアドレス65が「192.168.0.200」であって、プレフィックス長が24、つまり送信元IPアドレス65が「192.168.0.0〜192.168.0.255」の範囲内のIPアドレスであり、かつ、宛先IPアドレス66が「192.168.0.100」である通信データが廃棄されることを意味している。
ACL番号61が「003」のフィルタ条件62では、送信元IPアドレス65が「192.168.0.200」であり、かつ、宛先IPアドレス66が「192.168.0.100」である通信データが中継されることを意味している。
特許文献1の攻撃検出システムは、DoS攻撃と判定された通信データを特定した場合に、当該通信データを指定する指定情報63と、当該通信データを破棄する旨の対処方法64とを含むフィルタ条件62をACL60に登録することにより、DoS攻撃と判定された通信データを遮断する。また、対処方法64としては、DoS攻撃と判定された通信データによる総通信帯域を所定値以下に制限することにより、DoS攻撃と判定された通信データの影響を低くする場合もある。
特開2006−237892号公報
ところで、ルータやファイアウォール等には、ACLに登録されているフィルタ条件が、ACL番号順に優先適用される製品が多い。例えば、ルータやファイアウォール等に図11に示したACL60が設定されている場合、ACL番号61が「002」のフィルタ条件62において、送信元のIPアドレスが「192.168.0.200」である通信データは遮断されるべきであるが、ACL番号61が「001」のフィルタ条件62では、最大通信帯域が100Mbps以下に制限されるものの、宛先のIPアドレスが「192.168.0.100」なので、当該通信データは中継されてしまう。これは、ACLに登録されている複数のフィルタ条件において、通信データを指定する情報が重複しているにもかかわらず、異なる対処方法が指定されていることによる。
小規模なネットワークであれば、全てのフィルタ条件を管理して、通信データを特定する情報が競合しないように設定することも可能であるが、ネットワークの規模が大きくなると、ルータやファイアウォールを介して通信を行う装置の台数も多くなり、設定すべきフィルタ条件の数も多くなる。そのため、全てのフィルタ条件を管理者が人手で管理するには限界がある。このような状況は、ルータやファイアウォール等が複数台あり、それぞれのフィルタ条件を一元管理するようなネットワークシステムではさらに問題となる。
また、フィルタ条件は、管理者によって設定される他に、攻撃検出装置によって設定される場合もある。これらのフィルタ条件が競合なく設定されなければ、攻撃検出装置によって検出された攻撃を正しく防ぐことができなかったり、管理者が意図した通信データの制御が実行されない場合がある。
本発明は上記事情を鑑みてなされたものであり、本発明の目的は、フィルタ条件の競合を検出きるようにすることにある。
上記課題を解決するために、本発明のネットワーク制御装置は、通信データの一部を指定する指定情報と当該指定情報に該当する通信データの対処とを含むフィルタ条件が入力された場合に、当該入力されたフィルタ条件に含まれている指定情報が、通信制御装置に既に設定されているいずれかのフィルタ条件に含まれている指定情報と同一である場合にエラーを通知する。
例えば、本発明の第一の態様は、通信データの一部を指定する指定情報と、当該指定情報を含む通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置であって、外部からフィルタ条件を受け付けるフィルタ条件受付手段と、通信制御装置に設定されているフィルタ条件を格納するフィルタ条件格納手段と、フィルタ条件受付手段が外部からフィルタ条件を受け付けた場合に、フィルタ条件格納手段を参照して、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定する競合判定手段と、競合判定手段によって、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信する判定結果通知手段と、競合判定手段によって、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、フィルタ条件受付手段が受け付けたフィルタ条件を通信制御装置に設定するフィルタ条件設定手段とを備えることを特徴とするネットワーク制御装置を提供する。
また、本発明の第二の態様は、通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置におけるネットワーク制御方法であって、ネットワーク制御装置が、外部からフィルタ条件を受け付けるステップと、通信制御装置に設定されているフィルタ条件をフィルタ条件格納手段に格納するステップと、外部からフィルタ条件を受け付けた場合に、フィルタ条件格納手段を参照して、受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定するステップと、受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信するステップと、受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、受け付けたフィルタ条件を通信制御装置に設定するステップとを実行することを特徴とするネットワーク制御方法を提供する。
また、本発明の第三の態様は、コンピュータを、通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置として機能させるプログラムであって、コンピュータに、外部からフィルタ条件を受け付けるフィルタ条件受付手段、通信制御装置に設定されているフィルタ条件を格納するフィルタ条件格納手段、フィルタ条件受付手段が外部からフィルタ条件を受け付けた場合に、フィルタ条件格納手段を参照して、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定する競合判定手段、競合判定手段によって、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信する判定結果通知手段、および競合判定手段によって、フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、フィルタ条件受付手段が受け付けたフィルタ条件を通信制御装置に設定するフィルタ条件設定手段を実現させることを特徴とするプログラムを提供する。
本発明のネットワーク制御装置によれば、フィルタ条件の競合を検出することができる。これにより、設定されたフィルタ条件による通信データの制御が適切に実行される。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態にかかるネットワークシステム10の構成の一例を示すシステム構成図である。ネットワークシステム10は、攻撃検出装置12、複数のルータ14、およびネットワーク制御装置20を備える。
それぞれのルータ14は、通信網13および通信網16に接続され、通信網13と通信網16間のルーティングを行う。ルータ14と通信網16との間にはFW(ファイアウォール)15が設けられる場合もある。通信網16にはサーバやユーザ端末等のコンピュータ17が接続されている。
通信制御装置の一例であるルータ14およびFW15は、通信データを指定する指定情報および当該指定情報に該当する通信データの対処を含む1つ以上のフィルタ条件を有するACLを保持しており、通信網13から通信網16へ流入する通信データおよび通信網16から通信網13へ流出する通信データの中継または破棄等を制御する。
攻撃検出装置12は、通信網13内に流れる通信データをモニタすることによりDoS攻撃の有無を監視し、DoS攻撃を検出した場合に、当該DoS攻撃に使用されている通信データを指定する指定情報および当該指定情報に該当する通信データを破棄する旨を含むフィルタ条件を、当該フィルタ条件が設定されるべきルータ14またはFW15の識別情報と共にネットワーク制御装置20へ送る。攻撃検出装置12によるDoS攻撃検出には、例えば特開2006−237892号公報等に開示されている方法を用いることができる。
ネットワーク制御装置20は、複数のルータ14およびFW15等の通信制御装置毎に、当該通信制御装置に設定されているフィルタ条件を保持している。ネットワーク制御装置20は、フィルタ条件と、当該フィルタ条件の設定先の通信制御装置の識別情報とを含むトラフィック制御指示を管理者11または攻撃検出装置12から受信した場合に、受信したトラフィック制御指示に含まれる通信制御装置の識別情報に対応するフィルタ条件を抽出する。
そして、ネットワーク制御装置20は、受信したトラフィック制御指示に含まれるフィルタ条件内の指定情報が、抽出したフィルタ条件内の指定情報と異なる場合に、受信したトラフィック制御指示に含まれるフィルタ条件を、当該トラフィック制御指示に含まれる通信制御装置の識別情報に対応するルータ14またはFW15に、通信網13を介して設定する。そして、ネットワーク制御装置20は、設定したフィルタ条件を、当該フィルタ条件が設定された通信制御装置の識別情報に対応付けて保持する。
受信したトラフィック制御指示に含まれるフィルタ条件内の指定情報が、抽出したフィルタ条件内の指定情報と同一である場合、ネットワーク制御装置20は、既に設定されている旨のエラーを管理者11に通知する。これにより、同一の通信データについて異なる対処を有するフィルタ条件が設定されることを防止することができる。そのため、設定されたフィルタ条件を適切に機能させることができると共に、同一内容のフィルタ条件を重複して登録するような記憶領域の無駄を省くことができる。また、同一の通信データについて異なる対処を有するフィルタ条件が設定されることを防止することができるので、ACLに設定されるフィルタ条件の順番を考慮する必要が無くなり、ルータ14およびFW15等の通信制御装置のフィルタ条件の管理が容易になる。
図2は、ネットワーク制御装置20の機能構成の一例を示すブロック図である。ネットワーク制御装置20は、フィルタ条件受付部21、判定結果通知部22、フィルタ条件設定部23、競合判定部24、およびフィルタ条件格納部25を備える。
フィルタ条件格納部25には、例えば図3に示すように、それぞれの通信制御装置を識別する装置名250毎に、1つ以上のフィルタ条件251が格納される。それぞれのフィルタ条件251には、通信データを指定する指定情報252と、当該指定情報252に該当する通信データの対処253とが含まれる。指定情報252には、通信データが流入または流出するインターフェイスを識別するインターフェイス名254、当該インターフェイス名254を介して通信データが流れる方向255、通信データの宛先IPアドレス256、通信データの送信元IPアドレス257、および送信元IPアドレス257における送信元プレフィックス長258が含まれる。
なお、通信データを特定する情報には、図3に示した例の他に、送信元のMAC(Media Access Control)アドレス、宛先のMACアドレス、送信元のポート番号、または宛先のポート番号等が含まれていてもよい。
フィルタ条件受付部21は、管理者11または攻撃検出装置12から、フィルタ条件および当該フィルタ条件が設定されるべき通信制御装置の識別情報を含むトラフィック制御指示を受信し、受信したトラフィック制御指示を競合判定部24に供給する。
フィルタ条件受付部21が管理者11または攻撃検出装置12から受信するトラフィック制御指示は、例えば図4に示すようなXML(eXtensible Markup Language)形式のデータ構造を有する。領域31では、フィルタ条件を設定する対象の通信制御装置の装置名として”router01”が指定されている。領域32では、通信データが流入または流出するインターフェイス名として”Ether01”が指定されており、当該インターフェイスを介して通信データが流れる方向として”out”が指定されている。
領域33は、領域34および領域35で指定される情報がIPアドレスであることを示している。領域34には、通信データの宛先IPアドレスとして”192.168.0.100”が指定されている。領域35には、”192.168.0.200”であってプレフィックス長が24であるIPアドレス、すなわち、”192.168.0.0〜192.168.0.255”のIPアドレスが通信データの送信元IPアドレスとして指定されている。領域36には、領域37に示された”drop”という対処を設定する旨が格納されている。
競合判定部24は、図4に示すトラフィック制御指示30をフィルタ条件受付部21を介して受信した場合に、当該トラフィック制御指示30内で指定されている通信制御装置の装置名に基づいて、当該装置名に対応するフィルタ条件をフィルタ条件格納部25から抽出する。そして、競合判定部24は、抽出したフィルタ条件の中から、トラフィック制御指示30に指定されているインターフェイス名、方向、および宛先IPアドレスと同一のインターフェイス名、方向、および宛先IPアドレスを含むフィルタ条件をさらに抽出する。
そして、競合判定部24は、抽出したフィルタ条件の中で、トラフィック制御指示30で指定されている送信元IPアドレスと同一の送信元IPアドレスを含むフィルタ条件が存在するか否かを判定する。トラフィック制御指示30で指定されている送信元IPアドレスと同一の送信元IPアドレスを含むフィルタ条件が存在する場合、競合判定部24は、フィルタ条件が競合している旨と共に、競合している送信元IPアドレスを示す情報を判定結果通知部22へ送る。
なお、送信元IPアドレスは、プレフィックス長を用いて連続する数値範囲として指定することができる。ここで、トラフィック制御指示30で指定される送信元IPアドレスの最大値をIPAmax、最小値をIPAminとし、当該トラフィック制御指示30で指定されている装置名に対応付けられてフィルタ条件格納部25に格納されており、当該トラフィック制御指示30で指定されているインターフェイス名、方向、および宛先IPアドレスと同一のインターフェイス名、方向、および宛先IPアドレスを含むフィルタ条件に設定されている送信元IPアドレスの最大値をIPBmax、最小値をIPBminとすると、トラフィック制御指示30で指定されている送信元IPアドレスとフィルタ条件格納部25に設定されているフィルタ条件内の送信元IPアドレスとが競合する場合は、例えば図5に示す4通りが考えられる。
図5において、上下方向はIPアドレスの値の大きさを示しており、上へいくほど値が大きいことを示している。図5(a)は、IPAmin以上、かつ、IPAmax以下の範囲に、IPBmin以上、かつ、IPBmax以下の範囲が含まれる場合を示しており、この場合は、IPBmin以上、かつ、IPBmax以下の範囲が、送信元IPアドレスが競合している範囲となる。
図5(b)は、IPAmaxがIPBmax以上であり、かつ、IPAminがIPBminよりも大きい場合を示しており、この場合は、IPAmin以上、かつ、IPBmax以下の範囲が、送信元IPアドレスが競合している範囲となる。
図5(c)は、IPAmaxがIPBmax未満であり、かつ、IPAminがIPBmin以下の場合を示しており、この場合は、IPBmin以上、かつ、IPAmax以下の範囲が、送信元IPアドレスが競合している範囲となる。
図5(d)は、IPAmin以上、かつ、IPAmax以下の範囲が、IPBmin以上、かつ、IPBmax以下の範囲に含まれる場合を示しており、この場合は、IPAmin以上、かつ、IPAmax以下の範囲が、送信元IPアドレスが競合している範囲となる。
送信元IPアドレスが数値範囲で設定されており、競合する送信元IPアドレスを数値範囲で特定することができる場合には、競合判定部24は、送信元IPアドレスが競合している旨と共に、競合している送信元IPアドレスの数値範囲の最大値と最小値とを示す情報を判定結果通知部22へ送る。
トラフィック制御指示30で指定された装置名に対応するフィルタ条件がフィルタ条件格納部25内に存在しない場合、または、トラフィック制御指示30に指定されているインターフェイス名、方向、宛先IPアドレス、および送信元IPアドレスと同一のインターフェイス名、方向、宛先IPアドレス、および送信元IPアドレスを含むフィルタ条件がフィルタ条件格納部25内に存在しない場合、競合判定部24は、フィルタ条件の競合がない旨を判定結果通知部22に通知する。
そして、競合判定部24は、トラフィック制御指示30内の情報をフィルタ条件格納部25に登録すると共に、トラフィック制御指示30をフィルタ条件設定部23へ送る。フィルタ条件設定部23は、通信網13を介して、トラフィック制御指示30で指定されている通信制御装置に、当該トラフィック制御指示30で指定されているフィルタ条件を設定する。フィルタ条件設定部23は、例えばIETF RFC4741で規定されているNETCONFを用いて、通信網13を介して通信制御装置にフィルタ条件を設定する。
判定結果通知部22は、フィルタ条件の競合がない旨を競合判定部24から通知された場合に、例えば図6に示すようなデータ構造の判定結果40を管理者11へ送信する。図6に示した例では、判定結果40はXML形式で記述されており、領域41に競合がない旨が記述されている。
また、送信元IPアドレスが競合している旨と共に、送信元IPアドレスの数値範囲の最大値と最小値とを示す情報を競合判定部24から受信した場合、判定結果通知部22は、例えば図7に示すようなデータ構造の判定結果40を管理者11へ送信する。図7に示した例では、判定結果40はXML形式で記述されており、領域42にフィルタ条件の競合がある旨が記述されており、領域43に送信元IPアドレスの最小値が記述され、領域44に送信元IPアドレスの最大値が記述される。図7に示した例では、IPBmin以上、かつ、IPBmax以下の送信元IPアドレスについてのフィルタ条件が競合している旨が示されている。
なお、競合判定部24は、送信元IPアドレスが競合しているフィルタ条件に含まれる対処を判定結果通知部22にさらに通知し、判定結果通知部22は、送信元IPアドレスが競合している旨、および、送信元IPアドレスの数値範囲の最大値と最小値とを示す情報に加えて、競合しているフィルタ条件に既に設定されている対処を管理者11に通知するようにしてもよい。
これにより、競合しているフィルタ条件と同一の対処を設定しようとしていた場合には、同一のフィルタ条件が設定される無駄を省くことができ、異なる対処を設定しようとしていた場合には、フィルタ条件の矛盾や設定ミスの発見につながることが期待できる。
図8は、ネットワーク制御装置20の動作の一例を示すフローチャートである。管理者11または攻撃検出装置12からトラフィック制御指示を受信することにより、ネットワーク制御装置20は本フローチャートに示す動作を開始する。
まず、競合判定部24は、フィルタ条件受付部21を介して、入力されたトラフィック制御指示を受け取り、受け取ったトラフィック制御指示に含まれている装置名に対応付けられているフィルタ条件を抽出し、抽出したフィルタ条件の中で、トラフィック制御指示に含まれているインターフェイス名、方向、および宛先IPアドレスを含むフィルタ条件が存在するか否かを判定する(S100)。
トラフィック制御指示に含まれている装置名に対応付けられているフィルタ条件がフィルタ条件格納部25内に存在しない場合、または、トラフィック制御指示に含まれているインターフェイス名、方向、および宛先IPアドレスを含むフィルタ条件が、トラフィック制御指示に含まれている装置名に対応付けられたフィルタ条件の中に存在しない場合(S100:No)、競合判定部24は、フィルタ条件に競合がない旨を判定結果通知部22に通知する。判定結果通知部22は、図6に示すような判定結果を管理者11へ送信し(S106)、ステップS107に示す処理を実行する。
トラフィック制御指示に含まれているインターフェイス名、方向、および宛先IPアドレスを含むフィルタ条件が、トラフィック制御指示に含まれている装置名に対応付けられたフィルタ条件の中に存在する場合(S100:Yes)、競合判定部24は、該当するフィルタ条件の中で、未選択のフィルタ条件を1つ選択し(S101)、後述する競合判定処理を実行する(S200)。
次に、競合判定部24は、ステップS200の処理の結果、トラフィック制御指示で指定される送信元IPアドレスと、ステップS101で選択したフィルタ条件に含まれる送信元アドレスとに、競合するIPアドレスが存在すると判定されたいか否かを判定する(S102)。送信元IPアドレスに競合がない場合(S102:No)、競合判定部24は、フィルタ条件に競合がない旨を判定結果通知部22に通知する。判定結果通知部22は、図6に示すような判定結果を管理者11へ送信し(S104)、ステップS105に示す処理を実行する。
送信元IPアドレスに競合がある場合(S102:Yes)、競合判定部24は、フィルタ条件に競合がある旨と共に、競合している送信元IPアドレスの最大値と最小値とを示す情報を判定結果通知部22へ送る。判定結果通知部22は、図7に示す判定結果を管理者11へ送信する(S103)。
次に、競合判定部24は、ステップS100の判定に該当するフィルタ条件をステップS101において全て選択したか否かを判定する(S105)。未選択のフィルタ条件がある場合(S105:No)、競合判定部24は、再びステップS101に示した処理を実行する。
ステップS100の判定に該当するフィルタ条件をステップS101において全て選択した場合(S105:Yes)、競合判定部24は、トラフィック制御指示の中に送信元IPアドレスが競合していないフィルタ条件が存在するか否かを判定する(S107)。トラフィック制御指示の中に送信元IPアドレスが競合していないフィルタ条件が存在しない場合(S107:No)、ネットワーク制御装置20は、本フローチャートに示す動作を終了する。
トラフィック制御指示の中に送信元IPアドレスが競合していないフィルタ条件が存在する場合(S107:Yes)、競合判定部24は、該当するフィルタ条件をフィルタ条件格納部25に登録すると共に、フィルタ条件設定部23へ送る。フィルタ条件設定部23は、競合判定部24から受け取ったフィルタ条件を対応する通信制御装置に設定し(S108)、ネットワーク制御装置20は、本フローチャートに示す動作を終了する。
図9は、競合判定処理(S200)の一例を示すフローチャートである。なお、本フローチャートでは、トラフィック制御指示に含まれる送信元IPアドレスと、フィルタ条件格納部25内のフィルタ条件に含まれる送信元IPアドレスとが数値範囲で設定されている場合を想定している。
まず、競合判定部24は、トラフィック制御指示に含まれている送信元IPアドレスの最大値および最小値を、それぞれ、IPAmaxおよびIPAminとする(S201)。そして、競合判定部24は、S101で選択したフィルタ条件に含まれている送信元IPアドレスの最大値および最小値を、それぞれ、IPBmaxおよびIPBminとする(S202)。
次に、競合判定部24は、IPAmaxがIPBmin未満か否かを判定する(S203)。IPAmaxがIPBmin未満である場合(S203:Yes)、競合判定部24は、送信元IPアドレスの競合なしと判定し(S212)、本フローチャートに示す競合判定処理を終了する。
IPAmaxがIPBmin以上である場合(S203:No)、競合判定部24は、IPAminがIPBmin以下か否かを判定する(S204)。IPAminがIPBmin以下である場合(S204:Yes)、競合判定部24は、IPBmaxがIPAmax以下であるか否かを判定する(S205)。
IPBmaxがIPAmax以下である場合(S205:Yes)、競合判定部24は、IPAmin以上、かつ、IPBmin未満の範囲、および、IPBmaxより大きく、かつ、IPAmax以下の範囲に送信元IPアドレスの競合がなく、IPBmin以上、かつ、IPBmax以下の範囲に送信元IPアドレスの競合があると判定し、本フローチャートに示す競合判定処理を終了する。この場合のIPAmax、IPAmin、IPBmax、およびIPBminの関係を図示すると、例えば図5(a)のようになる。
IPBmaxがIPAmaxよりも大きい場合(S205:No)、競合判定部24は、IPAmin以上、かつ、IPBmin未満の範囲、および、IPAmaxより大きく、かつ、IPBmax以下の範囲に送信元IPアドレスの競合がなく、IPBmin以上、かつ、IPAmax以下の範囲に送信元IPアドレスの競合があると判定し、本フローチャートに示す競合判定処理を終了する。この場合のIPAmax、IPAmin、IPBmax、およびIPBminの関係を図示すると、例えば図5(c)のようになる。
ステップS204において、IPAminがIPBminより大きい場合(S204:No)、競合判定部24は、IPBmaxがIPAmin未満であるか否かを判定する(S208)。IPBmaxがIPAmin未満である場合(S208:Yes)、競合判定部24は、ステップS212に示した処理を実行する。IPBmaxがIPAmin以上である場合(S208:No)、競合判定部24は、IPBmaxがIPAmax以下であるか否かを判定する(S209)。
IPBmaxがIPAmax以下である場合(S209:Yes)、競合判定部24は、IPBmin以上、かつ、IPAmin未満の範囲、および、IPBmaxより大きく、かつ、IPAmax以下の範囲に送信元IPアドレスの競合がなく、IPAmin以上、かつ、IPBmax以下の範囲に送信元IPアドレスの競合があると判定し、本フローチャートに示す競合判定処理を終了する。この場合のIPAmax、IPAmin、IPBmax、およびIPBminの関係を図示すると、例えば図5(b)のようになる。
IPBmaxがIPAmaxよりも大きい場合(S209:No)、競合判定部24は、IPBmin以上、かつ、IPAmin未満の範囲、および、IPAmaxより大きく、かつ、IPBmax以下の範囲に送信元IPアドレスの競合がなく、IPAmin以上、かつ、IPAmax以下の範囲に送信元IPアドレスの競合があると判定し、本フローチャートに示す競合判定処理を終了する。この場合のIPAmax、IPAmin、IPBmax、およびIPBminの関係を図示すると、例えば図5(d)のようになる。
図10は、ネットワーク制御装置20の機能を実現するコンピュータ50の一例を示すハードウェア構成図である。コンピュータ50は、CPU(Central Processing Unit)51、RAM(Random Access Memory)52、ROM(Read Only Memory)53、HDD(Hard Disk Drive)54、通信インターフェイス(I/F)55、入出力インターフェイス(I/F)56、およびメディアインターフェイス(I/F)57を備える。
CPU51は、ROM53またはHDD54に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM53は、コンピュータ50の起動時にCPU51が実行するブートプログラムや、コンピュータ50のハードウェアに依存するプログラム等を格納する。
HDD54は、CPU51によって実行されるプログラムを格納する。通信インターフェイス55は、通信網13を介して他の機器からデータを受信してCPU51へ送ると共に、CPU51が生成したデータを、通信網13を介して他の機器へ送信する。
CPU51は、入出力インターフェイス56を介して、モニタやプリンタ等の出力装置、および、キーボードやマウス等の入力装置を制御する。CPU51は、入出力インターフェイス56を介して、入力装置からデータを取得する。また、CPU51は、生成したデータを、入出力インターフェイス56を介して出力装置へ出力する。
メディアインターフェイス57は、記録媒体58に格納されたプログラムまたはデータを読み取り、RAM52に提供する。RAM52を介してCPU51に提供されるプログラムは、記録媒体58に格納されている。当該プログラムは、記録媒体58から読み出されて、RAM52を介してコンピュータ50にインストールされ、CPU51によって実行される。記録媒体58は、例えばDVD(Digital Versatile Disk)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
コンピュータ50にインストールされて実行されるプログラムは、コンピュータ50を、フィルタ条件受付部21、判定結果通知部22、フィルタ条件設定部23、競合判定部24、およびフィルタ条件格納部25として機能させる。
コンピュータ50は、これらのプログラムを、記録媒体58から読み取って実行するが、他の例として、他の装置から、通信媒体を介してこれらのプログラムを取得してもよい。通信媒体とは、通信網13、または、当該通信網13を伝搬するディジタル信号もしくは搬送波を指す。
以上、本発明の実施の形態について説明した。
上記説明から明らかなように、本実施形態のネットワーク制御装置20によれば、入力されたフィルタ条件と既に設定されているフィルタ条件との競合を検出することができる。これにより、設定されたフィルタ条件による通信データの制御が適切に実行される。
なお、本発明は、上記した実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
例えば、上記した実施形態において、ネットワーク制御装置20は、管理者11および攻撃検出装置12からトラフィック制御指示を受け付けるが、管理者11または攻撃検出装置12のいずれか一方からのみトラフィック制御指示を受け付けるように構成されていてもよい。上記した実施形態において、攻撃検出装置12とネットワーク制御装置20とが1つの装置として実現されてもよい。
本発明の一実施形態にかかるネットワークシステム10の構成の一例を示すシステム構成図である。 ネットワーク制御装置20の機能構成の一例を示すブロック図である。 フィルタ条件格納部25に格納されるデータ構造の一例を示す図である。 トラフィック制御指示30のデータ構造の一例を示す図である。 新たに設定されるフィルタ条件のIPアドレスと、既に設定されているフィルタ条件のIPアドレスとの競合を説明するための概念図である。 競合が検出されなかった場合に送信される判定結果40のデータ構造の一例を示す図である。 競合が検出された場合に送信される判定結果40のデータ構造の一例を示す図である。 ネットワーク制御装置20の動作の一例を示すフローチャートである。 競合判定処理(S200)の一例を示すフローチャートである。 ネットワーク制御装置20の機能を実現するコンピュータ50の一例を示すハードウェア構成図である。 ACL60のデータ構造の一例を示す図である。
符号の説明
10・・・ネットワークシステム、11・・・管理者、12・・・攻撃検出装置、13・・・通信網、14・・・ルータ、15・・・FW、16・・・通信網、17・・・コンピュータ、20・・・ネットワーク制御装置、21・・・フィルタ条件受付部、22・・・判定結果通知部、23・・・フィルタ条件設定部、24・・・競合判定部、25・・・フィルタ条件格納部、250・・・装置名、251・・・フィルタ条件、252・・・指定情報、253・・・対処、254・・・インターフェイス名、255・・・方向、256・・・宛先IPアドレス、257・・・送信元IPアドレス、258・・・送信元プレフィックス長、30・・・トラフィック制御指示、40・・・判定結果、50・・・コンピュータ、51・・・CPU、52・・・RAM、53・・・ROM、54・・・HDD、55・・・通信インターフェイス、56・・・入出力インターフェイス、57・・・メディアインターフェイス、58・・・記録媒体、60・・・ACL、61・・・ACL番号、62・・・フィルタ条件、63・・・指定情報、64・・・対処方法、65・・・送信元IPアドレス、66・・・宛先IPアドレス

Claims (6)

  1. 通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置であって、
    外部からフィルタ条件を受け付けるフィルタ条件受付手段と、
    前記通信制御装置に設定されているフィルタ条件を格納するフィルタ条件格納手段と、
    前記フィルタ条件受付手段が外部からフィルタ条件を受け付けた場合に、前記フィルタ条件格納手段を参照して、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定する競合判定手段と、
    前記競合判定手段によって、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信する判定結果通知手段と、
    前記競合判定手段によって、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、前記フィルタ条件受付手段が受け付けたフィルタ条件を前記通信制御装置に設定するフィルタ条件設定手段と
    を備えることを特徴とするネットワーク制御装置。
  2. 請求項1に記載のネットワーク制御装置であって、
    前記エラー通知には、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報と同一の指定情報を含むと判定されたフィルタ条件に含まれる対処方法が含まれることを特徴とするネットワーク制御装置。
  3. 請求項1または2に記載のネットワーク制御装置であって、
    前記指定情報には、少なくとも、送信元のMACアドレス、宛先のMACアドレス、送信元のIPアドレス、宛先のIPアドレス、送信元のポート番号、宛先のポート番号のいずれかが含まれることを特徴とするネットワーク制御装置。
  4. 請求項1から3のいずれか一項に記載のネットワーク制御装置であって、
    前記フィルタ条件受付手段は、管理者、または、所定時間以内に特定の宛先へ送信された通信データの数に基づいて当該特定の宛先のサーバへの攻撃を検出する攻撃検出装置の少なくとも一方からフィルタ条件を受け付けることを特徴とするネットワーク制御装置。
  5. 通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置におけるネットワーク制御方法であって、
    前記ネットワーク制御装置が、
    外部からフィルタ条件を受け付けるステップと、
    前記通信制御装置に設定されているフィルタ条件をフィルタ条件格納手段に格納するステップと、
    外部からフィルタ条件を受け付けた場合に、前記フィルタ条件格納手段を参照して、受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定するステップと、
    受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信するステップと、
    受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、受け付けたフィルタ条件を前記通信制御装置に設定するステップと
    を実行することを特徴とするネットワーク制御方法。
  6. コンピュータを、通信データの一部を指定する指定情報と、当該指定情報に該当する通信データの対処方法とを含むフィルタ条件を外部から受け付け、受け付けたフィルタ条件を通信制御装置に設定するネットワーク制御装置として機能させるプログラムであって、
    前記コンピュータに、
    外部からフィルタ条件を受け付けるフィルタ条件受付手段、
    前記通信制御装置に設定されているフィルタ条件を格納するフィルタ条件格納手段、
    前記フィルタ条件受付手段が外部からフィルタ条件を受け付けた場合に、前記フィルタ条件格納手段を参照して、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であるか否かを判定する競合判定手段、
    前記競合判定手段によって、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれかのフィルタ条件に含まれている指定情報と同一であると判定された場合に、管理者にエラー通知を送信する判定結果通知手段、および
    前記競合判定手段によって、前記フィルタ条件受付手段が受け付けたフィルタ条件に含まれている指定情報が、前記フィルタ条件格納手段に格納されているいずれのフィルタ条件に含まれている指定情報とも異なると判定された場合に、前記フィルタ条件受付手段が受け付けたフィルタ条件を前記通信制御装置に設定するフィルタ条件設定手段
    を実現させることを特徴とするプログラム。
JP2007177223A 2007-07-05 2007-07-05 ネットワーク制御装置、ネットワーク制御方法、およびプログラム Pending JP2009017269A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007177223A JP2009017269A (ja) 2007-07-05 2007-07-05 ネットワーク制御装置、ネットワーク制御方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007177223A JP2009017269A (ja) 2007-07-05 2007-07-05 ネットワーク制御装置、ネットワーク制御方法、およびプログラム

Publications (1)

Publication Number Publication Date
JP2009017269A true JP2009017269A (ja) 2009-01-22

Family

ID=40357599

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007177223A Pending JP2009017269A (ja) 2007-07-05 2007-07-05 ネットワーク制御装置、ネットワーク制御方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP2009017269A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011211400A (ja) * 2010-03-29 2011-10-20 Casio Computer Co Ltd 情報システムおよびプログラム
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
CN114072739A (zh) * 2019-07-03 2022-02-18 欧姆龙株式会社 控制系统、支持装置以及设定程序
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025203A (ja) * 2004-07-08 2006-01-26 Fujitsu Ltd ネットワーク中継装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025203A (ja) * 2004-07-08 2006-01-26 Fujitsu Ltd ネットワーク中継装置

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011211400A (ja) * 2010-03-29 2011-10-20 Casio Computer Co Ltd 情報システムおよびプログラム
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US11122085B2 (en) 2014-02-20 2021-09-14 Nicira, Inc. Method and apparatus for distributing firewall rules
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11128600B2 (en) 2015-06-30 2021-09-21 Nicira, Inc. Global object definition and management for distributed firewalls
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US11005815B2 (en) 2016-04-29 2021-05-11 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
CN114072739A (zh) * 2019-07-03 2022-02-18 欧姆龙株式会社 控制系统、支持装置以及设定程序

Similar Documents

Publication Publication Date Title
JP2009017269A (ja) ネットワーク制御装置、ネットワーク制御方法、およびプログラム
US8375445B2 (en) Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
JP4429218B2 (ja) ネットワーク遮断制御プログラム及びネットワーク遮断装置
JP5673557B2 (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
EP2612488B1 (en) Detecting botnets
JP2004364306A (ja) クライアント−サーバ接続要求を制御するシステム
US7684339B2 (en) Communication control system
JP2005135420A (ja) ホストベースのネットワーク侵入検出システム、方法、およびコンピュータ可読媒体
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
EP3286650B1 (en) Network security analysis for smart appliances
JP4170301B2 (ja) DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP4694578B2 (ja) コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
KR100734866B1 (ko) 비정상 패킷 탐지 방법 및 장치
JP2009302625A (ja) ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法
JP5542240B2 (ja) ルーティングのための方法、ならびに関連するルーティングデバイスおよび宛先デバイス
JP2016162350A (ja) 最適化装置、最適化方法および最適化プログラム
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2016052044A (ja) 仮想マシンのリソース管理システム、方法及びプログラム
JP4400868B2 (ja) 不正通信の自動設定侵入検知装置、方法および記録媒体
US20090100487A1 (en) Mitigating subscriber side attacks in a cable network
JP2007208575A (ja) 不正トラフィック管理装置およびシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110517

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111011