JP2017204890A - ファイアウォール装置の制御装置及びプログラム - Google Patents
ファイアウォール装置の制御装置及びプログラム Download PDFInfo
- Publication number
- JP2017204890A JP2017204890A JP2017153354A JP2017153354A JP2017204890A JP 2017204890 A JP2017204890 A JP 2017204890A JP 2017153354 A JP2017153354 A JP 2017153354A JP 2017153354 A JP2017153354 A JP 2017153354A JP 2017204890 A JP2017204890 A JP 2017204890A
- Authority
- JP
- Japan
- Prior art keywords
- rules
- rule
- communication
- firewall
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】ネットワーク構成の全体を管理しているネットワーク管理者でなくとも安全にファイアウォール装置にルールの設定を行えるファイアウォール装置の制御装置を提供する。【解決手段】制御装置は、複数のネットワークの各ネットワークのアドレスと、各ネットワークのそれぞれに関連付けられたユーザのアカウント情報と、を保持する保持手段と、アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信のルールを該ユーザに編集させる第1編集手段と、一人以上のユーザが編集したルールをファイアウォール装置に設定する設定手段と、を備え、制御装置は、前記一人以上のユーザが編集したルールの通信元及び通信先に基づき、複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段をさらに備えている。【選択図】図3
Description
本発明は、ファイアウォール装置が使用するルールを効率的に作成してファイアウォール装置に設定する制御装置に関する。
特許文献1に記載されている様に、セキュリティポリシーの異なるネットワーク間において安全に通信するため、一般的に、セキュリティポリシーの境界にファイアウォール装置が設置される。ファイアウォール装置には、2つの端末(又はサブネットワーク)において許可される特定のプロトコルによる通信や、2つの端末(又はサブネットワーク)において許可されない特定のプロトコルによる通信を示すルールが設定され、ファイアウォール装置は、設定されたルールに従い通信を許可又は通信をブロックする。当然、このルールの設定に不備があると、許可されるべき通信を行うことができなくなったり、許可されない通信が行われたりする。
したがって、ファイアウォール装置の設定は、通常、ネットワーク構成の全体を管理しているネットワーク管理者が、各端末やアプリケーションの利用者からの要求に応じて行うことになる。これにより、誤った設定が行われる危険性を縮小できるが、必要なルールの設定や必要なルールの変更を迅速に行うことができない。
本発明は、ネットワーク構成の全体を管理しているネットワーク管理者でなくとも安全にファイアウォール装置にルールの設定を行える、ファイアウォール装置の制御装置を提供するものである。
本発明の一側面によると、制御装置は、複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられたユーザのアカウント情報と、を保持する保持手段と、アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信のルールを該ユーザに編集させる第1編集手段と、一人以上のユーザが編集したルールをファイアウォール装置に設定する設定手段と、を備え、前記制御装置は、前記一人以上のユーザが編集したルールの通信元及び通信先に基づき、複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段をさらに備えていることを特徴とする。
ネットワーク構成の全体を管理しているネットワーク管理者でなくとも安全にファイアウォール装置にルールの設定を行うことができる。
以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の各実施形態は例示であり、本発明の範囲を実施形態の内容に限定するものではない。また、以下の各図においては、実施形態の説明に必要ではない構成要素については図から省略する。
<第一実施形態>
図1は、本実施形態を説明するために使用するシステム構成図である。図1によると、例えば、インターネットや広域イーサネット網等の広域網に、ある会社のオフィスネットワークと、端末#6及び端末#7と、1つ以上の端末を含むサブネットワークであるサブネットD及びサブネットEが接続されている。さらに、オフィスネットワークは、3つのサブネットワーク、サブネットA、B及びCを有し、サブネットAは2つの端末#1及び#2を有し、サブネットBは2つの端末#3及び#4を有し、サブネットCは、1つの端末#5を有している。なお、オフィスネットワークは、ファイアウォール装置を介して広域網に接続されており、このファイアウォール装置は、設定されたルールに基づきオフィスネットワークの端末と広域網上の端末やサブネットとの通信を制御する。なお、オフィスネットワークには、ファイアウォール装置に対してルールの設定を行う制御装置が設けられる。
図1は、本実施形態を説明するために使用するシステム構成図である。図1によると、例えば、インターネットや広域イーサネット網等の広域網に、ある会社のオフィスネットワークと、端末#6及び端末#7と、1つ以上の端末を含むサブネットワークであるサブネットD及びサブネットEが接続されている。さらに、オフィスネットワークは、3つのサブネットワーク、サブネットA、B及びCを有し、サブネットAは2つの端末#1及び#2を有し、サブネットBは2つの端末#3及び#4を有し、サブネットCは、1つの端末#5を有している。なお、オフィスネットワークは、ファイアウォール装置を介して広域網に接続されており、このファイアウォール装置は、設定されたルールに基づきオフィスネットワークの端末と広域網上の端末やサブネットとの通信を制御する。なお、オフィスネットワークには、ファイアウォール装置に対してルールの設定を行う制御装置が設けられる。
図2は、本実施形態において許可される通信を示している。なお、広域網を経由する通信の内、図2に示す以外の通信は許可されないものとする。図2の表は、図1のファイアウォール装置に設定されるルールでもある。通常、ある会社内のネットワークは、部門や業務内容等に対応するサブネットワークに分割(図1では、サブネットA〜Cの3つに分割)され、サブネットワークごとに管理者が存在する。しかしながら、サブネットワークの管理者は、ネットワーク全体の構成を知らないことが通常であり、ファイアウォール装置に対するルールの設定は、サブネットワークの管理者からの要求に応じて、ネットワーク全体の構成を管理しているネットワーク管理者が行っていた。本実施形態においては、制御装置を利用することにより、ネットワーク全体の構成を知らないサブネットワークの管理者がファイアウォール装置に対するルールの設定を行うことを可能にするものである。
以下、図3及び図4に示す制御装置の表示画面に基づき、どの様にサブネットワークの管理者がファイアウォール装置に対するルールの設定を行うかについて説明する。まず、事前準備として、ネットワーク全体の構成を管理しているネットワーク管理者は、各サブネットワーク、本例では、サブネットA、B、Cのサブネットワークアドレスを付与して制御装置に登録する。また、ネットワーク管理者は、サブネットA、B、Cの管理者それぞれが制御装置にアクセスする際に使用するアカウントを発行して、制御装置に登録する。さらに、ネットワーク管理者は、事前にサブネットA、B、Cの管理者から使用するアプリケーション、つまり通信プロトコルの申請を受け付けて、申請されたプロトコルをサブネットに関連付けて登録する。例えば、図2に示す様にサブネットAの端末#1及び#2は、HTTPと、SSHと、Pingを使用するため、サブネットAの管理者は、ネットワーク管理者にHTTPと、SSHと、Pingを通知して制御装置に登録してもらう。
図3は、サブネットAの管理者が初めて制御装置にログオンしたときに表示される画面の例である。図3において、サブネットAには、サブネットワークアドレスとして、192.168.1.0/24がネットワーク管理者により割り当てられ、使用が許可されるアプリケーション(プロトコル)として、HTTPと、SSHと、Pingがネットワーク管理者により登録されている。
例えば、サブネットAの管理者は、「端末編集」ボタンを押下してサブネットA内の端末とそのアドレスを登録する。例えば、図1に示す様に、サブネットA内に端末#1と端末#2があり、サブネットAの管理者が端末#1にアドレス192.168.1.1を割り当て、端末#1にアドレス192.168.1.2を割り当てたものとする。この場合、サブネットAの管理者は、「端末編集」ボタンを押下して端末#1及び端末#2と、それらのアドレスを登録することで、図4に示す様に左上のウインドウにサブネットA内の端末が表示される。この様に、サブネットAの管理者は、ネットワーク管理者によらず、サブネットA内の端末の追加や削除を行うことができる。
さらに、サブネットAの管理者は、「ルール編集」ボタンを押下してサブネットA内の端末と、それ以外の端末との通信についてのルールを編集することができる。例えば、図2に示すルールの内、サブネットAに関するものをサブネットAの管理者は制御装置に登録する。図4の右側のウインドウは、サブネットAの管理者が登録したルールを示している。この様に、サブネットAの管理者は、ネットワーク管理者によらず、サブネットA内の端末に係るルールの追加や削除を行うことができる。なお、サブネットAの管理者が設定できるルールは、送信元又は送信先にサブネットAの端末が関係するものに限定される。なお、サブネットAの端末とは、左上のウインドウに表示される、制御装置に登録された端末に限定される。また、許可されるアプリケーションン(プロトコル)は、左下のウインドウに表示されるものに限定される。なお、本実施形態は、ルールに設定されていない通信は不許可であり、ルールに設定されている通信は許可としているが、ルールに不許可である通信を設定することもできる。不許可を設定する場合においても、ルールの送信先又は送信元のいずれかはサブネットAの端末が関係するものに限定される。なお、図4のルールにおいては、理解を容易にするため、送信元アドレスや、送信先アドレスにアドレスではなく端末名を表示しているが、実際には、アドレスが表示される。
サブネットの管理者がルールの設定を行うと、制御装置は、設定されたルールをファイアウォール装置に設定する。例えば、サブネットA、B及びCの管理者がそれぞれルールの設定を行うと、制御装置は、図2に示すルールをファイアウォール装置に設定することになる。なお、制御装置は、ルールのマッチング処理を高速にできる様に、図2に示すルールを集約基準に従い集約することができる。集約基準は、
(1)「アプリケーションが同一」かつ「送信元アドレスが同一」
(2)「アプリケーションが同一」かつ「受信先アドレスが同一」
(3)「送信元アドレスが同一」かつ「受信先アドレスが同一」
の内の1つ以上の任意の組み合わせとすることができる。さらに、図2の端末#4と端末#5の通信は、同じオフィスネットワーク内の通信でありファイアウォール装置を経由しないため、制御装置は、例えば、ネットワークのトポロジを管理しているネットワーク管理装置(図1には示さず)から、ネットワークのトポロジ情報を取得し、サブネットの管理者が設定したルールの内、ファイアウォール装置を経由しないルールについては削除することができる。図5は、図2のルールの内、ファイアウォール装置を経由しない通信に関するルールを削除し、上記集約条件に従い集約した場合のルールを示している。
(1)「アプリケーションが同一」かつ「送信元アドレスが同一」
(2)「アプリケーションが同一」かつ「受信先アドレスが同一」
(3)「送信元アドレスが同一」かつ「受信先アドレスが同一」
の内の1つ以上の任意の組み合わせとすることができる。さらに、図2の端末#4と端末#5の通信は、同じオフィスネットワーク内の通信でありファイアウォール装置を経由しないため、制御装置は、例えば、ネットワークのトポロジを管理しているネットワーク管理装置(図1には示さず)から、ネットワークのトポロジ情報を取得し、サブネットの管理者が設定したルールの内、ファイアウォール装置を経由しないルールについては削除することができる。図5は、図2のルールの内、ファイアウォール装置を経由しない通信に関するルールを削除し、上記集約条件に従い集約した場合のルールを示している。
また、HTTPの様に頻繁にセッションが作成される通信は、ルールの適用順序を上位側(先にマッチング処理が行われる側)に設定することで、パフォーマンスを向上させることができる。したがって、例えば、ファイアウォール装置から、ルールに適合したパケット数を示すヒットカウントを受け取ることで、ルールの適用順序を入れ替えることもできる。
以上、本実施形態において、制御装置は、各サブネットの管理者が登録できるルールを、事前に登録された当該管理者が管理するサブネットワークアドレスに対応する端末についてのルールのみに限定し、許可できる通信は、事前に申請したアプリケーションのみに限定する。この構成により、ネットワーク全体の構成を知らなくとも、安全にファイアウォール装置の設定を行うことが可能になる。
<第二実施形態>
続いて、第二実施形態について第一実施形態との相違点を中心に説明する。図6は、本実施形態を説明するためのシステム構成図である。図1に示す第一実施形態との相違点は、総ての端末とサブネットが、同じ会社のもの、つまり、同じネットワーク管理者が管理するものとなり、各拠点は、それぞれ、ファイアウォール装置を介して広域網と接続することである。具体的には、図1の端末#6及び#7は、オフィスBに設置され、サブネットD及びEはデータセンタに構成されたサブネットワークとなっている。なお、オフィスBと区別するため、図1のオフィスネットワークは、オフィスAネットワークとしている。なお、オフィスBネットワークはファイアウォール装置#2を介して広域網に接続し、データセンタネットワークは、ファイアウォール装置#3を介して広域網に接続する様に構成されている。なお、図1のファイアウォール装置は、他のファイアウォール装置と区別するため、ファイアウォール装置#1としている。本実施形態において、制御装置は、ファイアウォール装置#1、#2及び#3にルールを設定する。
続いて、第二実施形態について第一実施形態との相違点を中心に説明する。図6は、本実施形態を説明するためのシステム構成図である。図1に示す第一実施形態との相違点は、総ての端末とサブネットが、同じ会社のもの、つまり、同じネットワーク管理者が管理するものとなり、各拠点は、それぞれ、ファイアウォール装置を介して広域網と接続することである。具体的には、図1の端末#6及び#7は、オフィスBに設置され、サブネットD及びEはデータセンタに構成されたサブネットワークとなっている。なお、オフィスBと区別するため、図1のオフィスネットワークは、オフィスAネットワークとしている。なお、オフィスBネットワークはファイアウォール装置#2を介して広域網に接続し、データセンタネットワークは、ファイアウォール装置#3を介して広域網に接続する様に構成されている。なお、図1のファイアウォール装置は、他のファイアウォール装置と区別するため、ファイアウォール装置#1としている。本実施形態において、制御装置は、ファイアウォール装置#1、#2及び#3にルールを設定する。
図7は、本実施形態において設定される、集約されたルールを示している。なお、図2との違いは、端末#7がサブネットD及びEにPingを行うことである。
従来は、ネットワーク管理者がネットワークトポロジから、どのルールをどのファイアウォール装置に設定すればよいかを判断していた。そのため、従来のファイアウォール装置は「trust but verify」モデルで運用されていることが一般的である。具体的には、ルールを、当該ルールの送信先に指定された装置の最寄りのファイアウォール装置に設定するものである。よって、このモデルでは、例えば、図7の端末#1からサブネットDへのHTTP通信のルールは、ファイアウォール装置#3に設定されることになる。
しかしながら、本実施形態において、各サブネットワークの管理者は、ネットワークトポロジを把握していない。したがって、本実施形態では、ファイアウォール装置を「zero trust」モデルで運用する。具体的には、ルールを、当該ルールの送信先に指定された装置及び送信元に指定された装置の最寄りのファイアウォール装置にそれぞれ設定する。なお、通信が経由する総てのファイアウォール装置にルールの設定を行うこともできる。したがって、例えば、図7の端末#1からサブネットDへのHTTP通信のルールは、ファイアウォール装置#1及び#3にそれぞれ設定されることになる。これにより、どちらか一方のファイアウォール装置に不具合等が発生してもセキュリティを保つことができる。
したがって、本実施形態の制御装置は、第一実施形態で説明した様に、各サブネットワークの管理者の入力により作成し、その後集約した、図7のルールの送信先及び送信元から、図8に示す各ファイアウォール装置に設定するルールを作成する。なお、図8(A)〜(C)は、それぞれ、ファイアウォール装置#1及び#3に設定されるルールを示している。例えば、図8(A)に示すファイアウォール装置#1に設定されるルールは、図7のルールの内、ファイアウォール装置#1配下の端末又はサブネットワークが送信先又は送信元であるルールを取り出すことにより生成される。
以上、本実施形態によると、制御装置は、各ルールを、ルールの送信先と送信元の端末の最寄りのファイアウォール装置にそれぞれ設定する。この構成によりネットワーク全体の構成を知らなくとも、セキュリティを確保した設定を行うことができる。
以下、第一実施形態及び第二実施形態による制御装置の動作及び構成について説明する。図9は、制御装置の制御系統を示す図である。既に説明した様に、各サブネットの管理者が制御装置を使用して作成したルールは、各ファイアウォール装置に設定される。また、制御装置は、各ファイアウォール装置からルールのヒットカウントを受け取ることができ、ヒットカウントに基づきルールの適用順序を決定することができる。さらに、制御装置は、ネットワーク全体のトポロジを管理しているネットワーク管理システムから、トポロジ情報を受け取り、トポロジ情報に基づきファイアウォール装置を経由しない通信に対するルールを削除することができる。
図10に一実施形態による制御装置の構成図を示す。サブネット情報管理部は、各サブネットと、サブネットワークアドレスとの対応関係を示す情報を保持し、この情報は、ネットワーク管理者が設定する。サブネット管理者情報管理部は、各サブネットワークそれぞれについて、サブネットワークの管理者が制御装置にアクセスする際に使用するユーザID及びパスワード等の情報を管理する。制御装置は、アクセスした管理者が使用するユーザIDに基づき、どのサブネットワークの情報に制限して、当該管理者にルールや端末の編集を行わせるかを判定する。許可アプリケーション情報管理部は、各サブネットについて、サブネットワークに許可された通信プロトコル、つまり、アプリケーションについての情報を保持し、この情報は、サブネットワークの管理者からの申請に基づきネットワーク管理者が設定する。端末情報編集部は、サブネットワークの管理者が、端末とそのアドレスとの関係を登録するための機能をサブネットワークの管理者に提供する。ルール情報編集部は、サブネットワークの管理者が、ルールを登録するための機能をサブネットワークの管理者に提供する。ルール情報集約部は、各サブネットワークの管理者が個別に登録したルールを集約条件に従い集約する。なお、ルール情報集約部は、トポロジ情報に基づき設定されたルールの内、ファイアオール装置を通過しないものも削除する。設定処理部は、例えば、集約されたルールをファイアフォール装置に設定する。なお、複数のファイアフォール装置が存在する場合、第二実施形態にて説明した様に、設定処理部は、各ファイアフォール装置に設定するルールを、ルールの送信先及び送信元から判定する。入出力部は、ネットワーク管理者や、サブネットの管理者が制御装置を使用する際のユーザインタフェース機能を提供する。
なお、本発明による制御装置は、コンピュータを上記制御装置として動作させるプログラムにより実現することができる。これらコンピュータプログラムは、コンピュータが読み取り可能な記憶媒体に記憶されて、又は、ネットワーク経由で配布が可能なものである。また、制御装置が制御するファイアウォール装置は、物理的な装置に限定されず、仮想的なファイアウォール装置であっても良い。
Claims (9)
- 複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられたユーザのアカウント情報と、を保持する保持手段と、
アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信のルールを該ユーザに編集させる第1編集手段と、
一人以上のユーザが編集したルールをファイアウォール装置に設定する設定手段と、
を備えている制御装置であって、
前記制御装置は、前記一人以上のユーザが編集したルールの通信元及び通信先に基づき、複数のファイアウォール装置のそれぞれに設定するルールを生成する生成手段をさらに備えていることを特徴とする制御装置。 - アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末のアドレスを該ユーザに編集させる第2編集手段をさらに備えていることを特徴とする請求項1に記載の制御装置。
- 前記生成手段は、前記一人以上のユーザが編集したルールから、その通信元及び通信先の端末が設定対象のファイアウォール装置の配下の端末であるルールを取り出すことで、前記設定対象のファイアウォール装置に設定するルールを生成することを特徴とする請求項1又は2に記載の制御装置。
- 前記一人以上のユーザが編集したルールを、所定の集約基準に従い集約する集約手段をさらに備えていることを特徴とすることを特徴とする請求項1から3のいずれか1項に記載の制御装置。
- 前記所定の集約基準は、通信プロトコルが同一で、かつ、送信元の端末が同一であるルールを1つのルールに集約することと、通信プロトコルが同一で、かつ、送信先の端末が同一であるルールを1つのルールに集約することと、送信元の端末が同一で、かつ、送信先の端末が同一であるルールを1つのルールに集約することの少なくとも1つを含むことを特徴とする請求項4に記載の制御装置。
- 前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき前記一人以上のユーザが編集したルールのうち、ファイアウォール装置を経由しない通信を示すルールを削除する削除手段をさらに備えていることを特徴とすることを特徴とする請求項1から5のいずれか1項に記載の制御装置。
- 複数のネットワークの各ネットワークのアドレスと、前記各ネットワークのそれぞれに関連付けられたユーザのアカウント情報と、を保持する保持手段と、
アカウント情報を使用してアクセスしたユーザに対して、該アカウント情報に関連付けられたネットワークの端末が通信元又は通信先となって行う通信のルールを該ユーザに編集させる第1編集手段と、
一人以上のユーザが編集したルールをファイアウォール装置に設定する設定手段と、
前記複数のネットワークのトポロジ情報を管理する装置から前記トポロジ情報を取得し、前記取得したトポロジ情報に基づき前記一人以上のユーザが編集したルールのうち、ファイアウォール装置を経由しない通信のルールを削除する削除手段と、
を備えていることを特徴とする制御装置。 - ファイアウォール装置に設定したルールに適合したパケットの数を示す情報を当該ファイアウォール装置から取得し、前記取得したパケットの数を示す情報に基づきルールの適用順序を決定する決定手段をさらに備えていることを特徴とする請求項1から7のいずれか1項に記載の制御装置。
- 請求項1から8のいずれか1項に記載の制御装置としてコンピュータを機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017153354A JP6871108B2 (ja) | 2017-08-08 | 2017-08-08 | ファイアウォール装置の制御装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017153354A JP6871108B2 (ja) | 2017-08-08 | 2017-08-08 | ファイアウォール装置の制御装置及びプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014027465A Division JP6193147B2 (ja) | 2014-02-17 | 2014-02-17 | ファイアウォール装置の制御装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017204890A true JP2017204890A (ja) | 2017-11-16 |
| JP6871108B2 JP6871108B2 (ja) | 2021-05-12 |
Family
ID=60322476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017153354A Active JP6871108B2 (ja) | 2017-08-08 | 2017-08-08 | ファイアウォール装置の制御装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6871108B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115059A (ja) * | 2004-10-13 | 2006-04-27 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング方法 |
| JP2008160803A (ja) * | 2006-11-28 | 2008-07-10 | Hitachi Ltd | アクセス制御システム |
| JP2009077030A (ja) * | 2007-09-19 | 2009-04-09 | Nec Corp | ルール制御装置、ルール制御方法、および、ルール制御プログラム |
-
2017
- 2017-08-08 JP JP2017153354A patent/JP6871108B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115059A (ja) * | 2004-10-13 | 2006-04-27 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング方法 |
| JP2008160803A (ja) * | 2006-11-28 | 2008-07-10 | Hitachi Ltd | アクセス制御システム |
| JP2009077030A (ja) * | 2007-09-19 | 2009-04-09 | Nec Corp | ルール制御装置、ルール制御方法、および、ルール制御プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114172718B (zh) * | 2021-12-03 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6871108B2 (ja) | 2021-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11362986B2 (en) | Resolution of domain name requests in heterogeneous network environments | |
| US10135827B2 (en) | Secure access to remote resources over a network | |
| US12015590B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
| US7890658B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| EP2241058B1 (en) | Method for configuring acls on network device based on flow information | |
| EP3057282B1 (en) | Network flow control device, and security strategy configuration method and device thereof | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| US20100281159A1 (en) | Manipulation of dhcp packets to enforce network health policies | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| JP2018536363A (ja) | アクセス制御リストを動的に生成するための方法およびシステム | |
| JP2008504776A (ja) | 動的デバイスアドレス管理のための方法およびシステム | |
| EP3306900A1 (en) | Dns routing for improved network security | |
| US11582191B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
| JP2019097133A (ja) | 通信監視システム及び通信監視方法 | |
| JP6193147B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| WO2014148483A1 (ja) | Dnsサーバ装置、ネットワーク機器、通信システム、および通信方法 | |
| JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| JP6359260B2 (ja) | クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置 | |
| JP7383145B2 (ja) | ネットワークサービス処理方法、システム及びゲートウェイデバイス | |
| KR102675323B1 (ko) | 내부망의 네트워크 보안 시스템, 장치, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램 | |
| KR100625448B1 (ko) | 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 | |
| Odagiri et al. | Virtual Common Gateway Interface Program on the Network Using the Destination Addressing Control System Scheme | |
| JP2016046625A (ja) | 通信中継装置、情報処理方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170808 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180723 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190311 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20190517 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20200413 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20200511 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20200904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201030 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210203 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20210226 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210402 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210402 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210415 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6871108 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |