JP2013207675A - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP2013207675A JP2013207675A JP2012076754A JP2012076754A JP2013207675A JP 2013207675 A JP2013207675 A JP 2013207675A JP 2012076754 A JP2012076754 A JP 2012076754A JP 2012076754 A JP2012076754 A JP 2012076754A JP 2013207675 A JP2013207675 A JP 2013207675A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- filtering
- relay
- web server
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】ユーザ端末とウェブサーバとの間に設けた中継装置で、上記ユーザ端末から受信したパケットについて、そのパケットの宛先アドレスとの通信を許可するか否かを、外部の判定サーバに設けられた又は自身が内蔵した規制対象アドレスを記録した規制対象データベースに問い合わせて、問合結果が許可ならばパケットを継続中継し、拒否ならばパケットを遮断するフィルタリングの際の遅延時間を短縮する。
【解決手段】規制対象のリストを保持する規制対象データベースへの問い合わせと並行して、又は一方の返答を待たずに前後してウェブサーバへの通信を転送する中継処理部の処理を実行し、上記の問い合わせの結果に基づいて上記ウェブサーバからの下り方向の通信を遮断する。
【選択図】図3
【解決手段】規制対象のリストを保持する規制対象データベースへの問い合わせと並行して、又は一方の返答を待たずに前後してウェブサーバへの通信を転送する中継処理部の処理を実行し、上記の問い合わせの結果に基づいて上記ウェブサーバからの下り方向の通信を遮断する。
【選択図】図3
Description
この発明は、中継装置でのフィルタリングの高速化に関する。
ユーザ端末がネットワークにアクセスするにあたり、ウイルスやワームが仕掛けられたサイトや、フィッシングサイト、成人向けサイトといった規制対象サイトにアクセスしないように、規制対象となるサイトへのアクセスを遮断するフィルタリングが一般に行われている。フィルタリングにはURLフィルタリングとIPフィルタリングとがあり、併用する場合もある。
家庭用ホームゲートウェイなどのゲートウェイにおいてURLフィルタリングする場合には、ユーザ端末から送信されるHTTPリクエストの中のURLアクセスメッセージを検出し、当該URLへのアクセスの可否を、規制対象サイトのURL一覧をデータベースとして保持するサーバに問い合わせて確認し、HTTPリクエストを通過させるか遮断するかを判断している。例えば、特許文献1及び2に記載の方法が挙げられる。
IPフィルタリングでは、まず中継装置が配下にあるユーザ端末からIPパケットを受信した辞典でそのパケットを一時保持し、当該IPパケットに含まれるIPアドレスについて、規制対象となるサイトのIPアドレスを管理するサーバに問い合わせて確認し、有害でないことが確認された辞典で通信を再開し、当該IPアドレスで指定されるサーバとの双方向通信セッションを確立させていく。
しかしながら、URLフィルタリングとIPフィルタリングとのどちらであっても、サーバへ問い合わせを行い、その返答が返ってくるまでの時間は待たねばならず、双方向通信の確立にあたって遅延が生じてしまう。この状態を図8のシーケンス図に示す。まず(S11)、ユーザ端末20からウェブサーバ40宛のパケットが送信されると、ルータやゲートウェイとして働く中継装置10に到達する。中継装置10は、このパケットを一時保持したまま、そのパケットの宛先であるウェブサーバ40が規制されたものであるか否かを記録しているデータベースを有する判定サーバ30に問い合わせる(S12)。判定サーバ30はその問い合わせに対して返答する(S13)。この返答結果が中継してもよいとの内容であれば、中継装置10は保持していたパケットをウェブサーバ40へ送り(S14)、ウェブサーバ40からの応答も通過させる(S15)。一方、この返答結果が規制されたものであるとの内容であれば、中継装置10は保持していたパケットを破棄するか、エラーを返す(S16)。いずれにしてもS12及びS13の時間は待たなければならず、ユーザに遅延を体感させることになった。
規制対象サイトのURL一覧やIPアドレス一覧を中継装置のメモリ内に保持しておけばこの遅延時間を削減して高速化を図ることはできるが、現実に実効性のあるリストを保持しようとするとそのデータベースが大きくなりすぎ、家庭用ホームゲートウェイとして一般に使われる家庭用ルータの処理能力では検索処理に掛かる時間が無視できないものとなる。結果としてこの場合も通信確立までに遅延が生じてしまった。
そこでこの発明は、フィルタリングを適用する際に、ユーザが体感する遅延時間を短縮することを目的とする。
この発明は、規制対象のリストを保持する規制対象データベースへの問い合わせと並行して、又は一方の返答を待たずに前後してウェブサーバへの通信を転送する中継処理部の処理を実行し、上記の問い合わせの結果に基づいて上記ウェブサーバからの下り方向の通信を遮断することで、上記の課題を解決したのである。ここで、前後してとは、中継装置がシングルコアである場合に単純に順番が前後する場合をいい、事実上並行して処理を進めることをいい、どちらが先でも問題はない。時間差による影響が生じない程度の時間間隔で二つの処理を実行すればよい。
すなわち、従来のフィルタリング方法は、ユーザ端末からウェブサーバへ送信される上りトラフィックの段階でパケットの転送を留めた上で問い合わせの返答を待ってフィルタリングを行っていたが、仮に上りのトラフィックを素通しさせたとしても、ウェブサーバから返ってくる下りのトラフィックのパケットさえ適切にフィルタリングしてセッションを確立させないようにすれば、通信は開始されず、ウイルスの配信などによる被害を被ることはない。このため、判定サーバへの通信を行っている間に、その返答到着を待たずにウェブサーバへ向けての通信を通したとしても問題はなく、返ってくる下りのトラフィックの段階で止めればよいということになる。
この考えにより、この発明にかかる中継装置がウェブサーバからの応答である下り方向のパケットを受信した時に、上記ウェブサーバへの通信及びその返答に並行して進められた上記可否問合部による問合結果を登録するフィルタ情報テーブルの情報に基づき、そのパケットの中継の許否を判断する。その通信及び返答と並行して進められた規制対象データベース31への問合結果としてOKが得られていたら、パケットをそのまま通過させるので、フィルタリングに必須であった問合のための通信遅延をゼロにすることができる。もしウェブサーバ40からの応答パケット受信時に判定サーバに問い合わせた結果がまだ得られてなかった場合には、到着まで一時停滞させる形にはなるが、それでもすでに問い合わせは並行して進められているので、従来に比べて遅延時間は大幅に短縮されることになる。
上記フィルタ情報テーブルは、参照のためのキーとして、WAN側で受信する下り方向のパケットの送信元アドレス(すなわち、元々LAN側で受信した上り方向のパケットにおける宛先アドレスである。)を用い、その他必要に応じてその他ポート番号やプロトコルの種別の情報を用い、それらとともに許否の項目を有するエントリを記録するのが好ましい。上り方向のパケットにおける受信時の送信元アドレス及び宛先アドレスで登録しておくこともできるが、実際の処理上は下り方向のパケットに対してフィルタリングを行うため、下り方向のパケットの情報をそのまま参照できる形式で登録しておくとフィルタリング処理が簡略高速化できるので望ましい。
ただし、上記フィルタ情報テーブルには速やかに当該パケットの情報を書き込んでおかなければ、下りトラフィックのパケットに対してフィルタリングを行うフィルタリング機能部がこのフィルタ情報テーブルを参照しても、該当するエントリが見あたらず、不明なパケットとして破棄してしまうことがある。このため、上記フィルタ情報テーブルへのエントリ作成も可否問合部による問合結果を待たずに行うとよい。このとき、LAN側で受信したパケットの情報を、その後対応する返答のパケットがWAN側で受信される際の情報に書き換えて上記フィルタ情報テーブルにアドレス及びポートを記載しておく。この書き換えにあたっては、中継装置の中継処理部が通常のルーティング処理に用いる、LAN側の受信パケットとWAN側の受信パケットとのアドレス及びポート番号の対応を示す接続追跡テーブルを参照するとよい。LAN側の受信時の情報を、このルーティングされるWAN側の受信時の情報に書き換えて、上記フィルタ情報テーブルに記録する。接続追跡テーブルへのそれぞれの通信のエントリの追加は、中継装置が中継を行う中継処理部が、本来のルーティング処理のために行う処理であり、パケットの解析部への受け渡しなどと並行して進めておけばよい。
なお、実際の実装にあたっては必ずしも上記の形態に限定されるものではなく、フィルタ情報テーブルにLAN側の受信時のアドレス及びポート番号で記録しておき、フィルタリングの際に、WAN側で受信した内容について接続追跡テーブルを参照して元のLAN側からのパケットの情報に変換した上で、接続の許否を判断する形態でも当然にこの発明は実施できる。フィルタリングに手間がかかる代わりに、フィルタ情報テーブルへの書き込みが迅速に進められるという利点がある。
また、LAN側でパケットを受信して上記フィルタ情報テーブルにエントリを追加するとき、上記フィルタ情報テーブルの接続の許否についての項目は「許可」でも「拒否」でもなく、一時保留する「判定待ち」として処理すべき値を記録しておくとよい。これにより、可否問合部からの問合結果より先にウェブサーバからの下りトラフィックのパケットが来ても、パケットを一時保存する解決待機パケットバッファに蓄えておき、並行して進む問い合わせを待てばよいことになる。
なおこの発明は、上記規制対象データベースが、外部の判定サーバに設けられていた場合にはその通信時間分の遅延を短縮できるし、中継装置に内蔵されている場合でもその検索時間分の遅延を短縮できることになる。いずれにせよ、問合結果が出るまでの間にウェブサーバへのアップリンクを通過させ、規制対象データベースへの問合結果を受けて、ダウンリンクを通過させるか否か判断すればよい。
この発明により、そのセッションが安全なウェブサーバとのセッションであれば、ダウン方向のパケットがウェブサーバから中継装置に返ってきた段階で速やかに通過させることができるので、中継装置でパケットを保持したまま待たなければならない時間はほとんどゼロにすることができ、フィルタリングにかかる遅延時間を大幅に短縮できる。一方で、規制されたウェブサーバとのセッションであれば、ダウン方向のパケットがウェブサーバから中継装置に返ってきた段階でそのパケットを破棄してしまうことができ、有害な可能性があるパケットがユーザ端末にまで到達することを防ぐことができるので、セキュリティ上の安全性は従来の方法と比べて劣るものではない。
以下、この発明について具体的な実施形態の例を挙げて詳細に説明する。
図1は、この発明を実施する中継装置10の機能ブロック図及びそれと通信する装置について示す構成図である。
図1は、この発明を実施する中継装置10の機能ブロック図及びそれと通信する装置について示す構成図である。
中継装置10は、ユーザ端末20と、ウェブサーバ40との間にある中継装置であり、例えば家庭用ルータなどのホームゲートウェイのようなゲートウェイとして機能する装置である。ユーザ端末20がウェブサーバ40にアクセスするにあたり、中継装置10外の判定サーバ30か、又は中継装置10自身が内蔵している規制対象データベース31において規制対象となっているアドレスか否かを判断し、規制対象となっているウェブサーバ40へのアクセスであれば、ダウンリンクの際に通信を遮断するフィルタリング装置として働く。以下は規制対象データベース31が外部の判定サーバ30に存在する場合を例に説明するが、中継装置10に内蔵されていても同様の手順となる。
ユーザ端末20は、パソコン、スマートフォン、タブレット端末など、TCP/IP通信を行う端末であれば特に限定されない。
ウェブサーバ40は、ユーザ端末20からのリクエストに応じてコンテンツを送信するサーバ機能を有するサーバである。WWWサーバが一般的であるが、メールサーバ、FTPサーバ、ファイルサーバなど、アドレスを有しウェブ機能を持つサーバであれば特に限定されない。図1中では一つであるが、実際には多数のサーバがインターネット上に存在しており、IPアドレス又はFQDN(Fully Qualified Domain Name)によって指定され、それらを含んだURL(Uniform Resource Locator)によって要求されるドキュメントを送信可能である。
判定サーバ30は、アクセスを規制するページのアドレスを保有する規制対象データベース31を有し、中継装置10からの照会に対して、それがフィルタリングで遮断すべきページか否かを応答可能なサーバである。例えば、セキュリティ会社などが運営するものであったり、会社内で独自に用意するものであったりしてもよい。
これらの装置間での通信に対して、中継装置10は、
通過するパケットをルーティングするなどして中継する中継処理部11と、
上りトラフィックの宛先を取得する宛先解析部12と、
判定サーバ30へパケット中継の可否を問い合わせる可否問合部13と、
中継を実施する際のNAT変換やルーティングを管理する接続追跡テーブル17と、
下りパケットの中継の可否を保持するフィルタ情報テーブル14と、
そのフィルタ情報テーブル14の値に従って下りトラフィックをフィルタリングするフィルタリング機能部15と、
規制対象データベース31へ中継の可否を問い合わせ中の下りトラフィックを一時的に保持しておくための、解決待機パケットバッファ16とを有する。
これらの部は独立したチップでもよいし、ソフトウェアで実現されるものでもよい。また、テーブルは中継装置10内の記憶部に保持されるデータベースである。さらに、中継装置10はこれらを実現するためのCPUを有し、これらの部やテーブルについての設定変更を行うためのサーバ機能や出力機能を有していてもよい。
通過するパケットをルーティングするなどして中継する中継処理部11と、
上りトラフィックの宛先を取得する宛先解析部12と、
判定サーバ30へパケット中継の可否を問い合わせる可否問合部13と、
中継を実施する際のNAT変換やルーティングを管理する接続追跡テーブル17と、
下りパケットの中継の可否を保持するフィルタ情報テーブル14と、
そのフィルタ情報テーブル14の値に従って下りトラフィックをフィルタリングするフィルタリング機能部15と、
規制対象データベース31へ中継の可否を問い合わせ中の下りトラフィックを一時的に保持しておくための、解決待機パケットバッファ16とを有する。
これらの部は独立したチップでもよいし、ソフトウェアで実現されるものでもよい。また、テーブルは中継装置10内の記憶部に保持されるデータベースである。さらに、中継装置10はこれらを実現するためのCPUを有し、これらの部やテーブルについての設定変更を行うためのサーバ機能や出力機能を有していてもよい。
中継処理部11は、単にパケットを通過させるパケット中継機能51だけでなく、パケットの宛先IPアドレスや送信元IPアドレスをLAN側とWAN側とで変換したりするルーティング機能52を有し、通過するパケットを宛先解析部12に渡すパケット獲得機能53を有し、通過する下りパケットをフィルタリング機能部15へ渡すパケット受渡機能54を有する。なお、ルーティング機能52は、LAN側で受信したパケットを、WAN側へ送出するパケットのアドレスに書き換え、WAN側から受信したパケットをLAN側に戻す際に参照するための接続追跡テーブル17へのエントリ追加機能と、それを参照するエントリ参照機能とを含む。図ではまとめてルーティング機能52として記載する。また、必要に応じてパケットを宛先解析部12に渡すことなくヘッダだけを見て転送できるファストパス機能を利用できるものであってもよい。
宛先解析部12は、パケットのヘッダまたはペイロードに含まれる宛先であるアドレスを取り出すアドレス抽出機能61と、そのアドレスを可否問合部13に渡すアドレス問合機能65を有する。ここでいうアドレスとは、IPパケットのヘッダに含まれるIPアドレスや、TCPパケットで送られるHTTP通信の冒頭に存在するHTTPヘッダのURL、DNS要求のパケットに含まれるFQDNも含む。なお、DNS要求のパケットの場合、上記の宛先であるウェブサーバ40はDNSサーバである。ここではIPヘッダに含まれる宛先IPアドレスを例に説明する。また、宛先解析部12は、パケットのヘッダ情報等からフィルタ情報テーブル14に該当する情報がすでにあるか否かを検索するフィルタ情報検索機能63を実行し、無ければ前記のアドレスとともにポート番号などをフィルタ情報テーブル14に書き込むフィルタ情報登録機能64を実行する。ただしこのフィルタ情報検索機能63及びフィルタ情報登録機能64を実行する際には、LAN側で受信したパケットのアドレス及びポート番号ではなく、後述するフィルタリングを行うWAN側で受信するパケット(すなわち、LAN側から受信したパケットを変換中継送信したパケットの返答パケットである。)のアドレス及びポート番号で検索し、登録するするため、検索及び登録の際には、接続追跡テーブル17を参照して、WAN側の受信時のパケット情報を算出する追跡テーブル算出機能62を実行した上で、WAN側の受信時の情報にて行う。)
さらに、宛先解析部12は、可否問合部13から返ってきた問合結果に従いフィルタ情報テーブル14のエントリにおける状態値を「許可」又は「拒否」に対応する情報に更新するフィルタ情報更新機能66も実行する。ただし、前記の問合結果が返ってきてから前記のアドレスやポート番号とともに、一括してフィルタ情報テーブル14に書き込んでもよい。一方で、前記の問合結果の到着を待たずにフィルタ情報登録機能を実行する場合、フィルタ情報テーブル14における当該エントリの問合結果に対応する状態は、「判定待ち」であることを示す情報となる。また、「判定待ち」から更新したタイミングで、後述するフィルタリング機能部15へ当該情報に対応するパケットの処理を求める更新要求通知機能68を実行する。
可否問合部13は、宛先解析部12から前記のアドレスを受け取り、規制対象データベース31に対してそのアドレスへの接続の可否を問い合わせる接続可否問合機能71を実行する。図1の例では中継装置10の外部にある判定サーバ30に問い合わせるため、中継装置10の通信機能を通して問い合わせを送信する。問合結果が返ってきたら、アドレスと紐付けて宛先解析部12へと返す接続可否返答機能72を実行する。
フィルタ情報テーブル14について、IPパケットについて取り扱う場合の例を図2(a)に示す。遮断するか否かを決定づける宛先IPアドレスの他に、送信元IPアドレス、宛先ポート番号、送信元ポート番号、プロトコル、そして状態を記録する。ここでは例として、記録するIPアドレス及びポート番号は、中継装置10が中継したパケットに対する返答のパケットをWAN側で受信する際のものを登録している。宛先IPアドレスは中継装置10のWAN側IPアドレスであり、送信元IPアドレスはウェブサーバ40のIPアドレスである。ここではNAT変換する中継装置の例を示しているが、NAT変換しない中継装置の場合は、宛先IPアドレスは中継装置のものではなく、ユーザ端末20のIPアドレスとなる。またここで状態とは、可否問合部13から返って来た問合結果であり、問合結果が到着して更新するまではこの状態値は「判定待ち」に対応する値であり、後述する更新によって「許可」又は「拒否」に対応する値となる。なお、対応する値とは、上記のような日本語の状態に限らず、例えばそれぞれの状態に割り当てた2ビットの情報でもよい。
接続追跡テーブル17は、中継装置10が通信を中継するにあたりNAT変換やルーティングなどの管理を行うためのテーブルである。中継装置10がルーティング機能を有するルータである場合には一般に有しているテーブルである。ルータのメーカーやソフトウェアによるため形式は特に限定されないが、その際のアドレスとポート番号の概念図を図2(b)に、その例であるテーブルを図2(c)に示す。なお、PC1,PC2の通信はNAPT(Network Address Port Translation)変換する場合であり、PC3の通信はNAPT変換しない場合の例である。テーブルの左半分に記載されているLAN側の情報は、中継装置がLAN側から受信するパケットの情報である。そして、テーブルの右半分に記載されているWAN側の情報は、中継装置がLAN側から受信したパケットをNAT変換してWAN側へ送信した場合に、WAN側から返ってくる応答パケットの情報である。すなわち、LAN側送信元アドレス、LAN側宛先アドレス、LAN側送信元ポート番号、LAN側宛先ポート番号がそれぞれ中継装置10がLAN側から受信するパケットの情報であり、WAN側送信元アドレス、WAN側宛先アドレス、WAN側送信元ポート番号、WAN側宛先ポート番号はそれぞれ中継装置10がサーバ40に対して送信したパケットに対してサーバ40が返してくる応答パケットの情報となる。従って、中継装置10がLAN側から受信したパケットをWAN側へ送信するパケットのアドレスは、図2(c)のWAN側情報とは宛先と送信元のアドレスが逆になる。
フィルタリング機能部15は、ウェブサーバ40から戻ってきた下りトラフィックのパケットを確認したら、それらアドレス及びポート番号に該当する、フィルタ情報テーブル14のエントリを検索する該当エントリ検索機能82と、そのエントリの状態値である許否等を確認する状態値確認機能84も実行する。さらに、拒否するパケットを破棄するパケット破棄機能83、許可するパケットを中継処理部11へ戻すパケット差戻機能85、対応待ちのパケットを後述の解決待機パケットバッファ16に追加するバッファ登録機能86、その解決待機パケットバッファ16からパケットを取り出すパケット選択機能87、取り出して判断を終えた後のパケットを解決待機パケットバッファ16から削除させるパケット削除機能88を有する。
なお、フィルタリング機能部15の別の形態として、フィルタ情報テーブル14に登録される情報がWAN側で受信したパケット情報ではなく、LAN側で受信するパケットの情報である場合には、接続追跡テーブル17のWAN側情報を逆に辿って元々のLAN側情報である送信元及び宛先アドレスと、送信元及び宛先ポートを求める逆変換捜索機能81を実行した上で、上記の当該エントリ検索機能82等を実行することとなる。
また、解決待機パケットバッファ16は、中継装置10の記憶部に一時的に蓄えられておくものであり、パケットがウェブサーバ40から返答されてきているにもかかわらず、当該パケットについての中継の可否の問合結果が未だにフィルタ情報テーブル14に書き込まれていない場合に、その情報が更新されるまでの間、時限付きでその下り方向のパケットを一時的に保持しておくものである。
これらの機能部等により行われるフィルタリングのフローを順に説明する。フローの全体像を図3に示す。ユーザ端末20がウェブサーバ40との間でセッションを確立しようとするケースを例にとる。
まず、上り方向の中継処理を行う中継装置10のフローを、図4を用いて説明する。最初に(S101)、ユーザ端末20から送信されたパケットを中継処理部11が受信する(S102)。中継処理部11は、受けたパケットを宛先解析部12に渡すパケット獲得機能53を実行する(S103)。また、これらの処理と並行して中継処理部11は、ルーティング機能52を行うために、LAN側のアドレス及びポート番号を、WAN側のアドレス及びポートに変換する接続追跡テーブル17に、このパケットについてのNATエントリを追加、あるいは更新する(S120)。
宛先解析部12は、受信したパケットの宛先を解析し、接続追跡テーブル17を参照してから応答パケットの情報を算出する追跡テーブル算出機能62を実行する(S104)。ここでは、接続追跡テーブル17には、図2(c)に示すようにLAN側の情報と一対一で、中継装置10がWAN側で受信する際の情報が登録されているので、このWAN側の情報を求める。
宛先解析部12はこのWAN側に変換した後の情報をキーとして、フィルタ情報テーブル14に当該パケットと同一の送信元IPアドレス(すなわち、元のLAN側で受信するパケットの宛先IPアドレス)や、その他必要に応じてポート番号等も合致するエントリがあるか否かを検索するフィルタ情報検索機能63を実行する(S105)。
宛先解析部12はこのWAN側に変換した後の情報をキーとして、フィルタ情報テーブル14に当該パケットと同一の送信元IPアドレス(すなわち、元のLAN側で受信するパケットの宛先IPアドレス)や、その他必要に応じてポート番号等も合致するエントリがあるか否かを検索するフィルタ情報検索機能63を実行する(S105)。
フィルタ情報テーブル14に該当するWAN側情報のアドレスやポート番号に該当するエントリが見つかったら(S106→Yes)、そのパケット以前の処理においてすでにフィルタリングのための問い合わせはされているので、判定サーバ30への問い合わせを行わずに、ウェブサーバ40に中継するべく、宛先解析部12は当該パケットを中継処理部11へ返すパケット差戻機能67を実行する(S121)。中継処理部11は、パケットをウェブサーバ40へ中継するパケット中継機能51を実行する(S122)。もしここで、見つかったフィルタ情報テーブル14中のエントリが拒否であったとしても、ウェブサーバ40へ中継することは特に問題とはならない。後述するように、下り方向のパケットを遮断することになるからである。なお、図示しないが、ここでフィルタ情報テーブル14に該当するエントリが見つかり、それが拒否の状態であった場合に、アップリンクそのものを止める別のフィルタリング機能部を設けてもよい。
一方、フィルタ情報テーブル14に該当するエントリが見つからなかったら(S106→No)、フィルタ情報テーブル14に当該パケットの応答情報についてエントリを追加するフィルタ情報登録機能64を実行する(S107)。このとき、状態は「判定待ち」とする。
このあと、二つのフローを並列して進める。図3に示すように、判定サーバ30への問い合わせをするフロー(S108〜)と、ウェブサーバ40へパケットを中継するフロー(S121→S122)とが並行して進められる。図3ではS108〜を上に記載しているが、順番は特に限定されず、逆でもよく、中継装置10にCPUを複数個搭載しているのであれば、完全に同時に並列処理してもよい。
判定サーバ30への問い合わせをするフローから説明する(S107→S108)。宛先解析部12は、可否問合部13にアドレスを渡すアドレス問合機能65を実行する(S108)。それからの判定問い合わせフローについて、図5を用いて説明する。
まず(S151)、可否問合部13が宛先解析部12から取り扱うパケットの応答情報を取得する(S152)。ここで応答情報とは、IPパケットヘッダの宛先IPアドレスや、DNS要求のFQDNなどの、接続先のアドレスを少なくとも含む。可否問合部13は、判定サーバ30に対して、当該アドレスへの接続の可否を問い合わせる接続可否問合機能71を実行する(S153)。問い合わせを受け取った判定サーバ30は、当該アドレスについて、保持する規制対象データベース31を検索し、接続の可否情報を得る(154)。その可否情報が中継可とするものであれば(S155→Yes)、判定サーバ30は中継装置10の可否問合部13に中継の許可を通知する(S156)。中継不可とするものであれば(S155→No)、判定サーバ30の中継装置10の可否問合部13に中継の拒否を通知する(S157)。いずれかの問合結果を受けた中継装置10の可否問合部13は、その結果を宛先解析部12へ返す接続可否返答機能72を実行する(S158)。以後、中継装置10でのフローに戻る(S159)。
図4に戻り説明を続ける。問合結果を受けた宛先解析部12は、その内容をフィルタ情報テーブル14の状態カラムに書き込んで「判定待ち」から更新するフィルタ情報更新機能66を実行する。すなわち、問合結果が当該パケットを中継してよいとの内容であれば(S109→Yes)、フィルタ情報テーブル14の当該パケットに対応するエントリの状態値を「許可」に設定する(S110)。一方、問合結果が当該パケットの中継を拒否するとの内容であれば(S109→No)、フィルタ情報テーブル14の当該パケットに対応するエントリの状態を「拒否」に設定する(S111)。その設定をした上で、宛先解析部12は、フィルタリング機能部15へ解決待機パケットバッファ16の更新要求を送る更新要求通知機能68を実行する。この更新要求とは、特定のアドレスを指定しなくても、後述のバッファ全体を更新することで処理(S112)が進行する。
この解決待機パケットバッファ16の解決は下りのパケットの到着に前後して行われるので、先に、並列処理として行われるウェブサーバ40への中継について説明する。
上記の問い合わせを進めている間に、それと並行して宛先解析部12は、中継処理部11にパケットを返すパケット差戻機能67を実行する(S121)。中継処理部11は、パケットをウェブサーバ40へ中継するパケット中継機能51を実行する(S122)。これにより、当該パケットはウェブサーバ40へ送られる(S125)。これで上りのフローは終わり、ウェブサーバ40は当該パケットに対する返答となる下り方向のトラフィックを発生させる。
上記の問い合わせを進めている間に、それと並行して宛先解析部12は、中継処理部11にパケットを返すパケット差戻機能67を実行する(S121)。中継処理部11は、パケットをウェブサーバ40へ中継するパケット中継機能51を実行する(S122)。これにより、当該パケットはウェブサーバ40へ送られる(S125)。これで上りのフローは終わり、ウェブサーバ40は当該パケットに対する返答となる下り方向のトラフィックを発生させる。
下り方向のトラフィックに対する処理を、図6を用いて説明する。まず(S201)、ウェブサーバ40から返信された下り方向のパケットを、中継装置10の中継処理部11が受信する(S202)。中継処理部11はこの下りパケットをフィルタリング機能部15へ渡すパケット受渡機能54を実行する(S203)。
下りパケットを受け取ったフィルタリング機能部15は当該パケットの情報に基づきフィルタ情報テーブル14のエントリを検索する該当エントリ検索機能82を実行する(S205)。ここでは、フィルタ情報テーブル14にWAN側の情報で登録しているため、接続追跡テーブル17を参照する必要は特にない。その結果、合致するエントリが見つからなければ(S206→No)、そのパケットはユーザ端末20のリクエストに応じて送られてきたものと確認できないので、フィルタリング機能部15は当該パケットを破棄するパケット破棄機能83を実行する(S210)。なお、合致するか否かは基本的に送信元IPアドレス(すなわち、元の上りパケットにおける宛先IPアドレス)で判断するとよいが、場合によっては他のデータ、すなわち送信元アドレスやポート番号の一致も確認した上でこの判断を行ってもよい。
下りパケットを受け取ったフィルタリング機能部15は当該パケットの情報に基づきフィルタ情報テーブル14のエントリを検索する該当エントリ検索機能82を実行する(S205)。ここでは、フィルタ情報テーブル14にWAN側の情報で登録しているため、接続追跡テーブル17を参照する必要は特にない。その結果、合致するエントリが見つからなければ(S206→No)、そのパケットはユーザ端末20のリクエストに応じて送られてきたものと確認できないので、フィルタリング機能部15は当該パケットを破棄するパケット破棄機能83を実行する(S210)。なお、合致するか否かは基本的に送信元IPアドレス(すなわち、元の上りパケットにおける宛先IPアドレス)で判断するとよいが、場合によっては他のデータ、すなわち送信元アドレスやポート番号の一致も確認した上でこの判断を行ってもよい。
一方、合致するエントリが見つかれば(S206→Yes)、そのエントリに設定されている状態値を確認する状態値確認機能84を実行する(S207)。ここで、その状態値が「拒否」に対応する値であれば(S207→拒否)、規制対象のアドレスからの返答パケットであるので、当該パケットを破棄するパケット破棄機能83を実行する(S210)。また、エントリに設定されている状態値が「許可」に対応する値であれば(S207→許可)、当該パケットを通過させても問題ないと判断され、当該パケットを中継処理部11へ渡すパケット差戻機能85を実行する(S208)。パケットを受け取った中継処理部11は、当該パケットをユーザ端末20へ中継するパケット中継機能51を実行し、パケットはユーザ端末20に到達する(S209)。これは、判定サーバ30からの返答がウェブサーバ40からの返答よりも速かった場合であり、本発明によってタイムラグを最小にできる最良の実施形態である。そして、上記の状態値が「判定待ち」に対応する値であれば(S207→判定待ち)、そのパケットを一時的に保留させておく解決待機パケットバッファ16に追加するバッファ登録機能86を実行する(S211)。これはすなわち、判定サーバ30からの返答がまだフィルタ情報テーブル14に到着していない状態であり、問合結果を受けて後ほど許否を判断する。
そのように、フィルタリング機能部15が解決待機パケットバッファ16に蓄えられたパケットを処理する際のフローについて、図7を用いて説明する。このフローは(S251)、宛先解析部12がフィルタ情報テーブル14の状態値を書き換え(S110)、フィルタリング機能部15へ更新要求を行った(S112)タイミングでスタートする(S252)。更新処理は、その時点で解決待機パケットバッファ16内に保留されているパケット全てについて行う(S253→S262)。まず、フィルタリング機能部15は、解決待機パケットバッファ16から保留状態のパケットを一つ取り出すパケット選択機能87を実行する(S254)。このパケットについて、フィルタ情報テーブル14のエントリを検索する該当エントリ検索機能82を実行する(S255)。この内容は上記のS205と同様である。なお、この時点で解決待機パケットバッファに保留されていたパケットはLAN側のアドレス等に変換済みであると、検索内容が統一基準の下に運用できるので好ましい。もしここでWAN側のアドレス等で検索するのであれば、フィルタ情報テーブル14もWAN側の情報で保持するか、或いは検索の度に接続追跡テーブル17を参照してLAN側のアドレス等に変換して検索することになる。
検索の結果、合致するエントリが無ければ(S256→No)、なんらかのエラーで解決待機パケットバッファ16に登録されていると考えられるが、いずれにしても元のパケットを送ったユーザ端末20が確認できないということになるため、フィルタリング機能部15は当該パケットを解決待機パケットバッファから削除するパケット削除機能88を実行する(S258)。すでに処理済みとなり、バッファに蓄えておく必要が無くなったからである。また、この際の合致判断する際の取り扱い項目等の内容はS210と同様である。一方、フィルタ情報テーブル14に合致するエントリが見つかれば(S256→Yes)、そのエントリに設定されている状態値を確認する状態値確認機能84を実行する(S257)。これはS207と同様である。ここで、その状態値が「拒否」に対応する値であれば(S257→拒否)、規制対象のアドレスからの返答パケットであるので、当該パケットを破棄するパケット破棄機能83を実行する(S258)。これもS210と同様である。また、エントリに設定されている状態値が「許可」に対応する値であれば(S257→許可)、当該パケットを通過させても問題ないと判断され、当該パケットを中継処理部11へ渡すパケット差戻機能85を実行する(S259)。パケットを受け取った中継処理部11は、当該パケットをユーザ端末20へ中継するパケット中継機能51を実行し、パケットはユーザ端末20に到達する(S260)。これは、判定サーバ30からの返答がウェブサーバ40からの返答よりもわずかに遅かった場合の処理であるが、それぞれの返答を得るための時間は並行して行っているので、順番に処理した場合に比べて遅延時間は大幅に短縮されている。なお、ここでは中継を許可した後で、フィルタリング機能部15は当該パケットを解決待機パケットバッファから削除するパケット削除機能88を実行する(S261)。中継済みであり、バッファに残しておく必要が無くなったからである。そして、エントリに設定されている状態値が「判定待ち」に対応する値のままであったら、そのパケットについては解決待機パケットバッファ16から削除することなくそのまま保持し、次の更新要求を待つことになる(S262)。これを、解決待機パケットバッファ16の全てのパケットについて行い、状態を更新する(S263)。
なお、上記のフローとは別に、解決待機パケットバッファ16内に数分以上保持されているパケットについては、判定に失敗したものとして、一旦破棄することが好ましい。
10 中継装置
11 中継処理部
12 宛先解析部
13 可否問合部
14 フィルタ情報テーブル
15 フィルタリング機能部
16 解決待機パケットバッファ
17 接続追跡テーブル
20 ユーザ端末
30 判定サーバ
31 規制対象データベース
40 ウェブサーバ
51 パケット中継機能
52 ルーティング機能
53 パケット獲得機能
54 パケット受渡機能
61 アドレス抽出機能
62 追跡テーブル算出機能
63 フィルタ情報検索機能
64 フィルタ情報登録機能
65 アドレス問合機能
66 フィルタ情報更新機能
67 パケット差戻機能
68 更新要求通知機能
71 接続可否問合機能
72 接続可否返答機能
81 逆変換捜索機能
82 該当エントリ検索機能
83 パケット破棄機能
84 状態値確認機能
85 パケット差戻機能
86 バッファ登録機能
87 パケット選択機能
88 パケット削除機能
11 中継処理部
12 宛先解析部
13 可否問合部
14 フィルタ情報テーブル
15 フィルタリング機能部
16 解決待機パケットバッファ
17 接続追跡テーブル
20 ユーザ端末
30 判定サーバ
31 規制対象データベース
40 ウェブサーバ
51 パケット中継機能
52 ルーティング機能
53 パケット獲得機能
54 パケット受渡機能
61 アドレス抽出機能
62 追跡テーブル算出機能
63 フィルタ情報検索機能
64 フィルタ情報登録機能
65 アドレス問合機能
66 フィルタ情報更新機能
67 パケット差戻機能
68 更新要求通知機能
71 接続可否問合機能
72 接続可否返答機能
81 逆変換捜索機能
82 該当エントリ検索機能
83 パケット破棄機能
84 状態値確認機能
85 パケット差戻機能
86 バッファ登録機能
87 パケット選択機能
88 パケット削除機能
Claims (3)
- ユーザ端末とウェブサーバとの間に設け、上記ユーザ端末から受信したパケットについて、そのパケットの宛先アドレスとの通信を許可するか否かを、外部の判定サーバに設けられた又は自身が内蔵した規制対象アドレスを記録した規制対象データベースに問い合わせて、問合結果が許可ならばパケットを継続中継し、拒否ならばパケットを遮断するフィルタリングが可能な中継装置であって、
上記ユーザ端末から上記ウェブサーバへの上り方向のパケットを受信した際には、
当該パケットの宛先アドレスとの通信の許否を上記規制対象データベースに問い合わせる可否問合部の処理と、当該パケットを上記ウェブサーバへ転送処理する中継処理部の処理とを、並行して、又は問い合わせの返答到着を待たずに前後して行い、
上記ウェブサーバから上記ユーザ端末への下り方向のパケットに対して、
上記ウェブサーバへの通信及びその返答に並行して進められた上記可否問合部による問合結果を登録するフィルタ情報テーブルの情報に基づき、そのパケットの中継の許否を判断してフィルタリングを行うフィルタリング機能部を有する中継装置。 - 一時的に下り方向のパケットを保存可能な解決待機パケットバッファを有し、
元の上り方向のパケットの受信時に上記フィルタ情報テーブルに当該パケットについてのエントリを作成する際に、許否について問合結果を登録すべき項目を判定待ちに対応する値に設定しておくものとし、
上記可否問合部からの問合結果を受けた後に、当該項目を許可又は拒否に対応する値に更新するものであり、
上記フィルタリング機能部が、上記の下り方向のパケットを受信した際に、当該パケットに対応する上記フィルタ情報テーブルの当該項目が判定待ちである場合には、当該パケットを上記解決待機パケットバッファに保存した上で、フィルタリングの許否を保留させる、
請求項1に記載の中継装置。 - 上記フィルタリング機能部は、上記の項目のフィルタ情報テーブルの更新に続いて、上記解決待機パケットバッファに一時的に保存された個々のパケットについて、上記フィルタ情報テーブルの、当該パケットの元になった上り方向のパケットに対応する情報に従ってエントリを検索し、フィルタリングを実行する、請求項2に記載の中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012076754A JP5797597B2 (ja) | 2012-03-29 | 2012-03-29 | 中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012076754A JP5797597B2 (ja) | 2012-03-29 | 2012-03-29 | 中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013207675A true JP2013207675A (ja) | 2013-10-07 |
| JP5797597B2 JP5797597B2 (ja) | 2015-10-21 |
Family
ID=49526335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012076754A Active JP5797597B2 (ja) | 2012-03-29 | 2012-03-29 | 中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5797597B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019023921A (ja) * | 2018-10-12 | 2019-02-14 | 日本電気株式会社 | 通信システム、通信方法及びプログラム |
| WO2019168071A1 (ja) * | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | 特定システム及び特定方法 |
| WO2020136052A1 (en) | 2018-12-24 | 2020-07-02 | British Telecommunications Public Limited Company | Packet analysis and filtering |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003208373A (ja) * | 2002-01-11 | 2003-07-25 | Fujitsu Ltd | コンテンツ処理サービス制御システム |
| US20060253903A1 (en) * | 2000-07-07 | 2006-11-09 | Krumel Andrew K | Real time firewall/data protection systems and methods |
| JP2009065576A (ja) * | 2007-09-10 | 2009-03-26 | Hitachi Ltd | データ通信システム |
| JP2010244134A (ja) * | 2009-04-01 | 2010-10-28 | Mitsubishi Electric Corp | Urlフィルタリング装置およびurlフィルタリング方法 |
-
2012
- 2012-03-29 JP JP2012076754A patent/JP5797597B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060253903A1 (en) * | 2000-07-07 | 2006-11-09 | Krumel Andrew K | Real time firewall/data protection systems and methods |
| JP2003208373A (ja) * | 2002-01-11 | 2003-07-25 | Fujitsu Ltd | コンテンツ処理サービス制御システム |
| JP2009065576A (ja) * | 2007-09-10 | 2009-03-26 | Hitachi Ltd | データ通信システム |
| JP2010244134A (ja) * | 2009-04-01 | 2010-10-28 | Mitsubishi Electric Corp | Urlフィルタリング装置およびurlフィルタリング方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019168071A1 (ja) * | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | 特定システム及び特定方法 |
| JP2019023921A (ja) * | 2018-10-12 | 2019-02-14 | 日本電気株式会社 | 通信システム、通信方法及びプログラム |
| WO2020136052A1 (en) | 2018-12-24 | 2020-07-02 | British Telecommunications Public Limited Company | Packet analysis and filtering |
| US11870754B2 (en) | 2018-12-24 | 2024-01-09 | British Telecommunications Public Limited Company | Packet analysis and filtering |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5797597B2 (ja) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8874789B1 (en) | Application based routing arrangements and method thereof | |
| US20210360014A1 (en) | Rule-Based Network-Threat Detection For Encrypted Communications | |
| US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| JP2013098880A (ja) | フィルタリングシステムおよびフィルタリング方法 | |
| JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
| JP6662136B2 (ja) | 中継装置、通信システム、中継方法及び中継プログラム | |
| WO2015008780A1 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| JP5797597B2 (ja) | 中継装置 | |
| JP2014030099A (ja) | 通信装置、プログラムおよびルーティング方法 | |
| JP5876788B2 (ja) | 通信遮断装置、通信遮断方法、及びプログラム | |
| US10904037B2 (en) | Relaying apparatus, relaying method, and relaying system | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| JP6330814B2 (ja) | 通信システム、制御指示装置、通信制御方法及びプログラム | |
| US8276204B2 (en) | Relay device and relay method | |
| EP3253004B1 (en) | Communication control device, communication control method, and communication control program | |
| JP3895173B2 (ja) | プロトコル変換装置およびインタフェース装置 | |
| JP2002108729A (ja) | ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 | |
| JP6382244B2 (ja) | パケットフィルタリング装置 | |
| CN113676540B (zh) | 一种连接建立方法及装置 | |
| US20210051076A1 (en) | A node, control system, communication control method and program | |
| WO2018173099A1 (ja) | ゲートウェイ及び中継方法 | |
| JP6270383B2 (ja) | アクセス制御装置、アクセス制御方法、及びプログラム | |
| WO2015025817A1 (ja) | 通信端末、通信システム、通信方法およびプログラム | |
| JP2005065204A (ja) | パーソナルipシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140811 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20140811 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150818 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150819 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5797597 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |