JP2012195847A - ファイアウォール装置,処理方法及びファイアウォールシステム - Google Patents
ファイアウォール装置,処理方法及びファイアウォールシステム Download PDFInfo
- Publication number
- JP2012195847A JP2012195847A JP2011059608A JP2011059608A JP2012195847A JP 2012195847 A JP2012195847 A JP 2012195847A JP 2011059608 A JP2011059608 A JP 2011059608A JP 2011059608 A JP2011059608 A JP 2011059608A JP 2012195847 A JP2012195847 A JP 2012195847A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- firewall
- unit
- network
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】 第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部122と、トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部123と、ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部131と、トラフィック予測量と空きトラフィック量とを比較して、転送データの透過可否を判断する透過判断部121と、判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部132と、選択した転送先ファイアウォールに対して転送データをリダイレクト転送する転送部103とをそなえる。
【選択図】図3
Description
こうした不正侵入等の脅威から内部ネットワークを保護する目的で、内部ネットワークと外部ネットワークとの境界にファイアウォールが設置される。このファイアウォールは、内部ネットワークと外部ネットワークとの間を往来するパケットデータのうち、不正だと判断されるものについて、往来を制限するものである。
従来においては、セッション数に制限を設けて負荷分散を行なう方法が知られている(下記特許文献1参照)。
例えば、ファイアウォールやルータ等のネットワーク装置においては、単位時間当たりに処理可能なトラフィック処理量は装置個々に決まっている。
このため、1セッション当たりのトラフィック量が少ない場合には、ファイアウォール装置における最大値までの多くのセッション数を利用できる。
また、内部ネットワークと外部ネットワーク間のトラフィック量に関しては、一般的に内部ネットワークから外部ネットワーク向けトラフィック量より、外部ネットワークから内部ネットワーク向けトラフィック量の方が非常に多く、非対称なトラフィック量となることが多い。
特に、大規模なネットワークでは、セッション数やトラフィック量が多くなるため、トラフィック量まで考慮に入れた負荷分散が重要となる。
しかしながら、従来では、セッション数に基づく負荷分散が行なわれているに過ぎず、複数台のファイアウォールでセッション数の偏りが発生することもある上、トラフィック量による分散が出来ていなかった。
なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の一つとして位置付けることができる。
〔1〕一実施形態
〔1−1〕ネットワークシステム
図1は、一実施形態に係るネットワークシステムの構成の一例を示す図である。
なお、以下では、ファイアウォール10−1,10−2,・・・,10−Nを区別しない場合、単にファイアウォール10と表記する。また、端末20−1,20−2,・・・,20−Mを区別しない場合、単に端末20と表記する。
ファイアウォール10は、内部ネットワークと外部ネットワークの境界に接続される。
また、N個のファイアウォール10が、図1に示すように、内部ネットワークと外部ネットワークとの間に並行して配設される。
なお、端末20から出力されたパケットは、いずれのファイアウォール10を介しても外部ネットワークに出力することができる。
同様に、ウェブサーバ等から出力されたパケットは、ファイアウォール10−1,10−2,・・,10−Nのいずれかを介して内部ネットワークに出力される。
さらに、以下では、端末20が外部ネットワーク装置30を経由しウェブサーバ等にアクセスする場合を例に本実施形態を説明する。
即ち、本実施形態において、端末20が、ウェブサーバ等に対して要求パケットを送信し、ウェブサーバ等が、当該要求パケットに対応する応答パケットを端末20に返す。ファイアウォール10は、受信した応答パケットが端末20の送信した要求パケットに対応するものであると判定出来、かつ、予め設定された条件により透過可能と判断した場合に、当該応答パケット(外部ネットワークからのパケットデータ)を内部ネットワーク内へ透過させる。
〔1−2〕ファイアウォールのハードウェア構成
図2は、一実施形態に係るファイアウォールのハードウェア構成を模式的に示す図である。
また、これらのハードウェア各部は、制御バス46を介して相互に接続されている。さらに、入出力インタフェース41−1,41−2,・・・,41−K,スイッチ44及びCPU45は、データバス47を介して相互に接続される。
入出力インタフェース41は、内部ネットワークもしくは外部ネットワークに接続されており、ファイアウォール10と、端末20及びルータ30との間での通信を可能にするものであり、図3で後述する内部インタフェース部101や、外部インタフェース部102として機能する。
メモリデバイス42,43は、種々のデータやプログラムを一時的に格納する記憶領域であって、例えば、RAM(Random Access Memory)などの揮発性メモリやフラッシュメモリなどの不揮発性メモリによって実現される。本実施形態では、例示的に、メモリデバイス42には、CPU(Central Processing Unit)45に実行させるOS(Operating System)のプログラムが格納され、また、メモリデバイス43には、後述する各種管理テーブルの内容が格納される。
スイッチ44は、内部ネットワークと外部ネットワークとの間でやりとりが行なわれるパケットデータの転送制御を行なうものであり、図示しないバッファなどをそなえる。
図3は、一実施形態に係るファイアウォール10の機能構成の一例を示す図である。
この図3に示すファイアウォール10は、例示的に、内部インタフェース部101と、外部インタフェース部102と、パケット転送/制御部103と、セッション管理部111と、トラフィック管理部121と、装置連携管理部131と、セッション管理テーブル151と、トラフィック管理テーブル152と、装置連携管理テーブル153とをそなえる。
このため、セッション管理テーブル151は、例えば、セッションID別に、プロトコル種別,送信元/宛て先アドレス,セッション有効フラグなどのセッション情報と、トラフィック量の予測値及び実測値とを保持する。
なお、トラフィック量の単位はpps(packet per second)で表わされる。
図5は、トラフィック管理テーブル152の内容の一例を示す図である。トラフィック管理テーブル152は、プロトコル種別および宛て先アドレスから、上り及び下りのトラフィック量を予測するために用いられる。
図6は、装置連携管理テーブル153の内容の一例を示す図である。装置連携管理テーブル153は、パケットデータの透過可否の判断及びリダイレクト処理のために用いられる。
内部インタフェース部101は、ファイアウォール10と、内部ネットワークとの間の通信を可能にする。即ち、内部インタフェース部101は、内部ネットワークから送信されたパケットデータを、パケット転送/制御部103へ受け渡し、パケット転送/制御部103から転送されたパケットデータを、内部ネットワークへ出力する。
パケット転送/制御部103は、要求パケット及び応答パケットの透過、並びに、要求パケットのリダイレクト処理を行なう。なお、当該制御は、セッション管理部111やトラフィック管理部121,装置連携管理部131の処理に基づいて行なわれる。
また、パケット転送/制御部103は、選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部の一例として機能する。
パケット転送/制御部103は、内部インタフェース部101から要求パケットを受け取ると、受け取った要求パケットについての情報をセッション管理部111へ出力する。当該要求パケットについての情報には、プロトコル種別,送信元及び宛て先のアドレス,トラフィック量に関する情報などが含まれる。
さらに、パケット転送/制御部103は、リダイレクト処理として、要求パケットまたは応答パケットが透過不可である場合、対応する要求パケットを、後述する装置連携管理部131のリダイレクト部132によって指定されたアドレスを有する他のファイアウォール10に対し転送する。
また、セッション管理部111は、当該要求パケット及び応答パケットついてセッション単位での管理を行なう。このため、セッション管理部111は、例示的に、セッション数チェック部112と、プロトコル識別部113と、セッションチェック部114とをそなえる。
そして、要求パケットを透過させることにより当該最大セッション数の超過が発生しないかどうかを判断する。
一方、セッション数の超過が生じると判断すると、セッション数チェック部112は、その旨を装置連携管理部131のリダイレクト部132へ通知する。
プロトコル識別部113は、パケット転送/制御部103が出力した要求パケットについての情報に基づき、要求パケットのプロトコル種別を識別する。
また、プロトコル識別部113は、要求パケットについての情報から送信元アドレスもしくは宛て先アドレスを抽出し、識別したプロトコル種別及び抽出した送信元アドレスもしくは宛て先アドレスをセッション管理テーブル151へ格納する。
さらに、セッション管理部111は、プロトコル識別部113で得られた要求パケットのプロトコル種別及び宛て先アドレスに対応するトラフィック量の実測値及び予測値を、トラフィック管理部121を介してトラフィック管理テーブル152から取得するとともに、セッション管理テーブル151に格納する。
また、セッション管理部111は、トラフィック量に関する情報や、プロトコル識別部113で得られたプロトコル種別及び送信元アドレスもしくは宛て先アドレスをトラフィック管理部121へ出力する。
このため、トラフィック管理部121は、例示的に、トラフィック測定部122と、トラフィック演算部123とをそなえる。
即ち、トラフィック測定部122は、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部の一例として機能する。
即ち、トラフィック演算部123は、トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部の一例として機能する。
また、トラフィック演算部123は、例えば、当該平均値に所定の大きさのマージンを加えることで、プロトコル種別及び宛て先アドレスに対応するトラフィック量の予測値を計算することができる。
また、トラフィック管理部121は、セッション管理テーブル151に格納されたトラフィック量の予測値と、装置連携管理テーブル153の空きトラフィック量とに基づき、パケットの透過可否の判断を行なう。
また、トラフィック管理部121は、パケット転送/制御部103に応答パケットの入力があった場合、セッション管理テーブル151における下りトラフィック量と、装置連携管理テーブル153における空きトラフィック量とを比較し、空きトラフィック量の方が大きい場合には、当該応答パケットは透過可であると判断する。
即ち、トラフィック管理部121は、トラフィック予測量と空きトラフィック量とを比較して、転送データの透過可比を判断する透過判断部の一例として機能する。
装置連携管理部131は、装置連携管理テーブル153を用いて、自装置の空きセッション数及び空きトラフィック量、並びに、他装置の空きセッション数及び空きトラフィック量を管理する。
また、装置連携管理部131は、少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部の一例として機能する。
また、装置連携管理部131は、パケット転送/制御部103がパケットデータを透過させる場合、トラフィック管理部121から当該パケットデータのトラフィック量の予測値を受け取り、装置連携管理テーブル153における自装置の空きセッション数及び空きトラフィック量を更新する。
また、装置連携管理部131は、パケット転送/制御部103に入力されたパケットデータのリダイレクト処理に係る判断を行なう。このため、装置連携管理部131は、リダイレクト部132をそなえる。
また、リダイレクト部132は、他のファイアウォールが複数存在する場合、他のファイアウォールのうち、例えば空きトラフィック量の大きいファイアウォールを優先的に選択し、選択したファイアウォールのアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう。
なお、リダイレクト部132は、応答パケットについての空きトラフィック量不足の通知を受けた場合、パケット転送/制御部103は、当該応答パケットを破棄する。
そして、リダイレクト部132は、当該応答パケットに対応する要求パケットについてのリダイレクト処理を、パケット転送/制御部103に行なわせる。
ここで、図7に示すフローチャートに従って一実施形態に係るファイアウォール10の動作の一例を説明する。
端末20からの要求パケットがパケット転送/制御部103に入力されると、パケット転送/制御部103は、入力された要求パケットについての情報をセッション管理部111へ出力する。
ここで、要求パケットが、新規セッションに基づくものではないと判断された場合には(ステップS1のNOルート)、トラフィック管理部121のトラフィック測定部122が、要求パケットのトラフィック量の実測値を測定するとともに、トラフィック演算部123が、要求パケットのトラフィック量の予測値を算出する(ステップS6)。
次に、トラフィック管理部121が、要求パケット及び応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、空きトラフィック量のチェックが行なわれる(ステップS8)。
また、パケット転送/制御部103が、検索された他のファイアウォール装置へ要求パケットを転送するリダイレクト処理を施し、処理を終了する(ステップS11)。
ここで、セッション数の超過が生じると判断された場合には(ステップS2のNGルート)、処理をステップS11へ移行する。
次に、プロトコル識別部113が、要求パケットのプロトコル種別を識別する(ステップS4)。
これらのステップS4やステップS5と並行して、ステップS6以降の処理が行なわれる。
また、パケット転送/制御部103による要求パケットの透過と並行して、装置連携管理部131が、装置連携管理テーブル153の空きセッション量及び空きトラフィック量を更新する(ステップS10)。
パケット転送/制御部103から入力された情報に基づき、セッション管理部111によって、パケット転送/制御部103に入力された応答パケットが、要求パケットに対応するものか否かが判断される(ステップS12)。
一方、要求パケットに対応するものであると判断された場合は(ステップS12のOKルート)、トラフィック管理部121のトラフィック測定部122が、応答パケットのトラフィック実測値を測定するとともに、トラフィック演算部123が、トラフィック予測値を算出する(ステップS14)。
次に、トラフィック管理部121が、応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、トラフィック量のチェックが行なわれる(ステップS16)。
一方、自装置の空きトラフィック量が十分大きいと判断されると(ステップS16のOKルート)、装置連携管理部131がパケット転送/制御部103へ応答パケット透過可能の通知を行ない、パケット転送/制御部103が応答パケットの透過を行ない、処理を終了する(ステップS17)。
図8は、一実施形態に係るリダイレクト処理の処理フローの一例を示す図である。
図8に示すフローチャートに従って、図7のステップS11に示すリダイレクト処理の一例を説明する。
次に、十分な空きトラフィック量が存在するかどうかを、装置連携管理テーブル153に登録されているうちの一のファイアウォール10についてチェックする。例えば、装置連携管理テーブル153における未チェックのファイアウォール10のうち、先頭のファイアウォール10についてチェックする(ステップS22)。
チェック対象のファイアウォール10が、十分な空きトラフィック量を有していると判断された場合(ステップS22のOKルート)、リダイレクト部132は、そのファイアウォール10のアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう(ステップS23)。
ステップ22において、チェック対象のファイアウォール10が、十分な空きトラフィック量を有していないと判断された場合(ステップS22のNGルート)、装置連携管理テーブル153における全てのファイアウォール10の空きトラフィック量をチェックしたかどうかを確認する(ステップS25)。
一方、装置連携管理テーブル153における全てのファイアウォールの空きトラフィック量をチェックしていないと判断されると(ステップS25のNOルート)、装置連携管理テーブル153における次のファイアウォール10をチェック対象として選択して、ステップS21へ移行する。
図9に示すフローチャートに従って、装置連携管理テーブル153の更新処理の一例を説明する。
第i(iは、1≦i≦Nを満たす整数)番目のファイアウォール10−iの装置連携管理テーブル153が更新されると、第i番目のファイアウォール10−iの装置連携管理部131は、他のファイアウォール10の装置連携管理テーブル153を更新すべく、自らの装置連携管理テーブル153の更新内容を含んだ他装置更新用パケットを生成する(ステップS31)。
次に、装置連携管理部131で生成された他装置更新用パケットは、第j(jは、1≦j≦N及びj≠iを満たす全ての整数)番目のファイアウォール10−jに転送される(ステップS32)。
第j番目のファイアウォール10−jの装置連携管理部131は、受信した他装置更新用パケットの内容に基づき、装置連携管理テーブル153の内容を更新し、処理を終了する(ステップS34)。
具体的には、各ファイアウォールのトラフィック量に応じて転送制御を行なうことにより、ファイアウォール間の負荷の偏りをなくすことができ、ネットワークシステム全体としてパケット転送の効率化を図ることができる。
さらに、トラフィック量だけでなくセッション数に基づいてパケットデータの転送制御を行なうことで、信頼性を向上させることができる。
さらに、要求パケットのトラフィック量チェックの際に、要求パケットのトラフィック量の予測値だけでなく、応答パケットのトラフィック量の予測値まで考慮することで、無駄な処理を省くことができ、ネットワークシステムを効率的に運用することができる。
なお、上述したファイアウォール10の各構成及び各機能は、必要に応じて取捨選択してもよいし、適宜組み合わせて用いてもよい。即ち、本発明の機能を発揮できるように、上記の各構成及び各機能を取捨選択したり、適宜組み合わせて用いたりしてもよい。
例えば、上述した実施形態では、負荷分散をセッション数及びトラフィック量に基づいて行なったが、トラフィック量のみに基づいて負荷分散を行なうことで、処理量の軽減及び処理速度の向上を図ることができる。
〔3〕付記
以上の実施形態に関し、さらに以下の付記を開示する。
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォール装置。
前記第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部をそなえ、
前記判断の結果、透過可と判断した場合に、前記データ転送制御部が、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記1記載のファイアウォール装置。
前記トラフィック予測量算出部により算出された前記トラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部をそなえることを特徴とする、付記1又は2記載のファイアウォール装置。
(付記4)
当該ファイアウォール装置における前記転送データのセッション数を管理するセッション数管理部をそなえ、
前記透過判断部が、前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記1〜3のいずれか1項に記載のファイアウォール装置。
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部をそなえ、
前記選択部が、前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記1〜4のいずれか1項に記載のファイアウォール装置。
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、
当該ファイアウォール装置の空きトラフィック量を管理し、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断し、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送することを特徴とする、処理方法。
前記判断の結果、透過可と判断した場合に、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記6記載の処理方法。
(付記8)
前記算出されたトラフィック予測量をセッションに対応付けたセッション管理情報をセッション管理情報格納部に格納することを特徴とする、付記6又は7記載の処理方法。
当該ファイアウォール装置における前記転送データのセッション数を管理し、
前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記6〜8のいずれか1項に記載の処理方法。
(付記10)
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理し、
前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記6〜9のいずれか1項に記載の処理方法。
第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、
前記ファイアウォール装置が、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォールシステム。
101 内部インタフェース部
102 外部インタフェース部
103 パケット転送/制御部
111 セッション管理部
112 セッション数チェック部
113 プロトコル識別部
114 セッションチェック部
121 トラフィック管理部
122 トラフィック測定部
123 トラフィック演算部
131 装置連携管理部
132 リダイレクト部
151 セッション管理テーブル
152 トラフィック管理テーブル
153 装置連携管理テーブル
20,20−1,20−2,・・・,20−M 端末
30 外部ネットワーク装置
41 41−1,41−2,・・・,41−K 入出力インタフェース
42,43 メモリデバイス
44 スイッチ
45 CPU
46 制御バス
47 データバス
Claims (7)
- 第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォール装置。 - 前記第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部をそなえ、
前記判断の結果、透過可と判断した場合に、前記データ転送制御部が、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、請求項1記載のファイアウォール装置。 - 前記トラフィック予測量算出部により算出された前記トラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部をそなえることを特徴とする、請求項1又は2記載のファイアウォール装置。
- 当該ファイアウォール装置における前記転送データのセッション数を管理するセッション数管理部をそなえ、
前記透過判断部が、前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、請求項1〜3のいずれか1項に記載のファイアウォール装置。 - 前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部をそなえ、
前記選択部が、前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、請求項1〜4のいずれか1項に記載のファイアウォール装置。 - 第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、
当該ファイアウォール装置の空きトラフィック量を管理し、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断し、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送することを特徴とする、処理方法。 - 第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、
前記ファイアウォール装置が、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォールシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011059608A JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011059608A JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012195847A true JP2012195847A (ja) | 2012-10-11 |
JP5673259B2 JP5673259B2 (ja) | 2015-02-18 |
Family
ID=47087337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011059608A Expired - Fee Related JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5673259B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014225877A (ja) * | 2013-05-15 | 2014-12-04 | 株式会社Nttドコモ | ネットワークシステム及びアクセスコントローラ並びにネットワークシステムを運用する方法 |
WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
CN108989352A (zh) * | 2018-09-03 | 2018-12-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004221805A (ja) * | 2003-01-14 | 2004-08-05 | Hitachi Ltd | パケット通信方法およびパケット通信装置 |
JP2008167305A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | パケット並列処理装置およびパケット並列処理方法 |
-
2011
- 2011-03-17 JP JP2011059608A patent/JP5673259B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004221805A (ja) * | 2003-01-14 | 2004-08-05 | Hitachi Ltd | パケット通信方法およびパケット通信装置 |
JP2008167305A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | パケット並列処理装置およびパケット並列処理方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014225877A (ja) * | 2013-05-15 | 2014-12-04 | 株式会社Nttドコモ | ネットワークシステム及びアクセスコントローラ並びにネットワークシステムを運用する方法 |
WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
JPWO2016076207A1 (ja) * | 2014-11-10 | 2017-04-27 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
CN107077433B (zh) * | 2014-11-10 | 2020-03-03 | 日本电信电话株式会社 | 优化装置、优化方法 |
US10616270B2 (en) | 2014-11-10 | 2020-04-07 | Nippon Telegraph And Telephone Corporation | Optimization apparatus, optimization method, and optimization program |
CN108989352A (zh) * | 2018-09-03 | 2018-12-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
CN108989352B (zh) * | 2018-09-03 | 2022-11-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP5673259B2 (ja) | 2015-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105376211B (zh) | 无需内容中心网络中的验证的概率性延迟转发技术 | |
US20180109527A1 (en) | Domain name system and method of operating using restricted channels | |
JP6178411B2 (ja) | 流動性セキュリティ層を提供するための装置および方法 | |
EP2824872B1 (en) | Host providing system and communication control method | |
US11979326B2 (en) | Tool port throttling at a network visibility node | |
US9413668B2 (en) | Systems and methods for load-balancing in a data center | |
Torkzaban et al. | Trust-aware service chain embedding | |
CN104753729B (zh) | 一种确定数据流量的方法、用户终端和企业管控平台 | |
CN107241280A (zh) | 基于信誉的网络流量的动态优先级排序 | |
JP5673259B2 (ja) | ファイアウォール装置,処理方法及びファイアウォールシステム | |
KR20140032064A (ko) | 컨텐츠 전송 서비스 방법, 이를 위한 캐시 장치 | |
US9722932B1 (en) | Packet path selection using shuffle sharding | |
Chen et al. | Packetcloud: an open platform for elastic in-network services | |
US11277342B2 (en) | Lossless data traffic deadlock management system | |
JP6181881B2 (ja) | 制御装置、制御システム、制御方法、および、制御プログラム | |
Dwiardhika et al. | Virtual network embedding based on security level with VNF placement | |
JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
Zhang et al. | Minimum‐cost virtual machine migration strategy in datacenter | |
US9525704B2 (en) | Systems, devices, and methods for traffic management | |
US10091116B2 (en) | Service chain construction method and server apparatus | |
Grunwald | The Internet ecosystem: The potential for discrimination | |
Kuyoro et al. | Towards building a secure cloud computing environment | |
Naik et al. | Secure virtual machine allocation against attacks using support value based game policy | |
JP2016052044A (ja) | 仮想マシンのリソース管理システム、方法及びプログラム | |
US20210099492A1 (en) | System and method for regulated message routing and global policy enforcement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140702 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141030 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141215 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5673259 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |