JP2016046625A - 通信中継装置、情報処理方法、及び、プログラム - Google Patents
通信中継装置、情報処理方法、及び、プログラム Download PDFInfo
- Publication number
- JP2016046625A JP2016046625A JP2014168340A JP2014168340A JP2016046625A JP 2016046625 A JP2016046625 A JP 2016046625A JP 2014168340 A JP2014168340 A JP 2014168340A JP 2014168340 A JP2014168340 A JP 2014168340A JP 2016046625 A JP2016046625 A JP 2016046625A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- filter
- network
- data
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】通信機器ごとの所望の条件に従って、通信機器の通信先へのアクセスを制御できる情報通信技術を提供することを課題とする。【解決手段】MACアドレスを用いた通信を行う情報端末2と通信先との間の通信を中継するフィルタ装置1に、情報端末2から通信先へ中継するデータを受信した場合に、MACアドレスごとに設定された、通信のフィルタ条件を記憶するフィルタデータベースD11から、当該受信されたデータの送信元のMACアドレスに対して設定されているフィルタ条件を取得する制限条件取得部F11と、受信されたデータによる通信が取得されたフィルタ条件に合致した場合に、当該受信されたデータを中継せずに通信を遮断する通信遮断部F12とを備えた。【選択図】図5
Description
本発明は、通信中継装置、情報処理方法、及び、プログラムに関する。
例えばタブレット端末、ノートパソコン、ネットワーク機能を有するテレビジョン受像機等、LAN(Local Area Network)を介してインターネット等の広域通信網にアクセス可能な通信機器が利用されている。インターネット等で配信されるコンテンツには、マルウェア感染やフィッシング詐欺等の脅威を引き起こす情報、子供の教育上望ましくない情報、会社業務に役立たない情報等、通信機器の管理者やLANを設置する組織にとって好ましくない情報が含まれている場合がある。そのため、通信機器のインターネット等へのアクセスに一定の制限を課すことが望まれることがある。
従来、インターネット等へのアクセスを制限する技術として、例えば、通信機器に固有に割り当てられたMAC(Media Access Control)アドレスを指標として通信パケットの通過や破棄を制御するMACアドレスフィルタリングの技術が提案されている(例えば非特許文献1を参照)。また、規制されたURL(Uniform Resource Locator)へのアクセスを遮断するURLフィルタリングの機能を有するプロキシサーバが提案されている(例えば特許文献1を参照)。
"MACアドレスフィルタリング"、[online]、ヤマハ株式会社、[平成26年7月29日検索]、インターネット<URL:http://jp.yamaha.com/products/network/solution/mac/>
例えば、上述のMACアドレスフィルタリングの技術を用いれば、通信機器を単位としたアクセス制限が可能となる。しかし、この場合、通過または廃棄の何れかの設定しかできないため、通信の内容や通信先等に応じて一部のアクセスのみを遮断する等の、適度な条件でのアクセス制限ができなかった。
また例えば、上述のURLフィルタリングの機能を有するプロキシサーバをLANに設置すれば、特定のサイトへのアクセスのみ制限するようなアクセス制限が可能となる。しかし、この場合、通信機器に固有のMACアドレスごとの条件に従ったアクセス制限ができなかった。そのため、例えば、どの通信機器に対しても同一条件のアクセス制限が行われる。
このような状況に鑑み、本発明は、通信機器ごとの所望の条件に従って、通信機器の通信先へのアクセスを制御できる情報通信技術を提供することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。すなわち、本発明は、次の通信中継装置である。
物理アドレスを用いた通信を行う通信機器と通信先との間の通信を中継する通信中継装置であって、
前記通信機器から前記通信先へ中継するデータを受信した場合に、物理アドレスごとに設定された通信の制限条件を記憶する記憶部から、前記受信されたデータの送信元の物理アドレスに対して設定されている制限条件を取得する制限条件取得手段と、
前記受信されたデータによる通信が前記取得された制限条件に合致した場合に、前記受信されたデータを中継せずに通信を遮断する通信遮断手段と、
を備える通信中継装置。
物理アドレスを用いた通信を行う通信機器と通信先との間の通信を中継する通信中継装置であって、
前記通信機器から前記通信先へ中継するデータを受信した場合に、物理アドレスごとに設定された通信の制限条件を記憶する記憶部から、前記受信されたデータの送信元の物理アドレスに対して設定されている制限条件を取得する制限条件取得手段と、
前記受信されたデータによる通信が前記取得された制限条件に合致した場合に、前記受信されたデータを中継せずに通信を遮断する通信遮断手段と、
を備える通信中継装置。
ここで、物理アドレスは、個々の通信機器のハードウェアに一意に割り当てられ、通信において各ハードウェアを識別するための情報である。物理アドレスは、例えばMACアドレスである。物理アドレスは、携帯電話機に割り当てられる個体識別番号や製造番号、Bluetooth(登録商標)におけるデバイスアドレス、ATM(Asynchronous Transfer Mode)におけるATMアドレス等、その他の情報であってもよい。
上記の通信中継装置によれば、データの送信元の物理アドレスに対して設定されている制限条件に従って、通信の遮断または中継が行われる。そのため、通信機器ごとの所望の条件に従って通信機器の通信先へのアクセスを制御できる。
また、本発明に係る通信中継装置は、次の特徴を有するものであってもよい。
前記制限条件は、通信が制限される時間帯を規定する条件を含み、
前記通信遮断手段は、前記受信されたデータの受信時刻が、前記取得された制限条件により制限される時間帯に属する場合に、前記受信されたデータによる通信を遮断する。
前記制限条件は、通信が制限される時間帯を規定する条件を含み、
前記通信遮断手段は、前記受信されたデータの受信時刻が、前記取得された制限条件により制限される時間帯に属する場合に、前記受信されたデータによる通信を遮断する。
このような通信中継装置によれば、通信機器ごと時間帯ごとの条件に従ったアクセス制御が可能になる。
また、本発明に係る通信中継装置は、次の特徴を有するものであってもよい。
前記通信中継装置及び前記通信先は、通信網に接続され、
前記通信機器は、前記通信網に接続されたローカルネットワークに接続され、
前記通信中継装置は、前記ローカルネットワーク上で伝送されるデータリンク層のフレームを、データリンク層より上位層の通信によって前記通信網を経由して前記通信中継装置へ伝送するフレーム伝送路を確立する伝送路確立手段を備え、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立されたフレーム伝送路を介して受信する。
前記通信中継装置及び前記通信先は、通信網に接続され、
前記通信機器は、前記通信網に接続されたローカルネットワークに接続され、
前記通信中継装置は、前記ローカルネットワーク上で伝送されるデータリンク層のフレームを、データリンク層より上位層の通信によって前記通信網を経由して前記通信中継装置へ伝送するフレーム伝送路を確立する伝送路確立手段を備え、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立されたフレーム伝送路を介して受信する。
ここで、本発明において、データリンク層とは、OSI(Open Systems Interconnection)基本参照モデルにおける、レイヤ2の層である。このような通信中継装置によれば、通信中継装置が、通信機器の通信先へのアクセス制御を、通信網を介して行うことが可能となる。そのため、通信中継装置を予め設けておけば、通信中継装置の新たな設置や回線の敷設等なく、より簡易迅速に、通信機器ごとの制限条件に従った通信機器のアクセス制御を行う通信環境を構築できる。
また、本発明に係る通信中継装置は、次の特徴を有するものであってもよい。
前記通信網には複数のローカルネットワークが接続され、
前記通信機器は前記複数のローカルネットワークの何れかに接続され、
前記通信中継装置は、前記伝送路確立手段によって前記複数のローカルネットワークそれぞれのフレームを伝送するフレーム伝送路それぞれを確立し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立され
たフレーム伝送路の何れかを介して受信する。
前記通信網には複数のローカルネットワークが接続され、
前記通信機器は前記複数のローカルネットワークの何れかに接続され、
前記通信中継装置は、前記伝送路確立手段によって前記複数のローカルネットワークそれぞれのフレームを伝送するフレーム伝送路それぞれを確立し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立され
たフレーム伝送路の何れかを介して受信する。
このような通信中継装置によれば、通信機器が複数のローカルネットワークの何れに接続されている場合でも、同じ制限条件に従って通信が遮断される。そのため、通信を制限する機器の各ローカルネットワークへの設置等なく、簡易迅速に、同じ制限条件に従った通信機器のアクセス制御が可能な環境を、各ローカルネットワークに対して提供できる。
また、本発明に係る通信中継装置は、次の特徴を有するものであってもよい。
前記記憶部は、前記複数のローカルネットワークそれぞれを識別するネットワーク識別情報と物理アドレスとの組ごとに設定された制限条件を記憶し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータの受信に介されたフレーム伝送路に係るローカルネットワークを識別するネットワーク識別情報と前記送信元の物理アドレスとの組に対して設定された制限条件を取得する。
前記記憶部は、前記複数のローカルネットワークそれぞれを識別するネットワーク識別情報と物理アドレスとの組ごとに設定された制限条件を記憶し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータの受信に介されたフレーム伝送路に係るローカルネットワークを識別するネットワーク識別情報と前記送信元の物理アドレスとの組に対して設定された制限条件を取得する。
このような通信中継装置によれば、通信機器が接続されるローカルネットワークごとに異なり得る制限条件に従って、通信先へのアクセス制御が行われる。そのため、通信機器の利用場所等に応じた、より好適なアクセス制御が可能となる。
また、本発明は、コンピュータその他の装置、機械等(以下、「コンピュータ等」とも表記する)によって実行される情報処理方法、または情報処理方法をコンピュータ等に実行させるためのプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータ等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、通信機器ごとの所望の条件に従って通信機器の通信先へのアクセスを制御できる。
以下、本発明の実施の形態を、図面に基づいて説明する。なお、以下に説明する実施の形態は、本発明を実施する一例を示すものであって、本発明を以下に説明する具体的な構成に限定するものではない。
説明は、次の順序で記載される。
1.実施形態1
1.1.概要
1.2.システム構成
1.3.ハードウェア構成
1.4.L2VPNのネットワーク構成
1.5.機能構成
1.6.処理の流れ
1.7.作用効果
2.実施形態2
3.実施形態3
1.実施形態1
1.1.概要
1.2.システム構成
1.3.ハードウェア構成
1.4.L2VPNのネットワーク構成
1.5.機能構成
1.6.処理の流れ
1.7.作用効果
2.実施形態2
3.実施形態3
≪実施形態1≫
<概要>
実施形態1(以下、「本実施形態」とも表記する)について説明する。本実施形態では、「通信中継装置」は、フィルタ装置として実施される。また、「通信機器」は情報端末として説明され、「通信網」はインターネットとして説明される。本実施形態の通信システムでは、ローカルネットワークに接続された情報端末に対して、情報端末ごとの所望の条件に従って、インターネットのWebサイトへのWebアクセスを制限するWebフィルタリングサービスが提供される。本実施形態のWebフィルタリングサービスは、フィルタ装置によってインターネットを経由して情報端末へ提供されるものであり、いわゆるクラウド型のサービスに属する。なお、本実施形態では、Webアクセスが制限されるが、例えば電子メール、ファイル交換等のWeb以外の各種通信が制限されてもよい。
<概要>
実施形態1(以下、「本実施形態」とも表記する)について説明する。本実施形態では、「通信中継装置」は、フィルタ装置として実施される。また、「通信機器」は情報端末として説明され、「通信網」はインターネットとして説明される。本実施形態の通信システムでは、ローカルネットワークに接続された情報端末に対して、情報端末ごとの所望の条件に従って、インターネットのWebサイトへのWebアクセスを制限するWebフィルタリングサービスが提供される。本実施形態のWebフィルタリングサービスは、フィルタ装置によってインターネットを経由して情報端末へ提供されるものであり、いわゆるクラウド型のサービスに属する。なお、本実施形態では、Webアクセスが制限されるが、例えば電子メール、ファイル交換等のWeb以外の各種通信が制限されてもよい。
図1は、本実施形態における通信のアクセス制御の概要を説明する説明図である。図1には、施設Fのローカルネットワークに接続された複数の情報端末2A〜2D、施設F外に設置されたフィルタ装置1、及びインターネットNが示されている。フィルタ装置1と各情報端末2A〜2Dとは、データリンク層の仮想的な回線であるフレーム伝送路T(「トンネル」と呼ばれることがある)を介して通信可能である。フレーム伝送路Tの詳細については後述する。図1には、各情報端末2A〜2DがインターネットNへWebアクセスする際の通信データの流れが例示されている。
まず、情報端末2AがWebアクセスのためのリクエストメッセージを送信し、当該リクエストメッセージがフィルタ装置1へ到達する(DF1)。当該リクエストメッセージは、フィルタ装置1において、送信元の情報端末2AのWebアクセスに適用されるレベル1のフィルタFL1に通される。
ここで、フィルタFL1〜FL3は、Webアクセスの通信の制限をする機能であり、フィルタ装置1内の情報処理によって実現される。図1にはレベル1、2の制限のレベルの異なるフィルタFL1、FL2が示されており、フィルタFL1とフィルタFL2とは、通信を制限する条件が互いに異なっている。また、フィルタFL3は、時刻に関する条件を有し、特定の時間帯に通信が制限されるフィルタである。図1では、情報端末2Aに対してフィルタFL1、情報端末2B及び2Cに対してフィルタFL2、情報端末2Dに対してフィルタFL3が、そのWebアクセスに適用されるように設定されている。本実施形態では、このように情報端末ごとに異なるフィルタが適用可能である。
制限されずにフィルタFL1を通過したリクエストメッセージは、インターネットNへ中継され、Webサイトへ到達することになる(DF2)。また、情報端末2Dから送信されたリクエストメッセージは、フィルタ装置1へ到達し、フィルタFL3に通される(DF3)。ここで、現在時刻がフィルタFL3における通信が制限される時間帯にあたるとする。当該リクエストメッセージは、インターネットNへ中継されず、Webアクセス
の通信が遮断される(DF4)。
の通信が遮断される(DF4)。
以下では、このようなWebフィルタリングサービスが提供される通信システムの詳細について説明する。
<システム構成>
図2は、本実施形態における通信システムを例示する図である。図2には、フィルタ装置1、Webサイト3、L2中継装置4、インターネットN、及び複数の施設Fが示されている。施設Fそれぞれには、ローカルネットワークLが設置されている。ローカルネットワークLには、情報端末2、VPN(Virtual Private Network)サービスアダプタ5、及びルータ6が接続されている。
図2は、本実施形態における通信システムを例示する図である。図2には、フィルタ装置1、Webサイト3、L2中継装置4、インターネットN、及び複数の施設Fが示されている。施設Fそれぞれには、ローカルネットワークLが設置されている。ローカルネットワークLには、情報端末2、VPN(Virtual Private Network)サービスアダプタ5、及びルータ6が接続されている。
フィルタ装置1は、情報端末2とその通信先たるWebサイト3との間のWebアクセスのための通信を中継するとともに、Webアクセスの可否を判定し、必要に応じて通信を遮断してWebアクセスを制限するコンピュータである。フィルタ装置1は、データセンタ等に設置される。
情報端末2は、有線または無線のLANの通信機能を有する情報機器であり、Webブラウザを備えてWebアクセスが可能なものである。情報端末2には、LANの通信機能で用いる固有のMACアドレス(「物理アドレス」の一例)が製造時に割り当てられている。情報端末2は、例えば、タブレット端末、パーソナルコンピュータ、スマートフォン、Webブラウザを搭載したテレビジョン受像機等の家電機器、ゲーム機、スマートグラス等である。ローカルネットワークLに接続された情報端末2において、LANの通信のデフォルトゲートウェイには、フィルタ装置1に割り当てられたIP(Internet
Protocol)アドレスが設定される。この設定は、例えば、DHCP(Dynamic Host Configuration Protocol)サーバにより情報端末2にIPアドレスが割り当てられる際に、フィルタ装置1に割り当てられたIPアドレスがデフォルトゲートウェイのIPアドレスとして提供されることで実現できる。
Protocol)アドレスが設定される。この設定は、例えば、DHCP(Dynamic Host Configuration Protocol)サーバにより情報端末2にIPアドレスが割り当てられる際に、フィルタ装置1に割り当てられたIPアドレスがデフォルトゲートウェイのIPアドレスとして提供されることで実現できる。
Webサイト3は、HTML(HyperText Markup Language)の文書や画像等で表されたコンテンツデータを蓄積し、情報端末2等のWebクライアントのリクエストに応じて、インターネットNを介して蓄積しているコンテンツデータを送信して提供するコンピュータである。図2では、Webサイト3が1台のみ示されているが、インターネットNには、様々なコンテンツデータを提供する多数のWebサイト3が接続されている。
L2中継装置4は、フィルタ装置1とVPNサービスアダプタ5との間でMACフレームを中継する機能を有し、データリンク層のVPN(Virtual Private Network)の接続サービスを提供するコンピュータである。このVPNはL2VPN(レイヤ2 VPN)とも呼ばれる。L2中継装置4は、データセンタ等に設置される。L2中継装置4における中継の詳細については後述する。
VPNサービスアダプタ5は、ローカルネットワークLに接続された通信装置である。VPNサービスアダプタ5は、L2中継装置4との間でMACフレームを伝送するフレーム伝送路、すなわちデータリンク層のトンネルを確立する機能を有する。フレーム伝送路の詳細については後述する。また、VPNサービスアダプタ5は、ローカルネットワークLと確立されたフレーム伝送路との間で、MACフレームを中継する機能を有する。VPNサービスアダプタ5のこのような通信機能によって、フィルタ装置1が、L2中継装置4を介したローカルネットワークLへのVPN接続を行うことが可能となる。また、VPNサービスアダプタ5には、固有のサービスアダプタIDが割り当てられている。なお、
VPNサービスアダプタ5の代わりに、ローカルネットワークLに接続された汎用コンピュータ等がこのような通信機能を提供してもよい。
VPNサービスアダプタ5の代わりに、ローカルネットワークLに接続された汎用コンピュータ等がこのような通信機能を提供してもよい。
ルータ6は、ローカルネットワークLに接続され、ローカルネットワークLとインターネットNとを接続するためのゲートウェイの機能を持つルータである。ルータ6は、例えば、ブロードバンドルータである。本実施形態のルータ6は、更に、無線LANのアクセスポイントとしての機能を持つ。ルータ6は、無線LANの通信機能を有する近傍の情報端末2と無線通信し、情報端末2とローカルネットワークLとの間でフレームを中継する無線中継機として働く。無線LANの通信機能を有する情報端末2は、ルータ6を介してローカルネットワークLに接続することができる。
インターネットNは、世界規模の公衆パケット通信網であり、フィルタ装置1とWebサイト3とL2中継装置4と各ローカルネットワークLとを接続する。なお、インターネットNの代わりに、WAN(Wide Area Network)やその他の通信網が採用されてもよい。
施設Fは、インターネットNへのアクセスのためのネットワーク環境を情報端末2へ提供する施設であり、情報端末2が接続可能なローカルネットワークLが設置される。施設Fは、例えば、ホームネットワークを有する一軒家やマンション等の住居、公衆無線LANのサービスを提供する店舗、宿泊施設、イベント会場等、屋内外の各種施設である。
ローカルネットワークLは、施設Fに設置されるEthernet(登録商標)のネットワークである。なお、ローカルネットワークLは、無線の通信ネットワークであってもよい。
<ハードウェア構成>
図3は、本実施形態における各装置のハードウェア構成を例示する図である。図3には、フィルタ装置1、情報端末2、及びL2中継装置4のハードウェア構成が示されている。
図3は、本実施形態における各装置のハードウェア構成を例示する図である。図3には、フィルタ装置1、情報端末2、及びL2中継装置4のハードウェア構成が示されている。
フィルタ装置1は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、ROM(Read Only Memory)13、HDD(Hard Disk Drive)等の補助記憶装置14、L2中継装置4に接続されるNIC(Network Interface Controller)15A、及び、ゲートウェイ等を介してインターネットNに接続されるNIC15Bを備えたコンピュータである。CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、RAM12、補助記憶装置14等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。補助記憶装置14は、不揮発性の記憶装置であり、各種プログラム、永続的な保存が求められるデータ等が記憶される。補助記憶装置14は、「記憶部」の一例である。図3では、フィルタ装置1が1台のコンピュータで例示されているが、フィルタ装置1は、例えば、ネットワークで接続された複数台のコンピュータであってもよい。
情報端末2は、CPU21、RAM22、ROM23、SSD(Solid State Drive)等の補助記憶装置24、及び無線または有線でローカルネットワークLに接続されるNIC25、タッチパネル等である操作部26、及びディスプレイ等である表示部27を備えるコンピュータである。NIC25には、固有のMACアドレスが割り当てられており、当該MACアドレスが付加されたMACフレームがNIC25から送出される。
L2中継装置4は、CPU41、RAM42、ROM43、補助記憶装置44、NIC45A、NIC45B等を備えたコンピュータである。NIC45Aは、フィルタ装置1と接続され、NIC45Bはゲートウェイ等を介してインターネットNと接続される。
<L2VPNのネットワーク構成>
図4は、本実施形態におけるフィルタ装置1と情報端末2との間の論理的なネットワーク構成を例示する図である。図4には、施設F1に設置されたローカルネットワークL1、及び、施設F2に設置されたローカルネットワークL2に関するネットワーク構成が示されている。ローカルネットワークL1、L2それぞれは、独立したネットワークであり、ローカルネットワークL1、L2それぞれに設置されたVPNサービスアダプタ5A、5BのサービスアダプタIDにより識別される。ローカルネットワークL1、L2それぞれには、フィルタ装置1及び情報端末2が接続されている。なお、図4では、結線によって接続が示されているが、これらの接続は論理的なものを示しており、物理的な通信線等による接続を示しているとは限らない。
図4は、本実施形態におけるフィルタ装置1と情報端末2との間の論理的なネットワーク構成を例示する図である。図4には、施設F1に設置されたローカルネットワークL1、及び、施設F2に設置されたローカルネットワークL2に関するネットワーク構成が示されている。ローカルネットワークL1、L2それぞれは、独立したネットワークであり、ローカルネットワークL1、L2それぞれに設置されたVPNサービスアダプタ5A、5BのサービスアダプタIDにより識別される。ローカルネットワークL1、L2それぞれには、フィルタ装置1及び情報端末2が接続されている。なお、図4では、結線によって接続が示されているが、これらの接続は論理的なものを示しており、物理的な通信線等による接続を示しているとは限らない。
フィルタ装置1は、フレーム伝送路T1及びT2を介してローカルネットワークL1及びL2と論理的に接続される。フレーム伝送路T1及びT2は、図1で説明したフレーム伝送路Tにあたる。このようなフィルタ装置1とローカルネットワークL1及びL2との接続について説明する。
フィルタ装置1には、仮想ネットワークアダプタが構築されている。図3において、仮想ネットワークアダプタは、仮想ネットワークアダプタV1及びV2として示されている。仮想ネットワークアダプタは、フィルタ装置1のOS(Operating System)上でEthernet(登録商標)のNICをシミュレートするネットワークドライバである。仮想ネットワークアダプタは、物理インタフェースとしてのNIC15Aを介してL2中継装置4と通信し、所定プロトコルのトンネリングによってMACフレームを伝送するフレーム伝送路を、L2中継装置4との間で確立する。図4において、L2中継装置4との間で確立されるフレーム伝送路は、フレーム伝送路T1A及びT2Aとして示されている。これらのフレーム伝送路は、データリンク層より上位層のネットワーク層のプロトコルであるIPにより、MACフレームをカプセル化するトンネルである。フレーム伝送路T1A、T2Aは、例えば、GRE(Generic Routing Encapsulation)[RFC1701]により実現される。
フィルタ装置1の仮想ネットワークアダプタV1及びV2は、フィルタ装置1に搭載されたプログラムによって生成され、OSにインストールされる。フィルタ装置1が新たな施設Fの情報端末2に対してWebフィルタリングサービスを提供する場合には、当該施設FのローカルネットワークLに接続するための新たな仮想ネットワークアダプタが生成される。そのため、物理的なNICを新たに準備することを要さずに、フィルタ装置1が、新たな施設FのローカルネットワークLと通信可能になる。
L2中継装置4にも、同様にNICをシミュレートする仮想ネットワークアダプタが構築されている。仮想ネットワークアダプタV41A、V42Aそれぞれは、物理インタフェースとしてのNIC45Aを介してフィルタ装置1と通信し、上述のフレーム伝送路T1A及びT2Aをフィルタ装置1の仮想ネットワークアダプタV1、V2それぞれとの間で確立する。
また、仮想ネットワークアダプタV41B、V42Bそれぞれは、NIC45Bを介して、インターネットNを経由して各施設F1、F2のVPNサービスアダプタ5A、5Bそれぞれと通信してフレーム伝送路T1B、T2Bそれぞれを確立する。フレーム伝送路
T1B及びT2Bは、フレーム伝送路T1A、T2Aと同様に、IPによってMACフレームをカプセル化するトンネルであり、通信データが暗号化される伝送路である。フレーム伝送路T1B、T2Bは、例えば、L2TP(Layer 2 Tunneling Protocol)/IPsec[RFC3193]によるトンネリングや、IPsec及びEtherIP[RFC3378]によるトンネリングによって実現される。
T1B及びT2Bは、フレーム伝送路T1A、T2Aと同様に、IPによってMACフレームをカプセル化するトンネルであり、通信データが暗号化される伝送路である。フレーム伝送路T1B、T2Bは、例えば、L2TP(Layer 2 Tunneling Protocol)/IPsec[RFC3193]によるトンネリングや、IPsec及びEtherIP[RFC3378]によるトンネリングによって実現される。
L2中継装置4は、フィルタ装置1との間で確立されたフレーム伝送路T1A及びT2Aと、VPNサービスアダプタ5A、5Bとの間で確立されたフレーム伝送路T1B及びT2Bとを繋げるように、MACフレームを中継する仮想的なブリッジを構築している。図4では、L2中継装置4は、フレーム伝送路T1AとT1Bとの間、及び、フレーム伝送路T2AとT2Bとの間で、MACフレームを中継する。L2中継装置4は、設定に従ってこのような中継を行う。このようなMACフレームの中継は、例えば、仮想ネットワークアダプタV41A、V42A、V41B、V42BをポートとしたOpenFlow技術による経路制御により実現される。
VPNサービスアダプタ5A、5Bそれぞれは、L2中継装置4との間でフレーム伝送路T1B、T2Bそれぞれを確立し、フレーム伝送路T1B、T2BそれぞれとローカルネットワークL1、L2それぞれとの間でMACフレームを中継する。
このような仕組みによって、フィルタ装置1とローカルネットワークL(L1、L2)との間で、L2中継装置4、インターネットN、及びVPNサービスアダプタ5(5A、5B)を経由してMACフレームを伝送するフレーム伝送路T(T1、T2)が、論理的に構築されることになる。そして、フレーム伝送路T(T1、T2)によって、フィルタ装置1がローカルネットワークL(L1、L2)に直接に接続された通信ノードのように振る舞うことが可能なL2VPNが構築されることになる。なお、構築されるL2VPNそれぞれは、互いに独立しており、データが混在されずに通信できる。
このような本実施形態のネットワーク構成では、フィルタ装置1とローカルネットワークLとの間で、インターネットNを経由した、物理的に敷設等された回線に依存しない、論理的なフレーム伝送路が確立される。そのため、様々な場所の施設Fに設置されたローカルネットワークLとフィルタ装置1とを接続するL2VPNの環境を、簡易、迅速に構築できる。そして、このように構築されたL2VPNの環境を利用することで、各施設FのローカルネットワークLに接続された情報端末2のWebアクセスを制御するWebフィルタリングサービスが、簡易、迅速に提供可能となる。
なお、本実施形態では、L2中継装置4を介してL2VPNが構築されるが、L2中継装置4を介さずに、L2VPNが構築されてもよい。
<機能構成>
本実施形態における通信システムの主な機能として、フィルタ装置1の機能を説明する。
本実施形態における通信システムの主な機能として、フィルタ装置1の機能を説明する。
図5は、本実施形態に係るフィルタ装置1の機能構成を例示する図である。フィルタ装置1、補助記憶装置14に記憶されているプログラムが、RAM12に読み出され、CPU11によって実行されることで、フィルタデータベースD11、制限条件取得部F11、通信遮断部F12、通信中継部F13、及び伝送路確立部F14を備えるコンピュータとして機能する。フィルタデータベースD11は、実行されるDBMS(データベース管理システム)のプログラムが、補助記憶装置14に記憶されるデータを管理することで構築される。制限条件取得部F11、通信遮断部F12、伝送路確立部F14は、それぞれ、「制限条件取得手段」、「通信遮断手段」、「伝送路確立手段」の一例である。
なお、本実施形態において、フィルタ装置1の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサ、ハードウェアの演算回路等によって実行されてもよい。ここで、ハードウェアの演算回路とは、例えば、論理ゲートを組み合わせた加算回路、乗算回路、フリップフロップ等をいう。また、これらの機能の一部または全部は、別途のコンピュータにおいて実行されてもよい。
フィルタデータベースD11は、情報端末2のWebアクセスを制限する条件を示すフィルタ条件(「制限条件」の一例)を格納するデータベースである。フィルタデータベースD11は、例えば、リレーショナルデータベースとして構築される。フィルタデータベースD11は、フィルタ管理テーブルを有し、MACアドレスごとに設定されるフィルタ条件をフィルタ管理テーブルに格納する。なお、フィルタデータベースD11は、フィルタ装置1とネットワークで接続されるデータベースサーバに構築されてもよい。
図6は、フィルタ管理テーブルを例示する図である。フィルタ管理テーブルに格納されるレコード1件は、1つのMACアドレスに対するフィルタ条件の設定情報1件を表す。図6の例が示すように、フィルタ管理テーブルのレコードは、MACアドレス、フィルタレベル、及び制限時間帯のフィールドを有する。
MACアドレスのフィールドは、レコードのフィルタ条件が設定されたMACアドレスを表し、情報端末2に割り当てられたMACアドレスの値をとる。フィルタレベルのフィールドは、アクセスの制限の程度を表し、例えばレベル1、レベル2、レベル3等の値をとる。レベル1〜3それぞれは、例えば、マルウェア感染等の脅威を引き起こすアクセスのみを制限する程度、当該脅威を引き起こすアクセスに加えて教育上不適切なコンテンツへのアクセスも制限する程度、管理者等に承認されたコンテンツへのアクセスのみ許可される程度を示すフィルタ条件を有する。それぞれのフィルタレベルが有するフィルタ条件は、例えば、制限されるアクセス先のURLの集合を表すブラックリストや、許可されるアクセス先のURLの集合を表すホワイトリストによって表される。制限時間帯のフィールドは、アクセスが制限される時間帯を表す。制限時間帯のフィールドは、アクセスが制限されるべき時間帯がない場合には、「未設定」の値をとる。
なお、本実施形態では、1台の情報端末2に1つのMACアドレスが割り当てられていることを前提に説明するが、1台の情報端末2が、複数のNICを有し、複数のMACアドレスを有する場合も考えられる。この場合、MACアドレスごとに異なるフィルタ条件が設定され、情報端末2の個々のNICによる通信それぞれに対して異なったフィルタ条件が適用されてよい。
制限条件取得部F11は、情報端末2からWebサイト3へ中継するデータを受信した場合に、当該データによる通信に適用されるフィルタ条件をフィルタデータベースD11から取得する。上述のように、フィルタ装置1は、フレーム伝送路T(図4のT1、T2)によって、論理的にローカルネットワークLに接続される。制限条件取得部F11は、Webサイト3へ中継するデータを、フレーム伝送路Tを介して受信する。制限条件取得部F11は、フレーム伝送路から受信されたMACフレームの送信元MACアドレスに対して設定されているフィルタ条件を、フィルタデータベースD11から取得する。
通信遮断部F12は、情報端末2からWebサイト3へ中継するデータによる通信が、制限条件取得部F11によって取得されたフィルタ条件に合致した場合に、当該データによる通信を遮断する。通信遮断部F12は、図1のフィルタF1〜F3を実現する。
通信中継部F13は、情報端末2とその通信先であるWebサイト3との間の通信を中継する。ただし、通信遮断部F12によって通信が遮断される場合には、当該通信の中継を行わない。
伝送路確立部F14は、ローカルネットワークL上で伝送されるMACフレームを、IPの通信によってインターネットNを経由してフィルタ装置1へ伝送するフレーム伝送路Tを確立する。上述のように、フレーム伝送路Tのフィルタ装置1側の終端は、仮想ネットワークアダプタである。伝送路確立部F14は、終端となる仮想ネットワークアダプタが未生成である場合は、新たに仮想ネットワークアダプタを生成した上でフレーム伝送路Tを確立する。
<処理の流れ>
本実施形態の通信システムの主な処理の流れの詳細を説明する。なお、説明される処理の内容及び順序は一例であり、処理の内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
本実施形態の通信システムの主な処理の流れの詳細を説明する。なお、説明される処理の内容及び順序は一例であり、処理の内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
(L2VPNの構築)
まず、Webフィルタリングサービスが提供される前提として、ローカルネットワークLとフィルタ装置1との間で、フレーム伝送路Tが確立されて、L2VPNが構築される。具体的には、フィルタ装置1の管理者等が特定のローカルネットワークLにWebフィルタリングサービスの提供を開始するための設定をすると、フィルタ装置1の伝送路確立部F14が、対象のローカルネットワークLとの間でフレーム伝送路Tを確立する。なお、伝送路確立部F14のこの処理は、「伝送路確立ステップ」の一例である。
まず、Webフィルタリングサービスが提供される前提として、ローカルネットワークLとフィルタ装置1との間で、フレーム伝送路Tが確立されて、L2VPNが構築される。具体的には、フィルタ装置1の管理者等が特定のローカルネットワークLにWebフィルタリングサービスの提供を開始するための設定をすると、フィルタ装置1の伝送路確立部F14が、対象のローカルネットワークLとの間でフレーム伝送路Tを確立する。なお、伝送路確立部F14のこの処理は、「伝送路確立ステップ」の一例である。
(フィルタ条件の設定)
また、Webフィルタリングサービスが提供される前提として、各情報端末2のMACアドレスに対しての所望のフィルタ条件が設定される。フィルタ装置1は、フィルタ条件の設定用WebページをローカルネットワークLに接続された情報端末2に提供する。当該Webページでは、設定対象のMACアドレスやフィルタレベルの指定が可能である。フィルタ装置1は、当該Webページを介して設定要求を受け付け、当該設定要求に従って、対象のMACアドレスに対するフィルタ条件の設定情報を示すレコードをフィルタデータベースD11のフィルタ管理テーブルに格納する。なお、パスワード等で認証された者が、フィルタ条件の設定用Webページへアクセスでき、その者が設定権限を有するMACアドレスに対してのみ、フィルタ条件を設定できる。
また、Webフィルタリングサービスが提供される前提として、各情報端末2のMACアドレスに対しての所望のフィルタ条件が設定される。フィルタ装置1は、フィルタ条件の設定用WebページをローカルネットワークLに接続された情報端末2に提供する。当該Webページでは、設定対象のMACアドレスやフィルタレベルの指定が可能である。フィルタ装置1は、当該Webページを介して設定要求を受け付け、当該設定要求に従って、対象のMACアドレスに対するフィルタ条件の設定情報を示すレコードをフィルタデータベースD11のフィルタ管理テーブルに格納する。なお、パスワード等で認証された者が、フィルタ条件の設定用Webページへアクセスでき、その者が設定権限を有するMACアドレスに対してのみ、フィルタ条件を設定できる。
なお、フィルタ装置1は、ローカルネットワークLに接続された情報端末2のMACアドレスを収集する機能を有し、フィルタ条件の設定用Webページでは、当該機能で収集されたMACアドレスが選択操作により指定可能であってもよい。この場合、MACアドレスのタイピング入力が不要となるため、MACアドレスの指定操作が簡易になるととともに、指定誤りを抑制できる。このMACアドレスを収集する機能は、例えば、仮想ネットワークアダプタからローカルネットワークLへ、ARP(Address Resolution Protocol)要求パケットを送信することで実現される。ここで送信されるARP要求パケットは、当該ローカルネットワークLに接続される通信機器に割り当てられる可能性のあるIPアドレスそれぞれをターゲットとしたものである。
(通信の中継)
図7は、中継処理の流れを例示する図である。図7は、UML(Unified Modeling Language)のアクティビティ図として記載されている。図7は、Webサイト3へのWebアクセスが行われる場合における通信の中継処理を例示している。この処理の流れは、例えば、情報端末2で動作するWebブラウザが、インターネッ
トN上のWebサイト3が提供するWebページを閲覧するための操作を、操作部26を介して受け付けたことを契機に開始する。
図7は、中継処理の流れを例示する図である。図7は、UML(Unified Modeling Language)のアクティビティ図として記載されている。図7は、Webサイト3へのWebアクセスが行われる場合における通信の中継処理を例示している。この処理の流れは、例えば、情報端末2で動作するWebブラウザが、インターネッ
トN上のWebサイト3が提供するWebページを閲覧するための操作を、操作部26を介して受け付けたことを契機に開始する。
ステップS101では、情報端末2が、インターネット閲覧要求を行う。具体的には、情報端末2は、Webサイト3を宛先としたHTTP(Hypertext Transfer Protocol)のリクエストメッセージを、ローカルネットワークLを介して送信する。情報端末2のNIC25からローカルネットワークLへ送出されて当該リクエストメッセージを運ぶMACフレームの送信元MACアドレスには、情報端末2に割り当てられたMACアドレス、すなわち、NIC25に割り当てられたMACアドレスが設定される。また、当該MACフレームの宛先MACアドレスには、情報端末2のデフォルトゲートウェイとして設定されているフィルタ装置1のMACアドレス、すなわちフィルタ装置1の仮想ネットワークアダプタ(図4のV1、V2等)のMACアドレスが設定される。宛先MACアドレスがこのように設定されることで、リクエストメッセージは、フィルタ装置1へ誘導されることになる。なお、リクエストメッセージのフィルタ装置1への誘導は、このようなデフォルトゲートウェイを用いた方法に限らず、その他の通信経路の調整によって行われてもよい。
情報端末2から送信されたリクエストメッセージを運ぶMACフレームは、VPNサービスアダプタ5とL2中継装置4との間で確立されたフレーム伝送路(図4のT1B、T2B)を通り、L2中継装置4に到達する。
ステップS102では、L2中継装置4が、情報端末2から到達したMACフレームにより行われる通信のプロトコルを判定する。本実施形態のL2中継装置4は、例えば、当該MACフレームのデータに含まれるトランスポート層の宛先ポート番号に基づいてプロトコルを判定する。例えば、宛先ポート番号が80であるときにHTTPと判定され、宛先ポート番号が443であるときにHTTPS(HTTP Secure)と判定される。なお、トランスポート層より上位層のヘッダやデータに基づいて、プロトコルが判定されてもよい。また、本実施形態では、L2中継装置4が通信のプロトコルを判定するが、フィルタ装置1がこのようなプロトコルの判定の処理を行ってもよい。
ステップS102で通信のプロトコルがWebで用いられるHTTPまたはHTTPSであると判定された場合、処理はステップS103へ進む。このとき、L2中継装置4は、情報端末2からL2中継装置4に到達したMACフレームを、フィルタ装置1との間のフレーム伝送路(図4のT1A、T2A)を介してフィルタ装置1へ転送する。一方、フィルタ装置1の仮想ネットワークアダプタは、当該転送されたMACフレームを、宛先MACアドレスが自身のMACアドレスであることを確認した上で受信する。
また、ステップS102で通信のプロトコルがHTTPまたはHTTPSであると判定されなかった場合、処理はステップS120へ進む。このときには、L2中継装置4は、情報端末2からL2中継装置4に到達したMACフレームをフィルタ装置1へ転送しない。ステップS120では、L2中継装置4が、当該MACフレームがグローバルIPアドレスを宛先としたパケットを運ぶものであることを確認した上で、当該パケットをインターネットNへ転送して通信を中継する。
ステップS103では、中継するリクエストメッセージよるWebアクセスに適用されるフィルタ条件が取得される。まず、フィルタ装置1の制限条件取得部F11は、L2中継装置4から転送されたMACフレームを受信すると、当該MACフレームのヘッダから送信元MACアドレスを抽出する。次に、制限条件取得部F11は、抽出された送信元MACアドレスをキーにフィルタデータベースD11のフィルタ管理テーブルを検索して、当該送信元MACアドレスに対して設定されたフィルタ条件を取得する。なお、ステップ
S103は、「制限条件取得ステップ」の一例である。
S103は、「制限条件取得ステップ」の一例である。
ステップS103で取得されたフィルタ条件がレベル1のフィルタレベルを示す場合、処理はステップS104へ進む。ステップS104では、フィルタ装置1の通信遮断部F12が、受信されたMACフレームにより運ばれるリクエストメッセージによるWebアクセスがレベル1のフィルタ条件に合致するか否かを判定する。この判定では、例えば、当該リクエストメッセージのURLが、レベル1によって制限されるURLの集合を表すブラックリストと照合される。また、取得されたフィルタ条件に、制限時間帯が設定されている場合には、現在時刻が制限時間帯に属するか否かもフィルタ条件の一部として判定される。同様に、ステップS103で取得されたフィルタ条件がレベル2のフィルタレベルを示す場合、処理はステップS105へ進み、ステップS105では、Webアクセスがレベル2のフィルタ条件に合致するか否かが判定される。同様に、ステップS103で取得されたフィルタ条件がレベル3のフィルタレベルを示す場合、処理はステップS106へ進み、ステップS106では、Webアクセスがレベル3のフィルタ条件に合致するか否かが判定される。なお、図7には、フィルタレベルが3種類である場合の処理が示されているが、フィルタレベルは3種類に限られるものではない。
ステップS104〜S106でWebアクセスがフィルタ条件に合致すると判定された場合、処理はステップS107へ進む。ステップS107では、フィルタ装置1の通信遮断部F12が、L2中継装置4から転送されたMACフレームを破棄し、当該MACフレームにより運ばれるリクエストメッセージによるWebの通信を遮断する。中継処理の流れはここで終了する。ステップS107は、「通信遮断ステップ」の一例である。なお、通信遮断部F12は、Webの通信の遮断を行った旨を表すテキストデータ及びエラーのステータスを含むレスポンスメッセージを生成して、当該MACフレームの送信元の情報端末2へ送信してもよい。
一方、ステップS104〜S106でWebアクセスがフィルタ条件に合致すると判定されなった場合、処理はステップS108へ進む。ステップS108では、フィルタ装置1の通信中継部F13が、L2中継装置4から転送されたMACフレームにより運ばれたリクエストメッセージを、その宛先のWebサイト3へ中継する。フィルタ装置1は、プロキシサーバとして機能することになる。中継の処理としては、通信中継部F13は、例えば、宛先のWebサイト3との間でTCP(Transmission Control Protocol)のコネクションを確立し、当該コネクションを介してリクエストメッセージを転送する。当該転送には、NIC15Bが用いられる。また例えば、通信のプロトコルがHTTPSである場合には、通信中継部F13は、フィルタ装置1とWebサイト3との間でSSL(Secure Sockets Layer)のセッションを確立して、当該セッションを用いてリクエストメッセージを転送する。
ステップS109では、Webサイト3が、中継されたリクエストメッセージを受信して処理する。具体的には、Webサイト3は、リクエストメッセージに対応するレスポンスメッセージを生成し、インターネットNを介してフィルタ装置1へ送信する。レスポンスメッセージには、リクエストメッセージにより要求されたコンテンツデータが含まれる。
ステップS110では、フィルタ装置1の通信中継部F13が、Webサイト3からのレスポンスメッセージを、NIC15Bを介して受信し、受信したレスポンスメッセージを情報端末2へ中継する。中継先の情報端末2は、通信中継部F13がステップS108で中継したリクエストメッセージの送信元の情報端末2である。通信中継部F13は、仮想ネットワークアダプタから、中継先となる情報端末2が接続されたローカルネットワークLと繋がるフレーム伝送路Tを用いて、当該レスポンスメッセージを転送する。
ステップS111では、情報端末2が、レスポンスメッセージを受信する。そして、情報端末2で動作するWebブラウザは、当該レスポンスメッセージの含むコンテンツデータが表すWebページを表示部27に表示する。中継処理の流れはここで終了する。
<作用効果>
以上説明した本実施形態では、リクエストメッセージの送信元のMACアドレスに対して設定されているフィルタ条件に従って、Webの通信の中継あるいは遮断が行われ、情報端末2のWebアクセスが制御された。そのため、本実施形態によれば、情報端末2ごとの所望のフィルタ条件に従って各情報端末2のWebサイト3へのアクセスを制御できる。また、本実施形態では、施設FのローカルネットワークLに接続された情報端末2のWebアクセスを制御するWebフィルタリングサービスが、インターネットNを介してクラウド型で提供された。そのため、各施設FにWebアクセスを制限する装置を設置等せずに、より簡易迅速に、情報端末2のWebアクセスを制御可能な通信環境を構築できる。更に、情報端末2が何れの施設FのローカルネットワークLに接続されている場合でも、同じフィルタ条件に従ってアクセスを制御できる。例えば、情報端末2の利用場所によらない統一されたポリシーで、Webアクセスを規制することが可能となる。
以上説明した本実施形態では、リクエストメッセージの送信元のMACアドレスに対して設定されているフィルタ条件に従って、Webの通信の中継あるいは遮断が行われ、情報端末2のWebアクセスが制御された。そのため、本実施形態によれば、情報端末2ごとの所望のフィルタ条件に従って各情報端末2のWebサイト3へのアクセスを制御できる。また、本実施形態では、施設FのローカルネットワークLに接続された情報端末2のWebアクセスを制御するWebフィルタリングサービスが、インターネットNを介してクラウド型で提供された。そのため、各施設FにWebアクセスを制限する装置を設置等せずに、より簡易迅速に、情報端末2のWebアクセスを制御可能な通信環境を構築できる。更に、情報端末2が何れの施設FのローカルネットワークLに接続されている場合でも、同じフィルタ条件に従ってアクセスを制御できる。例えば、情報端末2の利用場所によらない統一されたポリシーで、Webアクセスを規制することが可能となる。
≪実施形態2≫
上述の実施形態1では、MACアドレスに対してフィルタ条件が設定され、情報端末2ごとのフィルタ条件によるWebフィルタリングサービスが提供された。別の実施形態として、MACアドレスとサービスアダプタIDとの組に対してフィルタ条件が設定される実施形態2について、実施形態1と異なる箇所を中心に説明する。サービスアダプタIDは、上述のように、各ローカルネットワークLに1台設置されるVPNサービスアダプタ5に割り当てられたものであり、VPNサービスアダプタ5が設置されたローカルネットワークLを識別する識別情報と言える。サービスアダプタIDは、「ネットワーク識別情報」の一例である。そして、実施形態2では、情報端末2ごと、かつ、当該情報端末2が接続されるローカルネットワークLごとのフィルタ条件によるWebフィルタリングサービスが提供される。なお、実施形態2の各装置のハードウェア構成は、実施形態1のものと同様である。
上述の実施形態1では、MACアドレスに対してフィルタ条件が設定され、情報端末2ごとのフィルタ条件によるWebフィルタリングサービスが提供された。別の実施形態として、MACアドレスとサービスアダプタIDとの組に対してフィルタ条件が設定される実施形態2について、実施形態1と異なる箇所を中心に説明する。サービスアダプタIDは、上述のように、各ローカルネットワークLに1台設置されるVPNサービスアダプタ5に割り当てられたものであり、VPNサービスアダプタ5が設置されたローカルネットワークLを識別する識別情報と言える。サービスアダプタIDは、「ネットワーク識別情報」の一例である。そして、実施形態2では、情報端末2ごと、かつ、当該情報端末2が接続されるローカルネットワークLごとのフィルタ条件によるWebフィルタリングサービスが提供される。なお、実施形態2の各装置のハードウェア構成は、実施形態1のものと同様である。
<フィルタ管理テーブル>
図8は、実施形態2におけるフィルタ管理テーブルを例示する図である。フィルタデータベースD11のフィルタ管理テーブルに格納されるレコード1件は、実施形態1と異なり、MACアドレスとサービスアダプタIDとの組に対するフィルタ条件の設定情報1件を表す。図8の例が示すように、フィルタ管理テーブルのレコードは、図6が示す実施形態1のものと比べて、サービスアダプタIDのフィールドを更に有する。サービスアダプタIDのフィールドは、ローカルネットワークLに設置されるVPNサービスアダプタ5を識別するサービスアダプタIDの値をとる。MACアドレスのフィールドとサービスアダプタIDのフィールドとの組は、フィルタ管理テーブルに格納されるレコードを一意に識別する主キーとなる。
図8は、実施形態2におけるフィルタ管理テーブルを例示する図である。フィルタデータベースD11のフィルタ管理テーブルに格納されるレコード1件は、実施形態1と異なり、MACアドレスとサービスアダプタIDとの組に対するフィルタ条件の設定情報1件を表す。図8の例が示すように、フィルタ管理テーブルのレコードは、図6が示す実施形態1のものと比べて、サービスアダプタIDのフィールドを更に有する。サービスアダプタIDのフィールドは、ローカルネットワークLに設置されるVPNサービスアダプタ5を識別するサービスアダプタIDの値をとる。MACアドレスのフィールドとサービスアダプタIDのフィールドとの組は、フィルタ管理テーブルに格納されるレコードを一意に識別する主キーとなる。
<中継処理の流れ>
実施形態1における図7の中継処理の流れにおけるステップS103では、Webアクセスに適用されるフィルタ条件として、送信元MACアドレスに対して設定されたフィルタ条件が、フィルタデータベースD11のフィルタ管理テーブルから取得された。実施形態2のステップS103では、まず、制限条件取得部F11が、L2中継装置4から転送されたMACフレームの送信元のローカルネットワークLを識別するサービスアダプタIDを割り出す。この際、制限条件取得部F11は、当該MACフレームを受信した仮想ネットワークアダプタが、何れのローカルネットワークLと接続されたフレーム伝送路Tを
終端するものであるかに基づいて、当該サービスアダプタIDを割り出す。次に、制限条件取得部F11は、割り出したサービスアダプタIDとMACフレームの送信元MACアドレスとの組に対して設定されたフィルタ条件をフィルタデータベースD11のフィルタ管理テーブルから取得する。なお、実施形態2の中継処理の流れにおけるその他のステップは、実施形態1と同様である。
実施形態1における図7の中継処理の流れにおけるステップS103では、Webアクセスに適用されるフィルタ条件として、送信元MACアドレスに対して設定されたフィルタ条件が、フィルタデータベースD11のフィルタ管理テーブルから取得された。実施形態2のステップS103では、まず、制限条件取得部F11が、L2中継装置4から転送されたMACフレームの送信元のローカルネットワークLを識別するサービスアダプタIDを割り出す。この際、制限条件取得部F11は、当該MACフレームを受信した仮想ネットワークアダプタが、何れのローカルネットワークLと接続されたフレーム伝送路Tを
終端するものであるかに基づいて、当該サービスアダプタIDを割り出す。次に、制限条件取得部F11は、割り出したサービスアダプタIDとMACフレームの送信元MACアドレスとの組に対して設定されたフィルタ条件をフィルタデータベースD11のフィルタ管理テーブルから取得する。なお、実施形態2の中継処理の流れにおけるその他のステップは、実施形態1と同様である。
<作用効果>
このような実施形態2によれば、情報端末2が接続されるローカルネットワークLごとに異なり得るフィルタ条件に従って、通信先へのアクセス制御が行われる。そのため、情報端末2の利用場所等に応じた、より好適なWebアクセスの制御が可能となる。例えば、情報端末2が、情報端末2の所持者の自宅のホームネットワークに接続された場合と、業務用のネットワークに接続された場合とで、異なったフィルタレベルのWebのアクセス制限を行うことができる。
このような実施形態2によれば、情報端末2が接続されるローカルネットワークLごとに異なり得るフィルタ条件に従って、通信先へのアクセス制御が行われる。そのため、情報端末2の利用場所等に応じた、より好適なWebアクセスの制御が可能となる。例えば、情報端末2が、情報端末2の所持者の自宅のホームネットワークに接続された場合と、業務用のネットワークに接続された場合とで、異なったフィルタレベルのWebのアクセス制限を行うことができる。
≪実施形態3≫
上述の実施形態1の通信システムでは、フィルタ装置1が、ローカルネットワークLの設置された施設Fの外部に設けられ、Webフィルタリングサービスが、インターネットNを経由したクラウド型で情報端末2に提供された。別の実施形態として、Webフィルタリング機能を有するフィルタ装置(「通信中継装置」の一例)が、施設Fに設置され、ローカルネットワークLに接続される実施形態3について、実施形態1と異なる点を中心に説明する。
上述の実施形態1の通信システムでは、フィルタ装置1が、ローカルネットワークLの設置された施設Fの外部に設けられ、Webフィルタリングサービスが、インターネットNを経由したクラウド型で情報端末2に提供された。別の実施形態として、Webフィルタリング機能を有するフィルタ装置(「通信中継装置」の一例)が、施設Fに設置され、ローカルネットワークLに接続される実施形態3について、実施形態1と異なる点を中心に説明する。
図9は、実施形態3における通信システムの構成を例示する図である。図9には、フィルタ装置1A、情報端末2、Webサイト3、インターネットN、施設F3、施設F3に設置されたローカルネットワークL3、及びルータ6が示されている。フィルタ装置1A、情報端末2、及びルータ6は、ローカルネットワークL3に接続される。
フィルタ装置1Aは、実施形態1のフィルタ装置1と同様に、フィルタデータベース、制限条件取得部、通信遮断部、及び通信中継部を備えるコンピュータとして機能する。ただし、フィルタ装置1Aは、実施形態1のフィルタ装置1と異なり、伝送路確立部を備えない。
実施形態1と同様に、フィルタ装置1Aの通信中継部は、情報端末2とその通信先であるWebサイト3との間の通信を中継する。また、フィルタ装置1Aの通信遮断部は、情報端末2からWebサイト3へ中継するデータによる通信が、制限条件取得部によって取得されたフィルタ条件に合致した場合に、当該データによる通信を遮断する。実施形態1とは異なり、フィルタ装置1Aの制限条件取得部は、Webサイト3へ中継するデータを運ぶMACフレームを、フィルタ装置1Aが接続されたローカルネットワークLから直接に受信する。
このようなフィルタ装置1Aを含む通信システムによれば、実施形態1のようなL2VPNが構築されないローカルネットワークLに接続された情報端末2に対しても、MACアドレスごとのフィルタ条件に従ったWebの通信の制限を行うことができる。
なお、実施形態3では、フィルタ装置1Aが独立した装置として説明されたが、ルータ6等のローカルネットワーク3に接続されたネットワーク機器がフィルタ装置1Aの機能を備えてもよい。この場合、当該ネットワーク機器が「通信中継装置」の一例となる。
1、1A フィルタ装置(通信中継装置)
2、2A、2B、2C、2D 情報端末(通信機器)
3 Webサイト(通信先)
4 L2中継装置
5、5A、5B VPNサービスアダプタ
6 ルータ
D11 フィルタデータベース
F、F1、F2、F3 施設
L、L1、L2、L3 ローカルネットワーク
N インターネット(通信網)
2、2A、2B、2C、2D 情報端末(通信機器)
3 Webサイト(通信先)
4 L2中継装置
5、5A、5B VPNサービスアダプタ
6 ルータ
D11 フィルタデータベース
F、F1、F2、F3 施設
L、L1、L2、L3 ローカルネットワーク
N インターネット(通信網)
Claims (7)
- 物理アドレスを用いた通信を行う通信機器と通信先との間の通信を中継する通信中継装置であって、
前記通信機器から前記通信先へ中継するデータを受信した場合に、物理アドレスごとに設定された通信の制限条件を記憶する記憶部から、前記受信されたデータの送信元の物理アドレスに対して設定されている制限条件を取得する制限条件取得手段と、
前記受信されたデータによる通信が前記取得された制限条件に合致した場合に、前記受信されたデータを中継せずに通信を遮断する通信遮断手段と、
を備える通信中継装置。 - 前記制限条件は、通信が制限される時間帯を規定する条件を含み、
前記通信遮断手段は、前記受信されたデータの受信時刻が、前記取得された制限条件により制限される時間帯に属する場合に、前記受信されたデータによる通信を遮断する、
請求項1に記載の通信中継装置。 - 前記通信中継装置及び前記通信先は、通信網に接続され、
前記通信機器は、前記通信網に接続されたローカルネットワークに接続され、
前記通信中継装置は、前記ローカルネットワーク上で伝送されるデータリンク層のフレームを、データリンク層より上位層の通信によって前記通信網を経由して前記通信中継装置へ伝送するフレーム伝送路を確立する伝送路確立手段を備え、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立されたフレーム伝送路を介して受信する、
請求項1または2に記載の通信中継装置。 - 前記通信網には複数のローカルネットワークが接続され、
前記通信機器は、前記複数のローカルネットワークの何れかに接続され、
前記通信中継装置は、前記伝送路確立手段によって前記複数のローカルネットワークそれぞれのフレームを伝送するフレーム伝送路それぞれを確立し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータを、前記確立されたフレーム伝送路の何れかを介して受信する、
請求項3に記載の通信中継装置。 - 前記記憶部は、前記複数のローカルネットワークそれぞれを識別するネットワーク識別情報と物理アドレスとの組ごとに設定された制限条件を記憶し、
前記制限条件取得手段は、前記通信機器から通信先へ中継するデータの受信に介されたフレーム伝送路に係るローカルネットワークを識別するネットワーク識別情報と前記送信元の物理アドレスとの組に対して設定された制限条件を取得する、
請求項4に記載の通信中継装置。 - 物理アドレスを用いた通信を行う通信機器と通信先との間の通信を中継する通信中継装置が、
前記通信機器から前記通信先へ中継するデータを受信した場合に、物理アドレスごとに設定された通信の制限条件を記憶する記憶部から、前記受信されたデータの送信元の物理アドレスに対して設定されている制限条件を取得する制限条件取得ステップと、
前記受信されたデータによる通信が前記取得された制限条件に合致した場合に、前記受信されたデータを中継せずに通信を遮断する通信遮断ステップと、
を実行する情報処理方法。 - 物理アドレスを用いたデータの通信を行う通信機器と通信先との間の通信を中継する通
信中継装置に、
前記通信機器から前記通信先へ中継するデータを受信した場合に、物理アドレスごとに設定された通信の制限条件を記憶する記憶部から、前記受信されたデータの送信元の物理アドレスに対して設定されている制限条件を取得する制限条件取得ステップと、
前記受信されたデータによる通信が前記取得された制限条件に合致した場合に、前記受信されたデータを中継せずに通信を遮断する通信遮断ステップと、
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014168340A JP2016046625A (ja) | 2014-08-21 | 2014-08-21 | 通信中継装置、情報処理方法、及び、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014168340A JP2016046625A (ja) | 2014-08-21 | 2014-08-21 | 通信中継装置、情報処理方法、及び、プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016046625A true JP2016046625A (ja) | 2016-04-04 |
Family
ID=55636814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014168340A Pending JP2016046625A (ja) | 2014-08-21 | 2014-08-21 | 通信中継装置、情報処理方法、及び、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016046625A (ja) |
-
2014
- 2014-08-21 JP JP2014168340A patent/JP2016046625A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10477463B2 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
| CN105637805B (zh) | 增强移动备用信道以解决有线线路网络中的节点故障 | |
| JP5657146B2 (ja) | 建物の遠隔制御を実施するための方法およびデバイス装置 | |
| EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
| US20060146837A1 (en) | Server for routing connection to client device | |
| US11595305B2 (en) | Device information method and apparatus for directing link-layer communication | |
| JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
| JP5687388B2 (ja) | 建物の遠隔制御を実施するためのデバイス構成 | |
| CN109617753A (zh) | 一种网络平台管理方法、系统及电子设备和存储介质 | |
| US11575577B2 (en) | User information method and apparatus for directing link-layer communication | |
| JP2016012909A (ja) | 通信装置、通信方法および通信システム | |
| JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
| CN109379339A (zh) | 一种Portal认证方法及装置 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP2016066298A (ja) | 中継装置、通信システム、情報処理方法、及び、プログラム | |
| JP2015154322A (ja) | ファイアウォール装置の制御装置及びプログラム | |
| JP3887325B2 (ja) | データ通信網システムおよびデータ通信網接続制御方法 | |
| JP2016046625A (ja) | 通信中継装置、情報処理方法、及び、プログラム | |
| WO2016082363A1 (zh) | 用户数据管理方法及装置 | |
| CN107846401B (zh) | 匿名上网设备及系统 | |
| US20200287868A1 (en) | Systems and methods for in-band remote management | |
| JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| JP4608466B2 (ja) | 通信システムおよび通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20170508 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170421 |