JP2009077030A - ルール制御装置、ルール制御方法、および、ルール制御プログラム - Google Patents

ルール制御装置、ルール制御方法、および、ルール制御プログラム Download PDF

Info

Publication number
JP2009077030A
JP2009077030A JP2007242254A JP2007242254A JP2009077030A JP 2009077030 A JP2009077030 A JP 2009077030A JP 2007242254 A JP2007242254 A JP 2007242254A JP 2007242254 A JP2007242254 A JP 2007242254A JP 2009077030 A JP2009077030 A JP 2009077030A
Authority
JP
Japan
Prior art keywords
rule
packet
order
rules
feature information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007242254A
Other languages
English (en)
Inventor
Hisafumi Abe
尚史 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007242254A priority Critical patent/JP2009077030A/ja
Publication of JP2009077030A publication Critical patent/JP2009077030A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 パケットフィルタリングに於いて、新たなルールの適用によりパケットの処置効率が向上できない。
【解決手段】 ルール制御装置は、所定の順序を持つ複数のルールからなる規則集合と、規則集合に属するルールを順序で評価して適用するルールを決定し、適用するルールに基づいて入力されたパケットを廃棄または転送するフィルタ部と、複数のルールの各々の適用回数と、順序で最後に評価される第1のルールが適用されたパケットの特徴情報に基づいて、第1のルールが適用されたパケットの少なくとも一部を、パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、規則集合に、第1のルールの直前以前に評価されるように追加するルール管理部を備える。
【選択図】 図2

Description

本発明は、受信パケットの廃棄または転送に関するルール制御装置、ルール制御方法、および、ルール制御プログラムに関する。
特許文献1は、パケットをフィルタリングするルールを、ルールの適用回数に基づいて再配置する方法を開示する。
特許文献2は、ファイアウォールから受け取った警告情報を統計処理してパケットの通過規則を適切に変更し、変更情報を作成してファイアウォールに送信する監視サーバを開示する。
特許文献3は、ネットワークの運用管理ポリシールールの適用履歴情報を統計処理して、統計情報に基づいて、ポリシーを削除または追加する装置を開示する。
特開2000−174808号公報 特開2004−348292号公報 特開2005−354280号公報
上述の技術は、所定の順序を持つ複数のルールの適用回数と、最後に評価される第1のルールが適用されたパケットの特徴情報に基づいて第2のルールを生成して、前記第1のルールの直前以前に評価されるようにするものではない。従って、第2のルールの適用により当該パケットの処置効率を向上できないという課題があった。
本発明の目的は、上述の課題を解決するための、ルール制御装置、ルール制御方法、および、ルール制御プログラムを提供することにある。
本発明の一実施形態のルール制御装置は、所定の順序を持つ複数のルールからなる規則集合と、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ部と、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理部を備える。
本発明の一実施形態のルール制御装置は、所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信する。
本発明の一実施形態のルール制御プログラムは、所定の順序を持つ複数のルールからなる規則集合を備えるコンピュータに、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ処理と、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理処理を実行させる。
本発明の一実施形態のルール制御プログラムは、コンピュータに、所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信する処理を実行させる。
本発明の一実施形態のルール制御方法は、所定の順序を持つ複数のルールからなる規則集合を備えるコンピュータが、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ行程と、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理行程を有する。
本発明の一実施形態のルール制御方法は、コンピュータが、所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信する。
本発明は、所定の順序を持つ複数のルールの適用回数と、最後に評価される第1のルールが適用されたパケットの特徴情報に基づいて第2のルールを生成して、前記第1のルールの直前以前に評価されるようにする。本発明は、第2のルールの適用により当該パケットの処置効率を向上させるという効果がある。
図1は、本発明の第1の実施形態にかかるルール制御装置11のネットワーク構成を例示する。このルール制御装置11は、外部ネットワーク91と内部ネットワーク92の境界に設けられるファイアウォール装置10として機能する。ファイアウォール装置10(ルール制御装置11)は、外部ネットワーク91から通信のパケットを受信してパケットフィルタリングを行い、所定の条件を満たす通信パケットだけを内部ネットワーク92に転送する。ファイアウォール装置10(ルール制御装置11)は、その他のパケットを廃棄する。ファイアウォール装置10(ルール制御装置11)は、内部ネットワーク92から通信のパケットを受信してパケットフィルタリングを行っても良い。
図2は、本実施形態のファイアウォール装置10(ルール制御装置11)(以降、ファイアウォール装置10とのみ呼称する)の内部構成を示す。ファイアウォール装置10は、フィルタ部20、ルール管理部40、ルール制御プログラム12、および、設定管理部13を包含する。
フィルタ部20は規則集合31を包含する。本実施形態に於いて、規則集合31は、ルールテーブル30として実現されている。ルールテーブル30(規則集合31)(以降、ルールテーブル30とのみ呼称する)は、複数のルール50を包含する。設定管理部13がユーザから入力されたルール50を登録して、ルールテーブル30を初期設定する。フィルタ部20は、外部ネットワーク91からパケットを受信し、ルールテーブル30のルール50に基づいてパケットフィルタリングを行う。フィルタ部20は、通過を許可するパケットは内部ネットワーク92に転送し、通過を拒否するパケットは廃棄する。
ルール管理部40は、コピー集合41と通信ログ42を包含する。コピー集合41は、ルールテーブル30の写しである。設定管理部13は、ルールテーブル30を初期設定したとき、その内容をコピー集合41にコピーしてコピー集合41を初期設定する。フィルタ部20がルールテーブル30の初期設定内容をルール管理部40に送信して、ルール管理部40がコピー集合41に格納しても良い。
ルール管理部40は、コピー集合41に基づいて、ルール50の動的な生成、削除および並べ替えを行い、その変更情報をフィルタ部20に送信する。送信する変更情報は、例えば、コピー集合41の内容全体、または、ルール50の順序情報と生成したルール50である。フィルタ部20は、変更情報でルールテーブル30を更新し、その後は更新したルールテーブル30に基づいてパケットフィルタリングを行う。
本実施形態に於いて、フィルタ部20、ルール管理部40および設定管理部13は、コンピュータが、図示しない記憶域に格納されているルール制御プログラム12を読み込んで実行することで実現される。同等な機能が、ハードウェアで実現されてもよい。
図3はルールテーブル30の構成を示す。ルールテーブル30は、複数のルール50を順序付けて格納する。図3では、各ルール50は上から下に順序づけられている。当該順序の最後のルール50は特別に第1のルール51と呼称する。図3において、第1のルール51は一番下のルール50である。
各ルール50はルール識別子54、処理種別55、プロトコル種別56、送信元識別子5B、および、送信先識別子5Cを包含する。
ルール識別子54は接頭子と連番とからなる。接頭子Uはユーザから入力されたルール50であることを示す。接頭子Aはルール管理部40が生成したルール50であることを示す。接頭子Dは第1のルール51であることを示す。
処理種別55は、外部ネットワーク91から受信したパケットに本ルール50が適用されたとき、当該パケットを内部ネットワーク92へ転送するのか、廃棄するのかの処置を指定する。許可は内部ネットワーク92へ転送することを意味し、拒否は廃棄することを意味する。
プロトコル種別56、送信元識別子5B、および、送信先識別子5Cは、このルール50の適用条件を規定する。外部ネットワーク91から受信したパケットのプロトコル、送信元アドレス、および、送信先アドレスが、各々、プロトコル種別56、送信元識別子5B、および、送信先識別子5Cと合致すると当該パケットに本ルール50が適用される。当該パケットは、当該ルール50の処理種別55に従って転送または廃棄される。なお、受信したパケットのプロトコル、送信元アドレス、および、送信先アドレスは、例えば、パケットのヘッダから取得できる。
送信元識別子5Bおよび送信先識別子5Cは、パケットのアドレスとなるものであれば何でも良い。送信元識別子5Bは、例えば、送信元IPアドレス57、送信元ポート番号59、またはその両者の組み合わせである。送信先識別子5Cは、例えば、送信先IPアドレス58、送信先ポート番号5A、または、その両者の組み合わせである。アドレスは、TCP/IP(Transmission Control Protocol/Internet Protocol)のアドレスに限定されず、他のプロトコルのアドレスでも良い。
プロトコル種別56、送信元識別子5B、および、送信先識別子5Cは、特定の値を指定しても良いし、「任意」という指定も可能である。「任意」は、パケットの値が何であっても、当該条件に合致したものと見なすことを意味する。
パケットを受信した場合、フィルタ部20は、ルールテーブル30に順序付けて格納されたルール50を、当該順序に従って評価する。即ち、フィルタ部20は、当該パケットのプロトコル、送信元アドレス、および、送信先アドレスが、各々、ルール50のプロトコル種別56、送信元識別子5B、および、送信先識別子5Cと合致するかを調べる。フィルタ部20は、合致したパケットに当該ルール50を適用する。即ち、フィルタ部20は、当該ルール50の処置種別55にしたがって、当該パケットを内部ネットワーク92へ転送、または、廃棄する。フィルタ部20は、当該パケットにあるルール50を適用すると、当該パケットに関して、後に順序づけられたルール50は評価しない。
ルールテーブル30の最下位(ルール50の順序付けの最後尾)には、第1のルール51が配置されている。これは、これ以前に評価されたルール50の何れもが適用されなかったパケットを廃棄する為のルール50である。評価されれば必ず適用されるように、第1のルール51のプロトコル種別56、送信元識別子5B、および、送信先識別子5Cは全て「任意」が指定されている。
コピー集合41はルールテーブル30と同じ構造を有する。
図4は通信ログ42の構成を示す。フィルタ部20は、受信したパケットにあるルール50を適用して当該パケットを転送または廃棄したとき、その履歴情報43をルール管理部40に送信する。ルール管理部40は、受信した履歴情報43を通信ログ42に蓄積していく。通信ログ42は、一つのファイルでも良いし、ルール50ごとに分割されたファイルでも良い。
履歴情報43即ち、通信ログ42の各レコードは、適用したルール50のルール識別子54、処置日時、ルール50にしたがって処置されたパケットのプロトコル、送信元アドレス、送信先アドレス、その他が包含される。
パケットのプロトコル、送信元アドレス、送信先アドレスは、各々、ルール50で指定されたプロトコル種別56、送信元識別子5B、および、送信先識別子5Cと比較される値である。この意味で、パケットのプロトコル、送信元アドレス、送信先アドレスの各々は、以降、プロトコル種別56、送信元識別子5B、および、送信先識別子5Cの名前で参照される。送信元アドレスが、IPアドレスとポート番号から構成されるときは、送信元IPアドレス57と送信元ポート番号59の名前で参照される。送信先アドレスが、IPアドレスとポート番号から構成されるときは、送信先IPアドレス58と送信先ポート番号5Aの名前で参照される。
図5は、ルール管理部40が、コピー集合41に基づいてルール50の動的な生成、削除および並べ替えを行う時のフローチャートである。
ルール管理部40は、一定時間経過ごと(S11でY)に起動される。
同部は、通信ログ42を解析して、ルール識別子54ごとに、当該一定時間内に当該ルール50が適用された回数を集計する(S12)。集計値は、通信ログ42の処置日時が当該一定時間内に包含される履歴情報43の数を、ルール識別子54ごとにカウントすることで得る。図6はこの集計結果を示す。例えば、図6の最下段は、ルール識別子54がD1のルール50、即ち、第1のルール51の適用回数が31300回であることを示す。
同部は、集計結果から、適用回数が最低の第1のルール51以外のルール50の適用回数(最低回数)を取得する(S13)。図6の例においては、ルール識別子54がU4のルール50の適用回数である457を最低回数として取得する。
同部は、通信ログ42を解析して、第1のルール51が適用されて廃棄されたパケットを、同一の特徴情報47、例えば同一のプロトコル種別56および送信先ポート番号5Aごとのグループ(グループn:n=1~N)に分類する。その後同部は、グループ毎のパケット数(Cn:n=1~N)および当該一定時間内に処置された全体のパケット数に占める各Cnの割合(Rn:n=1~N)を求める(S14)。同部は、この処理に於いて、通信ログ42の処置日時が当該一定時間内に包含される履歴情報43を読み込んで、履歴情報43に含まれるプロトコル種別56と送信先ポート番号5Aの値が同一のパケットを、同一のグループに分類すればよい。
特徴情報47は、このグループ分けのキーとなるパケットの情報を意味する。上記の例では、特徴情報47はプロトコル種別56と送信先ポート番号5Aの組み合わせである。特徴情報47は、ルール50の適用条件を規定するプロトコル種別56、送信元識別子5B、および、送信先識別子5Cの中から単独に、または組み合わせて適宜選択されれば良い。送信元識別子5Bが、送信元IPアドレス57および送信元ポート番号59からなる場合は、各々単独に、または、両者を組み合わせて選択されれば良い。同様なことが、送信先識別子5Cについても当てはまる。
ルール管理部40は、特徴情報47をルール制御装置11ごとに固定的に選択しても良いし、ユーザの指定を設定管理部13から受信して選択しても良い。また、ルール管理部40は、複数の種類の選択情報43に基づいて、複数回本ステップの処理を実施しても良い。
なお、Rnを求めるときの分母は、通信ログ42の処置日時が当該一定時間内に包含される履歴情報43の総数から求められる(図6の最下段)。
図7はこのグループ分け、および、CnとRnの計算結果を例示する。本図では、特徴情報47をプロトコル種別56と送信先ポート番号5Aの組み合わせとした結果、パケットがグループ1から4までの4グループに分類できたことを示している。
例えば、プロトコル種別56がUDP(User Datagram Protocol)で、送信先ポート番号5Aのパケットがグループ1を構成していることを示している。同図は、グループ1のCn(C1)は25632個およびRn(R1)は:29.88%として算出されたことも示している。
同部は、全てのグループnについて完了するまで(S15でN)、以下の1)乃至3)の処理を行う。
1)同部は、Rnが予め与えられた値(例えば、10%)以上で(S16でY)、かつ、Cnが最低回数以上である(S17でY)場合は、当該グループnの属するパケットを廃棄するようなルール50を生成する(S18)。ここで生成されたルール50は、特別に第2のルール52と呼称する。
図7の例では、グループ1のR1(29.88%)が10%以上で、かつ、C1(25632)が最低回数(457)以上である。従って、同部は、グループ1に分類されたパケットを廃棄するような第2のルール52を生成することになる。グループ1に分類されたパケットは、プロトコル種別56がUDPで、送信先ポート番号5Aが8000のパケットである。従って、同部は、図8に示す第2のルール52を生成する。ここで、ルール識別子54は、ルール管理部40が生成したルール50であることを示す接頭子Aを包含する。
2)同部は生成した第2のルール52をコピー集合41に追加する(S19)。追加位置はどこでも構わない。図9は第1のルール51の直前に追加したものを例示する。
3)同部は、Rnが予め与えられた値未満(S16でN)、または、Cnが最低回数未満である(S17でN)場合は何もしない。
同部は、全てのグループnについて上述の1)乃至3)の処理を完了する(S15でY)と、コピー集合41のルール50の再配置を行う(S20)。再配置は、セキュリティポリシーに矛盾が発生しないように、適用回数の多いルール50を、評価順位の上位に位置づけてコピー集合41に格納することをいう。ここで、再配置の対象となるルール50は、第2のルール52を含むが第1のルール51は含まない。
このルール50の再配置の手順は当業者に知られており、ここでは詳細は割愛する。ルール管理部40は、例えば、引用文献1で記載された手法を用いる。
図10は再配置の様子を示す。上段の表は再配置前のコピー集合41を示す。このコピー情報41の図には、参考のため、右端のコラムに再配置の基準となる各ルール50の適用回数(即ち、適用パケット数)が付加されている。U1乃至U4のルール50についての適用回数は、通信ログ42から得た図6の値である。生成した第2のルール52についての値は、当該第2のルール52を生成する基となったグループnのCnである。図7の例に於いては、グループ1のC1の値である。
図10の下段は、再配置後のコピー集合41を示す。第2のルール52は、通常、第1のルール51の直前より前に再配置される。その理由は、グループnのCnの値が最低回数以上である(S17でY)ことを条件に第2のルール52を生成しているからである。
再配置後、同部は、第2のルール52が不要となれば、これを削除する(S21)。再配置の結果、第2のルール52が第1のルール51の直前に配置されると、不要となるため削除される。これは、今回生成したばかりの第2のルール52を、第1のルール51の直前より前に再配置するとセキュリティポリシーに反する場合(特許文献1等を参照)に発生する。また、これは、以前に生成されフィルタ部20で使用されていた第2のルール52の適用回数が相対的に下がってきた場合にも発生する。また、同部は、以前に生成してフィルタ部20で使用されていた第2のルール52の適用回数がゼロになった時も、当該第2のルール52は不要であるとして、これをを削除する。
最後に、同部は、コピー集合41の内容をフィルタ部20に送信して(S22)、その処理を終了する。
フィルタ部20は、受信したコピー集合41の内容を、ルールテーブル30に格納して、更新後のルールテーブル30に基づいてパケットフィルタリングを継続する。
なお、ルール管理部40は、コピー集合41の内容全体ではなく、生成した第2のルール52とルール50の新たな順序情報だけをフィルタ部20に送信しても良い。この場合、ルールテーブル30上のルール50の並べ替えは、フィルタ部20が行う。こうすることで、同部は、フィルタ部20への送信データ量を減らすことが可能となる。
本実施形態の第1の効果は、パケットを処置(転送または廃棄)するための処理時間を短縮できることである。その理由は、ルール管理部40が、最後に評価される第1のルール51が適用されたパケットを分析し、新たな処置ルール50(第2のルール52)を生成して、ルールテーブル30の第1のルール51の直前以前の位置に追加するからである。これにより、第1のルール51を適用するよりも少ない評価回数で、当該パケットを処置することが可能になる。
図11は、ルール50の評価回数を指標とした処理効率の比較を示す。ここで、評価回数とは、そのルール50が適用された時に適用可否を評価したルール50の数である。例えば、(a)の表に於いて、ルール識別子54がU3のルール50の適用回数は4568であり、評価回数は13704(3×4568)である。これは、ルール識別子54がU1とU2のルール50の評価の後に、U3のルール50が評価されて適用されるからである。
図11は、ルール50の再配置処理のみを行った場合((b)の表)の処理効率改善よりも、第2のルール52を作成して、ルールテーブル30に追加して再配置処理を行った場合((C)の表)の方が、処理効率が改善されることを示す。
再配置処理のみを行った場合((b)の表)の処理効率改善は、91.33%(235064/257392)である。第2のルール52を作成して、ルールテーブル30に追加して再配置処理を行った場合((C)の表)の処理効率改善は、70.88%(182429/257392)である。
本実施形態の第2の効果は、利用者のルール50の管理コストを削減することができることにある。その理由は、ルール管理部40が、パケットの分析に基づき、パケットの処置ルール50の追加・削除を自動的に行うからである。
図12は本発明の第2の実施形態を示す。本実施形態のルール制御装置11では、ルールテーブル30はフィルタ部20とルール管理部40とは別個に存在し、両者により共用される。
本実施形態のルール管理部40は、フィルタ部20からパケットの特徴情報47と各々のルール50の適用回数を受信して、第2のルール52を生成してルールテーブル30に追加する。即ち、ルール管理部40は、図5に示す処理をルールテーブル30に対して行う。ルール管理部40は、コピー集合41を有さない。フィルタ部20は、ルール管理部40が更新したルールテーブル30を参照してパケットフィルタリングを行う。その他は第1の実施形態と同様である。
本実施形態では、ルール制御装置11を単純に構成可能である。その理由は、ルール管理部40が直接ルールテーブル30を更新するからである。本実施形態においても、第1の実施形態と同じ効果は奏する。
なお、本実施形態に於いても、フィルタ部20およびルール制御部40は、コンピュータが、図示しない記憶域に格納されているルール制御プログラム12を読み込んで実行することで実現される。同等な機能が、ハードウェアで実現されてもよい。
第3の実施形態を説明する。本発明の第1の実施形態では、第1のルール51および第2のルール52はパケットを廃棄するルール50としているが、本発明はこれに限られない。第3の実施形態では、第1のルール51および第2のルール52の処理種別55は、パケットの送信先アドレスを書き換えて、特定のシステムに転送することを指定しても良い。本実施形態ではさらにルールテーブル30の最適化が可能となる。その理由は、転送先のシステムで、例えば、転送されたパケットの内容(ヘッダ以外の情報を含む)を分析してルール50を最適化できるからである。
さらに、第1のルール51および第2のルール52の処置種別55は、パケットを単純にそのまま内部ネットワーク92に転送することを指定しても良い。第1のルール51の処置種別55の指定地を適宜選べることで、ルール50の作成が自由になり、ユーザがルールテーブル30を設計する自由度が向上する。
図13は、本発明の第4の実施形態を示す。本実施形態では、第1の実施形態のフィルタ部20とルール管理部40を互いに接続された別装置として分離して実装する。図13のフィルタ装置60は図2のフィルタ部20に相当し、図12のルール制御装置11は図2のルール管理部40に相当する。
フィルタ装置60とルール制御装置11は、特徴情報47およびルール50の適用回数、並びに、第2のルール52とルール50の順序情報の送受信を行う。
本実施形態の効果は、フィルタ装置60がパケットフィルタリングだけを集中して行うことが出来ることである。その理由は、第2のルール52を作成する処理、ルール50の再配置処理をルール制御装置11が分担するからである。
なお、本実施形態に於いても、ルール制御装置11は、コンピュータが、図示しない記憶域に格納されているルール制御プログラム12を読み込んで実行することで実現される。同等な機能が、ハードウェアで実現されてもよい。
ネットワーク構成を示す図である。 ルール制御装置の構成を示す図である。 ルールテーブル(規則集合)およびコピー集合の構成を示す図である。 通信ログの構成を示す図である。 ルール管理部のフローチャートである。 各ルールの適用回数を示す表である。 第1のルールを適用されたパケットの分類を示す表である。 第2のルールを示す図である。 第2のルールを追加したコピー集合を示す図である。 ルールの再配置を示す図である。 効果を示す図である。 第2の実施形態を示す図である。 第4の実施形態を示す図である。
符号の説明
10 ファイアウォール装置
11 ルール制御装置
12 ルール制御プログラム
13 設定管理部
20 フィルタ部
30 ルールテーブル
31 規則集合
40 ルール管理部
41 コピー集合
42 通信ログ
43 履歴情報
47 特徴情報
50 ルール
51 第1のルール
52 第2のルール
54 ルール識別子
55 処理種別
56 プロトコル種別
57 送信元IPアドレス
58 送信先IPアドレス
59 送信元ポート番号
5A 送信先ポート番号
5B 送信元識別子
5C 送信先識別子
60 フィルタ装置
91 外部ネットワーク
92 内部ネットワーク

Claims (15)

  1. 所定の順序を持つ複数のルールからなる規則集合と、
    前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ部と、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理部を備えるルール制御装置。
  2. 前記順序を、前記第1のルールを除き、前記適用回数に基づき決定する前記ルール管理部を備える請求項1のルール制御装置。
  3. 前記順序を、所定時間ごとに見直し、前記第2のルールの前記順序における順番が、前記第1のルールの直前になったときは、前記第2のルールを削除する前記ルール管理部を備える請求項2のルール制御装置。
  4. 前記特徴情報は、前記パケットのプロトコル種別、送信元識別子、送信先識別子の何れか、または、その組み合わせであり、前記特徴情報が同一の前記パケットに適用された前記第1のルールの回数が所定条件を満たすとき、前記特徴情報が同一の前記パケットに適用する前記第2のルールを生成する前記ルール管理部を備える請求項1乃至3のいずれかに記載のルール制御装置。
  5. 前記パケットの総数に対する、前記特徴情報が同一の、前記第1のルールが適用された前記パケットの数の割合が、所定値以上の場合に、前記第2のルールを生成する前記ルール管理部を備える請求項1乃至4のいずれかに記載のルール制御装置。
  6. 所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、
    前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信するルール制御装置。
  7. 前記特徴情報は、前記パケットのプロトコル種別、送信元識別子、送信先識別子の何れか、または、その組み合わせであり、前記特徴情報が同一の前記パケットに適用された前記第1のルールの回数が所定条件を満たすとき、前記特徴情報が同一の前記パケットに適用する前記第2のルールを生成する請求項6のルール制御装置。
  8. 所定の順序を持つ複数のルールからなる規則集合を備えるコンピュータに、
    前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ処理と、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理処理を実行させるルール制御プログラム。
  9. 前記コンピュータに、
    前記順序を、前記第1のルールを除き、前記適用回数に基づき決定する前記ルール管理処理を実行させる請求項8のルール制御プログラム。
  10. 前記コンピュータに、
    前記順序を、所定時間ごとに見直し、前記第2のルールの前記順序における順番が、前記第1のルールの直前になったときは、前記第2のルールを削除する前記ルール管理処理を実行させる請求項9のルール制御プログラム。
  11. コンピュータに、
    所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、
    前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信する処理を実行させるルール制御プログラム。
  12. 所定の順序を持つ複数のルールからなる規則集合を備えるコンピュータが、
    前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ行程と、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報に基づいて、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールを生成して、前記規則集合に、前記第1のルールの直前以前に評価されるように追加するルール管理行程を有するルール制御方法。
  13. 前記コンピュータが、前記順序を、前記第1のルールを除き、前記適用回数に基づき決定する前記ルール管理行程を有する請求項12のルール制御方法。
  14. 前記コンピュータが、前記順序を、所定時間ごとに見直し、前記第2のルールの前記順序における順番が、前記第1のルールの直前になったときは、前記第2のルールを削除する前記ルール管理行程を有する請求項13のルール制御プログラム。
  15. コンピュータが、
    所定の順序を持つ複数のルールからなる規則集合を備え、前記規則集合に属するルールを前記順序で評価して適用する前記ルールを決定し、適用する前記ルールに基づいて入力されたパケットを廃棄または転送するフィルタ装置から、
    前記複数のルールの各々の適用回数と、前記順序で最後に評価される第1のルールが適用された前記パケットの特徴情報を受信して、
    前記適用回数と前記特徴情報に基づき、前記第1のルールが適用された前記パケットの少なくとも一部を、前記パケットが廃棄されたときは廃棄し、転送されたときは転送する、第2のルールおよび前記順序の情報を生成して、前記第2のルールおよび前記順序の前記情報を前記規則集合に、前記順序において前記第1のルールの直前以前に評価されるように追加する前記フィルタ装置に送信するルール制御方法。
JP2007242254A 2007-09-19 2007-09-19 ルール制御装置、ルール制御方法、および、ルール制御プログラム Withdrawn JP2009077030A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007242254A JP2009077030A (ja) 2007-09-19 2007-09-19 ルール制御装置、ルール制御方法、および、ルール制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007242254A JP2009077030A (ja) 2007-09-19 2007-09-19 ルール制御装置、ルール制御方法、および、ルール制御プログラム

Publications (1)

Publication Number Publication Date
JP2009077030A true JP2009077030A (ja) 2009-04-09

Family

ID=40611610

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007242254A Withdrawn JP2009077030A (ja) 2007-09-19 2007-09-19 ルール制御装置、ルール制御方法、および、ルール制御プログラム

Country Status (1)

Country Link
JP (1) JP2009077030A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011113355A (ja) * 2009-11-27 2011-06-09 Ricoh Co Ltd 情報処理装置、画像形成装置、及び、情報処理方法
JP2012523148A (ja) * 2009-04-01 2012-09-27 ノキア シーメンス ネットワークス オサケユキチュア 通信ネットワークにおけるデータ処理のための方法及び装置
JP2015154322A (ja) * 2014-02-17 2015-08-24 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム
JP2017204890A (ja) * 2017-08-08 2017-11-16 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム
US10742685B2 (en) 2015-09-23 2020-08-11 Huawei Technologies Co., Ltd. Flow control method and device
US11115325B2 (en) 2017-01-30 2021-09-07 Fujitsu Limited Control device, transfer device, and control method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012523148A (ja) * 2009-04-01 2012-09-27 ノキア シーメンス ネットワークス オサケユキチュア 通信ネットワークにおけるデータ処理のための方法及び装置
US8938527B2 (en) 2009-04-01 2015-01-20 Adtran GmbH Method and device for data processing in a communication network
JP2011113355A (ja) * 2009-11-27 2011-06-09 Ricoh Co Ltd 情報処理装置、画像形成装置、及び、情報処理方法
JP2015154322A (ja) * 2014-02-17 2015-08-24 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム
US10742685B2 (en) 2015-09-23 2020-08-11 Huawei Technologies Co., Ltd. Flow control method and device
US11115325B2 (en) 2017-01-30 2021-09-07 Fujitsu Limited Control device, transfer device, and control method
JP2017204890A (ja) * 2017-08-08 2017-11-16 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US10135857B2 (en) Structuring data and pre-compiled exception list engines and internet protocol threat prevention
JP3568850B2 (ja) データパケットフィルタの動作方法
JP6433865B2 (ja) 通信装置
US7937756B2 (en) Apparatus and method for facilitating network security
US9578061B2 (en) System and method for modeling a networking device policy
US8767551B2 (en) System and method for flow table management
Rottenstreich et al. The bloom paradox: When not to use a bloom filter
US20160191558A1 (en) Accelerated threat mitigation system
JP2009077030A (ja) ルール制御装置、ルール制御方法、および、ルール制御プログラム
EP2552059A1 (en) Packet transfer system, control apparatus, transfer apparatus, method of creating processing rules, and program
US8555374B2 (en) High performance packet processing using a general purpose processor
CN109286511B (zh) 数据处理的方法及装置
JP2004172917A (ja) パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム
EP3811576B1 (en) Flow cache support for crypto operations and offload
CN110324198A (zh) 丢包处理方法和丢包处理装置
WO2014020445A2 (en) Systems and methods for deep packet inspection with a virtual machine
US20180167337A1 (en) Application of network flow rule action based on packet counter
US8365045B2 (en) Flow based data packet processing
US7437758B2 (en) Propagation of viruses through an information technology network
CN117440053B (zh) 一种多级跨die访问方法及系统
US20030219017A1 (en) Method and system for converting ranges into overlapping prefixes for a longest prefix match
JP2011172126A (ja) パケットフィルタシステム及びパケットフィルタ装置及びプログラム
US11128602B2 (en) Efficient matching of feature-rich security policy with dynamic content using user group matching
US9160688B2 (en) System and method for selective direct memory access

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090512

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20100419