JP2012065287A - Security gateway system and method thereof - Google Patents
Security gateway system and method thereof Download PDFInfo
- Publication number
- JP2012065287A JP2012065287A JP2010210074A JP2010210074A JP2012065287A JP 2012065287 A JP2012065287 A JP 2012065287A JP 2010210074 A JP2010210074 A JP 2010210074A JP 2010210074 A JP2010210074 A JP 2010210074A JP 2012065287 A JP2012065287 A JP 2012065287A
- Authority
- JP
- Japan
- Prior art keywords
- data
- relay
- relay permission
- transmission information
- permission definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明の実施形態は、セキュリティゲートウェイシステムとその方法に関する。 Embodiments described herein relate generally to a security gateway system and method.
ネットワーク通信技術の分野においては、デファクトスタンダードのインターネットプロトコル(IP)を用いて通信を行うことにより、メーカ独自の通信プロトコルを用いた独立ネットワーク(特定のグループ)に対するサービスから、インターネット全体(世界中の人々)にサービスを提供できるようになっている。 In the field of network communication technology, communication is performed using the de facto standard Internet protocol (IP), so that services for independent networks (specific groups) using a manufacturer's original communication protocol can be used. Service).
このインターネットプロトコル(IP)は、開放型相互接続システム(Open Systems Interconnection)の1つの例であり、その仕様が公開され何人も入手できるようになっている。この公開された技術を用いて通信を行うハードウェア、ソフトウェアをもとに、標準的なインターネット上のサービスが提供され、これらもまた何人も入手し利用することができるようになっている。 This Internet protocol (IP) is an example of an open system interconnection system, and its specifications are open to the public and available to many people. Standard services on the Internet are provided based on hardware and software that communicate using this published technology, and these can also be obtained and used by anyone.
このように標準化されて誰でもサービスを受ける手段を得ることができる状況は、企業活動などにあてはめた場合、通信の秘密性や、企業のコンピュータシステムの安全性を損なう恐れがあるため、これらの問題を回避するためのセキュリティ方式も多数考案され実用化されている。 The standardized situation in which anyone can obtain a means of receiving services is the risk of compromising the confidentiality of communications and the safety of corporate computer systems when applied to corporate activities. Many security methods for avoiding problems have been devised and put into practical use.
この中には、標準化され仕様が公開されている標準プロトコルをそれぞれ利用する複数のネットワーク間を接続するセキュリティゲートウェイシステムが存在する。 Among them, there is a security gateway system that connects a plurality of networks using standardized protocols whose specifications are publicized.
このセキュリティゲートウェイシステムは、互いに独立したコンピュータにより実現される2つのサブゲートウェイは物理的に完全に分離され、サブゲートウェイ間の通信は仕様が公開されていない非標準プロトコルにより行われる。したがって、ネットワークからの不正な通信データが一方のサブゲートウェイに侵入した場合には、通信データのプロトコル変換を行う段階で中継許可設定情報を比較して当該通信データが不正であることを容易に確認して、当該通信データを破棄するなどの適切な処理を行うことにより他方のサブゲートウェイへの不正な通信データの侵入を阻止することができる。 In this security gateway system, two sub-gateways implemented by mutually independent computers are physically completely separated, and communication between the sub-gateways is performed by a non-standard protocol whose specifications are not disclosed. Therefore, when unauthorized communication data from the network enters one of the sub-gateways, it is easy to confirm that the communication data is invalid by comparing the relay permission setting information at the stage of protocol conversion of the communication data. Then, by performing appropriate processing such as discarding the communication data, it is possible to prevent unauthorized communication data from entering the other sub-gateway.
また、ファイアウォールと、トンネルホストと、VPNサーバを保有するネットワーク間接続装置における自動設定システムとして、新規の拠点LAN(Local Area Network)を追加してもファイアウォール越しにVPN(Virtual Private Network)構築の自動設定を行うことが可能なネットワーク間接続装置の自動設定システムが存在する。 In addition, as an automatic configuration system for a network connection device that owns a firewall, tunnel host, and VPN server, even if a new local LAN (Local Area Network) is added, VPN (Virtual Private Network) is automatically built over the firewall There is an automatic setting system for an inter-network connection device capable of setting.
このネットワーク間接続装置の自動設定システムでは、設定情報を予め保存した設定装置を別途用意し、ネットワーク間接続装置に設定装置を直接参照されることにより、必要な設定情報を抽出、設定していた。 In this automatic setting system for network connection devices, a setting device in which setting information is stored in advance is prepared separately, and necessary setting information is extracted and set by directly referring to the setting device in the network connection device. .
前述したセキュリティゲートウェイシステムおよびネットワーク間接続装置においては、中継を許可させたいデータに関して、データの情報、すなわち中継許可定義を予め登録する必要があった。この中継許可定義とはデータのプロトコル、送信元アドレス、送信先アドレス、ポート番号などから構成される複雑かつ数種類に渡る定義である。これは中継を許可させたい全てのデータに対して一つ一つ個別に定義を作成し、それをセキュリティゲートウェイシステムに手入力で登録する必要があった。 In the security gateway system and the inter-network connection device described above, it is necessary to register data information, that is, a relay permission definition in advance for data that is desired to be permitted to be relayed. This relay permission definition is a complicated and multiple definition including a data protocol, a source address, a destination address, a port number, and the like. For this, it was necessary to create a definition for each piece of data that you want to allow relaying and register it manually in the security gateway system.
前述したセキュリティゲートウェイシステムおよびネットワーク間接続装置においては、中継を許可させたいデータに関して、中継許可定義を予め登録する必要があった。 In the above-described security gateway system and inter-network connection device, it is necessary to register a relay permission definition in advance for data that is to be permitted to be relayed.
本発明の実施形態は前述した課題を解決するためになされたものであり、中継許可定義を手入力にて登録せずに、ネットワーク間の通信を可能にするセキュリティゲートウェイシステムを提供することを目的とする。 An embodiment of the present invention was made to solve the above-described problem, and an object of the present invention is to provide a security gateway system that enables communication between networks without manually registering a relay permission definition. And
本発明の実施形態に係るセキュリティゲートウェイシステムは、第1の計算機と第2の計算機とを備え、第1の計算機は、第1のネットワークまたは第2の計算機から初めて受信したデータのデータ送信情報を登録待ちリストに追加し、登録待ちリストに追加されたデータ送信情報の中継許可指令を受信した場合に当該データ送信情報を中継許可定義に追加し、中継許可定義に基づいて受信したデータを中継するか否かを判定する第1の中継許可定義生成機能部と、第1の中継許可定義生成機能部により中継すると判定されたデータのプロトコルを変換し、前記第2の計算機または前記第1のネットワークに送信するセキュリティゲートウェイ処理部と、を備えるセキュリティゲートウェイシステム。 The security gateway system according to the embodiment of the present invention includes a first computer and a second computer, and the first computer receives data transmission information of data received for the first time from the first network or the second computer. Add to the registration wait list, and when a relay permission command for the data transmission information added to the registration wait list is received, add the data transmission information to the relay permission definition and relay the received data based on the relay permission definition A first relay permission definition generation function unit for determining whether or not the data is determined to be relayed by the first relay permission definition generation function unit, and the second computer or the first network is converted. A security gateway processing unit for transmitting to the security gateway system.
以下には、本発明に係るセキュリティゲートウェイシステムの実施形態について図面を参照して説明する。 Hereinafter, an embodiment of a security gateway system according to the present invention will be described with reference to the drawings.
本明細書中で用いられる種々の用語について説明する。 Various terms used in this specification will be described.
(1)セキュアネットワーク
企業内などの特定のグループにサービスを提供するネットワークであり、セキュリティが確保されているネットワーク。
(1) Secure network A network that provides services to a specific group in the company, etc., and is a secure network.
(2)非セキュアネットワーク
インターネットに代表される、不特定多数が接続し利用する広域ネットワークまたは公衆ネットワーク。
(2) Non-secure network A wide area network or public network that is connected to and used by an unspecified number of people, represented by the Internet.
(3)独自ネットワーク
セキュリティゲートウェイシステムを構築する複数のゲートウェイ(計算機)間の通信に用いられるネットワーク。
(3) Proprietary network A network used for communication between multiple gateways (computers) that construct a security gateway system.
(4)非セキュアネットワークゲートウェイ
セキュリティゲートウェイシステムを構成するゲートウェイ(計算機)の一つであり、非セキュアネットワークでは標準プロトコルを用いて通信を実施し、独自ネットワークでは非標準プロトコルを用いた通信を行う。非セキュアネットワークと独自ネットワークの双方向中継を行うサブゲートウェイ。
(4) Non-secure network gateway A non-secure network gateway is one of the gateways (computers) that make up the security gateway system. The non-secure network communicates using a standard protocol, and the original network communicates using a non-standard protocol. A sub-gateway that performs bidirectional relay between a non-secure network and a proprietary network.
(5)セキュアネットワークゲートウェイ
セキュリティゲートウェイシステムを構成するゲートウェイ(計算機)の一つであり、セキュアネットワークと標準プロトコルを用いて通信を実施し、独自ネットワークと非標準プロトコルを用いた通信を行い、セキュアネットワークと独自ネットワークの双方向中継を行うサブゲートウェイ。
(5) Secure network gateway One of the gateways (computers) that make up the security gateway system, which communicates using a secure network and a standard protocol, and communicates using a proprietary network and a non-standard protocol. And a sub-gateway that performs two-way relaying of the original network.
(6)中継許可定義
セキュリティゲートウェイシステムに記録され、中継が許可されたデータを示す。データのプロトコル、送信元情報、送信先情報が記録される。
(6) Relay permission definition Indicates data that is recorded in the security gateway system and permitted to be relayed. Data protocol, source information, and destination information are recorded.
(7)プロトコルフィルタ機能
セキュリティゲートウェイシステムにおける、データの中継を許可するかどうかをデータのプロトコル情報により判定する機能のことである。
(7) Protocol filter function In the security gateway system, it is a function that determines whether data relay is permitted or not based on data protocol information.
[第1の実施形態]
[構成]
図1は、第1の実施形態に係るセキュリティゲートウェイシステムの構成を示す構成図である。
[First embodiment]
[Constitution]
FIG. 1 is a configuration diagram showing the configuration of the security gateway system according to the first embodiment.
この図1に示すように、本実施形態のセキュリティゲートウェイシステム10は、標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)1に接続する非セキュアネットワークゲートウェイ11と、標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)2に接続するセキュアネットワークゲートウェイ12、という2つのサブゲートウェイから構成されている。ここで、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12は、互いに独立した計算機によって構成されている。
As shown in FIG. 1, a
本実施形態のセキュリティゲートウェイシステム10における、非セキュアネットワークゲートウェイ11は、プロコトルフィルタ機能部50、標準プロトコル用中継許可定義生成機能部30、セキュリティゲートウェイ処理部20、非標準プロトコル用中継許可定義生成機能部40から構成されている。
In the
また、セキュアネットワークゲートウェイ12も、セキュリティゲートウェイ処理部21、標準プロトコル用中継許可定義生成機能部31、非標準プロトコル用中継許可定義生成機能部41、プロトコルフィルタ機能部51から構成されている。
The
以上のような各構成の詳細は次の通りである。 Details of each configuration as described above are as follows.
標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)1は、公開された標準仕様の通信プロトコルを用いたネットワークであり、一般的に不特定多数が接続し利用できるインターネットなどのネットワーク(以下、非セキュアネットワークと称する)である。 A wide area network (non-secure network) 1 that uses a standard protocol is a network that uses a standard communication protocol that has been published, and is generally a network such as the Internet (hereinafter referred to as non-secure network) that can be used by many unspecified people. Called a network).
標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)2は、企業内など特定のグループにサービスすることを目的としたネットワークであり、セキュリティ上の安全性を確保する必要があるネットワーク(以下、セキュアネットワークと称する)である。 An internal network (secure network) 2 using a standard protocol is a network intended to serve a specific group such as a company, and a network that needs to ensure security safety (hereinafter referred to as a secure network). Called).
本実施形態のセキュリティゲートウェイシステム10は、非セキュアネットワーク1とセキュアネットワーク2に接続するための通信は仕様が公開された標準プロトコルを用いて行われる。また、セキュリティゲートウェイシステム10における2つのサブゲートウェイ、すなわち非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12の間の通信は、仕様が公開されていない非標準プロトコルを用いて行われる。
In the
非セキュアネットワークゲートウェイ11において、プロトコルフィルタ機能部50は、標準プロトコルを用いて非セキュアネットワークゲートウェイ11に接続された非セキュアネットワーク1と通信を行う機能を有し、セキュリティゲートウェイ処理部20は、仕様が公開されていない非標準プロトコルを用いてセキュアネットワークゲートウェイ12と通信を行う機能を有する。
In the
セキュアネットワークゲートウェイ12において、プロトコルフィルタ機能部51は、標準プロトコルを用いてセキュアネットワークゲートウェイ12に接続された、セキュアネットワーク2と通信を行う機能を有し、セキュリティゲートウェイ処理部21は、仕様が公開されていない非標準プロトコルを用いて、非セキュアネットワークゲートウェイ11と通信を行う機能を有する。
In the
各プロトコルフィルタ機能部50、51は、中継を許可するプロトコル情報を操作者により常時設定可能である。本機能部では非セキュアネットワーク1、セキュアネットワーク2から送られてくるパケットデータに対し、設定されたプロトコル情報とデータのプロトコル情報を比較し、中継を許可するプロトコルのデータに対しては各標準プロトコル中継許可定義生成機能部30、31にデータを受け渡し、中継を許可しないプロトコルのデータについては当該データを破棄する機能を有する。
The protocol
各標準プロトコル用中継許可定義生成機能部30、31は、各プロトコルフィルタ機能部50、51から送られてきたデータのプロトコル、送信元情報、および送信先情報(以下、データ送信情報とする。)を抽出し、抽出したデータ送信情報に基づいて中継するか否かを判定する。中継すると判定した場合は、セキュリティゲートウェイ処理部20、21にデータを受け渡す。
Each of the standard protocol relay permission definition generating
各セキュリティゲートウェイ処理部20、21では中継許可定義生成機能部30、31から受信したデータを、非標準プロトコルに変換し、各非標準プロトコル用中継許可定義情報生成機能部40、41に受け渡す。
Each security
各非標準プロトコル用中継許可定義生成機能部40、41は、もう一方のサブゲートウェイの各セキュリティゲートウェイ処理部21、20から非標準プロトコルに変換された状態で送られてきたデータのデータ送信情報を抽出し、抽出したデータ送信情報に基づいて中継するか否かを判定する。中継すると判定した場合は、セキュアネットワーク2に受信したパケットデータを送信する。
Each non-standard protocol relay permission definition generating
[作用]
次に、上記のように構成したセキュリティゲートウェイシステム10の動作について説明する。
[Action]
Next, the operation of the
本実施形態のセキュリティゲートウェイシステム10は、非セキュアネットワーク1からセキュアネットワーク2へという第1方向の中継処理と、セキュアネットワーク2から非セキュアネットワーク1へという第2方向の中継処理という2通りの中継処理方向がある。
The
(第1方向の中継処理)
まず、セキュリティゲートウェイシステム10における第1方向の中継処理について図2乃至図5を用いて示す。
(Relay processing in the first direction)
First, relay processing in the first direction in the
まず、プロトコルフィルタ機能部50の動作について図2を用いて説明する。図2は、プロトコルフィルタ機能部50において、非セキュアネットワーク1からパケットデータを受信し、標準プロトコル用中継許可定義生成機能部30へ送信する動作(プロトコルフィルタ処理)を示したフローチャートである。
First, the operation of the protocol
プロトコルフィルタ機能部50で非セキュアネットワーク1からパケットのデータ待ち(S10)を行うが、パケットデータを受信(S11のYES)すると、パケットデータのプロトコル情報と本機能部に登録されている中継許可のプロトコル情報との比較(S12)を行う。この時、中継を許可するプロトコルであると判定した場合(S12のYES)は、非セキュアネットワークゲートウェイ11の標準プロトコル用中継定義生成機能部30へデータを受け渡す(S13)。中継を許可するプロトコルでないと判定した場合(S12のNO)、当該パケットデータは破棄(S14)される。
The protocol
次に、標準プロトコル用中継許可定義生成機能部30の動作について、図3を用いて説明する。図3は、標準プロトコル用中継許可定義生成機能部30において、プロトコルフィルタ機能部50からデータを受信し、受信したパケットデータを中継するか否かを判定する動作(ゲートウェイ受信処理)を示したフローチャートである。
Next, the operation of the standard protocol relay permission definition generating
標準プロトコル用中継許可生成機能部30でプロトコルフィルタ機能部50からパケットデータ待ちを行う(S100)が、パケットデータを受信(S101のYES)すると、受信したパケットデータのデータ送信情報がブラックリストに含まれるかどうか判定(S102)を行う。ここで、ブラックリストとは標準プロトコル用中継許可定義生成機能部30に記録され、中継を行わないデータ送信情報である。受信したパケットデータのデータ送信情報がブラックリストに含まれていると判定した場合(S102のYES)、パケットデータを破棄し(S103)、再びパケットデータ待ちを行う(S100)。
The standard protocol relay permission
ブラックリストに含まれていないと判定した場合(S102のNO)、受信したパケットデータのデータ送信情報が登録待ちリストに含まれるかどうか判定(S110)を行う。ここで、登録待ちリストとは標準プロトコル用中継許可定義生成機能部30に記録され、中継を許可するか否かの判定が操作者により決定されていない、登録待ちのデータ送信情報である。受信したパケットデータのデータ送信情報が登録待ちリストに含まれていると判定した場合(S110のYES)、パケットデータを破棄し(S111)、再びパケットデータ待ちを行う(S100)。
When it is determined that it is not included in the black list (NO in S102), it is determined whether the data transmission information of the received packet data is included in the registration waiting list (S110). Here, the registration waiting list is data transmission information waiting for registration, which is recorded in the standard protocol relay permission definition generating
登録待ちリストに含まれていないと判定した場合(S110のNO)、受信したパケットデータのデータ送信情報が中継許可定義に含まれているかどうか判定(S120)を行う。ここで、中継許可定義とはセキュリティゲートウェイ処理部20に記録され、中継を許可するデータ送信情報である。受信したパケットデータのデータ送信情報が中継許可定義に含まれていると判定した場合(S120のYES)、セキュリティゲートウェイ処理部20に受信したパケットデータを受け渡し(S121)、再びパケットデータ待ちを行う(S100)。
When it is determined that it is not included in the registration waiting list (NO in S110), it is determined whether the data transmission information of the received packet data is included in the relay permission definition (S120). Here, the relay permission definition is data transmission information that is recorded in the security
中継許可定義に含まれていないと判定した場合(S120のNO)、前述した登録待ちリストに受信したパケットデータのデータ送信情報を追加(S130)し、パケットデータを破棄し(S131)、再びパケットデータ待ちを行う(S100)。 If it is determined that it is not included in the relay permission definition (NO in S120), the data transmission information of the received packet data is added to the above-described registration wait list (S130), the packet data is discarded (S131), and the packet is again transmitted. Wait for data (S100).
上述した登録待ちリスト、ブラックリスト、および中継許可定義のいずれにも同様に、データ送信情報が記録されており、その一例を図4に示す。夫々には、プロトコル、送信元情報としてのポート番号・送信元アドレス、送信先情報としてのポート番号・送信先アドレスが記録されている。なお、以下に記す登録待ちリスト、ブラックリスト、および中継許可定義も同様にプロトコル、送信元情報、および送信先情報が記されている。 Similarly, data transmission information is recorded in any of the above-described registration waiting list, black list, and relay permission definition, and an example thereof is shown in FIG. In each of them, a protocol, a port number / transmission source address as transmission source information, and a port number / transmission destination address as transmission destination information are recorded. Note that the registration waiting list, black list, and relay permission definition described below also include the protocol, source information, and destination information.
次に、標準プロトコル用中継許可定義生成機能部30がプロトコルフィルタ機能部50から受信したパケットデータのデータ送信情報が、(1)ブラックリスト、登録待ちリスト、および中継許可定義に含まれていない場合、つまり受信したパケットデータが初めてのパケットデータである場合と、(2)ブラックリストに含まれている場合と、(3)登録待ちリストに含まれている場合と、(4)中継許可定義に含まれている場合とに分けて説明する。
Next, when the data transmission information of the packet data received from the protocol
(1)初めてのパケットデータの場合
パケットデータ待ちを行っている(S100)標準プロトコル用中継許可定義生成機能部30が、パケットデータを受信する(S101のYES)と、受信したパケットデータのデータ送信情報がブラックリストに含まれているか否かを判定する(S102)。その結果、受信したパケットデータのデータ送信情報は、ブラックリストに含まれていないと判定される(S102のNO)。
(1) In case of first packet data Waiting for packet data (S100) When the standard protocol relay permission definition generating
次に、受信したパケットデータのデータ送信情報が登録待ちリストに含まれているか否かを判定する(S110)。その結果、受信したパケットデータのデータ送信情報が、登録待ちリストに含まれていないと判定される(S110のNO)。 Next, it is determined whether or not the data transmission information of the received packet data is included in the registration waiting list (S110). As a result, it is determined that the data transmission information of the received packet data is not included in the registration waiting list (NO in S110).
次に、受信したパケットデータのデータ送信情報が中継許可定義に含まれているか否かを判定する(S120)。その結果、受信したパケットデータのデータ送信情報が、中継許可定義に含まれていないと判定され(S120のNO)、登録待ちリストにデータ送信情報を追加し(S130)、パケットデータを破棄し(S131)、再びパケットデータ待ちを行う。 Next, it is determined whether or not the data transmission information of the received packet data is included in the relay permission definition (S120). As a result, it is determined that the data transmission information of the received packet data is not included in the relay permission definition (NO in S120), the data transmission information is added to the registration waiting list (S130), and the packet data is discarded ( S131), the packet data is waited again.
(2)ブラックリストに含まれる場合
受信したパケットデータのデータ送信情報がブラックリストに含まれる場合の、パケットデータを受信したことを判定する(S101のYES)までの動作については、(1)初めてのパケットデータを受信した場合と同様であるため、説明は省略する。
(2) When included in the black list When the data transmission information of the received packet data is included in the black list, the operation up to the determination that the packet data has been received (YES in S101) is as follows: Since it is the same as the case where the packet data is received, the description is omitted.
パケットデータを受信したことを判定する(S101のYES)と、受信したパケットデータのデータ送信情報が、標準プロトコル用中継許可定義生成機能部30に記録されているブラックリストに含まれるか否かを判定する(S102)。その結果、ブラックリストに含まれていると判定され(S102のYES)、パケットデータを破棄し(S103)、再びパケットデータ待ち(S100)を行う。
If it is determined that the packet data has been received (YES in S101), whether or not the data transmission information of the received packet data is included in the black list recorded in the standard protocol relay permission definition
(3)登録待ちリストに含まれる場合
受信したパケットデータのデータ送信情報が登録待ちリストに含まれる場合の、パケットデータを受信したことを判定する(S101のYES)までの動作については、(1)初めてのパケットデータを受信した場合と同様であるため、説明は省略する。
(3) When included in the registration wait list When the data transmission information of the received packet data is included in the registration wait list, the operation up to the determination of reception of packet data (YES in S101) is (1) ) Since this is the same as when the first packet data is received, the description is omitted.
パケットデータを受信したことを判定する(S101のYES)と、受信したパケットデータのデータ送信情報が、標準プロトコル用中継許可定義生成機能部30に記録されているブラックリストに含まれるか否かを判定する(S102)。その結果、ブラックリストに含まれていないと判定される(S102のNO)。
If it is determined that the packet data has been received (YES in S101), whether or not the data transmission information of the received packet data is included in the black list recorded in the standard protocol relay permission definition
さらに、受信したパケットデータのデータ送信情報が、標準プロトコル用中継許可定義生成機能部30に記録されている登録待ちリストに含まれるか否かを判定する(S110)。その結果、登録待ちリストに含まれていると判定され(S110のYES)、パケットデータを破棄し(S111)、再びパケットデータ待ち(S100)を行う。 Further, it is determined whether or not the data transmission information of the received packet data is included in the registration waiting list recorded in the standard protocol relay permission definition generating function unit 30 (S110). As a result, it is determined that it is included in the registration waiting list (YES in S110), the packet data is discarded (S111), and the packet data waiting (S100) is performed again.
(4)中継許可定義に含まれる場合
受信したパケットデータのデータ送信情報が中継許可定義に含まれる場合の、データ送信情報がブラックリストに含まれていないと判定する(S102のNO)までの動作については、(3)登録待ちリストに含まれる場合と同様であるため、説明は省略する。
(4) When included in relay permission definition Operation until determining that data transmission information is not included in blacklist when data transmission information of received packet data is included in relay permission definition (NO in S102) Since (3) is the same as that included in the registration waiting list, description thereof is omitted.
データ送信情報がブラックリストに含まれていないと判定する(S102のNO)と、受信したパケットデータのデータ送信情報が、標準プロトコル用中継許可定義生成機能部30に記録されている登録待ちリストに含まれるか否かを判定する(S110)。その結果、登録待ちリストに含まれていないと判定される(S110のNO)。
If it is determined that the data transmission information is not included in the black list (NO in S102), the data transmission information of the received packet data is stored in the registration waiting list recorded in the standard protocol relay permission definition generating
さらに、受信したパケットデータのデータ送信情報が、セキュリティゲートウェイ処理部20に記録されている中継許可定義が含まれるか否かを判定する。その結果、中継許可定義に含まれると判定され(S120のYES)、受信したパケットデータをセキュリティゲートウェイ処理部20に受け渡す(S121)。
Furthermore, it is determined whether the data transmission information of the received packet data includes the relay permission definition recorded in the security
以上、標準プロトコル用中継許可定義生成機能部30が種々のパケットデータを受信した場合の動作について説明した。
The operation when the standard protocol relay permission definition generating
次に、標準プロトコル用中継許可定義生成機能部30が、登録待ちリストに記録されたデータ送信情報を、ブラックリストまたは中継許可定義として登録する動作について説明する。
Next, an operation in which the standard protocol relay permission definition
まず、上述した(1)初めてのパケットデータを受信した場合の標準プロトコル用中継許可定義生成機能部30の動作により、登録待ちリストに受信したパケットデータのデータ送信情報が追加されると(S130)、その登録待ちリストのデータ送信情報を図示しないモニタに表示する。そして、モニタに表示された登録待ちリストのデータ送信情報に対して、操作者が操作するキーボード、マウス等の図示しない入力部からブラックリストとして登録する中継禁止指令が入力された場合は、登録待ちリストのデータ送信情報をブラックリストとして登録する。さらに、入力部から中継許可定義として登録する中継許可指令が入力された場合は、中継許可定義としてセキュリティゲートウェイ処理部20に記録する。
First, when the data transmission information of the received packet data is added to the registration wait list by the operation of the standard protocol relay permission definition generating
次に、セキュリティゲートウェイ処理部20の動作について説明する。標準プロトコル用中継許可定義生成機能部30により、受信したパケットデータのデータ送信情報が中継許可定義に含まれると判定され、セキュリティゲートウェイ処理部20に受け渡されると、受け渡されたパケットデータのプロトコルの変換を行い、非標準プロトコル用中継許可定義生成機能部41に送信する。このプロトコルの変換は、標準プロトコルから、非標準プロトコルに変換される。
Next, the operation of the security
次に、非標準プロトコル用中継許可定義生成機能部41の動作について、図5を用いて説明する。図5は、非標準プロトコル用中継許可定義生成機能部41において、セキュリティゲートウェイ処理部20により変換・送信された、非標準プロトコルのパケットデータを受信し、受信したパケットデータを中継するか否かを判定する動作(ゲートウェイ受信処理)を示したフローチャートである。
Next, the operation of the non-standard protocol relay permission definition generating function unit 41 will be described with reference to FIG. FIG. 5 shows whether or not the non-standard protocol relay permission definition generation function unit 41 receives non-standard protocol packet data converted and transmitted by the security
なお、以下に説明する非標準プロトコル用中継許可定義生成機能部41の動作は、図3に示す標準プロトコル用中継許可定義生成機能部30がプロトコルフィルタ機能部50からパケットデータを受信する動作と同様である。
The operation of the non-standard protocol relay permission definition generating function unit 41 described below is the same as the operation of the standard protocol relay permission definition generating
非標準プロトコル用中継許可定義生成機能部41でセキュリティゲートウェイ処理部20からパケットデータ待ちを行う(S150)が、パケットデータを受信(S151のYES)すると、受信したパケットデータのデータ送信情報がブラックリストに含まれるかどうか判定(S152)を行う。受信したパケットデータのデータ送信情報がブラックリストに含まれていると判定した場合(S152のYES)、パケットデータを破棄し(S153)、再びパケットデータ待ちを行う(S150)。 The non-standard protocol relay permission definition generation function unit 41 waits for packet data from the security gateway processing unit 20 (S150). When packet data is received (YES in S151), the data transmission information of the received packet data is blacklisted. Is determined (S152). If it is determined that the data transmission information of the received packet data is included in the black list (YES in S152), the packet data is discarded (S153), and the packet data is waited again (S150).
ブラックリストに含まれていないと判定した場合(S152のNO)、受信したパケットデータのデータ送信情報が登録待ちリストに含まれるかどうか判定(S160)を行う。受信したパケットデータのデータ送信情報が登録待ちリストに含まれていると判定した場合(S160のYES)、パケットデータを破棄し(S161)、再びパケットデータ待ちを行う(S150)。 When it is determined that it is not included in the black list (NO in S152), it is determined whether the data transmission information of the received packet data is included in the registration waiting list (S160). If it is determined that the data transmission information of the received packet data is included in the registration waiting list (YES in S160), the packet data is discarded (S161), and the packet data is waited again (S150).
登録待ちリストに含まれていないと判定した場合(S160のNO)、受信したパケットデータのデータ送信情報が中継許可定義に含まれているかどうか判定(S170)を行う。受信したパケットデータのデータ送信情報が中継許可定義に含まれていると判定した場合(S170のYES)、セキュリティゲートウェイ処理部21に受信したパケットデータを受け渡し(S171)、再びパケットデータ待ちを行う(S150)。 If it is determined that it is not included in the registration waiting list (NO in S160), it is determined whether the data transmission information of the received packet data is included in the relay permission definition (S170). When it is determined that the data transmission information of the received packet data is included in the relay permission definition (YES in S170), the received packet data is transferred to the security gateway processing unit 21 (S171), and the packet data is waited again (S171). S150).
中継許可定義に含まれていないと判定した場合(S170のNO)、前述した登録待ちリストに、受信したパケットデータのデータ送信情報を追加(S180)し、パケットデータを破棄し(S181)、再びパケットデータ待ちを行う(S150)。 When it is determined that it is not included in the relay permission definition (NO in S170), the data transmission information of the received packet data is added to the registration waiting list (S180), the packet data is discarded (S181), and again. Wait for packet data (S150).
以上、非標準プロトコル用中継許可定義生成機能部41がパケットデータを受信した場合の動作について説明した。非標準プロトコル用中継許可定義生成機能部41が、登録待ちリストに記録されたデータ送信情報を、ブラックリストまたは中継許可定義として登録する動作については、標準プロトコル用中継許可定義生成機能部30の動作と同様であるため、説明は省略する。
The operation when the non-standard protocol relay permission definition generating function unit 41 receives packet data has been described above. Regarding the operation of the non-standard protocol relay permission definition generating function unit 41 registering the data transmission information recorded in the registration waiting list as a black list or relay permission definition, the operation of the standard protocol relay permission definition generating
次に、セキュリティゲートウェイ処理部21の動作について説明する。非標準プロトコル用中継許可定義生成機能部41により、受信したパケットデータのデータ送信情報が中継許可定義に含まれると判定され、セキュリティゲートウェイ処理部21に受け渡されると、受け渡されたパケットデータのプロトコルの変換を行い、セキュアネットワーク2に送信する。このプロトコルの変換は、非標準プロトコルから、標準プロトコルに変換される。
Next, the operation of the security
以上、セキュリティゲートウェイシステム10における第1方向の中継処理について説明した。
Heretofore, the relay process in the first direction in the
(第2方向の中継処理)
次に、本実施形態のセキュリティゲートウェイシステム10における第2方向の中継処理を図6〜図8を用いて示す。
(Relay processing in the second direction)
Next, relay processing in the second direction in the
まず、プロトコルフィルタ機能部51の動作について図6を用いて説明する。図6は、プロトコルフィルタ機能部51において、セキュアネットワーク2からパケットデータを受信し、標準プロトコル用中継許可定義生成機能部31へ送信する動作(プロトコルフィルタ処理)を示したフローチャートである。
First, the operation of the protocol
なお、以下に説明するプロトコルフィルタ機能部51の動作は、図2に示すプロトコルフィルタ機能部50の動作と同様である。
The operation of the protocol
プロトコルフィルタ機能部51でセキュアネットワーク2からパケットのデータ待ち(S20)を行うが、パケットデータを受信(S21のYES)すると、パケットデータのプロトコル情報と本機能部に登録されている中継許可のプロトコル情報との比較(S22)を行う。この時、中継を許可するプロトコルであると判定した場合(S22のYES)は、セキュアネットワークゲートウェイ12の標準プロトコル用中継定義生成機能部31へデータを受け渡す(S23)。中継を許可するプロトコルでないと判定した場合(S22のNO)、当該パケットデータは破棄(S24)される。
The protocol
次に、標準プロトコル用中継許可定義生成機能部31の動作について、図7を用いて説明する。図7は、標準プロトコル用中継許可定義生成機能部31において、プロトコルフィルタ機能部51からデータを受信し、受信したパケットデータを中継するか否かを判定する動作(ゲートウェイ受信処理)を示したフローチャートである。
Next, the operation of the standard protocol relay permission definition generating
なお、以下に説明する標準プロトコル用中継許可定義生成機能部31の動作は、図3に示す標準プロトコル用中継許可定義生成機能部30がプロトコルフィルタ機能部50からパケットデータを受信する動作と同様である。
The operation of the standard protocol relay permission definition generating
標準プロトコル用中継許可生成機能部31でプロトコルフィルタ機能部51からパケットデータ待ちを行う(S200)が、パケットデータを受信(S201のYES)すると、受信したパケットデータのデータ送信情報がブラックリストに含まれるかどうか判定(S202)を行う。受信したパケットデータのデータ送信情報がブラックリストに含まれていると判定した場合(S202のYES)、パケットデータを破棄し(S203)、再びパケットデータ待ちを行う(S200)。
The standard protocol relay permission
ブラックリストに含まれていないと判定した場合(S202のNO)、受信したパケットデータのデータ送信情報が登録待ちリストに含まれるかどうか判定(S210)を行う。受信したパケットデータのデータ送信情報が登録待ちリストに含まれていると判定した場合(S210のYES)、パケットデータを破棄し(S211)、再びパケットデータ待ちを行う(S200)。 When it is determined that it is not included in the black list (NO in S202), it is determined whether the data transmission information of the received packet data is included in the registration waiting list (S210). If it is determined that the data transmission information of the received packet data is included in the registration waiting list (YES in S210), the packet data is discarded (S211), and the packet data is waited again (S200).
登録待ちリストに含まれていないと判定した場合(S210のNO)、受信したパケットデータのデータ送信情報が中継許可定義に含まれているかどうか判定(S220)を行う。受信したパケットデータのデータ送信情報が中継許可定義に含まれていると判定した場合(S220のYES)、セキュリティゲートウェイ処理部21に受信したパケットデータを受け渡し(S221)、再びパケットデータ待ちを行う(S200)。 When it is determined that it is not included in the registration waiting list (NO in S210), it is determined whether the data transmission information of the received packet data is included in the relay permission definition (S220). When it is determined that the data transmission information of the received packet data is included in the relay permission definition (YES in S220), the received packet data is transferred to the security gateway processing unit 21 (S221), and the packet data is waited again (S221). S200).
中継許可定義に含まれていないと判定した場合(S220のNO)、前述した登録待ちリストに受信したパケットデータのデータ送信情報を追加(S230)し、パケットデータを破棄し(S231)、再びパケットデータ待ちを行う(S200)。 If it is determined that it is not included in the relay permission definition (NO in S220), the data transmission information of the received packet data is added to the above-described registration waiting list (S230), the packet data is discarded (S231), and the packet is again transmitted. Wait for data (S200).
以上、標準プロトコル用中継許可定義生成機能部31がパケットデータを受信した場合の動作について説明した。標準プロトコル用中継許可定義生成機能部31が、登録待ちリストに記録されたデータ送信情報を、ブラックリストまたは中継許可定義として登録する動作については、標準プロトコル用中継許可定義生成機能部30の動作と同様であるため、説明は省略する。
The operation when the standard protocol relay permission definition generating
次に、セキュリティゲートウェイ処理部21の動作について説明する。標準プロトコル用中継許可定義生成機能部31により、受信したパケットデータのデータ送信情報が中継許可定義に含まれると判定され、セキュリティゲートウェイ処理部21に受け渡されると、受け渡されたパケットデータのプロトコルの変換を行い、非標準プロトコル用中継許可定義生成機能部40に送信する。このプロトコルの変換は、標準プロトコルから、非標準プロトコルに変換される。
Next, the operation of the security
次に、非標準プロトコル用中継許可定義生成機能部40の動作について、図8を用いて説明する。図8は、非標準プロトコル用中継許可定義生成機能部40において、セキュリティゲートウェイ処理部21により変換・送信された、非標準プロトコルのパケットデータを受信し、受信したパケットデータを中継するか否かを判定する動作(ゲートウェイ受信処理)を示したフローチャートである。
Next, the operation of the non-standard protocol relay permission definition
なお、以下に説明する非標準プロトコル用中継許可定義生成機能部40の動作は、図3に示す標準プロトコル用中継許可定義生成機能部30がプロトコルフィルタ機能部50からパケットデータを受信する動作と同様である。
The operation of the non-standard protocol relay permission definition generating
非標準プロトコル用中継許可定義生成機能部40でセキュリティゲートウェイ処理部21からパケットデータ待ちを行う(S250)が、パケットデータを受信(S251のYES)すると、受信したパケットデータのデータ送信情報がブラックリストに含まれるかどうか判定(S252)を行う。受信したパケットデータのデータ送信情報がブラックリストに含まれていると判定した場合(S252のYES)、パケットデータを破棄し(S153)、再びパケットデータ待ちを行う(S150)。
The non-standard protocol relay permission definition
ブラックリストに含まれていないと判定した場合(S152のNO)、受信したパケットデータのデータ送信情報が登録待ちリストに含まれるかどうか判定(S160)を行う。受信したパケットデータのデータ送信情報が登録待ちリストに含まれていると判定した場合(S260のYES)、パケットデータを破棄し(S261)、再びパケットデータ待ちを行う(S250)。 When it is determined that it is not included in the black list (NO in S152), it is determined whether the data transmission information of the received packet data is included in the registration waiting list (S160). If it is determined that the data transmission information of the received packet data is included in the registration wait list (YES in S260), the packet data is discarded (S261), and the packet data is waited again (S250).
登録待ちリストに含まれていないと判定した場合(S260のNO)、受信したパケットデータのデータ送信情報が中継許可定義に含まれているかどうか判定(S270)を行う。受信したパケットデータのデータ送信情報が中継許可定義に含まれていると判定した場合(S270のYES)、セキュリティゲートウェイ処理部20に受信したパケットデータを受け渡し(S271)、再びパケットデータ待ちを行う(S250)。 If it is determined that it is not included in the registration waiting list (NO in S260), it is determined whether the data transmission information of the received packet data is included in the relay permission definition (S270). When it is determined that the data transmission information of the received packet data is included in the relay permission definition (YES in S270), the received packet data is transferred to the security gateway processing unit 20 (S271), and the packet data is waited again (S271). S250).
中継許可定義に含まれていないと判定した場合(S270のNO)、前述した登録待ちリストに、受信したパケットデータのデータ送信情報を追加(S280)し、パケットデータを破棄し(S281)、再びパケットデータ待ちを行う(S250)。 If it is determined that it is not included in the relay permission definition (NO in S270), the data transmission information of the received packet data is added to the registration waiting list (S280), the packet data is discarded (S281), and again Waiting for packet data (S250).
以上、非標準プロトコル用中継許可定義生成機能部40がパケットデータを受信した場合の動作について説明した。非標準プロトコル用中継許可定義生成機能部40が、登録待ちリストに記録されたデータ送信情報を、ブラックリストまたは中継許可定義として登録する動作については、標準プロトコル用中継許可定義生成機能部30の動作と同様であるため、説明は省略する。
The operation when the non-standard protocol relay permission definition generating
次に、セキュリティゲートウェイ処理部20の動作について説明する。非標準プロトコル用中継許可定義生成機能部40により、受信したパケットデータのデータ送信情報が中継許可定義に含まれると判定され、セキュリティゲートウェイ処理部20に受け渡されると、受け渡されたパケットデータのプロトコルの変換を行い、非セキュアネットワーク1に送信する。このプロトコルの変換は、非標準プロトコルから、標準プロトコルに変換される。
Next, the operation of the security
以上、セキュリティゲートウェイシステム10における第2方向の中継処理について説明した。
Heretofore, the relay process in the second direction in the
[効果]
本実施形態によれば、標準プロトコル用中継許可定義生成機能部30、31および非標準プロトコル中継許可定義生成機能部40、41を備えることにより、ゲートウェイ送信処理が可能となる。そのため、受信したパケットデータからデータ送信情報を、ブラックリスト、登録待ちリスト、または中継許可定義として記録し、操作者からの中継禁止指令または中継許可指令に応じて、登録待ちリストに記録されたデータ送信情報をブラックリストまたは中継許可定義に登録することが可能となる。
[effect]
According to the present embodiment, the gateway transmission processing can be performed by including the standard protocol relay permission definition generating
つまり、操作者は登録待ちリストに記録されているデータ送信情報を視認し、中継を許可するか否かを選択することによって、設定作業を完了することが可能であるため、手入力にて中継許可定義を入力することがなく、設定作業の大幅な簡略化が可能となる。 In other words, the operator can complete the setting work by visually checking the data transmission information recorded in the registration waiting list and selecting whether or not to permit relaying. It is possible to greatly simplify the setting work without inputting the permission definition.
また、標準プロトコル用中継許可定義生成機能部30、31と、非標準プロトコル中継許可定義生成機能部40、41との2種類のゲートウェイ送信処理を行う機能部を備えることにより、さらなるセキュリティ性能の向上を図ることが可能である。
Further, by providing a function unit that performs two types of gateway transmission processing, that is, a standard protocol relay permission definition
なお、本実施形態において、操作者が視認可能なモニタには登録待ちリストに記録されたデータ送信情報を表示させていたが、ブラックリストおよび中継許可定義に記録されたデータ送信情報を表示させ、操作者がそれらのデータ送信情報の中継禁止指令または中継許可指令を入力することによって、再設定することが可能となる。 In the present embodiment, the data transmission information recorded in the registration waiting list is displayed on the monitor visible to the operator, but the data transmission information recorded in the black list and the relay permission definition is displayed. The operator can reset the data transmission information by inputting a relay prohibition command or a relay permission command for the data transmission information.
(第2の実施形態)
次に、第2の実施形態について図9〜図10を用いて説明する。なお、第1の実施形態と同じ構成には同一の符号を付し、重複する説明は省略する。
(Second Embodiment)
Next, a second embodiment will be described with reference to FIGS. In addition, the same code | symbol is attached | subjected to the same structure as 1st Embodiment, and the overlapping description is abbreviate | omitted.
[構成]
第2の実施形態の構成について図9を用いて説明する。第1の実施形態と異なる点は、各セキュリティゲートウェイ11、12の標準プロトコル用中継許可定義生成機能部30、31および非標準プロトコル中継許可定義生成機能部40、41にタイマ機能を追加し、タイマ機能付標準プロトコル用中継許可定義生成機能部60、61およびタイマ機能付非標準プロトコル中継許可定義生成機能部70、71としている点である。
[Constitution]
The configuration of the second embodiment will be described with reference to FIG. The difference from the first embodiment is that a timer function is added to the standard protocol relay permission definition generating
すなわち、第1の実施形態では、各セキュリティゲートウェイ11、12における標準プロトコル用中継許可定義生成機能部30、31および非標準プロトコル用中継許可定義生成機能部40、41において、受信したパケットデータのデータ送信情報がブラックリスト、登録待ちリストおよび中継許可定義に含まれているか否かの判定を常に行っていたが、本実施形態では、タイマ機能を用いて指定された時間だけ、当該判定を行っている。
That is, in the first embodiment, the standard protocol relay permission definition generating
以下、受信したパケットデータのデータ送信情報がブラックリスト、登録待ちリストおよび中継許可定義に含まれているか否かの判定を行う時間(タイマ機能にて指定された時間)のことを、データキャプチャ中であると呼ぶ。 The following is the time (time specified by the timer function) for determining whether or not the data transmission information of the received packet data is included in the black list, registration waiting list, and relay permission definition. Call it.
[作用]
次に、構成を持つ本実施形態の動作について図10を用いて説明する。図10は非セキュアネットワーク1からセキュアネットワーク2へという第1方向の中継処理における、タイマ機能付標準プロトコル用中継許可定義生成機能部60の動作を示すフローチャートである。
[Action]
Next, the operation of the present embodiment having the configuration will be described with reference to FIG. FIG. 10 is a flowchart showing the operation of the standard protocol relay permission definition generating
タイマ機能付標準プロトコル用中継許可生成機能部60でプロトコルフィルタ機能部50からパケットデータ待ちを行う(S100)が、パケットデータを受信(S101のYES)すると、データキャプチャ中であるか否かの判定を行う(S101−1)。データキャプチャ中でないと判定された場合(S101−1のNO)は、セキュリティゲートウェイ処理部20にパケットデータを受け渡し(S101−2)、再びパケットデータ待ちを行う(S100)。
The standard protocol relay permission
データキャプチャ中であると判定された場合(S101−1のYES)、受信したパケットデータのデータ送信情報がブラックリストに含まれるかどうか判定(S102)を行う。以下は、第1の実施形態の図3に示す標準プロトコル用中継許可定義生成機能部30の動作と同一のため、説明は省略する。
If it is determined that data capture is in progress (YES in S101-1), it is determined whether the data transmission information of the received packet data is included in the black list (S102). The following operation is the same as the operation of the standard protocol relay permission definition generating
なお、第1方向の中継処理におけるタイマ機能付非標準プロトコル用中継許可定義生成機能部71の動作、第2方向の中継処理におけるタイマ機能付標準プロトコル用中継許可定義生成機能部61およびタイマ機能付非標準プロトコル用中継許可定義生成機能部70の動作は、上述したタイマ機能付標準プロトコル用中継許可定義生成機能部60の動作と同様であるため、説明は省略する。
The operation of the non-standard protocol relay permission definition generating
[効果]
本実施形態によれば、第1の実施形態の効果に加え、タイマ機能により指定された時間のみ、受信したパケットデータのデータ送信情報がブラックリスト、登録待ちリストおよび中継許可定義に含まれているか否かの判定を行うことにより、セキュリティゲートウェイシステム10の処理負荷を軽減することが可能である。
[effect]
According to the present embodiment, in addition to the effects of the first embodiment, is the data transmission information of the received packet data included in the black list, the registration waiting list, and the relay permission definition only for the time specified by the timer function. By determining whether or not, the processing load on the
さらに、登録待ちリストに追加されるデータ送信情報も、指定された時間にセキュリティゲートウェイシステム10が受信したパケットデータに限られるため、モニタに表示される登録待ちリストのデータ送信情報の数が膨大にならず、さらに操作者の設定作業の簡略化が可能となる。
Furthermore, since the data transmission information added to the registration waiting list is limited to the packet data received by the
なお、上述した第1および第2の実施形態において、非セキュアネットワークゲートウェイ11およびセキュアネットワークゲートウェイ12は、互いに独立した計算機によって構成するとしたが、両方を1つの計算機にて構築し、互いを異なる計算機として仮想化して用いても良い。このとき、セキュリティゲートウェイシステム10を1つの計算機として構築することが可能となるため、構成を簡略化することが可能となる。
In the first and second embodiments described above, the
また、非セキュアネットワーク1とセキュリティゲートウェイシステム10との通信、およびセキュアネットワーク2とセキュリティゲートウェイシステム10との通信には標準プロトコルを用い、非セキュアネットワークゲートウェイ11とセキュアネットワークゲートウェイ12との通信には非標準プロトコルを用いているが、標準または非標準のプロトコルに係わらず、異なるプロトコルであれば同様の効果が得られる。
A standard protocol is used for communication between the
さらに、プロトコルフィルタ機能部50、51を用いずに、セキュリティゲートウェイシステム10を構成しても、同様の効果を得ることが可能である。また、標準プロトコル用中継許可定義生成機能部30および非標準プロトコル用中継許可定義生成機能部40は、いずれか一方でも同様の効果を得ることが可能であり、同様に、標準プロトコル用中継許可定義生成機能部31および非標準プロトコル用中継許可定義生成機能部41は、いずれか一方でも同様の効果を得ることが可能である。
Furthermore, even if the
本発明に係る実施形態によれば、中継許可定義を手入力にて登録せずに、ネットワーク間の通信を可能にするセキュリティゲートウェイシステムを提供することを目的とする。 An object of the present invention is to provide a security gateway system that enables communication between networks without manually registering a relay permission definition.
以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことが出来る。これら実施形態やその変形は、発明の範囲や要旨に含まれると共に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 As mentioned above, although some embodiment of this invention was described, these embodiment was shown as an example and is not intending limiting the range of invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.
1・・・標準プロトコルを用いた広域ネットワーク(非セキュアネットワーク)
2・・・標準プロトコルを用いた内部ネットワーク(セキュアネットワーク)
10・・・セキュリティゲートウェイシステム
11・・・非セキュアネットワークゲートウェイ
12・・・セキュアネットワークゲートウェイ
20、21・・・セキュリティゲートウェイ処理部
30、31・・・標準プロトコル用中継許可定義生成機能部
40、41・・・非標準プロトコル用中継許可定義生成機能部
50、51・・・プロトコルフィルタ機能部
60、61・・・タイマ機能付標準プロトコル用中継許可定義生成機能部
70、71・・・タイマ機能付非標準プロトコル用中継許可定義生成機能部
1 ... Wide area network (non-secure network) using standard protocol
2 ... Internal network using standard protocol (secure network)
DESCRIPTION OF
Claims (8)
第1の計算機は、
前記第1のネットワークまたは前記第2の計算機から初めて受信したデータのデータ送信情報を登録待ちリストに追加し、 前記登録待ちリストに追加されたデータ送信情報の中継許可指令を受信した場合に当該データ送信情報を中継許可定義に追加し、 前記中継許可定義に基づいて受信したデータを中継するか否かを判定する第1の中継許可定義生成機能部と、
前記第1の中継許可定義生成機能部により中継すると判定されたデータのプロトコルを変換し、前記第2の計算機または前記第1のネットワークに送信するセキュリティゲートウェイ処理部と
を備えるセキュリティゲートウェイシステム。 In a security gateway system that includes a first computer and a second computer, is connected to the first network and the second network, and determines whether to relay data transmitted and received between the networks.
The first calculator is
When data transmission information of data received for the first time from the first network or the second computer is added to the registration waiting list, and when the relay permission instruction for the data transmission information added to the registration waiting list is received, the data A first relay permission definition generating function unit for adding transmission information to the relay permission definition and determining whether to relay data received based on the relay permission definition;
A security gateway system comprising: a security gateway processing unit that converts a protocol of data determined to be relayed by the first relay permission definition generation function unit and transmits the protocol to the second computer or the first network.
受信したデータのうち、事前に設定されたプロトコルを持つデータを中継する第1のプロトコルフィルタ機能部を備える請求項1記載のセキュリティゲートウェイシステム。 The first calculator is:
The security gateway system according to claim 1, further comprising a first protocol filter function unit that relays data having a preset protocol among the received data.
前記第2のネットワークまたは前記第1の計算機から初めて受信したデータのデータ送信情報を登録待ちリストに追加し、 前記登録待ちリストに追加されたデータ送信情報の中継許可指令を受信した場合に当該データ送信情報を中継許可定義に追加し、 前記中継許可定義に基づいて受信したデータを中継するか否かを判定する第2の中継許可定義生成機能部と、
前記第2の中継許可定義生成機能部により中継すると判定されたデータのプロトコルを変換し、前記第1の計算機または前記第2のネットワークに送信するセキュリティゲートウェイ処理部と
を備える請求項1記載のセキュリティゲートウェイシステム。 The second calculator is
When data transmission information of data received for the first time from the second network or the first computer is added to the registration waiting list, and when the relay permission instruction for the data transmission information added to the registration waiting list is received, the data A second relay permission definition generating function unit for adding transmission information to the relay permission definition and determining whether to relay data received based on the relay permission definition;
The security gateway processing unit according to claim 1, further comprising: a security gateway processing unit that converts a protocol of data determined to be relayed by the second relay permission definition generation function unit and transmits the data to the first computer or the second network. Gateway system.
受信したデータのうち、事前に設定されたプロトコルを持つデータを中継する第2のプロトコルフィルタ機能部を備える請求項4記載のセキュリティゲートウェイシステム。 The second calculator is
5. The security gateway system according to claim 4, further comprising a second protocol filter function unit that relays data having a preset protocol among received data.
前記第1のネットワークから初めて受信したデータのデータ送信情報を登録待ちリストに追加し、 前記登録待ちリストに追加されたデータ送信情報の中継許可指令を受信した場合に当該データ送信情報を中継許可定義に追加し、 前記中継許可定義に基づいて受信したデータを中継するか否かを判定し、
前記中継許可定義生成機能部により中継すると判定されたデータのプロトコルを変換し、前記第2の計算機または前記第1のネットワークに送信する セキュリティゲートウェイ方法。 In a security gateway method for determining whether to relay data transmitted and received between a first network and a second network,
Add the data transmission information of the data received for the first time from the first network to the registration waiting list, and define the relay permission of the data transmission information when receiving the relay permission command for the data transmission information added to the registration waiting list To determine whether to relay the received data based on the relay permission definition,
A security gateway method for converting a protocol of data determined to be relayed by the relay permission definition generating function unit and transmitting the data to the second computer or the first network.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010210074A JP2012065287A (en) | 2010-09-17 | 2010-09-17 | Security gateway system and method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010210074A JP2012065287A (en) | 2010-09-17 | 2010-09-17 | Security gateway system and method thereof |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012065287A true JP2012065287A (en) | 2012-03-29 |
Family
ID=46060509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010210074A Pending JP2012065287A (en) | 2010-09-17 | 2010-09-17 | Security gateway system and method thereof |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012065287A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016507979A (en) * | 2013-01-22 | 2016-03-10 | 横河電機株式会社 | Quarantine protection system and method it performs bi-directional packet filtering inspection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003229913A (en) * | 2002-02-04 | 2003-08-15 | Hitachi Ltd | Network connection system, network connection method and network connection apparatus to be used therefor |
| JP2006295649A (en) * | 2005-04-12 | 2006-10-26 | Toshiba Corp | Security gateway system, method and program thereof |
| JP2008066969A (en) * | 2006-09-06 | 2008-03-21 | Matsushita Electric Ind Co Ltd | Wireless communication system |
-
2010
- 2010-09-17 JP JP2010210074A patent/JP2012065287A/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003229913A (en) * | 2002-02-04 | 2003-08-15 | Hitachi Ltd | Network connection system, network connection method and network connection apparatus to be used therefor |
| JP2006295649A (en) * | 2005-04-12 | 2006-10-26 | Toshiba Corp | Security gateway system, method and program thereof |
| JP2008066969A (en) * | 2006-09-06 | 2008-03-21 | Matsushita Electric Ind Co Ltd | Wireless communication system |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016507979A (en) * | 2013-01-22 | 2016-03-10 | 横河電機株式会社 | Quarantine protection system and method it performs bi-directional packet filtering inspection |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178104B2 (en) | Network isolation with cloud networks | |
| JP5987902B2 (en) | Network system, controller, and packet authentication method | |
| US9515890B2 (en) | Method, system and controlling bridge for obtaining port extension topology information | |
| EP3343838B1 (en) | Utilizing management network for secured configuration and platform management | |
| US20050160165A1 (en) | Network management using short message service | |
| JP6052692B1 (en) | Security management method, program, and security management system | |
| US11240207B2 (en) | Network isolation | |
| Alves et al. | WS3N: wireless secure SDN‐based communication for sensor networks | |
| CN102301660A (en) | Tcp communication scheme | |
| JP5445262B2 (en) | Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof | |
| AU2014200353A1 (en) | Inline network switch having serial ports for out-of-band serial console access | |
| CN106416146B (en) | Communication apparatus, communication method, and communication system | |
| US11223601B2 (en) | Network isolation for collaboration software | |
| US9473401B2 (en) | Network separation method and network separation device | |
| US11601467B2 (en) | Service provider advanced threat protection | |
| JP2010239591A (en) | Network system, relay device, and method of controlling network | |
| JP2012065287A (en) | Security gateway system and method thereof | |
| CN114553577B (en) | Network interaction system and method based on multi-host double-isolation secret architecture | |
| EP3691201B1 (en) | Remote access control system | |
| JP5874356B2 (en) | Relay server and relay communication system | |
| KR100872240B1 (en) | System and method for providing session initiation protocol-based communication service | |
| JP2002084326A (en) | Device to be serviced, central unit and servicing device | |
| KR101227086B1 (en) | Method and apparatus for data communication between physically separated networks | |
| JP5415388B2 (en) | Virtual channel connection system, control method, control program, first terminal, and second terminal | |
| US11770362B2 (en) | Access control in a mesh network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130227 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131004 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131018 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140307 |