JP3732672B2 - Network security rule management system and network security rule management device - Google Patents

Network security rule management system and network security rule management device Download PDF

Info

Publication number
JP3732672B2
JP3732672B2 JP6387199A JP6387199A JP3732672B2 JP 3732672 B2 JP3732672 B2 JP 3732672B2 JP 6387199 A JP6387199 A JP 6387199A JP 6387199 A JP6387199 A JP 6387199A JP 3732672 B2 JP3732672 B2 JP 3732672B2
Authority
JP
Japan
Prior art keywords
rule
rule information
information
storage unit
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP6387199A
Other languages
Japanese (ja)
Other versions
JP2000259521A (en
Inventor
善行 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP6387199A priority Critical patent/JP3732672B2/en
Publication of JP2000259521A publication Critical patent/JP2000259521A/en
Application granted granted Critical
Publication of JP3732672B2 publication Critical patent/JP3732672B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、ネットワークにおけるセキュリティを実現するためのネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置に関するものである。
【0002】
【従来の技術】
従来、ネットワークにおいては情報の漏洩や破壊を防止する等の目的でセキュリティ装置が導入されている。このセキュリティ装置としては、ファイアウオール(fire wall )装置が知られており、このファイアウオール装置はネットワークにおけるネットワークサイトの接続ポイントに設置される。ここで、ネットワークサイトは、会社における本社、各支社等に対応して設置されるサーバ計算機やクライアント計算等のコンピュータ群である。
【0003】
上記ファイアウオール装置は、設置される接続ポイントにおけるネットワークサイトが本社であるか支社であるか等の特性に応じて、伝送する情報に対し通過・不通過を制御する。この場合、どの情報を通過させるか不通過とするかを決定するためのネットワークセキュリティルール情報(以下、ルール情報)をセットする必要がある。
【0004】
【発明が解決しようとする課題】
従来においては、保守員等がファイアウオール装置の設置場所に赴き、上記ルール情報をセットしていた。このため、セットの際の入力ミスにより適切なルール情報をセットできなかったり、セットのために多大な時間を要するという問題が生じていた。
【0005】
本発明は上記のような従来におけるネットワークセキュリティの問題点に鑑みなされたもので、その目的は、ルール情報を適切にセットすることができ、セットのために要する時間を短縮することの可能なネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置を提供することである。
【0006】
【課題を解決するための手段】
本発明に係るネットワークセキュリティルール管理システムは、ネットワークに設けられ、当該ネットワークを伝送する情報に対し、通過・不通過を制御するセキュリティ装置と、このセキュリティ装置に対して情報を通過させるか不通過とするかを決定するためのネットワークセキュリティルール情報を与えるネットワークセキュリティルール管理装置とを具備するネットワークセキュリティルール管理システムであって、前記セキュリティ装置と前記ネットワークセキュリティルール管理装置とには、それぞれ、全てのセキュリティ装置に共通する共通ルール情報を記憶する共通ルール情報記憶部と、各セキュリティ装置に固有の個別ルール情報を記憶する個別ルール情報記憶部とが備えられており、前記ネットワークセキュリティルール管理装置は、各ルール情報の新規作成を含む更新をした場合に当該更新により更新されたルール情報を記憶する更新ルール情報記憶部と、当該更新ルール情報記憶部に更新ルール情報を記憶するときに、共通ルール情報の格納先情報を記憶するメモリテーブルと個別ルール情報の格納先情報を記憶するメモリテーブルと、前記メモリテーブルに格納先情報が記憶されている場合に、更新されたルール情報が上記更新ルール情報記憶部に記憶されたことを検出して当該更新されたルール情報を前記セキュリティ装置に転送し、当該転送後に前記メモリテーブルの格納先情報を削除する転送手段とを具備することを特徴とする。これによって、更新が行われたルール情報のみが転送されて配布され、無駄な配布を行うことがない。
【0007】
本発明に係るネットワークセキュリティルール管理装置は、ネットワークに設けられ当該ネットワークを伝送する情報に対し通過・不通過を制御するセキュリティ装置に対して、情報を通過させるか不通過とするかを決定するためのネットワークセキュリティルール情報を与えるネットワークセキュリティルール管理装置であって、前記ネットワークセキュリティルール管理装置は、全てのセキュリティ装置に共通する共通ルール情報を記憶する共通ルール情報記憶部と、各セキュリティ装置に固有の個別ルール情報を記憶する個別ルール情報記憶部と、各ルール情報の新規作成を含む更新をした場合に当該更新により更新されたルール情報を記憶する更新ルール情報記憶部と、当該更新ルール情報記憶部に更新ルール情報を記憶するときに、共通ルール情報の格納先情報を記憶するメモリテーブルと個別ルール情報の格納先情報を記憶するメモリテーブルと、前記メモリテーブルに格納先情報が記憶されている場合に、更新されたルール情報が上記更新ルール情報記憶部に記憶されたことを検出して当該更新されたルール情報を前記セキュリティ装置に転送し、当該転送後に前記メモリテーブルの格納先情報を削除する転送手段とを具備することを特徴とする。これによって、更新が行われたルール情報のみが転送されて配布され、無駄な配布を行うことがない。
【0008】
また、ネットワークセキュリティルール管理装置では、転送手段は、更新ルール情報記憶部に更新されたルール情報が記憶されたことを検出して転送した場合に、更新ルール情報記憶部に記憶されているルール情報を、自装置の共通ルール情報記憶部または個別ルール情報記憶部へ記憶することを特徴とする。
【0011】
更に、ネットワークセキュリティルール管理装置では、ネットワークセキュリティルール管理装置には、各ルール情報を転送した場合に転送したルール情報を記憶するバックアップ記憶部が備えられ、転送する手段は、転送したルール情報を前記バックアップ記憶部へ記憶することを特徴とする。これにより、転送したルール情報のバックアップが図られ、転送の不具合等が発生した場合に備えることができる。
【0012】
【発明の実施の形態】
以下添付図面を参照して本発明の実施の形態に係るネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置を説明する。各図において同一の構成要素には同一の符号を付して重複する説明を省略する。図1には、本発明の実施の形態に係るネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置が示されている。図1においては、ネットワーク1にNSR管理装置(ネットワークセキュリティルール管理装置)2が接続されると共に、セキュリティ装置であるファイアウオール装置3−1、3−2が接続されている。
【0013】
NSR管理装置2は、全てのファイアウオール装置に共通する共通ルール情報を記憶する共通ルール情報記憶部4と、各ファイアウオール装置に固有の個別ルール情報を記憶する個別ルール情報記憶部5とが備えられている。また、ファイアウオール装置3−1、3−2にも、それぞれ、全てのファイアウオール装置に共通する共通ルール情報を記憶する共通ルール情報記憶部6−1、6−2と、当該ファイアウオール装置に固有の個別ルール情報を記憶する個別ルール情報記憶部7−1、7−2が備えられている。ファイアウオール装置3−1、3−2は、ネットワーク1と既に説明したようなネットワークサイト8−1、8−2との接続点にセットされ、ネットワーク1とネットワークサイト8−1、8−2との間で伝送される情報に対し、通過・不通過を制御する。この制御には、共通ルール情報記憶部6−1、6−2と、個別ルール情報記憶部7−1、7−2に記憶されているルール情報が用いられる。尚、上記各共通ルール情報記憶部と、各個別ルール情報記憶部とは、必ずしも物理的に分けられている必要はない。
【0014】
全てのファイアウオール装置に共通する共通ルール情報には、「ファイル転送プロトコル(ftp)は通過させない」、「特定の共通サーバに対するパケットは通過させる」など、汎用的なルール情報が含まれ、各ファイアウオール装置に固有の個別ルール情報には、ネットワークサイト8−1、8−2に含まれるサーバ計算機群やクライアント計算機群のネットワークアドレス、或いは特定の計算機に対する発信や着信規制等のようなルール情報が含まれる。
【0015】
NSR管理装置2には、編集・格納手段2a、管理情報記憶手段2b、配布手段2cが備えられている。編集・格納手段2aは、ルール情報を編集し、これをファイルとして共通ルール情報記憶部4、個別ルール情報記憶部5へ格納するものである。管理情報記憶手段2bは、ルール情報の所在(格納アドレス、ディレクトリ等)、ルール情報の最終更新日時、ルール情報の最終配布日時等の情報が記憶されるテーブルである。配布手段2cは、所要のときに共通ルール情報記憶部4、個別ルール情報記憶部5からルール情報を取出し、これをファイアウオール装置3−1、3−2へ配布し、ファイアウオール装置3−1、3−2に備えられている共通ルール情報記憶部6−1、6−2、個別ルール情報記憶部7−1、7−2へ転送する。
【0016】
共通ルール情報記憶部4、個別ルール情報記憶部5を含むNSR管理装置2は、必ずしも全ての構成を含む必要はないが、例えば、図2に示されるように構成されている。つまり、CPU10が主メモリ11に記憶されているプログラム及びデータを用いて各部を制御し及びデータ処理する構成となっている。
【0017】
CPU10には、バス12を介してキーボード制御部13、表示制御部14、マウス制御部15、プリンタ制御部16、磁気ディスク制御部17、通信インタフェース18が接続されている。キーボード制御部13にはキーボード入力装置19が接続されており、各ノードのオペレータがこのキーボード入力装置19を用いて情報を入力可能となっている。表示制御部14には例えばCRTを有するCRT表示装置20が接続されており、必要な情報が表示されるようになっている。マウス制御部15にはポインティングディバイスであるマウス21が接続されており、必要な場合に位置情報を入力することが可能となっている。
【0018】
プリンタ制御部16にはプリンタ装置22が接続されており、情報のプリントアウトが可能となっている。磁気ディスク制御部17には磁気ディスク装置23が接続され、磁気ディスク装置23にはプログラムやデータが記憶され、CPU10により必要に応じてリードライトされる。通信インタフェース18には通信処理部24が接続され、ネットワーク1との間でデータの送受が行われるようにされている。
【0019】
図1に示した管理情報記憶手段2bは、例えば、主メモリ11にメモリテーブルとして具備され、共通ルール情報記憶部4、個別ルール情報記憶部5は、磁気ディスク装置23に該当する。図1に示されている編集・格納手段2a及び配布手段2cは、CPU10が主メモリ11内のプログラムを実行することにより実現される。尚、ファイアウオール装置3−1、3−2は、例えば図2の構成において、プリンタ装置22、キーボード入力装置19、CRT表示装置20、マウス21及びそれらの制御部がなく、通信処理部24を介してネットワークを伝送する情報の通過・非通過に係る制御を行う構成を備える。
【0020】
図1に示した管理情報記憶手段2bには、図3に示されるようなメモリテーブルM1、M2が含まれる。メモリテーブルM1は、共通ルール情報のファイル(共通ルールファイル)の所在(パス名)が記憶されたテーブルであり、メモリテーブルM2は、各ファイアウオール装置3−1、3−2に対する個別ルール情報のファイル(個別ルールファイル)の所在(パス名)が記憶されたテーブルである。ここでは、ファイアウオール装置3−1、3−2のセキュリティシステム名をそれぞれ、セキュリティシステムA、セキュリティシステムBとしてある。
【0021】
以上のように構成されたシステムにおいては、既に述べたようにCPU10が主メモリ11に記憶されている図4に示されるようなプログラムを実行することにより、編集・格納手段2a及び配布手段2cが実現されるので、以下に説明を行う。CPU10は、共通ルールファイルの更新指示が入力されたかを監視している(S1)。更新指示の入力は、例えば、キーボード入力装置19を用いて行われる。
【0022】
上記において更新指示の入力があると、メモリテーブルM1の情報を参照して共通ルール情報記憶部4から共通ルールファイルを主メモリ11上へ読み出す(S2)。勿論、当初には共通ルールファイルには共通ルール情報が含まれていない。そして、オペレータによりキーボード入力装置19を用いて共通ルールファイルの編集(新規作成を含む)がなされるのを受付け(S3)、編集終了となると結果のファイルを共通ルール情報記憶部4の元の所在へ記憶する(S4)。
【0023】
また、CPU10は、個別ルールファイルの更新指示が入力されたかを監視している(S5)。ここにおいて更新指示の入力があると、メモリテーブルM2の情報を参照して指示された個別ルールファイルの所在を得ておき、個別ルール情報記憶部5から該当の個別ルールファイルを主メモリ11上へ読み出す(S6)。勿論、当初には個別ルールファイルには個別ルール情報が含まれていない。そして、オペレータによりキーボード入力装置19を用いて個別ルールファイルの編集(新規作成を含む)がなされるのを受付け(S7)、編集終了となると結果のファイルを個別ルール情報記憶部5の元の所在へ記憶する(S8)。
【0024】
また、CPU10は、ルールファイルの配布指示が入力されたかを監視している(S9)。この指示は、例えば、キーボード入力装置19を用いて直接に、或いはタイマのセットにより間接的に行われる。ここにおいてファイル配布指示の入力があると、メモリテーブルM1、メモリテーブルM2の該当する情報を参照してファイルの所在を得て、ファイアウオール装置3−1、3−2の該当する装置へファイルを送信する(S10)。
【0025】
ファイアウオール装置3−1、3−2は、共通ルールファイルが配布されてくるとこれを共通ルール情報記憶部6−1、6−2へ記憶し、個別ルールファイルが配布されてくるとこれをを記憶する個別ルール情報記憶部7−1、7−2へ記憶する。
【0026】
以上のようにして共通ルール情報と個別ルール情報とを分けて管理しているため、共通ルール情報をNSR管理装置2において入力するだけで済み、従来ファイアウオール装置毎に行っていた入力作業少なくし、入力ミスを減少させることができる。また、共通ルール情報と個別ルール情報とを分けて管理しているため、必要な方のルール情報に編集を加えることができ、効率的である。
【0027】
次に、上記図1に示したシステム及び装置の第1の変形例を説明する。この変形例では、NSR管理装置2に備えられる管理情報記憶手段2bに代えて図5に示される管理情報記憶手段2b−1が備えられ、当該管理情報記憶手段2b−1には、図5に示されるように、メモリテーブルM1−1、M2−1、M3−1が含まれている。メモリテーブルM1−1は、共通ルール情報のファイル(共通ルールファイル)の所在(パス名)と共に、当該共通ルールファイルの最終更新日時が記憶されたテーブルであり、メモリテーブルM2−1は、各ファイアウオール装置3−1、3−2に対する個別ルール情報のファイル(個別ルールファイル)の所在(パス名)と共に、当該各個別ルールファイルの最終更新日時が記憶されたテーブルである。更に、メモリテーブルM3−1は、ファイルについて配布を行った最終配布日時が記憶されたテーブルである。
【0028】
このシステムでは、図1に示したシステムと同様に、図4に示されるフローチャートに対応するプログラムをCPU10が実行する。このとき、ルールファイルの新規作成を含む更新の際に、メモリテーブルM1−1、メモリテーブルM2−1の該当する欄に最終更新日時を記憶する。そして、ステップS9、S10における配布の際の処理に代えて、図7に示されるフローチャートに対応するプログラムをCPU10が実行する。
【0029】
CPU10は、共通ルールファイルに関するメモリテーブルM1−1に記憶されている最終更新日時とメモリテーブルM3−1記憶された最終配布日時とを比較し(S11)、最終更新日時が最終配布日時より後であるかを検出する(S12)。ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、共通ルール情報記憶部4から共通ルールファイルを取出し、ファイアウオール装置3−1、3−2へファイルを送信する(S13)。次に、個別ルールファイルのナンバN(N=1はファイアウオール装置3−1に対応のファイル、N=2はファイアウオール装置3−2に対応のファイルである。)を「1」として(S14)、当該N(=1)の個別ルールファイルに関するメモリテーブルM2−1に記憶されている最終更新日時とメモリテーブルM3−1に記憶された最終配布日時とを比較し(S15)、最終更新日時が最終配布日時より後であるかを検出する(S16)。
【0030】
ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、個別ルール情報記憶部5からファイアウオール装置3−1に対応の個別ルールファイルを取出し、ファイアウオール装置3−1へファイルを送信する(S17)。次に、Nを「1」増加させて、個別ルールファイルのナンバNを「2」として(S18)、当該N(=2)の個別ルールファイルが存在するかを検出する(S19)。ここでは存在するから、N(=2)の個別ルールファイルに関するメモリテーブルM2−1に記憶されている最終更新日時とメモリテーブルM3−1記憶された最終配布日時とを比較し(S15)、最終更新日時が最終配布日時より後であるかを検出する(S16)。
【0031】
ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、個別ルール情報記憶部5からファイアウオール装置3−2に対応の個別ルールファイルを取出し、ファイアウオール装置3−2へファイルを送信する(S17)。次に、Nを「1」増加させて、個別ルールファイルのナンバNを「3」として(S18)、当該N(=3)の個別ルールファイルが存在するかを検出する(S19)。ここではファイアウオール装置3−3が存在せず、対応する個別ルールファイルが存在しないので、メモリテーブルM3−1の最終配布日時を現在日時に応じて更新し(S20)、処理を終了する。
【0032】
この第1の変形例によれば、更新がなされたルール情報のファイルのみが配布されるので、無駄のないデータ転送を行うことができる。尚、この変形例では、ファイルの最終配布日時を共通に1つ持つようにしたが、ファイル対応にファイルの最終配布日時を持たせて配布の管理を行うようにしても良い。
【0033】
次に、上記図1に示したシステム及び装置の第2の変形例を説明する。この変形例のNSR管理装置2には、図8に示されるように、各ルール情報を更新した場合に記憶する更新ルール情報記憶部9が備えられている。この更新ルール情報記憶部9は、他の記憶部と物理的に分けられている必要はない。また、この変形例に係るシステムでは、NSR管理装置2に備えられる管理情報記憶手段2bに代えて図6に示される管理情報記憶手段2b−2が備えられ、当該管理情報記憶手段2b−2には、図6に示されるように、メモリテーブルM1−2、M2−2が含まれている。
【0034】
メモリテーブルM1−2は、共通ルール情報のファイル(共通ルールファイル)の所在(パス名)と共に、当該共通ルールファイルの更新されたファイルの格納先(例えば、更新ルール情報記憶部9におけるディレクトリ)が記憶されたテーブルであり、また、メモリテーブルM2−2は、各ファイアウオール装置3−1、3−2に対する個別ルール情報のファイル(個別ルールファイル)の所在(パス名)と共に、当該各個別ルールファイルの更新されたファイルの格納先(例えば、更新ルール情報記憶部9におけるディレクトリ)が記憶されたテーブルである。
【0035】
このシステムでは、図1に示したシステムと同様に、図4に示されるフローチャートに対応するプログラムをCPU10が実行する。このとき、ルールファイルの新規作成を含む更新の際に、メモリテーブルM1−2、メモリテーブルM2−2の該当する欄に更新ルール情報記憶部9における格納先を記憶する。そして、ステップS9、S10における配布の際の処理に代えて、図9に示されるフローチャートに対応するプログラムをCPU10が実行する。
【0036】
CPU10は、共通ルールファイルに関するメモリテーブルM1−2に格納先が記憶されているかを検出し(S21)、格納先が記憶されているかを判定する(S22)。ここで、格納先が記憶されている場合には、格納先に基づき更新ルール情報記憶部9から更新に係る共通ルールファイルを取出し、ファイアウオール装置3−1、3−2へファイルを送信すると共に、更新に係る共通ルールファイルを共通ルール情報記憶部4へ格納し、メモリテーブルM1−2に記憶されている格納先を削除する(S23)。次に、個別ルールファイルのナンバN(N=1はファイアウオール装置3−1に対応のファイル、N=2はファイアウオール装置3−2に対応のファイルである。)を「1」として(S14)、当該N(=1)の個別ルールファイルに関するメモリテーブルM2−2に格納先が記憶されているかを検出し(S25)、格納先の情報が記憶されているかを判定する(S26)。
【0037】
ここで、格納先が記憶されていることが検出されると、格納先に基づき更新ルール情報記憶部9から更新に係る該当個別ルールファイルを取出し、ファイアウオール装置3−1へファイルを送信すると共に、更新に係る個別ルールファイルを個別ルール情報記憶部5へ格納し、メモリテーブルM2−2に記憶されている格納先を削除する(S27)。次に、Nを「1」増加させて、個別ルールファイルのナンバNを「2」として(S28)、当該N(=2)の個別ルールファイルが存在するかを検出する(S29)。ここでは存在するから、N(=2)の個別ルールファイルに関するメモリテーブルM2−2に格納先が記憶されているかを検出し(S25)、格納先が記憶されているかを判定する(S26)。
【0038】
ここで、格納先が記憶されていることが検出されると、格納先に基づき更新ルール情報記憶部9から更新に係る該当個別ルールファイルを取出し、ファイアウオール装置3−2へファイルを送信すると共に、更新に係る個別ルールファイルを個別ルール情報記憶部5へ格納し、メモリテーブルM2−2に記憶されている格納先を削除する(S27)。次に、Nを「1」増加させて、個別ルールファイルのナンバNを「3」として(S28)、当該N(=3)の個別ルールファイルが存在するかを検出する(S29)。ここではファイアウオール装置3−3が存在せず、対応する個別ルールファイルが存在しないので、処理を終了する。このように第2の変形例によれば、ルール情報のファイル更新がなされた場合、格納先が記憶されるので、これを検出してファイルの配布を行うことにより、ファイルのみが配布されるので、無駄のないデータ転送を行うことができる。
【0039】
次に、上記図1に示したシステム及び装置の第3の変形例を説明する。この変形例のNSR管理装置2には、図8に示されるように、各ルール情報を更新した場合に記憶する更新ルール情報記憶部9が備えられている点では第2の変形例と同様の構成を備える。この更新ルール情報記憶部9は、他の記憶部と物理的に分けられている必要はない。また、この変形例に係るシステムでは、NSR管理装置2に備えられる管理情報記憶手段2bに代えて図10に示される管理情報記憶手段2b−3が備えられ、当該管理情報記憶手段2b−3には、図10に示されるように、メモリテーブルM1−3、M2−3、M3−3が含まれている。
【0040】
メモリテーブルM1−3は、共通ルール情報のファイル(共通ルールファイル)の所在(パス名)と共に、当該共通ルールファイルの最終更新日時及び当該共通ルールファイルの更新されたファイルの格納先(例えば、更新ルール情報記憶部9におけるディレクトリ)が記憶されたテーブルであり、また、メモリテーブルM2−3は、各ファイアウオール装置3−1、3−2に対する個別ルール情報のファイル(個別ルールファイル)の所在(パス名)と共に、当該各個別ルールファイルの最終更新日時及び当該各個別ルールファイルの更新されたファイルの格納先(例えば、更新ルール情報記憶部9におけるディレクトリ)が記憶されたテーブルである。更に、メモリテーブルM3−3は、ファイルについて配布を行った最終配布日時が記憶されたテーブルである。
【0041】
このシステムでは、図1に示したシステムと同様に、図4に示されるフローチャートに対応するプログラムをCPU10が実行する。このとき、ルールファイルの新規作成を含む更新処理の際に、メモリテーブルM1−3、メモリテーブルM2−3の該当する欄に最終更新日時及び更新ルール情報記憶部9における格納先を記憶する。そして、ステップS9、S10における配布の際の処理に代えて、図12に示されるフローチャ
ートに対応するプログラムをCPU10が実行する。
【0042】
CPU10は、共通ルールファイルに関するメモリテーブルM1−3に記憶されている最終更新日時とメモリテーブルM3−3記憶された最終配布日時とを比較し(S11)、最終更新日時が最終配布日時より後であるかを検出する(S12)。ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、更新ファイル名に基づき更新ルール情報記憶部9から共通ルールファイルを取出し、ファイアウオール装置3−1、3−2へファイルを送信すると共に、更新に係る共通ルールファイルを共通ルール情報記憶部4へ格納し、メモリテーブルM1−3に記憶されている格納先を削除する(S23)。次に、個別ルールファイルのナンバN(N=1はファイアウオール装置3−1に対応のファイル、N=2はファイアウオール装置3−2に対応のファイルである。)を「1」として(S14)、当該N(=1)の個別ルールファイルに関するメモリテーブルM2−3に記憶されている最終更新日時とメモリテーブルM3−3に記憶された最終配布日時とを比較し(S15)、最終更新日時が最終配布日時より後であるかを検出する(S16)。
【0043】
ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、更新ファイル名に基づき更新ルール情報記憶部9からファイアウオール装置3−1に対応の個別ルールファイルを取出し、ファイアウオール装置3−1へファイルを送信すると共に、更新に係る個別ルールファイルを個別ルール情報記憶部5へ格納し、メモリテーブルM2−3に記憶されている格納先を削除する(S27)。次に、Nを「1」増加させて、個別ルールファイルのナンバNを「2」として(S18)、当該N(=2)の個別ルールファイルが存在するかを検出する(S19)。ここでは存在するから、N(=2)の個別ルールファイルに関するメモリテーブルM2−3に記憶されている最終更新日時とメモリテーブルM3−3記憶された最終配布日時とを比較し(S15)、最終更新日時が最終配布日時より後であるかを検出する(S16)。
【0044】
ここで、最終更新日時が最終配布日時より後であることが検出されると、更新されたファイルが配布されていないのであるから、更新ファイル名に基づき更新ルール情報記憶部9からファイアウオール装置3−2に対応の個別ルールファイルを取出し、ファイアウオール装置3−2へファイルを送信すると共に、更新に係る個別ルールファイルを個別ルール情報記憶部5へ格納し、メモリテーブルM2−3に記憶されている格納先を削除する(S27)。
【0045】
次に、Nを「1」増加させて、個別ルールファイルのナンバNを「3」として(S18)、当該N(=3)の個別ルールファイルが存在するかを検出する(S19)。ここではファイアウオール装置3−3が存在せず、対応する個別ルールファイルが存在しないので、メモリテーブルM3−3の最終配布日時を現在日時に応じて更新し(S20)、処理を終了する。
【0046】
この第3の変形例によれば、更新がなされたルール情報のファイルのみが配布されるので、無駄のないデータ転送を行うことができる。尚、この変形例では、ファイルの最終配布日時を共通に1つ持つようにしたが、ファイル対応にファイルの最終配布日時を持たせて配布の管理を行うようにしても良い。
【0047】
次に、上記図1に示したシステム及び装置の第4の変形例を説明する。この変形例のNSR管理装置2には、図8に示される構成に加えて図13に示されるように、各ルール情報を配布した場合にバックアップファイルを記憶するバックアップ記憶部9Aが備えられている。また、この変形例に係るシステムでは、NSR管理装置2に備えられる図10の管理情報記憶手段2b−3に代えて図11に示される管理情報記憶手段2b−4が備えられ、当該管理情報記憶手段2b−3には、図11に示されるように、メモリテーブルM1−3、M2−3、M3−4が含まれている。メモリテーブルM1−3、M2−3における記憶内容は第3の変形例に等しい。メモリテーブルM3−4には、ファイルについて配布を行った最終配布日時と共に、バックアップファイルのファイル名が記憶されている。バックアップファイルのファイル名は、配布の都度に作成されるバックアップファイルの性質に鑑み、連番や日付や共通ルールファイルと個別ルールファイルの別などを付加情報としてセットされる(図11に図示のものは、連番が付されている)。
【0048】
この変形例では、第3の変形例と大略同じ図14に示すフローチャート対応の動作を基本に実行する。ただ、第3の変形例と異なるのは、図13のフローチャートと比べて、ステップS23A、ステップS27Aにおいてバックアップファイルをバックアップ記憶部9Aへ格納し、メモリテーブルM3−4には、ファイルについて配布を行った最終配布日時と共に、バックアップファイルのファイル名を記憶する点である。
【0049】
この第4の変形例によれば、配布に係るファルのバックアップが作成されているので、配布が適切に実行されなかった場合に、メモリテーブルM3−4のファイル名及びその付加情報を基に該当ファイルを検索し、これをバックアップ記憶部9Aから取出し再度配布するなど、時間経過後の処理を可能とする。尚、バックアップに係る当該変形例の構成は、第2の変形例にも適用し得るものである。また、図1に示した実施の形態を含め、各例では、ファイアウオール装置を2台としたが、システム構成に応じて3台以上とできることは言うまでもない。
【0050】
【発明の効果】
以上説明したように、本発明に係るネットワークセキュリティルール管理システムとネットワークセキュリティルール管理装置によれば、ルール情報を共通ルール情報と個別ルール情報に分けて作成編集及び転送による配布を行うようにしたので、各個別のセキュリティ装置が設置されている場所へ赴く必要がなく、ルール情報を適切にセットすることができ、セットのために要する時間を短縮することが可能である。そして、ルール情報のファイル更新がなされた場合、これを検出してファイルの配布を行うことにより、ファイルのみが配布されるので、無駄のないデータ転送を行うことができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の構成図。
【図2】本発明の実施の形態に係るネットワークセキュリティルール管理装置のブッロック図。
【図3】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置に採用される管理情報記憶手段の内容を示す図。
【図4】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の動作を示すフローチャート。
【図5】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第1の変形例に採用される管理情報記憶手段の内容を示す図。
【図6】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第2の変形例に採用される管理情報記憶手段の内容を示す図。
【図7】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第1の変形例の動作を示すフローチャート。
【図8】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第2の変形例の構成図。
【図9】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第2の変形例の動作を示すフローチャート。
【図10】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第3の変形例に採用される管理情報記憶手段の内容を示す図。
【図11】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第4の変形例に採用される管理情報記憶手段の内容を示す図。
【図12】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第3の変形例の動作を示すフローチャート。
【図13】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第4の変形例の構成図。
【図14】本発明の実施の形態に係るネットワークセキュリティルール管理システム及びその装置の第4の変形例の動作を示すフローチャート。
【符号の説明】
1 ネットワーク
2 NSR管理装置
3−1、3−2 ファイアウオール装置
4、6−1、6−2共通ルール情報記憶部
5、7−、7−2 個別ルール情報記憶部
8−1、8−2 ネットワークサイト
9 更新ルール情報記憶部
9A バックアップ記憶部
2a 編集・格納手段
2b、2b−1〜4 管理情報記憶手段
2c 配布手段[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network security rule management system and a network security rule management device for realizing security in a network.
[0002]
[Prior art]
Conventionally, security devices have been introduced in networks for the purpose of preventing information leakage and destruction. As this security device, a firewall device is known, and this firewall device is installed at a connection point of a network site in a network. Here, the network site is a group of computers such as server computers and client computers installed corresponding to the head office, each branch office, etc. in the company.
[0003]
The firewall device controls passage / non-passage of information to be transmitted according to characteristics such as whether a network site at a connection point to be installed is a head office or a branch office. In this case, it is necessary to set network security rule information (hereinafter referred to as rule information) for determining which information is to be passed or not passed.
[0004]
[Problems to be solved by the invention]
In the past, maintenance personnel or the like went to the installation location of the firewall device and set the rule information. For this reason, there has been a problem that appropriate rule information cannot be set due to an input error at the time of setting, or a long time is required for setting.
[0005]
The present invention has been made in view of the problems of the conventional network security as described above, and an object of the present invention is to make it possible to appropriately set rule information and reduce the time required for setting. To provide a security rule management system and a network security rule management device.
[0006]
[Means for Solving the Problems]
  A network security rule management system according to the present invention is provided in a network, and controls the passage / non-passage of information transmitted through the network, and passes or does not pass information to / from the security device. A network security rule management system comprising a network security rule management device that provides network security rule information for determining whether to perform security, and each of the security device and the network security rule management device includes all security A common rule information storage unit that stores common rule information common to the devices, and an individual rule information storage unit that stores individual rule information unique to each security device. Management device, in the case where the update, including a new creation of each rule informationThe rule information updated by the updateAn update rule information storage unit for storing;When storing update rule information in the update rule information storage unit, a memory table for storing storage information of common rule information, a memory table for storing storage information of individual rule information, and storage destination information in the memory table Is stored, the updated rule information is stored in the updated rule information storage unit, and the updated rule information is transferred to the security device. Deleting storage location informationAnd a transfer means. As a result, only the updated rule information is transferred and distributed, and no unnecessary distribution is performed.
[0007]
  The network security rule management device according to the present invention determines whether information is allowed to pass or not passed to a security device that is provided in a network and controls passage / non-passage of information transmitted through the network. A network security rule management device for providing network security rule information, wherein the network security rule management device is a common rule information storage unit for storing common rule information common to all security devices, and a security rule unique to each security device. When an individual rule information storage unit for storing individual rule information and an update including new creation of each rule informationThe rule information updated by the updateAn update rule information storage unit for storing;When storing update rule information in the update rule information storage unit, a memory table for storing storage information of common rule information, a memory table for storing storage information of individual rule information, and storage destination information in the memory table Is stored, the updated rule information is stored in the updated rule information storage unit, and the updated rule information is transferred to the security device. Deleting storage location informationAnd a transfer means. As a result, only the updated rule information is transferred and distributed, and no unnecessary distribution is performed.
[0008]
  In the network security rule management device,When the transfer means detects and transfers the updated rule information stored in the update rule information storage unit, the transfer means stores the rule information stored in the update rule information storage unit in the common rule information storage of its own device. Or the individual rule information storage unit.
[0011]
Further, in the network security rule management device, the network security rule management device is provided with a backup storage unit for storing the rule information transferred when each rule information is transferred, and the transfer means stores the transferred rule information in the above-described manner. The data is stored in a backup storage unit. As a result, the transferred rule information is backed up, and it is possible to prepare for the occurrence of a transfer failure or the like.
[0012]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a network security rule management system and a network security rule management device according to embodiments of the present invention will be described with reference to the accompanying drawings. In the drawings, the same components are denoted by the same reference numerals, and redundant description is omitted. FIG. 1 shows a network security rule management system and a network security rule management apparatus according to an embodiment of the present invention. In FIG. 1, an NSR management device (network security rule management device) 2 is connected to a network 1, and firewall devices 3-1 and 3-2, which are security devices, are connected.
[0013]
The NSR management device 2 includes a common rule information storage unit 4 that stores common rule information common to all firewall devices, and an individual rule information storage unit 5 that stores individual rule information unique to each firewall device. Yes. The firewall devices 3-1 and 3-2 also have common rule information storage units 6-1 and 6-2 that store common rule information common to all the firewall devices, and individual devices unique to the firewall device. Individual rule information storage units 7-1 and 7-2 for storing rule information are provided. The firewall devices 3-1 and 3-2 are set at connection points between the network 1 and the network sites 8-1 and 8-2 as described above, and the network 1 and the network sites 8-1 and 8-2 are connected. Controls pass / fail of information transmitted between them. For this control, the rule information stored in the common rule information storage units 6-1 and 6-2 and the individual rule information storage units 7-1 and 7-2 is used. The common rule information storage unit and the individual rule information storage unit do not necessarily need to be physically separated.
[0014]
The common rule information common to all firewall devices includes general rule information such as “Do not allow file transfer protocol (ftp) to pass”, “Allow packets for a specific common server”, and so on. The individual rule information unique to each includes the network information of the server computer group and the client computer group included in the network sites 8-1 and 8-2, or rule information such as outgoing or incoming call restrictions for a specific computer. .
[0015]
The NSR management device 2 includes an editing / storage unit 2a, a management information storage unit 2b, and a distribution unit 2c. The editing / storage means 2a edits the rule information and stores it as a file in the common rule information storage unit 4 and the individual rule information storage unit 5. The management information storage unit 2b is a table in which information such as the location of rule information (storage address, directory, etc.), the last update date / time of rule information, the last distribution date / time of rule information, and the like are stored. The distribution unit 2c extracts the rule information from the common rule information storage unit 4 and the individual rule information storage unit 5 when necessary, distributes the rule information to the firewall devices 3-1, 3-2, and the firewall devices 3-1, 3 -2 are transferred to the common rule information storage units 6-1 and 6-2 and the individual rule information storage units 7-1 and 7-2.
[0016]
The NSR management device 2 including the common rule information storage unit 4 and the individual rule information storage unit 5 is not necessarily required to include all components, but is configured as shown in FIG. 2, for example. That is, the CPU 10 is configured to control each unit and process data using the program and data stored in the main memory 11.
[0017]
A keyboard control unit 13, display control unit 14, mouse control unit 15, printer control unit 16, magnetic disk control unit 17, and communication interface 18 are connected to the CPU 10 via the bus 12. A keyboard input device 19 is connected to the keyboard control unit 13, and an operator of each node can input information using the keyboard input device 19. For example, a CRT display device 20 having a CRT is connected to the display control unit 14 so that necessary information is displayed. A mouse 21 which is a pointing device is connected to the mouse control unit 15 so that position information can be input when necessary.
[0018]
A printer device 22 is connected to the printer control unit 16 so that information can be printed out. A magnetic disk device 23 is connected to the magnetic disk controller 17, and programs and data are stored in the magnetic disk device 23, and are read / written by the CPU 10 as necessary. A communication processing unit 24 is connected to the communication interface 18 so that data is transmitted to and received from the network 1.
[0019]
The management information storage unit 2b shown in FIG. 1 is provided as a memory table in the main memory 11, for example, and the common rule information storage unit 4 and the individual rule information storage unit 5 correspond to the magnetic disk device 23. The editing / storage means 2a and distribution means 2c shown in FIG. 1 are realized by the CPU 10 executing a program in the main memory 11. The firewall devices 3-1 and 3-2 do not have the printer device 22, the keyboard input device 19, the CRT display device 20, the mouse 21, and their control units in the configuration of FIG. And a configuration for performing control related to passage / non-passage of information transmitted through the network.
[0020]
The management information storage unit 2b shown in FIG. 1 includes memory tables M1 and M2 as shown in FIG. The memory table M1 is a table in which the location (path name) of a file of common rule information (common rule file) is stored, and the memory table M2 is a file of individual rule information for each of the firewall devices 3-1, 3-2. It is a table in which the location (path name) of (individual rule file) is stored. Here, the security system names of the firewall devices 3-1 and 3-2 are security system A and security system B, respectively.
[0021]
In the system configured as described above, the CPU 10 executes the program as shown in FIG. 4 stored in the main memory 11 as described above, so that the editing / storage unit 2a and the distribution unit 2c This will be explained below. The CPU 10 monitors whether a common rule file update instruction has been input (S1). The update instruction is input using, for example, the keyboard input device 19.
[0022]
When an update instruction is input in the above, the common rule file is read from the common rule information storage unit 4 onto the main memory 11 with reference to the information in the memory table M1 (S2). Of course, the common rule information is not included in the common rule file at first. Then, the operator accepts that the common rule file is edited (including new creation) by using the keyboard input device 19 (S3). When the editing is completed, the resulting file is stored in the original location of the common rule information storage unit 4. (S4).
[0023]
Further, the CPU 10 monitors whether or not an individual rule file update instruction has been input (S5). When an update instruction is input here, the location of the specified individual rule file is obtained by referring to the information in the memory table M2, and the corresponding individual rule file is transferred from the individual rule information storage unit 5 to the main memory 11. Read (S6). Of course, individual rule information is not included in the individual rule file at first. Then, the operator accepts that the individual rule file is edited (including newly created) by using the keyboard input device 19 (S7), and when editing is completed, the resulting file is stored in the original location of the individual rule information storage unit 5. (S8).
[0024]
Further, the CPU 10 monitors whether a rule file distribution instruction has been input (S9). This instruction is performed, for example, directly using the keyboard input device 19 or indirectly by setting a timer. When a file distribution instruction is input here, the location of the file is obtained by referring to the corresponding information in the memory table M1 and the memory table M2, and the file is transmitted to the corresponding device of the firewall devices 3-1, 3-2. (S10).
[0025]
When the common rule file is distributed, the firewall devices 3-1 and 3-2 store the common rule file in the common rule information storage units 6-1 and 6-2, and when the individual rule file is distributed, It memorize | stores in the separate rule information storage part 7-1 and 7-2 to memorize | store.
[0026]
Since the common rule information and the individual rule information are managed separately as described above, it is only necessary to input the common rule information in the NSR management device 2, and the input work that has been conventionally performed for each firewall device is reduced. Input errors can be reduced. Further, since the common rule information and the individual rule information are managed separately, it is possible to edit the necessary rule information and it is efficient.
[0027]
Next, a first modification of the system and apparatus shown in FIG. 1 will be described. In this modification, the management information storage unit 2b-1 shown in FIG. 5 is provided instead of the management information storage unit 2b provided in the NSR management apparatus 2, and the management information storage unit 2b-1 includes the management information storage unit 2b-1 shown in FIG. As shown, memory tables M1-1, M2-1, M3-1 are included. The memory table M1-1 is a table that stores the location (path name) of the common rule information file (common rule file) and the last update date and time of the common rule file. The memory table M2-1 includes each firewall This table stores the location (path name) of individual rule information files (individual rule files) for the devices 3-1 and 3-2 together with the last update date and time of each individual rule file. Further, the memory table M3-1 is a table in which the last distribution date and time when the file was distributed is stored.
[0028]
In this system, as in the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, in the update including the new creation of the rule file, the last update date and time is stored in the corresponding column of the memory table M1-1 and the memory table M2-1. And the distribution in steps S9 and S10WhenInstead of the processing, the CPU 10 executes a program corresponding to the flowchart shown in FIG.
[0029]
The CPU 10 compares the last update date and time stored in the memory table M1-1 related to the common rule file with the final distribution date and time stored in the memory table M3-1 (S11), and the last update date and time is later than the last distribution date and time. It is detected whether it exists (S12). Here, if it is detected that the last update date and time is later than the last distribution date and time, the updated file is not distributed, so the common rule file is taken out from the common rule information storage unit 4 and the firewall apparatus 3 -1, 3-2 (S13). Next, the number N of the individual rule file (N = 1 is a file corresponding to the firewall device 3-1, and N = 2 is a file corresponding to the firewall device 3-2) is set to “1” (S14). The last update date and time stored in the memory table M2-1 related to the N (= 1) individual rule file is compared with the last distribution date and time stored in the memory table M3-1 (S15), and the last update date and time is final. Whether it is later than the distribution date is detected (S16).
[0030]
Here, if it is detected that the last update date and time is later than the last distribution date and time, the updated file is not distributed, so the individual rule information storage unit 5 and the individual corresponding to the firewall device 3-1. The rule file is taken out and transmitted to the firewall device 3-1 (S17). Next, N is incremented by “1”, the number N of the individual rule file is set to “2” (S18), and it is detected whether the N (= 2) individual rule file exists (S19). Since it exists here, the last update date and time stored in the memory table M2-1 for the N (= 2) individual rule files is compared with the last distribution date and time stored in the memory table M3-1 (S15), and the final It is detected whether the update date is after the last distribution date (S16).
[0031]
Here, if it is detected that the last update date and time is later than the last distribution date and time, the updated file is not distributed, so the individual rule information storage unit 5 and the individual corresponding to the firewall device 3-2. The rule file is taken out and transmitted to the firewall device 3-2 (S17). Next, N is incremented by “1”, the number N of the individual rule file is set to “3” (S18), and it is detected whether or not the N (= 3) individual rule file exists (S19). Here, since the firewall device 3-3 does not exist and the corresponding individual rule file does not exist, the final distribution date and time of the memory table M3-1 is updated according to the current date and time (S20), and the process is terminated.
[0032]
According to the first modification, only the updated rule information file is distributed, so that data transfer without waste can be performed. In this modification, one file has the last distribution date and time in common, but the distribution management may be performed by giving the file the last distribution date and time corresponding to the file.
[0033]
Next, a second modification of the system and apparatus shown in FIG. 1 will be described. As shown in FIG. 8, the NSR management device 2 of this modification includes an update rule information storage unit 9 that stores information when each rule information is updated. The update rule information storage unit 9 does not need to be physically separated from other storage units. Further, in the system according to this modified example, the management information storage unit 2b-2 shown in FIG. 6 is provided instead of the management information storage unit 2b provided in the NSR management apparatus 2, and the management information storage unit 2b-2 includes the management information storage unit 2b-2. As shown in FIG. 6, memory tables M1-2 and M2-2 are included.
[0034]
The memory table M1-2 includes the location (path name) of the common rule information file (common rule file) and the storage location of the updated common rule file (for example, the directory in the updated rule information storage unit 9). The memory table M2-2 is a stored table, and the individual rule file is stored together with the location (path name) of the individual rule information file (individual rule file) for each firewall device 3-1, 3-2. This is a table in which storage locations of updated files (for example, directories in the update rule information storage unit 9) are stored.
[0035]
  In this system, as in the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, the storage location in the update rule information storage unit 9 is stored in the corresponding fields of the memory table M1-2 and the memory table M2-2 at the time of updating including the creation of a new rule file. And in steps S9 and S10Instead of processing at the time of distributionThe CPU 10 executes a program corresponding to the flowchart shown in FIG.
[0036]
The CPU 10 detects whether the storage destination is stored in the memory table M1-2 regarding the common rule file (S21), and determines whether the storage destination is stored (S22). Here, when the storage destination is stored, the common rule file related to the update is extracted from the update rule information storage unit 9 based on the storage destination, and the file is transmitted to the firewall devices 3-1 and 3-2. The common rule file related to the update is stored in the common rule information storage unit 4, and the storage location stored in the memory table M1-2 is deleted (S23). Next, the number N of the individual rule file (N = 1 is a file corresponding to the firewall device 3-1, and N = 2 is a file corresponding to the firewall device 3-2) is set to “1” (S14). It is detected whether the storage destination is stored in the memory table M2-2 regarding the N (= 1) individual rule file (S25), and it is determined whether the storage destination information is stored (S26).
[0037]
Here, when it is detected that the storage location is stored, the relevant individual rule file related to the update is extracted from the update rule information storage unit 9 based on the storage location, and the file is transmitted to the firewall device 3-1, The individual rule file related to the update is stored in the individual rule information storage unit 5, and the storage location stored in the memory table M2-2 is deleted (S27). Next, N is incremented by “1”, the number N of the individual rule file is set to “2” (S28), and it is detected whether the individual rule file of the N (= 2) exists (S29). Since it exists here, it is detected whether the storage destination is stored in the memory table M2-2 regarding the N (= 2) individual rule files (S25), and it is determined whether the storage destination is stored (S26).
[0038]
Here, when it is detected that the storage destination is stored, the corresponding individual rule file related to the update is taken out from the update rule information storage unit 9 based on the storage destination, and the file is transmitted to the firewall device 3-2. The individual rule file related to the update is stored in the individual rule information storage unit 5, and the storage location stored in the memory table M2-2 is deleted (S27). Next, N is incremented by “1”, the number N of the individual rule file is set to “3” (S28), and it is detected whether or not the N (= 3) individual rule file exists (S29). Here, the firewall apparatus 3-3 does not exist, and the corresponding individual rule file does not exist, so the processing ends. As described above, according to the second modification, when the rule information file is updated, the storage location is stored, and by detecting this and distributing the file, only the file is distributed. Data transfer without waste can be performed.
[0039]
Next, a third modification of the system and apparatus shown in FIG. 1 will be described. As shown in FIG. 8, the NSR management device 2 of this modification is the same as the second modification in that it includes an update rule information storage unit 9 that stores information when each rule information is updated. It has a configuration. The update rule information storage unit 9 does not need to be physically separated from other storage units. Further, in the system according to this modification, the management information storage unit 2b-3 shown in FIG. 10 is provided instead of the management information storage unit 2b provided in the NSR management apparatus 2, and the management information storage unit 2b-3 includes the management information storage unit 2b-3. As shown in FIG. 10, memory tables M1-3, M2-3, and M3-3 are included.
[0040]
The memory table M1-3 includes the location (path name) of the common rule information file (common rule file), the last update date and time of the common rule file, and the storage location of the updated file of the common rule file (for example, update The directory in the rule information storage unit 9 is stored, and the memory table M2-3 is the location (path) of the individual rule information file (individual rule file) for each firewall device 3-1, 3-2. This is a table in which the last update date and time of each individual rule file and the storage location of the updated file of each individual rule file (for example, a directory in the update rule information storage unit 9) are stored. Furthermore, the memory table M3-3 is a table in which the last distribution date and time when the file was distributed is stored.
[0041]
In this system, as in the system shown in FIG. 1, the CPU 10 executes a program corresponding to the flowchart shown in FIG. At this time, in the update process including the new creation of the rule file, the last update date and the storage location in the update rule information storage unit 9 are stored in the corresponding columns of the memory table M1-3 and the memory table M2-3. And at the time of distribution in steps S9 and S10ProcessingInstead of the flow chart shown in FIG.
CPU 10 executes a program corresponding to the route.
[0042]
The CPU 10 compares the last update date and time stored in the memory table M1-3 regarding the common rule file with the final distribution date and time stored in the memory table M3-3 (S11), and the last update date and time is later than the last distribution date and time. It is detected whether it exists (S12). Here, if it is detected that the last update date and time is later than the last distribution date and time, the updated file is not distributed, so the common rule file is updated from the update rule information storage unit 9 based on the update file name. Retrieving and transmitting the file to the firewall devices 3-1 and 3-2, storing the common rule file related to the update in the common rule information storage unit 4, and deleting the storage location stored in the memory table M 1-3 (S23). Next, the number N of the individual rule file (N = 1 is a file corresponding to the firewall device 3-1, and N = 2 is a file corresponding to the firewall device 3-2) is set to “1” (S14). The last update date and time stored in the memory table M2-3 related to the N (= 1) individual rule file is compared with the final distribution date and time stored in the memory table M3-3 (S15), and the last update date and time is the last. Whether it is later than the distribution date is detected (S16).
[0043]
Here, if it is detected that the last update date / time is later than the last distribution date / time, the updated file is not distributed, so that the firewall device 3 is updated from the update rule information storage unit 9 based on the update file name. 1 is extracted, the file is transmitted to the firewall device 3-1, and the individual rule file related to the update is stored in the individual rule information storage unit 5 and stored in the memory table M2-3. The destination is deleted (S27). Next, N is incremented by “1”, the number N of the individual rule file is set to “2” (S18), and it is detected whether the N (= 2) individual rule file exists (S19). Since it exists here, the last update date and time stored in the memory table M2-3 for the N (= 2) individual rule files is compared with the last distribution date and time stored in the memory table M3-3 (S15), and the final It is detected whether the update date is after the last distribution date (S16).
[0044]
Here, if it is detected that the last update date / time is later than the last distribution date / time, the updated file is not distributed, so that the firewall device 3 is updated from the update rule information storage unit 9 based on the update file name. 2 is extracted, the file is transmitted to the firewall device 3-2, and the individual rule file related to the update is stored in the individual rule information storage unit 5, and stored in the memory table M2-3. The destination is deleted (S27).
[0045]
Next, N is incremented by “1”, the number N of the individual rule file is set to “3” (S18), and it is detected whether or not the N (= 3) individual rule file exists (S19). Here, since the firewall device 3-3 does not exist and the corresponding individual rule file does not exist, the final distribution date and time of the memory table M3-3 is updated according to the current date and time (S20), and the process is terminated.
[0046]
According to the third modification, only the updated rule information file is distributed, so that data transfer without waste can be performed. In this modification, one file has the last distribution date and time in common, but the distribution management may be performed by giving the file the last distribution date and time corresponding to the file.
[0047]
Next, a fourth modification of the system and apparatus shown in FIG. 1 will be described. In addition to the configuration shown in FIG. 8, the NSR management device 2 of this modification includes a backup storage unit 9A that stores a backup file when each rule information is distributed, as shown in FIG. . In addition, the system according to this modification includes management information storage means 2b-4 shown in FIG. 11 instead of the management information storage means 2b-3 shown in FIG. The means 2b-3 includes memory tables M1-3, M2-3, and M3-4 as shown in FIG. The stored contents in the memory tables M1-3 and M2-3 are equal to the third modification. The memory table M3-4 stores the file name of the backup file together with the final distribution date and time when the file was distributed. The file name of the backup file is based on the nature of the backup file created each time it is distributed, such as the serial number, date, common rule file, and individual rule file.WithIt is set as additional information (the one shown in FIG. 11 is given a serial number).
[0048]
In this modified example, the operation corresponding to the flowchart shown in FIG. 14 which is substantially the same as the third modified example is basically executed. However, the third modification is different from the flowchart of FIG. 13 in that the backup file is stored in the backup storage unit 9A in step S23A and step S27A, and the file is distributed in the memory table M3-4. The file name of the backup file is stored together with the final distribution date and time.
[0049]
According to the fourth modification, since a backup of the file related to distribution is created, if distribution is not properly executed, it corresponds based on the file name of the memory table M3-4 and its additional information Searching for a file, taking it out from the backup storage unit 9A, distributing it again, etc., enables processing after the passage of time. Note that the configuration of the modified example relating to backup can also be applied to the second modified example. Further, in each example including the embodiment shown in FIG. 1, the number of firewall devices is two, but it goes without saying that it can be three or more according to the system configuration.
[0050]
【The invention's effect】
  As described above, according to the network security rule management system and the network security rule management apparatus according to the present invention, rule information is divided into common rule information and individual rule information and distributed by creation, editing, and transfer. Therefore, it is not necessary to go to the place where each individual security device is installed, the rule information can be set appropriately, and the time required for setting can be shortened.When the rule information file is updated, by detecting this and distributing the file, only the file is distributed, so that data transfer without waste can be performed.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a network security rule management system and apparatus according to an embodiment of the present invention.
FIG. 2 is a block diagram of the network security rule management apparatus according to the embodiment of the present invention.
FIG. 3 is a diagram showing the contents of management information storage means employed in the network security rule management system and the apparatus according to the embodiment of the present invention.
FIG. 4 is a flowchart showing the operation of the network security rule management system and apparatus according to the embodiment of the present invention.
FIG. 5 is a view showing the contents of management information storage means employed in the first modification of the network security rule management system and the device according to the embodiment of the present invention;
FIG. 6 is a view showing the contents of management information storage means employed in the second modification of the network security rule management system and apparatus according to the embodiment of the present invention.
FIG. 7 is a flowchart showing the operation of the first modification of the network security rule management system and apparatus according to the embodiment of the present invention;
FIG. 8 is a configuration diagram of a second modification of the network security rule management system and the device according to the embodiment of the invention.
FIG. 9 is a flowchart showing the operation of the second modification of the network security rule management system and apparatus according to the embodiment of the present invention.
FIG. 10 is a view showing the contents of management information storage means employed in a third modification of the network security rule management system and apparatus according to the embodiment of the present invention.
FIG. 11 is a diagram showing the contents of management information storage means employed in the fourth modification of the network security rule management system and apparatus according to the embodiment of the present invention.
FIG. 12 is a flowchart showing the operation of the third modification example of the network security rule management system and the device according to the embodiment of the present invention;
FIG. 13 is a configuration diagram of a fourth modification example of the network security rule management system and the device according to the embodiment of the invention.
FIG. 14 is a flowchart showing the operation of the fourth modification example of the network security rule management system and device according to the embodiment of the present invention;
[Explanation of symbols]
1 network
2 NSR management device
3-1, 3-2 Firewall device
4, 6-1, 6-2 common rule information storage unit
5, 7-, 7-2 Individual rule information storage unit
8-1, 8-2 Network site
9 Update rule information storage
9A Backup storage unit
2a Editing / storage means
2b, 2b-1-4 Management information storage means
2c Distribution means

Claims (4)

ネットワークに設けられ、当該ネットワークを伝送する情報に対し、通過・不通過を制御するセキュリティ装置と、このセキュリティ装置に対して情報を通過させるか不通過とするかを決定するためのネットワークセキュリティルール情報を与えるネットワークセキュリティルール管理装置とを具備するネットワークセキュリティルール管理システムであって、
前記セキュリティ装置と前記ネットワークセキュリティルール管理装置とには、それぞれ、全てのセキュリティ装置に共通する共通ルール情報を記憶する共通ルール情報記憶部と、各セキュリティ装置に固有の個別ルール情報を記憶する個別ルール情報記憶部とが備えられており、
前記ネットワークセキュリティルール管理装置は、
各ルール情報の新規作成を含む更新をした場合に当該更新により更新されたルール情報を記憶する更新ルール情報記憶部と、
当該更新ルール情報記憶部に更新ルール情報を記憶するときに、共通ルール情報の格納先情報を記憶するメモリテーブルと個別ルール情報の格納先情報を記憶するメモリテーブルと、
前記メモリテーブルに格納先情報が記憶されている場合に、更新されたルール情報が上記更新ルール情報記憶部に記憶されたことを検出して当該更新されたルール情報を前記セキュリティ装置に転送し、当該転送後に前記メモリテーブルの格納先情報を削除する転送手段とを具備することを特徴とするネットワークセキュリティルール管理システム。A security device that is provided in a network and controls passage / non-passage of information transmitted through the network, and network security rule information for determining whether information is allowed to pass or not pass through the security device A network security rule management system comprising a network security rule management device for providing
The security device and the network security rule management device each include a common rule information storage unit that stores common rule information common to all security devices, and an individual rule that stores individual rule information unique to each security device. And an information storage unit,
The network security rule management device includes:
An update rule information storage unit that stores rule information updated by the update when the update includes new creation of each rule information;
When storing update rule information in the update rule information storage unit, a memory table that stores storage destination information of common rule information and a memory table that stores storage destination information of individual rule information;
When storage location information is stored in the memory table, it is detected that updated rule information is stored in the updated rule information storage unit, and the updated rule information is transferred to the security device, A network security rule management system comprising: transfer means for deleting storage location information of the memory table after the transfer. ネットワークに設けられ当該ネットワークを伝送する情報に対し通過・不通過を制御するセキュリティ装置に対して、情報を通過させるか不通過とするかを決定するためのネットワークセキュリティルール情報を与えるネットワークセキュリティルール管理装置であって、
前記ネットワークセキュリティルール管理装置は、
全てのセキュリティ装置に共通する共通ルール情報を記憶する共通ルール情報記憶部と、
各セキュリティ装置に固有の個別ルール情報を記憶する個別ルール情報記憶部と、
各ルール情報の新規作成を含む更新をした場合に当該更新により更新されたルール情報を記憶する更新ルール情報記憶部と、
当該更新ルール情報記憶部に更新ルール情報を記憶するときに、共通ルール情報の格納先情報を記憶するメモリテーブルと個別ルール情報の格納先情報を記憶するメモリテーブルと、
前記メモリテーブルに格納先情報が記憶されている場合に、更新されたルール情報が上記更新ルール情報記憶部に記憶されたことを検出して当該更新されたルール情報を前記セキュリティ装置に転送し、当該転送後に前記メモリテーブルの格納先情報を削除する転送手段と
を具備することを特徴とするネットワークセキュリティルール管理装置。Network security rule management that provides network security rule information for deciding whether to pass or not pass information to a security device that is provided in the network and that controls passage / non-passage of information transmitted through the network A device,
The network security rule management device includes:
A common rule information storage unit for storing common rule information common to all security devices;
An individual rule information storage unit for storing individual rule information unique to each security device;
An update rule information storage unit that stores rule information updated by the update when the update includes new creation of each rule information;
When storing update rule information in the update rule information storage unit, a memory table that stores storage destination information of common rule information and a memory table that stores storage destination information of individual rule information;
When storage location information is stored in the memory table, it is detected that updated rule information is stored in the updated rule information storage unit, and the updated rule information is transferred to the security device, A network security rule management device comprising: transfer means for deleting storage location information of the memory table after the transfer. 前記転送手段は、更新ルール情報記憶部に更新されたルール情報が記憶されたことを検出して転送した場合に、当該更新ルール情報記憶部に記憶されているルール情報を、自装置の共通ルール情報記憶部または個別ルール情報記憶部へ記憶することを特徴とする請求項2に記載のネットワークセキュリティルール管理装置。  When the transfer means detects and transfers that the updated rule information is stored in the update rule information storage unit, the transfer means stores the rule information stored in the update rule information storage unit in the common rule of the own device. The network security rule management device according to claim 2, wherein the network security rule management device is stored in an information storage unit or an individual rule information storage unit. ネットワークセキュリティルール管理装置には、
各ルール情報を転送した場合に転送したルール情報を記憶するバックアップ記憶部が備えられ、
前記転送手段は、この転送したルール情報を前記バックアップ記憶部へ記憶することを特徴とする請求項2記載のネットワークセキュリティルール管理装置。 Network security rule management device includes
A backup storage unit is provided for storing the transferred rule information when each rule information is transferred,
3. The network security rule management apparatus according to claim 2, wherein the transfer unit stores the transferred rule information in the backup storage unit .
JP6387199A 1999-03-10 1999-03-10 Network security rule management system and network security rule management device Expired - Fee Related JP3732672B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6387199A JP3732672B2 (en) 1999-03-10 1999-03-10 Network security rule management system and network security rule management device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6387199A JP3732672B2 (en) 1999-03-10 1999-03-10 Network security rule management system and network security rule management device

Publications (2)

Publication Number Publication Date
JP2000259521A JP2000259521A (en) 2000-09-22
JP3732672B2 true JP3732672B2 (en) 2006-01-05

Family

ID=13241805

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6387199A Expired - Fee Related JP3732672B2 (en) 1999-03-10 1999-03-10 Network security rule management system and network security rule management device

Country Status (1)

Country Link
JP (1) JP3732672B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (en) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
JP4319990B2 (en) * 2003-02-04 2009-08-26 富士通株式会社 Software maintenance service providing system, software maintenance service method, and program for causing computer to execute the method
FR2872983A1 (en) * 2004-07-09 2006-01-13 Thomson Licensing Sa FIREWALL PROTECTION SYSTEM FOR A COMMUNITY OF APPLIANCES, APPARATUS PARTICIPATING IN THE SYSTEM AND METHOD FOR UPDATING FIREWALL RULES WITHIN THE SYSTEM
JP4713186B2 (en) * 2005-03-14 2011-06-29 株式会社リコー Network monitoring method and network monitoring system
CN103227750B (en) * 2013-04-26 2016-05-25 华为技术有限公司 Control the methods, devices and systems of message transmissions

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02287730A (en) * 1989-04-28 1990-11-27 Hitachi Ltd History control system
JPH07141296A (en) * 1993-11-15 1995-06-02 Hitachi Ltd Security management device in open decentralized environment
JP3665366B2 (en) * 1994-05-09 2005-06-29 有限会社ワイズスタッフ Application program setting device and application program setting method
JPH09293010A (en) * 1996-04-26 1997-11-11 Mitsubishi Electric Corp Information synchronizing method
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system

Also Published As

Publication number Publication date
JP2000259521A (en) 2000-09-22

Similar Documents

Publication Publication Date Title
US11374827B2 (en) System for simultaneous viewing and editing of multiple network device configurations
US6961764B2 (en) Description distributed computer system and method of applying maintenance thereto
CN1480859A (en) Synchronous system in distributed files and method
JP3732672B2 (en) Network security rule management system and network security rule management device
US20030131004A1 (en) System and method for eliminating duplicate copies of activity history logs in bridging two or more backend database systems
JP5226283B2 (en) Information processing apparatus, information processing system, method, and program
Cisco Working with Configuration Files, Standby Servers, and Support Information
Cisco Exporting and Importing Configuration Files
Cisco Exporting and Importing Configuration Files
US7693840B1 (en) Method and system for distribution of common elements
JP3679429B2 (en) File resource management system and method
JP3527756B2 (en) How to update system files
JPH08161210A (en) File management method and file management system
CN112612201B (en) Automation system, method of creating an automation system, and computer readable medium
JP2002049485A (en) Software distribution system
JPH08190543A (en) Document processor
JP2749103B2 (en) Network resource management method
JPH06348502A (en) Control system down-line loading
JP2000082022A (en) Unit and method for data transfer control and recording medium where data transfer control program is recorded
US6816892B1 (en) Web-on-cd
JP2001236254A (en) Device and method for sharing data and computer readable recording medium with data sharing program recorded
JP2001203699A (en) Method for managing hosts file
JPH07262118A (en) Information utilization system
JP2001327102A (en) Electric power system supervisory control equipment
JP2010204946A (en) System, method and program for supporting corporate edition

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050712

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051013

LAPS Cancellation because of no payment of annual fees