JP3557152B2 - Centralized firewall device - Google Patents
Centralized firewall device Download PDFInfo
- Publication number
- JP3557152B2 JP3557152B2 JP2000127564A JP2000127564A JP3557152B2 JP 3557152 B2 JP3557152 B2 JP 3557152B2 JP 2000127564 A JP2000127564 A JP 2000127564A JP 2000127564 A JP2000127564 A JP 2000127564A JP 3557152 B2 JP3557152 B2 JP 3557152B2
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- function unit
- interface
- user
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、通信のセキュリティ確保のためのファイアウォール装置に関するものである。
【0002】
【従来の技術】
従来より、あるユーザ網に所属するユーザが通信におけるセキュリティを確保しながらその外部または別のユーザ網との間で通信を行う場合、ファイアウォールと呼ばれるセキュリティ機能を用いて通信を行っていた。
【0003】
従来のファイアウォール装置は、装置毎に単一のファイアウォール機能を有するため、異なるユーザ網間毎に個別に装置を設置する必要があった。
【0004】
図1は、従来のファイアウォール装置を用いたネットワークシステムの一例を示すもので、図中、1はネットワーク、11,12,13,14はユーザ網(USER#1,USER#2,USER#3,USER#4)、21,22,23,24は各ユーザ網11,12,13,14に接続されたユーザ端末(TE#1,TE#2,TE#3,TE#4)、31はネットワーク1に設置された、ユーザ網11−12間のファイアウォール装置(FW#01)、32はネットワーク1に設置された、ユーザ網13−14間のファイアウォール装置(FW#02)である。なお、通常、各ユーザ網には複数のユーザ端末が接続されるが、図面では1つのみ示した。
【0005】
ユーザ網11は、ユーザ網12とファイアウォール装置31経由で接続され、ファイアウォール装置31の設定で許可された通信のみ実行可能である。これにより、ユーザ網11及び12は各々のセキュリティを確保しつつ、通信を行うことができる。
【0006】
同様に、ユーザ網13は、ユーザ網14とファイアウォール装置32経由で接続され、ファイアウォール装置32の設定で許可された通信のみ実行可能である。これにより、ユーザ網13及び14は各々のセキュリティを確保しつつ、通信を行うことができる。
【0007】
ユーザ網11及び12は、ユーザ網13及び14と全く通信を行わない。従って、セキュリティを確保するため、ユーザ網11及び12と、ユーザ網13及び14とは接続しない。
【0008】
ファイアウォール装置31及び32を単一のファイアウォール装置で実現すると、ファイアウォール装置の内部で、本来、通信のないユーザ間の通信が混じるため、セキュリティを確保することが困難になる。このため、ファイアウォール装置31及び32は別々の装置として実現する必要があった。
【0009】
【発明が解決しようとする課題】
エクストラネットの普及等に伴い、ネットワークを利用するユーザが増加すると、外部との通信または異なるユーザ網間の通信の数も増加する。この場合、個別にファイアウォール装置を設置すると、多数の装置を導入することになり、装置コストが増大するという問題があった。また、別々に設置された多数の装置を管理する必要があり、管理が煩雑になるという問題があった。
【0010】
本発明の目的は、セキュリティを確保した複数のユーザ網間通信を1台の装置で実行可能とすることにより、コストの低減及び管理の省力化を実現できる集中型ファイアウォール装置を提供することにある。
【0011】
【課題を解決するための手段】
本発明では、前記課題を解決するため、複数のユーザ網間接続を行うネットワークに設置されるファイアウォール装置であって、個々のユーザ網と接続する複数のインタフェースと、ユーザ網間毎に独立したファイアウォール機能を提供する複数のファイアウォール機能部と、各インタフェースを複数のファイアウォール機能部のいずれかに対応付ける対応付け機能部とを備えたことを特徴とする集中型ファイアウォール装置を提案する。
【0012】
本発明によれば、各インタフェースに接続されたユーザ網を、対応付け機能部により、予め対応付けられたファイアウォール機能部に接続することができ、これによってユーザ網が多数ある場合においても、ユーザ網毎に個別に装置を必要とせず、1台の装置で複数のユーザ網間通信が実現可能となる。
【0013】
【発明の実施の形態】
図2は、本発明の集中型ファイアウォール装置を用いたネットワークシステムの一例を示すもので、図中、従来例と同一構成部分は同一符号をもって表す。即ち、1はネットワーク、11,12,13,14はユーザ網(USER#1,USER#2,USER#3,USER#4)、21,22,23,24は各ユーザ網11,12,13,14に接続されたユーザ端末(TE#1,TE#2,TE#3,TE#4)、40はネットワーク1に設置された集中型ファイアウォール装置である。
【0014】
集中型ファイアウォール装置40は、ユーザ網11−12間のファイアウォール機能部(FW#1)41及びユーザ網13−14間のファイアウォール機能部(FW#2)を備えている。ファイアウォール機能部41及び42は、インタフェースは異なるが、1台の装置内の機能部として実現される。
【0015】
ユーザ網11は、ユーザ網12とファイアウォール機能部41経由で接続され、ファイアウォール機能部41の設定で許可された通信のみ実行可能である。これにより、ユーザ網11及び12は各々のセキュリティを確保しつつ、通信を行うことができる。
【0016】
同様に、ユーザ網13は、ユーザ網14とファイアウォール機能部42経由で接続され、ファイアウォール機能部42の設定で許可された通信のみ実行可能である。これにより、ユーザ網13及び14は各々のセキュリティを確保しつつ、通信を行うことができる。
【0017】
ユーザ網11及び12は、ユーザ網13及び14と全く通信を行わない。従って、セキュリティを確保するため、ユーザ網11及び12と、ユーザ網13及び14とは接続しない。
【0018】
図3は、本発明の集中型ファイアウォール装置の実施の形態の一例を示すもので、図中、A,B,C,Dはそれぞれユーザ網11,ユーザ網12,ユーザ網13,ユーザ網14が接続されるインタフェース、41,42はファイアウォール機能部、43は各インタフェースA〜Dをファイアウォール機能部41,42に対応付けるI/F−FW対応付け機能部である。
【0019】
複数のインタフェースA〜Dは、複数のユーザ網を接続するために使用する。
【0020】
複数のファイアウォール機能部41,42は、ユーザ網間毎に独立したファイアウォール機能を提供するために使用する。複数のファイアウォール機能部41,42は、同一装置内においてファイアウォール機能を提供するソフトウェアを複数のプロセスとして同時に動作させることにより、実現可能である。また、ユーザ網間の接続の許可または拒否を設定するファイアウォールテーブルにおいて、検索キーにファイアウォール機能部を識別する識別子及び方向を追加することにより、一つの前記プロセスを複数のファイアウォール機能部として動作させることも可能である。
【0021】
図4は、I/F−FW対応付け機能部の詳細を示すもので、予め設定した、入力及び出力インタフェースとこれらに対応するファイアウォール機能部との関係を管理するファイアウォール機能管理テーブル431と、通信を受信したインタフェースに対応するファイアウォール機能部をテーブル431から検索し、その識別子を通信に付与する識別子付与機能部432と、付与された識別子に対応するファイアウォール機能部へ通信を送るファイアウォール識別機能部433と、ファイアウォール機能部からの通信に付与された識別子に対応するインタフェースをテーブル431から検索し、該当インタフェースへ通信を出力する出力インタフェース識別機能部434とからなっている。
【0022】
図5は、I/F−FW対応付け機能部の動作例を示すものである。
【0023】
ユーザ網から通信を受信すると、識別子付与機能部432がファイアウォール機能管理テーブル431を検索し、通信を受信した入力インタフェース、例えばAに対応するファイアウォール機能識別子及び方向、ここではFW#1及びI/F#1→I/F#2を取得し、これを通信に付与して、ファイアウォール識別機能部433に送信する。
【0024】
ファイアウォール識別機能部433は、通信に付与された前記ファイアウォール機能識別子及び方向に基づき、通信を対応するファイアウォール機能部41(FW#1)に送信する。
【0025】
出力インタフェース識別機能部434は、ファイアウォール機能部41(FW#1)で処理された通信を受け取ると、ファイアウォール機能管理テーブル431を検索し、該通信に付与されたファイアウォール機能識別子及び方向に対応する出力インタフェース、ここではBを取得し、この出力インタフェースBに送信する。
【0026】
図6は、ファイアウォール機能管理テーブルの一例を示すものである。本テーブルは集中型ファイアウォール装置に設定され、入力及び出力インタフェースとこれらに対応するファイアウォール機能部との関係を管理する。このテーブルにより、集中型ファイアウォール装置は、インタフェースによってユーザ網を識別し、異なるユーザ網間の通信を別々に処理することが可能となる。また、異なるユーザが重複したネットワークアドレスを使用している場合に、通信を受信したインタフェースにより、ユーザを識別することが可能になる。
【0027】
図7は、ファイアウォールテーブルの一例を示すもので、本テーブルは集中型ファイアウォール装置に設定され、ファイアウォール機能管理テーブルで設定されたファイアウール機能部毎にファイアウォールを設定する。このテーブルにより、各ユーザ網間の接続の許可または拒否の設定が可能になる。
【0028】
テーブルの項目にファイアウォール機能識別子及び方向を追加することにより、一つのプロセスを複数のファイアウォール機能部として動作させることができる。ファイアウォールテーブルにファイアウォール機能識別子及び方向の項目を設け、通信に付与されたファイアウォール機能識別子及び方向を検索キーとして検索することにより、通信に対するファイアウォール動作を決定することができる。異なるユーザ網からの通信は、ネットワークアドレスが同一であっても、入力インタフェースの違いにより異なるファイアウォール機能識別子が付与されるため、独立なファイアウォールとして動作できる。
【0029】
【発明の効果】
以上説明したように、本発明によれば、ユーザ網が多数ある場合においても、ユーザ網毎に個別に装置を必要とせず、1台の装置により複数のユーザ網間接続を実現でき、低コストで容易に管理可能なユーザ網間接続を実現できる。
【図面の簡単な説明】
【図1】従来のファイアウォール装置を用いたネットワークシステムの一例を示す構成図
【図2】本発明の集中型ファイアウォール装置を用いたネットワークシステムの一例を示す構成図
【図3】本発明の集中型ファイアウォール装置の実施の形態の一例を示す構成図
【図4】I/F−FW対応付け機能部の詳細を示す構成図
【図5】I/F−FW対応付け機能部の動作例を示す図
【図6】ファイアウォール機能管理テーブルの一例を示す図
【図7】ファイアウォールテーブルの一例を示す図
【符号の説明】
1:ネットワーク、11〜14:ユーザ網(USER#1〜USER#4)、21〜24:ユーザ端末(TE#1〜TE#4)、40:集中型ファイアウォール装置、41,42:ファイアウォール機能部(FW#1,FW#2)、43:I/F−FW対応付け機能部、431:ファイアウォール機能管理テーブル、432:識別子付与機能部、433:ファイアウォール識別機能部、434:出力インタフェース識別機能部、A〜D:インタフェース。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a firewall device for securing communication security.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, when a user belonging to a certain user network communicates with the outside or another user network while ensuring security in communication, communication has been performed using a security function called a firewall.
[0003]
Since a conventional firewall device has a single firewall function for each device, it has been necessary to separately install devices for different user networks.
[0004]
FIG. 1 shows an example of a network system using a conventional firewall device. In the figure,
[0005]
The user network 11 is connected to the
[0006]
Similarly, the
[0007]
The
[0008]
If the
[0009]
[Problems to be solved by the invention]
With the spread of extranets and the like, as the number of users using the network increases, the number of external communications or communications between different user networks also increases. In this case, when the firewall devices are individually installed, a large number of devices are introduced, and there is a problem that the device cost increases. In addition, it is necessary to manage a large number of devices installed separately, and there is a problem that management becomes complicated.
[0010]
An object of the present invention is to provide a centralized firewall device capable of realizing communication between a plurality of user networks with security ensured by one device, thereby realizing cost reduction and labor saving of management. .
[0011]
[Means for Solving the Problems]
According to the present invention, in order to solve the above-mentioned problems, a firewall device installed in a network for connecting a plurality of user networks, comprising: a plurality of interfaces connected to individual user networks; A centralized firewall device comprising a plurality of firewall function units providing functions and an association function unit for associating each interface with one of the plurality of firewall function units is proposed.
[0012]
According to the present invention, the user network connected to each interface can be connected to the firewall function unit previously associated by the association function unit, so that even if there are many user networks, the user network can be connected to the user network. Communication between a plurality of user networks can be realized by one device without requiring an individual device for each.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 2 shows an example of a network system using the centralized firewall device of the present invention. In FIG. 2, the same components as those of the conventional example are denoted by the same reference numerals. That is, 1 is a network, 11, 12, 13, and 14 are user networks (
[0014]
The
[0015]
The user network 11 is connected to the
[0016]
Similarly, the
[0017]
The
[0018]
FIG. 3 shows an example of an embodiment of the centralized firewall device of the present invention. In the figure, A, B, C, and D are
[0019]
The plurality of interfaces A to D are used to connect a plurality of user networks.
[0020]
The plurality of
[0021]
FIG. 4 shows details of the I / F-FW association function unit, and includes a firewall function management table 431 for managing the relationship between the input and output interfaces and the firewall function unit corresponding to them, and a communication function. The firewall function unit corresponding to the interface that received the ID is retrieved from the table 431, and an identifier assigning
[0022]
FIG. 5 shows an operation example of the I / F-FW association function unit.
[0023]
Upon receiving a communication from the user network, the identifier assigning
[0024]
The firewall
[0025]
Upon receiving the communication processed by the firewall function unit 41 (FW # 1), the output interface
[0026]
FIG. 6 shows an example of the firewall function management table. This table is set in the centralized firewall device, and manages the relationship between the input and output interfaces and the corresponding firewall function units. With this table, the centralized firewall device can identify the user network by the interface and separately process communication between different user networks. Further, when different users use the same network address, the user can be identified by the interface that received the communication.
[0027]
FIG. 7 shows an example of a firewall table. This table is set in the centralized firewall device, and a firewall is set for each firewall function unit set in the firewall function management table. With this table, it is possible to set whether to permit or deny connection between user networks.
[0028]
By adding the firewall function identifier and the direction to the items in the table, one process can be operated as a plurality of firewall function units. By providing items of the firewall function identifier and the direction in the firewall table and searching using the firewall function identifier and the direction assigned to the communication as a search key, the firewall operation for the communication can be determined. Communication from different user networks can operate as independent firewalls because different firewall function identifiers are assigned depending on the input interface even if the network addresses are the same.
[0029]
【The invention's effect】
As described above, according to the present invention, even when there are a large number of user networks, it is possible to realize connection between a plurality of user networks with one device without requiring an individual device for each user network, and to reduce cost. And a connection between user networks that can be easily managed.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an example of a network system using a conventional firewall device. FIG. 2 is a configuration diagram showing an example of a network system using a centralized firewall device of the present invention. FIG. 3 is a centralized type of the present invention. FIG. 4 is a configuration diagram showing an example of an embodiment of a firewall device. FIG. 4 is a configuration diagram showing details of an I / F-FW association function unit. FIG. 5 is a diagram showing an operation example of an I / F-FW association function unit. FIG. 6 is a diagram showing an example of a firewall function management table. FIG. 7 is a diagram showing an example of a firewall table.
1: Network, 11 to 14: User network (
Claims (5)
個々のユーザ網と接続する複数のインタフェースと、
ユーザ網間毎に独立したファイアウォール機能を提供する複数のファイアウォール機能部と、
各インタフェースを複数のファイアウォール機能部のいずれかに対応付ける対応付け機能部とを備えた
ことを特徴とする集中型ファイアウォール装置。A firewall device installed in a network for connecting a plurality of user networks,
A plurality of interfaces for connecting to individual user networks;
A plurality of firewall function units for providing an independent firewall function for each user network;
A centralized firewall device comprising: an association function unit for associating each interface with one of a plurality of firewall function units.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000127564A JP3557152B2 (en) | 2000-04-27 | 2000-04-27 | Centralized firewall device |
US09/842,138 US6931437B2 (en) | 2000-04-27 | 2001-04-26 | Concentrated system for controlling network interconnections |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000127564A JP3557152B2 (en) | 2000-04-27 | 2000-04-27 | Centralized firewall device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001306421A JP2001306421A (en) | 2001-11-02 |
JP3557152B2 true JP3557152B2 (en) | 2004-08-25 |
Family
ID=18637141
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000127564A Expired - Lifetime JP3557152B2 (en) | 2000-04-27 | 2000-04-27 | Centralized firewall device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3557152B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3898119B2 (en) * | 2002-12-06 | 2007-03-28 | 日本電信電話株式会社 | Firewall multiplexer and packet distribution method |
JP6821311B2 (en) * | 2016-03-11 | 2021-01-27 | Necプラットフォームズ株式会社 | Relay device, communication system, relay method and relay program |
JP2017175526A (en) * | 2016-03-25 | 2017-09-28 | Necプラットフォームズ株式会社 | Relay device, relay method for relay device, and program for relay |
-
2000
- 2000-04-27 JP JP2000127564A patent/JP3557152B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2001306421A (en) | 2001-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10003968B2 (en) | Apparatus and system effectively using a plurality of authentication servers | |
US7925737B2 (en) | System and method for dynamic configuration of network resources | |
US8670453B2 (en) | Isolating network traffic in multi-tenant virtualization environments | |
RU2115249C1 (en) | Method of ether returning of many communication groups by key | |
US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
CN100473186C (en) | Apparatus, method and system for a remote-page device | |
JP2002359623A (en) | Wireless communication setting method, communication terminal, access point terminal, recording medium and program | |
WO2004051948A1 (en) | Internet connection system and server for routing connection to client device | |
JP4504970B2 (en) | Virtual wireless local area network | |
CN101188604A (en) | A right authentication method for network user | |
CN105721487B (en) | Information processing method and electronic equipment | |
JP3557152B2 (en) | Centralized firewall device | |
CN101599834B (en) | Method for identification and deployment and management equipment thereof | |
US20040199644A1 (en) | Method of assigning a virtual network identifier to a terminal, and a terminal, a dynamic host configuration server, and a directory server for implementing the method | |
CN1732654B (en) | Internet connection system and server for routing connection to client device | |
JP2007049411A (en) | Subnet setting method, local area network system, management device, and lan switch | |
US20050063399A1 (en) | Public internet connecting service system and access line connecting device | |
CN101447927B (en) | Method and routing device for three-layer isolation of user terminals | |
CN103986692B (en) | Data forwarding method and system based on wireless access point | |
JP3965774B2 (en) | Network system | |
CN108259420A (en) | A kind of message processing method and device | |
JP3557155B2 (en) | Centralized address translator | |
JP4872128B2 (en) | Connection control system and connection control method using terminal device | |
CN104378448A (en) | Generalized computer system and method for constructing same | |
JP6551266B2 (en) | Wireless communication device, wireless communication method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040511 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040514 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3557152 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090521 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090521 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100521 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100521 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110521 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120521 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130521 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140521 Year of fee payment: 10 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |