JP2013191958A - Urlフィルタリング装置 - Google Patents
Urlフィルタリング装置 Download PDFInfo
- Publication number
- JP2013191958A JP2013191958A JP2012055508A JP2012055508A JP2013191958A JP 2013191958 A JP2013191958 A JP 2013191958A JP 2012055508 A JP2012055508 A JP 2012055508A JP 2012055508 A JP2012055508 A JP 2012055508A JP 2013191958 A JP2013191958 A JP 2013191958A
- Authority
- JP
- Japan
- Prior art keywords
- address
- processing unit
- packet
- function
- fast path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】HTTP通信の前に送信されるDNS要求を受けた段階で、それに含まれるFQDNを、FQDN及びIPアドレスごとの安全性を記録したACサーバへ問い合わせ、当該IPアドレスにある全てのコンテンツが安全であると保証されるのであれば、そのIPアドレスへのTCPセッションは全て安全としてファストパス処理する。HTTPセッションの確立前に予め問い合わせを行うため、速やかなファストパス登録ができる。
【選択図】図1
Description
上記ユーザ端末と上記ウェブサーバとの間で送受信されるパケットを中継するパケット転送処理部と、パケット転送処理部を通過するTCPパケットのヘッダ部分を読み取りTCP層の処理を行うTCP層パケット処理部と、上記TCPパケットのデータ部分に含まれるHTTP構文を読み取り解析を行うHTTP構文解析処理部と、上記の解析されたHTTP構文に含まれるURLへのアクセスを通過させるか否かを判定処理する要求URL通過判定処理部とともに、
上記ファストパス機能によってファストパスを行うか否かの条件を一時的に保持するファストパス判断テーブルと、
ユーザ端末からウェブサーバへの接続を実施する前に上記ウェブサーバのFQDN(Fully Qualified Domain Name)の名前を解決するために上記ユーザ端末から送信されるDNS要求を受けDNSサーバに問い合わせてIPアドレスを取得するDNS−proxy処理部と、
上記DNS要求に含まれるFQDN及び前記取得したIPアドレスの少なくとも一方で指定されるアドレスを、外部に設けたFQDN及びIPアドレスの少なくとも一方で指定されるアドレスごとの安全性を記録し返答可能なACサーバへ問い合わせる要求ドメイン通過判定処理部とを
備えさせ、
上記TCP層パケット処理部は、上記のFQDN及びIPアドレスの少なくとも一方で指定されるアドレスごとの安全性の記録を参照して、安全であるとの返答を得ているFQDNで指定されるアドレスへの通信セッションを上記ファストパス機能によって行う条件を上記ファストパス判断テーブルへ登録するファストパス登録機能を実行し、
上記パケット転送処理部は、受信したパケットについて上記ファストパス判断テーブルのファストパス条件に合致するパケットをファストパスさせるファストパス判断機能を実行するものとすることで、上記の課題を解決したのである。
図1は、この発明にかかるURLフィルタリング装置11の機能ブロック図及びそれと通信する装置について示す構成図である。
なお、ACサーバ16とセキュリティサーバ14とは、物理的には同一のサーバがそれぞれの機能を有するものであってもよい。
ユーザ端末12からのDNS要求に含まれるFQDNをDNSサーバ15に問い合わせて名前の解決を行うDNS−proxy処理部20と、
FQDN及びIPアドレスの少なくとも一方で指定されるアドレスごとの安全性をACサーバ16へ問い合わせ、安全であると判明したIPアドレスを登録させる要求ドメイン通過判定処理部28と、
上記の要求アドレス通過判定処理部24により、安全との返答を得たサーバのアドレスを登録し、照会に対して回答可能なIPフィルタリング可否テーブル29とを有する。
なお、アップパケット終端経路53はユーザ端末12からURLフィルタリング装置11への上り方向の終端処理を行う場合の経路であり、ダウンパケット終端経路54は、ウェブサーバ13からURLフィルタリング装置11への下り方向の終端処理を行う場合の経路である。
そして、後述する工程を経てファストパスでの通過を行うと判断されたパケットは、TCP層パケット処理部22を通らずに、パケット転送処理部21を高速で転送処理される、アップパケットファストパス経路55及びダウンパケットファストパス経路56を有する。なお、図1中では表記上、55と56をまとめる。
12 ユーザ端末
13 ウェブサーバ
14 セキュリティサーバ
15 DNSサーバ
16 ACサーバ
20 DNS−Proxy処理部
21 パケット転送処理部
22 TCP層パケット処理部
23 HTTP構文解析処理部
24 要求アドレス通過判定処理部
25 HTTP応答作成処理部
26 TCP終端処理部
27 ファストパス判断テーブル
28 要求ドメイン通過判定処理部
29 IPフィルタリング可否テーブル
30 キャッシュ
31 DNS要求問合機能
32 DNS要求返答機能
33 DNS要求回答機能
34 ネームアドレス転送機能
36 ネームアドレス問合機能
37 ネームアドレス登録機能
38 ネームアドレス確認機能
39 ネームアドレス更新機能
40 DNS要求指示機能
41 ルーティング機能
42 ファストパス機能
43 DNS要求転送機能
44 ファストパスチェック機能
45 HTTP通信機能
46 セッションパケット抽出機能
47 FQDN問合機能
48 ファストパス判断機能
51 アップパケット経路
52 ダウンパケット経路
53 アップパケット終端経路
54 ダウンパケット終端経路
55 アップパケットファストパス経路
56 ダウンパケットファストパス経路
61 ファストパス登録機能
62 開始パケット経過機能
63 既存ファストパスチェック機能
64 可否テーブル検索機能
65 ネームアドレス再確認要求機能
66 判断テーブル検索機能
67 ペイロード抽出機能
68 ペイロード転送機能
69 パケット返送機能
70 キャッシュ問合機能
71 HTTP判別機能
72 ファストパス通達機能
73 判定要求機能
81 接続可否問合機能
82 接続可否返答機能
83 拒否対応指示機能
84 許可対応指示機能
86 拒否対応指示機能
91 メッセージ生成機能
92 終端処理指示機能
93 経路終端変更機能
94 アクセス拒否通知機能
95 端末切断機能
96 サーバ切断機能
97 キャッシュ記録機能
Claims (5)
- ユーザ端末とウェブサーバとのHTTPプロトコルを用いた通信に対してURLフィルタリングを行う、ファストパス機能を有するURLフィルタリング装置であって、
上記ユーザ端末と上記ウェブサーバとの間で送受信されるパケットを中継するパケット転送処理部と、
パケット転送処理部を通過するTCPパケットのヘッダ部分を読み取りTCP層の処理を行うTCP層パケット処理部と、
上記ファストパス機能によってファストパスを行うか否かの条件を一時的に保持するファストパス判断テーブルと、
ユーザ端末からウェブサーバへの接続を実施する前に上記ウェブサーバのFQDN(Fully Qualified Domain Name)の名前を解決するために上記ユーザ端末から送信されるDNS要求を受けDNSサーバに問い合わせてIPアドレスを取得するDNS−proxy処理部と、
上記DNS要求に含まれるFQDN及び前記取得したIPアドレスの少なくとも一方で指定されるについて、外部に設けたFQDN及びIPアドレスの少なくとも一方で指定されるアドレスごとの安全性を記録し安全であればその旨を返答可能なACサーバに対して、問い合わせを行う要求ドメイン通過判定処理部と
を備えており、
上記TCP層パケット処理部は、上記のFQDN及びIPアドレスの少なくとも一方で指定されるアドレスごとの安全性の記録を参照して、安全であるとの返答を得ているIPアドレスへの通信セッションを上記ファストパス機能によって行う条件を上記ファストパス判断テーブルへ登録するファストパス登録機能を実行し、
上記パケット転送処理部は、受信したパケットについて上記ファストパス判断テーブルのファストパス条件に合致するパケットをファストパスさせるファストパス判断機能を実行するURLフィルタリング装置。 - 上記要求ドメイン通過判定処理部が安全であるとの返答を受けたIPアドレスについて、そのIPアドレスへのアクセスが安全であることを記録したIPフィルタリング可否テーブルを有し、
上記ファストパス登録機能は、上記IPフィルタリング可否テーブルの記録を参照して上記ファストパス判断テーブルへの登録を行う、
請求項1に記載のURLフィルタリング装置。 - 上記要求ドメイン通過判定処理部は、上記IPフィルタリング可否テーブルに安全であると記録したIPアドレスについて、上記ACサーバへその安全性を問い合わせて、安全性が確認できれば記録を期限つきで更新し、安全性が確認できなければ上記IPフィルタリング可否テーブルにおける当該IPアドレスについてのレコードを無効にする、ネームアドレス更新機能を定期的に実行する、
請求項2に記載のURLフィルタリング装置。 - 上記TCPパケットのデータ部分に含まれるHTTP構文を読み取り解析を行うHTTP構文解析処理部と、
上記の解析されたHTTP構文に含まれるURLへのアクセスを通過させるか否かを判定処理する要求アドレス通過判定処理部とを有し、
上記ファストパスをさせないTCPパケットについて、個別にURLフィルタリングを行う、
請求項1乃至3のいずれかに記載のURLフィルタリング装置。 - 上記ユーザ端末と上記ウェブサーバとの間に設けた請求項1乃至4に記載のURLフィルタリング装置と、
上記URLフィルタリング装置と通信可能である上記DNSサーバ及び上記ACサーバとからなる、
URLフィルタリングシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012055508A JP5764511B2 (ja) | 2012-03-13 | 2012-03-13 | Urlフィルタリング装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012055508A JP5764511B2 (ja) | 2012-03-13 | 2012-03-13 | Urlフィルタリング装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013191958A true JP2013191958A (ja) | 2013-09-26 |
JP5764511B2 JP5764511B2 (ja) | 2015-08-19 |
Family
ID=49391824
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012055508A Active JP5764511B2 (ja) | 2012-03-13 | 2012-03-13 | Urlフィルタリング装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5764511B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017515206A (ja) * | 2014-03-28 | 2017-06-08 | アマゾン テクノロジーズ インコーポレイテッド | コンテナの配置及び実行を調整するサービスの実施態様 |
JP2017123593A (ja) * | 2016-01-08 | 2017-07-13 | Necエンジニアリング株式会社 | パケットフィルタリング装置、パケットフィルタリング方法およびパケットフィルタリングプログラム |
US10367781B2 (en) | 2014-09-29 | 2019-07-30 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184357A1 (en) * | 2007-01-25 | 2008-07-31 | Drako Dean M | Firewall based on domain names |
JP2010034901A (ja) * | 2008-07-29 | 2010-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 通信制御装置、通信制御方法および通信制御処理プログラム |
JP2010244134A (ja) * | 2009-04-01 | 2010-10-28 | Mitsubishi Electric Corp | Urlフィルタリング装置およびurlフィルタリング方法 |
EP2408166A1 (en) * | 2009-03-30 | 2012-01-18 | Huawei Technologies Co. Ltd. | Filtering method, system and network device therefor |
-
2012
- 2012-03-13 JP JP2012055508A patent/JP5764511B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184357A1 (en) * | 2007-01-25 | 2008-07-31 | Drako Dean M | Firewall based on domain names |
JP2010034901A (ja) * | 2008-07-29 | 2010-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 通信制御装置、通信制御方法および通信制御処理プログラム |
EP2408166A1 (en) * | 2009-03-30 | 2012-01-18 | Huawei Technologies Co. Ltd. | Filtering method, system and network device therefor |
JP2010244134A (ja) * | 2009-04-01 | 2010-10-28 | Mitsubishi Electric Corp | Urlフィルタリング装置およびurlフィルタリング方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017515206A (ja) * | 2014-03-28 | 2017-06-08 | アマゾン テクノロジーズ インコーポレイテッド | コンテナの配置及び実行を調整するサービスの実施態様 |
US10218633B2 (en) | 2014-03-28 | 2019-02-26 | Amazon Technologies, Inc. | Implementation of a service that coordinates the placement and execution of containers |
US10367781B2 (en) | 2014-09-29 | 2019-07-30 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
JP2017123593A (ja) * | 2016-01-08 | 2017-07-13 | Necエンジニアリング株式会社 | パケットフィルタリング装置、パケットフィルタリング方法およびパケットフィルタリングプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5764511B2 (ja) | 2015-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067914B (zh) | Web服务的代理方法、装置、设备及存储介质 | |
US6687732B1 (en) | Adaptive traffic bypassing in an intercepting network driver | |
US10498736B2 (en) | Third party program integrity and integration control in web based applications | |
WO2018107784A1 (zh) | 检测网页后门的方法和装置 | |
US9628442B2 (en) | DNS snooping to create IP address-based trust database used to select deep packet inspection and storage of IP packets | |
US20190075049A1 (en) | Determining Direction of Network Sessions | |
US10009271B2 (en) | Routing method and network transmission apparatus | |
CN105940655B (zh) | 用于防范DDos攻击的系统 | |
US10560543B2 (en) | Rule based cache processing in application delivery controller for load balancing | |
US20150163236A1 (en) | Unauthorised/malicious redirection | |
KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
US7564848B2 (en) | Method for the establishing of connections in a communication system | |
JP5764511B2 (ja) | Urlフィルタリング装置 | |
US8539099B2 (en) | Method for providing on-path content distribution | |
JP2010244134A (ja) | Urlフィルタリング装置およびurlフィルタリング方法 | |
US9848050B2 (en) | Information processing device for packet and header inspection | |
JP5876788B2 (ja) | 通信遮断装置、通信遮断方法、及びプログラム | |
TWI577163B (zh) | Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
JP2013171371A (ja) | パケットフィルタリング方法及び装置 | |
JP5797597B2 (ja) | 中継装置 | |
JP5749673B2 (ja) | パケット転送装置 | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
JP6184381B2 (ja) | 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 | |
JP2017092755A (ja) | ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140811 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20140811 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150526 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150609 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150615 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5764511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |