JP2009238035A - Firewall device, access control and sharing method, and program - Google Patents

Firewall device, access control and sharing method, and program Download PDF

Info

Publication number
JP2009238035A
JP2009238035A JP2008084916A JP2008084916A JP2009238035A JP 2009238035 A JP2009238035 A JP 2009238035A JP 2008084916 A JP2008084916 A JP 2008084916A JP 2008084916 A JP2008084916 A JP 2008084916A JP 2009238035 A JP2009238035 A JP 2009238035A
Authority
JP
Japan
Prior art keywords
network
access control
sharing
information
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008084916A
Other languages
Japanese (ja)
Other versions
JP4973566B2 (en
Inventor
Tomohito Nakada
智仁 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2008084916A priority Critical patent/JP4973566B2/en
Publication of JP2009238035A publication Critical patent/JP2009238035A/en
Application granted granted Critical
Publication of JP4973566B2 publication Critical patent/JP4973566B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a firewall device sharing an access control function among nodes in a network. <P>SOLUTION: The firewall device carrying out filtering and transfer of data received from a terminal connected to an internal network, to an external network, includes: a receiving means for receiving load information from a network device connected to the internal network and having a filtering function; a sharing determining means for determining sharing of a filtering process of the firewall device and network device based on the load information received in the receiving means; and a control information transmitting means for transmitting control information of the filtering function to the network device based on the sharing determined by the sharing determining means. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、ファイアウォール装置に関し、特にLANからWANに転送されるデータのフィルタリング処理を、当該LAN内のネットワーク機器や端末装置に分散させるファイアウォール装置に関する。   The present invention relates to a firewall device, and more particularly to a firewall device that distributes filtering processing of data transferred from a LAN to a WAN to network devices and terminal devices in the LAN.

FW(Firewall)機能を有するネットワーク機器(以下FW装置)は、受信したパケットに対する通過の可否を検査する機能(アクセス制御機能)を持つ。一般的にFW装置はLAN(内部ネットワーク)とWAN(インターネットなどの外部ネットワーク)の境界(ゲートウェイ)に設置され、LAN側からWAN側へのパケットとWAN側からLAN側へのパケットのアクセス制御を行っている。   A network device (hereinafter referred to as FW device) having an FW (Firewall) function has a function (access control function) for checking whether or not a received packet can be passed. Generally, FW devices are installed at the boundary (gateway) between LAN (internal network) and WAN (external network such as the Internet), and control access of packets from LAN side to WAN side and packets from WAN side to LAN side. Is going.

FW装置がLAN側からWAN側へのパケットとWAN側からLAN側へのパケットのすべてについてアクセス制御を行った場合、FW装置には大きな負荷がかかるという問題がある。
また、FW装置がアクセス制御機能に併せてアンチウイルス機能などのセキュリティ機能を複数併せ持つセキュリティ専用装置(UTM:Unified Threat Management)である場合、その負荷はさらに大きなものとなる。 When the FW device performs access control on all packets from the LAN side to the WAN side and from the WAN side to the LAN side, there is a problem that a large load is applied to the FW device.
Further, when the FW device is a dedicated security device (UTM: Unified Threat Management) having a plurality of security functions such as an anti-virus function in addition to the access control function, the load is further increased.

特許文献1には、ファイアウォール機能をネットワークにおいて分散させるファイアウォールサーバが記載されている。
特開2001−249866号公報 Patent Literature 1 describes a firewall server that distributes a firewall function in a network.
JP 2001-249866 A

本発明の課題は、装置の負荷や性能等の状況に応じて、アクセス制御機能を分担させるファイアウォール装置を提供することである。   The subject of this invention is providing the firewall apparatus which shares an access control function according to conditions, such as a load and a performance of an apparatus.

このファイアウォール装置の特徴は、内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置において、前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信する受信手段と、前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定する分担決定手段と、前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する制御情報送信手段と、を備える。   The firewall device is characterized in that, in a firewall device that performs filtering of data received from a terminal connected to an internal network and forwarding to an external network, from a network device having a filtering function connected to the internal network, Receiving means for receiving load information, sharing determination means for determining sharing of filtering processing of the firewall device and the network device based on load information received by the receiving means, and sharing determined by the sharing determination means And a control information transmission means for transmitting control information of the filtering function to the network device.

開示の装置によれば、アクセス制御機能を分担させることで、ファイアウォール装置の負荷を低減させることが可能となる。   According to the disclosed apparatus, it is possible to reduce the load of the firewall apparatus by sharing the access control function.

以下、図面を参照しながら本発明の実施の形態を説明する。
図1は、本発明の実施の形態および従来のシステムの概略図である。
図1の左側に示す従来のシステムは、LAN(Local Area Network)内にファイアウォール(FW)装置101、ネットワーク中継装置102、およびPC等の端末103が設置される。FW装置101は、WAN(Wide Area Network)とLANの境界に設置される。ネットワーク中継装置102はFW装置101に接続し、端末103はネットワーク中継装置102またはFW装置101に接続している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic diagram of an embodiment of the present invention and a conventional system.
In the conventional system shown on the left side of FIG. 1, a firewall (FW) device 101, a network relay device 102, and a terminal 103 such as a PC are installed in a LAN (Local Area Network). The FW device 101 is installed at the boundary between a WAN (Wide Area Network) and a LAN. The network relay device 102 is connected to the FW device 101, and the terminal 103 is connected to the network relay device 102 or the FW device 101.

端末103は、FW装置101を介してWANと接続している。
従来、LANからWANへのパケットに対するアクセス制御(フィルタリング処理)は、FW装置101で行われていた。 The terminal 103 is connected to the WAN via the FW device 101.
Conventionally, access control (filtering processing) for packets from a LAN to a WAN has been performed by the FW device 101.

図1の右側に示す本実施の形態のシステムは、従来と同様にLAN内にファイアウォール(FW)装置104、ネットワーク中継装置105、およびPC等の端末106が設置される。FW装置104は、WANとLANの境界に設置される。ネットワーク中継装置105はFW装置104に接続し、端末106はネットワーク中継装置105またはFW装置104に接続している。   In the system of the present embodiment shown on the right side of FIG. 1, a firewall (FW) device 104, a network relay device 105, and a terminal 106 such as a PC are installed in the LAN as in the conventional case. The FW device 104 is installed at the boundary between the WAN and the LAN. The network relay device 105 is connected to the FW device 104, and the terminal 106 is connected to the network relay device 105 or the FW device 104.

端末106は、FW装置104を介してWANと接続している。
本実施の形態において、LANからWANへのパケットに対するアクセス制御は、FW装置104だけでなく、必要に応じてネットワーク中継装置105および端末106でも行われる。 The terminal 106 is connected to the WAN via the FW device 104.
In the present embodiment, access control for packets from the LAN to the WAN is performed not only by the FW device 104 but also by the network relay device 105 and the terminal 106 as necessary.

尚、WANからLANへのパケットに対するアクセス制御は、従来通りFW装置104が行い、ネットワーク中継装置105および端末106では行わない。
図2は、本発明の実施の形態に係るシステムの構成図である。 Note that access control for packets from the WAN to the LAN is performed by the FW device 104 as usual, and is not performed by the network relay device 105 and the terminal 106.
FIG. 2 is a configuration diagram of a system according to the embodiment of the present invention.

実施の形態のシステムは、FW装置201、ネットワーク中継装置220、および端末230を備える。
FW201は外部ネットワークおよびネットワーク中継装置220と接続しており、端末230はネットワーク中継装置220と接続している。尚、端末230はFW201と接続してもよい。 The system according to the embodiment includes an FW device 201, a network relay device 220, and a terminal 230.
The FW 201 is connected to the external network and the network relay device 220, and the terminal 230 is connected to the network relay device 220. The terminal 230 may be connected to the FW 201.

FW装置201は、パケット中継処理部202、アクセス制御機能部203、および制御ルール分担機能部204を備える。
パケット中継処理部202は、パケットを受信し、FW装置201の各部、ネットワーク中継装置220、または外部ネットワークに中継する。 The FW device 201 includes a packet relay processing unit 202, an access control function unit 203, and a control rule sharing function unit 204.
The packet relay processing unit 202 receives the packet and relays it to each unit of the FW device 201, the network relay device 220, or an external network.

アクセス制御機能部203は、アクセス制御部205および制御ルールテーブル206を備える。
制御ルールテーブル206は、受信したパケットの通過可否を決定する判定条件と条件に合致した際の動作を記載したアクセス制御ルールを格納する。 The access control function unit 203 includes an access control unit 205 and a control rule table 206.
The control rule table 206 stores an access control rule that describes a determination condition for determining whether or not a received packet can pass and an operation when the condition is met.

アクセス制御部205は、パケットを受信した際に制御ルールテーブル206を参照し、アクセス制御ルールに従ってパケットを破棄またはパケット中継処理部202への受け渡しを行う、いわゆるアクセス制御(フィルタリング処理)を行う。   When receiving a packet, the access control unit 205 refers to the control rule table 206, and performs so-called access control (filtering processing) in which the packet is discarded or transferred to the packet relay processing unit 202 according to the access control rule.

制御ルール分担機能部204は、分担機能制御部207、トポロジ情報収集処理部208、分担対象処理部209、制御ルール配信処理部210、例外条件テーブル211、分担条件テーブル212、動的変更テーブル213、およびネットワークトポロジ情報部214を備える。   The control rule sharing function unit 204 includes a sharing function control unit 207, a topology information collection processing unit 208, a sharing target processing unit 209, a control rule distribution processing unit 210, an exception condition table 211, a sharing condition table 212, a dynamic change table 213, And a network topology information unit 214.

分担機能制御部207は、トポロジ情報収集処理部208、分担対象処理部209、および制御ルール配信処理部210の制御を行う。
トポロジ情報収集処理部208は、アクセス制御の分担対象であるネットワークの情報
を収集する。また、ネットワーク中継装置220および端末230の情報を送信するようにネットワーク中継装置220および端末230に要求し、受信した情報をネットワークトポロジ情報部214に格納する。 The sharing function control unit 207 controls the topology information collection processing unit 208, the sharing target processing unit 209, and the control rule distribution processing unit 210.
The topology information collection processing unit 208 collects information on a network that is a target of access control. Further, the network relay device 220 and the terminal 230 are requested to transmit information of the network relay device 220 and the terminal 230, and the received information is stored in the network topology information unit 214.

分担対象処理部209は、アクセス処理を行わせる対象を決定する。
制御ルール配信処理部210は、アクセス処理を行うネットワーク中継装置220および端末230にアクセス制御ルールを配信する。 The sharing target processing unit 209 determines a target on which access processing is performed.
The control rule distribution processing unit 210 distributes the access control rule to the network relay device 220 and the terminal 230 that perform access processing.

例外条件テーブル211は、アクセス制御の分担対象を決定する際に使用され、ネットワーク中継装置220または端末230がアクセス制御機能を持っていない場合などの例外時の処理が記載されている。   The exception condition table 211 is used when determining an access control assignment target, and describes processing at the time of exception such as when the network relay device 220 or the terminal 230 does not have an access control function.

分担条件テーブル212は、アクセス制御の分担対象を決定する際に使用され、どのような場合にアクセス制御を担当させるかなどの条件が記載されている。
動的変更テーブル213は、アクセス制御の分担を動的変更する条件が記載されている。 The sharing condition table 212 is used when determining the access control sharing target, and describes conditions such as when to perform access control.
The dynamic change table 213 describes conditions for dynamically changing the sharing of access control.

ネットワークトポロジ情報部214は、トポロジ情報収集処理部208により収集したネットワークの情報やネットワーク中継装置220および端末230の性能等の情報を保存する。   The network topology information unit 214 stores network information collected by the topology information collection processing unit 208 and information such as the performance of the network relay device 220 and the terminal 230.

ネットワーク中継装置220は、パケット中継処理部221、装置情報通知機能部222、およびアクセス制御機能部223を備える。
パケット中継処理部221は、パケットを受信し、FW装置201の各部、ネットワーク中継装置220、または外部ネットワークに中継する
装置情報通知機能部222は、装置情報処理部224および装置情報225を備える。 The network relay device 220 includes a packet relay processing unit 221, a device information notification function unit 222, and an access control function unit 223.
The packet relay processing unit 221 receives a packet and relays it to each unit of the FW device 201, the network relay device 220, or an external network. The device information notification function unit 222 includes a device information processing unit 224 and device information 225.

装置情報処理部224は、トポロジ情報収集処理部208からネットワーク中継装置220の情報を要求された場合、自身の性能等の情報が記載された装置情報225をFW装置201に送信する。また、自発的にFW装置201に装置情報225を送信することも可能である。また、装置情報処理部224は、ネットワーク中継装置220の負荷を測定し、測定した負荷を負荷情報としてFW装置201に送信する。尚、負荷情報は装置情報225に格納してもよい。   When the information on the network relay device 220 is requested from the topology information collection processing unit 208, the device information processing unit 224 transmits device information 225 in which information such as its performance is described to the FW device 201. It is also possible to transmit device information 225 to the FW device 201 spontaneously. The device information processing unit 224 measures the load of the network relay device 220 and transmits the measured load to the FW device 201 as load information. The load information may be stored in the device information 225.

装置情報225には、例えば、CPUクロックやメモリ容量等が記載されている。
また、装置情報処理部224は、FW装置201から送信されたアクセス制御ルールを自身の制御ルールテーブル227に格納する処理を行う。 In the device information 225, for example, a CPU clock and a memory capacity are described.
Further, the device information processing unit 224 performs processing for storing the access control rule transmitted from the FW device 201 in its own control rule table 227.

尚、装置情報通知機能部222の機能の実現には、SNMP(Simple Network Management Protocol)エージェントの実装や専用のソフトウェアをインストールするなどの方法がある。   For realizing the functions of the device information notification function unit 222, there are methods such as mounting an SNMP (Simple Network Management Protocol) agent or installing dedicated software.

アクセス制御機能部223は、アクセス制御部236および制御ルールテーブル227を備える。
制御ルールテーブル237は、受信したパケットの通過可否を決定する判定条件と条件に合致した際の動作(アクセス制御ルール)を格納する。制御ルールテーブル227の内容は、FW装置201の制御ルール配信処理部210から送信される。 The access control function unit 223 includes an access control unit 236 and a control rule table 227.
The control rule table 237 stores a determination condition for determining whether or not a received packet can pass and an operation (access control rule) when the condition is met. The contents of the control rule table 227 are transmitted from the control rule distribution processing unit 210 of the FW device 201.

アクセス制御部226は、パケットを受信した際に制御ルールテーブル227を参照し、アクセス制御ルールに従ってパケットを破棄またはパケット中継処理部221への受け渡しを行う、いわゆるアクセス制御(フィルタリング処理)を行う。   The access control unit 226 refers to the control rule table 227 when receiving a packet, and performs so-called access control (filtering processing) in which the packet is discarded or transferred to the packet relay processing unit 221 in accordance with the access control rule.

端末230は、パケット送受信処理部231、装置情報通知機能部232、およびアクセス制御機能部233を備える。
パケット送受信処理部231は、パケットを受信し、FW装置201の各部、ネットワーク中継装置220、または外部ネットワークに中継する
装置情報通知機能部232は、装置情報処理部234および装置情報235を備える。 The terminal 230 includes a packet transmission / reception processing unit 231, a device information notification function unit 232, and an access control function unit 233.
The packet transmission / reception processing unit 231 receives a packet and relays it to each unit of the FW device 201, the network relay device 220, or an external network. The device information notification function unit 232 includes a device information processing unit 234 and device information 235.

装置情報処理部234は、トポロジ情報収集処理部208から端末230の情報を要求された場合、自身の性能等の情報が記載された装置情報235をFW装置201に送信する。また、自発的にFW装置201に装置情報235を送信することも可能である。また、装置情報処理部234は、端末230の負荷を測定し、測定した負荷を負荷情報としてFW装置201に送信する。尚、負荷情報は装置情報235に格納してもよい。   When the information on the terminal 230 is requested from the topology information collection processing unit 208, the device information processing unit 234 transmits device information 235 in which information such as its performance is described to the FW device 201. It is also possible to transmit device information 235 to the FW device 201 spontaneously. The device information processing unit 234 measures the load of the terminal 230 and transmits the measured load to the FW device 201 as load information. The load information may be stored in the device information 235.

装置情報235には、例えば、CPU(Central Processing Unit)クロックやメモリ容量等が記載されている。
アクセス制御機能部233は、アクセス制御部236および制御ルールテーブル237を備える。 In the device information 235, for example, a CPU (Central Processing Unit) clock, a memory capacity, and the like are described.
The access control function unit 233 includes an access control unit 236 and a control rule table 237.

制御ルールテーブル237は、受信したパケットの通過可否を決定する判定条件と条件に合致した際の動作(アクセス制御ルール)を格納する。制御ルールテーブル237の内容は、FW装置201の制御ルール配信処理部210から送信される。   The control rule table 237 stores a determination condition for determining whether or not a received packet can pass and an operation (access control rule) when the condition is met. The contents of the control rule table 237 are transmitted from the control rule distribution processing unit 210 of the FW device 201.

アクセス制御部236は、パケットを受信した際に制御ルールテーブル237を参照し、アクセス制御ルールに従ってパケットを破棄またはパケット送受信処理部231への受け渡しを行う、いわゆるアクセス制御(フィルタリング処理)を行う。   When receiving a packet, the access control unit 236 performs so-called access control (filtering processing) that refers to the control rule table 237 and discards the packet or transfers it to the packet transmission / reception processing unit 231 in accordance with the access control rule.

次に本実施の形態におけるアクセス制御の分担方法について説明する。
アクセス制御機能の分担は、FW装置201が持つアクセス制御を行う際に使用するルール(アクセス制御ルール)をネットワーク中継装置220や端末230などの各ノードに配信し、定義させることで行う。 Next, an access control sharing method according to the present embodiment will be described.
The sharing of the access control function is performed by distributing and defining a rule (access control rule) used when performing access control of the FW device 201 to each node such as the network relay device 220 and the terminal 230.

またこのとき、ネットワーク構成や各ノードの性能を考慮した上でアクセス制御ルール配信先を決定することで、ネットワークの特徴に合致した最適な分担を行うことが可能となる。   At this time, by determining the access control rule distribution destination in consideration of the network configuration and the performance of each node, it is possible to perform the optimal sharing that matches the characteristics of the network.

アクセス制御機能の分担は、
1.ネットワークトポロジの探索
2.アクセス制御機能の分担対象の決定
3.アクセス制御ルールの配信
の3つのプロセスを経て行われる。 The share of the access control function is
1. 1. Search for network topology 2. Determination of assignment of access control function Access control rules are distributed through three processes.

ネットワークトポロジの探索プロセスは、FW装置201がネットワークの構成と各ノードの性能情報を収集する処理過程である。
分担対象の決定プロセスは、ネットワークトポロジの探索プロセスで得た情報をもとにアクセス制御ルールの配信先を決定する処理過程である。 The network topology search process is a process in which the FW device 201 collects network configuration and performance information of each node.
The assignment target determination process is a process of determining the access control rule delivery destination based on the information obtained in the network topology search process.

アクセス制御ルールの配信プロセスは、決定した配信先に該当アクセス制御ルールを送信し、定義させることにより、アクセス制御機能の分担を行う処理である。
以下、アクセス制御ルールの分担処理の具体的手順を説明する。 The access control rule distribution process is a process of sharing the access control function by transmitting and defining the corresponding access control rule to the determined distribution destination.
Hereinafter, a specific procedure of access control rule sharing processing will be described.

図3は、アクセス制御ルールの分担処理の全体の流れを示すフローチャートである。
ステップS301において、ネットワークトポロジの探索を行う。ネットワークトポロジの探索では、分担対象最適化を行う際に必要となる分担対象ネットワークの構成情報およびネットワーク機器や端末等の各ノードの装置情報を収集する。 FIG. 3 is a flowchart showing the overall flow of access control rule assignment processing.
In step S301, a network topology search is performed. In the search for the network topology, the configuration information of the sharing target network and the device information of each node such as a network device and a terminal, which are necessary when performing the sharing target optimization, are collected.

具体的には、FW装置201のトポロジ情報収集処理部208はネットワークにある各ノードの端末情報通知機能に問い合わせを行う。
問い合わせを受けた各ノードの装置情報通知機能部222、232は、自身のIPアドレスなどのネットワーク構成に関する情報と、CPUクロックやメモリ容量などの装置情報225、235をFW装置201に返信する。ネットワーク構成に関する情報の例を図4、装置情報の例を図5に示す。 Specifically, the topology information collection processing unit 208 of the FW device 201 makes an inquiry to the terminal information notification function of each node in the network.
Upon receiving the inquiry, the device information notification function units 222 and 232 of each node send back information about the network configuration such as its own IP address and device information 225 and 235 such as CPU clock and memory capacity to the FW device 201. An example of information related to the network configuration is shown in FIG. 4, and an example of device information is shown in FIG.

ステップS302〜S307では、アクセス制御機能の分担対象の決定を行う。
分担対象の決定では、ステップS301でのネットワークトポロジの探索で得たネットワーク構成の情報と各ノードの装置情報を用いて、実際にアクセス制御機能を分担するノードを決定する。 In steps S302 to S307, the assignment target of the access control function is determined.
In the determination of the sharing target, the node that actually shares the access control function is determined using the network configuration information obtained by the network topology search in step S301 and the device information of each node.

このプロセスではまず、あらかじめ設定した単位でネットワークを分割する。そして、分割した各ネットワークの中で、どのノードにそのネットワークのアクセス制御機能を分担させるかをあらかじめ設定した条件(ノードの装置情報など)に基づいて決定する。   In this process, the network is first divided into preset units. Then, in each divided network, which node is to share the access control function of the network is determined based on preset conditions (node device information and the like).

このプロセスの具体的手順を以下に示す。
ステップS302において、分担対象処理部209は、S301で得たネットワーク構成の情報を基に、ネットワークをネットワーク単位に分割し、分割されたネットワークの情報をネットワークトポロジ情報部204に格納する。 The specific procedure for this process is shown below.
In step S <b> 302, the assignment target processing unit 209 divides the network into network units based on the network configuration information obtained in S <b> 301, and stores the divided network information in the network topology information unit 204.

本実施の形態では、ネットワークを分割する単位をネットワークアドレスとしている。図6にネットワークを分割した例を示す。図6では、192.168.1.0/24、192.168.2.0/24、192.168.3.0/24の3つのネットワークに分割されている。   In the present embodiment, the unit for dividing the network is a network address. FIG. 6 shows an example in which the network is divided. In FIG. 6, the network is divided into three networks 192.168.1.0/24, 192.168.2.0/24, and 192.168.3.0/24.

ステップS303において、分担対象処理部209は分割した各ネットワークにおいて、アクセス制御機能を持たないノードがある等の分担対象の例外が存在するかを判定する。例外の判定は、判定条件の記載された例外条件テーブル212を参照して、条件に合致するかを判定することで行う。例外条件に合致した場合はステップS307に進み、合致しなかった場合はステップS304に進む。   In step S303, the sharing target processing unit 209 determines whether there is a sharing target exception such as a node having no access control function in each divided network. The exception is determined by referring to the exception condition table 212 in which the determination condition is described to determine whether the condition is met. If the exception condition is met, the process proceeds to step S307. If the exception condition is not met, the process proceeds to step S304.

図7は、ネットワークトポロジの探索で得られた172.16.1.0/24のネットワーク情報例である。この例では、172.16.1.0/24のネットワークに端末が存在するため、例外条件に合致せず、ステップS304に進む。   FIG. 7 is an example of 172.16.1.0/24 network information obtained by searching the network topology. In this example, since the terminal exists in the network of 172.16.1.0/24, the exception condition is not met, and the process proceeds to step S304.

尚、ステップS303の処理の詳細については後述する。
ステップS304において、分担対象処理部209は、ネットワークに所属するネットワーク中継装置220および端末230の装置情報225、235に基づき、分担対象を決定する。分担対象の決定は、決定条件の記載された分担条件テーブル212に従って行われる。尚、分担条件テーブル212はあらかじめ設定されている。 Details of the process in step S303 will be described later.
In step S304, the sharing target processing unit 209 determines a sharing target based on the device information 225 and 235 of the network relay device 220 and the terminal 230 belonging to the network. The assignment target is determined according to the sharing condition table 212 in which the determination conditions are described. The sharing condition table 212 is set in advance.

分担条件テーブル212に合致する場合はステップS305に進み、合致しない場合はステップS306に進む。
ステップS305において、ネットワーク中継装置をアクセス制御機能の分担対象とす
る。 If it matches the sharing condition table 212, the process proceeds to step S305, and if not, the process proceeds to step S306.
In step S305, the network relay device is assigned to the access control function.

ステップS306において、端末をアクセス制御機能の分担対象とする。
分担条件テーブルの例を図8に示す。この例では、各ネットワークの属する端末数が少ない場合(5未満)はネットワーク中継装置をアクセス制御機能の分担対象とし、端末には分担させない。また、端末数が5以上でありかつネットワーク中継装置が性能的に問題ない場合(CPUクロックが1GHz以上かつメモリ容量が1GB以上かつ回線速度が1Gbps以上)、においても中継装置をアクセス制御機能の分担対象とし、端末には分担させない。 In step S306, the terminal is assigned to the access control function.
An example of the sharing condition table is shown in FIG. In this example, when the number of terminals to which each network belongs is small (less than 5), the network relay device is assigned to the access control function and is not shared by the terminals. Also, when the number of terminals is 5 or more and the network relay device has no problem in terms of performance (CPU clock is 1 GHz or more, memory capacity is 1 GB or more, and the line speed is 1 Gbps or more), the relay device shares the access control function. Target, do not share with terminals.

しかし、ネットワーク中継装置が性能的に問題ある場合は、各端末をアクセス制御機能の分担対象とする。
ステップS307〜S308では、アクセス制御ルールの配信を行う。 However, if the network relay device has a performance problem, each terminal is assigned to the access control function.
In steps S307 to S308, access control rules are distributed.

ステップS307において、制御ルール配信処理部210は、ネットワークに合致するアクセス制御ルールを検索し、ノードの装置情報処理部に送信する。
ステップS308において、ノードの装置情報処理部224、234は、受信したアクセス制御ルールを制御ルールテーブル227、237に格納する。アクセス制御ルールを受信したノードはアクセス制御ルールに基づき、アクセス制御(フィルタリング処理)を行う。 In step S307, the control rule distribution processing unit 210 searches for an access control rule that matches the network, and transmits it to the device information processing unit of the node.
In step S308, the device information processing units 224 and 234 of the nodes store the received access control rules in the control rule tables 227 and 237. The node that has received the access control rule performs access control (filtering processing) based on the access control rule.

図9は、送信元が172.16.1.0/24に合致するアクセス制御ルールをFW装置の制御テーブルから検索した結果例である。
・例外処理
ステップS303の例外処理について説明する。 FIG. 9 is an example of a result of searching an access control rule whose transmission source matches 172.16.1.0/24 from the control table of the FW device.
Exception processing The exception processing in step S303 will be described.

通常、ネットワーク中継装置220や端末230はアクセス制御機能を所持している。しかし、実際にはアクセス制御機能を有していない場合があるため、この場合何らかの例外処理が必要となる。   Usually, the network relay device 220 and the terminal 230 have an access control function. However, since there is a case where the access control function is not actually provided, some exception processing is required in this case.

以下に3つの例外処理の例を示す。また、図10に例外処理のフローチャート例を示す。
尚、図中および以下の説明で、端末がアクセス制御機能を持たないとは、対象のネットワーク内に少なくとも1台のアクセス制御機能を持たない端末があるという意味である。
1.ネットワーク単位での例外処理
ネットワーク内にアクセス制御機能を有していない端末がある場合、そのネットワークに存在するネットワーク中継装置が図3のフローチャートに示した条件に関係なくアクセス制御機能を分担する処理を行う。また、逆にネットワーク中継装置がアクセス制御機能を有していない場合、ネットワークに属するすべての端末が無条件にアクセス制御機能を分担する。しかし、ネットワーク中継装置と端末ともにアクセス制御機能を持たない場合はネットワーク単位での例外処理では対処不可能となる。
2.FW装置と該当ネットワーク間の経路での例外処理
ネットワーク単位で例外対処できない場合、該当ネットワークとFW装置間の経路で対処することが可能である。この場合、経路間に存在するネットワーク中継装置が該当ネットワークに対するアクセス制御機能を受け持つことになる。しかし、経路間にアクセス制御機能を持つネットワーク中継装置がない場合、対処不可能となる。
3.FW装置での例外処理
該当ネットワークとFW装置間の経路で例外対処できない場合、該当ネットワークに対するアクセス制御機能を部分的にFW装置で処理することになる。この場合、LANからWAN方向へのパケットの内、該当ネットワークからのパケットのみ例外的にFW装置で処理することになる。そのため、FW装置はLAN側からWAN側へのパケットの中で例外的にアクセ
ス制御機能を受け持つ送信元アドレスを認識し、処理しなければならない。この例外的にアクセス制御機能を受け持つ送信元アドレスはFW装置の制御ルールテーブルに保存される。 The following are three examples of exception handling. FIG. 10 shows a flowchart example of exception processing.
In the drawings and the following description, that a terminal does not have an access control function means that there is at least one terminal that does not have an access control function in the target network.
1. Exception processing in units of network When there is a terminal that does not have an access control function in the network, a process in which the network relay device existing in the network shares the access control function regardless of the conditions shown in the flowchart of FIG. Do. Conversely, when the network relay device does not have an access control function, all terminals belonging to the network share the access control function unconditionally. However, if neither the network relay device nor the terminal has an access control function, it cannot be handled by exception processing on a network basis.
2. Exception processing on the route between the FW device and the corresponding network When an exception cannot be handled on a network basis, it is possible to deal with the route between the corresponding network and the FW device. In this case, the network relay device existing between the paths is responsible for the access control function for the corresponding network. However, if there is no network relay device having an access control function between paths, it is impossible to cope with it.
3. Exception processing in the FW device When an exception cannot be dealt with in the route between the network and the FW device, the access control function for the network is partially processed by the FW device. In this case, of the packets from the LAN to the WAN, only the packets from the corresponding network are processed by the FW device. Therefore, the FW device must recognize and process the source address that is exceptionally responsible for the access control function in the packet from the LAN side to the WAN side. The source address that is exceptionally responsible for the access control function is stored in the control rule table of the FW device.

以上の処理を図10のフローチャートを用いて説明する。
ステップS1001において、ネットワークにアクセス制御機能を持たないノードがあるかチェックする。アクセス制御機能を持たないノードがある場合はステップS1002に進み、無い場合は例外条件に不一致なので図3のステップS304に進む。 The above process will be described with reference to the flowchart of FIG.
In step S1001, it is checked whether there is a node having no access control function in the network. If there is a node that does not have an access control function, the process proceeds to step S1002, and if not, the process does not match the exception condition, and the process proceeds to step S304 in FIG.

ステップS1002において、ネットワーク中継装置および端末がアクセス制御機能を持たないかチェックする。アクセス制御機能を持たない場合はステップS1006に進み、持つ場合はステップS1003に進む。   In step S1002, it is checked whether the network relay device and the terminal have an access control function. If the access control function is not provided, the process proceeds to step S1006. If the access control function is provided, the process proceeds to step S1003.

ステップS1003において、ネットワーク中継装置がアクセス制御機能を持つかチェックする。アクセス制御機能を持つ場合はステップS1004に進み、持たない場合はステップS1005に進む。   In step S1003, it is checked whether the network relay device has an access control function. If it has an access control function, the process proceeds to step S1004, and if not, the process proceeds to step S1005.

ステップS1004において、分担対象処理部209は、ネットワーク中継装置をアクセス制御機能の分担対象とする。
ステップS1005において、分担対象処理部209は、端末をアクセス制御機能の分担対象とする。 In step S1004, the sharing target processing unit 209 sets the network relay device as a sharing target of the access control function.
In step S1005, the sharing target processing unit 209 sets the terminal as a sharing target for the access control function.

ステップS1006において、該当ネットワークとFW装置間のネットワーク中継装置がアクセス制御機能を持つかチェックする。アクセス制御機能を持つ場合はステップS1007に進み、持たない場合はステップS1008に進み。   In step S1006, it is checked whether the network relay device between the corresponding network and the FW device has an access control function. If it has an access control function, the process proceeds to step S1007, and if not, the process proceeds to step S1008.

ステップS1007において、経路間のネットワーク中継装置をアクセス制御機能の分担対象とする。
ステップS1008において、FW装置をアクセス制御機能の分担対象とする。 In step S1007, the network relay device between the paths is assigned to the access control function.
In step S1008, the FW device is assigned to the access control function.

上記手順により、アクセス制御機能を分担対象が決定し、図3のステップS307に進む。
・有効期間
FW装置201は、アクセス制御機能の分担を実施する有効期間を設定できる。これは通信量が多い時間帯のみアクセス制御機能の分担を実施したい場合などに利用する。これより、柔軟性のある運用が可能となる。
・動的分担変更
運用中に通信量が急激に増加した場合など、アクセス制御処理を受け持つ中継装置や端末が負荷に耐えられなくなる場合が考えられる。この場合、アクセス制御機能の分担を動的に変更できる。 According to the above procedure, the assignment target of the access control function is determined, and the process proceeds to step S307 in FIG.
Valid period The FW device 201 can set an effective period for sharing the access control function. This is used when it is desired to share the access control function only during a time zone with a large amount of traffic. As a result, flexible operation is possible.
-Dynamic sharing change There may be a case where the relay device or terminal responsible for the access control process cannot withstand the load, such as when the traffic volume suddenly increases during operation. In this case, the sharing of access control functions can be changed dynamically.

変更方法は以下の2つの方法がある。
1.FW装置による監視
FW装置がアクセス制御機能を分担して受け持っているネットワーク中継装置や端末にCPU使用率などの負荷情報を定期的に問い合わせる。受信した負荷情報が予め設定したしきい値を超えていた場合に、アクセス制御の分担を中止し対処を行う。しきい値は動的変更テーブルに保存される。この動的変更テーブルの例を図12 に示す。図12のインデックス100の場合、処理パケット数が10000packet/secを超えた場合に処理を行う。
また、処理パケット数が10000packet/secを超えるかつ、CPU使用率が80%を超える場合
など複数のインデックスを条件とすることもできる。しきい値を超えていた場合の対処として、該当装置とFW装置の経路間に存在するネットワーク中継装置や、FW装置自身が一時的に受け持つことが考えられる。引き続き各装置を監視した結果、通信量が減少したことが判明した際に設定次第では元の分担配置に戻すことが可能となる。
2.中継装置や端末からの通知
アクセス制御機能を受け持つ各装置は、自身の負荷(CPU使用率など)が予め設定した値を超えた場合、FW装置に通知を行う。通知を受けたFW装置は、上記「FW装置による監視」と同様に対処を行う。また、通信量が減少した場合にも通知を行うように設定を行うことで、元の分担配置に戻すことが可能となる。 There are two ways to change it.
1. Monitoring by FW device The FW device periodically inquires the load information such as CPU usage rate to the network relay device and terminal that share the access control function. When the received load information exceeds a preset threshold value, sharing of access control is stopped and a countermeasure is taken. The threshold is stored in a dynamic change table. An example of this dynamic change table is shown in FIG. In the case of the index 100 in FIG. 12, processing is performed when the number of processed packets exceeds 10000 packets / sec.
Also, a plurality of indexes can be used as a condition, for example, when the number of processing packets exceeds 10,000 packets / sec and the CPU usage rate exceeds 80%. As a countermeasure when the threshold value is exceeded, it is conceivable that the network relay device existing between the route between the corresponding device and the FW device, or the FW device itself temporarily takes charge. As a result of continuously monitoring each device, when it is determined that the communication amount has decreased, it becomes possible to return to the original allocation depending on the setting.
2. Notification from Relay Device or Terminal Each device responsible for the access control function notifies the FW device when its own load (CPU usage rate, etc.) exceeds a preset value. The FW device that has received the notification takes the same action as the “monitoring by FW device” described above. In addition, it is possible to return to the original allocation by setting so that notification is performed even when the communication amount decreases.

動的変更の例を説明する。
図6において次のようにアクセス制御機能が分担されたとする。
ネットワーク192.168.1.0/24 → 端末1
ネットワーク192.168.2.0/24 → 中継装置1
ネットワーク192.168.3.0/24 → 端末4、5
例1 ) 中継装置1の負担が重くなった場合に、中継装置1に分担していたアクセス制御機能をFW装置で受け持つ。
例2 ) 端末4、5の負担が重くなった場合に、各端末に分担していたアクセス制御機能を中継装置2で受け持つ。 An example of dynamic change will be described.
In FIG. 6, it is assumed that the access control function is shared as follows.
Network 192.168.1.0/24 → terminal 1
Network 192.168.2.0/24 → Relay device 1
Network 192.168.3.0/24 → Terminal 4, 5
Example 1) When the burden on the relay device 1 becomes heavy, the access control function shared by the relay device 1 is handled by the FW device.
Example 2) When the burden on the terminals 4 and 5 becomes heavy, the relay device 2 takes charge of the access control function shared by each terminal.

動的変更の処理手順の詳細について説明する。
図11はアクセス制御機能の分担の動的変更のフローチャートである。
ステップS1101において、分担機能制御部207は、ネットワーク中継装置および端末の装置情報処理部224、234から負荷情報を受信する。負荷情報はFW装置がネットワーク中継装置および端末に問い合わせを行い、それに応じてネットワーク中継装置および端末から負荷情報が送信される。また、ネットワーク中継装置および端末の負荷が予め設定した値を超えた場合や所定の時間ごとに、FW装置にネットワーク中継装置および端末が負荷情報を送信してもよい。 Details of the dynamic change processing procedure will be described.
FIG. 11 is a flowchart of dynamic change of sharing of access control functions.
In step S1101, the sharing function control unit 207 receives the load information from the device information processing units 224 and 234 of the network relay device and the terminal. For the load information, the FW device makes an inquiry to the network relay device and the terminal, and the load information is transmitted from the network relay device and the terminal accordingly. In addition, when the loads of the network relay device and the terminal exceed preset values or every predetermined time, the network relay device and the terminal may transmit the load information to the FW device.

ステップS1102において、受信した負荷情報を動的変更テーブルと比較する。条件に合致した場合はステップS1103に進み、不一致の場合は終了する。
ステップS1103において、FW装置と負荷情報を送信した装置の間にネットワーク中継装置があるかどうかネットワークトポロジ情報部214から検索する。ネットワーク中継装置がある場合ステップS1104に進み、無い場合ステップS1106に進む。尚、FW装置と負荷情報を送信した装置の間のネットワーク中継装置を中間中継装置と呼ぶ。 In step S1102, the received load information is compared with the dynamic change table. If the condition is met, the process proceeds to step S1103. If the condition is not met, the process ends.
In step S1103, the network topology information unit 214 searches whether there is a network relay device between the FW device and the device that transmitted the load information. If there is a network relay device, the process proceeds to step S1104; otherwise, the process proceeds to step S1106. A network relay device between the FW device and the device that transmitted the load information is called an intermediate relay device.

ステップS1104において、中間中継装置が分担条件テーブル212の条件を満たすかチェックする。条件を満たす場合はステップS1105に進み、満たさない場合はステップS1106に進む。   In step S1104, it is checked whether the intermediate relay apparatus satisfies the conditions of the sharing condition table 212. If the condition is satisfied, the process proceeds to step S1105; otherwise, the process proceeds to step S1106.

ステップS1105において、中間中継装置をアクセス制御機能の分担対象とする。
ステップS1106において、FW装置をアクセス制御機能の分担対象とする。
ステップS1107において、分担対象として決定した対象装置へアクセス制御ルールを送信する。 In step S1105, the intermediate relay device is assigned to the access control function.
In step S1106, the FW device is assigned to the access control function.
In step S1107, the access control rule is transmitted to the target device determined as the sharing target.

ステップS1108において、負荷情報を送信した装置の装置情報処理部へアクセス制御ルールの削除を指示する。削除を指示された装置は、アクセス制御ルールを削除する。
本実施の形態のFW装置によれば、アクセス制御を分担することができ、FW装置の負荷を低減することができる。また、ネットワーク中継装置および端末の負荷状況や性能に
応じてアクセス制御を分担するので、状況に応じたきめ細かい制御を行うことができる。 In step S1108, the device information processing unit of the device that transmitted the load information is instructed to delete the access control rule. The device instructed to delete deletes the access control rule.
According to the FW device of this embodiment, access control can be shared, and the load on the FW device can be reduced. Moreover, since access control is shared according to the load status and performance of the network relay device and the terminal, fine control according to the status can be performed.

以上の実施の形態に関し、さらに以下の付記を開示する。
(付記1)
内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置において、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信する受信手段と、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定する分担決定手段と、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する制御情報送信手段と、
を備えるファイアウォール装置。
(付記2)
前記内部ネットワークには、複数の前記ネットワーク機器が接続され、
前記ネットワーク機器は、ネットワーク中継装置または端末であり、
前記分担決定手段は、前記ネットワーク中継装置および前記端末がフィルタリング機能持つ場合は、前記ネットワーク中継装置にフィルタリング処理を分担させることを特徴とする付記1記載のファイアウォール装置。
(付記3)
前記受信手段は、前記ネットワーク機器の装置情報を受信し、
前記分担決定手段は、前記ネットワーク機器の装置情報に基づきフィルタリング処理の分担を決定することを特徴とする付記1記載のファイアウォール装置。
(付記4)
内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置のアクセス制御分担方法において、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信し、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定し、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する
手順を有するアクセス制御分担方法。
(付記5)
内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置を、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信する受信手段と、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定する分担決定手段と、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する制御情報送信手段と、
して動作させることを特徴とするプログラム。 Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
In a firewall device that performs filtering of data received from a terminal connected to an internal network and forwarding to an external network,
Receiving means for receiving load information from a network device having a filtering function connected to the internal network;
Based on load information received in the receiving means, sharing determination means for determining sharing of filtering processing of the firewall device and the network device,
Control information transmission means for transmitting control information of a filtering function to the network device based on the assignment determined by the assignment determination means;
A firewall device comprising:
(Appendix 2)
A plurality of the network devices are connected to the internal network,
The network device is a network relay device or a terminal,
The firewall apparatus according to appendix 1, wherein the sharing determination unit causes the network relay apparatus to share a filtering process when the network relay apparatus and the terminal have a filtering function.
(Appendix 3)
The receiving means receives device information of the network device;
The firewall apparatus according to appendix 1, wherein the sharing determination unit determines sharing of filtering processing based on device information of the network device.
(Appendix 4)
In an access control sharing method of a firewall device that performs filtering of data received from a terminal connected to an internal network and forwarding to an external network,
Receiving load information from a network device having a filtering function connected to the internal network;
Based on the load information received by the receiving means, determine the sharing of filtering processing of the firewall device and the network device,
An access control sharing method including a procedure for transmitting control information of a filtering function to the network device based on the sharing determined by the sharing determination unit.
(Appendix 5)
A firewall device that performs filtering of data received from terminals connected to the internal network and forwarding to external networks.
Receiving means for receiving load information from a network device having a filtering function connected to the internal network;
Based on load information received in the receiving means, sharing determination means for determining sharing of filtering processing of the firewall device and the network device,
Control information transmission means for transmitting control information of a filtering function to the network device based on the assignment determined by the assignment determination means;
A program characterized by operating as

本発明の実施の形態および従来のシステムの概略図である。1 is a schematic diagram of an embodiment of the present invention and a conventional system. 本発明の実施の形態に係るシステムの構成図である。1 is a configuration diagram of a system according to an embodiment of the present invention. アクセス制御ルールの分担処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the sharing process of an access control rule. ネットワーク構成に関する情報の例を示す図である。It is a figure which shows the example of the information regarding a network structure. 装置情報の例を示す図である。It is a figure which shows the example of apparatus information. ネットワークを分割した例を示す図である。It is a figure which shows the example which divided | segmented the network. ネットワーク情報の例を示す図である。It is a figure which shows the example of network information. 分担条件テーブル例を示す図である。It is a figure which shows the sharing condition table example. アクセス制御ルールを示す図である。It is a figure which shows an access control rule. 例外処理のフローチャートである。It is a flowchart of exception processing. アクセス制御機能の分担の動的変更のフローチャートである。It is a flowchart of the dynamic change of the share of an access control function. 動的変更テーブルの例を示す図である。It is a figure which shows the example of a dynamic change table.

符号の説明Explanation of symbols

101 FW装置
102 ネットワーク中継装置
103 端末
104 FW装置
105 ネットワーク中継装置
106 端末
201 FW装置
202 パケット中継処理部
203 アクセス制御機能部
204 制御ルール分担機能部
205 アクセス制御部
206 制御ルールテーブル
207 分担機能制御部
208 トポロジ情報収集処理部
209 分担対象処理部
210 制御ルール配信処理部
211 例外条件テーブル
212 分担条件テーブル
213 動的変更テーブル
214 ネットワークトポロジ情報部
220 ネットワーク中継装置
221 パケット中継処理部
222 装置情報通知機能部
223 アクセス制御機能部
224 装置情報処理部
225 装置情報
226 アクセス制御部
227 制御ルールテーブル
230 端末
231 パケット送受信処理部
232 装置情報通知機能部
233 アクセス制御機能部
234 装置情報処理部
235 装置情報
236 アクセス制御部
237 制御ルールテーブル DESCRIPTION OF SYMBOLS 101 FW apparatus 102 Network relay apparatus 103 Terminal 104 FW apparatus 105 Network relay apparatus 106 Terminal 201 FW apparatus 202 Packet relay process part 203 Access control function part 204 Control rule share function part 205 Access control part 206 Control rule table 207 Share function control part 208 Topology Information Collection Processing Unit 209 Allocation Target Processing Unit 210 Control Rule Distribution Processing Unit 211 Exception Condition Table 212 Allocation Condition Table 213 Dynamic Change Table 214 Network Topology Information Unit 220 Network Relay Device 221 Packet Relay Processing Unit 222 Device Information Notification Function Unit 223 Access control function unit 224 Device information processing unit 225 Device information 226 Access control unit 227 Control rule table 230 Terminal 231 Packet transmission Shin processor 232 device information notification function unit 233 access control function unit 234 device information processing unit 235 system information 236 the access control unit 237 control rule table

Claims (5)

内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置において、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信する受信手段と、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定する分担決定手段と、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する制御情報送信手段と、
を備えるファイアウォール装置。 In a firewall device that performs filtering of data received from a terminal connected to an internal network and forwarding to an external network,
Receiving means for receiving load information from a network device having a filtering function connected to the internal network;
Based on load information received in the receiving means, sharing determination means for determining sharing of filtering processing of the firewall device and the network device,
Control information transmission means for transmitting control information of a filtering function to the network device based on the assignment determined by the assignment determination means;
A firewall device comprising: 前記内部ネットワークには、複数の前記ネットワーク機器が接続され、
前記ネットワーク機器は、ネットワーク中継装置または端末であり、
前記分担決定手段は、前記ネットワーク中継装置および前記端末がフィルタリング機能持つ場合は、前記ネットワーク中継装置にフィルタリング処理を分担させることを特徴とする請求項1記載のファイアウォール装置。 A plurality of the network devices are connected to the internal network,
The network device is a network relay device or a terminal,
The firewall apparatus according to claim 1, wherein, when the network relay apparatus and the terminal have a filtering function, the network determination apparatus causes the network relay apparatus to share a filtering process. 前記受信手段は、前記ネットワーク機器の装置情報を受信し、
前記分担決定手段は、前記ネットワーク機器の装置情報に基づきフィルタリング処理の分担を決定することを特徴とする請求項1記載のファイアウォール装置。 The receiving means receives device information of the network device;
The firewall apparatus according to claim 1, wherein the sharing determination unit determines sharing of filtering processing based on apparatus information of the network device. 内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置のアクセス制御分担方法において、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信し、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定し、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する
手順を有するアクセス制御分担方法。 In an access control sharing method of a firewall device that performs filtering of data received from a terminal connected to an internal network and forwarding to an external network,
Receiving load information from a network device having a filtering function connected to the internal network;
Based on the load information received by the receiving means, determine the sharing of filtering processing of the firewall device and the network device,
An access control sharing method including a procedure for transmitting control information of a filtering function to the network device based on the sharing determined by the sharing determination unit. 内部ネットワークに接続されている端末から受信したデータのフィルタリングと外部ネットワークへの転送を実行するファイアウォール装置を、
前記内部ネットワークに接続されているフィルタリング機能を有するネットワーク機器から、負荷情報を受信する受信手段と、
前記受信手段において受信された負荷情報に基づき、前記ファイアウォール装置及び前記ネットワーク機器のフィルタリング処理の分担を決定する分担決定手段と、
前記分担決定手段において決定された分担に基づいて、前記ネットワーク機器に対して、フィルタリング機能の制御情報を送信する制御情報送信手段と、
して動作させることを特徴とするプログラム。 A firewall device that performs filtering of data received from terminals connected to the internal network and forwarding to external networks.
Receiving means for receiving load information from a network device having a filtering function connected to the internal network;
Based on load information received in the receiving means, sharing determination means for determining sharing of filtering processing of the firewall device and the network device,
Control information transmission means for transmitting control information of a filtering function to the network device based on the assignment determined by the assignment determination means;
A program characterized by operating as
JP2008084916A 2008-03-27 2008-03-27 Firewall apparatus, access control sharing method, and program Active JP4973566B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008084916A JP4973566B2 (en) 2008-03-27 2008-03-27 Firewall apparatus, access control sharing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008084916A JP4973566B2 (en) 2008-03-27 2008-03-27 Firewall apparatus, access control sharing method, and program

Publications (2)

Publication Number Publication Date
JP2009238035A true JP2009238035A (en) 2009-10-15
JP4973566B2 JP4973566B2 (en) 2012-07-11

Family

ID=41251873

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008084916A Active JP4973566B2 (en) 2008-03-27 2008-03-27 Firewall apparatus, access control sharing method, and program

Country Status (1)

Country Link
JP (1) JP4973566B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002064561A (en) * 2000-08-22 2002-02-28 Hitachi Ltd Network control apparatus and network control method
JP2002271415A (en) * 2001-03-12 2002-09-20 Hitachi Ltd Proxy server system and communication method thereof
JP2004350198A (en) * 2003-05-26 2004-12-09 Mitsubishi Electric Corp Network control system
JP2005004549A (en) * 2003-06-12 2005-01-06 Fuji Electric Holdings Co Ltd Policy server, its policy setting method, access control method, and program
JP2006184936A (en) * 2004-12-24 2006-07-13 Ntt Data Corp Information system setting device, information system setting method and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002064561A (en) * 2000-08-22 2002-02-28 Hitachi Ltd Network control apparatus and network control method
JP2002271415A (en) * 2001-03-12 2002-09-20 Hitachi Ltd Proxy server system and communication method thereof
JP2004350198A (en) * 2003-05-26 2004-12-09 Mitsubishi Electric Corp Network control system
JP2005004549A (en) * 2003-06-12 2005-01-06 Fuji Electric Holdings Co Ltd Policy server, its policy setting method, access control method, and program
JP2006184936A (en) * 2004-12-24 2006-07-13 Ntt Data Corp Information system setting device, information system setting method and program

Also Published As

Publication number Publication date
JP4973566B2 (en) 2012-07-11

Similar Documents

Publication Publication Date Title
JP4606333B2 (en) Routing control method
CN102577275B (en) Relay control equipment, relay and control system, relay and control method
US9270536B2 (en) BGP slow peer detection
JP5506444B2 (en) Information system, apparatus and method
JP5534481B2 (en) Communication quality monitoring system, communication quality monitoring method, and storage medium
WO2013125342A1 (en) Network system, and method for improving resource usage
WO2016008519A1 (en) Method and system for managing flows in a network
CN112152935B (en) Method and device for determining transmission path
US20240031293A1 (en) Network devices in duty cycle limited networks
Iqbal et al. Minimize the delays in software defined network switch controller communication
US20140047260A1 (en) Network management system, network management computer and network management method
EP2896158A1 (en) Determining a load distribution for data units at a packet inspection device
CN108199965B (en) Flow spec table item issuing method, network device, controller and autonomous system
JP4973566B2 (en) Firewall apparatus, access control sharing method, and program
WO2015097749A1 (en) Information processing apparatus, information processing method, and program
CN110309225B (en) Data processing method and system
JP5668503B2 (en) Hazardous site filtering system and filtering method
JP6509143B2 (en) Bandwidth control apparatus and method
CN112866031B (en) Route configuration method, device, equipment and computer readable storage medium
KR20190048324A (en) Method for providing service based on multi network and apparatus therefor
JP2012164116A (en) Mail server protection system and mail server protection method
JP2019009630A (en) Network load distribution device and method
WO2023276220A1 (en) Relay device, relay method, and communication system
KR20180015959A (en) Apparatus for controlling transmission path of data packet and method for secure communication using the same
JP2005094249A (en) Packet relay method and packet relay apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120308

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120326

R150 Certificate of patent or registration of utility model

Ref document number: 4973566

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3