JP2018525935A5

JP2018525935A5 -

Info

Publication number: JP2018525935A5
Application number: JP2018509896A
Authority: JP
Filing date: 2016-08-23
Publication date: 2019-09-19

Claims

ローカルネットワーク内のコンピュータ間でデータを転送するように構成された少なくとも１つのネットワークデバイスを含む、前記ローカルネットワークと、
前記ローカルネットワークに接続された第１のデバイスであって、少なくとも１つの処理デバイスと、ネットワーク通信を実行する手段とを備え、前記第１のデバイスはアウトバウンド接続を開始するようにプログラムされており、少なくとも１つのアウトバウンド接続は前記ローカルネットワーク内のいずれのデバイスとも対応しない外部アドレスを含む、前記第１のデバイスと、
前記ローカルネットワークに接続されており、外部ネットワークへの少なくとも１つの接続を有する第２のデバイスと、を含み、
各アウトバウンド接続の前記外部ネットワークのアドレスは、前記外部ネットワークに接続された外部デバイスを参照し、
前記第２のデバイスは、
（ａ）１つまたは複数のインバウンド接続を受信し、各インバウンド接続は、前記第１のデバイスにアドレス指定されており、また、前記外部ネットワークにあり、かつ、前記ローカルネットワークの外側にある前記各インバウンド接続のソースアドレスから受信され、前記１つまたは複数のインバウンド接続に対する１つまたは複数の記憶されたソースアドレスの１つのとして前記各インバウンド接続の前記ソースアドレスを記録し、
（ｂ）前記第１のデバイスから受信された１つまたは複数のアウトバウンド接続の各アウトバウンド接続ごとに、
（ｉ）前記各アウトバウンド接続の前記外部アドレスを、前記１つまたは複数のインバウンド接続に対する前記１つまたは複数の記憶されたソースアドレスと比較し、前記各アウトバウンド接続の前記外部アドレスは前記外部ネットワークにあり、
（ｉｉ）前記１つまたは複数のインバウンド接続に対する前記１つまたは複数の記憶されたソースアドレスのうちの１つと、前記各アウトバウンド接続の前記外部アドレスとが一致した場合、前記各アウトバウンド接続の前記外部アドレスへの前記各アウトバウンド接続の送信を許可し、
（ｉｉｉ）前記１つまたは複数のインバウンド接続に対する前記記憶されたソースアドレスのいずれとも、前記各アウトバウンド接続の前記外部アドレスが一致しない場合、前記各アウトバウンド接続の前記外部アドレスへの前記各アウトバウンド接続の送信をブロックする、ようにさらにプログラムされる、ネットワーク構築のためのシステム。
前記第２のデバイスは、前記１つまたは複数のアウトバウンド接続の各アウトバウンド接続ごとに：
前記各アウトバウンド接続の前記外部アドレスがホワイトリストに含まれていれば、前記各アウトバウンド接続の前記外部アドレスへの前記各アウトバウンド接続を許可し、
前記各アウトバウンド接続の宛先アドレスが前記ホワイトリストに含まれていなければ、前記各アウトバウンド接続をブロックする、
ようにさらにプログラムされており、並びに、
前記第２のデバイスは、前記ホワイトリストに含まれていない前記ソースアドレスを有する前記１つまたは複数のインバウンド接続の少なくとも一部を許可するようにさらにプログラムされており、
前記ホワイトリストは、ドメイン名、インターネットプロトコル（ＩＰ）アドレス、およびポートのうちの少なくとも１つをそれぞれが含む１つまたは複数のネットワーク識別子を格納する、ことを特徴とする請求項１に記載のシステム。
前記第２のデバイスは、前記第１のデバイスからの前記１つまたは複数のアウトバウンド接続のうち、第１の外部アドレスである前記ソースアドレスを有する前記１つまたは複数のインバウンド接続のうちの１つのインバウンド接続によって先行される前記第１の外部アドレスを有するアウトバウンド接続を許可し、前記１つまたは複数のインバウンド接続の先に受信したインバウンド接続の前記ソースアドレスであった前記第１の外部アドレスとは異なるアドレスを含む、前記第１の外部アドレスとは異なるアドレスへの前記第１のデバイスからの１つまたは複数の後続のアウトバウンド接続をブロックするように、プログラムされる請求項１に記載のシステム。
前記第２のデバイスは、前記各アウトバウンド接続の前記外部アドレスからのインバウンド接続の参照が、前記第２のデバイスにおいて指定されるポートのセットからの特定の宛先ポートを使用する場合にのみ、前記第１のデバイスからの前記１つまたは複数のアウトバウンド接続の各アウトバウンド接続を許可するようにさらにプログラムされる、請求項１に記載のシステム。
前記第２のデバイスは、前記第１のデバイスからの前記１つまたは複数のアウトバウンド接続の各アウトバウンド接続をブロックし、前記外部ネットワークにおける前記ソースアドレスを有する前記１つまたは複数のインバウンド接続のインバウンド接続を前記第１のデバイスが受け入れることを許可する、ようにさらにプログラムされる、請求項１に記載のシステム。
前記第１のデバイスは、ハイパーテキスト転送プロトコル（ＨＴＴＰ）サーバとＨＴＴＰクライアントの両方を実行するようにプログラムされており、
前記第２のデバイスは、前記ＨＴＴＰクライアントから前記外部ネットワーク内の遠隔デバイスへの接続の試みをブロックし、一方、前記遠隔デバイスからの接続が前記ＨＴＴＰサーバに到達することを許可するようにさらにプログラムされる、請求項１に記載のシステム。
前記第２のデバイスは、ゲートウェイ、ルータ、ブリッジ、スイッチ、およびファイアウォールの少なくとも１つを含む、請求項１に記載のシステム。
ローカルネットワーク内のコンピュータ間でデータを転送するように構成された少なくとも１つのネットワークデバイスを含む、前記ローカルネットワークと、
前記ローカルネットワークに接続された第１のデバイスであって、少なくとも１つの処理デバイスと、ネットワーク通信を実行する手段とを備え、前記第１のデバイスはアウトバウンド接続を開始するようにプログラムされており、少なくとも１つのアウトバウンド接続は前記ローカルネットワーク内のいずれかのコンピュータと対応している、前記第１のデバイスと、
前記ローカルネットワークに接続され、前記ローカルネットワーク内のコンピュータ間の接続を管理するようにプログラムされる第２のデバイスであって、前記第２のデバイスは、
（ａ）前記ローカルネットワークの外側の外部ＩＰアドレスからの１つまたは複数のインバウンド接続を受け入れ、
（ｂ）前記ローカルネットワーク上の別のデバイスへの前記第１のデバイスからのアウトバウンド接続要求を検出し、
（ｃ）前記１つまたは複数のインバウンド接続のうちの１つのインバウンド接続が、前記第１のデバイスを参照しており、かつ、前記外部ＩＰアドレスの１つから前もって受信された場合、前記アウトバウンド接続を許可し、
（ｄ）前記第１のデバイスを参照しており、かつ、前記外部ＩＰアドレスのうちの１つから前もって受信された前記１つまたは複数のインバウンド接続がない場合、前記アウトバウンド接続をブロックする、ようにさらにプログラムされ、
前記第２のデバイスは、ゲートウェイ、ルータ、ブリッジ、スイッチ、プロキシ、およびファイアウォールのうちの１つである、ネットワーク構築のためのシステム。
前記ローカルネットワーク内の前記コンピュータは、第１のグループのデバイスと第２のグループのデバイスとを含み、
前記第２のデバイスは、第１の規則を前記ローカルネットワーク内の第１のグループのデバイスに適用し、第２の規則を前記ローカルネットワーク上の第２のグループのデバイスに適用するようにさらにプログラムされ、前記第１の規則は、前記第２のデバイスが前記第１のグループから前記第２のグループへの接続をブロックするようにプログラムされるが、前記第２のグループからの前記第１のグループへのローカル接続は許可するようにプログラムされるように、前記第２の規則と異なっている、請求項８に記載のシステム。
前記第２のデバイスは、アドレス解決プロトコル（ＡＲＰ）、マルチキャストドメインネームサービス（ｍＤＮＳ）、およびシンプルサービスディスカバリプロトコル（ＳＳＤＰ）のうちの少なくとも１つから得られた情報によって前記ローカルネットワーク上の前記コンピュータを識別するようにプログラムされる、請求項８に記載のシステム。
前記第２のデバイスは、前記少なくとも１つのコンピュータの名前およびディスクリプションによって前記ローカルネットワーク上の前記コンピュータから少なくとも１つのコンピュータを識別するようにプログラムされる、請求項８に記載のシステム。
前記第２のデバイスは、１つまたは複数のローカル接続を開始した前記ローカルネットワーク上の前記コンピュータのうちの１つのコンピュータからの少なくとも１つのデータパケットをブロックすることによって、前記１つまたは複数のローカル接続をブロックするようにさらにプログラムされる、請求項８に記載のシステム。
前記第２のデバイスは、１つまたは複数のローカル接続に応答して転送された、前記ローカルネットワーク上の前記コンピュータのうちの１つのコンピュータからの少なくとも１つのデータパケットをブロックすることによって、前記１つまたは複数のローカル接続をブロックするようにさらにプログラムされる、請求項８に記載のシステム。
前記第２のデバイスは、前記第１のデバイスによって先に送信または受信された前記パケットに関する情報を分析することによって、前記第１のデバイスを識別するようにプログラムされる、請求項８に記載のシステム。
前記第２のデバイスは、少なくとも所定の時間間隔内に前記第１の外部アドレスからパケットを前もって受信することなく、前記第１のデバイスが前記第１の外部アドレスにパケットを送信していた場合に、前記第１のデバイスを前記少なくとも１つのアウトバウンド接続を開始するものとして識別するようにプログラムされる、請求項１４に記載のシステム。