JP2019153871A - ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム - Google Patents

ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム Download PDF

Info

Publication number
JP2019153871A
JP2019153871A JP2018036399A JP2018036399A JP2019153871A JP 2019153871 A JP2019153871 A JP 2019153871A JP 2018036399 A JP2018036399 A JP 2018036399A JP 2018036399 A JP2018036399 A JP 2018036399A JP 2019153871 A JP2019153871 A JP 2019153871A
Authority
JP
Japan
Prior art keywords
rules
rule
subsets
disposal
pec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018036399A
Other languages
English (en)
Other versions
JP6962239B2 (ja
Inventor
拓馬 宇都宮
Takuma Utsunomiya
拓馬 宇都宮
直樹 小口
Naoki Oguchi
直樹 小口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018036399A priority Critical patent/JP6962239B2/ja
Priority to US16/286,732 priority patent/US11323417B2/en
Publication of JP2019153871A publication Critical patent/JP2019153871A/ja
Application granted granted Critical
Publication of JP6962239B2 publication Critical patent/JP6962239B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 セキュリティポリシーの正当性を容易に検証することができるネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステムを提供することを目的とする。【解決手段】 ネットワーク管理装置は、パケットのアドレスの範囲に基づき通信を規制する複数のルールを取得する取得部と、複数のルールのアドレス範囲の全体集合を、ルール間のアドレス範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、各ルールについて、複数の部分集合からアドレス範囲に含まれる部分集合を抽出する抽出部と、各ルールより優先度が高い他のルールとの間で部分集合の包含関係を判定し、部分集合の包含関係の判定結果に基づいて各ルールの処分を決定する決定部と、各ルールの処分及び部分集合の包含関係を示す画像データを出力する出力部とを有する。【選択図】図10

Description

本件は、ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステムに関する。
クラウドサービス、5G(5th Generation)通信、IoT(Internet of Things)などの通信技術の普及に伴い、ネットワーク間の接続構成が複雑化し、オフィス、店舗、及び工場などの多くの拠点にファイアウォールなどのセキュリティ対策を施す必要性が増している。ファイアウォールには、例えば特許文献1に記載されているように、セキュリティポリシーとして、パケットの送信元IP(Internet Protocol)アドレス及び宛先IPアドレスなどの条件に基づき通信を規制する複数のルールが設定される。また、非特許文献1には、セキュリティポリシーを構成する各ルールを視覚的に表現することにより、その正当性を検証する技術が記載されている。
特表2002−507295号公報
ファイアウォールが増えると、セキュリティポリシーを設定する負担も増加するため、ルール間に重複及び矛盾などが生じるおそれがある。これに対し、例えば非特許文献1に記載された技術によると、単にルール間の条件同士の包含関係を確認することは可能である。しかし、ルールの修正の要否を決定するためには、さらに各ルールの設定内容を詳細に検討する必要があるため、ネットワークの専門知識が必要とされ、セキュリティポリシーの正当性の検証が容易ではない。
そこで本件は、ネットワーク機器のセキュリティポリシーの正当性を容易に検証することができるネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステムを提供することを目的とする。
1つの態様では、ネットワーク管理装置は、パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する取得部と、前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有する。
1つの態様では、ネットワーク管理方法は、パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する工程と、前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する工程と、前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する工程と、前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する工程と前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する工程とを、コンピュータが実行する方法である。
1つの態様では、ネットワーク管理プログラムは、パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得し、前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割し、前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出し、前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定し、前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する、処理を、コンピュータに実行させるプログラムである。
1つの態様では、ネットワーク管理システムは、ネットワーク管理装置とネットワーク機器とを含み、前記ネットワーク機器は、パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを記憶する記憶部と、前記複数のルールに従って前記パケットによる通信を制御する制御部とを有し、前記ネットワーク管理装置は、前記ネットワーク機器から前記複数のルールを取得する取得部と、前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有する。
1つの側面として、ネットワーク機器のセキュリティポリシーの正当性を容易に検証することができる。
セキュリティポリシーの検証手段の比較例を示す図である。 PEC(Packet Equivalence Classes)の生成例を示す図である。 ネットワークシステムの一例を示す構成図である。 ネットワーク管理装置の一例を示す構成図である。 ACL(Access Control List)情報データベースの一例を示す図である。 PECデータベースの一例を示す図である。 ACL情報管理テーブルの一例を示す図である。 ネットワーク管理装置の処理の一例を示すフローチャートである。 ルール処分決定処理の一例を示すフローチャートである。 表示装置の画面の表示例を示す図である。
図1は、セキュリティポリシーの検証手段の比較例を示す図である。ファイアウォール装置(以下、「ファイアウォール」と表記)90は、拠点91ごとにインターネット92と接続されるノードに設けられている。
ファイアウォール90には、セキュリティポリシーとして、インターネット92との通信を規制する複数のルールを含むACL900が設定されている。ACL900には、一例として、設定名、送信元IPアドレス、宛先IPアドレス、及びアクションを含む。なお、送信元IPアドレス及び宛先IPアドレスはアドレスの一例であり、アドレスとしては例えばイーサネットフレームのDA(Destination Address)及びSA(Source Address)が用いられてもよい。
設定名は、個々のルールの名称であり、一例として、「ACL#1」〜「ACL#7」が設定されている。送信元IPアドレスは、パケットの送信元を示すアドレスである。なお、送信元IPアドレスが「0.0.0.0/0」に設定された場合、送信元IPアドレスは全てのIPアドレスに該当する。また、宛先IPアドレスは、パケットの宛先を示すアドレスである。なお、宛先IPアドレスが「0.0.0.0/0」に設定された場合、宛先IPアドレスは全てのIPアドレスに該当する。
アクションは、送信元IPアドレス及び宛先IPアドレスの各条件を満たすパケットの処理を示す。アクションが「許可」(PERMIT)に設定された場合、条件を満たすパケットは、インターネット92からファイアウォール90を通過して拠点91内のローカルネットワークに送信される。また、アクションが「拒否」(DENY/DROP)に設定された場合、条件を満たすパケットは、インターネット92からファイアウォール90を通過することなく、廃棄される。なお、アクションは、パケットによる通信の許可または拒絶を示す動作設定の一例である。
また、ACL900内の各ルールの優先度は、ACL900の上方(図1の紙面上部)ほど高い。このため、本例の場合、設定名「ACL#1」のルールの優先度は最も高く、設定名「ACL#7」のルールの優先度は最も低い。ファイアウォール90は、パケットに対して優先度が高い順にルールを適用する。このため、例えば、優先度が高いルールと優先度が低いルールの間で送信元IPアドレス及び宛先IPアドレスとアクションが完全に重複する場合、優先度が低いルールは適用されない。
セキュリティポリシーの検証手段としては、符号Ga〜Gcで示されるように、ACL900を視覚的に表現する技術が挙げられる。
符号Gaは、上記の非特許文献1に基づく技術の一例を示す。設定名「ACL#1」〜「ACL#7」の各ルールは、この順で円環上に配置されており、ルール間の関係に応じた種類の線がそのルール同士を結ぶ。例えば、実線は、優先度の高いルールが優先度の低いルールの送信元IPアドレス及び宛先IPアドレスの全ての範囲を包含することを意味する。また、点線は、優先度の高いルールが優先度の低いルールの送信元IPアドレス及び宛先IPアドレスの範囲の一部だけを包含することを意味する。
この技術によると、単にルール間の条件同士の包含関係の確認することは可能である。しかし、ルールの修正の要否を決定するためには、さらにACL900を詳細に検討する必要があるため、ネットワークの専門知識が必要とされ、セキュリティポリシーの正当性の検証が容易ではない。
また、符号Gbは、ベン図を用いてACL900を可視化する技術の一例を示す。この技術によると、設定名「ACL#1」〜「ACL#7」の各ルール間の送信元IPアドレス及び宛先IPアドレスの重複関係を確認することが可能であるが、ルールごとの優先度が表示されないため、ACL900を詳細に検討する手間が生じ、セキュリティポリシーの正当性の検証が容易ではない。
また、符号Gcは、2次元のグラフを用いてACL900を可視化する技術の一例を示す。この技術によると、設定名「ACL#1」〜「ACL#7」の各ルールについて、送信元IPアドレスの範囲が横軸に示され、宛先IPアドレスの範囲が縦軸に示される。送信元IPアドレス及び宛先IPアドレスの各値は10進法に変換されてグラフにプロットされる。
設定名「ACL#1」〜「ACL#4」の各ルールは、送信元IPアドレスの範囲が宛先IPアドレスの範囲より広いため、横軸方向に延びた領域として表示される。また、設定名「ACL#5」〜「ACL#7」の各ルールは、宛先IPアドレスの範囲が送信元IPアドレスの範囲より広いため、縦軸方向に延びた領域として表示される。
したがって、この技術によると、複数のルールを示す領域が狭い領域内に複雑に表示されてしまうため、各ルール間の送信元IPアドレス及び宛先IPアドレスの重複範囲を確認することが困難である。このため、セキュリティポリシーの正当性の検証が容易ではない。
そこで、実施例のネットワーク管理装置は、ACL900内の各ルールの送信元IPアドレス及び宛先IPアドレスの全体の範囲を、PECと呼ばれるアドレスの集合に分割し、PEC単位の処理を行うことにより各ルールの処分とルール間のアドレス範囲の包含関係の画像データを出力する。PECは、互いに範囲が重複しないアドレスの集合であり、ACL900内の各ルールの送信元IPアドレス及び宛先IPアドレスの範囲を表すための要素として用いられる。
以下にPECの例を挙げて説明する。なお、以下の説明において、アドレス範囲とは、送信元IPアドレス及び宛先IPアドレスの各範囲から確定されるアドレス空間の範囲を意味する。
図2は、PECの生成例を示す図である。ネットワーク管理装置は、その管理対象のネットワーク全体に含まれるファイアウォール#1,#2の各ACL901,902からPECを生成する。
ネットワーク管理装置は、各ACL901,902から最も範囲の広い送信元IPアドレス「0.0.0.0/0」及び宛先IPアドレス「ANY(全アドレスの意味)」(ファイアウォール#1,#2)をアドレス範囲の全体集合(アドレス空間全体であるUniverse)として定義する。ネットワーク管理装置は、符号903で示されるように、ACL901,902内の各ルール間のアドレス範囲の包含関係を解析し、解析結果からPEC{A}〜{D}を生成する。
ネットワーク管理装置は、矢印で示されるように、各ルールのアドレス範囲の全体集合[[0.0.0.0/0,*]](*:Don’t care)には、その次に範囲の広い送信元IPアドレス「0.0.0.0/24」及び宛先IPアドレス「ANY」(ファイアウォール#2)のアドレス範囲[[0.0.0.0/24,*]]が含まれることを検出する。また、ネットワーク管理装置は、矢印で示されるように、そのアドレス範囲[[0.0.0.0/24,*]]には、送信元IPアドレス「0.0.0.96/28」及び宛先IPアドレス「0.0.0.32/30」(ファイアウォール#1)のアドレス範囲[[0.0.0.96/28, 0.0.0.32/30]]が包含されることを検出する。
さらに、ネットワーク管理装置は、矢印で示されるように、上記のアドレス範囲[[0.0.0.0/24,*]]には、送信元IPアドレス「0.0.0.64/28」及び宛先IPアドレス「0.0.0.64/30」(ファイアウォール#2)のアドレス範囲[[0.0.0.64/28, 0.0.0.64/30]]が包含されることを検出する。ここで、アドレス範囲[[0.0.0.96/28, 0.0.0.32/30]]とアドレス範囲[[0.0.0.64/28, 0.0.0.64/30]]は、重複範囲がないため、互いに素な集合である。ネットワーク管理装置は、上記のアドレス範囲の包含関係に基づいて互いに素な集合としてPEC{A}〜{D}を生成する。
符号904は、ACL901,902内の各ルールのアドレス範囲の包含関係を示すベン図である。PEC{A}〜{D}は互いに異なる種類のハッチングにより区別される。各ルールのアドレス範囲の集合を確定する線は、PEC{A}〜{D}の境界線である。
各ルールのアドレス範囲を含む全体集合[[0.0.0.0/0,*]]には、PEC{A}〜{D}が含まれている。また、アドレス範囲[[0.0.0.0/24,*]]にはPEC{B}〜{D}が含まれている。また、互いに素な集合であるアドレス範囲[[0.0.0.96/28, 0.0.0.32/30]]とアドレス範囲[[0.0.0.96/28, 0.0.0.32/30]]は、それぞれ、PEC{C}及び{D}に一致する。
PEC{A}=[[0.0.0.0/0,*]]- [[0.0.0.0/24,*]] ・・・(1)
PEC{B}=[[0.0.0.0/24,*]]- [[0.0.0.64/28, 0.0.0.64/30]]
- [[0.0.0.96/28, 0.0.0.32/30]] ・・・(2)
PEC{C}=[[0.0.0.64/28, 0.0.0.64/30]] ・・・(3)
PEC{D}=[[0.0.0.96/28, 0.0.0.32/30]] ・・・(4)
したがって、ネットワーク管理装置は、上記の式(1)〜(4)に従ってPEC{A}〜{D}を生成する。式(1)及び(2)において、「-」は、あるアドレス範囲から他のアドレス範囲を差し引くことを意味する。このため、PECは、あるIPアドレスのプレフィックス(「/30」,「/24」など)の範囲から他のIPアドレスのプレフィックスの範囲を差し引いたものとして表現することができる。
このように、ネットワーク管理装置は、各ルールのアドレス範囲の全体集合を、各ルールの間のアドレス範囲の包含関係に基づき複数のPECに分割する。なお、複数のPECは互いに素な複数の部分集合の一例である。
このため、ネットワーク管理装置は、各ルールのアドレス範囲を1以上のPECの集合として扱うことができるので、各ルール間のアドレス範囲の包含関係を容易に判定することができる。また、ネットワーク管理装置は、アドレス範囲の包含関係の情報を画面に出力することにより、ユーザは容易にセキュリティポリシーの正当性を容易に検証することができる。
図3は、ネットワークシステムの一例を示す構成図である。ネットワークシステムは、ネットワーク管理装置1と、ファイアウォール21,22とを含む。ネットワーク管理装置1は、イントラネット80を介しファイアウォール21,22に接続されている。ネットワーク管理装置1とファイアウォール21,22は、有線または無線の通信手段により通信する。なお、ファイアウォール21,22はネットワーク機器の一例であるが、ネットワーク機器としては、これに限定されず、例えばルータなどが用いられてもよい。
ファイアウォール21は、拠点#1に設けられ、拠点#1のサブネットワーク81と接続されている。ファイアウォール22は拠点#2に設けられ、拠点#2のサブネットワーク82と接続されている。一例として、拠点#1のサブネットワーク81ではIPアドレス「10.45.128.0」〜「10.45.232.0」が用いられ、拠点#2のサブネットワーク82ではIPアドレス「10.56.64.0」〜「10.56.148.0」が用いられる。
ファイアウォール21は、拠点#2のサブネットワーク82からイントラネット80を介してサブネットワーク81に送信されたパケットPKTをACLにより規制する。ファイアウォール22は、拠点#1のサブネットワーク81からイントラネット80を介してサブネットワーク82に送信されたパケットPKTをACLにより規制する。なお、パケットPKTとしてはIPパケットが挙げられるが、これに限定されず、イーサネット(登録商標)フレームが用いられてもよい。
符号Uは、ファイアウォール22の構成の一例を示す。なお、他方のファイアウォール21もファイアウォール22と同様の構成を有する。
ファイアウォール22は、CPU(Central Processing Unit)30、ROM(Read Only Memory)31、RAM(Random Access Memory)32、HDD(Hard Disk Drive)33、及び通信ポート34,35を有する。CPU30は、互いに信号の入出力ができるように、ROM31、RAM32、HDD33、及び通信ポート34,35と、バス39を介して接続されている。
ROM31は、CPU30を駆動するプログラムが格納されている。RAM32は、CPU30のワーキングメモリとして機能する。通信ポート34はサブネットワーク82との通信を処理し、通信ポート35はイントラネット80を介したネットワーク管理装置1及びサブネットワーク81との通信を処理する。通信ポート34,35は、例えば無線LAN(Local Area Network)カードやNIC(Network Interface Card)である。
HDD33は、記憶部の一例であり、上述したように、パケットPKTのアドレス範囲に基づき通信をそれぞれ規制する複数のルールを含むACL330を記憶する。CPU30は、制御部の一例であり、ACL330内の各ルールに従ってパケットPKTによる通信を規制する。
CPU30は、通信ポート35から入力されたパケットPKTの送信元IPアドレス及び宛先IPアドレスが何れかのルールの条件を満たした場合、そのルールのアクションに従ってパケットPKTを通過させるか、廃棄する。
ネットワーク管理装置1は、ファイアウォール21,22に対してACL330を要求する(「ACL要求」参照)。ファイアウォール21,22は、その要求に応じてACL330の情報(「ACL情報」参照)をネットワーク管理装置1に送信する。
図4は、ネットワーク管理装置1の一例を示す構成図である。ネットワーク管理装置1は、CPU10、ROM11、RAM12、ストレージ13、通信ポート14、入力装置15、及び表示装置16を有する。CPU10は、互いに信号の入出力ができるように、ROM11、RAM12、ストレージ13、通信ポート14、入力装置15、及び表示装置16と、バス19を介して接続されている。なお、CPU10はコンピュータの一例である。
ROM11は、CPU10を駆動するプログラムが格納されている。プログラムには、ネットワーク管理方法を実行するためのネットワーク管理プログラムが含まれる。RAM12は、CPU10のワーキングメモリとして機能する。通信ポート14は、例えば無線LANカードやNICであり、ファイアウォール21,22との通信を処理する。
入力装置15は、ネットワーク管理装置1に情報を入力する装置である。入力装置15としては、例えばキーボード、マウス、及びタッチパネルなどが挙げられる。入力装置15は、入力された情報を、バス19を介しCPU10に出力する。
表示装置16は、ネットワーク管理装置1の情報を出力する装置である。表示装置16としては、例えばディスプレイ及びタッチパネルなどが挙げられる。表示装置16は、CPU10からバス19を介して情報を取得して出力する。
CPU10は、ROM11からプログラムを読み込むと、機能として、ACL取得部100、PEC生成部101、PEC抽出部102、ルール処分決定部103、画像データ出力部104、及び操作入力処理部105が形成される。なお、ACL取得部100、PEC生成部101、PEC抽出部102、ルール処分決定部103、画像データ出力部104、及び操作入力処理部105は、例えばFPGA(Field Programmable Gate Array)やASIC(Application Specified Integrated Circuit)などのハードウェアから構成される回路であってもよい。
また、ストレージ13には、ACL情報データベース(DB)130、PECデータベース131、及びACL情報管理テーブル132が格納されている。なお、ストレージ13は、ネットワーク管理装置1とは独立して設けられてもよい。
ACL取得部100は、通信ポート14を介してファイアウォール21,22からACL情報を取得する。すなわち、ACL取得部100は、取得部の一例であり、通信をそれぞれ規制する複数のルールを取得する。ACL取得部100は、ACL情報をACL情報DB130に登録する。ACL取得部100は、ACL情報の登録が終了すると、その旨をPEC生成部101に通知する。PEC生成部101は通知に応じて処理を開始する。
図5は、ACL情報DB130の一例を示す図である。ACL情報DB130は、ファイアウォール21,22ごとにACL情報を格納する。
ACL情報DB130には、拠点#1のファイアウォール21について設定名「FW1−1」〜「FW1−5」のルールが登録され、拠点#2のファイアウォール22について設定名「FW2−1」〜「FW2−4」のルールが登録されている。拠点#1のファイアウォール21のACL情報では、設定名「FW1−1」のルールの優先度が最も高く、設定名「FW1−5」のルールの優先度が最も低い。拠点#2のファイアウォール22のACL情報では、設定名「FW2−1」のルールの優先度が最も高く、設定名「FW2−5」のルールの優先度が最も低い。
再び図4を参照すると、PEC生成部101は、ACL情報DB130から複数のPECを生成する。PECの生成手段は、上述した通りである。すなわち、PEC生成部101は、分割部の一例であり、ACL情報DBに登録された各ルールのアドレス範囲の全体集合を、各ルール間のアドレス範囲の包含関係に基づき複数のPECに分割する。
PEC生成部101は、PECの情報をPEC−DB131に登録する。PEC生成部101は、PECの情報の登録が終了すると、その旨をPEC抽出部102に通知する。PEC抽出部102は通知に応じて処理を開始する。
図6は、PEC−DB131の一例を示す図である。本例のPEC−DB131は、図5のACL情報DB130から生成されたPECが登録される。例えばPEC−DB131には、各PECを識別するためのPEC番号と、そのPEC番号のPECに該当するアドレス範囲とが登録されている。アドレス範囲は、上記の式(1)〜(4)と同様の形式で登録されている。
再び図4を参照すると、PEC抽出部102は、抽出部の一例であり、ACL情報DB130の各ルールについて、PEC−DB131内の各PECからアドレス範囲に含まれる1以上のPECを抽出する。図2の例を挙げると、PEC抽出部102は、送信元IPアドレス「0.0.0.0/0」及び宛先IPアドレス「ANY」のルールについて、そのアドレス範囲に含まれるPEC{A}〜{D}を抽出する。
また、PEC抽出部102は、送信元IPアドレス「0.0.0.0/24」及び宛先IPアドレス「ANY」のルールについて、そのアドレス範囲に含まれるPEC{B}〜{D}を抽出する。さらに、PEC抽出部102は、送信元IPアドレス「0.0.0.64/28」及び宛先IPアドレス「0.0.0.64/30」のルールについて、そのアドレス範囲に含まれるPEC{C}を抽出し、送信元IPアドレス「0.0.0.96/28」及び宛先IPアドレス「0.0.0.32/30」のルールについて、そのアドレス範囲に含まれるPEC{D}を抽出する。
また、PEC抽出部102は、PEC−DB131から各ルールの優先度及びアクションの情報を取得する。PEC抽出部102は、各ルールの設定名、優先度、アクション、及び抽出したPECをACL情報管理テーブル132に登録する。PEC抽出部102は、登録が完了すると、その旨をルール処分決定部103に通知する。ルール処分決定部103は通知に応じて処理を開始する。
図7は、ACL情報管理テーブル132の一例を示す図である。本例のACL情報管理テーブル132は、図5のACL情報DB130と図6のPEC−DB131に基づく。ACL情報管理テーブル132には、各ルールの設定名、優先度(番号が大きいほど高い)、及びアクションと、そのルールのアドレス範囲に含まれる1以上のPECの各PEC番号とが登録されている。
ACL情報管理テーブル132は、拠点#1,#2ごとのファイアウォール21,22ごとに上記の各情報が記憶されている。例えば、ファイアウォール21について、設定名「FW1−1」のルールの優先度及びアクションはそれぞれ「1」及び「拒否」であり、そのアドレス範囲にはPEC番号「2」,「3」,「8」,「9」,「16」,「17」,「25」,「26」の各PECが含まれる。また、ファイアウォール22について、設定名「FW2−1」のルールの優先度及びアクションはそれぞれ「1」及び「拒否」であり、そのアドレス範囲にはPEC番号「3」,「9」,「17」,「26」の各PECが含まれる。
ルール処分決定部103は、決定部の一例であり、ACL情報DB130内の各ルールについて、各ルールより優先度が高い他のルールとの間でPECの包含関係を判定し、その判定結果に基づいて各ルールの処分を決定する。ルール処分決定部103は、ルールの処分として、ルールの維持、削除、及び確認/修正(確認と修正)の何れかを決定する。ここで、確認/修正とは、ユーザにルールの設定内容を確認させ、その確認結果に応じて修正することを意味する。
ルール処分決定部103は、ACL情報管理テーブル132に基づいてルールの処分を決定する。例えば、ルール処分決定部103は、ルールごとのPECを参照することにより、各ルールのアドレス範囲の全てが、そのルールより優先度の高い他のルールのアドレス範囲に含まれると判定した場合、アクションが共通であれば、無駄な重複設定と判断し、ルールの削除を決定する。ルール処分決定部103は、全てのルールの処分の決定が完了すると、各ルールの処分とPECの包含関係の情報を画像データ出力部104に出力する。画像データ出力部104は、情報の入力に応じて処理を開始する。
画像データ出力部104は、出力部の一例であり、各ルールの処分及びPECの包含関係を示す画像データを表示装置16に出力する。表示装置16は、画像データに基づいて画像を表示する。このため、ユーザは、表示装置16の画像から各ルールの処分を確認することができるだけでなく、各ルール間のアドレス範囲の包含関係をPEC単位で視覚的に確認することができる。
操作入力処理部105は、ユーザの入力装置15の操作入力に応じた操作入力情報を画像データ出力部104に出力する。画像データ出力部104は、操作入力情報に応じて画像を変化させる。これにより、画像データ出力部104及び操作入力処理部105は、ユーザにGUI(Graphical User Interface)を提供する。
次にネットワーク管理装置1の処理を説明する。
図8は、ネットワーク管理装置1の処理の一例を示すフローチャートである。本処理は、ネットワーク管理プログラムにより実行される。
ACL取得部100は、ファイアウォール21,22からACL情報をそれぞれ取得する(ステップSt1)。ACL情報はACL情報DB130に登録される。
次に、PEC生成部101は、ACL情報DB130内の各ルールのアドレス範囲からPECを生成する(ステップSt2)。PECは、PEC番号が付与されてPEC−DB131に登録される。
次に、PEC抽出部102は、各ルールのアドレス範囲に含まれるPECをPEC−DB131から抽出する(ステップSt3)。次に、PEC抽出部102は、ACL情報DB130から各ルールの優先度及びアクションを取得する(ステップSt4)。次に、PEC抽出部102は、抽出したPECのPEC番号、優先度、及びアクションをルールごとにACL情報管理テーブル132に登録する(ステップSt5)。
次に、ルール処分決定部103は、ACL情報管理テーブル132から1つのルールを選択する(ステップSt6)。次に、ルール処分決定部103は、選択中のルールについて処分を決定する処理(ルール処分決定処理)を実行する(ステップSt7)。ルール処分決定処理の内容は後述する。
次に、ルール処分決定部103は、ACL情報DB130内の未選択のルールの有無を判定する(ステップSt8)。ルール処分決定部103は、未選択のルールが有る場合(ステップSt8のYes)、未選択の他のルールを選択して(ステップSt6)、選択中のルールについて再びステップSt7の処理を実行する。
また、未選択のルールが無い場合(ステップSt8のNo)、画像データ出力部104は、各ルールの処分及びPECによるアドレス範囲の包含関係を示す画像データを表示装置16に出力する(ステップSt9)。このようにして、ネットワーク管理装置1は処理を実行する。
図9は、ルール処分決定処理の一例を示すフローチャートである。本処理は、図8のステップSt7において実行される。また、以下の説明では、各ルールのアドレス範囲に含まれるPECを、そのアドレス範囲を構成する「構成PEC」と表記する。本処理では、優先度が異なるルール間で構成PEC及びアクションが比較されるが、比較対象は共通のファイアウォール21,22のルール同士である。
ルール処分決定部103は、選択中のルールの何れかの構成PECが、そのルールより優先度が高い他のルール(上位側ルール)の構成PECに包含されるか否かを判定する(ステップSt21)。ルール処分決定部103は、選択中のルールの何れの構成PECも上位側ルールの構成PECに包含されない場合(ステップSt21のNo)、選択中のルールの処分として、維持を決定する(ステップSt22)。
このように、ルール処分決定部103は、選択中のルールのアドレス範囲に上位側ルールのアドレス範囲と重複する部分が全くなければ、選択中のルールにより上位側ルールから独立した条件で通信を規制することができると判断し、ルールの維持を決定する。その後、ルール処分決定部103は処理を終了する。
また、ルール処分決定部103は、選択中のルールの何れかの構成PECが上位側ルールの構成PECに包含される場合(ステップSt21のYes)、全ての構成PECが上位側ルールの構成PECに包含されるか否かを判定する(ステップSt23)。このとき、例えば、ルール処分決定部103は、選択中のルールの全ての構成PECを包含する構成の上位側ルールの有無を判定する。ルール処分決定部103は、全ての構成PECが包含される場合(ステップSt23のYes)、選択中のルールと上位側ルールの間でアクションを比較する(ステップSt27)。このとき、該当する上位側ルールが複数存在する場合、選択中のルールと全ての上位側ルールとの間でアクションが比較される。
ルール処分決定部103は、各ルールのアクションが一致した場合(ステップSt27のYes)、選択中のルールの処分として、削除を決定する(ステップSt28)。
このように、ルール処分決定部103は、各ルールについて、全ての構成PECが上位側ルールの構成PECに包含されると判定した場合、アクションが上位側ルールのアクションに一致するとき、処分として、ルールの削除を決定する。このため、ネットワーク管理装置1は、上位側ルールと重複する無駄なルールの削除をユーザに推奨することができる。
また、ルール処分決定部103は、各ルールのアクションが一致しなかった場合(ステップSt27のNo)、選択中のルールの処分として、ルールの設定内容の確認と修正を決定する(ステップSt29)。
例えば、上位側ルールのアクションが「許可」であり、選択中のルールのアクションが「拒否」であっても、選択中のルールは優先度が低い(つまり下位側である)ため、そのアクションがパケットに適用されることがない。しかし、このような場合、選択中のルールに設定誤りの可能性があるため、ユーザはルールの設定内容を確認した上でルールを修正することが望ましい。
ルール処分決定部103は、上記のように、各ルールについて、全ての構成PECが上位側ルールの構成PECに包含されると判定した場合、アクションが上位側ルールのアクションに一致しないとき、処分として、ルールの修正を決定する。このため、ネットワーク管理装置1は、設定誤りの可能性がある矛盾したルールの修正をユーザに推奨することができる。
また、ルール処分決定部103は、選択中のルールの一部の構成PECだけが包含される場合(つまり、上位側ルールの構成PECに包含されない構成PECが有る場合)(ステップSt23のNo)、選択中のルールと上位側ルールの間でアクションを比較する(ステップSt24)。このとき、該当する上位側ルールが複数存在する場合、選択中のルールと全ての上位側ルールとの間でアクションが比較される。
ルール処分決定部103は、各ルールのアクションが一致しなかった場合(ステップSt24のNo)、選択中のルールの処分として、その設定内容の確認と修正を決定する(ステップSt26)。
例えば、上位側ルールのアクションが「許可」であり、選択中のルールのアクションが「拒否」であっても、選択中のルールは優先度が低いため、互いに重複するアドレス範囲内の送信元IPアドレス及び宛先IPアドレスのパケットには、そのアクションが適用されることがない。しかし、このような場合、選択中のルールに設定誤りの可能性があるため、ユーザはルールの設定内容を確認した上でルールを修正することが望ましい。
ルール処分決定部103は、上記のように、各ルールについて、一部の構成PECが上位側ルールの構成PECに包含されないと判定した場合、アクションが上位側ルールのアクションに一致しないとき、処分として、ルールの修正を決定する。このため、ネットワーク管理装置1は、設定誤りの可能性がある矛盾したルールの修正をユーザに推奨することができる。
また、ルール処分決定部103は、各ルールのアクションが一致した場合(ステップSt24のYes)、選択中のルールの処分として、維持を決定する(ステップSt25)。
例えば、上位側及び選択中の各ルールのアクションがともに「許可」であっても、互いに重複しないアドレス範囲内の送信元IPアドレス及び宛先IPアドレスのパケットには、選択中のルールのアクションが適用される。このような場合、選択中のルールによって、上位側のルールとは異なる条件で同じアクションが可能である。
このようにして、ルール処分決定処理は実行される。以下に、図7のACL情報管理テーブル132を例に挙げて、ルール処分決定処理による処分の決定例を説明する。
(第1例)
本例では、ルール処分決定部103が設定名「FW1−1」のルールを選択したと仮定する。ルール処分決定部103は、そのルールの構成PECが上位側ルールの構成PECに包含されるか否かを判定する(ステップSt21)。
しかし、選択中のルールは、優先度が「1」であるため、上位側ルールは存在しない。このため、ルール処分決定部103は、設定名「FW1−1」のルールの何れの構成PECも上位側ルールの構成PECに包含されないと判定し(ステップSt21のNo)、そのルールの維持を決定する(ステップSt22)。
(第2例)
本例では、ルール処分決定部103が設定名「FW1−2」のルールを選択したと仮定する。ルール処分決定部103は、そのルールの何れかの構成PECが設定名「FW1−1」のルールの構成PECに包含されるか否かを判定する(ステップSt21)。
設定名「FW1−2」のルールのアドレス範囲は、PEC番号「3」,「9」,「17」,「26」の各構成PECにより構成される。また、設定名「FW1−1」のルールのアドレス範囲は、PEC番号「2」,「3」,「8」,「9」,「16」,「17」,「25」,「26」の各構成PECにより構成される。
このため、設定名「FW1−2」,「FW1−1」の各ルール間において、PEC番号「3」,「9」,「17」,「26」の各構成PECが共通する。つまり、設定名「FW1−2」のルールの全ての構成PECは、上位側である設定名「FW1−1」のルールの構成PECに包含される。
したがって、ルール処分決定部103は、設定名「FW1−2」のルールの何れかの構成PECが設定名「FW1−1」のルールの構成PECに包含されると判定する(ステップSt21のYes)。次に、ルール処分決定部103は、設定名「FW1−2」のルールの全ての構成PECが設定名「FW1−1」のルールの構成PECに包含されると判定する(ステップSt23のYes)。
次に、ルール処分決定部103は、設定名「FW1−2」,「FW1−1」の各ルールのアクション同士を比較する(ステップSt27)。設定名「FW1−2」のルールのアクションは「許可」であり、「FW1−1」のルールのアクションは「拒否」である。このため、ルール処分決定部103は、各アクションが一致しないと判定し(ステップSt27のNo)、設定名「FW1−2」のルールの確認と修正を決定する(ステップSt29)。
(第3例)
本例では、ルール処分決定部103が設定名「FW1−4」のルールを選択したと仮定する。ルール処分決定部103は、そのルールの何れかの構成PECが設定名「FW1−1」〜「FW1−3」の各ルールの構成PECに包含されるか否かを判定する(ステップSt21)。
設定名「FW1−4」のルールのアドレス範囲は、PEC番号「4」,「5」,「12」,「14」,「20」,「22」,「29」,「30」の各構成PECにより構成される。また、設定名「FW1−3」のルールのアドレス範囲は、PEC番号「4」,「14」,「22」,「30」の各構成PECにより構成される。
このため、設定名「FW1−4」,「FW1−3」の各ルール間において、PEC番号「4」,「14」,「22」,「30」の各構成PECが共通する。つまり、設定名「FW1−4」のルールの構成PECの一部は、上位側である設定名「FW1−3」のルールの構成PECに包含される。なお、設定名「FW1−4」のルールと設定名「FW1−1」,「FW1−2」の各ルールの間に共通する構成PECがない。
したがって、ルール処分決定部103は、設定名「FW1−4」のルールの何れかの構成PECが設定名「FW1−3」のルールの構成PECに包含されると判定する(ステップSt21のYes)。次に、ルール処分決定部103は、設定名「FW1−4」のルールの構成PECの一部だけが設定名「FW1−3」のルールの構成PECに包含されると判定する(ステップSt23のNo)。
次に、ルール処分決定部103は、設定名「FW1−4」,「FW1−3」の各ルールのアクション同士を比較する(ステップSt24)。設定名「FW1−4」,「FW1−3」の各ルールのアクションはともに「許可」である。このため、ルール処分決定部103は、各アクションが一致すると判定し(ステップSt24のYes)、設定名「FW1−4」のルールの維持を決定する(ステップSt25)。
(第4例)
本例では、ルール処分決定部103が設定名「FW2−3」のルールを選択したと仮定する。ルール処分決定部103は、そのルールの何れかの構成PECが設定名「FW2−1」,「FW2−2」の各ルールの構成PECに包含されるか否かを判定する(ステップSt21)。
設定名「FW2−3」のルールのアドレス範囲は、PEC番号「13」,「15」〜「20」,「22」の各構成PECにより構成される。また、設定名「FW2−1」のルールのアドレス範囲は、PEC番号「3」,「9」,「17」,「26」の各構成PECにより構成される。また、設定名「FW2−2」のルールのアドレス範囲は、PEC番号「1」,「7」〜「20」,「22」,「23」の各構成PECにより構成される。
このため、設定名「FW2−3」,「FW2−2」の各ルール間において、PEC番号「13」,「15」〜「20」,「22」の各構成PECが共通する。つまり、設定名「FW2−3」のルールの全ての構成PECは、上位側である設定名「FW2−2」のルールの構成PECに包含される。なお、設定名「FW2−3」,「FW2−1」の各ルール間では、PEC番号「17」の構成PECだけが共通する。
したがって、ルール処分決定部103は、設定名「FW2−3」のルールの何れかの構成PECが設定名「FW2−2」のルールの構成PECに包含されると判定する(ステップSt21のYes)。次に、ルール処分決定部103は、設定名「FW2−3」のルールの全ての構成PECが設定名「FW2−2」のルールの構成PECに包含されると判定する(ステップSt23のYes)。
次に、ルール処分決定部103は、設定名「FW2−3」,「FW2−2」の各ルールのアクション同士を比較する(ステップSt27)。設定名「FW2−3」のルールのアクションは「拒否」であり、設定名「FW2−2」のルールのアクションは「拒否」である。このため、ルール処分決定部103は、各アクションが一致すると判定し(ステップSt27のYes)、設定名「FW2−3」のルールの削除を決定する(ステップSt28)。
(第5例)
本例では、ルール処分決定部103が設定名「FW2−4」のルールを選択したと仮定する。ルール処分決定部103は、そのルールの何れかの構成PECが設定名「FW2−1」〜「FW2−3」の各ルールの構成PECに包含されるか否かを判定する(ステップSt21)。
設定名「FW2−4」のルールのアドレス範囲は、PEC番号「7」〜「30」の各構成PECにより構成される。このため、設定名「FW2−4」,「FW2−2」の各ルール間において、PEC番号「7」〜「20」,「22」,「23」の各構成PECが共通し、設定名「FW2−4」,「FW2−3」の各ルール間において、PEC番号「13」,「15」〜「20」,「22」の各構成PECが共通する。設定名「FW2−4」,「FW2−1」の各ルール間において、PEC番号「9」,「17」,「26」の各構成PECが共通する。つまり、設定名「FW2−4」のルールの一部の構成PECは、上位側である設定名「FW2−1」〜「FW2−3」の各ルールの構成PECに包含される。
したがって、ルール処分決定部103は、設定名「FW2−4」のルールの何れかの構成PECが設定名「FW2−1」〜「FW2−3」の各ルールの構成PECに包含されると判定する(ステップSt21のYes)。次に、ルール処分決定部103は、設定名「FW2−4」のルールの構成PECの一部だけが設定名「FW2−1」〜「FW2−3」の各ルールの構成PECに包含されると判定する(ステップSt23のNo)。
次に、ルール処分決定部103は、設定名「FW2−4」のルールのアクションと設定名「FW2−1」〜「FW2−3」の各ルールのアクションを比較する(ステップSt24)。設定名「FW2−4」のルールのアクションは「許可」であり、設定名「FW2−1」〜「FW2−3」の各ルールのアクションは「拒否」である。このため、ルール処分決定部103は、各アクションが一致しないと判定し(ステップSt24のNo)、設定名「FW2−4」のルールの確認と修正を決定する(ステップSt26)。
このように、ルール処分決定部103は、各ルールより優先度が高い他のルールとの間で構成PECの包含関係を判定し、さらに、そのルールとの間でアクションを比較し、包含関係の判定結果とアクションの比較結果に基づいて各ルールの処分を決定する。このため、ネットワーク管理装置1は、優先度を考慮して、各ルール間のアドレス範囲の包含関係だけでなく、アクションの一致または不一致に応じて適切な処分を決定することができる。
また、本例において、各ルールには、「許可」と「拒否」の2種類のアクションが含まれているが、ファイアウォール21,22の種類によっては「許可」及び「拒否」の一方のアクションだけが各ルールに設定可能である場合も考えられる。この場合、例えば、各ルールには「許可」だけが設定されると、各ルールのアドレス範囲の条件を満たさないパケットは明示的に「拒否」対象に該当するとみなされ、廃棄される。
アクションが1種類だけである場合、ルール処分決定部103は、選択中のルールと上位側ルールの各アクションを比較せずに選択中のルールの処分を決定する。このため、上記のステップSt24,St27の処理は行われない。したがって、ルール処分決定部103は、ステップSt23の判定処理において、「No」と判定したとき、選択中のルールの維持を決定し(ステップSt25)、「Yes」と判定したとき、選択中のルールの削除を決定する(ステップSt28)。
このように、ルール処分決定部103は、各ルールより優先度が高い他のルールとの間で構成PECの包含関係を判定し、その判定結果に基づいて各ルールの処分を決定する。このため、ルール処分決定部103は、優先度を考慮して、各ルール間のアドレス範囲の包含関係に応じて適切な処分を決定することができる。
画像データ出力部104は、ルール処分決定処理により決定された各ルールの処分とその処理中に判定されたルール間の構成PECの包含関係を示す画像データを表示装置16に出力する。表示装置16は、その画像データを画面に表示する。以下に画面の表示例を説明する。
図10は、表示装置16の画面の表示例を示す図である。表示装置16の画面には、上述したようにGUIが提供される。
符号40は、ファイアウォール21のACL330内の各ルールとその処分を表示するウィンドウの一例を示す。符号400,401のマークは、一例として、ルールの維持及び確認と修正をそれぞれ示す。本例において、設定名「FW1−2」のルールには確認と修正の処分が推奨され、その他の各ルールには維持の処分が推奨されている。なお、削除の処分について、図示は省略するが、他の処分と同様にマークが表示される。
また、ウィンドウ40の最下行には、構成PECを表示する「PEC」欄が設けられている。ユーザが、例えばマウスなどのポインティングデバイスにより、設定名「FW1−2」のルールの欄(点線枠参照)をクリックすると、ウィンドウ41が表示される。
ウィンドウ41の最下行には、クリックした設定名「FW1−2」のルールのアドレス範囲を構成する構成PECのPEC番号の一覧が表示される。このため、ユーザは、構成PECを単位としてアドレス範囲を確認することができる。
また、ユーザが、ポインティングデバイスによりPEC番号の欄をクリックすると、そのPEC番号の構成PECを視覚的に確認可能なサブウィンドウ411が表示される。例えばPEC番号「26」の欄がクリックされると、サブウィンドウ411内の斜線のハッチング領域がPEC番号「26」の構成PECのアドレス領域として表示される。
また、ウィンドウ41内の各ルールの欄がポインティングデバイスによりクリックされると、そのルールの設定内容が表示される。例えば、ユーザが設定名「FW1−2」のルールの欄(点線枠参照)がクリックされると、「FW1−2 0.0.0.0/0 10.56.64.0/24 許可」と表示される。
また、各ルールの欄の横には、そのルールのアクションが「〇」(許可)及び「×」(拒否)で表示される。ウィンドウ40においてクリックされた設定名「FW1−2」のルールのアクションは「許可」であるため、「〇」が表示される。また、設定名「FW1−2」のルールの構成PECを包含する設定名「FW1−1」のルールのアクションが、「×」で表示される。
なお、PECの欄の1つ上の行には、ACL330に設定されていないアドレス群として、「Others」の欄が設けられている。ファイアウォール21,22は、未設定のアドレス範囲のパケットを廃棄するため、「Others」のアクションの欄には「×」が表示される。
また、設定名「FW1−1」のルールのアクションの欄412には、設定名「FW1−2」のルールの構成PECを含むことを意味する斜線が表示されている。このため、ユーザは、各ルール間の構成PECの包含関係を確認することができる。
このように、画像データ出力部104は、各ルールの処分及び構成PECの包含関係を示す画像データを出力する。各構成PECは互いに素な集合であるため、ユーザは、ネットワークの専門知識がなくても、ルールの処分を確認した上で各ルール間のアドレス範囲の重複を視覚的に容易に確認することができる。
したがって、本例のネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステムによると、ネットワーク機器のセキュリティポリシーの正当性を容易に検証することができる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体(ただし、搬送波は除く)に記録しておくことができる。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形して実施可能である。
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する取得部と、
前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、
前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、
前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、
前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有することを特徴とするネットワーク管理装置。
(付記2) 前記複数のルールの各々には、前記パケットによる通信の許可または拒絶を示す動作設定が含まれ、
前記決定部は、前記複数のルールの各々について、前記ルールより優先度が高い前記他のルールとの間で前記1以上の部分集合の包含関係を判定し、さらに前記他のルールとの間で前記動作設定を比較し、前記包含関係の判定結果と前記動作設定の比較結果に基づいて前記複数のルールの各々の処分を決定することを特徴とする付記1に記載のネットワーク管理装置。
(付記3) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致するとき、前記処分として、前記ルールの削除を決定することを特徴とする付記2に記載のネットワーク管理装置。
(付記4) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記2または3に記載のネットワーク管理装置。
(付記5) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の一部が前記他のルールの前記1以上の部分集合に包含されないと判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記2乃至4の何れかに記載のネットワーク管理装置。
(付記6) パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する工程と、
前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する工程と、
前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する工程と、
前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する工程と
前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する工程とを、コンピュータが実行することを特徴とするネットワーク管理方法。
(付記7) 前記複数のルールの各々には、前記パケットによる通信の許可または拒絶を示す動作設定が含まれ、
前記複数のルールの各々の処分を決定する工程において、前記複数のルールの各々について、前記ルールより優先度が高い前記他のルールとの間で前記1以上の部分集合の包含関係を判定し、さらに前記他のルールとの間で前記動作設定を比較し、前記包含関係の判定結果と前記動作設定の比較結果に基づいて前記複数のルールの各々の処分を決定することを特徴とする付記6に記載のネットワーク管理方法。
(付記8) 前記複数のルールの各々の処分を決定する工程において、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致するとき、前記処分として、前記ルールの削除を決定することを特徴とする付記7に記載のネットワーク管理方法。
(付記9) 前記複数のルールの各々の処分を決定する工程において、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記7または8に記載のネットワーク管理方法。
(付記10) 前記複数のルールの各々の処分を決定する工程において、前記複数のルールの各々について、前記1以上の部分集合の一部が前記他のルールの前記1以上の部分集合に包含されないと判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記7乃至9の何れかに記載のネットワーク管理方法。
(付記11) パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得し、
前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割し、
前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出し、
前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、
前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定し、
前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する、処理を、コンピュータに実行させることを特徴とするネットワーク管理プログラム。
(付記12) 前記複数のルールの各々には、前記パケットによる通信の許可または拒絶を示す動作設定が含まれ、
前記複数のルールの各々の処分を決定する処理において、前記複数のルールの各々について、前記ルールより優先度が高い前記他のルールとの間で前記1以上の部分集合の包含関係を判定し、さらに前記他のルールとの間で前記動作設定を比較し、前記包含関係の判定結果と前記動作設定の比較結果に基づいて前記複数のルールの各々の処分を決定することを特徴とする付記11に記載のネットワーク管理プログラム。
(付記13) 前記複数のルールの各々の処分を決定する処理において、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致するとき、前記処分として、前記ルールの削除を決定することを特徴とする付記12に記載のネットワーク管理プログラム。
(付記14) 前記複数のルールの各々の処分を決定する処理において、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記12または13に記載のネットワーク管理プログラム。
(付記15) 前記複数のルールの各々の処分を決定する処理において、前記複数のルールの各々について、前記1以上の部分集合の一部が前記他のルールの前記1以上の部分集合に包含されないと判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記12乃至14の何れかに記載のネットワーク管理プログラム。
(付記16) ネットワーク管理装置とネットワーク機器とを含み、
前記ネットワーク機器は、
パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを記憶する記憶部と、
前記複数のルールに従って前記パケットによる通信を制御する制御部とを有し、
前記ネットワーク管理装置は、
前記ネットワーク機器から前記複数のルールを取得する取得部と、
前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、
前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、
前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、
前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有することを特徴とするネットワークシステム。
(付記17) 前記複数のルールの各々には、前記パケットによる通信の許可または拒絶を示す動作設定が含まれ、
前記決定部は、前記複数のルールの各々について、前記ルールより優先度が高い前記他のルールとの間で前記1以上の部分集合の包含関係を判定し、さらに前記他のルールとの間で前記動作設定を比較し、前記包含関係の判定結果と前記動作設定の比較結果に基づいて前記複数のルールの各々の処分を決定することを特徴とする付記16に記載のネットワークシステム。
(付記18) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致するとき、前記処分として、前記ルールの削除を決定することを特徴とする付記17に記載のネットワークシステム。
(付記19) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記17または18に記載のネットワークシステム。
(付記20) 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の一部が前記他のルールの前記1以上の部分集合に包含されないと判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする付記17乃至19の何れかに記載のネットワークシステム。
1 ネットワーク管理装置
21,22,90 ファイアウォール
10,30 CPU
33 HDD
100 ACL取得部
101 PEC生成部
102 PEC抽出部
103 ルール処分決定部
104 画像データ出力部
130 ACL情報データベース
131 PECデータベース
132 ACL情報管理テーブル
330,900 ACL

Claims (8)

  1. パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する取得部と、
    前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、
    前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、
    前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、
    前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有することを特徴とするネットワーク管理装置。
  2. 前記複数のルールの各々には、前記パケットによる通信の許可または拒絶を示す動作設定が含まれ、
    前記決定部は、前記複数のルールの各々について、前記ルールより優先度が高い前記他のルールとの間で前記1以上の部分集合の包含関係を判定し、さらに前記他のルールとの間で前記動作設定を比較し、前記包含関係の判定結果と前記動作設定の比較結果に基づいて前記複数のルールの各々の処分を決定することを特徴とする請求項1に記載のネットワーク管理装置。
  3. 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致するとき、前記処分として、前記ルールの削除を決定することを特徴とする請求項2に記載のネットワーク管理装置。
  4. 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の全てが前記他のルールの前記1以上の部分集合に包含されると判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする請求項2または3に記載のネットワーク管理装置。
  5. 前記決定部は、前記複数のルールの各々について、前記1以上の部分集合の一部が前記他のルールの前記1以上の部分集合に包含されないと判定した場合、前記動作設定が前記他のルールの前記動作設定に一致しないとき、前記処分として、前記ルールの修正を決定することを特徴とする請求項2乃至4の何れかに記載のネットワーク管理装置。
  6. パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得する工程と、
    前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する工程と、
    前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する工程と、
    前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する工程と
    前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する工程とを、コンピュータが実行することを特徴とするネットワーク管理方法。
  7. パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを取得し、
    前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割し、
    前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出し、
    前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、
    前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定し、
    前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する、処理を、コンピュータに実行させることを特徴とするネットワーク管理プログラム。
  8. ネットワーク管理装置とネットワーク機器とを含み、
    前記ネットワーク機器は、
    パケットのアドレスの範囲に基づき通信をそれぞれ規制する複数のルールを記憶する記憶部と、
    前記複数のルールに従って前記パケットによる通信を制御する制御部とを有し、
    前記ネットワーク管理装置は、
    前記ネットワーク機器から前記複数のルールを取得する取得部と、
    前記複数のルールの前記アドレスの範囲の全体集合を、前記複数のルールの間の前記アドレスの範囲の包含関係に基づき互いに素な複数の部分集合に分割する分割部と、
    前記複数のルールの各々について、前記複数の部分集合から前記アドレスの範囲に含まれる1以上の部分集合を抽出する抽出部と、
    前記複数のルールの各々について、該ルールより優先度が高い他のルールとの間で前記1以上の部分集合の包含関係を判定し、前記1以上の部分集合の包含関係の判定結果に基づいて前記複数のルールの各々の処分を決定する決定部と、
    前記複数のルールの各々の前記処分及び前記1以上の部分集合の包含関係を示す画像データを出力する出力部とを有することを特徴とするネットワークシステム。
JP2018036399A 2018-03-01 2018-03-01 ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム Active JP6962239B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018036399A JP6962239B2 (ja) 2018-03-01 2018-03-01 ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム
US16/286,732 US11323417B2 (en) 2018-03-01 2019-02-27 Network management apparatus, network management method, and non-transitory computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018036399A JP6962239B2 (ja) 2018-03-01 2018-03-01 ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム

Publications (2)

Publication Number Publication Date
JP2019153871A true JP2019153871A (ja) 2019-09-12
JP6962239B2 JP6962239B2 (ja) 2021-11-05

Family

ID=67768191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018036399A Active JP6962239B2 (ja) 2018-03-01 2018-03-01 ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム

Country Status (2)

Country Link
US (1) US11323417B2 (ja)
JP (1) JP6962239B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020162478A1 (ja) 2019-02-05 2020-08-13 凸版印刷株式会社 色変換情報生成方法、色変換情報生成システム及びプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311800B (zh) * 2020-11-02 2023-04-07 杭州安恒信息技术股份有限公司 一种区域访问控制的方法、系统、设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009105879A (ja) * 2007-08-08 2009-05-14 Mitsubishi Electric R & D Centre Europe Bv 電子デバイスにおけるセキュリティルールの衝突を管理する方法、コンピュータプログラム、及びセキュリティルールの衝突を管理することが可能な電子デバイス
US20090138960A1 (en) * 2007-10-26 2009-05-28 University Of Ottawa Control access rule conflict detection
JP2016071822A (ja) * 2014-10-02 2016-05-09 富士通株式会社 ファイアウォール設定プログラム,ファイアウォール設定方法及びファイアウォール設定システム
US20160191466A1 (en) * 2014-12-30 2016-06-30 Fortinet, Inc. Dynamically optimized security policy management

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US8074256B2 (en) * 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US10015140B2 (en) * 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US7792775B2 (en) * 2005-02-24 2010-09-07 Nec Corporation Filtering rule analysis method and system
JP4973223B2 (ja) * 2007-02-15 2012-07-11 富士通株式会社 ネットワーク再構成方法、ルータ、及びネットワーク再構成システム
JP2008219419A (ja) 2007-03-02 2008-09-18 Nec Corp アクセス制御設定支援システム
JP5441250B2 (ja) 2009-09-15 2014-03-12 Kddi株式会社 ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム
US8627448B2 (en) * 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
US8800021B1 (en) * 2011-06-29 2014-08-05 Juniper Networks, Inc. Hardware implementation of complex firewalls using chaining technique
US9705918B2 (en) * 2012-05-22 2017-07-11 Sri International Security mediation for dynamically programmable network
US9571523B2 (en) * 2012-05-22 2017-02-14 Sri International Security actuator for a dynamically programmable computer network
US10791136B2 (en) * 2017-03-20 2020-09-29 Fair Isaac Corporation System and method for empirical organizational cybersecurity risk assessment using externally-visible data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009105879A (ja) * 2007-08-08 2009-05-14 Mitsubishi Electric R & D Centre Europe Bv 電子デバイスにおけるセキュリティルールの衝突を管理する方法、コンピュータプログラム、及びセキュリティルールの衝突を管理することが可能な電子デバイス
US20090138960A1 (en) * 2007-10-26 2009-05-28 University Of Ottawa Control access rule conflict detection
JP2016071822A (ja) * 2014-10-02 2016-05-09 富士通株式会社 ファイアウォール設定プログラム,ファイアウォール設定方法及びファイアウォール設定システム
US20160191466A1 (en) * 2014-12-30 2016-06-30 Fortinet, Inc. Dynamically optimized security policy management

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020162478A1 (ja) 2019-02-05 2020-08-13 凸版印刷株式会社 色変換情報生成方法、色変換情報生成システム及びプログラム

Also Published As

Publication number Publication date
US20190273721A1 (en) 2019-09-05
JP6962239B2 (ja) 2021-11-05
US11323417B2 (en) 2022-05-03

Similar Documents

Publication Publication Date Title
US11770400B2 (en) Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network
US10742687B2 (en) Determining a device profile and anomalous behavior associated with a device in a network
US9553845B1 (en) Methods for validating and testing firewalls and devices thereof
CA3044909C (en) Computer network security configuration visualization and control system
US9769210B2 (en) Classification of security policies across multiple security products
US11310201B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US9680875B2 (en) Security policy unification across different security products
US9531757B2 (en) Management of security policies across multiple security products
RU2675147C1 (ru) Мультитуннельный адаптер виртуальной компьютерной сети
JP2021526275A (ja) Sddcのためのポリシー制約フレームワーク
JP4493654B2 (ja) ネットワーク間の通信のためのセキュリティ・チェック・プログラム
CN107005542A (zh) 用于保护网络装置的系统和方法
WO2019168192A1 (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP6962239B2 (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム、及びネットワークシステム
US10928987B2 (en) Presenting, at a graphical user interface (GUI), a constellation view of communications associated with node groups in a network
US11683248B2 (en) Increasing data availability
Ribeiro et al. A bottom-up approach for extracting network intents
JP6246885B1 (ja) 経路解析処理装置および経路解析処理プログラム
US20230319115A1 (en) Systems and methods for validating, maintaining, and visualizing security policies
JP2015154322A (ja) ファイアウォール装置の制御装置及びプログラム
Vijay et al. Anomaly detection system and resolution of anomalies for firewall policies
US9325741B2 (en) Method and system for evaluating access granted to dynamically provisioned virtual servers across endpoints in a network
US11184282B1 (en) Packet forwarding in a network device
US20230179623A1 (en) Breach path prediction and remediation
JP7326930B2 (ja) 探索プログラム、探索方法、および、情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210927

R150 Certificate of patent or registration of utility model

Ref document number: 6962239

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150