JP2012044283A - 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム - Google Patents

通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム Download PDF

Info

Publication number
JP2012044283A
JP2012044283A JP2010181383A JP2010181383A JP2012044283A JP 2012044283 A JP2012044283 A JP 2012044283A JP 2010181383 A JP2010181383 A JP 2010181383A JP 2010181383 A JP2010181383 A JP 2010181383A JP 2012044283 A JP2012044283 A JP 2012044283A
Authority
JP
Japan
Prior art keywords
communication
communication control
policy
access
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010181383A
Other languages
English (en)
Inventor
Tsuneo Hamada
恒生 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Networks Co Ltd
Original Assignee
Oki Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Networks Co Ltd filed Critical Oki Networks Co Ltd
Priority to JP2010181383A priority Critical patent/JP2012044283A/ja
Publication of JP2012044283A publication Critical patent/JP2012044283A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 ネットワーク間の通信制御処理を効率的に行うことができる。
【解決手段】 本発明は、複数のネットワーク間の通信を制御する通信制御システムに関する。そして、通信制御システムは、通信制御装置とアクセス受付装置とを備え、通信制御装置は、通信制御の内容を記述したポリシー情報を1又は複数記憶する手段と、アクセス受付装置から通知されるポリシー情報を登録する手段とを有し、アクセス受付装置は、第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける手段と、第1の通信装置と第2の通信装置との間の通信に係るポリシー情報を作成して、通信制御装置に通知する手段とを有することを特徴とする。
【選択図】 図1

Description

本発明は、通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラムに関し、例えば、IPv6に対応したネットワークに設置されるファイアウォールに適用し得る。
家庭やオフィス等で、インターネットに接続する際には、内部網と外部網の境界にファイアウォール等の通信制御を行う装置を設置することにより、内部網と外部網のそれぞれに配置されたクライアントの端末とサーバが、それぞれの通信の方向に応じて、安全かつ高性能に通信を行うことができる。
また、近年IPv6に対応したファイアウォールも普及しつつあり、従来のIPv6に対応したファイアウォール装置としては、例えば、特許文献1に記載の装置がある。
特許公開2003−115880号公報
しかしながら、従来のIPv6に対応したファイアウォール装置等の通信制御装置では、外部網からの接続のためにセキュリティ通信の認証処理やIPv6アドレス変換処理等を行う際に、転送処理に十分な性能を確保できないという課題があった。
そのため、ネットワーク間の通信制御処理を効率的に行うことができる、通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラムが望まれている。
第1の本発明は、複数のネットワーク間の通信を制御する通信制御システムにおいて、(1)通信制御装置と、アクセス受付装置とを備え、(2)上記通信制御装置は、(2−1)当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、(2−2)上記アクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段とを有し、(3)上記アクセス受付装置は、(3−1)第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、(3−2)上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成して、上記通信制御装置に通知するポリシー情報通知手段とを有することを特徴とする。
第2の本発明は、複数のネットワーク間の通信を制御する通信制御システムを構成するアクセス受付装置であって、(1)第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、(2)上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成し、上記通信制御システムで上記ネットワークの間の通信を制御する通信制御装置に、作成したポリシー情報を通知するポリシー情報通知手段とを有することを特徴とする。
第3の本発明のアクセス受付プログラムは、(1)複数のネットワーク間の通信を制御する通信制御システムを構成するアクセス受付装置に搭載されたコンピュータを、(2)第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、(3)上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成し、上記通信制御システムで上記ネットワークの間の通信を制御する通信制御装置に、作成したポリシー情報を通知するポリシー情報通知手段として機能させることを特徴とする。
第4の本発明は、複数のネットワーク間の通信を制御する通信制御システムを構成する通信制御装置において、(1)当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、(2)上記通信制御システムで、第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付け、受付けたアクセス要求に基づいて、上記第1の通信装置と上記第2の通信装置との間の通信に係るポリシー情報を生成するアクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段とを有することを特徴とする。
第5の本発明の通信制御プログラムは、(1)複数のネットワーク間の通信を制御する通信制御システムを構成する通信制御装置に搭載されたコンピュータを、(2)当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、(3)上記通信制御システムで、第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付け、受付けたアクセス要求に基づいて、上記第1の通信装置と上記第2の通信装置との間の通信に係るポリシー情報を生成するアクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段として機能させることを特徴とする。
本発明によれば、ネットワーク間の通信制御処理を効率的に行うことができる。
実施形態に係るネットワークシステムの全体構成を示すブロック図である。 実施形態に係るファイアウォール装置の機能的構成について示した説明図である。 実施形態に係るポータルWeb装置の機能的構成について示した説明図である。 実施形態に係るポリシー表の内容例について示した説明図である。 実施形態に係るリダイレクト表の内容例について示した説明図である。 実施形態に係るファイアウォールシステムの動作例について示したシーケンス図(1)である。 実施形態に係るファイアウォールシステムの動作例について示したシーケンス図(2)である。
(A)主たる実施形態
以下、本発明による通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラムの一実施形態を、図面を参照しながら詳述する。なお、この実施形態のアクセス受付装置及び通信制御装置は、ポータルWeb装置及びファイアウォール装置である。
(A−1)実施形態の構成
図1は、この実施形態のネットワークシステム1の全体構成を示すブロック図である。
ネットワークシステム1には、内部網N1と外部網N2が配置されている。そして、内部網N1と外部網N2との間は、通信制御システム10で隔てられており、内部網N1と外部網N2との間の通信は、通信制御システム10を介して行われるものとする。
また、ネットワークシステム内には、管理端末40、3台のサーバ50−1〜50−3、及び3台の端末60−1〜60−3が配置されているものとする。なお、それぞれのネットワークに配置される端末やサーバ等の通信装置の数や種類は限定されないものである。
内部網N1には、管理端末40、サーバ50−1、サーバ50−2、及び端末60−3が配置されているものとする。また、外部網N2には、端末60−1、端末60−2、及びサーバ50−3が配置されているものとする。
この実施形態では、例として、内部網N1及び外部網N2では、IPv6が採用されているものとする。また、サーバ50−1、サーバ50−2、端末60−3には、それぞれ、内部網N1のアドレス空間に属する、IPv6のアドレスV6a、V6b、V6cが付与されているものとする。さらに、端末60−1、端末60−2、サーバ50−3には、それぞれ外部網N2のアドレス空間に属するIPv6のアドレスV6p、V6q、V6rが付与されているものとする。
また、通信制御システム10は、ポータルWeb装置20及びファイアウォール装置30を有しており、ポータルWeb装置20とファイアウォール装置30は連携して動作している。
ポータルWeb装置20は、通信制御システム10において、端末60からサーバ50へのアクセス要求を受付ける処理等を行う。そして、ポータルWeb装置20は、端末60に対する認証処理や、ファイアウォール装置30経由でサーバ50にアクセスするためのリダイレクト先を端末60に通知する処理や、端末60からのアクセス要求に係る静的ポリシーを作成してファイアウォール装置30に通知する等の処理を行う。
ファイアウォール装置30は、内部網N1と外部網N2との間の通信を制御するものであり、ここでは、後述するポリシー表307aの内容にしたがって受信したパケットを処理(導通、廃棄等)する。また、ファイアウォール装置30は、ポータルWeb装置20から通知される静的ポリシーを、ポリシー表307aに設定し、ポリシー表307aの内容に従ってポータルWeb装置20へのアクセス要求に係る通信を導通させる処理等を行うものとする。
サーバ50と端末60との間の通信に用いるプロトコルは限定されないものであるが、以下では、サーバ50と端末60との間ではHTTP(Hypertext Transfer Protocol)により通信が行われるものとして説明する。また、ネットワークシステム1では、外部網N2に配置された端末60は、内部網N1に配置されているサーバ50へアクセスする際には、ポータルWeb装置20へHTTPを用いてアクセス要求を行う。そして、外部網N2に配置された端末60は、ポータルWeb装置20から、リダイレクト先のURLが通知されると、そのURLを用いて、ファイアウォール装置30経由で、内部網N1に配置されているサーバ50にアクセスするものとする。
図1において、In側は、ファイアウォール装置30の内部網N1側のアクセスを示し、Out側は、外部網N2側のアクセスを示している。
また、ポータルWeb装置20は、外部網N2に接続しており、外部網N2に属するIPv6アドレスであるV6xが付与されているものとする。なお、図1に示すIPv6アドレスは、全てグローバルアドレスであるものとする。
図2は、ファイアウォール装置30内部の機能的構成について示した説明図である。
ファイアウォール装置30は、管理部301、1stパケット処理部302、ポリシー接続監視部303、In側送受信部304、In側L2フレーム処理部305、In側IPv6処理部306、ポリシー検索部307、Out側IPv6処理部308、Out側L2フレーム処理部309、及びOut側送受信部310を有している。
ファイアウォール装置30は、CPU、ROM、RAM、EEPROM、ハードディスクなどのプログラムの実行構成、及び、他の通信装置と通信をするためのインタフェースを有する情報処理装置(1台に限定されず、複数台を分散処理し得るようにしたものであっても良い。)に、実施形態の通信制御プログラム等をインストールすることにより構築しても良く、その場合でも機能的には上述の図2のように示すことができる。
管理部301は、ファイアウォール装置30内の各部への制御や、ポータルWeb装置20との連携(ポリシー設定等)等を行う。なお、管理部301において、ポータルWeb装置20との連携は、管理系送受信部301aを用いて行うものとする。
In側送受信部304は、内部網N1と接続するためのインタフェースである。また、Out側送受信部310は、外部網N2と接続するためのインタフェースである。
In側L2フレーム処理部305、Out側L2フレーム処理部309は、ファイアウォール装置30が送受信するフレーム(イーサネット(登録商標)フレーム)の処理を行うものである。In側L2フレーム処理部305は、In側送受信部304が送受信するフレームの処理を行い、Out側L2フレーム処理部309は、Out側送受信部310が送受信するフレームの処理を行う。
In側IPv6処理部306、Out側IPv6処理部308は、ファイアウォール装置30が送受信するフレームについて、IPv6に係る処理を行うものである。In側IPv6処理部306、Out側IPv6処理部308は、例えば、ファイアウォール装置30が受信するフレームについてIPv6のヘッダチェック等を行う。In側IPv6処理部306は、In側送受信部304が送受信するフレームの処理を行い、Out側IPv6処理部308は、Out側送受信部310が送受信するフレームの処理を行う。
なお、In側送受信部304、Out側送受信部310、In側L2フレーム処理部305、Out側L2フレーム処理部309、In側IPv6処理部306、及びOut側IPv6処理部308は、既存のファイアウォール装置と同様のものを適用することができる。
ポリシー検索部307は、Out側IPv6処理部308又はIn側IPv6処理部306から与えられたパケットについて、後述するポリシー表307aの内容に従った処理を行う。
1stパケット処理部302は、内部網N1を起点として外部網N2ヘアクセスするそれぞれのセッションにおいて、内部網N1側から送信された最初のパケットに対して、所定の項目の識別子を抽出し、ポリシー表307aに動的ポリシーを設定するものである。
1stパケット処理部302は、例えば、ポリシー表307aに示す5タプル(DA、SA、PID、Dp、Sp)の識別子を抽出して、ポリシー表307aに設定する動的ポリシーを生成する。なお、「DA」は宛先アドレス(Destination Adress)、「SA」は送信元アドレス(Source Adress)、PIDはプロトコル識別子(Protocol IDentifier)、「Dp」は宛先ポート「Destination Port」、Spは送信元ポート「Source Port」をそれぞれ示している。
ポリシー接続監視部303は、ポリシー表307aの統計情報から各ポリシーに適合するパケットの導通状態を監視し、通信が終了したセッションに係るポリシーを、ポリシー表307aから削除する。
図3は、ポータルWeb装置20内部の機能的構成について示した説明図である。
ポータルWeb装置20は、管理部201、送受信部202、L2フレーム処理部203、IPv6処理部204、Webサーバ機能部205、リダイレクト/端末認証処理部206、リダイレクト表206a、及びポリシー作成/設定処理部207を有している。
ポータルWeb装置20は、上述のファイアウォール装置30と同様の情報処理装置に、実施形態のアクセス受付プログラム等をインストールすることにより構築しても良く、その場合でも機能的には上述の図3のように示すことができる。
管理部201は、ポータルWeb装置20内の各部への制御(データ設定等)や、ファイアウォール装置30及び管理端末40との連携(ポリシー設定等)を行う。
ファイアウォール装置30及び管理端末40との連携との連携は、管理系送受信部201aにより行われる。
送受信部202は、外部網N2と接続するためのインタフェースである。送受信部202には、上述のV6xのIPアドレスが付与されている。
L2フレーム処理部203は、ポータルWeb装置20が送受信するフレーム(イーサネットフレーム)の処理を行うものである。
IPv6処理部204は、ポータルWeb装置20が送受信するフレームについて、IPv6に係る処理を行うものである。
送受信部202、L2フレーム処理部203及びIPv6処理部204は、例えば、既存のWebサーバ(HTTPサーバ)等の装置と同様のものを適用することができる。
Webサーバ機能部205は、HTTPプロトコルの処理等を行う。Webサーバ機能部205は、例えば、端末60から受信したHTTPのパケット(信号)を解析したり、端末60へ応答するHTTPのパケット(信号)の生成等を行う。また、Webサーバ機能部205は、端末60から、アクセス要求があった場合に、リダイレクト先の検索処理や認証処理等をリダイレクト/端末認証処理部206に依頼する。
リダイレクト/端末認証処理部206は、管理端末40によりあらかじめ登録されているリダイレクト表206aを用いて、ポータルWeb装置20にアクセス要求してきた端末60の認証を行い、さらにリダイレクト先のURLを検索し、Webサーバ機能部205を介して端末60に返答する。リダイレクト表206aの詳細については、後述する。
ポリシー作成/設定処理部207は、リダイレクト/端末認証処理部206で認証が成功した端末60から送信されたアクセス要求に係るパケットから、上述の5タプル(DA、SA、PID、Dp、Sp)の識別子を抽出して、ポリシー表307aに設定する静的ポリシーを生成する。そして、ポリシー作成/設定処理部207が作成した静的ポリシーは、管理部201(管理系送受信部201a)を通じて、ファイアウォール装置30に与えられ設定される。
管理端末40は、ユーザの操作に応じて、ポータルWeb装置20におけるリダイレクト表206aの内容を編集する装置である。管理端末40で、ユーザに操作させるインタフェースの形式は限定されないものであるが、例えば、GUI(メニュー操作等)の形式を用いるようにしても良いし、コマンドラインの形式を用いるようにしても良い。また、管理端末40の機能を、ポータルWeb装置20側に持たせるようにしてもよい。なお、図3において、図示は省略しているが、ポータルWeb装置20は、内部網N1に接続するインタフェースを別途備えて、管理端末40と接続しているものとする。
図4は、ポリシー表307aの内容例について示した説明図である。
ポリシー表307aには、それぞれのデータ(行)について「No」、「In/Out」、「DA」、「SA」、「PID」、「Dp」、「Sp」、「アクション」、及び「統計情報」の項目の情報が格納されている。
「No」の項目は、ポリシー表307aにおける当該データの識別番号を示している。
「In/Out」の項目は、当該データが対象とするパケットの方向を示している。「In/Out」の項目が「In」の場合には、当該データがIn側からのパケット(内部網N1から外部網N2への方向のパケット)を対象としていることを示している。また、「In/Out」の項目が「Out」の場合には、Out側からのパケット(外部網N2から内部網N1への方向のパケット)を対象としていることを示している。
「DA」、「SA」、「PID」、「Dp」、及び「Sp」の項目は、当該データが対象とするパケットの識別子を示している。なお、それぞれの識別子の記述において、「*」は、文字数不定のワイルドカードを示す記号であるものとする。
「アクション」は、当該データが対象とするパケット(すなわち、当該データのパケット識別子に一致するパケット)に対する、ファイアウォール装置30の処理内容を示している。例えば、図4では、「アクション」の項目が「導通許可」である場合には、当該データが対象とするパケットを導通(通過)させることを示し、「アクション」の項目が「導通不可」である場合には、当該ポリシーが対象とするパケットを導通(通過)させない(廃棄等を行う)ことを示す。
「統計情報」の項目は、当該データが対象とするパケットが導通した数を示すカウンタである。
例として、図4では、ポリシーP1に対応するデータとして、Noが1、2の組のデータが登録されている。また、ポリシーP2に対応するデータとしてNoが、3、4の組のデータが登録されている。さらに、ポリシーP3に対応するデータとしてNoが、5、6の組のデータが登録されている。さらにまた、ポリシーPn−1に対応するデータとしてNoがn−1のデータが登録されている。また、ポリシーPnに対応するデータとしてNoがnのデータが登録されている。
なお、ポリシーP1、P2は、ポータルWeb装置20により設定された静的ポリシーであり、ポリシーP3は、1stパケット処理部302により設定された動的ポリシーであるものとする。また、ポリシーPn−1、Pnは、予め設定されているポリシーであるものとする。
ポリシー検索部307では、検索対照のパケットの処理について、適用するデータ(行)をポリシー表307aから検索する際に、Noが1のデータ(行)から順番に検索を行い、適合するデータ(行)が検出された場合には、検索を終了して、検出したデータ(行)の処理(アクションの項目に記述された処理)の適用を決定する。
ポリシーPn−1(Noがn−1のデータ)は、内部網N1から外部網N2へのパケットで、Noが1からn−2までのいずれのポリシーにも適合しなかったパケットに適用するポリシーである。ポリシーPn−1(Noがn−1のデータ)では、該当するパケットに対するアクションとして、1stパケット処理部302へ送信する処理を行う「1stパケット処理」が記述されている。
ポリシーPn(Noがnのデータ)は、外部網N2から内部網N1へのパケットで、Noが1からn−1までのいずれのポリシーにも適合しなかったパケットに適用するポリシーである。ポリシーPn(Noがnのデータ)では、該当するパケットに対するアクションとして、「導通不可」が記述されおり、廃棄されることになる。
図5は、リダイレクト表206aの内容例について示した説明図である。
リダイレクト表206aの内容は、管理端末40からの制御に応じて、ポータルWeb装置20のリダイレクト/端末認証処理部206により編集されるものであり、該当するサーバアドレスを直書きしたURLがリダイレクト先となり、リダイレクトURLとして登録されている。
リダイレクト表206aには、それぞれのデータ(行)について「No」、「ID」、「パスワード」、「リダイレクトURL」の項目の情報が格納されている。
「No」の項目は、リダイレクト表206aにおける当該データの識別番号を示している。
「ポータルURL」の項目は、当該データのポータルURL(端末からアクセスを受ける際のURL)を示している。
「リダイレクトURL」の項目は、当該データのポータルURLに対応するリダイレクト先のURLを示している。
「ID」、「パスワード」の項目は、端末から、当該データに係るURLへのアクセスを受け付ける際のID及びパスワードを示している。ここでは、説明を簡易にするため、ポータルWeb装置20における端末60への認証は、単にIDとパスワードを用いた認証であるものとするが、認証方法は限定されず、例えば、電子署名による証明書を用いた認証処理を用いるようにしても良い。
(A−2)実施形態の動作
次に、以上のような構成を有するこの実施形態の通信制御システム10の動作を説明する。
図6、図7は、通信制御システム10の動作の例について示したシーケンス図である。
[リダイレクト表の登録]
まず、ここでは、ユーザにより管理端末40が操作され、ポータルWeb装置20のリダイレクト表206aへ、サーバ50−1、50−2のデータが登録されたものとする(S101〜S103)。
ここでは、リダイレクト表206aにおいて、サーバ50−1のポータルURLは「http://www.sample.com/a/」、リダイレクトURLは「http://[V6a]/」(上述の通り、[V6a]は、サーバ50−1のIPアドレスを示すものである)、IDは「p123」、「パスワードは「xxxx」であるものとする。また、リダイレクト表206aにおいて、サーバ50−2のポータルURLは「http://www.sample.com/b/」、リダイレクトURLは「http://[V6b]/」(上述の通り、[V6b]は、サーバ50−2のIPアドレスを示すものである)、IDは「q456」、パスワードは「yyyy」であるものとする。
そして、ステップS103の処理後のリダイレクト表206aの内容は、図5に示す内容であるものとする。図5では、Noが1のデータがサーバ50−1のデータであり、Noが2のデータがサーバ50−2のデータとなっている。
[端末60−1とサーバ50−1との間の通信]
そして、その後、端末60−1から、ポータルWeb装置20へ、HTTPを用いて、サーバ50−1のポータルURL(http://www.sample.com/a/)に対するアクセス要求が送信されたものとする(S104)。なお、ステップS104では、端末60−1から、ポータルURLに対するアクセス要求と、当該ポータルURLにアクセスするための認証情報(ID及びパスワード)も送信されたものとするが、別途ポータルWeb装置20から端末へ認証情報の要求(例えば、ログイン画面の送信等)に応じて、端末側から送信するようにしても良く、端末から認証情報を送信するタイミングは限定されないものである。
そして、ポータルWeb装置20は、リダイレクト表206aから、ポータルURL(http://www.sample.com/a/)に対応するID及びパスワード(p123及びxxxx)を取得して、端末60−1から取得した認証情報と照合し、認証を行う(S105)。
ステップS105では、端末60−1から取得した認証情報(ID及びパスワード)と、リダイレクト表206aに登録された内容は一致し、端末60−1に対する認証は成功したものとして以降の説明を行う。なお、ステップS105で、端末60−1に対する認証が失敗した場合には、端末60−1からのアクセス要求を受付けない(例えば、アクセス拒否を示すパケットを返答したり、アクセス要求を無視する)。
そして、ポータルWeb装置20は、リダイレクト表206aを検索して、ポータルURL(http://www.sample.com/a/)に対応する、リダイレクトURL(http://[V6a]/)を取得する(S106)。
また、ポータルWeb装置20は、ファイアウォール装置30のポリシー表307aに設定するためのポリシーとして、端末60−1とサーバ50−1との間のHTTP通信を許可する静的ポリシー(上述の図4におけるポリシーP1に相当)を作成し(S107)、ファイアウォール装置30に送信する。そして、ファイアウォール装置30では、ポータルWeb装置20から受信したポリシーを、ポリシー表307aに設定する(S108)。
さらに、ポータルWeb装置20は、端末60−1へ、ポータルURLへのアクセス要求に対する応答として、上述のステップS106で取得した端末60−1へ、リダイレクトURL(http://[V6a]/)を応答する(S109)。
ポータルWeb装置20からリダイレクトURL(http://[V6a]/)の応答を受けると、端末60−1は、そのリダイレクトURL(「http://[V6a]/」)へHTTPを用いてアクセス要求を送信し(S110)、そのアクセス要求に対する返答が、サーバ50−1から端末60−1に送信される(S111)。そして、その後、端末60−1とサーバ50−1との間のHTTP通信が開始する。
なお、端末60−1から、サーバ50−1への通信経路は、ファイアウォール装置30を経由するように、外部網N2のルータ、及び又は、端末60−1に設定されているものとする。また、上述のステップS110、S111の時点では、ポリシー表307aには、上述のポリシーP1が既に設定されているため、端末60−1とサーバ50−1との間のHTTP通信のパケットは、ファイアウォール装置30を通過することができる。
そして、その後、サーバ50−1と端末60−1との間の通信が終了すると、ポリシー接続監視部303により、ポリシー表307a上のポリシーP1も削除されることになる(S112)。
ポリシー接続監視部303が、ポリシーP1に係る通信(サーバ50−1と端末60−1との間の通信)が終了したことを検知する手段は限定されないものであるが、例えば、ポリシー表307aにおいて、ポリシーP1のデータで、統計情報の項目のカウンタを監視し、所定時間カウンタ値が増加しない場合に、通信が終了したと検知するようにしても良い。また、サーバ50−1又は端末60−1から、ファイアウォール装置30が、ポリシーP1に係るセッションについてセッション終了を示す制御情報を含むパケットを受信した場合に、ポリシーP1に係る通信が終了したと検知するようにしても良い。
[端末60−2とサーバ50−2との間の通信]
そして、その後、端末60−2から、ポータルWeb装置20へ、HTTPを用いて、サーバ50−2のポータルURL(http://www.sample.com/b/)に対するアクセス要求と認証情報(ID及びパスワード)とが送信されたものとする(S113)。
そして、ポータルWeb装置20では、リダイレクト表206aから、ポータルURL(http://www.sample.com/b/)に対応するID及びパスワード(「q456」及び「yyyy」)が取得され、端末60−2から取得した認証情報と照合され、認証が成功したものとする(S114)。
そして、ポータルWeb装置20は、リダイレクト表206aを検索して、ポータルURL(http://www.sample.com/b/)に対応する、リダイレクトURL(http://[V6b]/)を取得する(S115)。
また、ポータルWeb装置20は、ファイアウォール装置30のポリシー表307aに設定するためのポリシーとして、端末60−2とサーバ50−2との間のHTTP通信を許可する静的ポリシー(上述の図4におけるポリシーP2に相当)を作成し(S116)、ファイアウォール装置30に送信する。そして、ファイアウォール装置30では、ポータルWeb装置20から受信したポリシーを、ポリシー表307aに設定する(S117)。
さらに、ポータルWeb装置20は、端末60−2へ、ポータルURLへのアクセス要求に対する応答として、上述のステップS115で取得した端末60−2へ、リダイレクトURL(http://[V6b]/)を応答する(S118)。
ポータルWeb装置20からリダイレクトURL(http://[V6b]/、サーバ50−2)の応答を受けると、端末60−2は、そのリダイレクトURL(「http://[V6b]/」、サーバ50−2)へHTTPを用いてアクセス要求を送信し(S119)、そのアクセス要求に対する返答が、サーバ50−2から端末60−2に送信されたものとする(S120)。
そして、その後、サーバ50−2と端末60−2との間のセッションが終了すると、ポリシー表307a上のポリシーP2も削除されることになる(S121)。
[端末60−3とサーバ50−3との間の通信]
そして、その後、内部網N1に配置された端末60−3から、外部網N2に配置されたサーバ50−3へ、HTTPを用いたアクセス要求が送信されたものとする(S122)。
端末60−3から、サーバ50−3への通信経路は、ファイアウォール装置30を経由するように、内部網N1内のルータ、及び又は、端末60−1に設定されているものとする。
ステップS122の時点では、端末60−3とサーバ50−3との間のHTTP通信を導通させるポリシーは、ポリシー表307aには記載されていないものとすると、ファイアウォール装置30のポリシー検索部307では、端末60−3から送信されたアクセス要求のパケットに対して、上述の図4に示すポリシーPn−1が適用され(Noが1からn−2までのいずれのポリシーにも適合しないためポリシーPn−1が適用される)、当該パケットは1stパケット処理部302に送られる。そして、当該パケットは、ファイアウォール装置30から宛先であるサーバ50−3へ向けて送出される。
そして、1stパケット処理部302は、与えられたパケットのヘッダを参照し、端末60−3とサーバ50−3との間のHTTP通信を導通させる動的ポリシー(上述の図4に示すポリシーP3)を作成して、ポリシー表307aに設定する(S123)。
そして、端末60−3からのアクセス要求を受信したサーバ50−3は、端末60−3へ、そのアクセス要求に対する応答のパケットを送信し(S124)、サーバ50−3と端末60−3とのHTTP通信が開始したものとする。
ステップS124の時点では、上述のステップS123により、ポリシー表307aにポリシーP3が設定されているため、サーバ50−3から端末60−3へのパケットは、ファイアウォール装置30を導通することができる。
そして、その後、サーバ50−3と端末60−3との間のセッションが終了すると、ポリシー表307a上のポリシーP3も削除されることになる(S125)。
(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
通信制御システム10では、外部網N2から内部網N1へのアクセスにおいて、端末認証及び静的ポリシー作成を行うポータルWeb装置20と、端末60とサーバ50間の転送処理を行うファイアウォール装置30が分離することで、ファイアウォール装置30転送処理において十分な性能を確保できる。
また、通信制御システム10では、内部網N1が大規模化した場合(例えば、配置される端末等の通信装置が増加した場合)には、転送処理を担保するファイアウォール装置30を増強することで拡張性を確保できる。
さらに、通信制御システム10では、外部網N2からのアクセスにおいて、端末60の認証方式を変更するなど、メンテナンスを行う場合にポータルWeb装置20のみを対象にできることで、転送処理を行うファイアウォール装置30への影響を回避できる。
さらにまた、通信制御システム10では、外部網N2の認証されない端末60に対して、公開するIPv6アドレスをポータルWeb装置20のみとすることがでる。これにより、ファイアウォール装置30を直接的に脅威の対象となりにくくさせることができる。また、DoS攻撃(Denial of Service attack)等が発生した場合、内部網N1から外部網N2へのアクセスヘの影響を回避できる。
(B)他の実施形態
本発明は、上記の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B−1)上記の実施形態では、通信制御システム10には、内部網N1と外部網N2の2つのネットワークのみが接続されているが、3つ以上のネットワークを接続するようにしても良い。例えば、通信制御システム10に、一つの内部網と、複数の外部網を接続するようにしても良い。
(B−2)上記の実施形態において、ポータルWeb装置20から端末60へリダイレクト先のURLを通知し、端末60では通知されたURLを用いてサーバ50へアクセスをしている。しかし、端末60側で予めリダイレクト先のURLが把握されている場合には、ポータルWeb装置20から端末60へリダイレクト先のURLを通知する必要はない。
(B−3)上記の実施形態では、端末60とサーバ50との間では、HTTPを用いた通信を行うものとして説明したが、適用するプロトコルは限定されないものであり、例えば、FTP(File Transfer Protocol)や、HTTPS(HTTP Over Secure Socket Layer)等であっても良い。
(B−4)上記の実施形態では、通信制御システム10はIPv6に対応するものとして説明したが、対応するプロトコルの種類は限定されないものであり、例えば、IPv4等であっても良い。
(B−5)上記の実施形態では、本発明の通信制御装置をファイアウォール装置に適用した例について説明したが、その他の通信制御を行うネットワーク装置に適用するようにしても良い。例えば、図4に示すようなポリシー表に基づいて、通信制御処理(パケットフィルタリング等)を行うネットワーク装置(例えば、ルータ等)に本発明の通信制御装置を適用するようにしても良い。
1…ネットワークシステム、10…通信制御システム、20…ポータルWeb装置、30…ファイアウォール装置、301…管理部、301a…管理系送受信部、302…1stパケット処理部、303…ポリシー接続監視部、304…In側送受信部、305…In側L2フレーム処理部、306…In側IPv6処理部、307…ポリシー検索部、307a…ポリシー表、308…Out側IPv6処理部、309…Out側L2フレーム処理部、310…Out側送受信部、20…ポータルWeb装置、201…管理部、201a…管理系送受信部、202…送受信部、203…L2フレーム処理部、204…IPv6処理部、205…Webサーバ機能部、206…リダイレクト/端末認証処理部、206a…リダイレクト表、207…ポリシー作成/設定処理部、40…管理端末、50、サーバ50−1〜50−3…サーバ、60、60−1〜60−3…端末、N1…内部網、N2…外部網。

Claims (8)

  1. 複数のネットワーク間の通信を制御する通信制御システムにおいて、
    通信制御装置と、アクセス受付装置とを備え、
    上記通信制御装置は、
    当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、
    上記アクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段とを有し、
    上記アクセス受付装置は、
    第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、
    上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成して、上記通信制御装置に通知するポリシー情報通知手段とを有する
    ことを特徴とする通信制御システム。
  2. 上記アクセス受付装置は、上記第1の通信装置から認証情報が与えられると、その認証情報に基づいて認証処理を行う認証処理手段をさらに備え、
    上記受付手段は、上記認証処理手段による認証処理が成功した場合にのみ、上記第1の通信装置からのアクセス要求を受付ける
    ことを特徴とする請求項1に記載の通信制御システム。
  3. 上記アクセス受付装置は、
    当該アクセス受付装置がアクセス要求を受付けるアクセス先のアクセス先識別情報ごとに、対応するリダイレクト先のリダイレクト先識別情報を記憶するリダイレクト先記憶手段と、
    上記リダイレクト先記憶手段が記憶している内容を検索して、上記第1の通信装置から受付けたアクセス要求に含まれるアクセス先識別情報に対応するリダイレクト先識別情報を取得し、上記第1の通信装置へ通知するリダイレクト先通知手段と
    を有することを特徴とする請求項1又は2に記載の通信制御システム。
  4. 上記アクセス受付装置は、
    当該アクセス受付装置がアクセス要求を受付けるアクセス先のアクセス先識別情報ごとに、対応する認証情報を記憶する認証情報記憶手段をさらに備え、
    上記認証処理手段は、上記認証情報記憶手段が記憶している内容を検索して、上記第1の通信装置から受付けたアクセス要求に含まれるアクセス先識別情報に対応する認証情報を取得し、取得した認証情報と、上記第1の通信装置から与えられた認証情報とを照合することにより、上記認証処理を行う
    ことを特徴とする請求項2に記載の通信制御システム。
  5. 複数のネットワーク間の通信を制御する通信制御システムを構成するアクセス受付装置であって、
    第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、
    上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成し、上記通信制御システムで上記ネットワークの間の通信を制御する通信制御装置に、作成したポリシー情報を通知するポリシー情報通知手段と
    を有することを特徴とするアクセス受付装置。
  6. 複数のネットワーク間の通信を制御する通信制御システムを構成するアクセス受付装置に搭載されたコンピュータを、
    第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付ける受付手段と、
    上記第1の通信装置と、上記第2の通信装置との間の通信に係るポリシー情報を作成し、上記通信制御システムで上記ネットワークの間の通信を制御する通信制御装置に、作成したポリシー情報を通知するポリシー情報通知手段と
    して機能させることを特徴とするアクセス受付プログラム。
  7. 複数のネットワーク間の通信を制御する通信制御システムを構成する通信制御装置において、
    当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、
    上記通信制御システムで、第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付け、受付けたアクセス要求に基づいて、上記第1の通信装置と上記第2の通信装置との間の通信に係るポリシー情報を生成するアクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段と
    を有することを特徴とする通信制御装置。
  8. 複数のネットワーク間の通信を制御する通信制御システムを構成する通信制御装置に搭載されたコンピュータを、
    当該通信制御装置が、上記ネットワーク間の通信に対して行う通信制御の内容を記述したポリシー情報を1又は複数記憶するポリシー記憶手段と、
    上記通信制御システムで、第1のネットワークに属する第1の通信装置から、第2のネットワークに属する第2の通信装置へのアクセス要求を受付け、受付けたアクセス要求に基づいて、上記第1の通信装置と上記第2の通信装置との間の通信に係るポリシー情報を生成するアクセス受付装置から通知されるポリシー情報を、上記ポリシー記憶手段に登録するポリシー情報登録手段と
    して機能させることを特徴とする通信制御プログラム。
JP2010181383A 2010-08-13 2010-08-13 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム Pending JP2012044283A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010181383A JP2012044283A (ja) 2010-08-13 2010-08-13 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010181383A JP2012044283A (ja) 2010-08-13 2010-08-13 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム

Publications (1)

Publication Number Publication Date
JP2012044283A true JP2012044283A (ja) 2012-03-01

Family

ID=45900128

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010181383A Pending JP2012044283A (ja) 2010-08-13 2010-08-13 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム

Country Status (1)

Country Link
JP (1) JP2012044283A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017529793A (ja) * 2014-09-24 2017-10-05 オラクル・インターナショナル・コーポレイション コンピュータサブネットワーク内のプロキシサーバ

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004078280A (ja) * 2002-08-09 2004-03-11 Fujitsu Ltd リモートアクセス仲介システム及び方法
JP2006115059A (ja) * 2004-10-13 2006-04-27 Nippon Telegr & Teleph Corp <Ntt> フィルタリング方法
JP2006268141A (ja) * 2005-03-22 2006-10-05 Nec Corp コンテンツ配信システム及び方法並びにプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004078280A (ja) * 2002-08-09 2004-03-11 Fujitsu Ltd リモートアクセス仲介システム及び方法
JP2006115059A (ja) * 2004-10-13 2006-04-27 Nippon Telegr & Teleph Corp <Ntt> フィルタリング方法
JP2006268141A (ja) * 2005-03-22 2006-10-05 Nec Corp コンテンツ配信システム及び方法並びにプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017529793A (ja) * 2014-09-24 2017-10-05 オラクル・インターナショナル・コーポレイション コンピュータサブネットワーク内のプロキシサーバ
US10362059B2 (en) 2014-09-24 2019-07-23 Oracle International Corporation Proxy servers within computer subnetworks

Similar Documents

Publication Publication Date Title
Jero et al. Identifier binding attacks and defenses in {Software-Defined} networks
US20200186501A1 (en) Proxy Auto-Configuration For Directing Client Traffic To A Cloud Proxy With Cloud-Based Unique Identifier Assignment
US8484695B2 (en) System and method for providing access control
US11394703B2 (en) Methods for facilitating federated single sign-on (SSO) for internal web applications and devices thereof
US9215234B2 (en) Security actions based on client identity databases
EP2347559B1 (en) Service access control
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US20070240208A1 (en) Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
EP3297248A1 (en) System and method for generating rules for attack detection feedback system
US10250581B2 (en) Client, server, radius capability negotiation method and system between client and server
CN109150874A (zh) 访问认证方法、装置及认证设备
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
JP2009100064A (ja) 無線lanの通信方法及び通信システム
US20170104630A1 (en) System, Method, Software, and Apparatus for Computer Network Management
US20140041012A1 (en) System for the management of access points
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
US20170180382A1 (en) Method and Apparatus for Using Software Defined Networking and Network Function Virtualization to Secure Residential Networks
Lu et al. An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6
WO2023020606A1 (zh) 一种隐藏源站的方法、系统、装置、设备及存储介质
US20240089178A1 (en) Network service processing method, system, and gateway device
AU2017344389B2 (en) Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration
CN109167758A (zh) 一种报文处理方法及装置
CN112870692A (zh) 一种游戏加速方法、加速系统、加速装置以及存储介质
JP2004180211A (ja) 代理ネットワーク制御装置

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120813

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140305

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140305

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140401