JP2009100226A - Communication guidance device, communication control server device, and program - Google Patents
Communication guidance device, communication control server device, and program Download PDFInfo
- Publication number
- JP2009100226A JP2009100226A JP2007269445A JP2007269445A JP2009100226A JP 2009100226 A JP2009100226 A JP 2009100226A JP 2007269445 A JP2007269445 A JP 2007269445A JP 2007269445 A JP2007269445 A JP 2007269445A JP 2009100226 A JP2009100226 A JP 2009100226A
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- server device
- client terminal
- guidance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、通信誘導装置、通信制御サーバ装置及びプログラムに係り、通信の誘導に際し、クライアント端末に常駐プログラムをインストールせず、律速となるサーバの負荷を低減し、可用性を向上し得る通信誘導装置、通信制御サーバ装置及びプログラムに関する。 The present invention relates to a communication guiding device, a communication control server device, and a program, and does not install a resident program in a client terminal when guiding communication, and can reduce the load on a rate-limiting server and improve availability. The present invention relates to a communication control server device and a program.
従来、通信を誘導する手法として、インライン型で通信を取得し、NAT(Network Address Translation)やプロキシなどを用いて通信を転送する第1の方法と、通信誘導用の常駐プログラムをクライアントにインストールすることにより、常駐プログラムで、どこに通信すべきかを判断して通信を実施する第2の方法とが知られている。 Conventionally, as a method for inducing communication, a first method of acquiring communication in-line and transferring the communication using a network address translation (NAT) or a proxy, and a resident program for inducing communication are installed on the client. Thus, a second method is known in which a resident program determines where to communicate and performs communication.
第1の方法によれば、常にNATやプロキシなどで指定されるサーバにアクセスする必要があることから、クライアント側でサーバを指定する設定などを実施する手間がかかる。また、常にこれらのサーバを通過することから、サーバ側の処理能力により通信が律速されると共に、サーバに高い負荷がかかるという不都合がある。また、サーバの故障により通信が停止するので、可用性が低いという不都合がある。 According to the first method, since it is necessary to always access a server specified by NAT, proxy, or the like, it takes time and effort to perform setting for specifying the server on the client side. Further, since these servers always pass through, there is a disadvantage that communication is rate-limited by the processing capability on the server side and a high load is applied to the server. Further, since communication is stopped due to a server failure, there is a disadvantage that the availability is low.
第2の方法によれば、クライアント端末に常駐プログラムをインストールすることから、手間がかかると共に、常駐プログラムを管理する必要があるという不都合がある。また、クライアント環境によっては、常駐プログラムによる誘導処理がフィルタリング処理に干渉して稼動しない不都合が生じる場合がある。 According to the second method, since the resident program is installed in the client terminal, there are inconveniences that it takes time and it is necessary to manage the resident program. Also, depending on the client environment, there may be a disadvantage that the guidance process by the resident program does not operate due to interference with the filtering process.
なお、本出願と関連する技術として、ARP(address resolution protocol)を用い、ネットワーク上のPC(personal computer)からの不正なアクセスを制限する技術が知られている(例えば、特許文献1参照。)。しかしながら、特許文献1記載の技術は、上述した第1及び第2の方法とは異なり、正しい利用者からのアクセスを特定のページへ誘導するようなことはできない。
以上説明したように、通信を誘導する手法には、クライアント端末に常駐プログラムをインストールすることによる不都合がある。また、クライアント側でサーバを指定する設定を実施する手間がかかる不都合と、通信の律速となるサーバの負荷が高い不都合と、可用性が低い不都合とがある。 As described above, the method for inducing communication has the disadvantage of installing a resident program in the client terminal. In addition, there are inconvenience that it takes time and effort to specify the server on the client side, inconvenience that the load of the server that is the rate limiting of communication is high, and inconvenience that the availability is low.
本発明は上記実情を考慮してなされたもので、通信の誘導に際し、クライアント端末に常駐プログラムのインストール及びその他の設定を実施せず、律速となるサーバの負荷を低減し、可用性を向上し得る通信誘導装置、通信制御サーバ装置及びプログラムを提供することを目的とする。 The present invention has been made in consideration of the above-mentioned circumstances, and at the time of inducing communication, the installation of the resident program and other settings are not performed on the client terminal, and the load on the rate-limiting server can be reduced and the availability can be improved. An object is to provide a communication guiding device, a communication control server device, and a program.
第1の発明は、クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信制御サーバ装置を介して誘導先サーバ装置に誘導するための通信誘導装置であって、通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を記憶した記憶手段と、ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段と、前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段と、前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段と、前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段と、前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段と、前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段と、を備えた通信誘導装置である。 A first invention is a communication guidance device for guiding communication of a client terminal to a guidance destination server device via a communication control server device before communicating with an access target server device to be accessed by the client terminal. Communication-committed terminal information indicating a client terminal to which communication has been guided, communication control server apparatus information indicating an IP address of the communication control server apparatus, and communication between the client terminal and the destination server apparatus is permitted. Storage means storing the transfer condition information for transfer, and an ARP request generated in the network is detected, and the source IP address of the ARP request is registered in the communication induced terminal information in the storage means If the result of determination by the registration determination means and the registration determination means is not already registered, the MAC address of its own device Means for returning to the source of the ARP request at a timing when a fake ARP response indicating no response is received after the regular ARP response, and the domain name of the access target server device from the DNS request derived by the fake ARP response And a client terminal specifying information indicating the transmission source of the DNS request, a response request including the extracted domain name and client terminal specifying information is generated, and the response request is transmitted to the communication control server in the storage unit. A means for transmitting based on device information and response information from the communication control server device are received, and a DNS response indicating the IP address of the destination server device included in the response information is transmitted to the source of the DNS request. Match the transfer condition information in the storage means based on the means and the source and destination of the received packet A transfer determination means for determining whether or not, a result of determination by the transfer determination means, if the packet does not match, the packet is discarded, and if it matches, the packet is transferred to the destination of the packet; It is a communication guidance device provided with.
第2の発明は、クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信誘導装置により誘導先サーバ装置に誘導するための通信制御サーバ装置であって、前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを記憶するテーブル記憶手段と、前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を記憶するポリシ情報記憶手段と、前記通信誘導サーバ装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ情報を記憶した装置情報記憶手段と、前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段と、前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段と、前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段と、前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段と、前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段と、前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段と、前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段と、前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段と、前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段と、を備えた通信制御サーバ装置である。 According to a second aspect of the present invention, there is provided a communication control server device for guiding communication of a client terminal to a guidance destination server device by a communication guidance device before communicating with an access target server device to be accessed by the client terminal. Client terminal specifying information indicating a client terminal that has already communicated with the guidance destination server device, guidance destination server device information indicating an IP address of the guidance destination server device, execution status information of communication with the guidance destination server device, And a table storage unit that stores a terminal state management table that associates the registration date and time information with each other, a first condition that communication with the destination server device has been executed within a predetermined time, and when the first condition is not satisfied, Policy information storage for storing policy information including a second condition for inducing communication to the destination server device A device information storage means for storing communication guidance device information indicating an IP address of the communication guidance server device, and guidance destination server information indicating an IP address of the guidance destination server device, and a domain name of the access target server device When the response request including the DNS request indicating client terminal and client terminal specifying information is received from the communication guiding device, the answer request is divided into a DNS request and client terminal specifying information, and the terminal is based on the divided client terminal specifying information. Means for searching the state management table, means for sending the IP address of the destination server device based on a second condition in the policy information when there is no corresponding executed state information as a result of the search, and The DNS response indicating the IP address of the destination server device that has been sent is shaped into response information, and the response information Based on the transmission source IP address of the termination notification received from the guidance destination server device, the guidance destination server device information in the device information storage unit is retrieved, and the termination notification A registration determination unit that determines whether or not a transmission source IP address is registered in the guidance destination server device information; a unit that sends out an end notification if registered as a result of the determination by the registration determination unit; Based on the sent end notification, the client terminal specifying information is written into the terminal status management table in the table storage means after the client terminal specifying information, the destination server device information, the executed status information, and the registration date / time information are written. Based on the transmitted client terminal identification information, the terminal status management table is searched, and the corresponding client is identified. Ant terminal identification information, guidance destination server device information, executed status information, and registration date / time information, and based on the transmitted client terminal identification information, guidance destination server device information, executed status information, and registration date / time information A policy information determination unit that determines whether or not the policy information in the policy information storage unit is satisfied, and a communication that targets the client terminal identification information when the determination result by the policy information determination unit satisfies the policy information Means for transmitting a guidance release command to the communication guidance device based on the communication guidance device information in the device information storage means.
第1及び第2の発明は、「装置」として表現したが、これに限らず、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」として表現することもできる。 Although the first and second inventions are expressed as “devices”, the present invention is not limited thereto, and may be expressed as “methods”, “programs”, or “computer-readable storage media”.
(作用)
第1の発明においては、通信誘導装置が、ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが通信誘導済みでなければ、偽ARP応答をARP要求の送信元に返信して通信を誘導し、その後、偽ARP応答により誘導されてきたDNS要求に対し、誘導先サーバ装置のIPアドレスを示すDNS応答を返信して通信を誘導する。
(Function)
In the first invention, the communication guiding device detects an ARP request generated in the network, and returns a false ARP response to the ARP request source if the source IP address of the ARP request has not been induced. Then, in response to the DNS request guided by the fake ARP response, a DNS response indicating the IP address of the destination server device is returned to guide the communication.
また、第2の発明においては、通信制御サーバ装置が、通信誘導装置から受信したDNS要求及びクライアント端末特定情報を含む回答要求に対し、該当する実行済み状態情報が無い場合には誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報として通信誘導装置に返信し、誘導先サーバ装置から受けた終了通知に基づいて、通信誘導開放命令を通信誘導装置に送信する。 In addition, in the second invention, when the communication control server device has no corresponding executed state information for the DNS request and the reply request including the client terminal specifying information received from the communication guiding device, the guiding server device A DNS response indicating the IP address is returned as reply information to the communication guiding device, and a communication guidance release command is transmitted to the communication guiding device based on the end notification received from the guiding server device.
このような第1及び第2の発明によれば、通信の誘導に際し、クライアント端末に常駐プログラムをインストールしておらず、設定の変更なども実施していない。また、誘導先サーバ装置のIPアドレスを示すDNS応答を返信した後のクライアント端末と誘導先サーバ装置との間の通信には、通信制御サーバ装置が介在しないので、律速となるサーバの負荷を低減し、可用性を向上することができる。 According to the first and second inventions as described above, the resident program is not installed in the client terminal and the setting is not changed when the communication is induced. In addition, the communication control server device does not intervene in the communication between the client terminal and the guidance destination server device after returning the DNS response indicating the IP address of the guidance destination server device, so that the load on the rate limiting server is reduced. And improve availability.
以上説明したように本発明によれば、通信の誘導に際し、クライアント端末に常駐プログラムのインストール及びその他の設定を実施せず、律速となるサーバの負荷を低減し、可用性を向上できる。 As described above, according to the present invention, it is possible to reduce the load of the rate-limiting server and improve the availability without performing installation of the resident program and other settings on the client terminal when inducing communication.
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Each of the following devices can be implemented for each device with either a hardware configuration or a combination configuration of hardware resources and software. As the software of the combined configuration, a program that is installed in advance on a computer of a corresponding device from a network or a storage medium and that realizes the function of the corresponding device is used.
(第1の実施形態)
図1は本発明の第1の実施形態に係る通信システムの構成を示す模式図である。この通信システムは、通信誘導装置100及びクライアント端末200がネットワーク300及びデフォルトゲートウェイ装置400を介して外部ネットワーク500に接続されている。外部ネットワーク500には、通信制御サーバ装置600、アクセス対象サーバ装置700、誘導先サーバ装置800及びDNS(domain name system)サーバ装置900が接続されている。
(First embodiment)
FIG. 1 is a schematic diagram showing the configuration of a communication system according to the first embodiment of the present invention. In this communication system, a communication guiding
ここで、通信誘導装置100は、図2に示すように、記憶装置110、ARP要求処理部120、転送部130、DNS要求処理部140、サーバ間通信制御部150及び通信誘導開放部160を備えている。
Here, the communication guiding
記憶装置110は、各部120〜160から読出/書込可能な記憶装置であり、通信誘導済端末情報111、通信制御サーバ装置情報112、転送条件情報113を記憶している。なお、記憶装置110は、1個の記憶装置の場合に限らず、複数個の記憶装置として各情報111〜113を各記憶装置に分担して記憶するように実装されてもよい。
The
通信誘導済端末情報111は、通信誘導装置100により通信誘導済みであるクライアント端末を示す情報であり、その実装の形態は問わない。例えば、図3に示すように、通信誘導済みのクライアント端末のIP(internet protocol)アドレスとMAC(media access control)アドレスを組み合わせたリストであってもかまわない。
The communication-guided
通信制御サーバ装置情報112は、通信制御サーバ装置600に接続するための情報であり、例えば図4に示すように、通信制御サーバ装置600のIPアドレス、通信ポートなどを含んでいる。
The communication control
転送条件情報113は、転送部130による転送を許可するための情報であり、例えば図5に示すように、転送を許可する通信のIPアドレス、通信ポート、TCP/UDP種別を含んでいる。具体的には、例えば2者間のIPアドレス及びポート、通信の種別がTCPかUDPか等が転送条件情報として記憶されている。この例では、172.24.30.2又は172.24.30.50のIPアドレスでTCP通信されるものは、転送を許可する。また、172.24.30.100のIPアドレスで54番ポートを利用してUDP通信されるものは転送を許可する。この例では、通信制御サーバ装置600、誘導先サーバ装置800及びDNSサーバ装置900への転送が許可されている。
The
ARP要求処理部120は、ネットワーク300内で発生するARP要求を検知し、記憶装置110内の通信誘導済端末情報111に当該ARP要求の送信元IPアドレスが登録されているか否かを判断する機能と、登録されていない場合、デフォルトゲートウェイ装置400への通信に代えて、通信誘導装置100に通信させるための偽ARP応答を生成する機能と、偽ARP応答をデフォルトゲートウェイ装置400のARP応答よりも後に受信されるようなタイミングでクライアント端末200に返信する機能とをもっている。
The ARP
転送部130は、偽ARP応答により誘導されてきたDNS要求を検知し、このDNS要求をDNS要求処理部140に送出する機能と、受信したパケットの送信元と宛先に基づいて、記憶装置110内の転送条件情報113に合致するかを判定する機能と、合致していない場合にはパケットを破棄し、合致している場合にはパケットを転送する機能とをもっている。DNS要求は、例えば要求パケットの通信プロトコルと接続ポートとから検知可能である。
The
DNS要求処理部140は、転送部130から受けたDNS要求からアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とを取り出し、これらアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とをサーバ間通信制御部150へ渡す機能と、サーバ間通信制御部150から受けたDNS応答を整形してクライアント端末200に返信する機能とをもっている。クライアント端末特定情報は、例えば、MACアドレスでも、固定IPである場合にはIPアドレスでも、事前に渡したトークン情報でも、証明書のような情報でもかまわないが、ここではIPアドレスとする。
The DNS
サーバ間通信制御部150は、DNS要求処理部140から受けたアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とを含む回答要求を生成する機能と、この回答要求を記憶装置110内の通信制御サーバ装置情報112に基づいて通信制御サーバ装置600へ送信する機能と、通信制御サーバ装置600から受けた回答情報内のDNS応答をDNS要求処理部140に送出する機能とをもっている。
The inter-server
通信誘導開放部160は、サーバ間通信制御部150が通信制御サーバ装置600から受信した通信誘導開放命令に基づいて、クライアント端末200の通信誘導を開放する処理を実行するものである。なお、「開放」の語は、「解除」又は「終了」と読み替えてもよい。「誘導」の語は「制御」と読み替えてもよい。
The communication
クライアント端末200は、利用者が操作する通常のコンピュータ端末であり、ネットワーク300に接続されている。
The
ネットワーク300は、クライアント端末200及び通信誘導装置100が位置するネットワークであり、クライアント端末200からのブロードキャストドメイン内のネットワークである。
The
デフォルトゲートウェイ装置400は、両ネットワーク300,500を接続するための装置である。
The
外部ネットワーク500は、各種サーバ装置400,600〜900及び端末(図示せず)などが接続されるネットワークである。
The
通信制御サーバ装置600は、通信誘導装置100を管理するとともに通信誘導装置100からの要求に応じて対象のクライアント端末200を通信制御するものである。具体的には、通信制御サーバ装置600は、図6に示すように、記憶装置610、外部装置間通信制御部620、ポリシ制御部630、DNS要求処理部640、端末状態確認部650、通信誘導開放部660及び誘導先サーバ要求処理部670を備えている。
The communication
記憶装置610は、各部620〜670から読出/書込可能な記憶装置であり、端末状態管理テーブル611、ポリシ情報612、通信誘導装置情報613及び誘導先サーバ装置情報614を記憶している。なお、記憶装置610は、1個の記憶装置の場合に限らず、複数個の記憶装置としてこれらのテーブル611及び各情報612〜614を各記憶装置に分担して記憶するように実装されてもよい。
The
端末状態管理テーブル611は、クライアント端末200のポリシに記述してあるルールの実施状況を管理するものであり、例えば図7に示すように、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を互いに関連付けて記憶している。なお、端末情報管理テーブル611内の「サーバ情報」は、送信元IPアドレスが誘導先サーバ装置800を示す場合には「誘導先サーバ装置情報」に相当し、送信元IPアドレスがアクセス対象サーバ装置700を示す場合には「アクセス対象サーバ装置情報」に相当する。すなわち、端末情報管理テーブル611内の「サーバ情報」は、送信元IPアドレスに応じたサーバ装置情報に相当する。
The terminal state management table 611 manages the implementation status of the rules described in the policy of the
ポリシ情報612は、クライアント端末200からの通信を誘導先サーバ装置800に誘導するか否かの判定条件を含んでいる。例えばポリシ情報612は、図8に示すように、“172.24.30.50”の誘導先サーバ装置800上のサービスを8時間以内に実行済みか、“172.24.30.60”の図示しないサーバ装置上のサービスを8時間以内に実行済み、との第1条件と、この第1条件を満たさないとき(=サービスを実行していないとき)には“172.24.30.50”の誘導先サーバ装置800に誘導する、との第2条件を含んでいる。ポリシ情報612は、全体に対して一つでも、個別のセグメント毎に設定しても構わない。以下では、全体に対して一つのポリシ情報を設定しているものとする。また、「8時間以内」の条件は「所定時間内」の一例であり、他の値の時間に変更してもよく、又は省略してもよい。
The
通信誘導装置情報613は、通信誘導装置100のIPアドレスである。
The communication guidance device information 613 is an IP address of the
誘導先サーバ装置情報614は、誘導先サーバ装置800のIPアドレスである。
The guidance destination
外部装置間通信制御部620は、通信誘導装置100から受けた回答要求をDNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630に渡す機能と、ポリシ制御部630から受けたIPアドレス“172.24.30.50”を含むDNS応答を回答情報に整形し、この回答情報を通信誘導装置100に返信する機能と、誘導先サーバ装置800から受けた終了通知の送信元IPアドレス(誘導先サーバ装置800)に基づいて、記憶装置610内の誘導先サーバ装置情報614を検索し、終了通知の送信元IPアドレスが誘導先サーバ装置情報614に登録されているかを確かめる機能と、送信元IPアドレスが登録されていれば、誘導先サーバ要求処理部670に処理の終了通知をわたす機能と、誘導先サーバ要求処理部670から受けた判定結果がポリシ情報を満たさない場合、そのまま処理を終了し、ポリシ情報を満たす場合には通信誘導開放部660へクライアント端末特定情報を渡す機能と、通信誘導開放部660から受けた(クライアント端末特定情報と同じネットワーク300を管轄する)通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を対象とする通信誘導開放命令を送信する機能とをもっている。なお、外部装置間通信制御部620がポリシ制御部630から受けるIPアドレスは、誘導先サーバ装置800のIPアドレス“172.24.30.50”に限らず、アクセス対象サーバ装置400のIPアドレス“172.24.30.100”の場合もある。この場合については第2の実施形態で詳細に述べる。
The inter-apparatus communication control unit 620 divides the response request received from the communication guiding device 100 into a DNS request and client terminal specifying information and passes it to the policy control unit 630, and the IP address “received from the policy control unit 630“ A DNS response including 172.24.30.50 "is formed into response information, a function of returning this response information to the communication guiding apparatus 100, and a transmission source IP address (guidance) received from the destination server apparatus 800 The destination server device information 614 in the storage device 610 based on the destination server device 800), and a function for confirming whether the source IP address of the end notification is registered in the destination server device information 614; If the IP address is registered, a function for notifying the destination server request processing unit 670 of the completion of processing, and a destination server request processing unit When the determination result received from 70 does not satisfy the policy information, the processing is terminated as it is, and when the policy information is satisfied, the function of passing the client terminal identification information to the communication guidance release unit 660 and the communication guidance release unit 660 And a function of transmitting a communication guidance release command for the client terminal identification information based on the IP address of the communication guidance device 100 (which has the same network 300 as the client terminal identification information). Note that the IP address received by the external device
ポリシ制御部630は、外部装置間通信制御部620と、誘導先サーバ要求処理部670と、からの要求により動作する制御部であって、入力情報として、クライアント端末特定情報を必須とし、DNS要求を伴っていても良い。ポリシ制御部630は、入力されたクライアント端末特定情報からポリシ情報を判断して、端末のポリシの合致度合いを判断し、名前解決の要求を伴う場合には、合致している場合にはDNS要求処理部640と連携して、名前解決を実施して、正しい解答を返し、合致していない場合には、ポリシ情報612に記述されている誘導先サーバ装置のIPアドレスを返すものである。
The
具体的には、ポリシ制御部630は、外部装置間通信制御部620からDNS要求及びクライアント端末特定情報を受けると、記憶装置610からクライアント端末200へ適用すべきポリシ情報612を取得する機能と、この取得に平行して、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す機能と、端末状態確認部650から実行済み状態情報無しの応答を受けると、ポリシ情報612に基づいて、ポリシ情報612に指定された誘導先サーバ装置800のIPアドレスを外部装置間通信制御部620へ送出する機能と、誘導先サーバ要求処理部670から受けたクライアント端末特定情報を端末状態確認部650に送出する機能と、端末状態確認部650から受けたクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する機能と、また、DNS要求を取得していないので、この判定結果のみを誘導先サーバ要求処理部670へ返す機能とをもっている。
Specifically, the
DNS要求処理部640は、ポリシ制御部630から受けた(クライアント端末200から受信した)DNS要求をDNS要求フォーマットに変更し、DNSサーバ装置900に問い合わせる機能と、DNSサーバ装置900から受けたDNS応答内のアクセス対象サーバ装置700のIPアドレスをポリシ制御部630へ戻す機能とをもっている。なお、DNS要求処理部640の動作は第2の実施形態で説明する。
The DNS
端末状態確認部650は、DNS要求を送信したクライアント端末200の状態(ポリシを適合状態など)を管理するものであり、ポリシ制御部630から受けたクライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する機能と、クライアント端末特定情報に関係する実行済み状態情報が無い場合、実行済み状態情報が無いという応答をポリシ制御部630に返す機能と、クライアント端末特定情報に関係する実行済み状態情報がある場合、端末状態管理テーブル611に基づき、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す機能とをもっている。
The terminal
通信誘導開放部660は、外部装置間通信制御部620から受けたクライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す機能をもっている。
Based on the client terminal specifying information received from the inter-apparatus
誘導先サーバ要求処理部670は、外部装置間通信制御部620から受けた(誘導先サーバ装置800から受けた)処理の終了通知に基づいて、記憶装置610内の端末状態管理テーブル611に、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を書き込む機能と、この後、クライアント端末特定情報のみをポリシ制御部630にわたす機能と、ポリシ制御部630から受けた判定結果を外部装置間通信制御部620へ戻す機能とをもっている。
The guidance destination server
アクセス対象サーバ装置700は、クライアントがクライアント端末200によりアクセスしたい任意のサーバ装置である。
The access
誘導先サーバ装置800は、ポリシ情報に記述されて通信誘導装置100がクライアント端末200を誘導した際に、クライアントに対してサービスを実施するサーバ装置であって、サービスの終了時には、サービスの実施の結果と、サービスを提供した端末を特定するクライアント端末特定情報を通信制御サーバ装置600に送信する機能をもっている。サービスはhttp(hypertext transfer protocol)やftp(file transfer protocol)、アプリケーションによるサービスなど通信を伴うものであれば、そのサービスは何でも良い。
The guidance
DNSサーバ装置900は、ドメインネームサーバであり、ドメイン名に対するDNS要求を受けると、当該ドメイン名に対応するIPアドレスを含むDNS応答を返信するものである。
The
次に、以上のように構成された通信システムの動作について図9のシーケンス図を用いて説明する。 Next, the operation of the communication system configured as described above will be described with reference to the sequence diagram of FIG.
(システムの前提条件)
システム環境としては、図10に示すように、クライアント端末200が属するネットワーク300と、クライアント端末200がアクセスしようとするアクセス対象サーバ装置700が属する外部ネットワーク500とに分離されており、両ネットワーク300,500を基幹LAN(local area network)が接続している環境を例に挙げて述べる。
(System prerequisites)
As shown in FIG. 10, the system environment is separated into a
ネットワーク300のネットワークアドレスを172.24.24.0/24とし、外部ネットワーク500のネットワークアドレスを172.24.30.0/24とする。
The network address of the
クライアント端末200のIPアドレスを172.24.24.50とし、MACアドレスを00:00:08:00:00:01とする。
The IP address of the
デフォルトゲートウェイ装置400のIPアドレスを172.24.24.254とし、MACアドレスを00:00:09:00:00:01とする。
The IP address of the
通信制御サーバ装置600のIPアドレスを172.24.30.2とする。
The IP address of the communication
誘導先サーバ装置800のIPアドレスを172.24.30.50とする。
The IP address of the
アクセス対象サーバ装置700のアドレスを172.24.30.100とする。アクセス対象サーバ装置700はHTTPサービスを実施しているものとする。
It is assumed that the address of the access
(システム動作のトリガー)
いま、クライアント端末200がWebブラウザを開き、アクセス対象サーバ装置700に接続しようとしている状況を考える。Webブラウザ上には、URL(uniform resource identifier)が入力されているものとし、URL上におけるホスト指定部分にはDNSベースの名前情報(以下、ドメイン名という)が入力されているものとする。
(System operation trigger)
Consider a situation where the
クライアント端末200においては、アクセス対象サーバ装置700のドメイン名からIPアドレスを得るために、名前解決を実施する。すなわち、クライアント端末200は、システム上で予め指定されたDNSサーバ装置900に接続し、名前解決を要求する。但し、DNSサーバ装置900は、クライアント端末200とは異なるブロードキャストドメイン(セグメント)上に存在する。このため、クライアント端末200は、始めに、デフォルトゲートウェイ装置400に接続し、このデフォルトゲートウェイ装置400を通してDNSサーバ装置900への接続を確立しようとする。
The
ここで、クライアント端末200は、デフォルトゲートウェイ装置400のEtherアドレス(MACアドレス)を解決するために、デフォルトゲートウェイ装置400のIPアドレスを含むARP要求をブロードキャスト通信により送信する(ST1)。ARP要求はブロードキャスト通信であるために、デフォルトゲートウェイ装置400に限らず、通信誘導装置100も検知可能である。
Here, in order to resolve the Ether address (MAC address) of
デフォルトゲートウェイ装置400は、ARP要求を検知してARP応答をクライアント端末200に返信する(ST2)。このデフォルトゲートウェイ装置400のARP応答は、正規のARP応答である。
The
一方、通信誘導装置100においては、ARP要求を検知したARP要求処理部120が記憶装置110内の通信誘導済端末情報111に当該ARP要求の送信元IPアドレスが登録されているか否かを判断する。
On the other hand, in the
登録されていない場合、ARP要求処理部120は、この通信を妨害するため、デフォルトゲートウェイ装置400への通信に代えて、通信誘導装置100に通信させるための偽ARP応答を生成する。
If not registered, the ARP
具体的には、ARP要求処理部120は、ARP要求から送信元のIPアドレスとMACアドレス、宛先のIPアドレスを抽出する。宛先のMACアドレスは無視する。続いて、ARP要求処理部120は、送信元に対しては、宛先のIPアドレスに対応するMACアドレスを自MACアドレス(通信誘導装置100自身のMACアドレス)とするため、宛先に対しては、送信元のIPアドレスに対応するMACアドレスを自MACアドレス(通信誘導装置100自身のMACアドレス)として偽ARP応答を生成する。
Specifically, the ARP
また、ARP要求処理部120は、偽ARP応答をデフォルトゲートウェイ装置400のARP応答よりも後に受信されるタイミングでクライアント端末200に返信する(ST3)。
In addition, the ARP
クライアント端末200においては、ステップST2のARP応答と、ステップST3の偽ARP応答とをARPテーブルに書き込むが、後書きが優先されるため、ARPテーブルが偽ARP応答に書き換えられる。
In the
クライアント端末200は、偽ARP応答により通信が妨害されたため、通信誘導装置100をデフォルトゲートウェイ装置400だと勘違いして、アクセス対象サーバ装置700のドメイン名に対するDNS要求を通信誘導装置100に送信する(ST4)。
Since the communication is interrupted by the fake ARP response, the
通信誘導装置100では、このDNS要求を転送部130が受信する。転送部130では、はじめの段階で(転送前であればいつでも良い)DNS要求を検知し、DNS要求のパケットをDNS要求処理部140へ渡す。検知の手法は、任意であるが、例えば「UDPの53番ポートへの接続」などで判断しても良い。
In the
DNS要求処理部140は、このDNS要求を解析し(ST5)、アクセス対象サーバ装置700のドメイン名を取り出す。この後、アクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とをサーバ間通信制御部150へ渡す。クライアント端末特定情報は、例えば、MACアドレスでも、固定IPである場合にはIPアドレスでも、事前に渡したトークン情報でも、証明書のような情報でも、通信制御サーバ装置600とすでに合意している個別端末を認識できる情報であればかまわない。
The DNS
サーバ間通信制御部150は、アクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とに基づいて、所定のフォーマットの回答要求を生成する。この回答要求は、アクセス対象サーバ装置700のドメイン名に対するDNS要求及びクライアント端末特定情報を含んでいる。
The inter-server
しかる後、サーバ間通信制御部150は、記憶装置110内の通信制御サーバ装置情報112に基づいて、回答要求を転送部130を介して通信制御サーバ装置600へ送信し(ST6)、応答を待つ。
Thereafter, the inter-server
通信制御サーバ装置600は、この回答要求を、外部装置間通信制御部620で受信し、DNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630へ渡す。
The communication
ポリシ制御部630は、DNS要求及びクライアント端末特定情報を受けると、記憶装置610からクライアント端末200へ適用すべきポリシ情報612を取得する。これに平行して、ポリシ制御部630は、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す。
When the
端末状態確認部650では、クライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する。今回の場合には、まだ、クライアント端末特定情報に関係する実行済み状態情報が無いものとする。このため、端末状態確認部650では、実行済み状態情報が無いという応答をポリシ制御部630に返す(ST7)。
The terminal
ポリシ制御部630では、この応答と、ポリシ情報612とに基づいて、DNS応答を生成する。
ここで、ポリシ情報612においては、“172.24.30.50”の誘導先サーバ装置800上のサービスを8時間以内に実行済みか、“172.24.30.60”の図示しないサーバ装置上のサービスを8時間以内に実行済み、との第1条件が記載されている。また、ポリシ情報612においては、サービスを実行していないとき、“172.24.30.50”の誘導先サーバ装置800に誘導する、との第2条件が記載されている。
Here, in the
従って、ポリシ制御部630は、実行済み状態情報が無い(=サービスを実行していない)という応答なので、ポリシ情報612に指定された誘導先サーバ装置800のIPアドレス“172.24.30.50”をDNS応答として外部装置間通信制御部620へ送出する(ST8)。なお、8時間以内に実行済みの場合には、第2の実施形態に述べるように、DNSサーバ装置900にDNS要求を送り、クライアント端末200の通信誘導を開放し、DNSサーバ装置900のDNS応答をクライアント端末200に送ることになる。
Accordingly, the
外部装置間通信制御部620は、ポリシ制御部630から受けたDNS応答を所定のフォーマットに従って回答情報に整形し、この回答情報を通信誘導装置100に返信する(ST9)。このとき用いられる通信が、TCPであれば、セッションに応答が結び付けられるので、応答に先に受信した端末を特定するための情報やセッションIDなどを添付する処理は必ずしも必要ないが、セッションレスなUDP等を使用した場合には、このような情報を添付する処理が必要である。
The external device
サーバ間通信制御部150は、この回答情報を受け取ると、この回答情報を要求した回答要求に関連付けて回答情報内のDNS応答を取り出してDNS要求に関連付けた応答をDNS要求処理部140に送出する。
When the server-to-server
DNS要求処理部140では、この応答をDNS応答に整形し、クライアント端末200に返信する(ST10)。
The DNS
クライアント端末200では、DNS応答内の誘導先サーバ装置800のIPアドレスを基にHttp要求を作成し、誘導先サーバ装置800に送信する。このとき、DNS要求と同じようにデフォルトゲートウェイ装置400への通信は、通信誘導装置100へと送信されることになる(ST11)。
The
通信誘導装置100は、このHttp要求を転送部130で受信する。転送部130では、受信したパケットの送信元と宛先を見て、記憶装置110内の転送条件情報113に合致するかを判断する(ST12)。
The
転送部130は、合致していない場合にはパケットを破棄し、合致している場合にはパケットを転送する。今回の場合、誘導先サーバ装置800が転送先に指定されており、これが転送条件情報に記述されているものとする。転送されたパケットは、デフォルトゲートウェイ装置400を通過して、接続先の誘導先サーバ装置800へ送信される。
The
この後、クライアント端末200は誘導先サーバ装置800との間で通信を実行し、誘導先サーバ装置800との間で所定の処理を行う(ST13〜ST16)。
Thereafter, the
所定の処理が終了すると、誘導先サーバ装置800は、処理の終了通知を通信制御サーバ装置600に送信する(ST17)。このとき、処理の終了通知には、クライアント端末特定情報を含める。
When the predetermined process ends, the
通信制御サーバ装置600は、処理の終了通知を外部装置間通信制御部620で受信する。外部装置間通信制御部620では、この終了通知の送信元IPアドレス(誘導先サーバ装置800)に基づいて、記憶装置610内の誘導先サーバ装置情報614を検索し、終了通知の送信元IPアドレスが誘導先サーバ装置情報614に登録されているかを確かめる。送信元IPアドレスが登録されていれば、誘導先サーバ要求処理部670に処理の終了通知をわたす。
The communication
誘導先サーバ要求処理部670では、処理の終了通知に基づいて、記憶装置610内の端末状態管理テーブル611に、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を書き込む(ST18)。この後、クライアント端末特定情報のみをポリシ制御部630にわたす。
In the destination server
ポリシ制御部630では、このクライアント端末特定情報を端末状態確認部650に送出する。端末状態確認部650は、このクライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索し、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す。
ポリシ制御部630は、これらクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する(ST19)。
The
また、ポリシ制御部630は、クライアント端末200からDNS要求を受けていないので、ステップST19の判定結果のみを誘導先サーバ要求処理部670へ返す。
Further, since the
誘導先サーバ要求処理部670は、外部装置間通信制御部620へステップST19の判定結果をそのまま戻す。
The destination server
外部装置間通信制御部620は、ステップST19の判定結果がポリシ情報を満たさない場合、そのまま処理を終了し、ポリシ情報を満たす場合には通信誘導開放部660へクライアント端末特定情報を渡す。
If the determination result in step ST19 does not satisfy the policy information, the external device
通信誘導開放部660は、クライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す。
Based on the client terminal identification information, the communication
外部装置間通信制御部620は、この通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を含めた通信誘導開放命令を通信誘導装置100に送信する(ST20)。
Based on the IP address of the
通信誘導装置100は、通信誘導開放命令をサーバ間通信制御部150で受信する。サーバ間通信制御部150は、この通信誘導開放命令内のクライアント端末特定情報を通信誘導開放部160に送出する。
The
通信誘導開放部160では、クライアント端末特定情報に基づいて、クライアント端末200を示す端末情報を記憶装置110内の通信誘導済端末情報111に追加して書き込む。
The communication
しかる後、通信誘導開放部160は、クライアント端末200に対し、通信誘導を開放させるための動作を実行する(ST21)。これは、例えば、本実施形態の場合であればクライアント端末200のARPテーブルが偽ARP応答(通信誘導装置100のMACアドレス)により汚染されているので、このARPテーブルを正しい情報(デフォルトゲートウェイ装置400のMACアドレス)に書き換えてもかまわないし、追加ソフトウェアが必要になるが、クライアント端末200にモジュールを入れておき、クライアント端末200内の通信誘導によって発生した情報を消去する形でもかまわない。
Thereafter, the communication
クライアント端末200は、これにより通信誘導から開放され、普通の通信が可能となる(ST22,ST23)。
As a result, the
上述したように本実施形態によれば、通信誘導装置100が、ネットワーク300内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが通信誘導済みでなければ、偽ARP応答をARP要求の送信元に返信して通信を誘導し、その後、偽ARP応答により誘導されてきたDNS要求に対し、誘導先サーバ装置800のIPアドレスを示すDNS応答を返信して通信を誘導する。しかる後、誘導先サーバ装置800の終了通知により、これら通信の誘導を開放する。
As described above, according to the present embodiment, the
一方、通信制御サーバ装置600では、通信誘導装置100から受信したDNS要求及びクライアント端末特定情報を含む回答要求に対し、該当する実行済み状態情報が無い場合には誘導先サーバ装置800のIPアドレスを示すDNS応答を回答情報として通信誘導装置に返信し、誘導先サーバ装置800から受けた終了通知に基づいて、通信誘導開放命令を通信誘導装置100に送信する。
On the other hand, in the communication
このような通信の誘導においては、クライアント端末100に常駐プログラムをインストールしておらず、設定の変更なども実施していない。また、誘導先サーバ装置800のIPアドレスを示すDNS応答を返信した後のクライアント端末100と誘導先サーバ装置800との間の通信には、通信制御サーバ装置600が介在しないので、律速となるサーバの負荷を低減し、可用性を向上することができる。
In such communication guidance, the resident program is not installed in the
言い換えると、本実施形態によれば、通信プロトコルを用いて通信を収集し、かつ、通信の発生時に発生する名前解決要求の応答をダイナミックに変化させることにより、通信の誘導を実現することができる。 In other words, according to the present embodiment, communication can be induced by collecting communication using a communication protocol and dynamically changing a response of a name resolution request generated when the communication occurs. .
また、誘導する必要がなくなった場合には、収集をやめることによって通信をバイパスさせ、通信制御を行う装置が故障しても、通信が止まることを回避することができる。 Further, when it is no longer necessary to guide, communication can be bypassed by stopping collection, and even if a device that performs communication control fails, it can be avoided that communication stops.
また、本実施形態によれば、本出願の出願時点で未公開先願である特願2006−168191の図8に示すHTTP通信横取り処理(S54:クライアント端末からのTCPセッション、S55:通信制御装置によるTCPジャック、S56:クライアント端末からのHTTPリクエスト、S57:通信制御装置からのリダイレクト用のページ返送)のような高い負荷で複雑な処理を実行せずに、通信を誘導することができる。 Further, according to the present embodiment, HTTP communication interception processing (S54: TCP session from client terminal, S55: communication control device) shown in FIG. 8 of Japanese Patent Application No. 2006-168191 which is an unpublished prior application at the time of filing of the present application It is possible to induce communication without executing complicated processing with high load such as TCP jack by S56, HTTP request from client terminal, and S57: page return for redirection from communication control device.
(第2の実施形態)
次に、本発明の第2の実施形態について図11のシーケンス図を用いて説明する。
図11は第1の実施形態の動作の変形例を示すシーケンス図である。すなわち、本実施形態は、前述した通信システムにおいて、クライアント端末200が通信制御サーバ装置600のポリシ情報612を満たしている場合に、通信誘導装置100がクライアント端末200の通信を通信制御サーバ装置600に転送した場合の動作に関する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described using the sequence diagram of FIG.
FIG. 11 is a sequence diagram showing a modification of the operation of the first embodiment. That is, in this embodiment, in the communication system described above, when the
この動作は、クライアント端末200がポリシ情報612を満たすにもかかわらず、通信誘導装置100の通信誘導済端末情報111に書き込まれていない場合、発生する。
This operation occurs when the
図11中、ステップST1〜ST6までの動作は、図9に述べた動作と同様である。 In FIG. 11, the operations from step ST1 to ST6 are the same as the operations described in FIG.
ステップST6の後、通信制御サーバ装置600は、通信誘導装置100から送信された回答要求を、外部装置間通信制御部620で受信し、アクセス対象サーバ装置700のドメイン名に対するDNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630へ渡す。外部装置間通信制御部620では、クライアント端末200の情報を保持しておく。
After step ST6, the communication
ポリシ制御部630は、DNS要求及びクライアント端末特定情報を受けると、記憶装置610からポリシ情報612を取得する。これに平行して、ポリシ制御部630は、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す。
When the
端末状態確認部650では、クライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する。今回の場合は、クライアント端末200がポリシ情報612を満たしている場合を想定している。よって、端末状態確認部650は、端末状態管理テーブル611に基づき、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す(ST31)。
The terminal
ポリシ制御部630は、これらクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する(ST32)。
The
ポリシ制御部630は、ポリシ情報612を満たしている場合には、DNS要求処理部640にクライアント端末200から受信したDNS要求を渡す(ST32)。
If the
DNS要求処理部640は、受け取ったDNS要求をDNS要求フォーマットに変更し、DNSサーバ装置900に問い合わせる(ST33)。
The DNS
DNSサーバ装置900は、このアクセス対象サーバ装置700のドメイン名に対するDNS要求に対し、アクセス対象サーバ装置700のIPアドレス“172.24.30.100”を含む正しいDNS応答を返す(ST34)。
In response to the DNS request for the domain name of the access
DNS要求処理部640は、このDNS応答内のアクセス対象サーバ装置700のIPアドレスをポリシ制御部630へ戻す。
The DNS
ポリシ制御部630は、ステップST32の判定結果と、アクセス対象サーバ装置700のIPアドレスとを外部装置間通信制御部620に返す。
The
外部装置間通信制御部620は、ステップST32の判定結果がポリシ情報612を満たす場合、通信誘導開放部660へクライアント端末特定情報を渡す。
When the determination result in step ST32 satisfies the
通信誘導開放部660は、クライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す。
Based on the client terminal identification information, the communication
外部装置間通信制御部620は、この通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を対象とする通信誘導開放命令を送信する(ST35)。
Based on the IP address of this
通信誘導装置100は、通信誘導開放命令をサーバ間通信制御部150で受信する。サーバ間通信制御部150は、この通信誘導開放命令内のクライアント端末特定情報を通信誘導開放部160に送出する。
The
通信誘導開放部160では、クライアント端末特定情報に基づいて、記憶装置110内の通信誘導済端末情報111にクライアント端末200の端末情報を追加して書き込む。しかる後、通信誘導開放部160は、クライアント端末200に対し、通信誘導を開放させるための動作を実行する(ST36)。なお、ステップST35〜ST36は、前述したステップST20〜ST21と同様の処理である。
In the communication
ステップST36の後、外部装置間通信制御部620は、ステップST34で受けたDNS応答におけるアクセス対象サーバ装置700のIPアドレスを所定のフォーマットに従って回答情報に整形し、この回答情報を通信誘導装置100に返信する(ST37)。
After step ST36, the external device
サーバ間通信制御部150は、この回答情報に含まれるアクセス対象サーバ装置700のIPアドレスをDNS要求処理部140に送出する。
The inter-server
DNS要求処理部140では、このアクセス対象サーバ装置700のIPアドレスをDNS応答として整形し、クライアント端末200に送信する(ST38)。クライアント端末200では、このDNS応答内のアクセス対象サーバ装置700のIPアドレスに基づいてHttp要求をアクセス対象サーバ装置700に送信し、サービスを受けることができる(ST39)。
The DNS
上述したように本実施形態によれば、第1の実施形態の効果に加え、クライアント端末200がポリシ情報612を満たすにもかかわらず、通信誘導装置100の通信誘導済端末情報111に書き込まれておらず、通信誘導装置100がクライアント端末200の通信を通信制御サーバ装置600に転送した場合であっても、通信制御サーバ装置600が、クライアント端末200がポリシ情報612を満たすことを確認し、通信誘導装置100による通信の誘導を開放することができる。
As described above, according to the present embodiment, in addition to the effects of the first embodiment, the
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。 Note that the method described in the above embodiment includes a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO) as programs that can be executed by a computer. ), And can be distributed in a storage medium such as a semiconductor memory.
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。 In addition, an OS (operating system) running on a computer based on an instruction of a program installed in the computer from a storage medium, MW (middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。 Furthermore, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium that downloads and stores or temporarily stores a program transmitted via a LAN, the Internet, or the like.
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。 The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and is a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine the component covering different embodiment suitably.
100…通信誘導装置、110,610…記憶装置、111…通信誘導済端末情報、112…通信制御サーバ装置情報、113…転送条件情報、120…ARP要求処理部、130…転送部、140…DNS要求処理部、150…サーバ間通信制御部、160,660…通信誘導開放部、200…クライアント端末、300,500…ネットワーク、400…デフォルトゲートウェイ装置、600…通信制御サーバ装置、611…端末状態管理テーブル、612…ポリシ情報、613…通信誘導装置情報、614…誘導先サーバ装置情報、620…外部装置間通信制御部、630…ポリシ制御部、640…DNS要求処理部、650…端末状態確認部、670…誘導先サーバ要求処理部、700…アクセス対象サーバ装置、800…誘導先サーバ装置、900…DNSサーバ装置。
DESCRIPTION OF
Claims (6)
通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を記憶した記憶手段と、
ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段と、
前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段と、
前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段と、
前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段と、
前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、
受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段と、
前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段と、
を備えたことを特徴とする通信誘導装置。 Before communicating with an access target server device to be accessed by a client terminal, a communication guiding device for guiding communication of the client terminal to a guidance destination server device via a communication control server device,
Communication guided terminal information indicating a client terminal that has been guided to communication, communication control server apparatus information indicating an IP address of the communication control server apparatus, and communication between the client terminal and the destination server apparatus is permitted and transferred. Storage means for storing transfer condition information for
A registration determination unit that detects an ARP request generated in the network and determines whether the transmission source IP address of the ARP request has been registered in the communication guided terminal information in the storage unit;
If the result of the determination by the registration determination means is not registered, means for returning a fake ARP response indicating the MAC address of the own device to the transmission source of the ARP request at a timing received after the regular ARP response; ,
Means for extracting the domain name of the access target server device and the client terminal specifying information indicating the transmission source of the DNS request from the DNS request guided by the fake ARP response;
Means for generating a reply request including the retrieved domain name and client terminal identification information, and transmitting the reply request based on communication control server device information in the storage means;
Means for receiving response information from the communication control server device and transmitting a DNS response indicating an IP address of the guidance destination server device included in the response information to a transmission source of the DNS request;
A transfer determination unit that determines whether or not the transfer condition information in the storage unit is matched based on a transmission source and a destination of the received packet;
As a result of the determination by the transfer determination means, if the packet does not match, the packet is discarded, and if it matches, the packet is transferred to the destination of the packet;
A communication guiding device comprising:
前記誘導先サーバ装置から終了通知を受けた前記通信制御サーバ装置により送信された通信誘導開放命令を受信すると、前記通信誘導開放命令内のクライアント端末特定情報に基づいて、クライアント端末を示す端末情報を前記記憶手段内の通信誘導済端末情報に追加登録する手段と、
前記追加登録の後、当該クライアント端末のARPテーブル内の前記自装置のMACアドレスを、前記正規のARP応答が示すMACアドレスに書き換えることにより、前記通信誘導を開放する手段と、
を備えたことを特徴とする通信誘導装置。 The communication guiding device according to claim 1,
Upon receiving the communication guidance release command transmitted by the communication control server device that has received the end notification from the guidance destination server device, terminal information indicating the client terminal is obtained based on the client terminal identification information in the communication guidance release command. Means for additionally registering in the communication guided terminal information in the storage means;
Means for releasing the communication guidance by rewriting the MAC address of the own device in the ARP table of the client terminal to the MAC address indicated by the regular ARP response after the additional registration;
A communication guiding device comprising:
前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを記憶するテーブル記憶手段と、
前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を記憶するポリシ情報記憶手段と、
前記通信誘導装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報を記憶した装置情報記憶手段と、
前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段と、
前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段と、
前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段と、
前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段と、
前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段と、
前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段と、
前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段と、
前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段と、
前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段と、
を備えたことを特徴とする通信制御サーバ装置。 Before communicating with an access target server device to be accessed by a client terminal, a communication control server device for guiding communication of the client terminal to a guidance destination server device by a communication guidance device,
Client terminal identification information indicating a client terminal that has already communicated with the guidance destination server device, guidance destination server device information indicating an IP address of the guidance destination server device, execution status information of communication with the guidance destination server device, and Table storage means for storing a terminal state management table in which registration date and time information is associated with each other;
Stores policy information including a first condition that communication with the guidance destination server apparatus has been executed within a predetermined time and a second condition that induces communication to the guidance destination server apparatus when the first condition is not satisfied. Policy information storage means for
Device information storage means for storing communication guidance device information indicating an IP address of the communication guidance device and guidance destination server device information indicating an IP address of the guidance destination server device;
When a response request including a DNS request indicating the domain name of the access target server device and client terminal specifying information is received from the communication guiding device, the response request is divided into a DNS request and client terminal specifying information, and the divided client terminals Means for searching the terminal state management table based on the specific information;
As a result of the search, if there is no corresponding executed state information, means for sending the IP address of the destination server device based on the second condition in the policy information;
A DNS response indicating the sent IP address of the destination server device is formed into response information, and the response information is returned to the communication induction device;
Based on the transmission source IP address of the termination notification received from the guidance destination server device, the guidance destination server device information in the device information storage unit is searched, and the transmission source IP address of the termination notification is the guidance destination server device information. Registration determination means for determining whether or not registered in
If the result of determination by the registration determination means is registered, means for sending the end notification;
Based on the sent end notification, the client terminal specifying information is written into the terminal status management table in the table storage means after the client terminal specifying information, the destination server device information, the executed status information, and the registration date / time information are written. Means for sending
Means for searching the terminal status management table based on the transmitted client terminal identification information, and transmitting corresponding client terminal identification information, guidance destination server device information, executed status information and registration date and time information;
Policy information determination means for determining whether or not the policy information in the policy information storage means is satisfied based on the sent client terminal identification information, guidance destination server device information, executed state information, and registration date and time information;
When the determination result by the policy information determination unit satisfies the policy information, a communication guidance release command for the client terminal identification information is transmitted to the communication guidance device based on the communication guidance device information in the device information storage unit. Means,
A communication control server device comprising:
前記通信誘導装置を、
通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を前記記憶手段に書き込む手段、
ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段、
前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段、
前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段、
前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段、
前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、
受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段、
前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段、
として機能させるためのプログラム。 A communication that includes a storage unit and a computer that guides the communication of the client terminal to the destination server device via the communication control server device before communicating with the access target server device to be accessed by the client terminal A program used in the communication guidance device for the guidance device,
The communication guiding device;
Communication guided terminal information indicating a client terminal that has been guided to communication, communication control server apparatus information indicating an IP address of the communication control server apparatus, and communication between the client terminal and the destination server apparatus is permitted and transferred. Means for writing transfer condition information to the storage means,
A registration determination unit that detects an ARP request generated in the network and determines whether the transmission source IP address of the ARP request has been registered in the communication guided terminal information in the storage unit;
If the result of determination by the registration determination means is not registered, means for returning a false ARP response indicating the MAC address of the own device to the transmission source of the ARP request at a timing received after the regular ARP response;
Means for extracting the domain name of the access target server device and the client terminal specifying information indicating the source of the DNS request from the DNS request guided by the fake ARP response;
Means for generating an answer request including the extracted domain name and client terminal specifying information, and transmitting the answer request based on communication control server device information in the storage means;
Means for receiving response information from the communication control server device and transmitting a DNS response indicating an IP address of the guidance destination server device included in the response information to a transmission source of the DNS request;
Transfer determination means for determining whether or not the transfer condition information in the storage means is met based on the source and destination of the received packet;
If the result of determination by the transfer determination means does not match, the packet is discarded; if it matches, the packet is transferred to the destination of the packet;
Program to function as.
前記通信誘導装置を、
前記誘導先サーバ装置から終了通知を受けた前記通信制御サーバ装置により送信された通信誘導開放命令を受信すると、前記通信誘導開放命令内のクライアント端末特定情報に基づいて、クライアント端末を示す端末情報を前記記憶手段内の通信誘導済端末情報に追加登録する手段、
前記追加登録の後、当該クライアント端末のARPテーブル内の前記自装置のMACアドレスを、前記正規のARP応答が示すMACアドレスに書き換えることにより、前記通信誘導を開放する手段、
として更に機能させるためのプログラム。 The program according to claim 4, wherein
The communication guiding device;
Upon receiving the communication guidance release command transmitted by the communication control server device that has received the end notification from the guidance destination server device, terminal information indicating the client terminal is obtained based on the client terminal identification information in the communication guidance release command. Means for additionally registering in the communication guided terminal information in the storage means;
Means for releasing the communication guidance by rewriting the MAC address of the own device in the ARP table of the client terminal to the MAC address indicated by the regular ARP response after the additional registration;
As a program to further function as.
前記通信制御サーバ装置を、
前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを前記テーブル記憶手段に書き込む手段、
前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を前記ポリシ情報記憶手段に書き込む手段、
前記通信誘導装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報を前記装置情報記憶手段に書き込む手段、
前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段、
前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段、
前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段、
前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段、
前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段、
前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段、
前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段、
前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段、
前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段、
として機能させるためのプログラム。 A computer for guiding communication of the client terminal to the destination server device by the communication guidance device before communicating with the access target server device to be accessed by the client terminal, and a table storage unit, a policy information storage unit, and A program used in the communication control server device for a communication control server device provided with device information storage means,
The communication control server device;
Client terminal identification information indicating a client terminal that has already communicated with the guidance destination server device, guidance destination server device information indicating an IP address of the guidance destination server device, execution status information of communication with the guidance destination server device, and Means for writing a terminal status management table in which registration date information is associated with each other into the table storage means;
Policy information including a first condition that communication with the guide destination server apparatus has been executed within a predetermined time and a second condition that guides communication to the guide destination server apparatus when the first condition is not satisfied. Means for writing to the policy information storage means;
Means for writing communication guidance device information indicating an IP address of the communication guidance device and guidance destination server device information indicating an IP address of the guidance destination server device in the device information storage means;
When a response request including a DNS request indicating the domain name of the access target server device and client terminal specifying information is received from the communication guiding device, the response request is divided into a DNS request and client terminal specifying information, and the divided client terminals Means for searching the terminal state management table based on the specific information;
Means for sending the IP address of the destination server device based on the second condition in the policy information when there is no corresponding executed state information as a result of the search;
Means for shaping a DNS response indicating the IP address of the sent destination server device into reply information and returning the reply information to the communication guidance device;
Based on the transmission source IP address of the termination notification received from the guidance destination server device, the guidance destination server device information in the device information storage unit is searched, and the transmission source IP address of the termination notification is the guidance destination server device information. Registration determination means for determining whether or not it is registered in
If the result of determination by the registration determining means is registered, means for sending the end notice,
Based on the sent end notification, the client terminal specifying information is written into the terminal status management table in the table storage means after the client terminal specifying information, the destination server device information, the executed status information, and the registration date / time information are written. Means for sending
Means for searching the terminal status management table based on the transmitted client terminal identification information, and transmitting corresponding client terminal identification information, guidance destination server device information, executed status information and registration date and time information;
Policy information determination means for determining whether or not the policy information in the policy information storage means is satisfied based on the sent client terminal identification information, guidance destination server device information, executed state information, and registration date and time information,
When the determination result by the policy information determination unit satisfies the policy information, a communication guidance release command for the client terminal identification information is transmitted to the communication guidance device based on the communication guidance device information in the device information storage unit. means,
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007269445A JP4820796B2 (en) | 2007-10-16 | 2007-10-16 | Communication guidance device, communication control server device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007269445A JP4820796B2 (en) | 2007-10-16 | 2007-10-16 | Communication guidance device, communication control server device, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009100226A true JP2009100226A (en) | 2009-05-07 |
JP4820796B2 JP4820796B2 (en) | 2011-11-24 |
Family
ID=40702813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007269445A Expired - Fee Related JP4820796B2 (en) | 2007-10-16 | 2007-10-16 | Communication guidance device, communication control server device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4820796B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014042121A (en) * | 2012-08-21 | 2014-03-06 | Pfu Ltd | Communication cut-off device, communication cut-off method and program |
US10367848B2 (en) | 2014-09-25 | 2019-07-30 | Nec Corporation | Transmitting relay device identification information in response to broadcast request if device making request is authorized |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352719A (en) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | Apparatus, method for monitoring network, network system, network monitoring method and network communication method |
-
2007
- 2007-10-16 JP JP2007269445A patent/JP4820796B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352719A (en) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | Apparatus, method for monitoring network, network system, network monitoring method and network communication method |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014042121A (en) * | 2012-08-21 | 2014-03-06 | Pfu Ltd | Communication cut-off device, communication cut-off method and program |
CN103634289A (en) * | 2012-08-21 | 2014-03-12 | 株式会社Pfu | Communication block apparatus and communication block method |
CN103634289B (en) * | 2012-08-21 | 2017-03-01 | 株式会社Pfu | Communication shield device and communication screen method |
US9832119B2 (en) | 2012-08-21 | 2017-11-28 | Pfu Limited | Communication block apparatus and communication block method |
US10367848B2 (en) | 2014-09-25 | 2019-07-30 | Nec Corporation | Transmitting relay device identification information in response to broadcast request if device making request is authorized |
Also Published As
Publication number | Publication date |
---|---|
JP4820796B2 (en) | 2011-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5987690B2 (en) | Name database server, name resolution system, entry search method, and entry search program | |
US6931435B2 (en) | Congestion control and avoidance method in a data processing system | |
US8930544B2 (en) | Network resource identification | |
US7376723B2 (en) | Apparatus and method for managing and controlling UPnP devices in home network over external internet network | |
JP5790775B2 (en) | Routing method and network transmission apparatus | |
JP5812008B2 (en) | Name database server, name resolution system, entry search method, and entry search program | |
JP2009266202A (en) | Session management system, method of controlling the same, and client terminal | |
JP5459983B2 (en) | Information processing apparatus, information processing apparatus control method, and computer program | |
US20070189486A1 (en) | Communication apparatus, system, method and computer readable medium | |
JP5425320B2 (en) | Information processing apparatus, information processing apparatus control method, and program | |
JP2007072712A (en) | Service component finding system and method using use information | |
US20090165011A1 (en) | Resource management method, information processing system, information processing apparatus, and program | |
JP3601526B2 (en) | Proxy registration device, network system and program | |
US8291089B2 (en) | Image processing device, control method therefor, and program | |
JP4820796B2 (en) | Communication guidance device, communication control server device, and program | |
JP4835661B2 (en) | User information management program, user information management device, and information management system | |
US10412001B2 (en) | Communication terminal, communication method, and program | |
JP2007243356A (en) | Dns server client system, dns server device, cash server device, dns query request control method, and dns query request control program | |
JP2010268164A (en) | Network communication apparatus, and method and program | |
JP2004364190A (en) | Communication apparatus and program for realizing the apparatus | |
JP2002358229A (en) | Cache device and computer program | |
JP2009533994A (en) | Apparatus, system and method for performing discovery in network | |
JP2009200632A (en) | Relay device, relay method, and relay program | |
CN115174675B (en) | Kafka service access method | |
JP2001202316A (en) | Device, system and method for processing information and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100324 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110809 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110905 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140909 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |