JP3310851B2 - Filtering condition setting method for filtering device - Google Patents

Filtering condition setting method for filtering device

Info

Publication number
JP3310851B2
JP3310851B2 JP3953196A JP3953196A JP3310851B2 JP 3310851 B2 JP3310851 B2 JP 3310851B2 JP 3953196 A JP3953196 A JP 3953196A JP 3953196 A JP3953196 A JP 3953196A JP 3310851 B2 JP3310851 B2 JP 3310851B2
Authority
JP
Japan
Prior art keywords
filtering
address
application gateway
filtering device
condition setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP3953196A
Other languages
Japanese (ja)
Other versions
JPH09233113A (en
Inventor
良宏 吉岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP3953196A priority Critical patent/JP3310851B2/en
Publication of JPH09233113A publication Critical patent/JPH09233113A/en
Application granted granted Critical
Publication of JP3310851B2 publication Critical patent/JP3310851B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】この発明は、フィルタリング
装置に対するフィルタリング条件設定方法に関するもの
であり、特に、フィルタリング装置とアプリケーション
ゲートウェイを併用した場合の条件設定の困難さを解消
するフィルタリング条件設定方法を提供する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a filtering condition setting method for a filtering device, and more particularly to a filtering condition setting method for solving the difficulty of setting a condition when a filtering device and an application gateway are used together. .

【0002】[0002]

【従来の技術】最近、インターネットに接続する企業は
急増しており、また、大学や研究所ではLANの整備が
進み、インターネットに接続するホスト数は増加の一途
である。これに伴って、日本国内のホストおよびネット
ワークが外部からの侵入者のターゲットにされるケース
も次第に増え始めている。このような外部からの不正ア
クセスを防ぐ手段の一つがファイアウォールの構築であ
る。2. Description of the Related Art In recent years, the number of companies connecting to the Internet has been increasing rapidly, and the development of LANs at universities and research institutes has been progressing, and the number of hosts connected to the Internet is constantly increasing. Along with this, the number of cases where hosts and networks in Japan are targeted by intruders from outside is gradually increasing. One way to prevent such unauthorized access from the outside is to build a firewall.

【0003】ファイアウォールは、外部と接続している
ルータやゲートウェイマシンで不要なデータパケットを
通過させないように設定するものであり、ファイアウォ
ールの構成要素としては、フィルタリング装置、アプリ
ケーションゲートウェイがある。A firewall is set to prevent unnecessary data packets from passing through a router or a gateway machine connected to the outside. The firewall includes a filtering device and an application gateway.

【0004】フィルタリング装置は、特定のホストやネ
ットワークとの通信を制御するために、一般にネットワ
ーク層におけるパケットの制御を行う。そして、フィル
タリング装置に対してフィルタリング条件を設定する場
合、その通信制限範囲に応じて、始点アドレス、終点ア
ドレス、プロトコル、始点ポート、終点ポート及び通過
または非通過の処理方法を設定する。なお、始点アドレ
ス、終点アドレス、プロトコル、始点ポート、終点ポー
トの5つの設定は単独でも、組み合わせても指定可能で
ある。これにより、フィルタリング装置の内部と外部の
パケットの通過/非通過を制御する。[0004] A filtering device generally controls packets in a network layer in order to control communication with a specific host or network. Then, when setting filtering conditions for the filtering device, a start address, an end address, a protocol, a start port, an end port, and a pass or non-pass processing method are set according to the communication restriction range. The five settings of the start address, the end address, the protocol, the start port, and the end port can be specified independently or in combination. This controls the passing / non-passing of packets inside and outside the filtering device.

【0005】アプリケーションゲートウェイは、アプリ
ケーション層またはトランスポート層でパケットの制御
を行う。そして、アプリケーションゲートウェイは、パ
ケットのIPアドレスの変換(付け替え)機能を持つ場
合もある。これにより、内部から外部へのパケットのI
Pアドレスを付け替えることにより、内部のネットワー
ク情報の漏洩を防ぐことができる。[0005] The application gateway controls packets at the application layer or the transport layer. The application gateway may have a function of converting (changing) the IP address of the packet. This allows the packet I to
By changing the P address, leakage of internal network information can be prevented.

【0006】図11は、一般のファイアウォールの構成
図である。図中、1はフィルタリング装置、2はアプリ
ケーションゲートウェイ、3はサーバ、4はクライアン
トである。フィルタリング装置に対してフィルタリング
条件設定をする際、ファイアウォールの構成をフィルタ
リング装置のみで構成する場合は通信制限範囲に対応し
た始点アドレス、終点アドレスを条件として設定する。
しかし、パケットのIPアドレス変換(付け替え)機能
を持つアプリケーションゲートウェイと併用する場合
は、アプリケーションゲートウェイの設定位置を含めた
システム構成とアプリケーションゲートウェイが行う変
換処理を考慮してフィルタリング条件を設定する必要が
ある。図12は、図11のネットワーク構成でクライア
ント4からサーバ3に対してTelnet(プロトコル
TCP、ポート番号23を使用するサービス)を許可す
る場合のフィルタリング装置1のフィルタリング条件設
定である。FIG. 11 is a configuration diagram of a general firewall. In the figure, 1 is a filtering device, 2 is an application gateway, 3 is a server, and 4 is a client. When the filtering conditions are set for the filtering device, if the configuration of the firewall includes only the filtering device, the start address and the end address corresponding to the communication restriction range are set as conditions.
However, when used in combination with an application gateway having a packet IP address conversion (replacement) function, it is necessary to set filtering conditions in consideration of the system configuration including the setting position of the application gateway and the conversion processing performed by the application gateway. . FIG. 12 shows a filtering condition setting of the filtering device 1 in a case where Telnet (a service using the protocol TCP and the port number 23) is permitted from the client 4 to the server 3 in the network configuration of FIG.

【0007】[0007]

【発明が解決しようとする課題】このように、フィルタ
リング装置に対するフィルタリング条件設定項目の始点
アドレス、終点アドレスは、通信の制限を行いたいホス
トやネットワークのIPアドレスと必ずしも一致しな
い。このため、条件設定にはネットワークセキュリティ
に関する詳細な知識を必要とする。また、アプリケーシ
ョンゲートウェイのインストール位置が変更された場
合、その都度、すべてのフィルタリング条件を書き換え
る必要があるという問題点があった。すなわち、フィル
タリング装置とアプリケーションゲートウェイを併用し
た場合のフィルタリングの条件設定は、容易にできない
という問題点があった。As described above, the start point address and the end point address of the filtering condition setting items for the filtering device do not always match the IP addresses of the host or network for which communication is to be restricted. For this reason, setting conditions requires detailed knowledge of network security. Further, when the installation position of the application gateway is changed, it is necessary to rewrite all the filtering conditions each time. That is, there is a problem that the setting of filtering conditions when the filtering device and the application gateway are used together cannot be easily performed.

【0008】[0008]

【課題を解決するための手段】この発明は上記のような
問題点を考慮してなされたもので、フィルタリング装置
とアプリケーションゲートウェイを併用した場合のフィ
ルタリングの条件設定の困難さを解消し、アプリケーシ
ョンゲートウェイのインストール位置を意識せずにフィ
ルタリング条件設定が行える方法を提供する。SUMMARY OF THE INVENTION The present invention has been made in consideration of the above-described problems, and solves the difficulty of setting filtering conditions when a filtering device and an application gateway are used together. Provide a method to set filtering conditions without being aware of the installation location of

【0009】[0009]

【発明の実施の形態】送信元IPアドレスと送信元ネッ
トマスクを有する始点アドレス、着信先IPアドレスと
着信先ネットマスクを有する終点アドレス、プロトコ
ル、始点ポート、終点ポート、通過または非通過の処理
方法の設定項目を持つフィルタリング条件設定ファイル
と、アプリケーションゲートウェイが中継するプロトコ
ルとポートからなるサービス情報、アプリケーションゲ
ートウェイのフィルタリング装置との相対位置とIPア
ドレスからなるインストール位置の設定情報を持つアプ
リケーションゲートウェイ定義ファイルとを使用してフ
ィルタリング装置にフィルタリング条件設定を行う。こ
れにより、ネットワークセキュリティに関する詳細な知
識がなくてもフィルタリング条件を設定することが可能
となる。DESCRIPTION OF THE PREFERRED EMBODIMENTS A source address having a source IP address and a source netmask, a destination address having a destination IP address and a destination netmask, a protocol, a source port, a destination port, a passing or non-passing processing method. A filtering condition setting file having setting items of the following, an application gateway definition file having service information including a protocol and a port relayed by the application gateway, and setting information of an installation position including a relative position of the application gateway to the filtering device and an IP address. Is used to set filtering conditions in the filtering device. As a result, it is possible to set filtering conditions without detailed knowledge about network security.

【0010】[0010]

【実施例】図1から図10に、この発明のフィルタリン
グ装置に対するフィルタリング条件設定方法の一実施例
を示す。1 to 10 show an embodiment of a filtering condition setting method for a filtering apparatus according to the present invention.

【0011】図1は、この発明の構成図であり、10は
フィルタリング装置、11はフィルタリング条件設定フ
ァイル、12はアプリケーションゲートウェイ定義ファ
イルである。フィルタリング装置10に対するフィルタ
リング条件設定は、フィルタリング条件設定ファイル1
1とアプリケーションゲートウェイ定義ファイル12を
使用して行う。フィルタリング条件設定ファイル11に
は、始点アドレス、終点アドレス、プロトコル、始点ポ
ート、終点ポート、処理の項目が設定されている。アプ
リケーションゲートウェイ定義ファイル12には、サー
ビス情報、インストール位置(フィルタリング装置との
相対位置、IPアドレス)の項目が設定されている。な
お、「フィルタリング装置との相対位置」は、これ以降
「相対位置」と記している。FIG. 1 is a block diagram of the present invention, wherein 10 is a filtering device, 11 is a filtering condition setting file, and 12 is an application gateway definition file. The filtering condition setting for the filtering device 10 is performed in the filtering condition setting file 1
1 and the application gateway definition file 12. In the filtering condition setting file 11, items of a start address, an end address, a protocol, a start port, an end port, and a process are set. In the application gateway definition file 12, items of service information and an installation position (a relative position with respect to the filtering device, an IP address) are set. Note that “relative position with respect to the filtering device” is hereinafter referred to as “relative position”.

【0012】図2は、フィルタリング条件設定の処理フ
ローチャートであり、フローチャートに沿って説明す
る。まず、フィルタリング条件が記述されているフィル
タリング条件設定ファイルを読み込む(ステップS20
1)。アプリケーションゲートウェイ定義ファイルが有
るかを判定する(ステップS202)。定義ファイルが
あれば、ステップS203に進む。定義ファイルがなけ
れば、ステップS205に進む。アプリケーションゲー
トウェイ定義ファイルを読み込む(ステップS20
3)。アプリケーションゲートウェイ定義ファイルの内
容によりフィルタリング条件設定ファイルの内容を変換
する(ステップS204)。なお、フィルタリング条件
設定ファイルの内容の変換処理の詳細は、後の図3で説
明する。フィルタリング条件設定ファイルの内容にした
がって、フィルタリング装置へのフィルタリング条件設
定を行う(ステップS205)。FIG. 2 is a processing flowchart for setting a filtering condition, which will be described with reference to the flowchart. First, a filtering condition setting file in which filtering conditions are described is read (step S20).
1). It is determined whether there is an application gateway definition file (step S202). If there is a definition file, the process proceeds to step S203. If there is no definition file, the process proceeds to step S205. Read the application gateway definition file (step S20)
3). The contents of the filtering condition setting file are converted according to the contents of the application gateway definition file (step S204). The details of the conversion process of the contents of the filtering condition setting file will be described later with reference to FIG. According to the contents of the filtering condition setting file, filtering conditions are set to the filtering device (step S205).

【0013】図3は、フィルタリング条件の変換処理フ
ローチャートであり、フローチャートに沿って説明す
る。変換対象のフィルタリング条件を設定する(ステッ
プS301)。フィルタリング条件設定ファイルのすべ
ての条件に対して、以下の処理を実行したか判定する
(ステップS302)。すべての条件に対して処理を実
行したならば、この処理を終了する。すべての条件に対
して処理を実行してなければ、ステップS303へ進
む。フィルタリング条件のプロトコルと終点ポートがア
プリケーションゲートウェイ定義ファイルのサービス情
報(プロトコル/ポート番号)と一致するか判定する
(ステップS303)。一致するならば、ステップS3
04に進む、一致しないならば、ステップS305ヘ進
む。アプリケーションゲートウェイのインストール位置
に応じたフィルタリング条件の内容を変換する(ステッ
プS304)。なお、アプリケーションゲートウェイの
インストールの位置に応じたフィルタリング条件の内容
の変換処理の詳細は、後の図4で説明する。変更対象を
次のフィルタリング条件に設定する(ステップS30
5)。そして、ステップS302に戻る。FIG. 3 is a flowchart of a filtering condition conversion process, which will be described with reference to the flowchart. The filtering condition to be converted is set (step S301). It is determined whether the following processing has been performed for all the conditions in the filtering condition setting file (step S302). When the processing has been executed for all the conditions, this processing ends. If the processing has not been executed for all the conditions, the process proceeds to step S303. It is determined whether the protocol and the end point port of the filtering condition match the service information (protocol / port number) of the application gateway definition file (step S303). If they match, step S3
04, if they do not match, proceed to step S305. The contents of the filtering condition according to the installation position of the application gateway are converted (step S304). The details of the conversion process of the content of the filtering condition according to the installation position of the application gateway will be described later with reference to FIG. The change target is set to the next filtering condition (step S30)
5). Then, the process returns to step S302.

【0014】図4は、アプリケーションゲートウェイの
インストール位置に応じたフィルタリング条件の変換処
理フローチャートであり、フローチャートに沿って説明
する。アプリケーションゲートウェイの相対位置が0
(アプリケーションゲートウェイがフィルタリング装置
と同一マシンに位置する場合)であるか判定する(ステ
プS401)。相対位置が0ならばステップS402に
進む。相対位置が0でなければステップS404ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスまたは終点アドレスがアプリケーションゲートウ
ェイのIPアドレスと一致しないか判定する(ステップ
S402)。一致しないならばステップS403に進
む。一致するならば処理を終了する。クライアントから
見た始点アドレス(サーバから見た終点アドレス)をフ
ィルタリング装置の外側IPアドレスに、クライアント
から見た終点アドレス(サーバから見た始点アドレス)
をフィルタリング装置の内側IPアドレスに変更した2
つの条件に分解する(ステップS403)。そして、処
理を終了する。FIG. 4 is a flowchart of a filtering condition conversion process according to the installation position of the application gateway, which will be described with reference to the flowchart. The relative position of the application gateway is 0
(When the application gateway is located on the same machine as the filtering device) (step S401). If the relative position is 0, the process proceeds to step S402. If the relative position is not 0, the process proceeds to step S404. It is determined whether the start address or the end address seen from the client of the filtering condition does not match the IP address of the application gateway (step S402). If they do not match, the process proceeds to step S403. If they match, the process ends. The source address (the destination address seen from the server) as seen from the client is used as the outside IP address of the filtering device, and the destination address (the source address as seen from the server) as seen from the client.
Was changed to the inside IP address of the filtering device 2
(Step S403). Then, the process ends.

【0015】アプリケーションゲートウェイの相対位置
が1(アプリケーションゲートウェイがフィルタリング
装置より内側に位置する場合)であるか判定する(ステ
ップS404)。相対位置が1ならばステップS405
に進む。相対位置が1でなければステップS407ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS405)。一致し
ないならばステップS406に進む。一致するならば処
理を終了する。クライアントから見た始点アドレス(サ
ーバから見た終点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
6)。そして、処理を終了する。It is determined whether the relative position of the application gateway is 1 (when the application gateway is located inside the filtering device) (step S404). If the relative position is 1, step S405
Proceed to. If the relative position is not 1, the process proceeds to step S407. It is determined whether or not the starting address seen from the client of the filtering condition matches the IP address of the application gateway (step S405). If they do not match, the process proceeds to step S406. If they match, the process ends. Change the start point address seen from the client (end point address seen from the server) to the IP address of the application gateway (step S40)
6). Then, the process ends.

【0016】アプリケーションゲートウェイの相対位置
が−1(アプリケーションゲートウェイがフィルタリン
グ装置より外側に位置する場合)であるか判定する(ス
テップS407)。相対位置が−1ならばステップS4
08に進む。相対位置が−1でなければ処理を終了す
る。フィルタリング条件のクライアントから見た終点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS408)。一致し
ないならばステップS409に進む。一致するならば処
理を終了する。クライアントから見た終点アドレス(サ
ーバから見た始点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
9)。そして、処理を終了する。It is determined whether the relative position of the application gateway is -1 (when the application gateway is located outside the filtering device) (step S407). If the relative position is -1, step S4
Proceed to 08. If the relative position is not -1, the processing ends. It is determined whether or not the destination address seen from the client of the filtering condition matches the IP address of the application gateway (step S408). If they do not match, the process proceeds to step S409. If they match, the process ends. Change the end point address as viewed from the client (start point address as viewed from the server) to the IP address of the application gateway (step S40)
9). Then, the process ends.

【0017】図5から図10に、一般に用いられている
ネットワーク構成と、それに対応するアプリケーション
ゲートウェイ定義ファイル、フィルタリング条件ファイ
ルと上記のフィルタリング条件設定の処理によるフィル
タリング装置のフィルタリング条件設定の具体例を示
す。FIG. 5 to FIG. 10 show a general example of a commonly used network configuration, a corresponding application gateway definition file, a filtering condition file, and a filtering condition setting of the filtering device by the above-described filtering condition setting process. .

【0018】図5は、アプリケーションゲートウェイを
使用しない場合のネットワーク構成図である。クライア
ント4(IPアドレス=123.1.1.1)はLAN
−1経由でフィルタリング装置1(内側IPアドレス=
123.3.3.3)と接続されている。フィルタリン
グ装置1(外側IPアドレス=123.4.4.4)は
LAN−2、ルータ、インターネット経由でサーバ3
(IPアドレス=255.6.6.6)と接続されてい
る。FIG. 5 is a diagram showing a network configuration when an application gateway is not used. Client 4 (IP address = 123.1.1.1) is LAN
-1 via the filtering device 1 (inner IP address =
123.3.3.3.3). The filtering device 1 (outside IP address = 123.4.4.4) is a server 3 via LAN-2, a router, and the Internet.
(IP address = 255.6.6.6).

【0019】図6は、図5のネットワーク構成でクライ
アント4からサーバ3に対してTelnet(プロトコ
ルTCP、ポート番号23を使用するサービス)を許可
する場合のフィルタリング装置1のフィルタリング条件
設定である。この場合は、アプリケーションゲートウェ
イ定義ファイル61がないので、図2のフィルタリング
条件設定の処理フローチャートのステップS203とス
テップS204は行われず、フィルタリング条件設定フ
ァイル62の内容がそのままフィルタリング装置1のフ
ィルタリング条件設定63となる。FIG. 6 shows the setting of the filtering conditions of the filtering apparatus 1 when the client 4 permits the server 3 to use Telnet (a service using the protocol TCP and the port number 23) in the network configuration shown in FIG. In this case, since the application gateway definition file 61 does not exist, steps S203 and S204 of the filtering condition setting processing flowchart of FIG. 2 are not performed, and the contents of the filtering condition setting file 62 are directly used as the filtering condition setting 63 of the filtering device 1. Become.

【0020】図7は、アプリケーションゲートウェイが
フィルタリング装置より外側に位置する場合のネットワ
ーク構成図である。クライアント4(IPアドレス=1
23.1.1.1)はLAN−1経由でフィルタリング
装置1(内側IPアドレス=123.3.3.3)と接
続されている。フィルタリング装置1(外側IPアドレ
ス=123.4.4.4)はLAN−2、ルータ、イン
ターネット経由でサーバ3(IPアドレス=255.
6.6.6)と接続されており、また、フィルタリング
装置1(外側IPアドレス=123.4.4.4)はL
AN−2経由でアプリケーションゲートウェイ2(IP
アドレス=123.5.5.5)と接続されている。FIG. 7 is a network configuration diagram when the application gateway is located outside the filtering device. Client 4 (IP address = 1
23.1.1.1) is connected via LAN-1 to the filtering device 1 (inner IP address = 123.3.3.3). The filtering device 1 (outside IP address = 123.4.4.4.4) is connected to the server 3 (IP address = 255.
6.6.6), and the filtering device 1 (outside IP address = 123.4.4.44) is L
Application gateway 2 (IP
Address = 123.5.5.5).

【0021】図8は、図7のネットワーク構成でクライ
アント4からアプリケーションゲートウェイ2に対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
1のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル81があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理で、フ
ィルタリング条件設定ファイル82の内容が変更され
(クライアントから見た終点アドレスがアプリケーショ
ンゲートウェイのIPアドレスに変更される)、フィル
タリング装置1のフィルタリング条件設定83となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件の終点アドレ
スが255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ、サーバからクライアン
トへのパケットを通過させるための条件の始点アドレス
が255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ変更される。FIG. 8 shows the filtering condition setting of the filtering device 1 in the case where the client 4 permits Telnet (service using the protocol TCP, port number 23) from the client 4 to the application gateway 2 in the network configuration of FIG. In this case, since the application gateway definition file 81 exists, the contents of the filtering condition setting file 82 are changed by the processing of steps S203 and S204 of the filtering condition setting processing flowchart of FIG. This is changed to the IP address of the application gateway), and becomes the filtering condition setting 83 of the filtering device 1.
The changed portion is the underlined portion, and the destination address of the condition for passing the packet from the client to the server is 255.6.6.
From 5.5.0.0 to 0.0.0.0, the starting address of the condition for passing the packet from the server to the client is 255.6.6.6 from 0.0.0.0 to 123.0.0.
5.5.5 It is changed to 0.0.0.0.

【0022】図9は、アプリケーションゲートウェイが
フィルタリング装置と同一マシンに位置する場合のネッ
トワーク構成図である。クライアント4(IPアドレス
=123.1.1.1)はLAN−1経由でフィルタリ
ング装置1(内側IPアドレス=123.3.3.3)
と接続されている。フィルタリング装置1(外側IPア
ドレス=123.4.4.4)はLAN−2、ルータ、
インターネット経由でサーバ3(IPアドレス=25
5.6.6.6)と接続されており、また、アプリケー
ションゲートウェイはフィルタリング装置5の中にあ
る。FIG. 9 is a network configuration diagram when the application gateway is located on the same machine as the filtering device. The client 4 (IP address = 123.3.1.1.1) is filtered via the LAN-1 by the filtering device 1 (inner IP address = 123.3.3.3).
Is connected to Filtering device 1 (outside IP address = 123.4.4.4) is LAN-2, router,
Server 3 via the Internet (IP address = 25
5.6.6.6) and the application gateway is in the filtering device 5.

【0023】図10は、図9のネットワーク構成でクラ
イアント4からアプリケーションゲートウェイに対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
5のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル101があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理でフィ
ルタリング条件設定ファイル102の内容が変更され
(クライアントから見た始点アドレスをフィルタリング
装置の外側のIPアドレスに、また、クライアントから
見た終点アドレスをフィルタリング装置の内側のIPア
ドレスに変更した2つの条件に分解される)、フィルタ
リング装置5のフィルタリング条件設定103となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件は、クライア
ントから見た終点アドレスを255.6.6.6 0.
0.0.0から123.3.3.3 0.0.0.0へ
変更した条件と、クライアントから見た始点アドレスを
123.1.1.1 0.0.0.0から123.4.
4.4 0.0.0.0へ変更した条件となる。FIG. 10 shows the filtering condition setting of the filtering device 5 when the client 4 permits Telnet (service using the protocol TCP, port number 23) from the client 4 to the application gateway in the network configuration of FIG. In this case, since there is the application gateway definition file 101, the contents of the filtering condition setting file 102 are changed by the processing of steps S203 and S204 of the filtering condition setting processing flowchart of FIG. This is decomposed into two conditions in which the IP address outside the device and the end point address seen from the client are changed to the IP address inside the filtering device), and the filtering condition setting 103 of the filtering device 5 is obtained.
The changed part is underlined, and the condition for passing the packet from the client to the server is that the destination address seen from the client is 255.6.6.60.
The condition changed from 0.0.0 to 123.3.3.3 0.0.0.0, and the start address as seen from the client is 123.1.1.1 from 0.0.0.0 to 123.0.0. 4.
The condition is changed to 4.4 0.0.0.0.

【0024】この3つの例からでもわかるように、フィ
ルタリング条件設定ファイルの内容を変更しなくても、
アプリケーションゲートウェイ定義ファイルの内容を変
更するだけで、いろいろなネットワーク構成のフィルタ
リング装置に対するフィルタリング条件設定が可能であ
る。As can be seen from these three examples, without changing the contents of the filtering condition setting file,
By simply changing the contents of the application gateway definition file, it is possible to set filtering conditions for filtering devices having various network configurations.

【0025】[0025]

【発明の効果】この発明は、上記に説明したような形態
で実施され、以下の効果がある。フィルタリング装置と
アプリケーションゲートウェイを併用した場合のフィル
タリングの条件設定の困難さを解消し、また、アプリケ
ションゲートウェイのインストール位置を意識せずにフ
ィルタリング条件設定を容易に行うことが可能であり、
フィルタリング条件設定作業を大幅に短縮できる。The present invention is embodied in the form described above, and has the following effects. Eliminating the difficulty of setting filtering conditions when using a filtering device and an application gateway together, it is also possible to easily set filtering conditions without being aware of the installation location of the application gateway,
Filtering condition setting work can be greatly reduced.

【図面の簡単な説明】[Brief description of the drawings]

【図1】 この発明の構成図である。FIG. 1 is a configuration diagram of the present invention.

【図2】 フィルタリング条件設定の処理フローチャー
トである。FIG. 2 is a processing flowchart for setting a filtering condition.

【図3】 フィルタリング条件の変換処理フローチャー
トである。FIG. 3 is a flowchart of a filtering condition conversion process.

【図4】 アプリケーションゲートウェイのインストー
ル位置に応じたフィルタリング条件の変換処理フローチ
ャートである。FIG. 4 is a flowchart illustrating a process of converting filtering conditions according to an installation position of an application gateway.

【図5】 アプリケーションゲートウェイを使用しない
場合のネットワーク構成図である。FIG. 5 is a network configuration diagram when an application gateway is not used.

【図6】 図5のネットワーク構成でクライアントから
サーバに対してTelnet(プロトコルTCP、ポー
ト番号23を使用するサービス)を許可する場合のフィ
ルタリング装置のフィルタリング条件設定である。FIG. 6 is a diagram illustrating filtering condition settings of a filtering device in a case where Telnet (service using a protocol TCP, port number 23) is permitted from a client to a server in the network configuration of FIG. 5;

【図7】 アプリケーションゲートウェイがフィルタリ
ング装置より外側に位置する場合のネットワーク構成図
である。FIG. 7 is a network configuration diagram when an application gateway is located outside a filtering device.

【図8】 図7のネットワーク構成でクライアントから
アプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。FIG. 8 shows a Telnet from a client to an application gateway in the network configuration of FIG. 7;
This is a filtering condition setting of the filtering device when permitting (service using protocol TCP, port number 23).

【図9】 アプリケーションゲートウェイがフィルタリ
ング装置と同一マシンに位置する場合のネットワーク構
成図である。FIG. 9 is a network configuration diagram when the application gateway is located on the same machine as the filtering device.

【図10】 図9のネットワーク構成でクライアントか
らアプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。FIG. 10 shows a Telnet from a client to an application gateway in the network configuration of FIG. 9;
This is a filtering condition setting of the filtering device when permitting (service using protocol TCP, port number 23).

【図11】 一般のファイアウォールの構成図である。FIG. 11 is a configuration diagram of a general firewall.

【図12】 図11のネットワーク構成でクライアント
からアプリケーションゲートウェイに対してTelne
t(プロトコルTCP、ポート番号23を使用するサー
ビス)を許可する場合のフィルタリング装置のフィルタ
リング条件設定である。FIG. 12 shows a network configuration of FIG.
This is a filtering condition setting of the filtering device when t (a service using the protocol TCP and the port number 23) is permitted.

【符号の説明】[Explanation of symbols]

10 フィルタリング装置 11 フィルタリング条件設定ファイル 12 アプリケーションゲートウェイ定義ファイル 10 Filtering device 11 Filtering condition setting file 12 Application gateway definition file

Claims (1)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】送信元IPアドレスと送信元ネットマスク
を有する始点アドレス、着信先IPアドレスと着信先ネ
ットマスクを有する終点アドレス、プロトコル、始点ポ
ート、終点ポート、通過または非通過の処理方法の設定
項目を持つフィルタリング条件設定ファイル(11)
と、アプリケーションゲートウェイが中継するプロトコ
ルとポートからなるサービス情報、アプリケーションゲ
ートウェイのフィルタリング装置との相対位置とIPア
ドレスからなるインストール位置の設定情報を持つアプ
リケーションゲートウェイ定義ファイル(12)とを使
用することでフィルタリング条件設定を行うことを特徴
とするフィルタリング装置に対するフィルタリング条件
設定方法。1. Setting of a source address having a source IP address and a source netmask, a destination address having a destination IP address and a destination netmask, a protocol, a source port, a destination port, a passing or non-passing processing method. Filtering condition setting file with items (11)
And the application gateway definition file (12) having service information including a protocol and a port relayed by the application gateway, and setting information on an installation position including an IP address and a relative position with respect to a filtering device of the application gateway. A filtering condition setting method for a filtering device, characterized by setting conditions.
JP3953196A 1996-02-27 1996-02-27 Filtering condition setting method for filtering device Expired - Fee Related JP3310851B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP3953196A JP3310851B2 (en) 1996-02-27 1996-02-27 Filtering condition setting method for filtering device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3953196A JP3310851B2 (en) 1996-02-27 1996-02-27 Filtering condition setting method for filtering device

Publications (2)

Publication Number Publication Date
JPH09233113A JPH09233113A (en) 1997-09-05
JP3310851B2 true JP3310851B2 (en) 2002-08-05

Family

ID=12555636

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3953196A Expired - Fee Related JP3310851B2 (en) 1996-02-27 1996-02-27 Filtering condition setting method for filtering device

Country Status (1)

Country Link
JP (1) JP3310851B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6865604B2 (en) 1998-08-26 2005-03-08 Sts Software Systems Ltd. Method for extracting a computer network-based telephone session performed through a computer network
EP2252019B1 (en) * 1998-12-03 2014-07-09 Rockstar Consortium US LP Providing desired service policies to subscribers accessing internet
JP3618245B2 (en) * 1999-03-09 2005-02-09 株式会社日立製作所 Network monitoring system
AU2002225346A1 (en) * 2001-12-19 2003-06-30 Kazuhiro Yamamoto Electronic mail transmission system with proxy mail address
TW200737876A (en) * 2006-03-24 2007-10-01 Hon Hai Prec Ind Co Ltd Telnet security system and method

Also Published As

Publication number Publication date
JPH09233113A (en) 1997-09-05

Similar Documents

Publication Publication Date Title
US7107614B1 (en) System and method for network address translation integration with IP security
EP1690403B1 (en) Dual mode firewall
US6832322B1 (en) System and method for network address translation integration with IP security
US7782902B2 (en) Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols
EP1872562B1 (en) Preventing duplicate sources from clients served by a network address port translator
US8601567B2 (en) Firewall for tunneled IPv6 traffic
US20040006573A1 (en) Data transmission apparatus, data transmission method, and data transmission method program
EP1269709B1 (en) Proxy network address translation
WO2002050680A9 (en) Integrated intelligent inter/intra-networking device
US20060268863A1 (en) Transparent address translation methods
JP3310851B2 (en) Filtering condition setting method for filtering device
JP2005142702A (en) Network access gateway, network access gateway control method, and program
JP2006352719A (en) Apparatus, method for monitoring network, network system, network monitoring method and network communication method
US20070006292A1 (en) Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium
EP1379037B1 (en) Packet routing based on user ID in virtual private networks
US7373423B2 (en) Network infrastructure management and data routing framework and method thereof
Cisco Configuring IP Session Filtering (Reflexive Access Lists)
Cisco Configuring IP Session Filtering (Reflexive Access Lists)
Cisco Configuring AppleTalk
EP1709766A1 (en) Remotely controlled gateway management with security
US20010034844A1 (en) Method and apparatus for firewall with multiple addresses
JP3616571B2 (en) Address resolution method for Internet relay connection
US20230388397A1 (en) Resolving Overlapping IP Addresses in Multiple Locations
GB2367222A (en) Network address translation integration with IP security
JP2008131466A (en) Packet relay apparatus

Legal Events

Date Code Title Description
S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313532

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees