JP2013171371A - パケットフィルタリング方法及び装置 - Google Patents
パケットフィルタリング方法及び装置 Download PDFInfo
- Publication number
- JP2013171371A JP2013171371A JP2012033844A JP2012033844A JP2013171371A JP 2013171371 A JP2013171371 A JP 2013171371A JP 2012033844 A JP2012033844 A JP 2012033844A JP 2012033844 A JP2012033844 A JP 2012033844A JP 2013171371 A JP2013171371 A JP 2013171371A
- Authority
- JP
- Japan
- Prior art keywords
- browsing
- web content
- terminal
- server
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】インターネット接続サービスにおいて、ネットワークの応答性や信頼性の低下が少なく、かつ、URLレベルのフィルタリングが可能なパケットフィルタリング方法及び装置を提供する。
【解決手段】DNSサーバ21が、端末10から送信されるドメイン名によって閲覧規制の検査が必要か否かを一次仕分けし、検査が不要なドメインについては接続先サーバのアドレスを応答することで端末10から当該サーバに直接アクセスさせる。一方、検査が必要なドメインについては網内サーバ22のアドレスを応答し、端末10から閲覧要求を受信した網内サーバ22は、URLフィルタリングにより要求されたwebコンテンツの閲覧可否を判定し、閲覧可能と判定した場合は、当該webコンテンツに代理アクセスして、その応答結果を端末10に転送する。
【選択図】図1
【解決手段】DNSサーバ21が、端末10から送信されるドメイン名によって閲覧規制の検査が必要か否かを一次仕分けし、検査が不要なドメインについては接続先サーバのアドレスを応答することで端末10から当該サーバに直接アクセスさせる。一方、検査が必要なドメインについては網内サーバ22のアドレスを応答し、端末10から閲覧要求を受信した網内サーバ22は、URLフィルタリングにより要求されたwebコンテンツの閲覧可否を判定し、閲覧可能と判定した場合は、当該webコンテンツに代理アクセスして、その応答結果を端末10に転送する。
【選択図】図1
Description
本発明は、インターネット接続サービスの利用者が、児童ポルノサイトをはじめとする不適切サイトのコンテンツを閲覧できないようにする閲覧規制の技術に関する。
児童ポルノサイトをはじめとする不適切サイトの閲覧規制を行うことは、インターネット接続サービスを提供する通信事業者の義務となってきている。そのため、通信事業者にはネットワーク側にてコンテンツの閲覧規制を実施するURL(Uniform Resource Locator)フィルタリング機能(パケットフィルタリング機能とも呼ばれる)を配備することが強く求められている。しかし、今後ますます増加するものと見込まれるwebアクセスのなかで、一般ユーザの閲覧にふさわしくない(フィルタリングすることが望ましい)コンテンツも増加していくことが容易に想像できる。そのため、多くの利用者からの閲覧要求を高速に処理しつつ、漏れのないURLフィルタリングを行うことが求められる。
ネットワーク側にて不適切サイトの閲覧規制を実施するための従来技術として、主に以下の4つがある(非特許文献1参照)。
(1)プロキシサーバを用いたコンテンツフィルタ
プロキシサーバによる代理アクセスを行い、閲覧先サイトから応答されるコンテンツを構成している文字データや画像データなどを解析して不適切なものがあれば、当該コンテンツをブロックする。
(2)URLフィルタリング
DPI(Deep Packet Inspection)装置等を用いて、閲覧を要求されたURLを文字列レベルで検査し、不適切なURLに対するアクセス要求をブロックする。
(3)DNS(Domain Name System)ポイズニング/ブロッキング
DNSサーバにおいて、ブロッキング対象のドメイン名についての名前解決クエリに対して接続先のIP(Internet Protocol)アドレスを応答しない。
(4)パケットドロップ
ルータ装置やファイアウォール装置により、接続規制の対象となるIPアドレスへの接続要求をブロックする。
(1)プロキシサーバを用いたコンテンツフィルタ
プロキシサーバによる代理アクセスを行い、閲覧先サイトから応答されるコンテンツを構成している文字データや画像データなどを解析して不適切なものがあれば、当該コンテンツをブロックする。
(2)URLフィルタリング
DPI(Deep Packet Inspection)装置等を用いて、閲覧を要求されたURLを文字列レベルで検査し、不適切なURLに対するアクセス要求をブロックする。
(3)DNS(Domain Name System)ポイズニング/ブロッキング
DNSサーバにおいて、ブロッキング対象のドメイン名についての名前解決クエリに対して接続先のIP(Internet Protocol)アドレスを応答しない。
(4)パケットドロップ
ルータ装置やファイアウォール装置により、接続規制の対象となるIPアドレスへの接続要求をブロックする。
"インターネット上での児童ポルノの流通に関する問題とその対策について"、[online]、平成21年3月、総合セキュリティ対策会議、[平成24年1月31日検索]、インターネット<URL:http://www.npa.go.jp/cyber/csmeeting/h20/pdf/pdf20.pdf>
しかしながら、前記従来技術には次のような課題が存在する。
(1)プロキシサーバを用いたコンテンツフィルタ
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがプロキシサーバを通過するため、検査の負荷が高い。
(2)URLフィルタリング
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがDPI装置等を通過するため、検査の負荷が高い。
(3)DNSポイズニング/ブロッキング
IPアドレスレベルでのフィルタとなり、ディレクトリ名まで考慮できないため、過剰にフィルタリングをする可能性がある。
(4)パケットドロップ
IPアドレスレベルでのフィルタとなり、過剰にフィルタリングをする可能性がある。
(1)プロキシサーバを用いたコンテンツフィルタ
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがプロキシサーバを通過するため、検査の負荷が高い。
(2)URLフィルタリング
ネットワークの転送網上に装置を追加する必要があるため、ネットワークの応答性や信頼性が低下する。また、すべてのトラヒックがDPI装置等を通過するため、検査の負荷が高い。
(3)DNSポイズニング/ブロッキング
IPアドレスレベルでのフィルタとなり、ディレクトリ名まで考慮できないため、過剰にフィルタリングをする可能性がある。
(4)パケットドロップ
IPアドレスレベルでのフィルタとなり、過剰にフィルタリングをする可能性がある。
本発明は、これら従来技術の課題を解決するためになされたものであり、ネットワークの応答性や信頼性の低下が少なく、かつ、URLレベルのフィルタリングが可能なパケットフィルタリング方法及び装置を提供することを目的とする。
前記の目的を達成するために、本発明は、インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバに代理アクセスして取得した当該webコンテンツのデータを前記端末に応答する第3のステップと、を含むものとした。
こうすることにより、DNSサーバにて閲覧規制の対象となる可能性があるドメインと、閲覧規制の対象外のドメインとの仕分けが行われ、閲覧規制の対象外のドメインに含まれるwebコンテンツは、各端末が直接閲覧先のサーバにアクセスして閲覧を行うので、途中に他の装置が介在することによるネットワークの応答性や信頼性の低下を抑止することができる。一方、閲覧規制の対象となる可能性があるwebコンテンツを最終的に閲覧規制の対象とする否かは、網内サーバにて閲覧先のURLと規制対象URLリストとを照合することによりURLレベルで判定されるので、IPアドレスレベルのフィルタリングのように過剰にフィルタリングされることがなくなる。
また、本発明の他のパケットフィルタリング方法は、前記第3のステップとして、前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、前記端末から自装置宛に送信された前記閲覧要求の宛先アドレスを当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスに書き換えて当該閲覧先のwebサーバに前記閲覧要求を送信するものとし、さらに当該閲覧先のwebサーバが、当該webコンテンツのデータを前記端末に応答する第4のステップを含むものとした。
こうすることにより、網内サーバが端末から受信した閲覧要求に応答するための情報を保持しておく必要がなくなるので、網内サーバの低コスト化が可能となる。
また、本発明の他のパケットフィルタリング方法は、前記第3のステップとして、前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスを付して閲覧先がリダイレクトされた旨を前記端末に応答するものとし、前記第4のステップとして、前記端末が、応答された前記リダイレクト先のIPアドレスを用いることで、前記閲覧要求を当該閲覧先のwebサーバに再送して当該webコンテンツのデータを取得するものとした。
こうすることにより、網内サーバが端末から受信した閲覧要求に応答するための情報を保持しておく必要がなくなるので、網内サーバの低コスト化が可能となる。
また、本発明は、前記それぞれのパケットフィルタリング方法において、前記網内サーバが2台以上の構成となっているものとした。
こうすることにより、ネットワークの応答性や信頼性を向上させることができる。
また、本発明のパケットフィルタリング装置は、前記それぞれのパケットフィルタリング方法の前記第1のステップを実行する前記DNSサーバと、前記第3のステップを実行する前記網内サーバと、から構成される。
本発明によれば、ネットワークの応答性や信頼性の低下が少なく、かつ、URLレベルのフィルタリングが可能なパケットフィルタリング方法及び装置を提供することができる。
以下、本発明の実施形態を適宜図面を参照して詳細に説明する。
図1は、本発明の実施形態に係るパケットフィルタリング装置の接続構成例を示す図である。図1に示すように、端末10に対してインターネット3に接続されるwebサーバ30との間のインターネット接続サービスを提供する事業者網2内に設置されるパケットフィルタリング装置20は、両者が連携することでURLフィルタリング機能を提供するDNSサーバ21と網内サーバ22とから構成される。図1において、ER(Edge Router)23は端末10と事業者網2との接続点に設置されるエッジルータ装置であり、GW(Gateway)24は、事業者網2とインターネット3との接続点に設置されるゲートウェイ装置である。
図1は、本発明の実施形態に係るパケットフィルタリング装置の接続構成例を示す図である。図1に示すように、端末10に対してインターネット3に接続されるwebサーバ30との間のインターネット接続サービスを提供する事業者網2内に設置されるパケットフィルタリング装置20は、両者が連携することでURLフィルタリング機能を提供するDNSサーバ21と網内サーバ22とから構成される。図1において、ER(Edge Router)23は端末10と事業者網2との接続点に設置されるエッジルータ装置であり、GW(Gateway)24は、事業者網2とインターネット3との接続点に設置されるゲートウェイ装置である。
ところで、インターネット接続サービスに用いられる通常のDNSサーバは、端末10から名前解決を依頼されたドメイン名(FQDN:Fully Qualified Domain Name)に該当する接続先サーバのIPアドレスを応答する機能を有しており、端末10からあるwebコンテンツを閲覧する場合には、まず、閲覧したいwebコンテンツに付されているURLから抽出したドメイン名をDNSサーバに送信して名前解決を依頼し、次に、DNSサーバから応答されるIPアドレス宛、すなわち当該IPアドレスを有する接続先のwebサーバ30宛に、当該URLの閲覧要求を送信することによってwebコンテンツを取得する、という2つの手順が実行される。
一方、図1に示した本発明に係るDNSサーバ21は、閲覧規制の対象となるURLとして予め登録されている規制対象URLの一覧から抽出されるドメイン名によって、閲覧先のwebサーバ30を、健全で閲覧規制の検査が不要な規制対象外サーバ30Aと、健全性が疑わしく閲覧規制の検査が必要な規制対象サーバ30Bとに一次仕分けする機能を有する。より詳しくは、名前解決を依頼されたドメイン名の配下に閲覧規制の対象となるwebコンテンツが存在するか否かを判定し、そのようなwebコンテンツが存在しない規制対象外サーバ30Aについては、前記した通常のDNSサーバと同様に接続先となる規制対象外サーバ30AのIPアドレスを応答する。他方、閲覧規制の対象となるwebコンテンツが1つでも配下に存在するため健全性が疑わしい規制対象サーバ30Bについては、端末10からの閲覧要求を接続先の規制対象サーバ30BではなくURLフィルタリング機能を有する網内サーバ22に送信させるために、網内サーバ22のIPアドレスを応答する。
これにより、閲覧規制の対象となるwebコンテンツを含まない健全なドメインについてのwebコンテンツの閲覧は、従来の通常のDNSサーバを用いたときと同様な手順によって、途中に他の装置を介在させることなく、端末10と接続先のwebサーバ30(規制対象外サーバ30A)との間で直接実行することができる。他方、閲覧規制の対象となるwebコンテンツを含み健全性が疑わしいドメインについてのwebコンテンツの閲覧時には、以下のようにして網内サーバ22によるURLレベルのフィルタリングが行われることになる。
DNSサーバ21からの応答にしたがって、端末10から網内サーバ22にURLの閲覧要求が送信されると、網内サーバ22は、当該URLと閲覧規制の対象となる規制対象URLの一覧が予め登録されている規制対象URLリストとを照合することにより、当該URLで指定されるwebコンテンツの閲覧可否を判定し、閲覧可能な場合は、当該webコンテンツに代理アクセスしてその応答結果を送信元の端末10に転送する。このとき、網内サーバ22は透過型プロキシとして機能することになる。他方、当該URLで指定されるwebコンテンツの閲覧を拒否する場合は、当該webコンテンツへの接続を拒否した旨を通知するwebページを端末10に応答する。
また、図2の接続構成例のように、パケットフィルタリング装置20を構成するDNSサーバ21をプライマリDNSサーバ21AとセカンダリDNSサーバ21Bとの2台構成にするのと同様に、網内サーバ22もプライマリ網内サーバ22Aとセカンダリ網内サーバ22Bとの2台構成とすることにより、ネットワークの応答性や信頼性を向上させることが可能である。なお、必ずしも両方のサーバを同時に多重化する必要はない。また、DNSサーバ21側に複数の網内サーバ22に対する負荷分散機能をもたせることにより、網内サーバ22を3台以上の構成に多重化することも可能である。
以下、図5のデータ例に示すように、規制対象URLとして「example1.jp/xxx.html」、「example1.jp/yyy.jpg」、「example3.jp/zzz.html」、・・が予め登録されており、ドメイン「example2.jp」は規制対象URLを含まず、また「example1.jp/www.html」は規制対象URLではないものと仮定して、パケットフィルタリング装置20の動作を詳細に説明する。
図3は、DNSサーバ21が備えるアドレス情報テーブルの構成及びデータ例である。図3に示すように、アドレス情報テーブル211には、ドメイン名(FQDN)、第1のIPアドレス(IP addr 1)、第2のIPアドレス(IP addr 2)などを属性としてもつエントリが複数登録されている。ここで、ドメイン名は、名前解決の対象となるドメインの名称であり、第1及び第2のIPアドレスは、当該ドメイン名に対して応答すべきプライマリ及びセカンダリの2つのIPアドレスである。
ここで、前記したように、規制対象URLに含まれるドメイン名は「example1.jp」、「example3.jp」、・・であることから(図5参照)、図3に示すデータ例のように、これら規制対象URLを配下に含むドメイン名に対しては、第1及び第2のIPアドレスとして、プライマリ及びセカンダリ網内サーバ22A,22Bのアドレスである「192.0.2.253」及び「192.0.2.254」が割り当てられている。これにより、DNSサーバ21は、これら不適切サイトの可能性があるドメイン名(FQDN)に対しては網内サーバ22Aまたは22Bのアドレスを応答し、端末10からの閲覧要求を網内サーバ22に送信させる。
図4は、透過型プロキシとしての網内サーバ22の機能構成例を示すブロック図である。図4に示すように、透過型プロキシとしての機能を有する網内サーバ22は、規制対象URLリスト221、IPアドレス/FQDN対応テーブル222、URLフィルタリング部223、HTTP Proxy部224、及びフロー情報保存テーブル225を備えている。
規制対象URLリスト221には、図5に示すように、URLリスト作成事業者などから提供される閲覧規制URLの一覧が予め登録される。IPアドレス/FQDN対応テーブル222には、図6に示すように、不適切サイトの可能性があるドメイン名(FQDN)と、当該ドメイン名に該当する規制対象サーバ30Bの第1のIPアドレス(IP addr 1)及び第2のIPアドレス(IP addr 2)などが対応付けられて保持される。なお、図6のデータ例は、「example1.jp」のドメインがIPアドレス「198.51.100.10」及び「198.51.100.11」に、「example3.jp」のドメインがIPアドレス「198.51.100.20」及び「198.51.100.21」に対応付けられ、当該ドメインのwebコンテンツがそれぞれ2つの規制対象サーバ30Bに保有されている場合を示している。
URLフィルタリング部223は、端末10から閲覧を要求されたURLと規制対象URLリスト221を照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末10に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを代理アクセスするようHTTP Proxy部224に依頼する。
HTTP Proxy部224は、URLフィルタリング部223からの依頼に基づき、IPアドレス/FQDN対応テーブル222から接続先の規制対象サーバ30BのIPアドレスを取得して当該webコンテンツの代理アクセスを実行し、その応答結果を端末10に転送する。
フロー情報保存テーブル225には、図7に示すように、HTTP Proxy部224が閲覧要求の送信元となった端末10に代理アクセスの応答結果を転送するために必要となる端末10の送信元IPアドレス(Src IP)及び送信元ポート番号(Src Port)、接続先webサーバへの宛先IPアドレス(Dst IP)、並びに、元の閲覧要求に含まれていたL4以下のヘッダ情報(その他Header Parameter)などが、それぞれの閲覧要求ごとに対応付けられて、代理アクセスの応答結果の返送が完了するまで一時保存される。例えば、図7の1行目のエントリのデータ例は、送信元IPアドレスが「203.0.113.1」の端末10から送信元ポート番号「10000」にて送信された閲覧要求に対する応答結果を、当該端末10に転送するための代理アクセスが、宛先IPアドレス「198.51.100.10」の規制対象サーバ30Bに対してなされた状態を表している。これらのエントリは、端末10への応答結果の転送が完了した時点でフロー情報保存テーブル225から削除される。
続いて、図8及び図9のフローチャートを参照して、透過型プロキシとしての網内サーバ22の動作について詳細に説明する。
図8は、透過型プロキシとして機能する網内サーバ22が、端末10からwebコンテンツの閲覧要求を受信したときの動作を示すフローチャートである。図8に示すように、網内サーバ22は、端末10からwebコンテンツの閲覧要求であるHTTP要求を受信すると(ステップS81)、URLフィルタリング部223が、受信したHTTP要求から閲覧先のwebコンテンツを示す要求URLを抽出する(ステップS82)。次に、URLフィルタリング部223は、抽出した要求URLが規制対象URLリスト221(図8ではURLリストと略記。)に含まれるか否かを判定し(ステップS83)、含まれない場合は(ステップS83で「No」)ステップS84に、含まれる場合は(ステップS83で「Yes」)ステップS87に処理を進める。
ステップS84からステップS86では、HTTP Proxy部224は、URLフィルタリング部223からの依頼に基づいて、接続規制の対象ではないと判定された要求URLの代理アクセスを実行したのち、処理を終了する。そのために、まず、受信したHTTP要求に含まれるヘッダ情報をフロー情報保存テーブル225にエントリを追加して保存し(ステップS84)、次に、IPアドレス/FQDN対応テーブル222から要求URLのドメイン名に該当するFQDNをもつエントリを検索することにより接続先のIPアドレスを取得する(ステップS85)。同時に、取得した接続先のIPアドレスを、ステップS84にてフロー情報保存テーブル225に追加したエントリの宛先IPアドレス(Dst IP)に登録しておく。そして、取得した接続先のIPアドレスを用いて接続先の規制対象サーバ30Bに端末10から受信したHTTP要求を転送する(ステップS86)。このとき、HTTP要求の送信元IPアドレス(Src IP)の部分は、自身のサーバアドレスに設定し、元のHTTP要求に含まれていた端末10の送信元IPアドレスを、ステップS84にてフロー情報保存テーブル225に追加したエントリの送信元IPアドレス(Src IP)に登録しておく。転送したHTTP要求に対する応答処理については図9を用いて後記する。
一方、ステップS87では、URLフィルタリング部223は、要求URLは接続規制の対象であると判定されたので、フィルタリングによる接続拒否を通知するwebページを端末10に応答したのち、処理を終了する。
図9は、透過型プロキシとしての網内サーバ22が接続先の規制対象サーバ30Bから閲覧応答を受信したときの動作を示すフローチャートである。図9に示すように、透過型プロキシサーバとして機能する網内サーバ22のHTTP Proxy部224は、接続先の規制対象サーバ30BからHTTP応答を受信すると(ステップS91)、フロー情報保存テーブル225から当該サーバのアドレスを宛先IPアドレス(Dst IP)とするエントリを検索し、当該フローの送信元の情報として送信元IPアドレス(Src IP)及び送信元ポート番号(Src Port)を取得し(ステップS92)、当該フローの送信元の端末10に接続先の規制対象サーバ30Bから受信したHTTP応答を転送したのち(ステップS93)、処理を終了する。
図10は、閲覧先のドメインが閲覧規制の検査対象外であるときの信号のやり取りを示すシーケンス図である。図10に示すように、端末10からDNSサーバ21に閲覧規制の検査対象外のドメイン名についての名前解決要求である「DNSクエリ(example2.jp)」が送信されると、DNSサーバ21から当該ドメイン名に該当する規制対象外サーバ30AのIPアドレスを通知する「DNS応答(198.51.100.5)」が、端末10に返送される(図3参照)。次に、端末10は、DNSサーバ21から通知されたIPアドレス宛、つまり閲覧先のwebコンテンツを保有している規制対象外サーバ30A宛に、当該webコンテンツのURLを含む閲覧要求である「HTTP(GET example2.jp/vvv.html)」を送信し、当該規制対象外サーバ30Aから当該webコンテンツのデータが付された「HTTP(200 OK)」が、端末10に返送される。
図11は、閲覧先のドメインが閲覧規制の検査対象であったが、閲覧先のURLは閲覧規制の対象外であると判定されたときの信号のやり取りの例を示すシーケンス図である。図11に示すように、端末10からDNSサーバ21に閲覧規制の検査対象となるドメイン名についての名前解決要求である「DNSクエリ(example1.jp)」が送信されると、DNSサーバ21から網内サーバ22のIPアドレスを通知する「DNS応答(192.0.2.253)」が、端末10に返送される(図3参照)。次に、端末10は、DNSサーバ21から通知されたIPアドレス宛、つまり網内サーバ22宛に、閲覧規制の対象ではないwebコンテンツのURLを含む閲覧要求である「HTTP(GET example1.jp/www.html)」を送信する。この閲覧要求を受信した網内サーバ22は、閲覧先のURLを規制対象URLリスト221と照合することにより、当該URLは閲覧規制の対象ではないと判定し、当該閲覧要求を当該webコンテンツを保有する規制対象サーバ30Bに代理送信して、当該規制対象サーバ30Bから応答される当該webコンテンツのデータが付された「HTTP(200 OK)」を代理受信し、端末10に転送する。
図12は、閲覧先のドメインが閲覧規制の検査対象であり、閲覧先のURLが閲覧規制の対象であると判定されたときの信号のやり取りの例を示すシーケンス図である。図12に示すように、端末10からDNSサーバ21に閲覧規制の検査対象となるドメイン名についての名前解決要求である「DNSクエリ(example1.jp)」が送信されると、DNSサーバ21から網内サーバ22のIPアドレスを通知する「DNS応答(192.0.2.253)」が、端末10に返送される(図3参照)。次に、端末10は、DNSサーバ21から通知されたIPアドレス宛、つまり網内サーバ22宛に、閲覧規制の対象となる当該webコンテンツのURLを含む閲覧要求である「HTTP(GET example1.jp/xxx.html)」(図5参照)を送信する。この閲覧要求を受信した網内サーバ22は、閲覧先のURLを規制対象URLリスト221と照合することにより、当該URLは閲覧規制の対象であると判定し、フィルタリングによる接続拒否を通知するwebページを応答する「HTTP(200 OK)」を、端末10に返送する。
以上、網内サーバ22が端末10からの閲覧要求を代理アクセスする透過型プロキシとして機能する場合についての動作を説明したが、網内サーバ22が接続先の規制対象サーバ30Bに端末10から受信した閲覧要求に含まれる宛先IPアドレスの部分を、自装置のIPアドレスから接続先の規制対象サーバ30BのIPアドレスに書き換えて、当該規制対象サーバ30Bに転送するようにしてもよい。そのような構成においては、規制対象サーバ30Bから送信元の端末10に直接応答が返送されることになるので、網内サーバ22にはHTTP Proxy部224及びフロー情報保存テーブル225を備える必要がなく、網内サーバ22の低コスト化を図ることができる。
あるいは、網内サーバ22から接続先の規制対象サーバ30Bに閲覧要求を送信するのではなく、閲覧を許可する場合は当該規制対象サーバ30Bに接続先をリダイレクトするように、当該規制対象サーバ30BのIPアドレスを端末10に通知するようにしてもよい。そのような構成においては、送信元の端末10から直接リダイレクト先の規制対象サーバ30Bに閲覧要求を再送信してwebコンテンツを取得することになるので、網内サーバ22にはHTTP Proxy部224及びフロー情報保存テーブル225を備える必要がなく、網内サーバ22の低コスト化を図ることができる。
以上にて本発明を実施するための形態の説明を終えるが、本発明の実施の態様はこれに限られるものではなく、本発明の趣旨を逸脱しない範囲内で各種の変更が可能である。
2 事業者網
3 インターネット
10 端末
20 パケットフィルタリング装置
21,21A,21B DNSサーバ
22,22A,22B 網内サーバ
23 エッジルータ装置(ER)
24 ゲートウェイ装置(GW)
30 webサーバ
30A 規制対象外サーバ(webサーバ)
30B 規制対象サーバ(webサーバ)
211 アドレス情報テーブル(対応付けデータ)
221 規制対象URLリスト
222 IPアドレス/FQDN対応テーブル
223 URLフィルタリング部
224 HTTP Proxy部
225 フロー情報保存テーブル
3 インターネット
10 端末
20 パケットフィルタリング装置
21,21A,21B DNSサーバ
22,22A,22B 網内サーバ
23 エッジルータ装置(ER)
24 ゲートウェイ装置(GW)
30 webサーバ
30A 規制対象外サーバ(webサーバ)
30B 規制対象サーバ(webサーバ)
211 アドレス情報テーブル(対応付けデータ)
221 規制対象URLリスト
222 IPアドレス/FQDN対応テーブル
223 URLフィルタリング部
224 HTTP Proxy部
225 フロー情報保存テーブル
Claims (8)
- インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバに代理アクセスして取得した当該webコンテンツのデータを前記端末に応答する第3のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、前記端末から自装置宛に送信された前記閲覧要求の宛先アドレスを当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスに書き換えて当該閲覧先のwebサーバに前記閲覧要求を送信する第3のステップと、
当該閲覧先のwebサーバが、当該webコンテンツのデータを前記端末に応答する第4のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング方法であって、
端末から送信される閲覧先のドメイン名に該当するwebサーバのIPアドレスを前記端末に応答するDNSサーバが、前記規制対象URLリストに登録されている規制対象URLに含まれるドメイン名に対しては、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスを前記端末に応答する第1のステップと、
前記端末が、前記DNSサーバから応答される前記IPアドレスを用いることで、閲覧先のURLを指定したwebコンテンツの閲覧要求を前記網内サーバに送信する第2のステップと、
前記網内サーバが、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスを付して閲覧先がリダイレクトされた旨を前記端末に応答する第3のステップと、
前記端末が、応答された前記リダイレクト先のIPアドレスを用いることで、前記閲覧要求を当該閲覧先のwebサーバに再送して当該webコンテンツのデータを取得する第4のステップと、
を含むことを特徴とするパケットフィルタリング方法。 - 請求項1から請求項3のいずれか一項に記載のパケットフィルタリング方法において、
前記網内サーバが2台以上の構成となっている
ことを特徴とするパケットフィルタリング方法。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバに代理アクセスして取得した当該webコンテンツのデータを前記端末に応答する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、前記端末から自装置宛に送信された前記閲覧要求の宛先アドレスを当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスに書き換えて当該閲覧先のwebサーバに前記閲覧要求を送信する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - インターネット接続サービスにおいて、予め規制対象URLが登録された規制対象URLリストに基づいてwebコンテンツの閲覧規制を行うためのパケットフィルタリング装置であって、
端末から送信される閲覧先のドメイン名と当該ドメイン名に対して応答するIPアドレスとの対応付けデータを有し、前記対応付けデータのうち、前記規制対象URLに含まれるドメイン名は、前記規制対象URLリストに基づいてURLフィルタリングを行う網内サーバのIPアドレスに対応付けられており、前記対応付けデータを参照することで、前記端末から送信される閲覧先のドメイン名が前記規制対象URLに含まれるドメイン名であるときは、前記網内サーバのIPアドレスを前記端末に応答するDNSサーバと、
前記端末から送信される、閲覧先のURLが指定されたwebコンテンツの閲覧要求を受信し、前記閲覧先のURLと前記規制対象URLリストを照合することにより閲覧先のwebコンテンツが規制対象であるか否かを判定し、当該webコンテンツが規制対象であると判定した場合は、当該webコンテンツは閲覧規制の対象である旨を前記端末に応答し、当該webコンテンツが規制対象でないと判定した場合は、当該webコンテンツを保有する閲覧先のwebサーバのIPアドレスを付して閲覧先がリダイレクトされた旨を前記端末に応答する網内サーバと、
を備えることを特徴とするパケットフィルタリング装置。 - 請求項5から請求項7のいずれか一項に記載のパケットフィルタリング装置において、
前記網内サーバが2台以上の構成となっている
ことを特徴とするパケットフィルタリング装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012033844A JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012033844A JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013171371A true JP2013171371A (ja) | 2013-09-02 |
Family
ID=49265269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012033844A Pending JP2013171371A (ja) | 2012-02-20 | 2012-02-20 | パケットフィルタリング方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013171371A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790177A (zh) * | 2016-12-30 | 2017-05-31 | 广州恒成智道信息科技有限公司 | 信息检索系统的认证方法 |
| JP2018074395A (ja) * | 2016-10-28 | 2018-05-10 | 学校法人東京電機大学 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
| CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| EP3306480A4 (en) * | 2015-05-26 | 2019-01-16 | NTT Communications Corporation | TARGET DISPLAY DEVICE, SERVICE USING THE SYSTEM, CLIENT TERMINAL, TARGET DISPLAY PROCESS AND PROGRAM |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001273225A (ja) * | 2001-02-15 | 2001-10-05 | Hitachi Ltd | 代理サーバ選択装置および代理サーバ |
| JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
| JP2004334455A (ja) * | 2003-05-07 | 2004-11-25 | Fujitsu Ltd | サーバ装置 |
| JP2011221616A (ja) * | 2010-04-05 | 2011-11-04 | Nec Corp | Urlフィルタリングシステム、システム制御方法およびシステム制御用プログラム |
-
2012
- 2012-02-20 JP JP2012033844A patent/JP2013171371A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001273225A (ja) * | 2001-02-15 | 2001-10-05 | Hitachi Ltd | 代理サーバ選択装置および代理サーバ |
| JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
| JP2004334455A (ja) * | 2003-05-07 | 2004-11-25 | Fujitsu Ltd | サーバ装置 |
| JP2011221616A (ja) * | 2010-04-05 | 2011-11-04 | Nec Corp | Urlフィルタリングシステム、システム制御方法およびシステム制御用プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 中浦 猛 TAKESHI NAKAURA: "現場で役立つ「熟練」のノウハウ ネットワーク構築シミュレーション", N+I NETWORK 第5巻 第2号, vol. 第5巻, JPN6015003435, 1 February 2005 (2005-02-01), JP, pages 118 - 123, ISSN: 0002994731 * |
| 森 亮二: "わかっている"つもり"では済まされない! ギョーカイ人のためのIT法律講座", COMPUTERWORLD 第7巻 第9号, vol. 第7巻, JPN6015003433, 1 September 2010 (2010-09-01), JP, pages 46 - 51, ISSN: 0002994730 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3306480A4 (en) * | 2015-05-26 | 2019-01-16 | NTT Communications Corporation | TARGET DISPLAY DEVICE, SERVICE USING THE SYSTEM, CLIENT TERMINAL, TARGET DISPLAY PROCESS AND PROGRAM |
| US10547690B2 (en) | 2015-05-26 | 2020-01-28 | Ntt Communications Corporation | Connection destination server instruction apparatus, service use system, client terminal, connection destination server instruction method, and program |
| JP2018074395A (ja) * | 2016-10-28 | 2018-05-10 | 学校法人東京電機大学 | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 |
| CN106790177A (zh) * | 2016-12-30 | 2017-05-31 | 广州恒成智道信息科技有限公司 | 信息检索系统的认证方法 |
| CN109167758A (zh) * | 2018-08-07 | 2019-01-08 | 新华三技术有限公司 | 一种报文处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100571188C (zh) | 一种提高ssl网关处理效率的方法及ssl网关 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| US8533780B2 (en) | Dynamic content-based routing | |
| US20190215308A1 (en) | Selectively securing a premises network | |
| EP2571228B1 (en) | Access control method and system, and access terminal | |
| EP4022876B1 (en) | Preventing a network protocol over an encrypted channel, and applications thereof | |
| WO2022151867A1 (zh) | 一种http转https双向透明代理的方法和装置 | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CN107395500B (zh) | 感知计算存储一体化的智能网络架构及实现方法 | |
| JP4931553B2 (ja) | ネットワーク間接続装置 | |
| US9825909B2 (en) | Dynamic detection and application-based policy enforcement of proxy connections | |
| US9002923B2 (en) | Transparent web proxy | |
| US8914510B2 (en) | Methods, systems, and computer program products for enhancing internet security for network subscribers | |
| KR20110062994A (ko) | 디엔에스 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법 | |
| CN106604119B (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
| CN108243143A (zh) | 一种基于web代理的网闸穿透方法及系统 | |
| WO2005060202A1 (en) | Method and system for analysing and filtering https traffic in corporate networks | |
| CN104202307A (zh) | 数据转发方法及装置 | |
| EP4167524B1 (en) | Local network device connection control | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| JP2013171371A (ja) | パケットフィルタリング方法及び装置 | |
| CN102118313B (zh) | Ip地址探测的方法及设备 | |
| US20100023620A1 (en) | Access controller | |
| CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
| CN103634289A (zh) | 通信屏蔽装置及通信屏蔽方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140307 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140502 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140528 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151110 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160405 |