JP2013171371A - パケットフィルタリング方法及び装置 - Google Patents
パケットフィルタリング方法及び装置 Download PDFInfo
- Publication number
- JP2013171371A JP2013171371A JP2012033844A JP2012033844A JP2013171371A JP 2013171371 A JP2013171371 A JP 2013171371A JP 2012033844 A JP2012033844 A JP 2012033844A JP 2012033844 A JP2012033844 A JP 2012033844A JP 2013171371 A JP2013171371 A JP 2013171371A
- Authority
- JP
- Japan
- Prior art keywords
- browsing
- web content
- terminal
- server
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】DNSサーバ21が、端末10から送信されるドメイン名によって閲覧規制の検査が必要か否かを一次仕分けし、検査が不要なドメインについては接続先サーバのアドレスを応答することで端末10から当該サーバに直接アクセスさせる。一方、検査が必要なドメインについては網内サーバ22のアドレスを応答し、端末10から閲覧要求を受信した網内サーバ22は、URLフィルタリングにより要求されたwebコンテンツの閲覧可否を判定し、閲覧可能と判定した場合は、当該webコンテンツに代理アクセスして、その応答結果を端末10に転送する。
【選択図】図1
Description
(1)プロキシサーバを用いたコンテンツフィルタ
プロキシサーバによる代理アクセスを行い、閲覧先サイトから応答されるコンテンツを構成している文字データや画像データなどを解析して不適切なものがあれば、当該コンテンツをブロックする。
(2)URLフィルタリング
DPI(Deep Packet Inspection)装置等を用いて、閲覧を要求されたURLを文字列レベルで検査し、不適切なURLに対するアクセス要求をブロックする。
(3)DNS(Domain Name System)ポイズニング/ブロッキング
DNSサーバにおいて、ブロッキング対象のドメイン名についての名前解決クエリに対して接続先のIP(Internet Protocol)アドレスを応答しない。
(4)パケットドロップ
ルータ装置やファイアウォール装置により、接続規制の対象となるIPアドレスへの接続要求をブロックする。
(1)プロキシサーバを用いたコンテンツフィルタ
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがプロキシサーバを通過するため、検査の負荷が高い。
(2)URLフィルタリング
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがDPI装置等を通過するため、検査の負荷が高い。
(3)DNSポイズニング/ブロッキング
IPアドレスレベルでのフィルタとなり、ディレクトリ名まで考慮できないため、過剰にフィルタリングをする可能性がある。
(4)パケットドロップ
IPアドレスレベルでのフィルタとなり、過剰にフィルタリングをする可能性がある。
図1は、本発明の実施形態に係るパケットフィルタリング装置の接続構成例を示す図である。図1に示すように、端末10に対してインターネット3に接続されるwebサーバ30との間のインターネット接続サービスを提供する事業者網2内に設置されるパケットフィルタリング装置20は、両者が連携することでURLフィルタリング機能を提供するDNSサーバ21と網内サーバ22とから構成される。図1において、ER(Edge Router)23は端末10と事業者網2との接続点に設置されるエッジルータ装置であり、GW(Gateway)24は、事業者網2とインターネット3との接続点に設置されるゲートウェイ装置である。
3 インターネット
10 端末
20 パケットフィルタリング装置
21,21A,21B DNSサーバ
22,22A,22B 網内サーバ
23 エッジルータ装置(ER)
24 ゲートウェイ装置(GW)
30 webサーバ
30A 規制対象外サーバ(webサーバ)
30B 規制対象サーバ(webサーバ)
211 アドレス情報テーブル(対応付けデータ)
221 規制対象URLリスト
222 IPアドレス/FQDN対応テーブル
223 URLフィルタリング部
224 HTTP Proxy部
225 フロー情報保存テーブル
Claims (8)
- インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバに代理アクセスして取得した当該webコンテンツのデータを前記端末に応答する第3のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、前記端末から自装置宛に送信された前記閲覧要求の宛先アドレスを当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスに書き換えて当該閲覧先のwebサーバに前記閲覧要求を送信する第3のステップと、
当該閲覧先のwebサーバが、当該webコンテンツのデータを前記端末に応答する第4のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスを付して閲覧先がリダイレクトされた旨を前記端末に応答する第3のステップと、
前記端末が、応答された前記リダイレクト先のIPアドレスを用いることで、前記閲覧要求を当該閲覧先のwebサーバに再送して当該webコンテンツのデータを取得する第4のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - 請求項1から請求項3のいずれか一項に記載のパケットフィルタリング方法において、
前記網内サーバが2台以上の構成となっている
ことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバに代理アクセスして取得した当該webコンテンツのデータを前記端末に応答する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、前記端末から自装置宛に送信された前記閲覧要求の宛先アドレスを当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスに書き換えて当該閲覧先のwebサーバに前記閲覧要求を送信する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスを付して閲覧先がリダイレクトされた旨を前記端末に応答する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - 請求項5から請求項7のいずれか一項に記載のパケットフィルタリング装置において、
前記網内サーバが2台以上の構成となっている
ことを特徴とするパケットフィルタリング装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012033844A JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012033844A JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013171371A true JP2013171371A (ja) | 2013-09-02 |
Family
ID=49265269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012033844A Pending JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013171371A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790177A (zh) * | 2016-12-30 | 2017-05-31 | 广州恒成智道信息科技有限公司 | 信息检索系统的认证方法 |
JP2018074395A (ja) * | 2016-10-28 | 2018-05-10 | 学校法人東京電機大学 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
EP3306480A4 (en) * | 2015-05-26 | 2019-01-16 | NTT Communications Corporation | TARGET DISPLAY DEVICE, SERVICE USING THE SYSTEM, CLIENT TERMINAL, TARGET DISPLAY PROCESS AND PROGRAM |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001273225A (ja) * | 2001-02-15 | 2001-10-05 | Hitachi Ltd | 代理サーバ選択装置および代理サーバ |
JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
JP2004334455A (ja) * | 2003-05-07 | 2004-11-25 | Fujitsu Ltd | サーバ装置 |
JP2011221616A (ja) * | 2010-04-05 | 2011-11-04 | Nec Corp | Urlフィルタリングシステム、システム制御方法およびシステム制御用プログラム |
-
2012
- 2012-02-20 JP JP2012033844A patent/JP2013171371A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001273225A (ja) * | 2001-02-15 | 2001-10-05 | Hitachi Ltd | 代理サーバ選択装置および代理サーバ |
JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
JP2004334455A (ja) * | 2003-05-07 | 2004-11-25 | Fujitsu Ltd | サーバ装置 |
JP2011221616A (ja) * | 2010-04-05 | 2011-11-04 | Nec Corp | Urlフィルタリングシステム、システム制御方法およびシステム制御用プログラム |
Non-Patent Citations (2)
Title |
---|
中浦 猛 TAKESHI NAKAURA: "現場で役立つ「熟練」のノウハウ ネットワーク構築シミュレーション", N+I NETWORK 第5巻 第2号, vol. 第5巻, JPN6015003435, 1 February 2005 (2005-02-01), JP, pages 118 - 123, ISSN: 0002994731 * |
森 亮二: "わかっている"つもり"では済まされない! ギョーカイ人のためのIT法律講座", COMPUTERWORLD 第7巻 第9号, vol. 第7巻, JPN6015003433, 1 September 2010 (2010-09-01), JP, pages 46 - 51, ISSN: 0002994730 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3306480A4 (en) * | 2015-05-26 | 2019-01-16 | NTT Communications Corporation | TARGET DISPLAY DEVICE, SERVICE USING THE SYSTEM, CLIENT TERMINAL, TARGET DISPLAY PROCESS AND PROGRAM |
US10547690B2 (en) | 2015-05-26 | 2020-01-28 | Ntt Communications Corporation | Connection destination server instruction apparatus, service use system, client terminal, connection destination server instruction method, and program |
JP2018074395A (ja) * | 2016-10-28 | 2018-05-10 | 学校法人東京電機大学 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
CN106790177A (zh) * | 2016-12-30 | 2017-05-31 | 广州恒成智道信息科技有限公司 | 信息检索系统的认证方法 |
CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100571188C (zh) | 一种提高ssl网关处理效率的方法及ssl网关 | |
US20170034174A1 (en) | Method for providing access to a web server | |
US8533780B2 (en) | Dynamic content-based routing | |
US20190215308A1 (en) | Selectively securing a premises network | |
EP2571228B1 (en) | Access control method and system, and access terminal | |
EP4022876B1 (en) | Preventing a network protocol over an encrypted channel, and applications thereof | |
WO2022151867A1 (zh) | 一种http转https双向透明代理的方法和装置 | |
CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
CN107395500B (zh) | 感知计算存储一体化的智能网络架构及实现方法 | |
JP4931553B2 (ja) | ネットワーク間接続装置 | |
US9825909B2 (en) | Dynamic detection and application-based policy enforcement of proxy connections | |
US9002923B2 (en) | Transparent web proxy | |
US8914510B2 (en) | Methods, systems, and computer program products for enhancing internet security for network subscribers | |
KR20110062994A (ko) | 디엔에스 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법 | |
CN106604119B (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
CN108243143A (zh) | 一种基于web代理的网闸穿透方法及系统 | |
WO2005060202A1 (en) | Method and system for analysing and filtering https traffic in corporate networks | |
CN104202307A (zh) | 数据转发方法及装置 | |
EP4167524B1 (en) | Local network device connection control | |
WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
JP2013171371A (ja) | パケットフィルタリング方法及び装置 | |
CN102118313B (zh) | Ip地址探测的方法及设备 | |
US20100023620A1 (en) | Access controller | |
CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
CN103634289A (zh) | 通信屏蔽装置及通信屏蔽方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140307 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140502 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150203 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151110 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160405 |