JP2018064228A - Packet controller - Google Patents

Packet controller Download PDF

Info

Publication number
JP2018064228A
JP2018064228A JP2016202496A JP2016202496A JP2018064228A JP 2018064228 A JP2018064228 A JP 2018064228A JP 2016202496 A JP2016202496 A JP 2016202496A JP 2016202496 A JP2016202496 A JP 2016202496A JP 2018064228 A JP2018064228 A JP 2018064228A
Authority
JP
Japan
Prior art keywords
packet
white list
device identifier
unit
access bridge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016202496A
Other languages
Japanese (ja)
Inventor
拓也 依田
Takuya Yoda
拓也 依田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anritsu Networks Co Ltd
Original Assignee
Anritsu Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anritsu Networks Co Ltd filed Critical Anritsu Networks Co Ltd
Priority to JP2016202496A priority Critical patent/JP2018064228A/en
Publication of JP2018064228A publication Critical patent/JP2018064228A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To allow a network (NW) constructed with a low-priced access bridge device to have high hierarchy protection (two stages of a firewall (FW) and an access link).SOLUTION: A packet controller of the present disclosure includes: a packet receiving unit 33 for acquiring a MAC address from an access bridge device; a white list holding unit 31 for holding a white list 31a of MAC addresses; a comparison unit 32 for determining whether the MAC address is included in the white list 31a; a packet transmission unit 35 for transferring a packet included in the white list 31a; a packet discard unit 34 for discarding a packet not included in the white list 31a; and an external apparatus control unit 36 for blocking communication of a packet of which a transmission source has a MAC address not included in the white list 31a if the MAC address not included in the white list 31a is found.SELECTED DRAWING: Figure 3

Description

本開示は、パケット制御装置及びパケット制御方法に関する。   The present disclosure relates to a packet control device and a packet control method.

IPネットワーク用のパケット転送装置が提案されている(例えば、特許文献1参照。)。特許文献1のパケット転送装置は、パケット転送装置を介して通信できる端末又はサーバのアドレスを保持するアドレステーブルを備える。   A packet transfer apparatus for an IP network has been proposed (for example, see Patent Document 1). The packet transfer apparatus of Patent Literature 1 includes an address table that holds addresses of terminals or servers that can communicate via the packet transfer apparatus.

特許文献1のパケット転送装置は、パケットの送信元のアドレスがアドレステーブルに保持されている場合、当該パケットを転送する。一方、パケットの送信元のアドレスがアドレステーブルに保持されていない場合、当該パケットを転送しない。これにより、特許文献1のパケット転送装置は、パケット転送装置のバックボーンに接続されているバックボーンネットワークへの不正なパケットの流入を防ぐ。   The packet transfer apparatus of Patent Literature 1 transfers a packet when the address of the transmission source of the packet is held in the address table. On the other hand, if the packet source address is not held in the address table, the packet is not transferred. As a result, the packet transfer apparatus disclosed in Patent Document 1 prevents inflow of unauthorized packets to the backbone network connected to the backbone of the packet transfer apparatus.

特開2015−159482号公報JP2015-159482A

特許文献1のパケット転送装置は、端末やサーバに直接接続されている。このため、端末やサーバとバックボーンネットワークとの間にLAN(Local Area Network)が構築されている場合、端末やサーバの数に合わせて特許文献1のパケット転送装置を配置する必要がある。このように、特許文献1のパケット転送装置は、ネットワーク全体を同一メーカーのパケット転送装置で統一しなければならないため、ネットワークの変更が大がかりとなり、投資がかさんでしまう。   The packet transfer apparatus of Patent Document 1 is directly connected to a terminal or a server. For this reason, when a LAN (Local Area Network) is constructed between the terminal or server and the backbone network, it is necessary to arrange the packet transfer apparatus of Patent Document 1 in accordance with the number of terminals and servers. As described above, the packet transfer device disclosed in Patent Document 1 requires the entire network to be unified by the same manufacturer's packet transfer device, so that the change of the network becomes large and the investment is increased.

ファイアーウォール装置と低価格なアクセスブリッジ装置のネットワークがLANに使用されている。侵入PCの通信を遮断するのがファイアーウォール装置である。アクセスブリッジ装置は、パケット転送機能を有する任意の装置を含み、例えば、L2スイッチ、無線アクセスポイントが例示できる。しかし、ファイアーウォール装置は、特許文献1のパケット転送装置と同様に、バックボーンネットワークへの侵入は防げるが、LANへの侵入を防ぐことはできない。   A network of a firewall device and a low-cost access bridge device is used for the LAN. The firewall device cuts off the communication of the intruding PC. The access bridge device includes an arbitrary device having a packet transfer function, and examples thereof include an L2 switch and a wireless access point. However, as with the packet transfer apparatus disclosed in Patent Document 1, the firewall apparatus can prevent intrusion into the backbone network, but cannot prevent intrusion into the LAN.

そこで、本開示は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンネットワークへの侵入を防ぐとともにアクセスブリッジ装置への侵入を防ぐ、高階層な防御を可能にすることを目的とする。   Therefore, the present disclosure aims to enable a high-level defense that prevents intrusion into the backbone network and prevents intrusion into the access bridge device even in a network configured with low-cost access bridge devices. And

具体的には、本開示のパケット制御装置は、
アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信部(33)と、
前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を保持するホワイトリスト保持部(31)と、
前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較部(32)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信部(35)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄部(34)と、
前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御部(36)と、を備える。 Specifically, the packet control device of the present disclosure is:
A packet receiver (33) that receives a packet transmitted from the access bridge device (4) and acquires a device identifier of the transmission source from the packet;
A white list holding unit (31) for holding a white list (31a) of device identifiers of terminal devices connected to the access bridge device (4);
A comparison unit (32) for determining whether or not the device identifier acquired by the packet reception unit (33) is included in the white list (31a);
A packet transmission unit (35) for forwarding a packet whose destination device identifier is included in the white list (31a) to a destination;
A packet discard unit (34) for discarding a packet whose source device identifier is not included in the white list (31a);
When a device identifier not included in the white list (31a) is found in the comparison unit (32), the device identifier is stored using a packet transfer control table held by the access bridge device (4). An external device control unit that blocks communication of packets whose source is a device identifier not included in the white list (31a) with respect to the access bridge device (4) that holds the packet transfer control table that is stored ( 36).

具体的には、本開示のパケット制御方法は、
パケット受信部(33)が、アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信手順と、
比較部(32)が、前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を参照し、前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較手順と、
パケット送信部(35)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信手順と、
パケット廃棄部(34)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄手順と、
外部機器制御部(36)が、前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御手順と、を実行する。 Specifically, the packet control method of the present disclosure is:
A packet receiving unit (33) for receiving a packet transmitted from the access bridge device (4) and acquiring a transmission source device identifier from the packet;
The comparison unit (32) refers to the device identifier white list (31a) of the terminal device connected to the access bridge device (4), and the device identifier acquired by the packet reception unit (33) is the white list. (31a) a comparison procedure for determining whether or not included,
A packet transmission procedure in which a packet transmission unit (35) transfers a packet having a device identifier of a transmission source included in the white list (31a) toward a destination;
A packet discarding procedure for discarding a packet whose source device identifier is not included in the whitelist (31a);
The packet transfer control table held by the access bridge device (4) when the external device control unit (36) finds a device identifier not included in the white list (31a) in the comparison unit (32). The access bridge device (4) holding the packet transfer control table storing the device identifier is used to send a packet having a device identifier not included in the white list (31a) as a transmission source. And an external device control procedure for interrupting communication.

なお、上記各開示は、可能な限り組み合わせることができる。   The above disclosures can be combined as much as possible.

本開示によれば、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンネットワークへの侵入を防ぐとともにアクセスブリッジ装置への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。   According to the present disclosure, even in a network constituted by low-cost access bridge devices, high-level defense (2 of FW and access link) prevents intrusion into the backbone network and prevents access to the access bridge device. Stage).

実施形態1に係るパケット制御システムの概略構成図である。1 is a schematic configuration diagram of a packet control system according to a first embodiment. 実施形態1に係るホワイトリストの一例である。3 is an example of a white list according to the first embodiment. 実施形態1に係るファイアーウォール装置の構成の一例である。It is an example of the structure of the firewall apparatus which concerns on Embodiment 1. FIG. 実施形態1に係るEthernet(登録商標)フレームのフレーム構造の一例である。3 is an example of a frame structure of an Ethernet (registered trademark) frame according to the first embodiment. 実施形態1に係るフォワーディングデータベースの一例である。3 is an example of a forwarding database according to the first embodiment. 実施形態1に係るL2SW一覧の一例である。3 is an example of an L2SW list according to the first embodiment. 実施形態1に係る外部機器制御部におけるL2SW制御のフローチャートである。6 is a flowchart of L2SW control in the external device control unit according to the first embodiment. 実施形態1に係るポート閉鎖制御の一例である。3 is an example of port closing control according to the first embodiment. 実施形態2に係るパケット制御システムの概略構成図である。It is a schematic block diagram of the packet control system which concerns on Embodiment 2. 実施形態2に係るL2SW一覧の一例である。It is an example of the L2SW list which concerns on Embodiment 2. 実施形態2に係る外部機器制御部におけるL2SW制御のフローチャートである。10 is a flowchart of L2SW control in the external device control unit according to the second embodiment. 実施形態2に係るフィルタ制御の一例である。6 is an example of filter control according to the second embodiment. 実施形態3に係るパケット制御システムの概略構成図である。It is a schematic block diagram of the packet control system which concerns on Embodiment 3.

以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。   Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. In addition, this indication is not limited to embodiment shown below. These embodiments are merely examples, and the present disclosure can be implemented in various modifications and improvements based on the knowledge of those skilled in the art. In the present specification and drawings, the same reference numerals denote the same components.

(実施形態1)
図1に、本実施形態に係るパケット制御システムの概略構成図を示す。本実施形態に係るパケット制御システムは、複数のL2スイッチ(以下、L2SW)4A−1〜4A−3と、パケット制御装置として機能するファイアーウォール装置3と、を備える。 (Embodiment 1)
FIG. 1 shows a schematic configuration diagram of a packet control system according to the present embodiment. The packet control system according to the present embodiment includes a plurality of L2 switches (hereinafter referred to as L2SW) 4A-1 to 4A-3 and a firewall device 3 that functions as a packet control device.

L2SW4A−1〜4A−3は、LANを構成するアクセスブリッジ装置として機能する。正規PC5−1及び5−2は、端末装置として機能し、L2SW4A−2に接続されている。正規PC5−3及び5−4は、端末装置として機能し、L2SW4A−3に接続されている。正規PC5は、固有の装置識別子を持つ任意の端末であり、コンピュータ、カメラ又はセンサなど、通信機能を有する任意の端末を含む。装置識別子は、端末を識別可能な任意の識別であり、例えば、MACアドレスである。以下、装置識別子がMACアドレスである場合について説明する。   The L2SWs 4A-1 to 4A-3 function as an access bridge device that configures the LAN. The regular PCs 5-1 and 5-2 function as terminal devices and are connected to the L2SW 4A-2. The regular PCs 5-3 and 5-4 function as terminal devices and are connected to the L2SW 4A-3. The regular PC 5 is an arbitrary terminal having a unique device identifier, and includes an arbitrary terminal having a communication function such as a computer, a camera, or a sensor. The device identifier is an arbitrary identification that can identify the terminal, and is, for example, a MAC address. Hereinafter, a case where the device identifier is a MAC address will be described.

本実施形態では、LANの一例として、L2SW4A−1、L2SW4A−2及び4A−3がカスケード接続されている例を示すが、LAN接続のトポロジはこれに限定されない。トポロジは、例えば、リング形状及びスター形状を含む。なお、本実施形態で使用するL2SW4Aの台数を3台としたが、使用できるL2SW4Aの台数は特に限定されるものではない。   In the present embodiment, an example in which L2SW 4A-1, L2SW 4A-2, and 4A-3 are cascade-connected is shown as an example of a LAN, but the topology of the LAN connection is not limited to this. The topology includes, for example, a ring shape and a star shape. Although the number of L2SWs 4A used in this embodiment is three, the number of L2SWs 4A that can be used is not particularly limited.

ファイアーウォール装置3は、バックボーンネットワークとLANの間に接続されている。ファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、L2SW4A−1〜4A−3の各ポートを検査する。これにより、侵入PC6がL2SW4A−3に接続された場合、侵入PC6の接続ポートを発見し、遮断する。   The firewall device 3 is connected between the backbone network and the LAN. The firewall device 3 realizes a multistage defense access firewall and inspects each port of the L2SWs 4A-1 to 4A-3. Thereby, when the intrusion PC 6 is connected to the L2SW 4A-3, the connection port of the intrusion PC 6 is found and blocked.

まず、正規PC5−1〜5−4はバックボーンNW2へL2SW4A−1〜4A−3及びファイアーウォール装置3を経由して通信を行う。このとき、L2SW4A−1〜4A−3はパケットに含まれるMACアドレスに基づいてパケットを転送する。ファイアーウォール装置3は、LAN側から受信したパケットのソースMACアドレスがホワイトリスト31aに含まれるかどうかを検査し、ホワイトリスト31aに含まれないMACアドレスは侵入PCであると断定する。ホワイトリスト31aに一致しない、侵入PC6のMACアドレスがソースMACに含まれるパケットを廃棄することにより、侵入PC6からバックボーンNW2に通過しようとする通信を遮断する。   First, the regular PCs 5-1 to 5-4 communicate with the backbone NW2 via the L2SWs 4A-1 to 4A-3 and the firewall device 3. At this time, the L2SWs 4A-1 to 4A-3 transfer the packet based on the MAC address included in the packet. The firewall device 3 checks whether the source MAC address of the packet received from the LAN side is included in the white list 31a, and determines that the MAC address not included in the white list 31a is an intrusion PC. By discarding a packet that does not match the white list 31a and whose MAC address of the intruding PC 6 is included in the source MAC, communication that tries to pass from the invading PC 6 to the backbone NW2 is blocked.

更に、ファイアーウォール装置3は、配下のL2SW4A−1〜4A−3にアクセスし、侵入PC6のMACアドレスがL2SW4A−1〜4A−3のフォワーディングデータベース(以下、FDBと称する。)に入っているかどうかを検索する。L2SW4A−1〜4A−3へのアクセスはTELNETや、SNMP(Simple Network Management Protocol)などのL2SW4A−1〜4A−3がネットワーク管理用にサポートしている手順を用いる。   Furthermore, the firewall device 3 accesses the subordinate L2SWs 4A-1 to 4A-3, and whether or not the MAC address of the intruding PC 6 is included in the forwarding database (hereinafter referred to as FDB) of the L2SWs 4A-1 to 4A-3. Search for. Access to the L2SWs 4A-1 to 4A-3 uses a procedure supported by the L2SWs 4A-1 to 4A-3 for network management, such as TELNET and SNMP (Simple Network Management Protocol).

侵入PC6のMACアドレスがFDBに入っていれば、そのFDBを持つL2SW4A−2、4A−3のポートに侵入PC6がつながっている可能性が高いため、侵入PC6のMACアドレスが記録されているポートの閉鎖を命令する。これにより、低価格なアクセスブリッジ装置で構成されたネットワークでも、高階層な防御(FWとアクセスリンクの2段)が可能になる。   If the MAC address of the intruding PC 6 is in the FDB, there is a high possibility that the invading PC 6 is connected to the port of the L2SW 4A-2, 4A-3 having that FDB. Order the closure. As a result, even in a network composed of low-cost access bridge devices, high-level defense (two levels of FW and access link) is possible.

図2は、ホワイトリスト31aの一例を示す。ホワイトリスト31aには登録済みの正規PC5−1〜5−4のMACアドレスが格納されている。侵入PC6のようにこれらMACアドレスに一致しないアドレスのPCは侵入PCと判断される。   FIG. 2 shows an example of the white list 31a. The white list 31a stores MAC addresses of registered regular PCs 5-1 to 5-4. A PC having an address that does not match these MAC addresses, such as the intruding PC 6, is determined to be an intruding PC.

図3に、ファイアーウォール装置3の構成の一例を示す。本実施形態に係るファイアーウォール装置3は、パケット受信部33と、ホワイトリスト保持部31と、比較部32と、パケット送信部35と、パケット廃棄部34と、外部機器制御部36と、を備える。   FIG. 3 shows an example of the configuration of the firewall device 3. The firewall device 3 according to the present embodiment includes a packet reception unit 33, a white list holding unit 31, a comparison unit 32, a packet transmission unit 35, a packet discard unit 34, and an external device control unit 36. .

ファイアーウォール装置3は2つのネットワークインタフェース37−1、37−2を持ち、片方がLANに接続され、もう片方がWANに接続される。例えば、ネットワークインタフェース37−1はL2SW4A−1に接続され、ネットワークインタフェース37−2はバックボーンNW2に接続されている。パケット受信部33は、LANネットワークインタフェース37−1からパケットを受信すると、受信したパケットからソースMACアドレスを抽出する。   The firewall device 3 has two network interfaces 37-1 and 37-2, one of which is connected to the LAN and the other is connected to the WAN. For example, the network interface 37-1 is connected to the L2SW 4A-1, and the network interface 37-2 is connected to the backbone NW2. When receiving a packet from the LAN network interface 37-1, the packet receiving unit 33 extracts a source MAC address from the received packet.

図4に、Ethernet(登録商標)フレームのフレーム構造の一例を示す。パケットで送信されるフレームには、宛先MACアドレス、送信元MACアドレス、タイプ、データ、FCSが含まれる。フレームの予め定められた位置に送信PCのMACアドレスが格納されており、侵入PC6であれば、そのアドレスが格納されている。   FIG. 4 shows an example of a frame structure of the Ethernet (registered trademark) frame. A frame transmitted by a packet includes a destination MAC address, a source MAC address, type, data, and FCS. The MAC address of the transmitting PC is stored at a predetermined position of the frame, and if it is an intruding PC 6, the address is stored.

抽出したソースMACアドレスは比較部32に渡される。比較部32は、ホワイトリスト保持部31の保持するホワイトリスト31aのMACアドレスとパケット受信部33で抽出したソースMACアドレスが一致するかを検査する。   The extracted source MAC address is passed to the comparison unit 32. The comparison unit 32 checks whether the MAC address of the white list 31 a held by the white list holding unit 31 matches the source MAC address extracted by the packet receiving unit 33.

ホワイトリスト31aのMACアドレスと一致した場合、登録済みの正規PCであるため、パケット受信部33は、パケットをパケット送信部35に出力する。これにより、正規PCからのパケットは、パケット送信部35を経て、WAN側のネットワークインタフェース37−2へ出力(フォワード)される。一致しない場合、パケット廃棄部34にて、ホワイトリスト31aに含まれていないパケットの廃棄処理を行う。   If it matches the MAC address of the white list 31a, the packet receiving unit 33 outputs the packet to the packet transmitting unit 35 because it is a registered regular PC. Thereby, the packet from the regular PC is output (forwarded) to the network interface 37-2 on the WAN side via the packet transmission unit 35. If they do not match, the packet discard unit 34 discards packets that are not included in the white list 31a.

次に、廃棄されたパケットのソースMACアドレスを外部機器制御部36に渡す。外部機器制御部36はL2SW一覧36aに登録されているL2SW4A−1〜4A−3にアクセスする。外部機器制御部36は、例えばTELNETによってL2SW4A−1〜4A−3にアクセスする。これにより、外部機器制御部36は、L2SW4A−1〜4A−3からFDBを取得する。   Next, the source MAC address of the discarded packet is passed to the external device control unit 36. The external device control unit 36 accesses the L2SWs 4A-1 to 4A-3 registered in the L2SW list 36a. The external device control unit 36 accesses the L2SWs 4A-1 to 4A-3 using, for example, TELNET. Thereby, the external device control unit 36 acquires the FDB from the L2SWs 4A-1 to 4A-3.

図5は、L2SWのFDBである。L2SWのFDBは、パケット転送制御用テーブルとして機能する。L2SW4A−1〜4A−3は、パケットを受信すると、その受信ポート、VLAN ID、及び、そのパケットのソースMACアドレスをFDBに格納する。   FIG. 5 is an L2SW FDB. The L2SW FDB functions as a packet transfer control table. When the L2SWs 4A-1 to 4A-3 receive the packet, the L2SW 4A-1 to 4A-3 store the reception port, VLAN ID, and source MAC address of the packet in the FDB.

図6は、本実施形態に係るL2SW一覧36aの一例である。本実施形態では3台のL2SW4A−1〜4A−3が登録されており、L2SW4A−1〜4A−3にアクセスするためのIPアドレスが格納されている。また下位L2SW4A−2、4A−3がある場合は、その接続ポートと、下位L2SW4A−2、4A−3のIPアドレスが格納されている。   FIG. 6 is an example of the L2SW list 36a according to the present embodiment. In this embodiment, three L2SWs 4A-1 to 4A-3 are registered, and IP addresses for accessing the L2SWs 4A-1 to 4A-3 are stored. If there are lower L2SWs 4A-2 and 4A-3, the connection ports and the IP addresses of the lower L2SWs 4A-2 and 4A-3 are stored.

次に、本実施形態に係るパケット制御方法について説明する。本実施形態に係るパケット制御方法は、ファイアーウォール装置3が、パケット受信手順と、比較手順と、パケット処理手順と、を順に実行する。パケット処理手順では、ファイアーウォール装置3は、パケット送信手順、或いは、パケット廃棄手順及び外部機器制御手順を実行する。   Next, the packet control method according to the present embodiment will be described. In the packet control method according to the present embodiment, the firewall device 3 sequentially executes a packet reception procedure, a comparison procedure, and a packet processing procedure. In the packet processing procedure, the firewall device 3 executes a packet transmission procedure or a packet discard procedure and an external device control procedure.

パケット受信手順では、パケット受信部33が、MACアドレスに基づいてパケットを転送するアクセスブリッジ装置から送信されたパケットを受信し、当該パケットから送信元のMACアドレスを取得する。比較手順では、比較部32が、アクセスブリッジ装置に接続されている端末装置のMACアドレスのホワイトリスト31aを参照し、パケット受信部33の取得したMACアドレスがホワイトリスト31aに含まれているか否かを判定する。これにより、ファイアーウォール装置3は、パケットの送信元が正規PCであるか又は侵入PCであるかを判定する。   In the packet reception procedure, the packet receiving unit 33 receives a packet transmitted from an access bridge device that transfers a packet based on the MAC address, and acquires a transmission source MAC address from the packet. In the comparison procedure, the comparison unit 32 refers to the white list 31a of the MAC address of the terminal device connected to the access bridge device, and whether or not the MAC address acquired by the packet reception unit 33 is included in the white list 31a. Determine. Thereby, the firewall apparatus 3 determines whether the transmission source of the packet is a regular PC or an intrusion PC.

パケットの送信元が正規PCである場合、ファイアーウォール装置3は、パケット送信手順を実行する。パケット送信手順では、パケット送信部35が、送信元のMACアドレスがホワイトリスト31aに含まれているパケットを、宛先に向けて転送するネットワーク装置に送信する。   When the packet transmission source is a regular PC, the firewall device 3 executes a packet transmission procedure. In the packet transmission procedure, the packet transmission unit 35 transmits a packet whose source MAC address is included in the white list 31a to a network device that forwards the packet toward the destination.

パケットの送信元が侵入PCである場合、ファイアーウォール装置3は、パケット廃棄手順及び外部機器制御手順を実行する。
パケット廃棄手順では、パケット廃棄部34が、送信元のMACアドレスがホワイトリスト31aに含まれていないパケットを廃棄する。
外部機器制御手順では、外部機器制御部36が、比較部32においてホワイトリスト31aに含まれていない侵入PC6のMACアドレスが発見された場合、L2SW4A−1及び4A−3の侵入PC6の接続されているポートを閉鎖する。 When the packet transmission source is an intrusion PC, the firewall device 3 executes a packet discard procedure and an external device control procedure.
In the packet discard procedure, the packet discard unit 34 discards a packet whose source MAC address is not included in the white list 31a.
In the external device control procedure, when the external device control unit 36 finds the MAC address of the invading PC 6 not included in the white list 31a in the comparison unit 32, the intrusion PC 6 of the L2SW 4A-1 and 4A-3 is connected. Close the port.

図7を参照しながら、外部機器制御手順における外部機器制御部36におけるL2SW制御について説明する。ホワイトリスト31aに一致しなかった侵入PC6のソースMACアドレスは以下の処理により、侵入ポートを特定し、閉鎖を行う。   The L2SW control in the external device control unit 36 in the external device control procedure will be described with reference to FIG. The source MAC address of the intrusion PC 6 that does not match the white list 31a is identified and closed by the following processing.

ステップS100:比較部32でホワイトリスト31aに含まれていないMACアドレスが発見される。
ステップS101:外部機器制御部36は登録されたL2SW4A−1〜4A−3を順に巡回処理を行う。登録されたL2SW4A−1〜4A−3は図6に示すL2SW一覧36aに格納されており、それぞれのL2SW4A−1〜4A−3にアクセスするためのIPアドレスと、下位L2SW4A−2、4A−3が存在する場合は、その下位L2SW4A−2、4A−3のアドレスと接続ポート番号が格納されている。 Step S100: The comparison unit 32 finds a MAC address that is not included in the white list 31a.
Step S101: The external device control unit 36 performs a cyclic process on the registered L2SWs 4A-1 to 4A-3 in order. The registered L2SWs 4A-1 to 4A-3 are stored in the L2SW list 36a shown in FIG. 6, and the IP addresses for accessing the L2SWs 4A-1 to 4A-3 and the lower L2SWs 4A-2 and 4A-3 are stored. Is stored, the addresses of the lower L2SWs 4A-2 and 4A-3 and the connection port numbers are stored.

ステップS102:外部機器制御部36は登録されたL2SW4A−1〜4A−3に順にTELNET接続する。
ステップS103:外部機器制御部36はL2SW4A−1〜4A−3のFDB一覧を取得し、学習済みのMACアドレスを取得する。FDBは図5のようになっており、L2SW4A−1〜4A−3で受信したパケットのソースMACアドレスとVLAN ID、受信ポート番号が格納されている。このFDBに格納されているMACアドレスのPCがそのポートに接続されていることを示す。
ステップS104:外部機器制御部36は侵入PC6のMACアドレスがFDBに格納されているMACアドレスと一致するかを検査する。 Step S102: The external device control unit 36 makes a TELNET connection to the registered L2SWs 4A-1 to 4A-3 in order.
Step S103: The external device control unit 36 acquires the FDB list of the L2SWs 4A-1 to 4A-3 and acquires the learned MAC address. The FDB is as shown in FIG. 5, and stores the source MAC address, VLAN ID, and reception port number of the packets received by the L2SWs 4A-1 to 4A-3. It indicates that the PC with the MAC address stored in the FDB is connected to the port.
Step S104: The external device control unit 36 checks whether the MAC address of the intruding PC 6 matches the MAC address stored in the FDB.

ステップS105:下位L2SW4A−2、4A−3の接続の有無を確認する。もし一致したポートが下位L2SW4A−2、4A−3に接続されたポートであれば、下位L2SW4A−2、4A−3のポートを閉鎖しなくてはならないため、本L2SW4A−1のポートは閉鎖しない。   Step S105: Whether or not the lower L2SWs 4A-2 and 4A-3 are connected is confirmed. If the matching port is a port connected to the lower L2SW 4A-2, 4A-3, the port of the lower L2SW 4A-2, 4A-3 must be closed, so the port of this L2SW 4A-1 is not closed .

ステップS106:下位L2SW4A−2、4A−3が接続されていない場合は、該当ポートに侵入PC6が接続されていることとなるため、該当ポートを閉鎖する。そして、外部機器制御部36におけるL2SW制御を終了する。   Step S106: When the lower L2SWs 4A-2 and 4A-3 are not connected, since the intrusion PC 6 is connected to the corresponding port, the corresponding port is closed. Then, the L2SW control in the external device control unit 36 is terminated.

ステップS107:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかったかを確認する。
ステップS108:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかった場合、次のL2SWへと処理を継続する。 Step S107: It is confirmed whether all MAC addresses do not match the MAC address of the intruding PC 6.
Step S108: If all the MAC addresses do not match the MAC address of the intruding PC 6, the processing is continued to the next L2SW.

また、本実施形態では、侵入PC6がファイアーウォール装置3で発見された後にFDBを取得しているが、事前にL2SW4A−1〜4A−3を巡回アクセスし、あらかじめFDBを取得しておいてもよい。   In this embodiment, the FDB is acquired after the intrusion PC 6 is discovered by the firewall device 3. However, even if the FDB is acquired in advance by cyclically accessing the L2SWs 4A-1 to 4A-3 in advance. Good.

図8に、TELNETを用いたポート閉鎖制御の一例を示す。外部機器制御部36がL2SW4A−1〜4A−3にアクセスし、FDBに格納されている学習済みMACアドレス一覧を取得し、侵入PC6を発見し、ポートを閉鎖する。具体的には、まず外部機器制御部36は、TELNETにログインし、FDB取得のためのコマンドを実行して、MACアドレス及びポート番号の一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレス「3c97.0e80.4b81」を発見すると、ポート番号「G1/0/20」に侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、次にポート番号「G1/0/20」を閉鎖するコマンドを実行する。   FIG. 8 shows an example of port closing control using TELNET. The external device control unit 36 accesses the L2SWs 4A-1 to 4A-3, acquires the learned MAC address list stored in the FDB, finds the intrusion PC 6, and closes the port. Specifically, first, the external device control unit 36 logs in to TELNET, executes a command for FDB acquisition, and acquires a list of MAC addresses and port numbers. When the external device control unit 36 finds the MAC address “3c97.0e80.4b81” of the intruding PC 6 in the acquired MAC address, it is understood that the intruding PC 6 is connected to the port number “G1 / 0/20”. . In this case, the external device control unit 36 next executes a command for closing the port number “G1 / 0/20”.

以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されているL2SW4A−3のポート番号「G1/0/20」を閉鎖する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともにL2SW4A−3への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。   As described above, the firewall device 3 according to the present embodiment discards the packet from the intrusion PC 6 and closes the port number “G1 / 0/20” of the L2SW 4A-3 to which the intrusion PC 6 is connected. . As a result, the firewall device 3 according to the present embodiment is a high-level layer that prevents intrusion into the backbone NW2 and prevents intrusion into the L2SW4A-3 even in a network composed of low-cost access bridge devices. Protection (two stages of FW and access link) can be made possible.

(実施形態2)
図9に、本実施形態に係るパケット制御システムの概略構成図を示す。本実施形態に係るパケット制御システムは、実施形態1と同様に、複数のL2SW4A−1〜4A−3と、パケット制御装置として機能するファイアーウォール装置3と、を備える。ファイアーウォール装置3の構成、並びに、パケット受信手順、比較手順、パケット送信手順、パケット廃棄手順については、実施形態1と同様である。 (Embodiment 2)
FIG. 9 shows a schematic configuration diagram of a packet control system according to the present embodiment. As in the first embodiment, the packet control system according to the present embodiment includes a plurality of L2SWs 4A-1 to 4A-3 and a firewall device 3 that functions as a packet control device. The configuration of the firewall device 3, the packet reception procedure, the comparison procedure, the packet transmission procedure, and the packet discard procedure are the same as in the first embodiment.

本実施形態のファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、L2SW4A−1〜4A−3の各ポートを検査する。これにより、侵入PC6がL2SW4A−3に接続された場合、外部機器制御手順において、L2SW4A−3のMACフィルタ機能を利用して、LANへの侵入PC6からのパケットの侵入を阻止する。   The firewall device 3 of the present embodiment realizes a multistage defense access firewall and inspects each port of the L2SWs 4A-1 to 4A-3. Thereby, when the intrusion PC 6 is connected to the L2SW 4A-3, the MAC filter function of the L2SW 4A-3 is used in the external device control procedure to prevent the packet from the intrusion PC 6 from entering the LAN.

まず、正規PC5−1〜5−4はバックボーンNW2へL2SW4及びファイアーウォール装置3を経由して通信を行う。このとき、ファイアーウォール装置3は、LAN側から受信したパケットのソースMACアドレスがホワイトリスト31aに含まれるかどうかを検査し、ホワイトリスト31aに含まれないMACアドレスは侵入PC6であると判定する。ホワイトリスト31aに一致しない、侵入PC6のMACアドレスがソースMACに含まれるパケットを廃棄することにより、侵入PC6からバックボーンNW2に通過しようとする通信を遮断する。   First, the regular PCs 5-1 to 5-4 communicate with the backbone NW2 via the L2SW 4 and the firewall device 3. At this time, the firewall device 3 checks whether the source MAC address of the packet received from the LAN side is included in the white list 31a, and determines that the MAC address not included in the white list 31a is the intrusion PC 6. By discarding a packet that does not match the white list 31a and whose MAC address of the intruding PC 6 is included in the source MAC, communication that tries to pass from the invading PC 6 to the backbone NW2 is blocked.

更に、ファイアーウォール装置3は、配下のL2SW4A−2、4A−3にアクセスし、侵入PC6のMACアドレスがL2SW4A−2、4A−3のFDBに入っているかどうかを検索する。L2SW4A−2、4A−3へのアクセスはTELNETや、SNMPなどのL2SW4A−2、4A−3がネットワーク管理用にサポートしている手順を用いる。   Furthermore, the firewall device 3 accesses the subordinate L2SWs 4A-2 and 4A-3, and searches whether the MAC address of the intruding PC 6 is in the FDB of the L2SWs 4A-2 and 4A-3. Access to the L2SW 4A-2, 4A-3 uses a procedure supported by the L2SW 4A-2, 4A-3 such as TELNET or SNMP for network management.

侵入PC6がFDBに入っていれば、その侵入PC6が該当L2SW4A−3を経由していることが分かるため、L2SW4A−3のMACフィルタを設定し、以後侵入PC6のパケットが該当L2SW4A−3を流れないように阻止する。これにより、低価格なL2SWで構成されたネットワークでも、高階層な防御(FWとアクセスリンクの2段)が可能になる。   If the intruding PC 6 is in the FDB, it can be seen that the invading PC 6 passes through the corresponding L2SW 4A-3, so the MAC filter of the L2SW 4A-3 is set, and then the packet of the intruding PC 6 flows through the corresponding L2SW 4A-3. Stop to not. As a result, even in a network configured with low-cost L2SW, high-level defense (two steps of FW and access link) is possible.

図10は、本実施形態に係るL2SW一覧36aの一例を示す。L2SW一覧36aには、各L2SW4A−1〜4A−3にアクセスするためのIPアドレスが格納される。   FIG. 10 shows an example of the L2SW list 36a according to the present embodiment. The L2SW list 36a stores IP addresses for accessing the L2SWs 4A-1 to 4A-3.

図11を参照しながら、外部機器制御手順における外部機器制御部36のL2SW制御について説明する。ホワイトリスト31aに一致しなかった侵入PC6のソースMACアドレスは、以下の処理により特定し、遮断を行う。   The L2SW control of the external device control unit 36 in the external device control procedure will be described with reference to FIG. The source MAC address of the intruding PC 6 that does not match the white list 31a is identified and blocked by the following process.

ステップS200:比較部32でホワイトリスト31aに含まれていないMACアドレスが発見される。
ステップS201:まず、外部機器制御部36は登録されたL2SW4A−1〜4A−3を順に巡回処理を行う。登録されたL2SW4A−1〜4A−3にアクセスするためのIPアドレスは図10に示すL2SW一覧36aに格納されており、それぞれのL2SW4A−1〜4A−3にアクセスするために使用される。 Step S200: The MAC address not included in the white list 31a is found by the comparison unit 32.
Step S201: First, the external device control unit 36 sequentially performs a cyclic process on the registered L2SWs 4A-1 to 4A-3. IP addresses for accessing the registered L2SWs 4A-1 to 4A-3 are stored in the L2SW list 36a shown in FIG. 10, and are used to access the respective L2SWs 4A-1 to 4A-3.

ステップS202:外部機器制御部36は登録されたL2SW4A−1〜4A−3の順にTELNET接続する。
ステップS203:L2SW4A−1〜4A−3のFDB一覧を取得し、学習済みのMACアドレスを取得する。使用するFDBは実施形態1の図5と同様の形式である。FDBに格納されているMACアドレスのPCがそのポートに接続されていることを示す。 Step S202: The external device control unit 36 performs TELNET connection in the order of the registered L2SWs 4A-1 to 4A-3.
Step S203: An FDB list of L2SWs 4A-1 to 4A-3 is acquired, and learned MAC addresses are acquired. The FDB to be used has the same format as that in FIG. Indicates that the PC with the MAC address stored in the FDB is connected to the port.

ステップS204:外部機器制御部36は侵入PC6のMACアドレスがFDBに格納されているMACアドレスと一致するかを検査する。   Step S204: The external device control unit 36 checks whether the MAC address of the intruding PC 6 matches the MAC address stored in the FDB.

ステップS205:侵入PC6のMACアドレスと一致した場合は、そのポートから侵入PC6のMACアドレスをソースMACに持つパケットを受信できなくするフィルタを登録する。これにより、以後の侵入PC6からの通信を遮断することができる。
ステップS206:すべてのMACアドレスが侵入PC6のMACアドレスと一致しているかを確認する。
ステップS207:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかった場合、次のL2SWの処理へと処理を継続する。 Step S205: If it matches the MAC address of the intruding PC 6, a filter is registered that makes it impossible to receive a packet having the source MAC having the MAC address of the invading PC 6 from the port. Thereby, subsequent communication from the intrusion PC 6 can be blocked.
Step S206: It is confirmed whether all MAC addresses match the MAC address of the intruding PC 6.
Step S207: If all the MAC addresses do not match the MAC address of the intruding PC 6, continue the processing to the next L2SW processing.

また、本実施形態では、侵入PC6がファイアーウォール装置3で発見されたのちにFDBを取得しているが、事前にL2SW4A−1〜4A−3を巡回アクセスし、あらかじめFDBを取得しておいてもよい。   In the present embodiment, the FDB is acquired after the intrusion PC 6 is discovered in the firewall device 3, but the L2SW 4A-1 to 4A-3 are cyclically accessed in advance and the FDB is acquired in advance. Also good.

図12に本実施形態に係るフィルタ制御の一例を示す。実際の外部機器制御部36がL2SW4にアクセスし、FDBを取得、侵入PC6を発見し、MACアドレスのフィルタを行う。具体的には、まず、外部機器制御部36がTELNETログインし、FDB取得のためのコマンドを実行して、MACアドレスの一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレス「3c97.0e80.4b81」を発見すると、ポート「G1/0/20」に侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、該当MACアドレスのパケットの受信を禁止するコマンドを実行する。   FIG. 12 shows an example of filter control according to the present embodiment. The actual external device control unit 36 accesses the L2SW 4, acquires the FDB, finds the intrusion PC 6, and filters the MAC address. Specifically, first, the external device control unit 36 performs TELNET login, executes a command for FDB acquisition, and acquires a list of MAC addresses. When the external device control unit 36 finds the MAC address “3c97.0e80.4b81” of the intruding PC 6 in the acquired MAC address, it is found that the intruding PC 6 is connected to the port “G1 / 0/20”. In this case, the external device control unit 36 executes a command for prohibiting reception of the packet of the corresponding MAC address.

以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されているL2SW4A−3において侵入PC6のMACアドレス「3c97.0e80.4b81」のパケットの受信を禁止する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともにL2SW4A−3への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。   As described above, the firewall device 3 according to the present embodiment discards a packet from the intrusion PC 6 and also uses the MAC address “3c97.0e80.4b81” of the intrusion PC 6 in the L2SW 4A-3 to which the intrusion PC 6 is connected. The reception of the packet is prohibited. As a result, the firewall device 3 according to the present embodiment is a high-level layer that prevents intrusion into the backbone NW2 and prevents intrusion into the L2SW4A-3 even in a network composed of low-cost access bridge devices. Protection (two stages of FW and access link) can be made possible.

(実施形態3)
図13は、本実施形態に係るパケット制御システムの構成概略図を示す。本実施形態に係るパケット制御システムは、実施形態1及び2のL2SW4A−1〜4A−3に代えて、複数の無線アクセスポイント4B−1及び4B−2を備える。ファイアーウォール装置3の構成、並びに、パケット受信手順、比較手順、パケット送信手順、パケット廃棄手順については、実施形態1と同様である。 (Embodiment 3)
FIG. 13 is a schematic configuration diagram of the packet control system according to the present embodiment. The packet control system according to the present embodiment includes a plurality of wireless access points 4B-1 and 4B-2 instead of the L2SWs 4A-1 to 4A-3 of the first and second embodiments. The configuration of the firewall device 3, the packet reception procedure, the comparison procedure, the packet transmission procedure, and the packet discard procedure are the same as in the first embodiment.

無線アクセスポイント4B−1、4B−2は、LANを構成するアクセスブリッジ装置として機能する。正規PC5−1及び5−2は、端末装置として機能し、無線アクセスポイント4B−1に接続されている。正規PC5−3及び5−4は、端末装置として機能し、無線アクセスポイント4B−2に接続されている。本実施形態では、LANの一例として、無線アクセスポイント4B−1及び4B−2がファイアーウォール装置3に接続されている例を示すが、LANはこれに限定されない。例えば、無線アクセスポイント4B−1及び4B−2は、L2SW(不図示)を介してファイアーウォール装置3に接続されていてもよい。   The wireless access points 4B-1 and 4B-2 function as an access bridge device configuring the LAN. The regular PCs 5-1 and 5-2 function as terminal devices and are connected to the wireless access point 4B-1. The regular PCs 5-3 and 5-4 function as terminal devices and are connected to the wireless access point 4B-2. In this embodiment, an example in which the wireless access points 4B-1 and 4B-2 are connected to the firewall device 3 is shown as an example of the LAN, but the LAN is not limited to this. For example, the wireless access points 4B-1 and 4B-2 may be connected to the firewall device 3 via L2SW (not shown).

ファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、無線アクセスポイント4B−1、4B−2の各チャネルを検査する。これにより、侵入PC6が無線アクセスポイント4B−2に接続された場合、外部機器制御手順において、無線アクセスポイント4B−2のMACフィルタ機能を利用して、LANへの侵入PC6からのパケットの侵入を阻止する。   The firewall device 3 realizes a multistage defense access firewall and inspects each channel of the wireless access points 4B-1 and 4B-2. Thereby, when the intrusion PC 6 is connected to the wireless access point 4B-2, in the external device control procedure, the MAC filter function of the wireless access point 4B-2 is used to intrude packets from the intrusion PC 6 into the LAN. Stop.

本実施形態では、図3に示すL2SW一覧36aに代えて、無線アクセスポイント一覧が備わる。本実施形態では2台の無線アクセスポイント一覧4B−1〜4B−2が登録されており、無線アクセスポイント4B−1、4B−2にアクセスするためのIPアドレスが格納されている。   In the present embodiment, a wireless access point list is provided instead of the L2SW list 36a shown in FIG. In the present embodiment, two wireless access point lists 4B-1 to 4B-2 are registered, and IP addresses for accessing the wireless access points 4B-1 and 4B-2 are stored.

外部機器制御手順における外部機器制御部36の動作は、図11に示す実施形態2と同様である。ただし、図11における「L2SW」は「無線アクセスポイント」に代わる。LANにL2SW及び無線アクセスポイントの両方が備わる場合、図11における「L2SW」は
「L2SW及び無線アクセスポイント」に代わる。 The operation of the external device control unit 36 in the external device control procedure is the same as that of the second embodiment shown in FIG. However, “L2SW” in FIG. 11 replaces “wireless access point”. When the LAN includes both the L2SW and the wireless access point, “L2SW” in FIG. 11 is replaced with “L2SW and the wireless access point”.

比較部32でホワイトリスト31aに含まれていないMACアドレスが発見されると、外部機器制御部36は、無線アクセスポイント一覧に登録されている無線アクセスポイント4B−1、4B−2にアクセスし、パケット転送制御用テーブルを取得する。外部機器制御部36は、侵入PC6がパケット転送制御用テーブルに入っていれば、その侵入PC6が無線アクセスポイント4B−2を経由していることが分かるため、無線アクセスポイント4B−2のMACフィルタを設定し、以後侵入PC6のパケットが無線アクセスポイント4B−2を流れないように阻止する。   When the comparison unit 32 finds a MAC address that is not included in the white list 31a, the external device control unit 36 accesses the wireless access points 4B-1 and 4B-2 registered in the wireless access point list, Get the packet transfer control table. If the intrusion PC 6 is included in the packet transfer control table, the external device control unit 36 knows that the intrusion PC 6 passes through the wireless access point 4B-2. Is set to prevent packets from the intrusion PC 6 from flowing through the wireless access point 4B-2.

例えば、外部機器制御部36がTELNETログインし、パケット転送制御用テーブル取得のためのコマンドを実行して、MACアドレスの一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレスを発見すると、チャネルに侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、該当MACアドレスのパケットの受信を禁止するコマンドを実行する。   For example, the external device control unit 36 performs TELNET login, executes a command for acquiring a packet transfer control table, and acquires a list of MAC addresses. When the external device control unit 36 finds the MAC address of the intrusion PC 6 in the acquired MAC address, it can be seen that the intrusion PC 6 is connected to the channel. In this case, the external device control unit 36 executes a command for prohibiting reception of the packet of the corresponding MAC address.

以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されている無線アクセスポイント4B−2において侵入PC6のMACアドレスのパケットの受信を禁止する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともに無線アクセスポイント4B−2への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。   As described above, the firewall device 3 according to the present embodiment discards a packet from the intrusion PC 6 and receives a packet with the MAC address of the intrusion PC 6 at the wireless access point 4B-2 to which the intrusion PC 6 is connected. Is prohibited. As a result, the firewall device 3 according to the present embodiment prevents intrusion to the backbone NW2 and prevents intrusion to the wireless access point 4B-2 even in a network composed of low-cost access bridge devices. It is possible to enable high-level defense (two steps of FW and access link).

本開示のパケット制御装置は、通信産業に適用することができる。   The packet control device of the present disclosure can be applied to the communication industry.

1:ホワイトリスト管理サーバ
2:バックボーンNW
3:ファイアーウォール装置
31:ホワイトリスト保持部
31a:ホワイトリスト
32:比較部
33:パケット受信部
34:パケット廃棄部
35:パケット送信部
36:外部機器制御部
36a:L2SW一覧
37:ネットワークインタフェース
4A−1、4A−2、4A−3:L2SW
4B−1、4B−2:無線アクセスポイント
5−1、5−2、5−3、5−4:正規PC
6:侵入PC 1: White list management server 2: Backbone NW
3: Firewall device 31: White list holding unit 31a: White list 32: Comparison unit 33: Packet reception unit 34: Packet discard unit 35: Packet transmission unit 36: External device control unit 36a: L2SW list 37: Network interface 4A- 1, 4A-2, 4A-3: L2SW
4B-1, 4B-2: Wireless access points 5-1, 5-2, 5-3, 5-4: Regular PC
6: Intrusion PC

Claims (6)

アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信部(33)と、
前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を保持するホワイトリスト保持部(31)と、
前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較部(32)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信部(35)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄部(34)と、
前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御部(36)と、
を備えるパケット制御装置。 A packet receiver (33) that receives a packet transmitted from the access bridge device (4) and acquires a device identifier of the transmission source from the packet;
A white list holding unit (31) for holding a white list (31a) of device identifiers of terminal devices connected to the access bridge device (4);
A comparison unit (32) for determining whether or not the device identifier acquired by the packet reception unit (33) is included in the white list (31a);
A packet transmission unit (35) for forwarding a packet whose destination device identifier is included in the white list (31a) to a destination;
A packet discard unit (34) for discarding a packet whose source device identifier is not included in the white list (31a);
When a device identifier not included in the white list (31a) is found in the comparison unit (32), the device identifier is stored using a packet transfer control table held by the access bridge device (4). An external device control unit that blocks communication of packets whose source is a device identifier not included in the white list (31a) with respect to the access bridge device (4) that holds the packet transfer control table that is stored ( 36)
A packet control device. 前記アクセスブリッジ装置は、L2スイッチであり、
前記パケット転送制御用テーブルは、各ポートに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子に対応するポートを閉鎖する、
請求項1に記載のパケット制御装置。 The access bridge device is an L2 switch,
The packet transfer control table stores a device identifier of the terminal device connected to each port,
The external device control unit closes a port corresponding to a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1. 前記アクセスブリッジ装置は、L2スイッチであり、
前記パケット転送制御用テーブルは、各ポートに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子を遮断する、
請求項1に記載のパケット制御装置。 The access bridge device is an L2 switch,
The packet transfer control table stores a device identifier of the terminal device connected to each port,
The external device control unit blocks a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1. 前記アクセスブリッジ装置は、無線アクセスポイントであり、
前記パケット転送制御用テーブルは、各チャネルに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子を遮断する、
請求項1に記載のパケット制御装置。 The access bridge device is a wireless access point;
The packet transfer control table stores a device identifier of the terminal device connected to each channel,
The external device control unit blocks a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1. 前記端末装置は、コンピュータ、カメラ又はセンサを含む、
請求項1から4のいずれかに記載のパケット制御装置。 The terminal device includes a computer, a camera or a sensor,
The packet control device according to claim 1. パケット受信部(33)が、アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信手順と、
比較部(32)が、前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を参照し、前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較手順と、
パケット送信部(35)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信手順と、
パケット廃棄部(34)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄手順と、
外部機器制御部(36)が、前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御手順と、
を実行するパケット制御方法。 A packet receiving unit (33) for receiving a packet transmitted from the access bridge device (4) and acquiring a transmission source device identifier from the packet;
The comparison unit (32) refers to the device identifier white list (31a) of the terminal device connected to the access bridge device (4), and the device identifier acquired by the packet reception unit (33) is the white list. (31a) a comparison procedure for determining whether or not included,
A packet transmission procedure in which a packet transmission unit (35) transfers a packet having a device identifier of a transmission source included in the white list (31a) toward a destination;
A packet discarding procedure for discarding a packet whose source device identifier is not included in the whitelist (31a);
The packet transfer control table held by the access bridge device (4) when the external device control unit (36) finds a device identifier not included in the white list (31a) in the comparison unit (32). The access bridge device (4) holding the packet transfer control table storing the device identifier is used to send a packet having a device identifier not included in the white list (31a) as a transmission source. An external device control procedure for blocking communication;
Packet control method to execute.
JP2016202496A 2016-10-14 2016-10-14 Packet controller Pending JP2018064228A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016202496A JP2018064228A (en) 2016-10-14 2016-10-14 Packet controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016202496A JP2018064228A (en) 2016-10-14 2016-10-14 Packet controller

Publications (1)

Publication Number Publication Date
JP2018064228A true JP2018064228A (en) 2018-04-19

Family

ID=61968070

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016202496A Pending JP2018064228A (en) 2016-10-14 2016-10-14 Packet controller

Country Status (1)

Country Link
JP (1) JP2018064228A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020077912A (en) * 2018-11-05 2020-05-21 富士通株式会社 Network control device and network control method
JP7434672B1 (en) 2023-03-03 2024-02-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 Information processing system, information processing method, and information processing program

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033140A (en) * 2004-07-13 2006-02-02 Fujitsu Ltd Network management apparatus, network management method, and program
JP2009253461A (en) * 2008-04-02 2009-10-29 Nec Corp Network, communication management device, wired switch, wireless controller, illegal communication disconnecting method,and program
WO2012014509A1 (en) * 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ Unauthorized access blocking control method
JP2012034129A (en) * 2010-07-29 2012-02-16 Pfu Ltd Management server, communication interruption device, information processing system, method and program
JP2014186703A (en) * 2013-03-25 2014-10-02 Fujitsu Ltd Authentication apparatus and authentication method
JP2015035724A (en) * 2013-08-09 2015-02-19 株式会社日立製作所 Network control device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033140A (en) * 2004-07-13 2006-02-02 Fujitsu Ltd Network management apparatus, network management method, and program
JP2009253461A (en) * 2008-04-02 2009-10-29 Nec Corp Network, communication management device, wired switch, wireless controller, illegal communication disconnecting method,and program
JP2012034129A (en) * 2010-07-29 2012-02-16 Pfu Ltd Management server, communication interruption device, information processing system, method and program
WO2012014509A1 (en) * 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ Unauthorized access blocking control method
JP2014186703A (en) * 2013-03-25 2014-10-02 Fujitsu Ltd Authentication apparatus and authentication method
JP2015035724A (en) * 2013-08-09 2015-02-19 株式会社日立製作所 Network control device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ロックハート アンドリュー ANDREW LOCKHART: "ネットワークセキュリティHacks−プロが使うテクニック&ツール100選", ネットワークセキュリティHACKS 初版 NETWORK SECURITY HACKS, vol. 第1版, JPN6020042144, 14 July 2005 (2005-07-14), pages 100 - 102, ISSN: 0004511830 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020077912A (en) * 2018-11-05 2020-05-21 富士通株式会社 Network control device and network control method
JP7081445B2 (en) 2018-11-05 2022-06-07 富士通株式会社 Network control device and network control method
JP7434672B1 (en) 2023-03-03 2024-02-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 Information processing system, information processing method, and information processing program

Similar Documents

Publication Publication Date Title
US9608908B2 (en) Network system and VLAN tag data acquiring method
US10212160B2 (en) Preserving an authentication state by maintaining a virtual local area network (VLAN) association
EP2544417B1 (en) Communication system, path control apparatus, packet forwarding apparatus and path control method
EP2643952B1 (en) Communication system, communication device, controller, and method and program for controlling forwarding path of packet flow
US8340092B2 (en) Switching system and method in switching system
JP5994851B2 (en) Transfer device control device, transfer device control method, communication system, and program
US8584209B1 (en) Authentication using a proxy network node
WO2016082588A1 (en) Link connectivity checking method and apparatus
WO2013115177A1 (en) Network system and topology management method
WO2012077603A1 (en) Computer system, controller, and network monitoring method
US20090304008A1 (en) Network relay device and network relay method
WO2016150057A1 (en) Method and device for sending access control list (acl)
WO2015000386A1 (en) Virtual network
CN105429841B (en) NNI PING implementation method and device
EP3095216B1 (en) Single hop overlay architecture for line rate performance in campus networks
US20180213068A1 (en) Providing efficient routing of an operations, administration and maintenance (oam) frame received at a port of an ethernet switch
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
JP2018064228A (en) Packet controller
JP2019213182A (en) Network protection device and network protection system
EP1617619B1 (en) Method for securing communication in a local area network switch
JP7156310B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM
US8407779B1 (en) Transposing a packet firewall policy within a node
KR20160072718A (en) System and method for neighbor discovery based on ethernet in the software defined networks
Cisco Configuring Source-Route Bridging
US9451053B1 (en) Systems and methods for interfacing software-defined networks with non-software-defined networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190912

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20200703

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20200703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210525