JP2009272659A - Communication control apparatus, communication control method and communication system - Google Patents

Communication control apparatus, communication control method and communication system Download PDF

Info

Publication number
JP2009272659A
JP2009272659A JP2008051842A JP2008051842A JP2009272659A JP 2009272659 A JP2009272659 A JP 2009272659A JP 2008051842 A JP2008051842 A JP 2008051842A JP 2008051842 A JP2008051842 A JP 2008051842A JP 2009272659 A JP2009272659 A JP 2009272659A
Authority
JP
Japan
Prior art keywords
server
address
communication
terminal device
site network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008051842A
Other languages
Japanese (ja)
Inventor
Shigeyoshi Shima
成佳 島
Hiroshi Kitamura
浩 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008051842A priority Critical patent/JP2009272659A/en
Publication of JP2009272659A publication Critical patent/JP2009272659A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To apply a stateful inspection to communication from a client out of a site to a network in the site. <P>SOLUTION: The communication control apparatus 35 includes: a name resolution section 31 for registering a server address generated in response to an access request specifying a sever name to a server 15 in the a network 100 in the site from a terminal device 25 in a network 200 out of the site, and an address of the terminal device 25 in an access control list (ACL) 32 in pairs and transmitting the server address to the terminal device 25; and a communication control section 33 for permitting communication between the terminal device and the server 15 when the server address to be paired with the address of the terminal device is already registered in the access control list 32 for communication from the terminal device in the network 200 out of the site to the network 100 in the site. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、サイト内ネットワークにおいて、サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御装置、通信制御方法および通信システムに関する。   The present invention relates to a communication control apparatus, a communication control method, and a communication system for monitoring communication from an off-site network to an in-site network in an in-site network.

ファイアウォールを実現するためのパケットフィルタリング方法として、セッション用のポートのみをダイナミックにオープンするダイナミックフィルタリングがある。また、ダイナミックフィルタリング技術を改良したものとして、ステートフルインスペクション技術がある(例えば、特許文献1参照)。ステートフルインスペクションは、過去の通信やアプリケーションから導き出される状態の情報に応じて、新しい通信の接続要求に対する通信制御の判断が下される。通信制御の判断は、例えば、パケットフィルタリングに関する判断である。また、ステートフルインスペクションの一例が、非特許文献1に記載されている。   As a packet filtering method for realizing a firewall, there is dynamic filtering in which only a session port is dynamically opened. As an improvement of the dynamic filtering technique, there is a stateful inspection technique (see, for example, Patent Document 1). In the stateful inspection, determination of communication control for a connection request for a new communication is made according to information on a state derived from past communication or an application. The determination of communication control is, for example, determination regarding packet filtering. An example of stateful inspection is described in Non-Patent Document 1.

特開2007−221240号公報(段落0002)JP2007-212240 (paragraph 0002) 「IDS入門 Snort&Tripwireno基礎と実践」、日吉 龍、技術評論社、2004年4月25日、pp.107−109“Introduction to IDS Snort & Tripwireno Basics and Practice”, Ryu Hiyoshi, Technical Review, April 25, 2004, pp. 107-109

非特許文献1に記載されているようなステートフルインスペクションを、サイト内ネットワークにおいて、サイト外ネットワークに対するデータの出入口に設置されるゲートウェイ装置(以下、ゲートウェイという。)に適用した場合について説明する。   A case will be described in which stateful inspection as described in Non-Patent Document 1 is applied to a gateway apparatus (hereinafter referred to as a gateway) installed at a data gateway for an off-site network in a site network.

図6に示すようにサイト内ネットワーク100におけるクライアント(クライアント装置)20がサイト外ネットワーク200におけるサーバ装置(以下、サーバという。)30と通信する際に、ゲートウェイ10においてサイト外ネットワーク200におけるサーバ30からサイト内ネットワーク100への通信を許可するようにフィルタ設定を変更する。なお、サイト内ネットワーク100において、クライアント20とゲートウェイ10とはLAN40を介して通信を行う。   As shown in FIG. 6, when a client (client device) 20 in the intra-site network 100 communicates with a server device (hereinafter referred to as a server) 30 in the off-site network 200, the gateway 10 starts from the server 30 in the off-site network 200. The filter setting is changed so as to allow communication to the in-site network 100. In the intra-site network 100, the client 20 and the gateway 10 communicate via the LAN 40.

そして、サイト内ネットワーク100におけるクライアント20とサイト外ネットワーク200におけるサーバ30との通信が終了すると、ゲートウェイ10は、サイト外ネットワーク200におけるサーバ30からサイト内ネットワーク100におけるクライアント20への通信を許可しないようにフィルタ設定を変更する。   When the communication between the client 20 in the in-site network 100 and the server 30 in the off-site network 200 is completed, the gateway 10 does not allow communication from the server 30 in the off-site network 200 to the client 20 in the in-site network 100. Change the filter settings to.

図6に示すように、ゲートウェイ10は、サイト内ネットワーク100からサイト外ネットワーク200への通信(矢印A,B参照)を基に、自装置が備えているアクセスコントロールリスト(ACL)に通信許可の登録を行い、その後、サイト外ネットワーク200からの通信(矢印C,D参照)に関して、アクセスコントロールリストを確認することによって、通信を許可するか否か判断する。   As shown in FIG. 6, the gateway 10 permits communication in the access control list (ACL) of its own device based on communication from the intra-site network 100 to the off-site network 200 (see arrows A and B). Registration is performed, and thereafter, regarding communication from the off-site network 200 (see arrows C and D), it is determined whether to permit communication by checking the access control list.

図6に示されたステートフルインスペクションでは、サイト内ネットワーク100におけるクライアント20からサイト外ネットワーク200におけるサーバ30への接続を契機としてゲートウェイ10において得られた通信パケット等から得た情報を基に、アクセスコントロールリストにクライアントアドレスとサーバアドレスとのペア情報等が登録される。そして、アクセスコントロールリストの登録内容にもとづいて、その後に開始されるサイト外ネットワーク200におけるサーバ30からサイト内ネットワーク100におけるクライアント10への通信を制御する。なお、サイト内ネットワーク100とは、ゲートウェイ10の管理下にあるネットワークである。また、サイト外ネットワーク200は、ゲートウェイ10の管理外のネットワークのことである。   In the stateful inspection shown in FIG. 6, access control is performed based on information obtained from a communication packet or the like obtained in the gateway 10 when the client 20 in the intra-site network 100 connects to the server 30 in the off-site network 200. Pair information such as a client address and a server address is registered in the list. Then, based on the registered contents of the access control list, the communication from the server 30 in the off-site network 200 that is started thereafter to the client 10 in the intra-site network 100 is controlled. The intra-site network 100 is a network under the management of the gateway 10. The off-site network 200 is a network that is not managed by the gateway 10.

図6に示されたステートフルインスペクションでは、サイト内ネットワーク100からサイト外ネットワーク200への接続を契機として通信制御を開始するので、サイト外ネットワーク200におけるクライアント(図6において図示せず)からサイト内ネットワーク100におけるサーバ(図6において図示せず)への接続に対する通信にステートフルインスペクションを適用することはできない。   In the stateful inspection shown in FIG. 6, since communication control is started when the intra-site network 100 is connected to the off-site network 200, a client (not shown in FIG. 6) in the off-site network 200 starts the intra-site network. Stateful inspection cannot be applied to communications for connections to servers at 100 (not shown in FIG. 6).

そこで、本発明は、サイト外ネットワークのクライアントからサイト内ネットワークのサーバへの通信にステートフルインスペクションを適用できるようにした通信制御装置、通信制御方法および通信システムを提供することを目的とする。   Therefore, an object of the present invention is to provide a communication control device, a communication control method, and a communication system that can apply stateful inspection to communication from a client in an off-site network to a server in the in-site network.

本発明による通信制御装置は、サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御装置であって、サイト外ネットワークにおける端末装置からサイト内ネットワークにおけるサーバ装置へのサーバ名を特定したアクセス要求に対して生成されたサーバアドレスと当該端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、当該端末装置にサーバアドレスを送信する名前解決部と、サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されている場合に、当該端末装置とサーバ装置との通信を許可する通信制御部とを備えたことを特徴とする。   A communication control device according to the present invention is a communication control device that monitors communication from an off-site network to an in-site network, and an access request specifying a server name from a terminal device in the off-site network to a server device in the in-site network A name resolution unit for registering the server address generated for the terminal and the address of the terminal device in a pair in the access control list, and transmitting the server address to the terminal device, and in-site from the terminal device in the off-site network A communication control unit that permits communication between the terminal device and the server device when a server address that is paired with the address of the terminal device is registered in the access control list for communication with the network. And

本発明による通信制御方法は、サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御方法であって、サイト外ネットワークにおける端末装置からサイト内ネットワークにおけるサーバ装置へのサーバ名を特定したアクセス要求に対してサーバアドレスを生成し、生成したサーバアドレスと端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、端末装置にサーバアドレスを送信し、サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されているか否か確認し、サーバアドレスがアクセスコントロールリストに登録されている場合に、当該端末装置とサーバ装置との通信を許可することを特徴とする。   A communication control method according to the present invention is a communication control method for monitoring communication from an off-site network to an in-site network, and an access request specifying a server name from a terminal device in the off-site network to a server device in the in-site network A server address is generated for the server, and the generated server address and the address of the terminal device are registered in the access control list as a pair, and the server address is transmitted to the terminal device. For the communication with respect to the terminal device, it is confirmed whether or not a server address that is paired with the address of the terminal device is registered in the access control list, and when the server address is registered in the access control list, the terminal device and the server device And permits the communication.

本発明による通信システムは、サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御装置とサービスを提供するためのサーバ装置とがサイト内ネットワークに設けられた通信システムであって、通信制御装置は、サイト外ネットワークにおける端末装置からサーバ装置へのサーバ名を特定したアクセス要求に対して生成されたサーバアドレスと当該端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、当該端末装置にサーバアドレスを送信する名前解決部と、サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されている場合に、当該端末装置とサーバ装置との通信を許可する通信制御部とを含むことを特徴とする。   A communication system according to the present invention is a communication system in which a communication control device for monitoring communication from an off-site network to an in-site network and a server device for providing a service are provided in the in-site network, the communication control device Register the server address generated in response to the access request specifying the server name from the terminal device to the server device in the off-site network and the address of the terminal device in the access control list, and When a server address that is paired with the address of the terminal device is registered in the access control list for communication from the name resolution unit that transmits the server address to the intra-site network from the terminal device in the off-site network, the terminal Device and server device Characterized in that it comprises a communication control unit to allow communication.

本発明によれば、サイト外ネットワークのクライアントからサイト内ネットワークのサーバへの通信にステートフルインスペクションを適用できる。 According to the present invention, stateful inspection can be applied to communication from a client of an off-site network to a server of the intra-site network.

以下、本発明の実施形態を図面を参照して説明する。   Embodiments of the present invention will be described below with reference to the drawings.

実施形態1.
図1は、本発明による通信制御装置を含む通信システムの第1の実施形態を示す説明図である。図1に示す通信システムには、サイト内ネットワーク100およびサイト外ネットワーク200が含まれ、サイト内ネットワーク100において、サイト外ネットワーク200との通信のための通信制御装置としてのゲートウェイ3が設置されている。また、図1には、サイト内ネットワーク100におけるサーバ1と、サイト外ネットワーク200におけるクライアント2とが示されている。また、サイト内ネットワーク100において、サーバ1とゲートウェイ3とはLAN40を介して通信を行う。 Embodiment 1. FIG.
FIG. 1 is an explanatory diagram showing a first embodiment of a communication system including a communication control device according to the present invention. The communication system shown in FIG. 1 includes an intra-site network 100 and an off-site network 200. In the intra-site network 100, a gateway 3 is installed as a communication control device for communication with the off-site network 200. . FIG. 1 shows a server 1 in the intra-site network 100 and a client 2 in the off-site network 200. In the intra-site network 100, the server 1 and the gateway 3 communicate via the LAN 40.

図2は、サイト内ネットワーク100におけるサーバ1およびゲートウェイ3の内部構成例を示すブロック図である。図2に示すように、サーバ1は、ローカルサイトサーバ11とメインサービス12とを含む。ローカルサイトサーバ11は、ゲートウェイ3からのアドレス生成の要求に応じて、動的にサーバアドレス(例えば、IPアドレス)を生成し、生成したサーバアドレスをゲートウェイ3に送信する機能を有する。なお、ローカルサイトサーバ11は、サーバアドレスを生成すると、サイト内ネットワーク100内に存在する他のサーバやネットワーク装置のアドレスと重複していないか否か確認し、重複がなければそのサーバアドレスをサーバ1の新たなサーバアドレスとする。   FIG. 2 is a block diagram illustrating an internal configuration example of the server 1 and the gateway 3 in the intra-site network 100. As shown in FIG. 2, the server 1 includes a local site server 11 and a main service 12. The local site server 11 has a function of dynamically generating a server address (for example, an IP address) in response to an address generation request from the gateway 3 and transmitting the generated server address to the gateway 3. When the local site server 11 generates a server address, the local site server 11 checks whether or not the address of another server or network device existing in the intra-site network 100 is duplicated. 1 new server address.

メインサービス12は、サーバ1の主要機能であり、クライアント2からのアクセス要求すなわちサービス要求に応じて、クライアント2に提供されるサービスである。実際には、サーバ装置におけるソフトウェア等で実現されるサービス提供を行うブロックがメインサービス12を提供する。なお、サーバアドレスは、ローカルサイトサーバ11によって動的に生成されるが、メインサービス12を提供するブロックが、メインサービス12の提供が終了するとサーバアドレスを削除する。   The main service 12 is a main function of the server 1 and is a service provided to the client 2 in response to an access request from the client 2, that is, a service request. Actually, a block for providing a service realized by software or the like in the server apparatus provides the main service 12. The server address is dynamically generated by the local site server 11, but the block providing the main service 12 deletes the server address when the provision of the main service 12 is completed.

本実施形態では、サービス提供を行うブロックがいかなるサービスを提供するかを問わない。すなわち、任意のサービスを提供するメインサービス12について本発明による通信制御装置および通信制御方法を適用することができる。また、図2に示された構成では、サーバ1において、ローカルサイトサーバ11の機能とメインサービス12とが実現されているが、ローカルサイトサーバ11の機能と、メインサービス12を提供するサーバ装置とが、別装置で実現されてもよい。   In this embodiment, it does not matter what service the block that provides the service provides. That is, the communication control device and the communication control method according to the present invention can be applied to the main service 12 that provides an arbitrary service. In the configuration shown in FIG. 2, the function of the local site server 11 and the main service 12 are realized in the server 1, but the function of the local site server 11 and the server device that provides the main service 12 are provided. However, it may be realized by a separate device.

クライアント2は、PC(パーソナルコンピュータ)やPDA(Personal Digital Assistant)等の端末装置であり、インターネットやネットワークに等に接続する機能(Ethernet(登録商標)やワイヤレスLAN等)を有している。すなわち、インターネットやネットワーク上のサービスを利用可能な端末である。クライアント2は、インターネット等の通信ネットワークを介してサーバ1におけるメインサービス12を利用する。   The client 2 is a terminal device such as a PC (Personal Computer) or PDA (Personal Digital Assistant), and has a function of connecting to the Internet, a network, or the like (Ethernet (registered trademark), wireless LAN, or the like). That is, it is a terminal that can use services on the Internet or a network. The client 2 uses the main service 12 in the server 1 via a communication network such as the Internet.

ゲートウェイ3は、名前解決部31と、ACL(アクセスコントロールリスト)32と、通信制御部33とを含む。名前解決部31は、クライアント2からサーバ名の名前解決要求を受けたことに応じて、クライアント2にサーバアドレスを送信する機能を有している。具体的には、名前解決部31は、クライアント2からサーバ名の名前解決要求を受けると、サーバ1におけるローカルサイトサーバ11にアドレス生成要求を行う。そして、ローカルサイトサーバ11からサーバアドレスを取得してクライアント2に提供する機能を有している。   The gateway 3 includes a name resolution unit 31, an ACL (access control list) 32, and a communication control unit 33. The name resolution unit 31 has a function of transmitting a server address to the client 2 in response to receiving a server name name resolution request from the client 2. Specifically, when receiving a server name name resolution request from the client 2, the name resolution unit 31 issues an address generation request to the local site server 11 in the server 1. It has a function of acquiring a server address from the local site server 11 and providing it to the client 2.

名前解決部31は、名前解決要求を行ったクライアント2のクライアントアドレス(例えば、IPアドレス)と、アドレス生成要求に応じてローカルサイトサーバ11から返送されたサーバアドレスをペアにして、ACL(アクセスコントロールリスト)32に登録する。ACL32はクライアントアドレスとサーバアドレスとのペア、およびポート等の情報を記録しているデータベースである。通信制御部33は、ACL32の情報を基にサイト外ネットワーク200におけるクライアント2からサイト内ネットワーク100のサーバ1への通信を制御する機能を有している。すなわち、通信制御部33は、クライアントアドレスとサーバアドレスとのペアやポート等の情報とマッチしていれば通信を許可し、マッチしていなければ通信を許可しない。   The name resolution unit 31 pairs the client address (for example, IP address) of the client 2 that made the name resolution request with the server address returned from the local site server 11 in response to the address generation request, and performs ACL (access control). List) 32. The ACL 32 is a database that records information such as a pair of a client address and a server address, and a port. The communication control unit 33 has a function of controlling communication from the client 2 in the off-site network 200 to the server 1 of the in-site network 100 based on the information of the ACL 32. That is, the communication control unit 33 permits communication if it matches information such as a client address / server address pair and port, and does not permit communication if they do not match.

サイト内ネットワーク100は、ゲートウェイ3によって保護されているネットワークである。すなわち、ゲートウェイ3は、サイト外ネットワーク200からの不正アクセス等からサイト内ネットワーク100を守る。   The intra-site network 100 is a network protected by the gateway 3. That is, the gateway 3 protects the in-site network 100 from unauthorized access from the off-site network 200.

次に、図1の説明図および図3のシーケンス図を参照して本発明の第1の実施形態の動作を説明する。   Next, the operation of the first embodiment of the present invention will be described with reference to the explanatory diagram of FIG. 1 and the sequence diagram of FIG.

サイト外ネットワーク200のクライアント2は、名前解決によるアドレス取得のために、ゲートウェイ3に、サイト内ネットワーク100のサーバ1のサーバ名(例えば、FQDN(Fully Qualified Domain Name )や、LDAP(Lightweight Directory Access Protocol )のDN(Distinghished Name)等)により、アドレス取得要求(名前解決要求)を送信する(ステップA1:図1における矢印Aも参照)。   The client 2 of the off-site network 200 acquires the server name (for example, Fully Qualified Domain Name (FQDN) or LDAP (Lightweight Directory Access Protocol) of the server 1 of the intra-site network 100 to acquire an address by name resolution. ) (DN (Distinghished Name) etc.)), an address acquisition request (name resolution request) is transmitted (step A1: see also arrow A in FIG. 1).

ゲートウェイ3の名前解決部31は、クライアント2のアドレス取得要求を受信すると、サーバ名にもとづいてサーバ1を特定し、サーバ1のローカルサイトサーバ11に、クライアント2用のサーバアドレス生成要求を送信する(ステップA2:図1における矢印Bも参照)。ゲートウェイの名前解決部31とサーバ1のローカルサイトサーバ11とは、サーバアドレス生成要求の送受信を行う際に、サイト内ネットワークでのみ到達可能なローカルアドレスを用いて通信する。また、名前解決部31は、クライアント2のクライアントアドレスを記憶しておく。   When the name resolution unit 31 of the gateway 3 receives the address acquisition request of the client 2, it identifies the server 1 based on the server name, and transmits a server address generation request for the client 2 to the local site server 11 of the server 1. (Step A2: See also arrow B in FIG. 1). The gateway name resolution unit 31 and the local site server 11 of the server 1 communicate with each other using a local address that can be reached only in the intra-site network when transmitting / receiving a server address generation request. The name resolution unit 31 stores the client address of the client 2.

サーバ1のローカルサイトサーバ11は、ゲートウェイ3の名前解決部31から、サーバアドレス生成要求を受けると、サーバアドレスを生成する(ステップA3)。なお、ローカルサイトサーバ11は、生成されるサーバアドレスが特定のアドレスに偏らないようにサーバアドレスを生成する。すなわち、ランダムなサーバアドレスを生成する。   Upon receiving a server address generation request from the name resolution unit 31 of the gateway 3, the local site server 11 of the server 1 generates a server address (step A3). The local site server 11 generates a server address so that the generated server address is not biased toward a specific address. That is, a random server address is generated.

また、サーバ1のローカルサイトサーバ11は、サーバアドレスをサーバ1に付与する際に、サイト内ネットワーク100に接続している他のサーバやネットワーク装置のアドレスと、ステップA3の処理で生成したアドレスが重複しているか否か確認する(ステップA4)。アドレスが重複していた場合には、再度ステップA3の処理を実行してサーバアドレスを生成する。   Further, when the local site server 11 of the server 1 assigns a server address to the server 1, the addresses of other servers and network devices connected to the intra-site network 100 and the address generated by the process of step A3 are used. It is confirmed whether or not they overlap (step A4). If the addresses are duplicated, the process of step A3 is executed again to generate a server address.

サーバ1のローカルサイトサーバ11は、サイト内ネットワーク100でのアドレス重複がないことを確認できると、サーバ1にサーバアドレスを付与する(ステップA5)。サーバ1にクライアント2用のサーバアドレスが付与されると、サーバアドレスによって、メインサービス12を提供するブロックへの着信が可能になる。   When the local site server 11 of the server 1 can confirm that there is no address duplication in the intra-site network 100, it gives a server address to the server 1 (step A5). When a server address for the client 2 is given to the server 1, an incoming call to the block that provides the main service 12 is enabled by the server address.

サーバ1のローカルサイトサーバ11は、サーバアドレスを付与した後に、ゲートウェイ3の名前解決部31にサーバアドレスを送る(ステップA6:図1における矢印Cも参照)。   The local site server 11 of the server 1 sends the server address to the name resolution unit 31 of the gateway 3 after assigning the server address (step A6: see also the arrow C in FIG. 1).

ゲートウェイ3の名前解決部31は、ステップA2の処理で記憶したクライアント2のクライアントアドレスと、サーバアドレスとのペアをACL32に登録する(ステップA7)。ACL32に登録したアドレスのペアは、パケットのクライアントアドレス(ソースアドレス)とサーバアドレス(ディスティネーションアドレス)とが一致していればゲートウェイ3が通信を許可するために使われる。なお、名前解決部31は、サーバ11のポート番号等のポートの情報もACL32に登録する。   The name resolution unit 31 of the gateway 3 registers the pair of the client address and the server address of the client 2 stored in the process of Step A2 in the ACL 32 (Step A7). The address pair registered in the ACL 32 is used by the gateway 3 to allow communication if the packet client address (source address) and server address (destination address) match. The name resolution unit 31 also registers port information such as the port number of the server 11 in the ACL 32.

そして、ゲートウェイ3の名前解決部31は、クライアント2にサーバアドレスを送信する(ステップA8:図1における矢印Dも参照)。また、サーバ11のポート番号等のポートの情報もクライアント2に送信するようにしてもよい。ゲートウェイ3の名前解決部31は、ステップA7の処理によって、サイト内ネットワーク100側からクライアント2に対して送信したデータをセッションログとして保存したことになる。   Then, the name resolution unit 31 of the gateway 3 transmits the server address to the client 2 (step A8: see also the arrow D in FIG. 1). Also, port information such as the port number of the server 11 may be transmitted to the client 2. The name resolution unit 31 of the gateway 3 stores the data transmitted from the intra-site network 100 side to the client 2 as a session log by the process of step A7.

その後、クライアント2は、セッションを切断しない状態で、サーバアドレスを用いてサーバ1のメインサービス12にサービス要求を送信する(ステップA9)。   Thereafter, the client 2 transmits a service request to the main service 12 of the server 1 using the server address without disconnecting the session (step A9).

ゲートウェイ3の通信制御部33は、クライアント2からサーバ1のメインサービス12へのサービス要求のパケットを通過させてよいかどうか確認する。具体的には、クライアント2が送信したクライアントアドレス(ソースアドレス)とペアになっているサーバアドレス(ディスティネーションアドレス)がACLに登録されているか否か確認する。ACL32にクライアントアドレスとサーバアドレスのペアが登録されていれば、通信制御部33は、通信を許可すると判断してメインサービス12を提供するブロック宛のサービス要求のパケットを通す(ステップA11:図1における矢印Eも参照)。ACL32に登録されていなければ、メインサービス12を提供するブロック宛のサービス要求のパケットを廃棄する(ステップA10)。よって、通信制御部33は、名前解決部31が保存したセッションログと矛盾しないパケットを通過させることになる。なお、通信制御部33は、ACL32に登録されているポート情報も参照して、通信を許可するか否か判断してもよい。   The communication control unit 33 of the gateway 3 confirms whether a service request packet from the client 2 to the main service 12 of the server 1 can be passed. Specifically, it is confirmed whether or not the server address (destination address) paired with the client address (source address) transmitted by the client 2 is registered in the ACL. If a pair of a client address and a server address is registered in the ACL 32, the communication control unit 33 determines that communication is permitted and passes a service request packet addressed to the block that provides the main service 12 (step A11: FIG. 1). (See also arrow E). If not registered in the ACL 32, the service request packet addressed to the block providing the main service 12 is discarded (step A10). Therefore, the communication control unit 33 passes packets that are consistent with the session log stored by the name resolution unit 31. Note that the communication control unit 33 may refer to the port information registered in the ACL 32 to determine whether to permit communication.

サーバ1のメインサービス12を提供するブロックは、クライアント2からのサービス要求を受信すると、提供サービスとなるデータを、ゲートウェイ3を経由してクライアント2に送信する(ステップA12:図1における矢印Fも参照)。   When the block that provides the main service 12 of the server 1 receives a service request from the client 2, it transmits data to be the provided service to the client 2 via the gateway 3 (step A 12: arrow F in FIG. 1 also) reference).

クライアント2は、サーバ1のメインサービス12を提供するブロックからサービスとなるデータを受信した後に、サービス終了通知(例えば、TCPのFIN パケット)をサーバ1に送信する(ステップA13)。   The client 2 receives service data from the block that provides the main service 12 of the server 1 and then sends a service end notification (for example, a TCP FIN packet) to the server 1 (step A13).

ゲートウェイ3の通信制御部33は、クライアント2からのサーバ1へのサービス終了通知のパケットを検出すると、サービス終了通知のパケットをサイト内ネットワーク100に通すとともに、ACL32のクライアントアドレスとサーバアドレスとのペアの情報を削除する(ステップA14)。ACL32からクライアント2のクライアントアドレスとサーバ1のサーバアドレスのペアの情報を削除することによって、その後、クライアント2からサーバ1のメインサービス12を提供するブロックに通信があった場合に通信パケットを通すことを許可しないようにする。   When the communication control unit 33 of the gateway 3 detects a service end notification packet from the client 2 to the server 1, the communication control unit 33 passes the service end notification packet through the intra-site network 100 and also sets a pair of the client address and server address of the ACL 32. Is deleted (step A14). By deleting the information of the client address of the client 2 and the server address of the server 1 from the ACL 32, the communication packet is then passed when there is a communication from the client 2 to the block that provides the main service 12 of the server 1. Do not allow.

サーバ1のメインサービス12を提供するブロックは、クライアントからのサービス終了通知を受けてサービスを終了する。そして、メインサービス12を提供するブロックは、サーバアドレスを削除する(ステップA15)。   The block that provides the main service 12 of the server 1 receives the service end notification from the client and ends the service. Then, the block that provides the main service 12 deletes the server address (step A15).

本実施形態は、クライアントからの通信の度に、サーバ1のサーバアドレスが変化する環境において特に有効である。本実施形態では、サイト外サーバ200のあるクライアントがメインサービス12を要求する場合に、サービスの要求のためのセッション(具体的には、アドレス取得要求(名前解決要求)に関する通信から開始されるセッション)においてのみ有効なサーバアドレス(アドレスXとする。)を生成し(ステップA1〜A5参照)、サービスを要求したクライアントへの応答に関してセッションログを保存し(ステップA7参照)、保存されているセッションログと矛盾しない実際のサービス要求のみが受け付けられる(ステップA10,A11参照)。そのセッションが終了すると、そのセッション中に有効であったサーバアドレスは削除されるので(ステップA,14,A15参照)、別セッションで、アドレスXに対してサービス要求されても、その要求は受け付けられない。   This embodiment is particularly effective in an environment in which the server address of the server 1 changes each time communication is performed from a client. In this embodiment, when a client of the off-site server 200 requests the main service 12, a session for requesting a service (specifically, a session started from communication related to an address acquisition request (name resolution request)) ) Is generated only in the server address (referred to as address X) (see steps A1 to A5), a session log is saved regarding the response to the client that requested the service (see step A7), and the saved session Only actual service requests that are consistent with the log are accepted (see steps A10 and A11). When the session ends, the server address that was valid during the session is deleted (see steps A, 14, and A15), so even if a service request is made for address X in another session, the request is accepted. I can't.

実施形態2.
次に、本発明の第2の実施形態を説明する。第2の実施形態における機器構成は、図2に示された構成と同じである。しかし、第2の実施形態では、ゲートウェイ3が、サーバアドレスを生成する。 Embodiment 2. FIG.
Next, a second embodiment of the present invention will be described. The device configuration in the second embodiment is the same as the configuration shown in FIG. However, in the second embodiment, the gateway 3 generates a server address.

図4のシーケンス図を参照して本発明の第2の実施形態の動作を説明する。図4に示すステップB1,B7〜B15の処理は、図3に示すステップA1,A7〜A15の処理と同じである。よって、以下、主として、ステップB2〜B6の処理を説明する。   The operation of the second embodiment of the present invention will be described with reference to the sequence diagram of FIG. The processing of steps B1, B7 to B15 shown in FIG. 4 is the same as the processing of steps A1, A7 to A15 shown in FIG. Therefore, the processing of steps B2 to B6 will be mainly described below.

ゲートウェイ3の名前解決部31は、クライアント2のアドレス取得要求を受信すると(ステップB1)、要求を行ったクライアント2のクライアントアドレスを記憶するとともに、サーバアドレスを生成する(ステップB2)。なお、名前解決部31は、生成されるサーバアドレスが特定のアドレスに偏らないようにサーバアドレスを生成する。   When receiving the address acquisition request of the client 2 (step B1), the name resolution unit 31 of the gateway 3 stores the client address of the client 2 that made the request and generates a server address (step B2). The name resolution unit 31 generates a server address so that the generated server address is not biased toward a specific address.

また、ゲートウェイ3の名前解決部31は、サーバアドレスをサーバ1に付与する際に、サイト内ネットワーク100に接続している他のサーバやネットワーク装置のアドレスと、ステップB2の処理で生成したアドレスが重複しているか否か確認する(ステップB3)。アドレスが重複していた場合には、再度ステップB2の処理を実行してサーバアドレスを生成する。名前解決部31は、ステップB3の処理で、例えばDAD(Duplicate Address Detection )技術を用いてアドレスの重複を検出する。   Further, when the name resolution unit 31 of the gateway 3 assigns a server address to the server 1, the address of another server or network device connected to the intra-site network 100 and the address generated in the process of step B2 are It is confirmed whether or not they overlap (step B3). If the addresses are duplicated, the process of step B2 is executed again to generate a server address. The name resolution unit 31 detects duplication of addresses using, for example, a DAD (Duplicate Address Detection) technique in the process of step B3.

名前解決部31は、生成したサーバアドレスを付与することを要求するために、サーバ1のサイトローカルサーバ11に、生成したサーバアドレスを含むサーバアドレス付与要求を送信する(ステップB4)。   The name resolution unit 31 transmits a server address assignment request including the generated server address to the site local server 11 of the server 1 in order to request that the generated server address be assigned (step B4).

サーバ1のサイトローカルサーバ11は、名前解決部31からのサーバアドレス付与要求を受けて、サーバ1にサーバアドレスを付与する(ステップB5)。そして、ローカルサーバ11は、サーバアドレスを付与すると、サーバアドレス付与完了をゲートウェイ3の名前解決部31に送信する(ステップB6)。   The site local server 11 of the server 1 receives the server address assignment request from the name resolution unit 31 and assigns a server address to the server 1 (step B5). And the local server 11 will transmit a server address grant completion to the name resolution part 31 of the gateway 3, if a server address is provided (step B6).

その後、サーバ1およびゲートウェイ3は、第1の実施形態の場合(ステップA7〜A15)と同様に処理を実行する(ステップB7〜B15)。   Thereafter, the server 1 and the gateway 3 execute processing (steps B7 to B15) as in the case of the first embodiment (steps A7 to A15).

本実施形態でも、サイト外サーバ200のあるクライアントがメインサービス12を要求する場合に、サービスの要求のためのセッション(具体的には、アドレス取得要求(名前解決要求)に関する通信から開始されるセッション)においてのみ有効なサーバアドレス(アドレスXとする。)を生成し(ステップB1〜B5参照)、サービスを要求したクライアントへの応答に関してセッションログを保存し(ステップB7参照)、保存されているセッションログと矛盾しない実際のサービス要求のみが受け付けられる(ステッB10,B11参照)。そのセッションが終了すると、そのセッション中に有効であったサーバアドレスは削除されるので(ステップB14,B15参照)、別セッションで、アドレスXに対してサービス要求されても、その要求は受け付けられない。   Also in this embodiment, when a client of the off-site server 200 requests the main service 12, a session for requesting a service (specifically, a session started from communication related to an address acquisition request (name resolution request)) ) Is generated only in the server address (referred to as address X) (see steps B1 to B5), a session log is saved regarding the response to the client that requested the service (see step B7), and the saved session Only actual service requests that are consistent with the log are accepted (see steps B10 and B11). When the session ends, the server address that was valid during the session is deleted (see steps B14 and B15), so even if a service request is made for address X in another session, the request is not accepted. .

以上に説明したように、上記の各実施形態では、サイト外ネットワーク200のクライアント2からサイト内ネットワーク100のサーバ1への通信にステートフルインスペクションを適用できる。名前解決の手段を用いて、名前解決後のサーバアドレスを用いてアクセスコントロールリストを動的に作ることができるからである。   As described above, in each of the above-described embodiments, stateful inspection can be applied to communication from the client 2 of the off-site network 200 to the server 1 of the intra-site network 100. This is because it is possible to dynamically create an access control list using the server address after name resolution by using name resolution means.

図5は、本発明による通信制御装置の主要構成を示すブロック図である。図5に示すように、本発明では、通信制御装置35は、サイト外ネットワーク200における端末装置25(上記の各実施形態におけるクライアント2に相当)からサイト内ネットワーク100におけるサーバ装置15へのサーバ名を特定したアクセス要求に対して生成されたサーバアドレスと端末装置25のアドレスとを対でアクセスコントロールリスト(ACL)32に登録するとともに、端末装置25にサーバアドレスを送信する名前解決部31と、サイト外ネットワーク200における端末装置(端末装置25とは限らない。)からのサイト内ネットワーク100に対する通信について、当該端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリスト32に登録されている場合に、当該端末装置とサーバ装置15との通信を許可する通信制御部33とを備えている。   FIG. 5 is a block diagram showing the main configuration of the communication control apparatus according to the present invention. As shown in FIG. 5, in the present invention, the communication control device 35 is configured such that the server name from the terminal device 25 (corresponding to the client 2 in each of the above embodiments) in the off-site network 200 to the server device 15 in the in-site network 100. A name resolution unit 31 that registers the server address generated in response to the access request specifying the address of the terminal device 25 in the access control list (ACL) 32 and transmits the server address to the terminal device 25; For communication from the terminal device (not necessarily the terminal device 25) in the off-site network 200 to the intra-site network 100, a server address that is paired with the address of the terminal device is registered in the access control list 32. The terminal device and the server device 15 And a communication control unit 33 to allow the communication.

また、通信制御部33は、端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリスト32に登録されていない場合には、端末装置とサーバ装置15との通信を許可しない。そして、通信制御部33は、通信制御部33が許可した通信のセッションが終了するときに、アクセスコントロールリスト32からサーバアドレスと端末装置15のアドレスとの対を削除する。   The communication control unit 33 does not permit communication between the terminal device and the server device 15 when the server address that is paired with the address of the terminal device is not registered in the access control list 32. Then, the communication control unit 33 deletes the pair of the server address and the address of the terminal device 15 from the access control list 32 when the communication session permitted by the communication control unit 33 ends.

また、サーバアドレスは、サーバ装置15によって生成されてもよいし、通信制御装置35において生成されてもよい。   Further, the server address may be generated by the server device 15 or may be generated by the communication control device 35.

本発明を、ファイアウォールやリモートアクセスといった、正しい機器からの通信のみ外部ネットワークから内部ネットワークに通過させるような通信用途に適用できる。   The present invention can be applied to communication applications such as a firewall and remote access that allow only communication from correct devices to pass from an external network to an internal network.

本発明による通信制御装置を含む通信システムの第1の実施形態を示す説明図である。It is explanatory drawing which shows 1st Embodiment of the communication system containing the communication control apparatus by this invention. サイト内ネットワークにおけるサーバおよびゲートウェイの内部構成例を示すブロック図である。It is a block diagram which shows the internal structural example of the server and gateway in a site network. 第1の実施形態の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of 1st Embodiment. 第2の実施形態の動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of 2nd Embodiment. 本発明による通信制御装置の主要構成を示すブロック図である。It is a block diagram which shows the main structures of the communication control apparatus by this invention. ステートフルインスペクションを適用可能な通信システムの一例を示す説明図である。It is explanatory drawing which shows an example of the communication system which can apply a stateful inspection.

符号の説明Explanation of symbols

1 サーバ(サーバ装置)
2 クライアント(クライアント装置)
3 ゲートウェイ
10 ゲートウェイ
11 ローカルサーバ
12 メインサービス
15 サーバ装置
20 クライアント(クライアント装置)
25 端末装置
30 サーバ(サーバ装置)
31 名前解決部
32 アクセスコントロールリスト(ACL)
33 通信制御部
35 通信制御装置
40 LAN
100 サイト内ネットワーク
200 サイト外ネットワーク 1 server (server device)
2 Client (client device)
3 Gateway 10 Gateway 11 Local Server 12 Main Service 15 Server Device 20 Client (Client Device)
25 Terminal device 30 Server (server device)
31 Name resolution part 32 Access control list (ACL)
33 Communication control unit 35 Communication control unit 40 LAN
100 intra-site network 200 off-site network

Claims (14)

サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御装置であって、
サイト外ネットワークにおける端末装置からサイト内ネットワークにおけるサーバ装置へのサーバ名を特定したアクセス要求に対して生成されたサーバアドレスと当該端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、当該端末装置に前記サーバアドレスを送信する名前解決部と、
サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスが前記アクセスコントロールリストに登録されている場合に、当該端末装置と前記サーバ装置との通信を許可する通信制御部とを備えた
ことを特徴とする通信制御装置。 A communication control device that monitors communication from an off-site network to an on-site network,
A server address generated in response to an access request specifying a server name from a terminal device in the off-site network to a server device in the site network and the address of the terminal device are registered in the access control list as a pair, and the terminal A name resolution unit for transmitting the server address to a device;
For communication from the terminal device in the off-site network to the intra-site network, when a server address that is paired with the address of the terminal device is registered in the access control list, communication between the terminal device and the server device is performed. A communication control device comprising: a communication control unit to permit. 通信制御部は、端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されていない場合に、当該端末装置とサーバ装置との通信を許可しない
請求項1記載の通信制御装置。 The communication control device according to claim 1, wherein the communication control unit does not permit communication between the terminal device and the server device when a server address paired with the address of the terminal device is not registered in the access control list. 通信制御部は、通信制御部が許可した通信のセッションが終了するときに、アクセスコントロールリストからサーバアドレスと端末装置のアドレスとの対を削除する
請求項1または請求項2記載の通信制御装置。 The communication control device according to claim 1, wherein the communication control unit deletes the pair of the server address and the address of the terminal device from the access control list when the communication session permitted by the communication control unit ends. 名前解決部は、端末装置からのアクセス要求に対してサーバアドレスを生成する
請求項1から請求項3のうちのいずれか1項に記載の通信制御装置。 The communication control device according to any one of claims 1 to 3, wherein the name resolution unit generates a server address in response to an access request from the terminal device. 通信制御装置は、サイト内ネットワークにおけるゲートウェイ装置である
請求項1から請求項4のうちのいずれか1項に記載の通信制御装置。 The communication control device according to any one of claims 1 to 4, wherein the communication control device is a gateway device in a site network. サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御方法であって、
サイト外ネットワークにおける端末装置からサイト内ネットワークにおけるサーバ装置へのサーバ名を特定したアクセス要求に対してサーバアドレスを生成し、
生成したサーバアドレスと端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、端末装置に前記サーバアドレスを送信し、
サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスが前記アクセスコントロールリストに登録されているか否か確認し、
サーバアドレスが前記アクセスコントロールリストに登録されている場合に、当該端末装置と前記サーバ装置との通信を許可する
ことを特徴とする通信制御方法。 A communication control method for monitoring communication from an off-site network to an on-site network,
A server address is generated in response to an access request specifying a server name from a terminal device in an off-site network to a server device in the site network,
Register the generated server address and terminal device address in pairs in the access control list, and send the server address to the terminal device,
For communication from the terminal device in the off-site network to the in-site network, check whether a server address that is paired with the address of the terminal device is registered in the access control list,
A communication control method, comprising: permitting communication between the terminal device and the server device when a server address is registered in the access control list. 端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されていない場合に、当該端末装置とサーバ装置との通信を許可しない
請求項6記載の通信制御方法。 The communication control method according to claim 6, wherein communication between the terminal device and the server device is not permitted when a server address that is paired with the address of the terminal device is not registered in the access control list. 許可した通信のセッションが終了するときに、アクセスコントロールリストからサーバアドレスと端末装置のアドレスとの対を削除する
請求項6または請求項7記載の通信制御方法。 8. The communication control method according to claim 6, wherein when the permitted communication session ends, a pair of a server address and a terminal device address is deleted from the access control list. サイト外ネットワークからサイト内ネットワークへの通信を監視する通信制御装置とサービスを提供するためのサーバ装置とがサイト内ネットワークに設けられた通信システムであって、
前記通信制御装置は、
サイト外ネットワークにおける端末装置から前記サーバ装置へのサーバ名を特定したアクセス要求に対して生成されたサーバアドレスと当該端末装置のアドレスとを対でアクセスコントロールリストに登録するとともに、当該端末装置に前記サーバアドレスを送信する名前解決部と、
サイト外ネットワークにおける端末装置からのサイト内ネットワークに対する通信について、当該端末装置のアドレスと対になるサーバアドレスが前記アクセスコントロールリストに登録されている場合に、当該端末装置と前記サーバ装置との通信を許可する通信制御部とを含む
ことを特徴とする通信システム。 A communication control apparatus for monitoring communication from an off-site network to an intra-site network and a server apparatus for providing a service are provided in the intra-site network,
The communication control device includes:
A server address generated in response to an access request specifying the server name from the terminal device in the off-site network to the server device and the address of the terminal device are registered in the access control list as a pair, and the terminal device A name resolution unit that sends the server address;
For communication from the terminal device in the off-site network to the intra-site network, when a server address that is paired with the address of the terminal device is registered in the access control list, communication between the terminal device and the server device is performed. And a communication control unit that permits the communication system. 通信制御部は、端末装置のアドレスと対になるサーバアドレスがアクセスコントロールリストに登録されていない場合に、当該端末装置とサーバ装置との通信を許可しない
請求項9記載の通信システム。 The communication system according to claim 9, wherein the communication control unit does not permit communication between the terminal device and the server device when a server address paired with the address of the terminal device is not registered in the access control list. 通信制御部は、通信制御部が許可した通信のセッションが終了するときに、アクセスコントロールリストからサーバアドレスと端末装置のアドレスとの対を削除する
請求項9または請求項10記載の通信システム。 11. The communication system according to claim 9, wherein the communication control unit deletes the pair of the server address and the address of the terminal device from the access control list when the communication session permitted by the communication control unit ends. サーバ装置は、端末装置からのアクセス要求に対してサーバアドレスを生成して通信制御装置に送信する
請求項9から請求項11のうちのいずれか1項に記載の通信システム。 The communication system according to any one of claims 9 to 11, wherein the server device generates a server address in response to an access request from the terminal device and transmits the server address to the communication control device. 名前解決部は、端末装置からのアクセス要求に対してサーバアドレスを生成する
請求項9から請求項11のうちのいずれか1項に記載の通信システム。 The communication system according to any one of claims 9 to 11, wherein the name resolution unit generates a server address in response to an access request from the terminal device. 通信制御装置は、サイト内ネットワークにおけるゲートウェイ装置である
請求項9から請求項13のうちのいずれか1項に記載の通信システム。 The communication system according to any one of claims 9 to 13, wherein the communication control device is a gateway device in a site network.
JP2008051842A 2008-03-03 2008-03-03 Communication control apparatus, communication control method and communication system Pending JP2009272659A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008051842A JP2009272659A (en) 2008-03-03 2008-03-03 Communication control apparatus, communication control method and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008051842A JP2009272659A (en) 2008-03-03 2008-03-03 Communication control apparatus, communication control method and communication system

Publications (1)

Publication Number Publication Date
JP2009272659A true JP2009272659A (en) 2009-11-19

Family

ID=41438880

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008051842A Pending JP2009272659A (en) 2008-03-03 2008-03-03 Communication control apparatus, communication control method and communication system

Country Status (1)

Country Link
JP (1) JP2009272659A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2011099320A1 (en) * 2010-02-12 2013-06-13 株式会社日立製作所 Information processing apparatus, information processing system, and information processing method
JP2014030099A (en) * 2012-07-31 2014-02-13 Fujitsu Ltd Communication device, program and routing method
JP2015525991A (en) * 2012-06-30 2015-09-07 ▲ホア▼▲ウェイ▼技術有限公司 Packet receiving method, deep packet inspection apparatus and system
JP2016158165A (en) * 2015-02-25 2016-09-01 キヤノン株式会社 Communication device, control method and program of communication device
JP2017220819A (en) * 2016-06-08 2017-12-14 良作 松村 Unauthorized access prevention function device and system, network security monitoring method and unauthorized access prevention program
JP2018125765A (en) * 2017-02-02 2018-08-09 日本電気株式会社 Communication system, communication control method, and communication program
JP2019068119A (en) * 2017-09-28 2019-04-25 日本電気株式会社 Communication device, communication system, communication control method, communication program and device connection control program
WO2024057557A1 (en) 2022-09-15 2024-03-21 株式会社産業セキュリティ構築 Diagnostic device and diagnosis method

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2011099320A1 (en) * 2010-02-12 2013-06-13 株式会社日立製作所 Information processing apparatus, information processing system, and information processing method
JP2015525991A (en) * 2012-06-30 2015-09-07 ▲ホア▼▲ウェイ▼技術有限公司 Packet receiving method, deep packet inspection apparatus and system
US9578040B2 (en) 2012-06-30 2017-02-21 Huawei Technologies Co., Ltd. Packet receiving method, deep packet inspection device and system
JP2014030099A (en) * 2012-07-31 2014-02-13 Fujitsu Ltd Communication device, program and routing method
JP2016158165A (en) * 2015-02-25 2016-09-01 キヤノン株式会社 Communication device, control method and program of communication device
JP2017220819A (en) * 2016-06-08 2017-12-14 良作 松村 Unauthorized access prevention function device and system, network security monitoring method and unauthorized access prevention program
JP2018125765A (en) * 2017-02-02 2018-08-09 日本電気株式会社 Communication system, communication control method, and communication program
US11303525B2 (en) 2017-02-02 2022-04-12 Nec Corporation Communication system, communication control method, and communication program
JP2019068119A (en) * 2017-09-28 2019-04-25 日本電気株式会社 Communication device, communication system, communication control method, communication program and device connection control program
US11303476B2 (en) 2017-09-28 2022-04-12 Nec Corporation Communication apparatus, communication system, communication control method, communication program and device connection control program
WO2024057557A1 (en) 2022-09-15 2024-03-21 株式会社産業セキュリティ構築 Diagnostic device and diagnosis method

Similar Documents

Publication Publication Date Title
US11811809B2 (en) Rule-based network-threat detection for encrypted communications
JP2009272659A (en) Communication control apparatus, communication control method and communication system
JP6007458B2 (en) Packet receiving method, deep packet inspection apparatus and system
US20170034174A1 (en) Method for providing access to a web server
CN109150616A (en) A kind of Intelligent gateway and its working method that can increase https entrance automatically
JP2007195217A (en) Method and system for routing packet from endpoint to gateway
JP2007528650A5 (en)
JP2007208317A (en) Domain name system
US10298543B2 (en) Real-time association of a policy-based firewall with a dynamic DNS hostname
CN105516171B (en) Portal keep-alive system and method, Verification System and method based on authentication service cluster
US11438309B2 (en) Preventing a network protocol over an encrypted channel, and applications thereof
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
JP2008504776A (en) Method and system for dynamic device address management
WO2017161965A1 (en) Method, device, and system for dynamic domain name system (dns) redirection
CN107040389A (en) Result for authentication, authorization, accounting agreement is reported
US20180013792A1 (en) Associating a policy-based firewall with a dynamic dns hostname
US20130262637A1 (en) Dns proxy service for multi-core platforms
CN104756462B (en) For carrying out the method and system of TCP TURN operation after restricted firewall
US7640580B1 (en) Method and apparatus for accessing a computer behind a firewall
JPWO2009066596A1 (en) Communication system, communication method, and authentication cooperation apparatus
US11310191B2 (en) Receiving device, receiving device control method, network system, network system control method, and medium
JP2003044377A (en) Information acquisition system, information processor, information processing method, program and medium
JP2004266547A (en) Network equipment
JP5084716B2 (en) VPN connection apparatus, DNS packet control method, and program
CN103491073A (en) Safety communication method based on TLSA protocol in C/S network architecture