JP2020113869A - 転送装置 - Google Patents
転送装置 Download PDFInfo
- Publication number
- JP2020113869A JP2020113869A JP2019002642A JP2019002642A JP2020113869A JP 2020113869 A JP2020113869 A JP 2020113869A JP 2019002642 A JP2019002642 A JP 2019002642A JP 2019002642 A JP2019002642 A JP 2019002642A JP 2020113869 A JP2020113869 A JP 2020113869A
- Authority
- JP
- Japan
- Prior art keywords
- address
- transfer
- packet
- unit
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 258
- 238000004891 communication Methods 0.000 claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 description 25
- 238000000034 method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 230000004308 accommodation Effects 0.000 description 3
- 239000002184 metal Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/62—Establishing a time schedule for servicing the requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/168—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP] specially adapted for link layer protocols, e.g. asynchronous transfer mode [ATM], synchronous optical network [SONET] or point-to-point protocol [PPP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/323—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the physical layer [OSI layer 1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Abstract
Description
図1は、本実施例にかかるネットワーク構成例を示す説明図である。転送装置101は、ホワイトリスト機能を有する通信装置であり、インターネットなどのネットワーク100に通信可能に接続される。ホワイトリスト機能とは、ホワイトリスト110に登録されているパケット情報121を満たすパケットの転送を許可し、パケット情報121を満たさないパケットの転送を拒否する機能である。ホワイトリスト110とは、転送装置101による転送が許可されたパケットのパケット情報121の一覧である。パケット情報121は、送信元および宛先のアドレス情報を含む。
図2は、データの一例であるパケットを中継する転送装置101の構成例を示すブロック図である。転送装置101は、通信装置の一例である。転送装置101は、パケットの中継、およびホワイトリスト110の生成を実行する。転送装置101は、たとえば、複数のパケット受信部202、パケット転送部203、S/W(SoftWare)制御部204、複数のパケット送信部205、および入出力インタフェース206を含む回路構成である。
図3は、ホワイトリスト格納メモリ231に格納されるホワイトリスト110の一例を示す説明図である。図3の例では、ホワイトリスト110は、n個(nは0以上の整数)のエントリを含む。ホワイトリスト110の各エントリ310は、複数のパラメータを含むパケット情報121である。当該複数のパラメータの各々は、パケット受信部202から受信したパケットから転送先決定部232が抽出した制御情報またはヘッダ情報である。したがって、ホワイトリスト110の各エントリ310(パケット情報121)は、転送装置101により中継された正規なパケットを特定する正規情報である。すなわち、ホワイトリスト110に登録されたエントリにより、正規な通信経路が特定される。
図4は、追加リスト格納メモリ235に格納される追加リスト120の一例を示す説明図である。図4の例では追加リスト120はm個(mは0以上の整数)のエントリ400を含む。追加リスト120の各エントリ400は、複数のパラメータを含む。エントリ400は、追加リスト120に含まれるエントリの一例である。エントリ400は、たとえば、ホワイトリスト110に追加する端末情報を示すパラメータとして、MAC Address401(図1では、端末104のMACアドレス111)を含む。エントリ400は、たとえば、そのエントリ400が有効である期間を示すパラメータである有効時間402(図1では、端末104のMACアドレス111の有効時間112)を含む。たとえば、有効時間402は時間経過とともに減算されていき、0になるとエントリ400は削除される。
図6は、転送設定メモリ234が保持する転送設定情報の一例を示す説明図である。転送設定情報600は、たとえば、転送設定の種別を示す保持情報601、保持情報601の状態を示す保持内容602、および保持内容602の初期状態を示す初期状態603を含む。図6において、保持内容602を示す各セルには「/」で区切られた複数の値が記載されているが、実際には当該複数の値のいずれか1つが格納される。初期状態603には、対応する保持内容602に記載されている複数の値のいずれか1つが格納される。
図7は、転送設定プログラム244が入出力装置260から入力を受け付ける転送設定に関する命令一覧の一例を示す説明図である。転送設定に関する命令一覧700は、たとえば、命令の種別を示す命令種別701、命令種別701が示す命令による設定内容を示す設定内容702、および初期状態703を含む。入出力装置260から転送設定に関する命令一覧700が転送装置101に入力されると、転送装置101は、転送設定情報600を転送設定メモリ234に設定する。
図8は、転送装置101が追加リスト120にエントリ400を生成する動作を示すフローチャートである。転送装置101が入出力装置260からMACアドレスを通知されると、CPU410は、MACアドレスを追加リスト生成プログラム245に送信する(ステップS801)。
102〜105 端末
110 ホワイトリスト
120 追加リスト
121 パケット情報
130 転送テーブル
202 パケット受信部
203 パケット転送部
231 ホワイトリスト格納メモリ
232 転送先決定部
232A 判定部
232B 廃棄部
233 転送テーブルメモリ
234 転送設定メモリ
235 追加リスト格納メモリ
242 S/Wメモリ
243 ホワイトリスト生成プログラム
244 転送設定プログラム
245 追加リスト生成プログラム
260 入出力装置
232 転送先決定部
401 MACアドレス
402 有効時間
500 統合リスト
600 転送設定情報
Claims (9)
- 宛先アドレスと送信元アドレスとの間の通信が正規であることを示す正規情報を登録するホワイトリストを記憶する第1記憶部と、
前記正規情報に含まれていない特定のアドレスと前記特定のアドレスの有効時間とを含む追加リストを記憶する第2記憶部と、
データを受信する受信部と、
前記有効時間内に前記受信部によって受信されたデータに含まれている宛先アドレスおよび送信元アドレスのいずれか一方のアドレスが前記特定のアドレスであるか否かを判定する判定部と、
前記判定部によって前記有効時間内に前記いずれか一方のアドレスが前記特定のアドレスであると判定された場合、前記データに含まれる宛先アドレスと送信元アドレスとの間の通信が正規であることを示す特定の正規情報を生成して、前記ホワイトリストに登録する生成部と、
を有することを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記判定部は、前記特定の正規情報が前記ホワイトリストに登録されているか否かを判定し、前記特定の正規情報が前記ホワイトリストに登録されていない場合、前記有効時間内に前記いずれか一方のアドレスが前記特定のアドレスであるか否かを判定する、
ことを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記判定部によって前記いずれか一方のアドレスが前記特定のアドレスでないと判定された場合、または、前記有効時間が経過したと判定された場合、前記データを廃棄する廃棄部を有することを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記転送装置に接続されている通信装置のMACアドレスと前記通信装置と接続するポートのポート番号とを有する転送テーブルを記憶する第3記憶部と、
前記生成部によって生成された前記特定の正規情報が前記ホワイトリストに登録された場合、前記転送テーブルを参照して、前記データの転送先を決定する決定部と、
前記データを前記決定部によって決定された転送先に送信する送信部と、
を有することを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記転送装置の状態を、特定のネットワーク内での転送に制限して前記生成部によりホワイトリストを生成させる第1状態と、前記特定のネットワーク外の転送を許可する第2状態と、のいずれか一方の状態に設定する設定部を有し、
前記判定部は、前記設定部によって設定された前記第2状態において、前記有効時間内に前記いずれか一方のアドレスが前記特定のアドレスであるか否かを判定し、
前記生成部は、前記判定部によって前記有効時間内に前記いずれか一方のアドレスが前記特定のアドレスであると判定された場合、前記データに含まれる宛先アドレスと送信元アドレスとの間の通信が正規であることを示す特定の正規情報を前記有効時間内に生成して、前記ホワイトリストに登録する、
ことを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記ホワイトリストおよび前記追加リストは、同一の記憶デバイス内の記憶領域に、共通の項目群によって構成され、
前記共通の項目群は、前記ホワイトリストおよび前記追加リストの各エントリが、いずれのリストに属するかを示す第1項目と、前記正規情報を規定する第2項目と、前記有効時間を規定する第3項目と、を有し、
前記ホワイトリストのエントリは、前記第3項目に前記有効時間が無制限であることを示す値を保持し、
前記追加リストのエントリは、前記第2項目において送信元MACアドレスおよび宛先MACアドレスのうちいずれか一方のMACアドレスを規定し、かつ、前記いずれか一方のMACアドレス以外の他のパラメータは特定の値に限定されないことを示す値を保持する、
ことを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記特定のアドレスと前記特定のアドレスの有効時間とを生成して前記追加リストに記憶するプログラムを実行するプロセッサと、
前記プログラムを記憶する第3記憶部と、
前記判定部による判定を実行する回路と、を有し、
前記回路は、前記第2記憶部を含む、
ことを特徴とする転送装置。 - 請求項1に記載の転送装置であって、
前記特定のアドレスと前記特定のアドレスの有効時間とを生成して前記追加リストに記憶するプログラムを実行するプロセッサと、
前記プログラムおよび前記追加リストを記憶する第3記憶部と、を有し、
前記第3記憶部は、前記プログラムによって生成された前記特定のアドレスと前記特定のアドレスの有効時間とを前記追加リストに記憶する、
ことを特徴とする転送装置。 - 特定のアドレスと前記特定のアドレスの有効時間とを含む追加リストを記憶する記憶部と、
データを受信する受信部と、
前記有効時間内に前記受信部によって受信されたデータに含まれているアドレスが前記特定のアドレスであるか否かを判定する判定部と、
前記判定部によって前記特定のアドレスでないと判定された場合、または、前記有効時間が経過したと判定された場合、前記データを廃棄する廃棄部と、
前記判定部によって前記有効時間内に前記特定のアドレスであると判定された場合、前記データを前記データの転送先に送信する送信部と、
を有することを特徴とする転送装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019002642A JP7139252B2 (ja) | 2019-01-10 | 2019-01-10 | 転送装置 |
US16/713,210 US11102172B2 (en) | 2019-01-10 | 2019-12-13 | Transfer apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019002642A JP7139252B2 (ja) | 2019-01-10 | 2019-01-10 | 転送装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020113869A true JP2020113869A (ja) | 2020-07-27 |
JP2020113869A5 JP2020113869A5 (ja) | 2021-09-30 |
JP7139252B2 JP7139252B2 (ja) | 2022-09-20 |
Family
ID=71516933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019002642A Active JP7139252B2 (ja) | 2019-01-10 | 2019-01-10 | 転送装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11102172B2 (ja) |
JP (1) | JP7139252B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11876790B2 (en) * | 2020-01-21 | 2024-01-16 | The Boeing Company | Authenticating computing devices based on a dynamic port punching sequence |
JP7273759B2 (ja) * | 2020-03-19 | 2023-05-15 | 株式会社東芝 | 通信装置、通信方法、情報処理システムおよびプログラム |
JP2021190866A (ja) * | 2020-05-29 | 2021-12-13 | キヤノン株式会社 | 通信装置、無線接続方法、およびプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010045617A (ja) * | 2008-08-13 | 2010-02-25 | Nippon Telegr & Teleph Corp <Ntt> | ホワイトリストを利用したサーバ割り当てシステムおよびその方法 |
JP2014137661A (ja) * | 2013-01-16 | 2014-07-28 | Nec Infrontia Corp | セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム |
WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
JP2019179953A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | 情報処理システム、エッジ装置、および情報処理方法 |
JP2020017809A (ja) * | 2018-07-24 | 2020-01-30 | アラクサラネットワークス株式会社 | 通信装置及び通信システム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4283699B2 (ja) * | 2004-02-13 | 2009-06-24 | 株式会社日立製作所 | コンテンツ転送制御装置、コンテンツ配信装置およびコンテンツ受信装置 |
US9246939B2 (en) * | 2011-06-21 | 2016-01-26 | Telefonaktiebolaget L M Ericsson (Publ) | Preventing neighbor-discovery based denial of service attacks |
JP6114214B2 (ja) | 2014-02-25 | 2017-04-12 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
JP6433865B2 (ja) | 2015-08-26 | 2018-12-05 | アラクサラネットワークス株式会社 | 通信装置 |
-
2019
- 2019-01-10 JP JP2019002642A patent/JP7139252B2/ja active Active
- 2019-12-13 US US16/713,210 patent/US11102172B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010045617A (ja) * | 2008-08-13 | 2010-02-25 | Nippon Telegr & Teleph Corp <Ntt> | ホワイトリストを利用したサーバ割り当てシステムおよびその方法 |
JP2014137661A (ja) * | 2013-01-16 | 2014-07-28 | Nec Infrontia Corp | セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム |
WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
JP2019179953A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | 情報処理システム、エッジ装置、および情報処理方法 |
JP2020017809A (ja) * | 2018-07-24 | 2020-01-30 | アラクサラネットワークス株式会社 | 通信装置及び通信システム |
Non-Patent Citations (1)
Title |
---|
"プラント制御システムにおけるホワイトリスト型攻撃検知機能の可能性について", SCIS2016, JPN6022021853, 22 January 2016 (2016-01-22), JP, ISSN: 0004853540 * |
Also Published As
Publication number | Publication date |
---|---|
US20200228496A1 (en) | 2020-07-16 |
JP7139252B2 (ja) | 2022-09-20 |
US11102172B2 (en) | 2021-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5987902B2 (ja) | ネットワークシステム、コントローラ、及びパケット認証方法 | |
KR102586898B1 (ko) | 패킷 처리 방법 및 장치, 및 관련 디바이스들 | |
JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
US8769629B2 (en) | User sensitive filtering of network application layer | |
JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
US10931636B2 (en) | Method and system for restricting transmission of data traffic for devices with networking capabilities | |
US20200036682A1 (en) | Communication apparatus and communication system | |
US10965789B2 (en) | Method and system for updating a whitelist at a network node | |
JP2020113869A (ja) | 転送装置 | |
JP2021111396A (ja) | コンテナネットワークのためのセキュリティ | |
JP3232711B2 (ja) | ルータ中継装置 | |
CN111865876B (zh) | 网络的访问控制方法和设备 | |
US11128602B2 (en) | Efficient matching of feature-rich security policy with dynamic content using user group matching | |
JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
JP6330814B2 (ja) | 通信システム、制御指示装置、通信制御方法及びプログラム | |
US20200145379A1 (en) | Efficient matching of feature-rich security policy with dynamic content using incremental precondition changes | |
JP2007208575A (ja) | 不正トラフィック管理装置およびシステム | |
CN115865802B (zh) | 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 | |
US10965647B2 (en) | Efficient matching of feature-rich security policy with dynamic content | |
JP2002199003A (ja) | 移動端末位置登録方法及びその実施装置 | |
KR20100133859A (ko) | 분산 방화 장치 및 방법 | |
CN115914425A (zh) | 一种网桥透明代理方法、装置、存储介质及设备 | |
CN112866031A (zh) | 路由配置方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210820 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210820 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220607 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220715 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220823 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220907 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7139252 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |