JP2012222383A - 検疫ネットワークシステム及び検疫方法 - Google Patents
検疫ネットワークシステム及び検疫方法 Download PDFInfo
- Publication number
- JP2012222383A JP2012222383A JP2011082438A JP2011082438A JP2012222383A JP 2012222383 A JP2012222383 A JP 2012222383A JP 2011082438 A JP2011082438 A JP 2011082438A JP 2011082438 A JP2011082438 A JP 2011082438A JP 2012222383 A JP2012222383 A JP 2012222383A
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- virtual terminal
- terminal
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】検疫ネットワークシステム10は、仮想端末720〜740とリモート端末100との通信経路に設置される中継装置400と、セキュリティポリシーへの適合を判定する、検疫サーバ500と、適合しない仮想端末を検疫ネットワークに接続させる端末隔離装置710とを備える。検疫サーバ500は、適合しない仮想端末の業務ネットワークでのIPアドレス、検疫ネットワークでのIPアドレス、許可される特定のポートを中継装置400に通知する。中継装置400は、通知を受けると、リモート端末から送信されたIPパケットの送信先のIPアドレスを検疫ネットワークでのIPアドレスに変換し、特定のポートを用いた通信のみを許可する。
【選択図】図1
Description
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする。
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする。
本発明では、リモート接続および治療の対象となる仮想端末から治癒サーバまでのアクセスを中継する装置(以下「中継装置」と表記する。)が、リモート端末と仮想端末との通信経路上に設置される。
以下、本発明の実施の形態における、検疫ネットワークシステムおよび検疫方法について、図1〜図6を参照しながら説明する。
最初に、本実施の形態における検疫ネットワークシステムの構成について図1を用いて説明する。図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
次に、図2を用いて、図1に示した、中継装置400、検疫サーバ500、仮想端末管理サーバ700の構成を具体的に説明する。図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。また、本実施の形態では仮想端末は複数個生成されていても良いが、説明を分かりやすくするため、仮想端末720を例に挙げて説明する。
図2に示すように、中継装置400は、IPパケット受信部410と、IPパケット送信部420と、通信制御部430と、通信ルールデータベース440と、通信ルール作成部450とを備えている。
また、図2に示すように、検疫サーバ500は、端末隔離指示部510と、ポリシ適合判定部520と、端末情報管理DB520とを備え、これらによって検疫処理を行なっている。
さらに、図2に示すように、仮想端末管理サーバ700において、仮想端末隔離装置710は、端末隔離部711を備えている。端末隔離部711は、セキュリティポリシーに適合しない仮想端末のネットワークを切り替え、当該仮想端末を業務ネットワークから検疫ネットワークへと隔離する。つまり、端末隔離部711は、仮想端末に対して隔離が必要となる場合は、その仮想端末のIPアドレスを、業務ネットワーク用IPアドレスから検疫ネットワーク用IPアドレスへと切り替える。
次に、本発明の実施の形態における検疫ネットワークシステム10の動作について、図4〜図6を用いて説明する。また、本実施の形態では、検疫ネットワークシステム10を動作させることによって、検疫方法が実施される。よって、本実施の形態における検疫方法の説明は、以下の検疫ネットワークシステム10の動作説明に代える。なお、以下においては、説明を分かりやすくするため、複数構築されている仮想端末のうち、仮想端末720のみを例として取り上げる。
最初に、本実施の形態における検疫ネットワークシステム10での仮想端末の隔離時の動作について図4を用いて説明する。図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の治療時の動作について図5を用いて説明する。図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の復旧時の動作について図6を用いて説明する。図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
以上のように、本実施の形態では、仮想端末が隔離された場合に、検疫サーバが、それまで仮想端末に付与していた業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスを中継装置に通知する。そして、中継装置は、リモート接続用のプロトコル以外を制限する。このため、本実施の形態によれば、仮想環境上の仮想端末が検疫ネットワークに隔離された場合であっても、仮想端末を利用するユーザは、業務ネットワークでのIPアドレスを用いて、仮想端末による業務を継続でき、仮想端末の治療のために、求められる操作を行なうことができる。
100 リモート端末
200 治癒サーバ
300 ネットワーク
400 中継装置
410 IPパケット受信部
420 IPパケット送信部
430 通信制御部
440 通信ルールデータベース
450 通信ルール作成部
500 検疫サーバ
510 端末隔離指示部
520 ポリシ適合判定部
530 端末情報管理データベース
600 スイッチ
700 仮想端末管理サーバ(物理サーバ)
710 端末隔離装置
711 端末隔離部
720、730、740 仮想端末
721 端末情報収集部
Claims (10)
- 物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする検疫ネットワークシステム。 - 前記中継装置が、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項1に記載の検疫ネットワークシステム。
- 前記検疫サーバが、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記中継装置が、通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項1または2に記載の検疫ネットワークシステム。 - 前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバを更に備え、
前記中継装置は、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項1〜3のいずれかに記載の検疫ネットワークシステム。 - 前記端末隔離装置が、
前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、
請求項1〜4のいずれかに記載の検疫ネットワークシステム。 - 物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする検疫方法。 - 前記(b)のステップにおいて、前記中継装置によって、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項6に記載の検疫方法。
- 前記(a)のステップにおいて、前記検疫サーバによって、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記(b)のステップにおいて、前記中継装置によって、前記(a)のステップで通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項6または7に記載の検疫方法。 - 前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバが更に用いられ、
前記(b)のステップにおいて、前記中継装置によって、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項6〜8のいずれかに記載の検疫方法。 - (c)前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、
前記端末隔離装置によって、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、ステップを更に有する、請求項6〜9のいずれかに記載の検疫方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082438A JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082438A JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012222383A true JP2012222383A (ja) | 2012-11-12 |
JP5505654B2 JP5505654B2 (ja) | 2014-05-28 |
Family
ID=47273502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011082438A Active JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5505654B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014126963A (ja) * | 2012-12-26 | 2014-07-07 | Nec Corp | 通信制御システム、通信制御方法および通信制御プログラム |
JP2014191440A (ja) * | 2013-03-26 | 2014-10-06 | Fujitsu Ltd | プログラム、診断方法及び診断システム |
JP2016031687A (ja) * | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
CN114070622A (zh) * | 2021-11-16 | 2022-02-18 | 北京宏达隆和科技有限公司 | 一种基于网络端口安全的微隔离系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006121704A (ja) * | 2004-10-21 | 2006-05-11 | Lucent Technol Inc | 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ |
JP2006260027A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 |
JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
JP2008054204A (ja) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | 接続装置及び端末装置及びデータ確認プログラム |
JP2008090791A (ja) * | 2006-10-05 | 2008-04-17 | Nippon Telegr & Teleph Corp <Ntt> | 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム |
WO2011115655A1 (en) * | 2010-03-15 | 2011-09-22 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
-
2011
- 2011-04-04 JP JP2011082438A patent/JP5505654B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006121704A (ja) * | 2004-10-21 | 2006-05-11 | Lucent Technol Inc | 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ |
JP2006260027A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 |
JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
JP2008054204A (ja) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | 接続装置及び端末装置及びデータ確認プログラム |
JP2008090791A (ja) * | 2006-10-05 | 2008-04-17 | Nippon Telegr & Teleph Corp <Ntt> | 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム |
WO2011115655A1 (en) * | 2010-03-15 | 2011-09-22 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
JP2011199749A (ja) * | 2010-03-23 | 2011-10-06 | Nec Corp | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014126963A (ja) * | 2012-12-26 | 2014-07-07 | Nec Corp | 通信制御システム、通信制御方法および通信制御プログラム |
JP2014191440A (ja) * | 2013-03-26 | 2014-10-06 | Fujitsu Ltd | プログラム、診断方法及び診断システム |
JP2016031687A (ja) * | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
CN114070622A (zh) * | 2021-11-16 | 2022-02-18 | 北京宏达隆和科技有限公司 | 一种基于网络端口安全的微隔离系统 |
CN114070622B (zh) * | 2021-11-16 | 2024-02-09 | 北京宏达隆和科技有限公司 | 一种基于网络端口安全的微隔离系统 |
Also Published As
Publication number | Publication date |
---|---|
JP5505654B2 (ja) | 2014-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
Akbanov et al. | WannaCry ransomware: Analysis of infection, persistence, recovery prevention and propagation mechanisms | |
US10621344B2 (en) | System and method for providing network security to mobile devices | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
KR102301721B1 (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
JP2018513505A (ja) | システム層間でデータオペレーション機能を分割する方法 | |
CN108809975B (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
JP5505654B2 (ja) | 検疫ネットワークシステム及び検疫方法 | |
Akbanov et al. | Static and dynamic analysis of WannaCry ransomware | |
Huddleston et al. | How vmware exploits contributed to solarwinds supply-chain attack | |
KR20110006399A (ko) | 호스트 기반의 망분리 장치 및 방법 | |
Denham et al. | Ransomware and malware sandboxing | |
CN107342963A (zh) | 一种虚拟机安全控制方法、系统及网络设备 | |
Richariya et al. | Distributed approach of intrusion detection system: Survey | |
Chen et al. | Research and practice of dynamic network security architecture for IaaS platforms | |
US20160156590A1 (en) | Method and system for configuring and securing a device or apparatus, a device or apparatus, and a computer program product | |
US20170099317A1 (en) | Communication device, method and non-transitory computer-readable storage medium | |
JP7411775B2 (ja) | インラインマルウェア検出 | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
Kumar et al. | Debugging using MD5 process firewall | |
KR20130039626A (ko) | 가상 머신 통신 인터페이스를 이용한 가상 머신간 데이터 전송방법과 그 기록 매체 | |
Misono et al. | Distributed Denial of Service Attack Prevention at Source Machines | |
CN115277119B (zh) | 内部网络的访问方法、装置、设备及存储介质 | |
CN105162577A (zh) | 虚拟环境下的加密解密方法和物理服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130513 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130626 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140304 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5505654 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |