JP3521188B2 - Network device setting content deriving method and device, and recording medium recording program thereof - Google Patents
Network device setting content deriving method and device, and recording medium recording program thereofInfo
- Publication number
- JP3521188B2 JP3521188B2 JP2000194082A JP2000194082A JP3521188B2 JP 3521188 B2 JP3521188 B2 JP 3521188B2 JP 2000194082 A JP2000194082 A JP 2000194082A JP 2000194082 A JP2000194082 A JP 2000194082A JP 3521188 B2 JP3521188 B2 JP 3521188B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- network device
- setting
- logical closed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】[0001]
【発明の属する技術分野】本発明は、仮想閉域網(VP
N:Virtual Private Network)製品などのネットワ
ーク機器を利用して、ネットワークを介して通信を行う
ことによって作られる論理閉域網に関し、特に、ネット
ワーク構成環境の知識が不要で、かつ、ネットワーク機
器の設定項目として直接設定値を入力することなく、論
理閉域網を構成する方法に適用して有効な技術に関する
ものである。TECHNICAL FIELD The present invention relates to a virtual closed network (VP).
N: Virtual Private Network) A logical closed network created by using a network device such as a product to perform communication through the network, and particularly requires no knowledge of the network configuration environment, and the setting items of the network device. The present invention relates to a technique effectively applied to a method of constructing a logical closed network without directly inputting a set value.
【0002】[0002]
【従来の技術】従来、ネットワーク上に、物理的なネッ
トワーク構成に依存しない論理閉域網を構成するには、
パケットフィルタリングやVPN等いくつものネットワ
ーク機器を設定する。ネットワーク機器の設定項目は、
IP(Internet Protcol)アドレス、プロトコル番
号、ポート番号などで構成され、数値などの具体値を設
定値として用いられる。一方、論理閉域網の構成条件と
しては、論理閉域網に所属するユーザ名やホスト名、論
理閉域網で利用するサービス名やデータリソース名、論
理閉域網のセキュリティレベルなどで構成される。一般
に、ネットワーク機器の設定項目と、論理閉域網の構成
条件では、設定値のドメインは必ずしも一致しない。こ
のため、ネットワーク機器設定者は、「ネットワーク利
用者から要求された論理閉域網の構成条件をもとに、設
定が必要なネットワーク機器の設置場所を判断するこ
と」、及び「ネットワーク利用者から要求された論理閉
域網の構成条件をネットワーク機器の設定内容へ変換す
ること」が必要である。2. Description of the Related Art Conventionally, a logical closed network which does not depend on a physical network configuration is constructed on a network.
Set up a number of network devices such as packet filtering and VPN. The setting items for network devices are
It is composed of an IP (Internet Protcol) address, a protocol number, a port number, etc., and concrete values such as numerical values are used as set values. On the other hand, the logical closed network configuration conditions include user names and host names belonging to the logical closed network, service names and data resource names used in the logical closed network, and the security level of the logical closed network. Generally, the setting item domain does not always match the setting item of the network device and the configuration condition of the logical closed network. For this reason, the network device setter must "determine the installation location of the network device that needs to be set based on the logical closed network configuration conditions requested by the network user," and "request from the network user. It is necessary to convert the above-mentioned logical closed network configuration conditions into the settings of the network device.
【0003】多くのネットワーク機器は、IPアドレス
に対するホスト名や、ポート番号に対するサービス名の
ように、別名による設定が可能になっている。別名によ
る設定方法は、特定の数値と文字列を一対一に対応さ
せ、ネットワーク機器設定者にとって分かりやすい表現
に変更しただけのものであり、設定値のドメインは同一
のままである。つまり、別名機能では、ドメインの異な
る設定値によるネットワーク機器の設定を実現すること
はできない。Many network devices can be set up by aliases such as a host name for an IP address and a service name for a port number. The setting method using an alias is such that a specific numerical value and a character string are made to correspond one-to-one and changed to an expression that is easy for a network device setting person to understand, and the setting value domain remains the same. That is, the alias function cannot realize the setting of the network device with the setting values of different domains.
【0004】[0004]
【発明が解決しようとする課題】前記従来の技術では、
論理閉域網を構築する際に、ネットワーク機器設定者は
2種類の作業が必要になる。その1つは、:論理閉域
網の構成条件から、“どこに設置されている、どのよう
な種類の”ネットワーク機器に設定を行うかを判断する
ことである。もう1つは、:論理閉域網の構成条件の
値から、ネットワーク機器の設定値を求めることであ
る。例えば、ネットワーク利用者から、構成条件が「ユ
ーザAとユーザBが、ホストXのサービスSを利用でき
る環境」という論理閉域網が要求された場合を考える。SUMMARY OF THE INVENTION In the above conventional technique,
When constructing the logical closed network, the network device setting person needs two kinds of work. One of them is: to judge "where and what kind of network device is installed" from the configuration conditions of the logical closed network. The other is to obtain the setting value of the network device from the value of the configuration condition of the logical closed network. For example, consider a case where a network user requests a logical closed network whose configuration condition is “an environment in which the user A and the user B can use the service S of the host X”.
【0005】ネットワーク機器設定者が、前記の作業
で「パケットフィルタリング装置Pに対する設定が必要
である」ことを判断するために、ネットワーク機器設定
者はネットワークの構成環境を知識として有していなけ
ればならない。次に、ネットワーク機器設定者は、前記
の作業で「ユーザA」の値から「パケットフィルタリ
ング装置Pのsource側IPアドレスにホストHa
のIPアドレスを用いる」ことを判断するために、「ユ
ーザ」と「source側IPアドレス」のようにドメ
インの異なる項目の関連を、知識として有していなけれ
ばならない。In order for the network device setting person to judge that "the setting for the packet filtering apparatus P is necessary" in the above work, the network device setting person must have knowledge of the network configuration environment. . Next, the network device setter changes the value of “user A” from the value of “user A” to the host side Ha
In order to determine "using the IP address of", it is necessary to have the knowledge of the relationship between items of different domains such as "user" and "source side IP address".
【0006】前記従来の技術では、これらの2つの作業
とを自動化することができず、ネットワーク機器設
定者が負担を負うことになる。ネットワーク機器設定者
に求められるネットワークの構成環境の知識が増大し、
ネットワーク機器設定者の負担が大きくなるため、ネッ
トワークを大規模化することが困難であった。また、ネ
ットワーク機器設定者に求められる設定項目間の関連に
関する知識が増大し、ネットワーク機器設定者負担が大
きくなるため、論理閉域網の構成条件の抽象度を高める
ことが困難であった。In the above-mentioned conventional technique, these two operations cannot be automated, and the network device setter bears a burden. Increased knowledge of the network configuration environment required for network equipment setters,
It has been difficult to increase the scale of the network because the burden on the person who set up the network equipment is heavy. Further, since the knowledge about the relationship between the setting items required by the network device setter increases, and the burden on the network device setter increases, it is difficult to increase the abstraction degree of the logical closed network configuration conditions.
【0007】本発明の目的は、ネットワーク機器設定者
は、論理閉域網を構成するためにネットワーク構成に関
する知識が不要になり、かつ、ネットワーク機器の設定
項目を意識することなく論理閉域網の構成条件を記述す
ることが可能な技術を提供することにある。An object of the present invention is that the network device setter does not need to have knowledge of the network configuration in order to configure the logical closed network, and the logical closed network configuration conditions can be set without being aware of the setting items of the network device. It is to provide the technology that can describe the.
【0008】本発明の他の目的は、ネットワーク機器設
定者に対する設定の負担が軽減され、ネットワークの大
規模化や論理閉域網の構成条件の抽象度を高めることを
容易に行うことが可能な技術を提供することにある。Another object of the present invention is to reduce the burden of setting on the network equipment setter, and to easily increase the scale of the network and increase the degree of abstraction of the logical closed network configuration conditions. To provide.
【0009】本発明の前記ならびにその他の目的と新規
な特徴は、本明細書の記述及び添付図面によって明らか
にする。The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
【0010】[0010]
【課題を解決するための手段】本願において開示される
発明の概要を簡単に説明すれば、下記のとおりである。The outline of the invention disclosed in the present application will be briefly described as follows.
【0011】(1)ネットワーク資源に関する情報、ネ
ットワーク資源の情報同士の関連を定義した情報、前記
ネットワーク資源に関する情報とネットワーク資源の情
報同士の関連を定義した情報、及びネットワーク機器の
設定項目との関連ルールを定義した情報を、コンピュー
タシステムの関連データベースに記憶し、前記ネットワ
ーク資源に関する情報とネットワーク資源の情報同士の
関連を定義した情報、及び前記ネットワーク機器の設定
項目との関連ルールを定義した情報に基づいて論理閉域
網の構成条件からネットワーク機器の設定項目を導出す
るネットワーク機器設定内容導出方法である。(1) Information on network resources, information defining relationships between network resource information, information defining relationships between the network resource information and network resource information, and relationships between network equipment setting items Information defining rules is stored in a relational database of a computer system, and information defining the relation between the network resource information and network resource information and information defining the relation rule with the setting item of the network device are stored. This is a method for deriving the network device setting contents, which is based on the configuration conditions of the logical closed network and derives the setting items of the network device.
【0012】(2)ネットワーク機器設定内容導出方法
の処理手順を、コンピュータに実行させるプログラムを
記録したコンピュータ読み取り可能な記録媒体であっ
て、ネットワーク資源に関する情報、前記ネットワーク
資源の情報同士の関連を定義した情報、前記ネットワー
ク資源に関する情報とネットワーク資源の情報同士の関
連を定義した情報、及びネットワーク機器の設定項目と
の関連ルールを定義した情報を、コンピュータシステム
の関連データベースに記憶する手順と、前記ネットワー
ク資源に関する情報とネットワーク資源の情報同士の関
連を定義した情報、及び前記ネットワーク機器の設定項
目との関連ルールを定義した情報に基づき、論理閉域網
の構成条件からネットワーク機器の設定項目を導出する
手順を、コンピュータに実行させるプログラムを記録し
たコンピュータ読み取り可能な記録媒体である。(2) A computer-readable recording medium in which a program for causing a computer to execute the processing procedure of the method for deriving the setting contents of network equipment is recorded, and the information on network resources and the relation between the information on the network resources are defined. Stored information, information defining the relationship between the network resource information and the network resource information, and information defining the association rules for the setting items of the network equipment in a database associated with the computer system, and the network. Procedure for deriving network device setting items from logical closed network configuration conditions based on information that defines the relationship between resource information and network resource information, and information that defines the association rules for the network device setting items The computer A computer-readable recording medium recording a program to be executed by.
【0013】(3)関連データベースと、ネットワーク
管理者からネットワーク情報を受付けて前記関連データ
ベースを更新するネットワーク情報管理部と、ネットワ
ーク管理者から関連定義を受付けて前記関連データベー
スを更新する関連定義管理部と、ネットワーク管理者か
らの関連ルール定義を受付けて前記関連データベースを
更新する設定ルール定義管理部と、ネットワーク機器設
定者から論理閉域網構成条件を受付けてネットワーク機
器設定項目を導出する関連処理エンジンとを具備するネ
ットワーク機器設定内容導出装置である。(3) A relational database, a network information management unit that receives network information from a network manager and updates the relational database, and a relational definition management unit that receives relational definitions from the network manager and updates the relational database. A setting rule definition management unit that receives a related rule definition from a network administrator and updates the related database; and a related processing engine that receives a logical closed network configuration condition from a network device setter and derives a network device setting item. It is a network device setting content deriving device comprising.
【0014】本発明のポイントは、ネットワーク資源に
関する情報、前記ネットワーク資源の情報同士の関連を
定義した情報、前記ネットワーク資源に関する情報とネ
ットワーク資源の情報同士の関連を定義した情報、及び
ネットワーク機器の設定項目との関連ルールを定義した
情報を、それぞれコンピュータシステムの関連データベ
ースに記憶し、管理しているネットワーク機器の設定ル
ール、及び異なるドメインの設定項目の関連に基づき、
ネットワーク構成環境の知識が不要で、かつネットワー
ク機器の設定項目と異なるドメインの設定項目を用いて
論理閉域網の構成条件からネットワーク機器の設定項目
を導出することである。The point of the present invention is to provide information regarding network resources, information defining relationships between the network resource information, information defining relationships between the network resource information and network resource information, and network device settings. Information that defines related rules with items is stored in the related database of the computer system, respectively, based on the setting rules of the managed network devices and the relationship between the setting items of different domains,
Knowledge of the network configuration environment is not required, and the setting items of the network device are derived from the configuration conditions of the logical closed network using the setting items of the domain different from the setting items of the network device.
【0015】つまり、従来の技術ではネットワーク機器
設定者が行っていた前述したとの作業に必要な情報
を、ネットワーク管理者が関連データベースヘ事前に登
録しておくことにより、コンピュータシステムが前記
との作業を行うことを実現することである。In other words, the computer system registers the information necessary for the above-mentioned work performed by the network device setting person in the related art in the related database in advance so that the computer system can obtain the information described above. It is to realize the work.
【0016】前述の手段によれば、ネットワーク機器設
定者は、論理閉域網を構成するためにネットワーク構成
に関する知識が不要になり、かつ、ネットワーク機器の
設定項目を意識することなく論理閉域網の構成条件を記
述することが可能となる。また、ネットワーク機器設定
者に対する設定の負担が軽減され、ネットワークの大規
模化や論理閉域網の構成条件の抽象度を高めることを容
易に行うことができる。According to the above-mentioned means, the network device setter does not need to have knowledge of the network configuration in order to configure the logical closed network, and the configuration of the logical closed network does not need to be aware of the setting items of the network device. It is possible to describe the conditions. Further, the burden of setting on the network device setter is reduced, and it is possible to easily increase the scale of the network and increase the degree of abstraction of the configuration conditions of the logical closed network.
【0017】以下に、本発明について、本発明による実
施形態(実施例)とともに図面を参照して詳細に説明す
る。Hereinafter, the present invention will be described in detail with reference to the drawings together with embodiments (examples) according to the present invention.
【0018】ここで、本発明の実施形態を説明するため
に使用される用語の定義もしくは意味を以下に記述す
る。
・ネットワーク利用者:通信を行うためにコンピュータ
などをネットワークに接続し、そのコンピュータなどを
使用する人物である。
・ネットワーク機器:コンピュータが通信を行うネット
ワークに接続されている機器やソフトウェアである。
・ネットワーク管理者:ネットワーク利用者が利用でき
るコンピュータやサービスの決定などネットワーク機器
の管理方針を作成する人物である。
・ネットワーク機器設定者:ネットワーク管理者の管理
方針に基づいて、ネットワーク機器の設定を行う人物で
ある。
・ネットワーク資源:ネットワーク機器やユーザ、サー
ビス、IPアドレスなどネットワークに関係する実体や
情報である。
・論理閉域網:ゲートウェイやファイアウォールなどで
物理的に他のネットワークと切り離されている物理ネッ
トワークに制限されることなく、特定のコンピュータな
どだけが通信できるように情報に特定の識別子を付与し
たり、特定の鍵による暗号化を施すことによって実現す
るネットワークである。
・更新:情報やデータの追加、変更、削除を行うことで
ある。
・ドメイン:情報やデータの定義域。有限、もしくは無
限個の要素からなる集合。
・射影演算:関係代数における演算の一つ。リレーショ
ンR(A1、A2・・・An)の全属性集合{A1、A2、・・・、
An}の部分集合xを、x={Ai1、Ai2、・・・、A ik}、
ただし、1≦i1<i2<、・・・、<ik≦nとすると
き、リレーションR(A1、A2、・・・、An)のx上の射
影を、R[Ai1、Ai2、・・・、Aik]、またはR[X]
と書く。・結合演算: 関係代数における演算の一つ。
リレーションR(A1、A2・・・An)とリレーションS
(B1、B2、・・・、Bn)のAiとBj上のθ-結合を、R
[AiθBj]Sと書く。ここで、θは=、<、>、≠な
どの比較演算子であり、R[AiθBj]S={(t,
u)|t∈R∧u∈S∧t[Ai]θu[Bj]}とする。To explain the embodiment of the present invention,
The definitions or meanings of the terms used in
It
・ Network users: Computers for communication
Etc. to the network and connect the computer etc.
The person to use.
-Network device: A network through which computers communicate
Devices and software connected to the work.
-Network administrator: Can be used by network users
Computers and network devices such as service decisions
Is the person who creates the management policy for.
・ Network device configurator: Network administrator management
A person who configures network devices based on the policy.
is there.
・ Network resources: Network devices, users, servers
Network-related entities such as services and IP addresses
Information.
・ Logical closed network: Gateways, firewalls, etc.
A physical network that is physically separated from other networks.
Network without being restricted to a specific computer
Give a specific identifier to the information so that only
Or by encrypting with a specific key.
Network.
・ Update: By adding, changing or deleting information or data
is there.
-Domain: The domain of information and data. Finite or nothing
A set consisting of a limited number of elements.
Projective operation: One of the operations in relational algebra. Relay show
R (A1, A2... An) All attribute set {A1, A2...
An}, A subset x of x = {Ai1, Ai2・ ・ ・, A ik},
However, if 1 ≦ i1 <i2 <, ..., <ik ≦ n
Relation R (A1, A2・ ・ ・, An) On x
Shadow, R [Ai1, Ai2・ ・ ・, Aik], Or R [X]
Write. -Join operation: One of the operations in relational algebra.
Relation R (A1, A2... An) And relation S
(B1, B2, ..., Bn) AiAnd BjThe above θ-bond is R
[AiθBj] Write S. Where θ is =, <,>, ≠
Which comparison operator is R [AiθBj] S = {(t,
u) | t∈R∧u∈S∧t [Ai] Θu [Bj]}.
【0019】[0019]
【発明の実施の形態】まず、本発明に係るセキュリティ
ポリシ管理方法及び装置の実施形態について説明する。BEST MODE FOR CARRYING OUT THE INVENTION First, embodiments of a security policy management method and apparatus according to the present invention will be described.
【0020】図2は、本発明に係る一実施形態のコンピ
ュータシステムからなるセキュリティポリシ管理装置の
概略構成を示す模式図である。図2において、11はネ
ットワーク利用者からの通信要求を受け付ける第1のイ
ンタフェース、12はネットワーク管理者がセキュリテ
ィポリシを管理する第2のインタフェース、13はセキ
ュリティポリシ管理装置からネットワーク機器等に設定
を行う第3のインタフェース、14は他セキュリティポ
リシ管理装置へのセキュリティポリシ登録を行うセキュ
リティポリシ連結部、21はネットワーク利用者からの
通信要求をチェックする通信要求チェック部、22は通
信要求を実現するために使える手段を検索する論理閉域
網生成手段検索部、23は論理閉域網生成手段検索部2
2で複数の結果が検索された場合に一つの手段を選択す
る論理閉域網生成手段選択機構部、24は論理閉域網生
成手段選択機構部23の結果に基づいて現在のネットワ
ーク機器、ソフトウェア等に設定されている状態をチェ
ックするセキュリティ保護ツール設定チェック部(ネッ
トワーク機器設定チェック部)である。FIG. 2 is a schematic diagram showing a schematic configuration of a security policy management device including a computer system according to an embodiment of the present invention. In FIG. 2, 11 is a first interface that receives a communication request from a network user, 12 is a second interface in which a network administrator manages a security policy, and 13 is set from a security policy management device to a network device or the like. A third interface, 14 is a security policy connection unit for registering a security policy with another security policy management device, 21 is a communication request check unit for checking a communication request from a network user, and 22 is for realizing a communication request. A logical closed network generating means searching unit 23 for searching a usable means, and a logical closed network generating means searching unit 23.
The logical closed network generating means selecting mechanism section 24 selects one means when a plurality of results are retrieved in step 2, and the current closed loop network generating means selecting mechanism section 23 selects the current network equipment, software, etc. based on the result. The security protection tool setting check unit (network device setting check unit) checks the set state.
【0021】30はセキュリティポリシを保存している
セキュリティポリシデータベース(データベース部)で
あり、このセキュリティポリシデータベース30には、
論理閉域網の状態を管理する論理閉域網構成要素管理部
31、ネットワーク管理者によって管理されているセキ
ュリティポリシ構成要素管理機構部32、及びセキュリ
ティ保護ツールの状態を管理しているセキュリティ保護
ツール構成要素管理部33を有している。Reference numeral 30 denotes a security policy database (database section) which stores security policies. The security policy database 30 includes
A logical closed network component management unit 31 that manages the state of the logical closed network, a security policy component management mechanism unit 32 that is managed by the network administrator, and a security protection tool component that manages the status of the security protection tool. It has a management unit 33.
【0022】図3は、本実施形態のセキュリティポリシ
管理装置の動作手順を示す流れ図である。まず、ネット
ワーク管理者が管理対象範囲のセキュリティポリシを決
め、それをセキュリティポリシ管理装置に登録する(S
31)。このセキュリティポリシは必要に応じて、ネッ
トワーク管理者が追加、修正、又は削除することができ
る。この状態以降は、ネットワーク利用者による通信要
求を受け付け(S32)、それをネットワーク機器等に
設定することによって(S33)、ネットワーク利用者
の要求する通信を実現する。FIG. 3 is a flow chart showing the operation procedure of the security policy management apparatus of this embodiment. First, the network administrator determines the security policy of the management target range and registers it in the security policy management device (S
31). This security policy can be added, modified, or deleted by the network administrator as needed. After this state, the communication request from the network user is accepted (S32), and by setting it in the network device or the like (S33), the communication requested by the network user is realized.
【0023】図4は、前記図2に示すセキュリティポリ
シ管理装置の動作手順の最初であるネットワーク管理者
によるセキュリティポリシ管理の処理手順を示す流れ図
である。第2のインタフェース(セキュリティポリシ管
理インタフェース)12から入力されたセキュリティポ
リシは、図4に示すように、追加、変更、又は削除の処
理が行われ(S41、S42、S43)、その結果は、
セキュリティポリシ構成要素管理部32に保存される
(S44)。FIG. 4 is a flow chart showing a security policy management processing procedure by the network administrator, which is the first operation procedure of the security policy management apparatus shown in FIG. As shown in FIG. 4, the security policy input from the second interface (security policy management interface) 12 is added, changed, or deleted (S41, S42, S43), and the result is
It is stored in the security policy component management unit 32 (S44).
【0024】図5は、セキュリティポリシ管理装置の動
作手順(図3)のネットワーク利用者による通信要求処
理と、セキュリティポリシ管理装置による機器設定処理
の両者に関わる処理手順を示している。これらの処理
は、ネットワーク利用者の通信要求が、第1のインタフ
ェース(ユーザ要求インタフェース)11から入力され
たことにより削除の場合は、通信要求チェック部21
は、要求時点に存在している論理閉域網の情報を論理閉
域網構成要素管理部31から得る。FIG. 5 shows a processing procedure relating to both the communication request processing by the network user and the device setting processing by the security policy management apparatus in the operation procedure of the security policy management apparatus (FIG. 3). These processes are performed by the communication request check unit 21 when the communication request of the network user is deleted by being input from the first interface (user request interface) 11.
Obtains information on the logical closed network existing at the time of request from the logical closed network constituent element management unit 31.
【0025】図5に示すように、入力された通信要求
が、要求を受け付けたセキュリティポリシ管理装置10
00の管理対象範囲内の要求か、他セキュリティポリシ
管理装置2000の管理対象範囲に属する機器との通信
が含まれるかという管理対象チェックを、通信要求チェ
ック部21が、セキュリティポリシ構成要素管理部32
に対して行う(S51)。この結果、他セキュリティポ
リシ管理装置にセキュリティポリシを管理されている機
器との通信要求が含まれている場合(NG)、その管理
装置2000を特定し、特定した管理装置2000のセ
キュリティポリシ連結部2001に対して、セキュリテ
ィポリシ連結部14からセキュリティポリシの問い合わ
せを行う(S52)。As shown in FIG. 5, the input communication request is the security policy management device 10 that has accepted the request.
00, the communication request check unit 21 checks the management target whether the request is within the management target range of 00 or communication with a device belonging to the management target range of the other security policy management apparatus 2000.
(S51). As a result, when the other security policy management device includes a communication request with a device whose security policy is managed (NG), the management device 2000 is specified, and the security policy connection unit 2001 of the specified management device 2000 is specified. The security policy connection unit 14 inquires about the security policy (S52).
【0026】これとは別に、通信要求がセキュリティポ
リシ管理装置1000のセキュリティポリシの範囲内で
あるか否かを、通信要求チェック部21が、セキュリテ
ィポリシ構成要素管理部32で行う(S53)。セキュ
リティポリシ管理装置1000で通信要求がセキュリテ
ィポリシの範囲内であることが確認され、同時に、セキ
ュリティポリシ管理装置2000でも通信要求がセキュ
リティポリシの範囲内であることが確認され(OK)、
その結果をセキュリティポリシ管理装置1000が受け
取った場合は、機器設定処理を行う(S54)。また、
いずれか一方のセキュリティポリシ管理装置でセキュリ
ティポリシに合わない通信要求である(NG)ことが明
らかになった場合には、そこで通信要求を実現するため
の処理は中断し、通信要求を出したネットワーク利用者
に対してメッセージで通知して(S55)処理を終了す
る。Separately from this, the communication request check unit 21 determines whether the communication request is within the security policy of the security policy management apparatus 1000 by the security policy component management unit 32 (S53). The security policy management apparatus 1000 confirms that the communication request is within the security policy range, and at the same time, the security policy management apparatus 2000 also confirms that the communication request is within the security policy range (OK).
When the security policy management apparatus 1000 receives the result, a device setting process is performed (S54). Also,
If one of the security policy management devices reveals that the communication request does not meet the security policy (NG), the process for realizing the communication request is interrupted and the network that issued the communication request is interrupted. A message is sent to the user (S55), and the process ends.
【0027】前記機器設定処理(S54)では、セキュ
リティポリシ管理装置1000の管理対象範囲に存在す
る要求された通信を実現するために必要なネットワーク
機器、ソフトウェア等を、論理閉域網生成手段検索部2
2が、セキュリティポリシ構成要素管理部32から検索
する(S56)。この検索結果が、単数の場合(OK)
は、その結果を用い、複数の場合(OK)は、論理閉域
網生成手段選択部23において、生成手段を登録時に手
段毎に付与しておいたツールの評価項目、例えば、セキ
ュリティ強度等を利用して一種類に絞込んだ結果を用
い、セキュリティ保護ツール設定チェック部24が、セ
キュリティ保護ツール構成要素管理部33で、その時点
の機器設定情報を収集し、その設定状態と矛盾がなけれ
ば、第3のインタフェース(ネットワーク機器制御イン
タフェース)13から機器設定エージェント41に設定
情報を渡して、機器設定エージェント41が必要な機器
の設定処理を行うと共に、設定した情報を論理閉域網構
成要素管理部31及びセキュリティ保護ツール構成要素
管理部33に保存する。In the device setting process (S54), the logical closed network generating means searching unit 2 finds network devices, software, etc., which are present in the management target range of the security policy management apparatus 1000 and are required to realize the requested communication.
2 retrieves from the security policy component management unit 32 (S56). If this search result is singular (OK)
Is used, and in a plurality of cases (OK), the logical closed network generating means selecting unit 23 uses the evaluation item of the tool assigned to each means at the time of registration, for example, the security strength. Then, the security protection tool setting check unit 24 collects the device setting information at that time in the security protection tool component management unit 33 using the result narrowed down to one type, and if there is no contradiction with the setting state, The setting information is passed from the third interface (network device control interface) 13 to the device setting agent 41 so that the device setting agent 41 performs the necessary device setting process, and the set information is stored in the logical closed network constituent element management unit 31. And the security protection tool component management unit 33.
【0028】次に、セキュリティポリシ管理装置200
0の管理対象範囲に属する機器との通信が必要な場合
(NG)には、セキュリティ保護ツール設定チェック部
24が、セキュリティポリシ連結部14から、セキュリ
ティポリシ連結部2001へ機器設定依頼を通知する
(S57)。セキュリティポリシ管理装置2000は、
この設定依頼を受け、セキュリティポリシ管理装置20
00の管理範囲内にあるネットワーク機器、ソフトウェ
ア等に設定処理を行って通信要求処理と機器設定処理を
終了する。Next, the security policy management device 200
When communication with a device belonging to the management target range of 0 is necessary (NG), the security protection tool setting check unit 24 notifies the security policy connecting unit 2001 of the device setting request from the security policy connecting unit 14 ( S57). The security policy management device 2000
Upon receiving this setting request, the security policy management device 20
The network device, software, etc. within the management range of 00 are set, and the communication request process and the device setting process are ended.
【0029】前記通信要求チェック部21の処理は、図
6に示すように、まず、通信要求の種別は、論理閉域網
の変更又は削除であるかをチェックする(S60)。こ
の結果、通信要求の種別が論理閉域網の変更又は削除で
あった場合は、論理閉域網構成要素管理部31から論理
閉域網情報を取得する(S61)。次に、通信要求に含
まれる通信要求範囲をチェックする(S62)。そのチ
ェック結果、通信要求が自装置管理対象範囲内であれ
ば、自装置のセキュリティポリシの検索を行い(S6
3)、通信要求が自装置管理対象範囲外にも跨る場合
は、セキュリティポリシ連結処理を行い(S64)、次
のステップS65に移る。ステップS65では通信要求
がセキュリティポリシの範囲内にあるかをチェックし、
前記通信要求がセキュリティポリシの範囲内にあれば
(OK)、機器設定処理を行い(S66)、前記通信要
求がセキュリティポリシの範囲外にあれば(NG)、通
信要求の否決をユーザに通知して(S67)、通信要求
チェックの処理は終了する。As shown in FIG. 6, the process of the communication request check unit 21 first checks whether the type of communication request is a change or deletion of the logical closed network (S60). As a result, when the type of the communication request is the change or deletion of the logical closed network, the logical closed network information is acquired from the logical closed network component management unit 31 (S61). Next, the communication request range included in the communication request is checked (S62). As a result of the check, if the communication request is within the management range of the own device, the security policy of the own device is searched (S6).
3) If the communication request extends beyond the management range of the own device, the security policy connection process is performed (S64), and the process proceeds to the next step S65. In step S65, it is checked whether the communication request is within the security policy range,
If the communication request is within the security policy range (OK), device setting processing is performed (S66), and if the communication request is outside the security policy range (NG), the user is notified of the rejection of the communication request. (S67), the communication request check process ends.
【0030】前記セキュリティポリシ連結の処理は、図
7に示すように、他のセキュリティポリシ管理装置20
00を特定し(S71)、通信要求内容を他のセキュリ
ティポリシ管理装置2000へ通知する(S72)。次
に、セキュリティポリシチェック結果を受信し(S7
3)、セキュリティポリシ連結の処理を終了する。As shown in FIG. 7, the security policy connection processing is performed by another security policy management device 20.
00 is specified (S71), and the content of the communication request is notified to the other security policy management device 2000 (S72). Next, the security policy check result is received (S7
3), the security policy concatenation process ends.
【0031】前記機器設定処理は、図8に示すように、
論理閉域網生成手段を検索し(S81)、この検索され
た論理閉域網生成手段のうちから所定の論理閉域網生成
手段を選択し(S82)、その選択された論理閉域網生
成手段は、設定に矛盾しないかチェックする(S8
3)。設定に矛盾しない(OK)時は、機器設定エージ
ェントによる機器の設定を行い(S84)、その機器設
定情報の保存を行う(S85)。設定に矛盾がある(N
G)時は、矛盾発生のメッセージを表示し(S88)、
機器設定処理は終了する。The device setting process is as shown in FIG.
The logical closed network generating means is searched (S81), a predetermined logical closed network generating means is selected from the searched logical closed network generating means (S82), and the selected logical closed network generating means is set. Check if there is a contradiction (S8
3). If the settings do not conflict (OK), the device setting agent sets the device (S84), and the device setting information is saved (S85). The settings are inconsistent (N
At the time of G), a message of occurrence of inconsistency is displayed (S88),
The device setting process ends.
【0032】次のステップS86で通信要求範囲のチェ
ックを行い、前記通信要求が自装置管理対象範囲外にあ
れば、他装置への機器の設定依頼し(S87)、前記機
器設定情報が自装置管理対象範囲内にあれば、機器設定
処理は終了する。In the next step S86, the communication request range is checked, and if the communication request is outside the control range of the own device, a device setting request is sent to another device (S87), and the device setting information indicates the own device. If it is within the management target range, the device setting process ends.
【0033】前記論理閉域網生成手段の検索処理は、図
9に示すように、通信要求に含まれる端末を導出し(S
91)、その導出された端末に許可されている手段を検
索し(S92)、論理閉域網生成手段の検索処理は終了
する。In the search processing of the logical closed network generating means, as shown in FIG. 9, the terminal included in the communication request is derived (S).
91), the means permitted by the derived terminal is searched (S92), and the search processing of the logical closed network generating means ends.
【0034】前記論理閉域網生成手段の選択処理は、図
10に示すように、論理閉域網生成手段の選択し(S1
01)、選択された論理閉域網生成手段は複数かをチェ
ックし(S102)、複数であれば(Yes)、論理閉
域網生成手段毎に登録されている評価項目から最良の手
段を選択して(S103)、論理閉域網生成手段を選択
する(S104)。前記選択された論理閉域網生成手段
に基づいて論理閉域網を構築することができる。つま
り、従来通りにセキュリティポリシを保った論理閉域網
を作り出すことができる。In the selection process of the logical closed network generating means, as shown in FIG. 10, the logical closed network generating means is selected (S1).
01), it is checked whether the selected logical closed network generating means is plural (S102), and if there is plural (Yes), the best means is selected from the evaluation items registered for each logical closed network generating means. (S103), a logical closed network generating means is selected (S104). A logical closed network can be constructed based on the selected logical closed network generating means. In other words, it is possible to create a logical closed network that maintains the security policy as usual.
【0035】図1は、本発明による一実施形態のネット
ワーク機器設定項目関連処理装置の概略構成を示すブロ
ック構成図である。図1において、100はコンピュー
タシステムからなるネットワーク機器設定項目関連処理
装置、201はネットワーク情報、202は関連定義情
報(以下、単に関連定義と称する)、203は関連ルー
ル定義情報(以下、単に関連ルール定義と称する)、3
01は論理閉域網構成条件、401はネットワーク機器
設定項目、101はネットワーク機器設定者からの論理
閉域網構成条件301を受付けてネットワーク機器設定
項目401を導出する関連処理エンジン、102はネッ
トワーク情報201、関連定義202、及び関連ルール
定義203を保存する関連データベース、121はネッ
トワーク管理者からネットワーク情報201を受付けて
関連データベース102を更新するネットワーク情報管
理部、122はネットワーク管理者から関連定義202
を受付けて関連データベース102を更新する関連定義
管理部、123はネットワーク管理者から関連ルール定
義203を受付けて関連データベース102を更新する
設定ルール定義管理部である。FIG. 1 is a block diagram showing the schematic arrangement of a network device setting item related processing device according to an embodiment of the present invention. In FIG. 1, reference numeral 100 is a network device setting item related processing device including a computer system, 201 is network information, 202 is related definition information (hereinafter, simply referred to as related definition), 203 is related rule definition information (hereinafter, simply related rule). Called definition), 3
01 is a logical closed network configuration condition, 401 is a network device setting item, 101 is a related processing engine which receives the logical closed network configuration condition 301 from the network device setting person and derives the network device setting item 401, 102 is network information 201, A related database that stores the related definition 202 and the related rule definition 203, 121 is a network information management unit that receives the network information 201 from the network administrator and updates the related database 102, and 122 is the related definition 202 from the network administrator.
Is a related definition management unit that receives the related rule definition 203 from the network administrator and updates the related database 102.
【0036】図1に示すように、本実施形態のネットワ
ーク機器設定項目関連処理装置100は、関連データベ
ース102、ネットワーク管理者からネットワーク情報
201を受付けて関連データベース102を更新するネ
ットワーク情報管理部121、ネットワーク管理者から
関連定義202を受付けて関連データベース102を更
新する関連定義管理部122、ネットワーク管理者から
関連ルール定義203を受付けて関連データベース10
2を更新する設定ルール定義管理部123、及びネット
ワーク機器設定者から論理閉域網構成条件301を受付
けてネットワーク機器設定項目401を導出する関連処
理エンジン101を備えている。As shown in FIG. 1, the network device setting item related processing apparatus 100 of this embodiment includes a related database 102, a network information management unit 121 which receives network information 201 from a network administrator and updates the related database 102. A related definition management unit 122 that receives a related definition 202 from a network administrator and updates the related database 102, and receives a related rule definition 203 from a network administrator and related database 10
2, and a related processing engine 101 that receives a logical closed network configuration condition 301 from a network device setter and derives a network device setting item 401.
【0037】前記ネットワーク情報201、関連定義2
02、関連ルール定義203、及び論理閉域網構成条件
301は、前記ネットワーク機器設定項目関連処理装置
100に入力する情報であり、ネットワーク機器設定項
目401は、前記ネットワーク機器設定項目関連処理装
置100から出力される情報である。Network information 201, relation definition 2
02, the related rule definition 203, and the logical closed network configuration condition 301 are information input to the network device setting item related processing device 100, and the network device setting item 401 is output from the network device setting item related processing device 100. This is the information to be provided.
【0038】前記ネットワーク情報201、関連定義2
02、論理閉域網構成条件301、及びネットワーク機
器設定項目401は、関係表として表現する。以降で、
表1に示す関係表Relationは、数1の式(関係
表Relationの関係代数表現)のように表記す
る。Network information 201, relation definition 2
02, the logical closed network configuration condition 301, and the network device setting item 401 are expressed as a relation table. After that,
The relational table Relation shown in Table 1 is expressed as an expression of Equation 1 (relational algebraic expression of the relational table Relation).
【0039】[0039]
【表1】 [Table 1]
【0040】[0040]
【数1】
前記ネットワーク情報201は、ネットワーク資源に関
する情報で構成される。これらは、ホスト名、IPアド
レス(:ホスト名毎に対応するIPアドレス)やユーザ
名、ユーザID(:ユーザ名毎に付与されたユーザI
D)、ネットワーク機器種類名、ホスト名(:設置され
ているネットワーク機器の種類と設置場所)などで構成
される。[Equation 1] The network information 201 is composed of information about network resources. These are the host name, IP address (: IP address corresponding to each host name), user name, user ID (: user I assigned to each user name).
D), network device type name, host name (: type of installed network device and installation location), and the like.
【0041】前記関連定義202は、前記ネットワーク
情報201同士を関連付けた定義で構成される。これら
は、ホスト名、ユーザ名(:どのホストを、どのユーザ
が利用しているか)やsource IPアドレス、d
estination IPアドレス、ホスト名(:どの
通信組合せには、どこに設置されているネットワーク機
器の設定が必要か)などで構成される。The related definition 202 is composed of definitions in which the network information 201 are associated with each other. These are the host name, user name (: which user is using which host), source IP address, d
destination IP address, host name (: which communication combination requires the setting of the network device installed therein), and the like.
【0042】前記関連ルール定義203は、論理閉域網
構成条件301からネットワーク機器設定項目401を
導出するための関連ルール定義で構成される。これら
は、ネットワーク機器設定項目401の属性Q1、Q2、
・・・、QQの各属性Qqに関して、論理閉域網構成条件3
01に含まれる属性Ffと、前記ネットワーク情報20
1、及び関連定義202との関連ルール定義で構成され
る。この関連ルール定義203は、ネットワーク機器設
定項目401を導出するための設定ルール定義で構成さ
れる。これらは、ネットワーク機器設定項目401に対
する結合演算と射影演算の、演算対象と演算手順を決定
することで実現する。演算対象の定義は、数2の式の
1、2、・・・、Tの各tに関して、i、j、k、NRの
具体値を決定することで実現する。ここで、NRt(N
Ct1、NCt2、・・・、NCtm)は、ネットワーク情報
201に含まれる関係表、または関連定義202に含ま
れる関係表、または関係表Vt(Ct1、Ct2、・・・、
Ctm)とする。The related rule definition 203 is composed of related rule definitions for deriving the network device setting item 401 from the logical closed network configuration condition 301. These are the attributes Q 1 , Q 2 of the network device setting item 401,
..., for each attribute Q q of Q Q , logical closed network construction condition 3
Attribute Ff included in 01 and the network information 20.
1 and the related rule definition with the related definition 202. The related rule definition 203 is composed of setting rule definitions for deriving the network device setting item 401. These are realized by determining the calculation target and the calculation procedure of the connection calculation and the projection calculation for the network device setting item 401. The definition of the calculation target is realized by determining specific values of i, j, k, and NR for each t of 1, 2, ... Here, NRt (N
Ct 1 , NCt 2 , ..., NCt m ) are relation tables included in the network information 201 or relation tables included in the relation definition 202, or relation tables Vt (Ct 1 , Ct 2 ,.
Ct m ).
【0043】[0043]
【数2】
前記論理閉域網構成条件301は、論理閉域網の構成を
要求する際に指定する構成条件で構成される。これら
は、ユーザ名、サーバホスト名、セキュリティレベ
ル(:どのユーザが、どのサーバのサービスを、どのよ
うなセキュリティレベルで利用できる論理閉域網か)な
どで構成される。[Equation 2] The logical closed network configuration condition 301 is composed of configuration conditions specified when requesting the configuration of the logical closed network. These are composed of a user name, a server host name, a security level (: which user is a logical closed network which server can use the service of what server).
【0044】前記ネットワーク機器設定項目401は、
ネットワーク横器の種類毎に必要となる設定項目で構成
される。これらは、ホスト名、ネットワーク機器種類
名、source IPアドレス、destinati
on IPアドレス、ポート番号(:どこに設置されて
いるか、どの種類のネットワーク機器に対して、どの通
信組合せで、どのポートを利用することの許可を設定す
るか)などで構成される。The network device setting item 401 is
It consists of setting items required for each type of network lateral device. These are the host name, network device type name, source IP address, and destination.
on IP address, port number (: where it is installed, what kind of network combination, which communication combination, and which port is set to be allowed to be used).
【0045】ネットワーク機器設定項目関連処理装置1
00の状態遷移図を図11に示す。図12は、ネットワ
ーク機器設定項目関連処理装置100の処理手順を示す
流れ図である。Network device setting item related processing device 1
A state transition diagram of 00 is shown in FIG. FIG. 12 is a flowchart showing a processing procedure of the network device setting item related processing device 100.
【0046】ネットワーク機器設定項目関連処理装置1
00の処理は、図12に示すように、まず、初期状態に
おいて、ネットワーク管理者が、ネットワーク情報20
1、関連定義202、及び関連ルール定義203を定
め、ネットワーク情報管理部121、関連定義管理部1
22、及び設定ルール定義管理部123からネットワー
ク機器設定項目関連処理装置100へ入力することによ
り、関連データベース102へ新規追加を行う(S10
1)。この状態以降は、ネットワーク管理者が、ネット
ワーク情報201、関連定義202、または関連ルール
定義203を定め(S102)、ネットワーク情報管理
部121、関連定義管理部122、または設定ルール定
義管理部123からネットワーク機器設定項目関連処理
装置100へ入力することによる、関連データベース1
02への更新処理(S103、S104)、及びネット
ワーク横器設定者が、論理閉域網構成条件301を定
め、関連処理エンジン101へ入力することによる、ネ
ットワーク機器設定項目401の導出処理が任意に行わ
れる(S105)。Network device setting item related processing device 1
As shown in FIG. 12, in the processing of 00, first, in the initial state, the network administrator sets the network information 20
1, the related definition 202, and the related rule definition 203 are defined, and the network information management unit 121 and the related definition management unit 1
22 and from the setting rule definition management unit 123 to the network device setting item related processing apparatus 100 to newly add to the related database 102 (S10).
1). After this state, the network administrator defines the network information 201, the related definition 202, or the related rule definition 203 (S102), and the network information management unit 121, the related definition management unit 122, or the setting rule definition management unit 123 sets the network. Related database 1 by inputting to device setting item related processing device 100
02 (S103, S104) and the derivation process of the network device setting item 401 by the network lateral device setting person defining the logical closed network configuration condition 301 and inputting it to the related processing engine 101. (S105).
【0047】ネットワーク管理者が、ネットワーク情報
管理部121、関連定義管理部122、及び設定ルール
定義管理部123からネットワーク機器設定項目関連処
理装置100へ指示することにより、関連データベース
102を全て削除した場合には初期状態に戻り、ネット
ワーク機器設定項目関連処理装置100は論理閉域網構
成条件301を受付けることはできなくなる。When the network administrator deletes all the related databases 102 by instructing the network device setting item related processing device 100 from the network information managing unit 121, the related definition managing unit 122, and the setting rule definition managing unit 123. Then, the network device setting item related processing device 100 cannot accept the logical closed network configuration condition 301.
【0048】図13は、前記ネットワーク情報管理部1
21の処理手順を示す流れ図である。FIG. 13 shows the network information management unit 1
21 is a flowchart showing a processing procedure of No. 21.
【0049】前記ネットワーク情報管理部121は、図
13に示すように、まず、ネットワーク管理者からネッ
トワーク情報201の入力を受付け(S201)、受付
けたネットワーク情報201の処理種別の内容を判別し
(S202)、その内容をもとに関連データベース10
2を追加(S203)、または変更(S204)、また
は削除する(S205)。As shown in FIG. 13, the network information management unit 121 first accepts the input of the network information 201 from the network administrator (S201), and determines the content of the processing type of the accepted network information 201 (S202). ), And related database 10 based on its contents
2 is added (S203), changed (S204), or deleted (S205).
【0050】図14は、前記関連定義管理部122の処
理手順を示す流れ図である。FIG. 14 is a flow chart showing the processing procedure of the relation definition management unit 122.
【0051】前記関連定義管理部122は、図14に示
すように、まず、ネットワーク管理者から関連定義20
2の入力を受付け(S301)、受付けた関連定義20
2の処理種別の内容を判別し(S302)、その内容を
もとに関連データベース102を追加(S303)、ま
たは変更(S304)、または削除する(S405)。As shown in FIG. 14, the relation definition management unit 122 first receives the relation definition 20 from the network administrator.
The input of 2 is accepted (S301), and the accepted definition 20
The contents of the processing type 2 are determined (S302), and the related database 102 is added (S303), changed (S304), or deleted based on the contents (S405).
【0052】図15は、前記設定ルール定義管理部12
3の処理手順を示す流れ図である。FIG. 15 shows the setting rule definition managing unit 12
It is a flow chart showing a processing procedure of No. 3.
【0053】前記設定ルール定義管理部123は、図1
5に示すように、ネットワーク管理者から関連ルール定
義203の入力を受付け(S401)、受付けた関連ル
ール定義203の処理種別の内容を判別し(S40
2)、その内容をもとに関連データベース102を追加
(S403)、または変更(S404)、または削除す
る(S405)。The setting rule definition management unit 123 is shown in FIG.
5, the input of the related rule definition 203 is received from the network administrator (S401), and the content of the processing type of the received related rule definition 203 is determined (S40).
2) Based on the contents, the related database 102 is added (S403), changed (S404), or deleted (S405).
【0054】図16は、前記関連処理エンジン101の
処理手順を示す流れ図である。図16において、菱形枠
は「条件の判定」を表し、ループの「<>」はループの
終了を表している。FIG. 16 is a flow chart showing the processing procedure of the related processing engine 101. In FIG. 16, a diamond-shaped frame represents “condition determination”, and “<>” in the loop represents the end of the loop.
【0055】前記関連処理エンジン101の処理は、図
16に示すように、まず、ネットワーク機器設定者から
論理閉域網構成条件301の入力を受付け(S50
1)、設定項目毎のループを定め(S502)(全設定
項目に対してステップS502から後述するステップS
509までの区間で繰り返す)、初期関連表を取得する
(S503)。次に、設定ルールがすべて終了したかを
チェックし(S504)、設定項目毎のループの全てが
終了するまで前記ステップS502からのループを繰り
返し、設定項目毎のループの全設定項目について終了し
たら(Yes)(S509)、ネットワーク機器設定項
目401の導出を行う(ネットワーク機器設定項目40
1を求める)(S510)。In the processing of the related processing engine 101, as shown in FIG. 16, first, the input of the logical closed network configuration condition 301 is accepted from the network equipment setting person (S50).
1), a loop is set for each setting item (S502) (step S502 to be described later for all setting items)
509) and the initial relation table is acquired (S503). Next, it is checked whether all the setting rules are completed (S504), and the loop from step S502 is repeated until all the loops for each setting item are completed, and when all the setting items of the loop for each setting item are completed ( Yes) (S509), the network device setting item 401 is derived (network device setting item 40).
1) (S510).
【0056】前記ステップS504の設定ルールがすべ
て終了したかのチェックにおいて、まだすべて終了して
いなければ(No)、関連ルール定義203の設定ルー
ルを適用して(S505)、設定ルールの演算種別(設
定ルールの演算の種別により分岐する)に従って(S5
06)、論理閉域網構成条件301、ネットワーク情報
201、関連定義202に対して結合演算(S50
7)、もしくは射影演算(S508)を行い、全設定項
目に対してステップS502からのループを繰り返し、
設定項目毎のループの全設定項目について終了したら
(S509)、ネットワーク機器設定項目401の導出
を行う(ネットワーク機器設定項目401を求める)
(S510)。When it is checked in step S504 whether all the setting rules have been completed (No), the setting rules of the related rule definition 203 are applied (S505), and the setting rule calculation type ( According to the type of calculation of the setting rule) (S5
06), the logical closed network configuration condition 301, the network information 201, and the association definition 202 (S50)
7) or projection calculation (S508) is performed, the loop from step S502 is repeated for all setting items,
When all the setting items of the loop for each setting item are completed (S509), the network device setting item 401 is derived (the network device setting item 401 is obtained).
(S510).
【0057】次に、前記関連処理エンジン101は、ネ
ットワーク機器設定項目401の内容をネットワーク機
器設定者へ返す。
(各要部の実施例)
ネットワーク情報201
A(A1、A2):(IPアドレス、ホスト名)
B(B1、B2):(ユーザID、ユーザ名)
C(C1、C2):(ポートNo、サービス名)
D(D1、D2):(ネットワーク機器種類名、ホスト
名)
関連定義202
REL1(R11、R12):(ホスト名、ユーザ名)
REL2(R21、R22、R23):(srcip、
dstip、ホスト名)
REL3(R31、R32):(サービス名、サービス
レベル)
関連ルール定義203
Q4:F[F2=A2]A→V41
V41[A1]→{Q4}
Q3:F[F1=R12]REL1→V31
V31[R11=A2]A→V32
V32[A1]→{Q3}
Q2:V32[A1=R21]REL2→V21
V21[R22=A1]V41→V22
V22[R23=D2]D→V23
V23[D1]→{Q2}
Q1:V22[R23=A2]A→V11
V11[A1]→{Q1}
Q5:F[F3>=R32]REL3→V51
V51[R31=C2]C→V52
V52[C1]→{Q5}
論理閉域網構成条件301
FCUG(F1、F2、F3):(ユーザ名、サーバホ
スト名、セキュリティレベル)
ネットワーク機器設定項目401
EQUIPMENT(Q1、Q2、Q3、Q4、Q
5):(設置ホスト名、ネットワーク機器種類名、so
urceIPアドレス、destinationIPア
ドレス、ポート番号)
なお、ここでいう「コンピュータシステム」とは、OS
や周辺機器等のハードウェアを含むものとする。Next, the related processing engine 101 returns the contents of the network device setting item 401 to the network device setting person. (Example of each main part) Network information 201 A (A1, A2): (IP address, host name) B (B1, B2): (User ID, user name) C (C1, C2): (Port No, Service name) D (D1, D2): (Network device type name, host name) Related definition 202 REL1 (R11, R12): (Host name, user name) REL2 (R21, R22, R23): (srcip,
dstip, host name) REL3 (R31, R32): (service name, service level) Related rule definition 203 Q4: F [F2 = A2] A → V41 V41 [A1] → {Q4} Q3: F [F1 = R12] REL1 → V31 V31 [R11 = A2] A → V32 V32 [A1] → {Q3} Q2: V32 [A1 = R21] REL2 → V21 V21 [R22 = A1] V41 → V22 V22 [R23 = D2] D → V23 V23 [D1] → {Q2} Q1: V22 [R23 = A2] A → V11 V11 [A1] → {Q1} Q5: F [F3> = R32] REL3 → V51 V51 [R31 = C2] C → V52 V52 [C1 ] → {Q5} Logical closed network configuration condition 301 FCUG (F1, F2, F3): (user name, server host name, security level) Network Network device setting item 401 EQUIPMENT (Q1, Q2, Q3, Q4, Q
5): (Installed host name, network device type name, so
urceIP address, destinationIP address, port number) Note that the “computer system” here is the OS
And peripheral equipment and other hardware.
【0058】また、「コンピュータ読み取り可能な記録
媒体」とは、フロッピー(登録商標)ディスク、光磁気
ディスク、ROM、CD−ROM等の可搬媒体、コンピ
ュータシステムに内蔵されるハードディスク等の記録装
置をいう。The "computer-readable recording medium" means a portable medium such as a floppy (registered trademark) disk, a magneto-optical disk, a ROM, a CD-ROM, or a recording device such as a hard disk built in a computer system. Say.
【0059】実施例におけるドメイン一覧表を表2に示
す。Table 2 shows a domain list in the embodiment.
【0060】[0060]
【表2】
以上、本発明者によってなされた発明を、前記実施形態
に基づき具体的に説明したが、本発明は、前記実施形態
に限定されるものではなく、その要旨を逸脱しない範囲
において種々変更可能であることは勿論である。[Table 2] Although the invention made by the present inventor has been specifically described based on the above-described embodiment, the present invention is not limited to the above-described embodiment, and various modifications can be made without departing from the scope of the invention. Of course.
【0061】[0061]
【発明の効果】以上説明したように、本発明によれば、
ネットワーク管理者が、ネットワーク資源に関する情報
と、ネットワーク資源の情報同士の関連を定義した情報
と、ネットワーク資源に関する情報とネットワーク資源
の情報同士の関連を定義する情報、及びネットワーク機
器の設定項目との関連ルールを定義する情報をコンピュ
ータシステムへ事前に登録しておくことにより、ネット
ワーク機器設定者は、論理閉域網を構成するためにネッ
トワーク構成に関する知識が不要になり、かつネットワ
ーク機器の設定項目を意識することなく論理閉域網の構
成条件を記述することが可能となる。これにより、ネッ
トワーク機器設定者に対する設定の負担が軽減され、ネ
ットワークの大規模化や、論理閉域網の構成条件の抽象
度を高めることが容易に行うことができる。As described above, according to the present invention,
A network administrator defines information about network resources, information that defines the relationship between network resource information, information that defines the relationship between network resource information and network resource information, and the relationship between network device setting items. By registering the information defining the rules in the computer system in advance, the network device setting person does not need to have knowledge about the network configuration to configure the logical closed network, and he is aware of the setting items of the network device. It is possible to describe the constituent conditions of a logical closed network without any need. As a result, the burden of setting on the network device setter is reduced, and it is possible to easily increase the scale of the network and increase the degree of abstraction of the logical closed network configuration conditions.
【図1】本発明による一実施形態のネットワーク機器設
定項目関連処理装置の概略構成を示すブロック構成図で
ある。FIG. 1 is a block configuration diagram showing a schematic configuration of a network device setting item related processing device according to an embodiment of the present invention.
【図2】本発明に係る一実施形態のコンピュータシステ
ムからなるセキュリティポリシ管理装置の概略構成を示
すブロック構成図である。FIG. 2 is a block configuration diagram showing a schematic configuration of a security policy management device including a computer system according to an embodiment of the present invention.
【図3】図2に示すセキュリティポリシ管理の処理手順
を示す流れ図である。FIG. 3 is a flowchart showing a processing procedure of security policy management shown in FIG.
【図4】図2に示す機器設定処理の処理手順を示す流れ
図である。FIG. 4 is a flowchart showing a processing procedure of device setting processing shown in FIG.
【図5】図3に示す通信要求の処理手順を示す流れ図で
ある。5 is a flowchart showing a processing procedure of the communication request shown in FIG.
【図6】本実施形態の通信要求チェック部の処理手順を
示す流れ図である。FIG. 6 is a flowchart showing a processing procedure of a communication request check unit of this embodiment.
【図7】本実施形態のセキュリティポリシ連結の処理手
順を示す流れ図である。FIG. 7 is a flowchart showing a processing procedure for security policy connection according to the present embodiment.
【図8】本実施形態の機器設定処理の手順を示す流れ図
である。FIG. 8 is a flowchart showing a procedure of device setting processing according to the present embodiment.
【図9】本実施形態の論理閉域網生成手段の検索処理手
順を示す流れ図である。FIG. 9 is a flowchart showing a search processing procedure of the logical closed network generation means of the present exemplary embodiment.
【図10】本実施形態の論理閉域網生成手段の選択処理
手順を示す流れ図である。FIG. 10 is a flow chart showing a selection processing procedure of the logical closed network generation means of the present exemplary embodiment.
【図11】本実施形態のネットワーク機器設定項目関連
処理装置の状態遷移図である。FIG. 11 is a state transition diagram of the network device setting item related processing device of this embodiment.
【図12】本実施形態のネットワーク機器設定項目関連
処理装置の処理手順を示す流れ図である。FIG. 12 is a flowchart showing a processing procedure of the network device setting item related processing device of the embodiment.
【図13】本実施形態のネットワーク情報管理部の処理
手順を示す流れ図である。FIG. 13 is a flowchart showing a processing procedure of a network information management unit of this embodiment.
【図14】本実施形態の関連定義管理部の処理手順を示
す流れ図である。FIG. 14 is a flowchart showing a processing procedure of a relation definition management unit of the present embodiment.
【図15】本実施形態の設定ルール定義管理部の処理手
順を示す流れ図である。FIG. 15 is a flowchart showing a processing procedure of a setting rule definition management unit of this embodiment.
【図16】本実施形態の関連処理エンジンの処理手順を
示す流れ図である。FIG. 16 is a flowchart showing a processing procedure of a related processing engine of the present embodiment.
11…第1のインタフェース 12…第2のインタフェース 13…第3のインタフェース 14…セキュリティポリシ連結部 21…通信要求チェック部 22…論理閉域網生成手段検索部 23…論理閉域網生成手段選択部 24…セキュリティ保護ツール設定チェック部 30…セキュリティポリシデータベース 31…論理閉域網構成要素管理部 32…セキュリティポリシ構成要素管理部 33…セキュリティ保護ツール構成要素管理部 41…機器設定エージェント 1000…セキュリティポリシ管理装置 2000…セキュリティポリシ管理装置 2001…セキュリティポリシ連結部 100…ネットワーク機器設定項目関連処理装置 101…関連処理エンジン 102…関連データベース 121…ネットワーク情報管理部 122…関連定義管理部 123…設定ルール定義管理部 201…ネットワーク情報 202…関連定義情報(関連定義) 203…関連ルール定義情報(関連ルール定義) 301…論理閉域網構成条件 401…ネットワーク機器設定項目 11 ... First interface 12 ... Second interface 13 ... Third interface 14 ... Security policy connection part 21 ... Communication request check unit 22 ... Logical closed network generating means searching unit 23 ... Logical closed network generation means selection unit 24 ... Security protection tool setting check section 30 ... Security policy database 31 ... Logical closed network component management unit 32 ... Security policy component management unit 33 ... Security protection tool component management unit 41 ... Device setting agent 1000 ... Security policy management device 2000 ... Security policy management device 2001 ... Security policy connection unit 100 ... Network device setting item related processing device 101 ... Related processing engine 102 ... Related database 121 ... Network Information Management Department 122 ... Related Definition Management Department 123 ... Setting rule definition management unit 201 ... Network information 202 ... Related definition information (related definition) 203 ... Related rule definition information (related rule definition) 301 ... Logical closed network configuration condition 401 ... Network device setting item
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開2000−216780(JP,A) 特開 平11−346224(JP,A) 特開 平7−129628(JP,A) 特開 平11−313073(JP,A) 特開 平5−150988(JP,A) 特開 平6−230971(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 12/56 H04L 12/24 H04L 12/26 ─────────────────────────────────────────────────── ─── Continuation of front page (56) Reference JP 2000-216780 (JP, A) JP 11-346224 (JP, A) JP 7-129628 (JP, A) JP 11-313073 (JP, A) JP 5-150988 (JP, A) JP 6-230971 (JP, A) (58) Fields investigated (Int.Cl. 7 , DB name) H04L 12/56 H04L 12 / 24 H04L 12/26
Claims (3)
ワーク資源の情報同士の関連を定義した情報、前記ネッ
トワーク資源に関する情報とネットワーク資源の情報同
士の関連を定義した情報、及びネットワーク機器の設定
項目との関連ルールを定義した情報を、コンピュータシ
ステムの関連データベースに記憶し、前記ネットワーク
資源に関する情報とネットワーク資源の情報同士の関連
を定義した情報、及び前記ネットワーク機器の設定項目
との関連ルールを定義した情報に基づいて論理閉域網の
構成条件からネットワーク機器の設定項目を導出するこ
とを特徴とするネットワーク機器設定内容導出方法。1. A rule relating to information about network resources, information defining relationships between network resource information, information defining relationships between network resource information and network resource information, and network device setting items. Is stored in a relational database of the computer system, and based on information defining the relation between the network resource information and the network resource information, and information defining the relation rule with the setting item of the network device. A method for deriving network device setting contents, which comprises deriving network device setting items from the logical closed network configuration conditions.
理手順を、コンピュータに実行させるプログラムを記録
したコンピュータ読み取り可能な記録媒体であって、ネ
ットワーク資源に関する情報、前記ネットワーク資源の
情報同士の関連を定義した情報、前記ネットワーク資源
に関する情報とネットワーク資源の情報同士の関連を定
義した情報、及びネットワーク機器の設定項目との関連
ルールを定義した情報を、コンピュータシステムの関連
データベースに記憶する手順と、前記ネットワーク資源
に関する情報とネットワーク資源の情報同士の関連を定
義した情報、及び前記ネットワーク機器の設定項目との
関連ルールを定義した情報に基づき、論理閉域網の構成
条件からネットワーク機器の設定項目を導出する手順
を、コンピュータに実行させるプログラムを記録したコ
ンピュータ読み取り可能な記録媒体。2. A computer-readable recording medium in which a program for causing a computer to execute the processing procedure of the method for deriving the setting contents of a network device is recorded, wherein information on network resources and a relation between the information on the network resources are defined. A procedure for storing information, information defining the relation between the network resources and information of the network resources, and information defining the association rules for the setting items of the network equipment in the association database of the computer system; A procedure for deriving the setting items of the network device from the configuration conditions of the logical closed network, based on the information defining the relationship between the information on the network resource information and the information on the network resources, and the information defining the association rules for the setting items of the network device. , On the computer A computer-readable recording medium in which a program to be executed is recorded.
者からネットワーク情報を受付けて前記関連データベー
スを更新するネットワーク情報管理部と、ネットワーク
管理者から関連定義を受付けて前記関連データベースを
更新する関連定義管理部と、ネットワーク管理者からの
関連ルール定義を受付けて前記関連データベースを更新
する設定ルール定義管理部と、ネットワーク機器設定者
から論理閉域網構成条件を受付けてネットワーク機器設
定項目を導出する関連処理エンジンを具備することを特
徴とするネットワーク機器設定内容導出装置。3. A related database, a network information management unit that receives network information from a network manager and updates the related database, and a related definition management unit that receives related definitions from the network manager and updates the related database. A setting rule definition management unit that receives a related rule definition from a network administrator and updates the related database; and a related processing engine that receives a logical closed network configuration condition from the network device setter and derives a network device setting item. A network device setting content derivation device characterized by:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000194082A JP3521188B2 (en) | 2000-06-28 | 2000-06-28 | Network device setting content deriving method and device, and recording medium recording program thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000194082A JP3521188B2 (en) | 2000-06-28 | 2000-06-28 | Network device setting content deriving method and device, and recording medium recording program thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002016635A JP2002016635A (en) | 2002-01-18 |
| JP3521188B2 true JP3521188B2 (en) | 2004-04-19 |
Family
ID=18692967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000194082A Expired - Fee Related JP3521188B2 (en) | 2000-06-28 | 2000-06-28 | Network device setting content deriving method and device, and recording medium recording program thereof |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3521188B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| JP4086027B2 (en) | 2004-09-30 | 2008-05-14 | ブラザー工業株式会社 | Management system and program |
| WO2006095593A1 (en) * | 2005-03-09 | 2006-09-14 | Matsushita Electric Industrial Co., Ltd. | Control device, device control system, device control program, computer-readable recording medium containing the device control program, and setting check data creation method |
-
2000
- 2000-06-28 JP JP2000194082A patent/JP3521188B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002016635A (en) | 2002-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3664370B1 (en) | Network function information management method and related device | |
| US9088617B2 (en) | Method, a system, and a computer program product for managing access change assurance | |
| CN110708322A (en) | Method for realizing proxy service of industrial internet identification analysis system | |
| WO2013099065A1 (en) | Authentication coordination system and id provider device | |
| US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
| TW201520779A (en) | Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model | |
| JP6424820B2 (en) | Device management system, device management method and program | |
| US10282461B2 (en) | Structure-based entity analysis | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| JP2000324104A (en) | Security policy setting method in virtual communication network, security policy manager and virtual communication network system using it | |
| US10013237B2 (en) | Automated approval | |
| CN102281189A (en) | Service implementation method and device based on private attribute of third-party equipment | |
| JP3521188B2 (en) | Network device setting content deriving method and device, and recording medium recording program thereof | |
| WO2021017907A1 (en) | Method and device for optimized inter-microservice communication | |
| JP6193147B2 (en) | Firewall device control device and program | |
| Li et al. | Rule anomaly-free mechanism of security function chaining in 5g | |
| US7971244B1 (en) | Method of determining network penetration | |
| JPWO2013111532A1 (en) | Management system, management method and program | |
| JP4341073B2 (en) | Virtual closed network system, server, user terminal, access method, program, and recording medium | |
| JP5980421B2 (en) | Access control apparatus, access control method and program | |
| JP6871108B2 (en) | Firewall device controls and programs | |
| JP6275180B2 (en) | SETTING INFORMATION GENERATION DEVICE, NETWORK CONTROL DEVICE, METHOD, AND PROGRAM | |
| JP2020173523A (en) | Information processing device and authentication information processing method | |
| JP2015103194A (en) | Mail address control system | |
| JP2019057945A (en) | Information processing apparatus, information processing method, and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040119 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040202 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080213 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090213 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090213 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100213 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110213 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110213 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120213 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |