JP2017028403A - Device and program for firewall management - Google Patents
Device and program for firewall management Download PDFInfo
- Publication number
- JP2017028403A JP2017028403A JP2015143260A JP2015143260A JP2017028403A JP 2017028403 A JP2017028403 A JP 2017028403A JP 2015143260 A JP2015143260 A JP 2015143260A JP 2015143260 A JP2015143260 A JP 2015143260A JP 2017028403 A JP2017028403 A JP 2017028403A
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- address
- entry
- conversion
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ファイアウォール装置を管理する技術に関するものである。 The present invention relates to a technique for managing a firewall device.
ネットワークセキュリティ機器であるファイアウォールは、アクセス制御リスト(ACL)と呼ばれるリストに基づき、ファイアウォールを経由する通信パケットを通過させるか、または、遮断するかを判断する。
ACLは、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、通信プロトコルといった情報に対応付けて、アクションが定義される。アクションは、通信パケットの通過の許可もしくは拒否を示す。
Based on a list called an access control list (ACL), a firewall that is a network security device determines whether to pass or block a communication packet that passes through the firewall.
In ACL, an action is defined in association with information such as a transmission source IP address, a transmission source port, a destination IP address, a destination port, and a communication protocol. The action indicates whether the communication packet is permitted or denied.
ACLが誤っていると、通過させるべき通信パケットがファイアウォールで遮断されて通信障害が発生し、また、遮断すべき通信パケットがファイアウォールを通過してセキュリティ上の脅威が発生する。
そのため、ACLは十分に検証した後に導入しなければならない。
If the ACL is incorrect, the communication packet to be passed is blocked by the firewall and a communication failure occurs, and the communication packet to be blocked passes through the firewall to cause a security threat.
Therefore, the ACL must be introduced after it has been fully verified.
ACLは通信の要件を基に作成されるが、通信の要件を作成するユーザが対象システムのネットワーク構成を十分に理解しているとは限らない。そのため、誤った要件が作成されてしまい、誤った要件を基に誤ったACLが作成されてしまう可能性がある。
例えば、複数のポートが使用されるシステムについて、使用されるポートのうちの1つまたは複数が通信の要件から漏れてしまう可能性がある。この場合、誤ったACLが作成されて、通信障害が発生する。
The ACL is created based on communication requirements, but the user who creates the communication requirements does not always fully understand the network configuration of the target system. Therefore, an incorrect requirement may be created, and an incorrect ACL may be created based on the incorrect requirement.
For example, for a system in which multiple ports are used, one or more of the ports used may leak from the communication requirements. In this case, an incorrect ACL is created and a communication failure occurs.
特許文献1は、ホスティングサービスにおける共用ファイアウォールの設定方法に関する技術を開示している。
その技術は、ホスティングサービスを利用するユーザから要件変更要求を受けて、ユーザに割り振られたIPアドレスを要件変更要求に付加し、ACLを自動で生成し、生成したACLを共用ファイアウォールに設定する、というものである。
しかし、複数のファイアウォールを経由する通信パケットに関する要件変更要求があった場合、各ファイアウォールに設定されているルーティング情報を基に、ACLの設定が必要なファイアウォールを適切に設定することができない。そのため、最適なACLを生成することができない。
The technology receives a requirement change request from a user using a hosting service, adds an IP address allocated to the user to the requirement change request, automatically generates an ACL, and sets the generated ACL in a shared firewall. That's it.
However, when there is a requirement change request regarding a communication packet passing through a plurality of firewalls, it is not possible to appropriately set a firewall that requires ACL setting based on the routing information set in each firewall. Therefore, an optimal ACL cannot be generated.
本発明は、パケットを中継するファイアウォールが複数あっても、それぞれのファイアウォールのアクセス制御リストに追加するエントリを、通信要件に従って生成できるようにすることを目的とする。 An object of the present invention is to make it possible to generate an entry to be added to an access control list of each firewall according to communication requirements even when there are a plurality of firewalls that relay packets.
本発明のファイアウォール管理装置は、
送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付部と、
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部とを備える。
The firewall management apparatus of the present invention
A requirement receiving unit that receives a source address, a destination address, and an action indicating whether communication is possible;
When a packet in which an accepted source address and an accepted destination address are set is transmitted, at least one of the source address and the destination address set in the packet for relaying the packet A firewall identifying unit that identifies a converted firewall that is a firewall device that converts an address by using an address conversion table that is a table for each firewall device and associates an address before conversion and an address after conversion;
As an entry to be registered in the access control list set in the specified conversion firewall, an entry generation unit that generates an entry in which an accepted action is set is provided.
本発明によれば、パケットを中継するファイアウォールが複数あっても、各ファイアウォールを特定することができる。そのため、それぞれのファイアウォールのアクセス制御リストに追加するエントリを、通信要件に従って生成することができる。 According to the present invention, even if there are a plurality of firewalls that relay packets, each firewall can be specified. Therefore, an entry to be added to the access control list of each firewall can be generated according to the communication requirements.
実施の形態1.
ファイアウォール装置に設定されるアクセス制御リストに登録するエントリを通信要件に従って生成する形態について、図1から図21に基づいて説明する。
A form in which an entry to be registered in the access control list set in the firewall apparatus is generated according to communication requirements will be described with reference to FIGS.
***構成の説明***
図1に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、要件受付部110と、ファイアウォール特定部120と、エントリ生成部130と、設定ファイル取得部140と、記憶部190とを備える。
*** Explanation of configuration ***
A functional configuration of the
The
要件受付部110は、1つ以上の通信要件102を示す要件データ101を受け付ける。
図2において、要件データ101は、送信元アドレスと送信元ポートと宛先アドレスと宛先ポートとプロトコルとアクションとのそれぞれの情報を互いに対応付けている。これらの情報は1つ以上の通信要件102を示す情報である。
送信元アドレスの情報は、送信元アドレスまたは送信元グループを示す。送信元グループは、連続する複数の送信元アドレスを含むアドレスグループである。IPアドレスは送信元アドレスの一例である。図中の1.1.1.1−3は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループである。
送信元ポートの情報は、送信ポートを示す。図中のanyは全ての送信ポートを意味している。
宛先アドレスの情報は、宛先アドレスまたは宛先グループを示す。宛先グループは、連続する複数の宛先アドレスを含むアドレスグループである。IPアドレスは宛先アドレスの一例である。図中の2.2.2.1−2は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループである。
宛先ポートの情報は、宛先ポートを示す。
プロトコルの情報は、tcpまたはudpなどのプロトコルを示す。
アクションの情報は、通信の可否を示す。
The
In FIG. 2, the
The source address information indicates a source address or a source group. The transmission source group is an address group including a plurality of continuous transmission source addresses. An IP address is an example of a source address. 1.1.1.1-3 in the figure is a transmission source group including three transmission source addresses 1.1.1.1 to 1.1.1.3.
The information of the transmission source port indicates the transmission port. Any in the figure means all transmission ports.
The destination address information indicates a destination address or a destination group. The destination group is an address group including a plurality of consecutive destination addresses. An IP address is an example of a destination address. 2.2.2.1-2 in the figure is a destination group including two destination addresses from 2.2.2.1 to 2.2.2.2.
The destination port information indicates the destination port.
The protocol information indicates a protocol such as tcp or udp.
The action information indicates whether communication is possible.
図3に基づいて、要件受付部110の機能構成について説明する。
要件受付部110は、要件データ受付部111と、ファイアウォール特定部120とを備える。
要件データ受付部111は、要件データ101を受け付ける。
Based on FIG. 3, the functional configuration of the
The
The requirement
要件分割部112は、要件データ101が複数の通信要件102を示す場合、要件データ101を複数の通信要件102に分割する。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
The
That is, the
図4において、要件データ101は3つの送信元アドレスを含んだ送信元グループと2つの宛先アドレスを含んだ宛先グループとを示している。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
In FIG. 4, the
Therefore, the
図1に戻り、ファイアウォール特定部120の機能について説明する。
ファイアウォール特定部120は、ファイアウォール装置別のファイアウォール設定ファイル180を用いて、通信要件102毎に変換ファイアウォールと中継ファイアウォールとの少なくともいずれかを特定する。
変換ファイアウォールは、通信要件102に示される送信元アドレスと通信要件102に示される宛先アドレスとが設定されたパケットが送信された場合に、パケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である。アドレスの変換は、NATまたはNAPTと呼ばれる。NATはNetwork Address Translationの略称であり、NAPTはNetwork Address Port Translationの略称である。
中継ファイアウォールは、上記のパケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとのいずれのアドレスも変換しないファイアウォール装置である。
Returning to FIG. 1, the function of the
The
When a packet in which the source address indicated in the
The relay firewall is a firewall device that does not convert any of the source address and the destination address set in the packet in order to relay the packet.
図5に基づいて、ファイアウォール設定ファイル180の構成について説明する。
ファイアウォール設定ファイル180は、変換ファイアウォールを特定するために用いられるアドレス変換テーブル181と、中継ファイアウォールを特定するために用いられるルーティングテーブル182と、アクセス制御リスト183とを含んでいる。アクセス制御リスト183はACLという略称で呼ばれる。
The configuration of the
The
アドレス変換テーブル181は、内側インタフェースと内側アドレスと外側インタフェースと外側アドレスとのそれぞれの情報を互いに対応付けている。
内側インタフェースの情報は、内側ネットワークに接続するインタフェースを識別するインタフェース名を示す。内側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの一方のネットワークである。
内側アドレスの情報は、変換前の送信元アドレスに相当する変換前アドレスと変換後の宛先アドレスに相当する変換後アドレスとを示す。
外側インタフェースの情報は、外側ネットワークに接続するインタフェースを識別するインタフェース名を示す。外側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの他方のネットワークである。
外側アドレスの情報は、変換後の送信元アドレスに相当する変換後アドレスと変換前の宛先アドレスに相当する変換前アドレスとを示す。
The address conversion table 181 associates information on the inner interface, the inner address, the outer interface, and the outer address with each other.
The information on the inside interface indicates an interface name that identifies an interface connected to the inside network. The inner network is one of the two networks to which the firewall device is connected.
The inner address information indicates a pre-conversion address corresponding to the source address before conversion and a post-conversion address corresponding to the destination address after conversion.
The information on the outside interface indicates an interface name that identifies an interface connected to the outside network. The outside network is the other network of the two networks to which the firewall device is connected.
The information of the outside address indicates a post-conversion address corresponding to the source address after conversion and a pre-conversion address corresponding to the destination address before conversion.
ルーティングテーブル182は、宛先と出力インタフェースと次ホップとのそれぞれの情報を互いに対応付けている。
宛先の情報は、ルートアドレスを示す。ルートアドレスは、ファイアウォール装置が接続するいずれかのネットワークで使用されるアドレスである。図中のdefaultはy’とZとを除いたアドレスを意味する。
出力インタフェースの情報は、ルートアドレスが使用されるネットワークに接続するインタフェースを識別するインタフェース名を示す。
次ホップの情報は、パケットを次に中継する中継装置を示す。
The routing table 182 associates each information of the destination, the output interface, and the next hop with each other.
The destination information indicates a route address. The root address is an address used in any network to which the firewall device is connected. The default in the figure means an address excluding y ′ and Z.
The output interface information indicates an interface name that identifies an interface connected to the network in which the route address is used.
The next hop information indicates a relay device that relays the packet next.
アクセス制御リスト183は、要件データ101および通信要件102と同じく、送信元アドレスと送信元ポートと宛先アドレスと宛先ポートとプロトコルとアクションとのそれぞれの情報を互いに対応付けている。
アクセス制御リスト183に登録されるエントリをアクセス制御エントリという。
Similar to the
An entry registered in the access control list 183 is referred to as an access control entry.
図6に基づいて、ファイアウォール特定部120の機能構成について説明する。
ファイアウォール特定部120は、一覧生成部121と、変換特定部123と、中継特定部125と、特定制御部127とを備える。
Based on FIG. 6, the functional configuration of the
The
一覧生成部121は、ファイアウォール装置別のアドレス変換テーブル181を用いて、アドレス変換一覧122を生成する。
図7に基づいて、アドレス変換一覧122の構成について説明する。
アドレス変換一覧122は、ファイアウォール名と内側アドレスと外側アドレスとを互いに対応付けている。
内側アドレスおよび外側アドレスは、ファイアウォール別のアドレス変換テーブル181から抽出されたアドレスを示す。
ファイアウォール名は、アドレス変換テーブル181に対応するファイアウォール装置を識別する名称を示す。
The
Based on FIG. 7, the structure of the address translation list 122 will be described.
The address conversion list 122 associates firewall names, inner addresses, and outer addresses with each other.
The inside address and the outside address indicate addresses extracted from the address conversion table 181 for each firewall.
The firewall name indicates a name for identifying the firewall device corresponding to the address conversion table 181.
図6に戻り、変換特定部123の機能について説明する。
変換特定部123は、アドレス変換一覧122を用いて、通信要件102毎に変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
Returning to FIG. 6, the function of the
The
Then, the
変換ファイアウォールの一例は、第1の送信元ファイアウォール、第2の送信元ファイアウォールおよび宛先ファイアウォールである。
第1の送信元ファイアウォールは、通信要件102に示される送信元アドレスと同じ変換前アドレスと変換前アドレスに対応付いた変換後アドレスを含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、通信要件102に示される送信元アドレスがxである場合、第1の送信元ファイアウォールは、内側アドレスがxであるFW1である。
ここで、通信要件102に示される送信元アドレスと同じ変換前アドレスを第1の変換前アドレスといい、第1の変換前アドレスに対応付いた変換後アドレスを第1の変換後アドレスという。
An example of a conversion firewall is a first source firewall, a second source firewall, and a destination firewall.
The first transmission source firewall is a firewall device corresponding to the address conversion table 181 including the same address before conversion as the transmission source address indicated in the
In FIG. 7, when the transmission source address indicated by the
Here, the same pre-conversion address as the source address indicated in the
第2の送信元ファイアウォールは、第1の変換前アドレスに対応付いた第1の変換後アドレスと同じアドレスを変換前アドレスとして含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、第1の変換後アドレスがx’である場合、第2の送信元ファイアウォールは、内側アドレスがx’であるFW5である。
The second source firewall is a firewall device corresponding to the address conversion table 181 including the same address as the first post-conversion address associated with the first pre-conversion address as the pre-conversion address.
In FIG. 7, when the first translated address is x ′, the second source firewall is
宛先ファイアウォールは、通信要件102に示される宛先アドレスと同じ変換前アドレスを含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、通信要件102に示される宛先アドレスがyである場合、宛先ファイアウォールは、外側アドレスがyであるFW3である。
The destination firewall is a firewall device corresponding to the address conversion table 181 including the same pre-conversion address as the destination address indicated in the
In FIG. 7, when the destination address indicated in the
図7に示すように、特定情報124は、変換ファイアウォール(送信元ファイアウォール、宛先ファイアウォール)のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
As shown in FIG. 7, the
図6に戻り、中継特定部125の機能について説明する。
中継特定部125は、ルーティングテーブル182を用いて、通信要件102毎に中継ファイアウォールを特定する。ここで、変換ファイアウォールは、中継ファイアウォールを特定する対象のファイアウォール装置から除外される。
そして、中継特定部125は、特定した中継ファイアウォールの情報である特定情報126を生成する。
Returning to FIG. 6, the function of the
The
Then, the
中継ファイアウォールは、以下の条件(1)または条件(2)を満たすルーティングテーブル182に対応するファイアウォール装置である。
条件(1)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
条件(2)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
上記の条件は、通常のルーティング設定では送信元アドレスに対応するインタフェースと宛先アドレスに対応するインタフェースとが互いに異なることを根拠としている。パケットは、ファイアウォール装置のインタフェースから同じインタフェースにルーティングされることはない。
The relay firewall is a firewall device corresponding to the routing table 182 that satisfies the following condition (1) or condition (2).
In condition (1), the routing table 182 indicates that the interface name associated with the same route address as the source address before translation by the translation firewall is associated with the same route address as the destination address before translation by the translation firewall. Is different.
In condition (2), the routing table 182 shows that the interface name associated with the same route address as the source address before translation by the translation firewall is associated with the same route address as the destination address before translation by the translation firewall. Is different.
The above condition is based on the fact that the interface corresponding to the source address and the interface corresponding to the destination address are different from each other in normal routing settings. Packets are not routed from the firewall device interface to the same interface.
図8において、特定情報124が示すように、変換ファイアウォールはFW1、FW5およびFW3である。
これらの変換ファイアウォールによる変換前の(送信元アドレス、宛先アドレス)および変換後の(送信元アドレス、宛先アドレス)は、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)である。
FW2のルーティングテーブル182において、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)の各アドレスに対応付いた出力インタフェースは、いずれもif1である。つまり、いずれの場合も、送信元アドレスに対応付いた出力インタフェースは、宛先アドレスに対応付いた出力インタフェースと同じである。したがって、FW2は中継ファイアウォールではない。
FW4のルーティングテーブル182において、(x,y)の送信元アドレス(x)に対応付いた出力インタフェースはif1である。一方、この(x,y)の宛先アドレス(y)に対応付いた出力インタフェースはif2である。つまり、送信元アドレス(x)に対応付いた出力インタフェースは、宛先アドレス(y)に対応付いた出力インタフェースと異なっている。したがって、FW4は中継ファイアウォールである。
In FIG. 8, as the
The (source address, destination address) before conversion by the conversion firewall and (source address, destination address) after conversion are (x, y), (x ′, y), (x ″, y). And (x ″, y ′).
In the routing table 182 of FW2, all the output interfaces associated with the addresses (x, y), (x ′, y), (x ″, y) and (x ″, y ′) are if1. It is. That is, in any case, the output interface associated with the source address is the same as the output interface associated with the destination address. Therefore, FW2 is not a relay firewall.
In the routing table 182 of FW4, the output interface associated with the transmission source address (x) of (x, y) is if1. On the other hand, the output interface associated with the destination address (y) of (x, y) is if2. That is, the output interface associated with the source address (x) is different from the output interface associated with the destination address (y). Therefore, FW4 is a relay firewall.
図8に示すように、特定情報126は、中継ファイアウォールのファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。 As illustrated in FIG. 8, the specific information 126 indicates the firewall name of the relay firewall, (transmission source address, destination address) before conversion, and (transmission source address, destination address) after conversion.
図6に戻り、特定制御部127の機能について説明する。
特定制御部127は、一覧生成部121、変換特定部123および中継特定部125を制御する。
また、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。つまり、特定情報103は、変換ファイアウォールと中継ファイアウォールとのそれぞれのファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
Returning to FIG. 6, the function of the
The
Further, the
As illustrated in FIG. 9, the specific information 103 is information including
図1に戻り、エントリ生成部130の機能について説明する。
エントリ生成部130は、特定情報103に示される変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
また、エントリ生成部130は、特定情報103に示される中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
Returning to FIG. 1, the function of the
The
Further, the
例えば、エントリ生成部130は、以下のようなエントリを生成する。
エントリ生成部130は、第1の送信元ファイアウォールのためのエントリとして、通信要件102に示される送信元アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、第2の送信元ファイアウォールのためのエントリとして、第1の変換前アドレスに対応付いた第1の変換後アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、宛先ファイアウォールのためのエントリとして、通信要件102に示される宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、中継ファイアウォールのためのエントリとして、変換ファイアウォールによる変換前の送信元アドレスと変換ファイアウォールによる変換前の宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
For example, the
The
The
The
The
連続する複数の送信元アドレスのそれぞれを変換するファイアウォール装置が変換ファイアウォールとして特定された場合、エントリ生成部130は、変換ファイアウォールのためのエントリとして、複数の送信元アドレスを含んだ送信元グループと受け付けられたアクションとを設定したエントリを生成する。
連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が変換ファイアウォールとして特定された場合、エントリ生成部130は、変換ファイアウォールのためのエントリとして、複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する。
When a firewall device that converts each of a plurality of consecutive source addresses is identified as a conversion firewall, the
When a firewall device that converts each of a plurality of consecutive destination addresses is identified as a conversion firewall, the
図10に基づいて、エントリ生成部130の機能構成について説明する。
エントリ生成部130は、アドレス置換部131とエントリ集約部132とを備える。
A functional configuration of the
The
アドレス置換部131は、通信要件102毎に、特定情報103に示されるファイアウォール装置のそれぞれのアクセス制御エントリ104を生成する。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
The
As illustrated in FIG. 11, the
図10に戻り、エントリ集約部132の機能について説明する。
エントリ集約部132は、1つのファイアウォール装置のためのエントリとして、送信元アドレスと宛先アドレスとの少なくともいずれかが連続する複数のアクセス制御エントリ104が生成された場合、複数のアクセス制御エントリ104を1つまたは複数のアクセス制御エントリ104に集約する。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
さらに、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
Returning to FIG. 10, the function of the
When a plurality of
In FIG. 12, the FWx
In the upper three
Therefore, the six
Furthermore, in the two
Therefore, the two
図1に戻り、設定ファイル取得部140の機能について説明する。
設定ファイル取得部140は、ファイアウォール装置別のファイアウォール設定ファイル180を取得する。
例えば、設定ファイル取得部140は、それぞれのファイアウォール装置と通信を行って、それぞれのファイアウォール装置からファイアウォール設定ファイル180を取得する。
また、利用者がファイアウォール装置別のファイアウォール設定ファイル180をファイアウォール管理装置100に入力し、設定ファイル取得部140は入力されたファイアウォール装置別のファイアウォール設定ファイル180を取得してもよい。
Returning to FIG. 1, the function of the setting
The setting
For example, the setting
Further, the user may input the
記憶部190は、ファイアウォール管理装置100で使用、生成または入出力されるデータを記憶する。
記憶部190に記憶されるデータの一例は、ファイアウォール装置別のファイアウォール設定ファイル180、ファイアウォール装置別のアクセス制御ファイル105、および、ファイアウォール管理ファイル191である。
ファイアウォール装置別のアクセス制御ファイル105は、ファイアウォール装置別に生成された1つまたは複数のアクセス制御エントリ104を含んだファイルである。
ファイアウォール管理ファイル191は、ファイアウォール装置別のファイアウォール設定ファイル180およびアクセス制御ファイル105を管理するためのファイルである。
The
Examples of data stored in the
The firewall device-specific
The
図13に示すように、ファイアウォール管理ファイル191は、ファイアウォール名と設定ファイル名と制御ファイル名とを互いに対応付けている。
設定ファイル名は、ファイアウォール設定ファイル180を識別する名称である。
制御ファイル名は、アクセス制御ファイル105を識別する名称である。
As shown in FIG. 13, the
The setting file name is a name for identifying the
The control file name is a name for identifying the
***動作の説明***
ファイアウォール管理装置100の動作はファイアウォール管理方法に相当する。また、ファイアウォール管理方法はファイアウォール管理プログラムの処理手順に相当する。
*** Explanation of operation ***
The operation of the
図14に基づいて、ファイアウォール管理方法について説明する。
S110は要件受付処理である。
S110において、要件データ受付部111は、図4に示すような要件データ101を受け付ける。
A firewall management method will be described with reference to FIG.
S110 is a requirement reception process.
In S110, the requirement
S120は要件分割処理である。
S120において、要件分割部112は、要件データ101が複数の通信要件102を示す場合、要件データ101を複数の通信要件102に分割する。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
図4において、要件データ101は3つの送信元アドレスを含んだ送信元グループと2つの宛先アドレスを含んだ宛先グループとを示している。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
S120 is a requirement division process.
In S <b> 120, when the
That is, the
In FIG. 4, the
Therefore, the
図15に基づいて、要件分割処理(S120)について説明する。
S121において、要件分割部112は、送信元アドレスの情報が送信元グループを示す通信要件102が要件データ101に含まれるか判定する。S121において、送信元アドレスの情報が送信元グループを示す通信要件102を対象の通信要件という。
対象の通信要件がある場合、処理はS122に進む。
対象の通信要件がない場合、処理はS123に進む。
Based on FIG. 15, the requirement dividing process (S120) will be described.
In S121, the
If there is a target communication requirement, the process proceeds to S122.
If there is no target communication requirement, the process proceeds to S123.
S122において、要件分割部112は、送信元グループを示す通信要件102を送信元グループに含まれる送信元アドレス別の通信要件102に分割する。
In S122, the
S123において、要件分割部112は、宛先アドレスの情報が宛先グループを示す通信要件102が要件データ101に含まれるか判定する。S123において、宛先アドレスの情報が宛先グループを示す通信要件102を対象の通信要件という。
対象の通信要件がある場合、処理はS124に進む。
対象の通信要件がない場合、要件分割処理(S120)は終了する。
In S123, the
If there is a target communication requirement, the process proceeds to S124.
If there is no target communication requirement, the requirement division processing (S120) ends.
S124において、要件分割部112は、宛先グループを示す通信要件102を宛先グループに含まれる宛先アドレス別の通信要件102に分割する。
S124の後、要件分割処理(S120)は終了する。
In S124, the
After S124, the requirement dividing process (S120) ends.
図14に戻り、S130から説明を続ける。
S130は通信要件選択処理である。
S130において、特定制御部127は、要件データ101から未選択の通信要件102を1つ選択する。
Returning to FIG. 14, the description will be continued from S130.
S130 is a communication requirement selection process.
In S <b> 130, the
S140はファイアウォール特定処理である。
S140において、ファイアウォール特定部120は、選択された通信要件102とファイアウォール別のファイアウォール設定ファイル180とを用いて、変換ファイアウォールと中継ファイアウォールとを特定する。
S140 is a firewall specifying process.
In S140, the
図16に基づいて、ファイアウォール特定処理(S140)について説明する。
S141は変換特定処理である。
S141において、変換特定部123は、通信要件102とアドレス変換一覧122とを用いて、変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
アドレス変換一覧122は、一覧生成部121によって予め生成されている。
Based on FIG. 16, the firewall specifying process (S140) will be described.
S141 is a conversion specifying process.
In S <b> 141, the
Then, the
The address conversion list 122 is generated in advance by the
図17に基づいて、変換特定処理(S141)について説明する。
S1411は送信元アドレス処理である。
S1411において、変換特定部123は、通信要件102に示される送信元アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは送信元ファイアウォールである。
The conversion specifying process (S141) will be described with reference to FIG.
S1411 is a transmission source address process.
In S1411, the
図18に基づいて、送信元アドレス処理(S1411)について説明する。
S14111において、変換特定部123は、通信要件102に示される送信元アドレスと同じ内側アドレスをアドレス変換一覧122から検索する。S14111〜S14113において、通信要件102に示される送信元アドレスと同じ内側アドレスを対象の内側アドレスという。
対象の内側アドレスがある場合、処理はS14112に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
Based on FIG. 18, the source address processing (S1411) will be described.
In step S <b> 14111, the
If there is a target inner address, the process proceeds to S14112.
If there is no target inner address, the source address processing (S1411) ends.
S14112において、変換特定部123は、対象の内側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される送信元アドレスはxである。そして、対象の内側アドレスxに対応付いたファイアウォール名はFW1である。したがって、FW1で識別されるファイアウォール装置は変換ファイアウォールである。
In step S1412, the
The firewall device identified by the selected firewall name is a conversion firewall.
In FIG. 7, the transmission source address indicated in the
S14113において、変換特定部123は、対象の内側アドレスに対応付いた外側アドレスをアドレス変換一覧122から選択する。
図7において、対象の内側アドレスxに対応付いた外側アドレスはx’である。
In step S <b> 14113, the
In FIG. 7, the outer address associated with the target inner address x is x ′.
S14114において、変換特定部123は、選択した外側アドレスと同じ内側アドレスをアドレス変換一覧122から検索する。S14114〜S14116において、選択した外側アドレスと同じ内側アドレスを対象の内側アドレスという。
対象の内側アドレスがある場合、処理はS14115に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
In S14114, the
If there is a target inner address, the process proceeds to S14115.
If there is no target inner address, the source address processing (S1411) ends.
S14115において、変換特定部123は、対象の内側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、選択された外側アドレスがx’である場合、対象の内側アドレスx’に対応付いたファイアウォール名はFW5である。したがって、FW5で識別されるファイアウォール装置は変換ファイアウォールである。
In step S <b> 14115, the
The firewall device identified by the selected firewall name is a conversion firewall.
In FIG. 7, when the selected outer address is x ′, the firewall name associated with the target inner address x ′ is FW5. Therefore, the firewall device identified by FW5 is a conversion firewall.
S14116において、変換特定部123は、対象の内側アドレスに対応付いた外側アドレスをアドレス変換一覧122から選択する。
図7において、対象の内側アドレスx’に対応付いた外側アドレスはx’’である。
S14116の後、処理はS14114に戻る。
In step S <b> 14116, the
In FIG. 7, the outer address associated with the target inner address x ′ is x ″.
After S14116, the process returns to S14114.
図17に戻り、S1412から説明を続ける。
S1412は宛先アドレス処理である。
S1412において、変換特定部123は、通信要件102に示される宛先アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは宛先ファイアウォールである。
Returning to FIG. 17, the description will be continued from S1412.
S1412 is a destination address process.
In step S1412, the
図19に基づいて、宛先アドレス処理(S1412)について説明する。
S14121において、変換特定部123は、通信要件102に示される宛先アドレスと同じ外側アドレスをアドレス変換一覧122から検索する。S14121〜S14123において、通信要件102に示される宛先アドレスと同じ外側アドレスを対象の外側アドレスという。
対象の外側アドレスがある場合、処理はS14122に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
The destination address process (S1412) will be described based on FIG.
In step S <b> 14121, the
If there is a target outside address, the process proceeds to S14122.
If there is no target outside address, the destination address processing (S1412) ends.
S14122において、変換特定部123は、対象の外側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される宛先アドレスはyである。そして、対象の外側アドレスyに対応付いたファイアウォール名はFW3である。したがって、FW3で識別されるファイアウォール装置は変換ファイアウォールである。
In S14122, the
The firewall device identified by the selected firewall name is a conversion firewall.
In FIG. 7, the destination address indicated in the
S14123において、変換特定部123は、対象の外側アドレスに対応付いた内側アドレスをアドレス変換一覧122から選択する。
図7において、対象の外側アドレスyに対応付いた内側アドレスはy’である。
In step S <b> 14123, the
In FIG. 7, the inner address associated with the target outer address y is y ′.
S14124において、変換特定部123は、選択した内側アドレスと同じ外側アドレスをアドレス変換一覧122から検索する。S14124〜S14126において、選択した内側アドレスと同じ外側アドレスを対象の外側アドレスという。
対象の外側アドレスがある場合、処理はS14125に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
In step S <b> 14124, the
If there is a target outside address, the process proceeds to S14125.
If there is no target outside address, the destination address processing (S1412) ends.
S14125において、変換特定部123は、対象の外側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
In step S <b> 14125, the
The firewall device identified by the selected firewall name is a conversion firewall.
S14126において、変換特定部123は、対象の外側アドレスに対応付いた内側アドレスをアドレス変換一覧122から選択する。
S14126の後、処理はS14124に戻る。
In S <b> 14126, the
After S14126, the process returns to S14124.
図17に戻り、S1413から説明を続ける。
S1413は特定情報生成処理である。
S1413において、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
図7に示すように、特定情報124は、変換ファイアウォールFW1、FW5およびFW3のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
Returning to FIG. 17, the description will be continued from S1413.
S1413 is a specific information generation process.
In S1413, the
As shown in FIG. 7, the
図16に戻り、S142から説明を続ける。
S142は中継特定処理である。
S142において、中継特定部125は、通信要件102と特定情報124とファイアウォール別のルーティングテーブル182とを用いて、中継ファイアウォールを特定する。
そして、変換特定部123は、特定した中継ファイアウォールの情報である特定情報126を生成する。
Returning to FIG. 16, the description will be continued from S142.
S142 is a relay identification process.
In S142, the
Then, the
図20に基づいて、中継特定処理(S142)について説明する。
S1421において、中継特定部125は、送信元アドレスと宛先アドレスとのアドレス組を特定情報124から抽出する。
図8において、4つのアドレス組(x,y)、(x’,y)、(x’’,y)および(x’’,y’’)が特定情報124から抽出される。
Based on FIG. 20, the relay identification process (S142) will be described.
In S1421, the
In FIG. 8, four address sets (x, y), (x ′, y), (x ″, y) and (x ″, y ″) are extracted from the
S1422において、中継特定部125は、中継ファイアウォールの候補を特定する。
中継ファイアウォールの候補は、変換ファイアウォール以外のファイアウォール装置である。
FW1〜FW5の5つのファイアウォール装置のうち、FW1、FW3およびFW5が変換ファイアウォールである場合、中継ファイアウォールの候補はFW2およびFW4である。
In step S <b> 1422, the
The candidate for the relay firewall is a firewall device other than the conversion firewall.
When FW1, FW3, and FW5 are conversion firewalls among the five firewall devices FW1 to FW5, the candidate for the relay firewall is FW2 and FW4.
S1423において、中継特定部125は、中継ファイアウォールの候補から未選択の候補を1つ選択する。
In S1423, the
S1424において、中継特定部125は、選択した候補に対して未選択のアドレス組を1つ選択する。
In S1424, the
S1425において、中継特定部125は、選択した候補のルーティングテーブル182から、選択したアドレス組に含まれる送信元アドレスに対応付いたインタフェース名を取得する。
また、中継特定部125は、選択した候補のルーティングテーブル182から、選択したアドレス組に含まれる宛先アドレスに対応付いたインタフェース名を取得する。
図8において、選択した候補がFW4であり、選択したアドレス組が(x,y)である場合、取得されるインタフェース名はif1およびif2である。
In step S1425, the
Further, the
In FIG. 8, when the selected candidate is FW4 and the selected address set is (x, y), the acquired interface names are if1 and if2.
S1426において、中継特定部125は、取得した2つのインタフェース名が異なるか判定する。
取得した2つのインタフェース名が異なる場合、処理はS1427に進む。
取得した2つのインタフェース名が同じである場合、処理はS1428に進む。
In step S1426, the
If the two acquired interface names are different, the process proceeds to S1427.
If the two acquired interface names are the same, the process proceeds to S1428.
S1427において、中継特定部125は、選択した候補の情報を中継ファイアウォールの情報として特定情報126に登録する。
図8に示すように、特定情報126は、中継ファイアウォールFW4のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
S1427の後、処理はS1429に進む。
In step S <b> 1427, the
As shown in FIG. 8, the specific information 126 indicates the firewall name of the relay firewall FW4, the (source address, destination address) before conversion, and the (source address, destination address) after conversion.
After S1427, the process proceeds to S1429.
S1428において、中継特定部125は、選択した候補に対して選択していない未選択のアドレス組があるか判定する。
未選択のアドレス組がある場合、処理はS1424に戻る。
未選択のアドレス組がない場合、処理はS1429に進む。
In S1428, the
If there is an unselected address set, the process returns to S1424.
If there is no unselected address set, the process proceeds to S1429.
S1429において、中継特定部125は、未選択の候補があるか判定する。
未選択の候補がある場合、処理はS1423に戻る。
未選択の候補がない場合、中継特定処理(S142)は終了する。
In S1429, the
If there is an unselected candidate, the process returns to S1423.
If there is no unselected candidate, the relay identification process (S142) ends.
図16に戻り、S143から説明を続ける。
S143は特定情報生成処理である。
S143において、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。
Returning to FIG. 16, the description will be continued from S143.
S143 is a specific information generation process.
In S143, the
As illustrated in FIG. 9, the specific information 103 is information including
図14に戻り、S150から説明を続ける。
S150はエントリ生成処理である。
S150において、アドレス置換部131は、特定情報103に示されるファイアウォール装置のそれぞれのアクセス制御エントリ104を生成する。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
Returning to FIG. 14, the description will be continued from S150.
S150 is an entry generation process.
In S150, the
As illustrated in FIG. 11, the
そして、アドレス置換部131は、生成したアクセス制御エントリ104をファイアウォール装置別のアクセス制御ファイル105に登録する。
The
S160において、特定制御部127は、未選択の通信要件102があるか判定する。
未選択の通信要件102がある場合、処理はS130に戻る。
未選択の通信要件102がない場合、処理はS170に進む。
In S160, the
If there is an unselected
If there is no
S170において、エントリ集約部132は、ファイアウォール装置別のアクセス制御ファイル105に送信元アドレスと宛先アドレスとの少なくともいずれかが連続する複数のアクセス制御エントリ104が含まれる場合、複数のアクセス制御エントリ104を1つまたは複数のアクセス制御エントリ104に集約する。
S170の後、ファイアウォール管理方法の処理は終了する。
In S <b> 170, when the
After S170, the firewall management method processing ends.
図21に基づいて、エントリ集約処理(S170)について説明する。
S171において、エントリ集約部132は、未選択のアクセス制御ファイル105を1つ選択する。
The entry aggregation process (S170) will be described with reference to FIG.
In S171, the
S172において、エントリ集約部132は、送信元アドレスが連続し、送信元アドレス以外の情報が一致する複数のアクセス制御エントリ104があるか判定する。S172およびS173において、送信元アドレスが連続し、送信元アドレス以外の情報が一致する複数のアクセス制御エントリ104を対象のエントリ群という。
対象のエントリ群がある場合、処理はS173に進む。
対象のエントリ群がない場合、処理はS174に進む。
In S172, the
If there is a target entry group, the process proceeds to S173.
If there is no target entry group, the process proceeds to S174.
S173において、エントリ集約部132は、対象のエントリ群毎に、対象のエントリ群を1つのアクセス制御エントリ104に集約する。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
In S173, the
In FIG. 12, the FWx
In the upper three
Therefore, the six
S174において、エントリ集約部132は、宛先アドレスが連続し、宛先アドレス以外の情報が一致する複数のアクセス制御エントリ104があるか判定する。S174およびS175において、宛先アドレスが連続し、宛先アドレス以外の情報が一致する複数のアクセス制御エントリ104を対象のエントリ群という。
対象のエントリ群がある場合、処理はS175に進む。
対象のエントリ群がない場合、処理はS176に進む。
In S174, the
If there is a target entry group, the process proceeds to S175.
If there is no target entry group, the process proceeds to S176.
S175において、エントリ集約部132は、対象のエントリ群毎に、対象のエントリ群を1つのアクセス制御エントリ104に集約する。
図12において、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
In S175, the
In FIG. 12, in the two
Therefore, the two
S176において、エントリ集約部132は、未選択のアクセス制御ファイル105があるか判定する。
未選択のアクセス制御ファイル105がある場合、処理はS171に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ集約処理(S170)は終了する。
In S176, the
If there is an unselected
If there is no unselected
***効果の説明***
ファイアウォール管理装置100は、要件データ101の通信要件102が示すアドレスがパケットを通信する端末装置に設定されたアドレスではなくて、ファイアウォール装置によって変換される前のアドレスであっても、パケットを中継するファイアウォール装置を特定することができる。
そのため、ファイアウォール管理装置100は、パケットを中継するファイアウォール装置が複数であっても、要件データ101の通信要件102に応じて、それぞれのファイアウォール装置に必要なアクセス制御リスト183のエントリを生成することができる。
*** Explanation of effects ***
The
Therefore, even if there are a plurality of firewall devices that relay packets, the
実施の形態2.
集約後のアクセス制御エントリ104を過去のアクセス制御リスト183に基づいて分割する形態について、図22から図25に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
A mode of dividing the aggregated
***構成の説明***
図22に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、エントリ分割部150を備える。
記憶部190は、ファイアウォール装置別の過去設定ファイル189を記憶する。
過去設定ファイル189は、過去のファイアウォール設定ファイル180である。
*** Explanation of configuration ***
A functional configuration of the
The
The
The
エントリ分割部150は、変換ファイアウォールまたは中継ファイアウォールのためのエントリとして送信元グループと宛先グループとの少なくともいずれかのアドレスグループが設定されたエントリが生成された場合、以下のように動作する。
エントリ分割部150は、変換ファイアウォールに設定されていたアクセス制御リスト183である過去のアクセス制御リスト183を用いて、生成されたエントリを複数のエントリに分割する。
The
The
エントリ分割部150は、以下のように、生成されたエントリを複数のエントリに分割される。
エントリ分割部150は、過去のアクセス制御リスト183に示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出する。
エントリ分割部150は、生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する。
The
The
The
図23において、FWxのアクセス制御ファイル105は、1つのアクセス制御エントリ104を含んでいる。このアクセス制御エントリ104には、送信元グループ(1.1.1.1−100)が設定されている。
また、FWxの過去のアクセス制御リスト183は、2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)を含んでいる。これら2つのアドレスグループは、いずれも、アクセス制御ファイル105のアクセス制御エントリ104に設定された送信元グループに含まれる。
そのため、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、アクセス制御リスト183のアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
In FIG. 23, the FWx
Further, the past access control list 183 of FWx includes two address groups (1.1.1.1-10, 1.1.1.20-30). Both of these two address groups are included in the transmission source group set in the
Therefore, the
In the first and third
The second and fourth
***動作の説明***
図24および図25に基づいて、エントリ分割部150によるエントリ分割処理について説明する。
S181において、エントリ分割部150は、未選択のアクセス制御ファイル105を1つ選択する。S182以降の処理において、選択したアクセス制御ファイル105に対応するファイアウォール装置を対象のファイアウォール装置という。
*** Explanation of operation ***
Based on FIG. 24 and FIG. 25, the entry division processing by the
In S181, the
S182において、エントリ分割部150は、選択したアクセス制御ファイル105に対して選択していない未選択のアクセス制御エントリ104を1つ選択する。
In S <b> 182, the
S183−1において、エントリ分割部150は、選択したアクセス制御エントリ104に送信元グループが設定されているか判定する。
選択したアクセス制御エントリ104に送信元グループが設定されている場合、処理はS183−2に進む。S183−2およびS183−3において、選択したアクセス制御エントリ104に設定されている送信元グループをエントリの送信元グループという。
選択したアクセス制御エントリ104に送信元グループが設定されていない場合、処理はS184−1に進む。
In S183-1, the
If a transmission source group is set in the selected
If the transmission source group is not set in the selected
S183−2において、エントリ分割部150は、対象のファイアウォール装置の過去のアクセス制御リスト183から、エントリの送信元グループに含まれるアドレスグループを抽出する。
図23において、エントリの送信元グループが1.1.1.1−100である場合、過去のアクセス制御リスト183から2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)が抽出される。
In S183-2, the
In FIG. 23, when the transmission source group of the entry is 1.1.1.1-100, two address groups (1.1.1.1-10, 1.1.1) from the past access control list 183. 20-30) are extracted.
S183−3において、エントリ分割部150は、選択したアクセス制御エントリ104を、抽出したアドレスグループを設定したエントリと、エントリの送信元グループのうちの残りの送信元グループを設定したエントリと、に分割する。
図23において、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、抽出したアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
In S183-3, the
In FIG. 23, the
The first and third
The second and fourth
S184−1において、エントリ分割部150は、選択したアクセス制御エントリ104に宛先グループが設定されているか判定する。
選択したアクセス制御エントリ104に宛先グループが設定されている場合、処理はS184−2に進む。S184−2およびS184−3において、選択したアクセス制御エントリ104に設定されている宛先グループをエントリの宛先グループという。
選択したアクセス制御エントリ104に宛先グループが設定されていない場合、処理はS185に進む。
In step S184-1, the
If a destination group is set for the selected
If no destination group is set for the selected
S184−2において、エントリ分割部150は、対象のファイアウォール装置の過去のアクセス制御リスト183から、エントリの宛先グループに含まれるアドレスグループを抽出する。
In S184-2, the
S184−3において、エントリ分割部150は、選択したアクセス制御エントリ104を、抽出したアドレスグループを設定したエントリと、エントリの宛先グループのうちの残りの宛先グループを設定したエントリと、に分割する。
In S184-3, the
S185において、エントリ分割部150は、選択したアクセス制御ファイル105に対して選択していない未選択のアクセス制御エントリ104があるか判定する。
未選択のアクセス制御エントリ104がある場合、処理はS182に戻る。
未選択のアクセス制御エントリ104がない場合、処理はS186に進む。
In S185, the
If there is an unselected
If there is no unselected
S186において、エントリ分割部150は、未選択のアクセス制御ファイル105があるか判定する。
未選択のアクセス制御ファイル105がある場合、処理はS181に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ分割処理は終了する。
In step S186, the
If there is an unselected
If there is no unselected
***効果の説明***
ファイアウォール管理装置100は、生成したアクセス制御エントリ104をアドレスグループ毎に分割することができる。アクセス制御エントリ104をアドレスグループ毎に分割することは、アクセス制御エントリ104をサーバ群または端末群の役割毎に分割することを意味する。一般的に、同じ役割を持つサーバ群には連番のアドレス(アドレスグループ)が割り当てられ、また、同じ役割を持つ端末群にも連番のアドレスが割り当てられるためである。役割別のサーバ群の一例は、データベースサーバ群、Webサーバ群、認証サーバ群、メールサーバ群、DNSサーバ群、NTPサーバ群、ドメイン管理サーバ群、ログ管理サーバ群である。役割別の端末群の一例は、管理端末群、事務端末群である。DNSはDomain Name Serviceの略称であり、NTPはNetwork Time Protocolの略称である。
これにより、ファイアウォール装置の運用が効率化され、かつ、アクセス制御エントリ104の設定ミスの発見および不要なアクセス制御エントリ104の発見が容易になる。
*** Explanation of effects ***
The
As a result, the operation of the firewall device is made more efficient, and it becomes easy to find a setting error in the
実施の形態3.
生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する形態について、図26から図29に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
A form for verifying whether the generated
***構成の説明***
図26に基づいて、通信検証システム200の構成について説明する。
通信検証システム200は、ファイアウォール管理装置100と、試験環境210と、通信監視装置220とを備える。
*** Explanation of configuration ***
Based on FIG. 26, the structure of the communication verification system 200 is demonstrated.
The communication verification system 200 includes a
試験環境210は、複数のパケット通信装置211と、複数のファイアウォール装置212とを備える。
パケット通信装置211は、ファイアウォール管理装置100によって生成された試験データ106に従ってパケット213を生成し、生成したパケット213を複数のファイアウォール装置212を介して他のパケット通信装置211に送信する。
ファイアウォール装置212は、生成されたアクセス制御エントリ104を含んだアクセス制御リスト183が設定され、アクセス制御リスト183に従ってパケット213の通信の許否を判定し、通信を許可するパケット213を中継する。
The
The
The
通信監視装置220は、試験環境210のネットワーク219に流れるパケット213をキャプチャし、キャプチャしたパケット213の情報を示す試験結果データ221を生成する。
つまり、試験結果データ221は、試験データ106を使用して試験環境210で行われた通信の情報を示す。
The
That is, the
ファイアウォール管理装置100は、ファイアウォール装置212別のアクセス制御エントリ104と試験データ106とを生成する。
また、ファイアウォール管理装置100は、試験結果データ221を用いて、生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する。
The
Further, the
図27に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、過去要件選択部161と、試験データ生成部162と、エントリ検証部163とを備える。
記憶部190は、複数の過去要件ファイル170、試験データ106および検証結果データ107を記憶する。
Based on FIG. 27, the functional configuration of the
The
The
図28に基づいて、過去要件ファイル170の構成について説明する。
過去要件ファイル170は、過去要件データ171と、過去試験データ172と、過去結果データ173とを備える。
過去要件データ171は、過去の要件データ101である。
過去試験データ172は、過去の試験データ106である。
過去結果データ173は、過去の検証結果データ107である。
The configuration of the
The
The
The
The
図27に戻り、過去要件選択部161と試験データ生成部162とエントリ検証部163とのそれぞれの機能について説明する。
過去要件選択部161は、要件データ101に示される送信元アドレスと宛先アドレスとを用いて、複数の過去要件ファイル170から過去要件ファイル170を選択する。
Returning to FIG. 27, functions of the past
The past
試験データ生成部162は、選択された過去要件ファイル170に含まれる過去試験データ172を用いて、試験環境210で使用する試験データ106を生成する。
The test
エントリ検証部163は、試験結果データ221と選択された過去要件ファイル170に含まれる過去結果データ173とを用いて、生成されたアクセス制御エントリ104を検証する。
そして、エントリ検証部163は、検証した結果を示す検証結果データ107を生成する。
The
Then, the
***動作の説明***
まず、過去要件選択部161による過去要件選択処理について説明する。
過去要件選択部161は、過去要件ファイル170毎に、受け付けられた要件データ101と過去要件ファイル170に含まれる過去要件データ171との類似度を算出する。
*** Explanation of operation ***
First, the past requirement selection process by the past
The past
例えば、過去要件選択部161は、図29に示すような類似度テーブル192を用いて、要件データ101と過去要件データ171との類似度を算出する。
つまり、過去要件選択部161は、要件データ101に示される送信元グループと過去要件データ171に示される送信元グループとを比較する。送信元グループの比較は、送信元アドレスの情報の比較を意味する。
さらに、過去要件選択部161は、要件データ101に示される宛先グループと過去要件データ171に示される宛先グループとを比較する。宛先グループの比較は、宛先アドレスの情報の比較を意味する。
そして、過去要件選択部161は、比較結果に対応する類似度を類似度テーブル192から取得する。
For example, the past
That is, the past
Further, the past
Then, the past
過去要件選択部161は、過去要件ファイル170毎の類似度に基づいて、過去要件ファイル170を選択する。
例えば、過去要件選択部161は、類似度が最も高い過去要件ファイル170を選択する。
The past
For example, the past
次に、試験データ生成部162による試験データ生成処理について説明する。
試験データ生成部162は、選択された過去要件ファイル170に含まれる過去試験データ172を表示装置に表示する。
試験データ生成部162は、表示した過去試験データ172に対する修正指示が入力された場合、修正指示に従って過去試験データ172を修正することによって、試験データ106を生成する。
Next, test data generation processing by the test
The test
When the correction instruction for the displayed
最後に、エントリ検証部163によるエントリ検証処理について説明する。
エントリ検証部163は、試験結果データ221と選択された過去要件ファイル170に含まれる過去結果データ173とを比較する。
そして、エントリ検証部163は、比較結果を示すデータを検証結果データ107として生成する。
試験結果データ221に示される試験結果が過去結果データ173に示される試験結果と同じである場合または類似する場合、過去の試験後の実環境で問題が生じていなければ、今回の試験後の実環境でも問題は生じないことが期待される。
この場合、ファイアウォール装置212別のアクセス制御ファイル105に含まれるアクセス制御エントリ104は、要件データ101の通信要件102を満たす正しいエントリであると考えられる。
Finally, entry verification processing by the
The
Then, the
When the test result shown in the
In this case, the
***効果の説明***
実施の形態3により、ファイアウォール管理装置100が生成したアクセス制御エントリ104が通信要件102を満たすか検証することができる。
これにより、ファイアウォール製品またはファイアウォールプログラムのバージョンが変更になってファイアウォール装置に暗黙のアクセス制御ルールが加わっても、通信障害が発生しないように、通信要件102を満たすアクセス制御エントリ104を生成することができる。
暗黙のアクセス制御ルールの一例は、以下のようなものである。
PING要求を送信後、一定時間は、逆向き通信となるPING応答の通信が許可される。
アイドル状態が一定時間に達したコネクションは切断される。
*** Explanation of effects ***
According to the third embodiment, it is possible to verify whether the
As a result, even when the version of the firewall product or firewall program is changed and an implicit access control rule is added to the firewall device, an
An example of an implicit access control rule is as follows.
After transmitting the PING request, communication of a PING response that is reverse communication is permitted for a certain period of time.
Connections that have been idle for a certain time are disconnected.
図30に基づいて、ファイアウォール管理装置100のハードウェア構成例について説明する。
ファイアウォール管理装置100は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、出力インタフェース906といったハードウェアを備えるコンピュータである。
プロセッサ901は信号線910を介して他のハードウェアと接続されている。入力インタフェース905はケーブル911を介して入力装置907に接続されている。出力インタフェース906はケーブル912を介して出力装置908に接続されている。
A hardware configuration example of the
The
The
プロセッサ901は、プロセッシングを行うICであり、他のハードウェアを制御する。プロセッサ901の一例は、CPU、DSP、GPUである。ICはIntegrated Circuitの略称である。CPUはCentral Processing Unitの略称であり、DSPはDigital Signal Processorの略称であり、GPUはGraphics Processing Unitの略称である。
補助記憶装置902はデータを記憶する。補助記憶装置902の一例は、ROM、フラッシュメモリ、HDDである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
メモリ903はデータを記憶する。メモリ903の一例はRAMである。RAMはRandom Access Memoryの略称である。
通信装置904は、データを受信するレシーバ9041と、データを送信するトランスミッタ9042とを備える。通信装置904の一例は、通信チップ、NICである。NICはNetwork Interface Cardの略称である。
入力インタフェース905はケーブル911が接続されるポートであり、ポートの一例はUSB端子である。USBはUniversal Serial Busの略称である。
出力インタフェース906はケーブル912が接続されるポートであり、USB端子およびHDMI端子はポートの一例である。HDMI(登録商標)はHigh Definition Multimedia Interfaceの略称である。
入力装置907はデータ、命令および要求を入力する。入力装置907の一例は、マウス、キーボード、タッチパネルである。
出力装置908はデータ、結果および応答を出力する。出力装置908の一例は、ディスプレイ、プリンタである。ディスプレイの一例はLCDである。LCDはLiquid
Crystal Displayの略称である。
The
The
The
The
The
The
The
The
Abbreviation for Crystal Display.
補助記憶装置902にはOSが記憶されている。OSはOperating Systemの略称である。
また、補助記憶装置902には、要件受付部110、ファイアウォール特定部120、エントリ生成部130、設定ファイル取得部140、エントリ分割部150、過去要件選択部161、試験データ生成部162、エントリ検証部163といった「部」の機能を実現するプログラムが記憶されている。
OSの少なくとも一部はメモリ903にロードされ、プロセッサ901はOSを実行しながら「部」の機能を実現するプログラムを実行する。「部」の機能を実現するプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
なお、ファイアウォール管理装置100が複数のプロセッサ901を備えて、複数のプロセッサ901が「部」の機能を実現するプログラムを連携して実行してもよい。
The
The
At least a part of the OS is loaded into the
The
「部」の処理の結果を示すデータ、情報、信号値および変数値などは、メモリ903、補助記憶装置902、プロセッサ901内のレジスタ、または、プロセッサ901内のキャッシュメモリに記憶される。
Data, information, signal values, variable values, and the like indicating the processing result of “part” are stored in the
「部」は「サーキットリ」で実装してもよい。「部」は「回路」、「工程」、「手順」または「処理」に読み替えてもよい。
「回路」及び「サーキットリ」は、プロセッサ901、ロジックIC、GA、ASIC、FPGAといった処理回路を包含する概念である。GAはGate Arrayの略称であり、ASICはApplication Specific Integrated
Circuitの略称であり、FPGAはField−Programmable Gate Arrayの略称である。
The “part” may be implemented as “circuitry”. “Part” may be read as “circuit”, “process”, “procedure”, or “processing”.
“Circuit” and “circuitry” are concepts including a processing circuit such as the
Circuit is an abbreviation for FPGA, and FPGA is an abbreviation for Field-Programmable Gate Array.
各実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。
フローチャート等を用いて説明した処理手順は、ファイアウォール管理装置、ファイアウォール管理方法およびファイアウォール管理プログラムの処理手順の一例である。
Each embodiment is an example of a preferred embodiment and is not intended to limit the technical scope of the present invention. Each embodiment may be implemented partially or in combination with other embodiments.
The processing procedure described using the flowchart and the like is an example of the processing procedure of the firewall management apparatus, the firewall management method, and the firewall management program.
100 ファイアウォール管理装置、101 要件データ、102 通信要件、103
特定情報、104 アクセス制御エントリ、105 アクセス制御ファイル、106 試験データ、107 検証結果データ、110 要件受付部、111 要件データ受付部、112 要件分割部、120 ファイアウォール特定部、121 一覧生成部、122
アドレス変換一覧、123 変換特定部、124 特定情報、125 中継特定部、126 特定情報、127 特定制御部、130 エントリ生成部、131 アドレス置換部、132 エントリ集約部、140 設定ファイル取得部、150 エントリ分割部、161 過去要件選択部、162 試験データ生成部、163 エントリ検証部、170
過去要件ファイル、171 過去要件データ、172 過去試験データ、173 過去結果データ、180 ファイアウォール設定ファイル、181 アドレス変換テーブル、182 ルーティングテーブル、183 アクセス制御リスト、189 過去設定ファイル、190 記憶部、191 ファイアウォール管理ファイル、192 類似度テーブル、200 通信検証システム、210 試験環境、211 パケット通信装置、212 ファイアウォール装置、213 パケット、219 ネットワーク、220 通信監視装置、221 試験結果データ、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバ、9042 トランスミッタ、905 入力インタフェース、906 出力インタフェース、907 入力装置、908 出力装置、910 信号線、911 ケーブル、912 ケーブル。
100 Firewall management device, 101 requirement data, 102 communication requirement, 103
Specific information, 104 Access control entry, 105 Access control file, 106 Test data, 107 Verification result data, 110 Requirement reception unit, 111 Requirement data reception unit, 112 Requirement division unit, 120 Firewall specification unit, 121 List generation unit, 122
Address translation list, 123 translation identification unit, 124 identification information, 125 relay identification unit, 126 identification information, 127 identification control unit, 130 entry generation unit, 131 address substitution unit, 132 entry aggregation unit, 140 setting file acquisition unit, 150 entry Dividing unit, 161 Past requirement selecting unit, 162 Test data generating unit, 163 Entry verification unit, 170
Past requirement file, 171 Past requirement data, 172 Past test data, 173 Past result data, 180 Firewall setting file, 181 Address conversion table, 182 Routing table, 183 Access control list, 189 Past setting file, 190 Storage unit, 191 Firewall management File, 192 similarity table, 200 communication verification system, 210 test environment, 211 packet communication device, 212 firewall device, 213 packet, 219 network, 220 communication monitoring device, 221 test result data, 901 processor, 902 auxiliary storage device, 903 Memory, 904 communication device, 9041 receiver, 9042 transmitter, 905 input interface, 906 output interface, 907 input device, 9 08 Output device, 910 signal line, 911 cable, 912 cable.
Claims (14)
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部と
を備えるファイアウォール管理装置。 A requirement receiving unit that receives a source address, a destination address, and an action indicating whether communication is possible;
When a packet in which an accepted source address and an accepted destination address are set is transmitted, at least one of the source address and the destination address set in the packet for relaying the packet A firewall identifying unit that identifies a converted firewall that is a firewall device that converts an address by using an address conversion table that is a table for each firewall device and associates an address before conversion and an address after conversion;
A firewall management apparatus comprising: an entry generation unit configured to generate an entry in which an accepted action is set as an entry to be registered in an access control list set in the specified conversion firewall.
請求項1に記載のファイアウォール管理装置。 The firewall specifying unit includes a first source firewall that is a firewall device corresponding to an address conversion table including the same pre-conversion address as the accepted source address and a post-conversion address associated with the pre-conversion address; Each of the second source firewalls that are firewall devices corresponding to the address translation table including the same address as the post-translation address associated with the pre-translation address as the pre-translation address is identified as the translation firewall. The firewall management apparatus according to claim 1.
請求項2に記載のファイアウォール管理装置。 The entry generation unit generates an entry in which an accepted source address and an accepted action are set as an entry for the first source firewall, and an entry for the second source firewall The firewall management apparatus according to claim 2, wherein an entry in which the post-translation address associated with the pre-translation address and the accepted action are set is generated.
請求項2に記載のファイアウォール管理装置。 The firewall management apparatus according to claim 2, wherein the firewall specifying unit further specifies a destination firewall, which is a firewall apparatus corresponding to an address conversion table including the same pre-conversion address as the received destination address, as the conversion firewall. .
請求項4に記載のファイアウォール管理装置。 The firewall management apparatus according to claim 4, wherein the entry generation unit generates an entry in which an accepted destination address and an accepted action are set as an entry for the destination firewall.
前記エントリ生成部は、特定された中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成する
請求項1に記載のファイアウォール管理装置。 The firewall specifying unit is a table for each firewall device, a relay firewall that is a firewall device that does not convert any of the source address and the destination address set in the packet to relay the packet. Identify using the routing table, which is a table that correlates route addresses and interface names,
The firewall management apparatus according to claim 1, wherein the entry generation unit generates an entry in which an accepted action is set as an entry to be registered in an access control list set in the identified relay firewall.
前記変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
前記変換ファイアウォールによる変換後の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換後の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
を前記中継ファイアウォールとして特定する
請求項6に記載のファイアウォール管理装置。 The firewall specifying unit
The interface name associated with the same route address as the source address before translation by the translation firewall corresponds to a different routing table from the interface name associated with the same route address as the destination address before translation by the translation firewall. Firewall device to
The interface name associated with the same route address as the source address after translation by the translation firewall corresponds to a different routing table from the interface name associated with the same route address as the destination address after translation by the translation firewall. Firewall device to
The firewall management apparatus according to claim 6, which identifies the relay firewall as the relay firewall.
請求項7に記載のファイアウォール管理装置。 The entry generation unit generates, as an entry for the relay firewall, an entry in which a source address before conversion by the conversion firewall, a destination address before conversion by the conversion firewall, and an accepted action are set. 8. The firewall management device according to 7.
前記ファイアウォール特定部は、受け付けられた送信元グループに含まれる送信元アドレスと受け付けられた宛先グループに含まれる宛先アドレスとの組み合わせ毎に、前記変換ファイアウォールを特定する
請求項1に記載のファイアウォール管理装置。 The requirement receiving unit receives a source group including a plurality of continuous source addresses, a destination group including a plurality of continuous destination addresses, and the action,
The firewall management device according to claim 1, wherein the firewall specifying unit specifies the conversion firewall for each combination of a source address included in the received source group and a destination address included in the received destination group. .
連続する複数の送信元アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の送信元アドレスを含んだ送信元グループと受け付けられたアクションとを設定したエントリを生成し、
連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する
請求項1に記載のファイアウォール管理装置。 The entry generation unit
When a firewall device that converts each of a plurality of consecutive source addresses is identified as the conversion firewall, an action accepted as a source group including the plurality of source addresses as an entry for the conversion firewall Create an entry with
When a firewall device that converts each of a plurality of consecutive destination addresses is specified as the conversion firewall, a destination group including the plurality of destination addresses and an accepted action are set as an entry for the conversion firewall. The firewall management apparatus according to claim 1, wherein the entry is generated.
請求項10に記載のファイアウォール管理装置。 When an entry in which at least one of the source group and the destination group is set as an entry for the conversion firewall is generated, the past is an access control list set in the conversion firewall. The firewall management apparatus according to claim 10, further comprising an entry dividing unit that divides the generated entry into a plurality of entries by using an access control list.
前記過去のアクセス制御リストに示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出し、
生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する
請求項11に記載のファイアウォール管理装置。 The entry dividing unit includes:
An address group included in the address group set in the generated entry is extracted from each address group of the transmission source group and the destination group shown in the past access control list,
The firewall management according to claim 11, wherein the generated entry is divided into an entry in which the extracted address group is set and an entry in which the remaining address group among the address groups set in the generated entry is set. apparatus.
選択された過去要件ファイルに含まれる過去の試験データを用いて、生成されたエントリを含んだアクセス制御リストが設定されたファイアウォール装置を備える試験環境で使用する試験データを生成する試験データ生成部と
生成された試験データを使用して前記試験環境で行われた通信の情報を示す試験結果データと、選択された過去要件ファイルに含まれる過去の試験結果データとを用いて、生成されたエントリを検証するエントリ検証部と
を備える請求項1から請求項12のいずれか1項に記載のファイアウォール管理装置。 Select a past requirement file from a plurality of past requirement files that include the source address, destination address, past test data, and past test result data, using the accepted source address and accepted destination address. A past requirement selection unit,
A test data generation unit that generates test data to be used in a test environment including a firewall device in which an access control list including the generated entry is set, using past test data included in the selected past requirement file; Using the generated test data, the test result data indicating information of communication performed in the test environment and the past test result data included in the selected past requirement file are used to create a generated entry. The firewall management apparatus according to any one of claims 1 to 12, further comprising an entry verification unit for verification.
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定処理と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成処理と
をコンピュータに実行させるためのファイアウォール管理プログラム。 A requirement receiving process for receiving a source address, a destination address, and an action indicating whether communication is possible;
When a packet in which an accepted source address and an accepted destination address are set is transmitted, at least one of the source address and the destination address set in the packet for relaying the packet A firewall specifying process for specifying a conversion firewall, which is a firewall device that converts addresses, by using an address conversion table that is a table for each firewall device and associates an address before conversion and an address after conversion;
A firewall management program for causing a computer to execute entry generation processing for generating an entry in which an accepted action is set as an entry to be registered in an access control list set in a specified conversion firewall.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015143260A JP6419035B2 (en) | 2015-07-17 | 2015-07-17 | Firewall management apparatus and firewall management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015143260A JP6419035B2 (en) | 2015-07-17 | 2015-07-17 | Firewall management apparatus and firewall management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017028403A true JP2017028403A (en) | 2017-02-02 |
JP6419035B2 JP6419035B2 (en) | 2018-11-07 |
Family
ID=57949968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015143260A Expired - Fee Related JP6419035B2 (en) | 2015-07-17 | 2015-07-17 | Firewall management apparatus and firewall management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6419035B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120955A1 (en) * | 1999-01-29 | 2003-06-26 | Lucent Technologies Inc. | Method and apparatus for managing a firewall |
JP2005217757A (en) * | 2004-01-29 | 2005-08-11 | Oki Techno Creation:Kk | Firewall management system, firewall management method, and firewall management program |
JP2006067314A (en) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | Device and method for generating access control list |
JP2012222678A (en) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | Access control system and access control method |
-
2015
- 2015-07-17 JP JP2015143260A patent/JP6419035B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120955A1 (en) * | 1999-01-29 | 2003-06-26 | Lucent Technologies Inc. | Method and apparatus for managing a firewall |
JP2005217757A (en) * | 2004-01-29 | 2005-08-11 | Oki Techno Creation:Kk | Firewall management system, firewall management method, and firewall management program |
JP2006067314A (en) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | Device and method for generating access control list |
JP2012222678A (en) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | Access control system and access control method |
Also Published As
Publication number | Publication date |
---|---|
JP6419035B2 (en) | 2018-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3375144B1 (en) | Methods, systems, and computer readable media for testing network function virtualization (nfv) | |
US11647079B2 (en) | Emulation of cloud computing service regions | |
US9407600B2 (en) | Service access method and device for conducting the same | |
US9459987B2 (en) | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems | |
CN110049022B (en) | Domain name access control method and device and computer readable storage medium | |
EP3788755B1 (en) | Accessing cloud resources using private network addresses | |
CN113315744A (en) | Programmable switch, flow statistic method, defense method and message processing method | |
US9910687B2 (en) | Data flow affinity for heterogenous virtual machines | |
US20180041471A1 (en) | Control device, border router, control method, and control program | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
JP2017130963A (en) | Network device and communication method | |
CN108141381B (en) | System and method to coordinate cable test results with cable test configuration | |
US20210044523A1 (en) | Communication device, communication control system, communication control method, and communication control program | |
Lencse | Benchmarking stateless NAT64 implementations with a standard tester | |
JP6114214B2 (en) | Network device and communication method | |
JP6419035B2 (en) | Firewall management apparatus and firewall management program | |
US10057291B1 (en) | Comparing networking access control lists | |
WO2022222479A1 (en) | Network detection method and apparatus, and device and storage medium | |
US9547613B2 (en) | Dynamic universal port mode assignment | |
US10491427B2 (en) | Computer system, gateway apparatus control method and storage medium | |
US11038915B1 (en) | Dynamic generation of courses of action for incident response in an information technology environment | |
JP2015156593A (en) | Communication relay device and communication system | |
US20200287789A1 (en) | Relay device and non-transitory computer readable medium | |
CN116192485A (en) | Data packet verification method, system, device, equipment and medium | |
JP2016181849A (en) | Access control list checking device and access control list checking program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170907 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6419035 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |