JP3736173B2 - ネットワーク管理システム - Google Patents
ネットワーク管理システム Download PDFInfo
- Publication number
- JP3736173B2 JP3736173B2 JP02125399A JP2125399A JP3736173B2 JP 3736173 B2 JP3736173 B2 JP 3736173B2 JP 02125399 A JP02125399 A JP 02125399A JP 2125399 A JP2125399 A JP 2125399A JP 3736173 B2 JP3736173 B2 JP 3736173B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- firewall
- setting information
- information
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワーク管理システムに関連し、特に複数台のネットワーク機器が協調して動作するサービスアプリケーションの設定をリモートから一括して実行することが可能なネットワーク管理システムに関する。
【0002】
【従来の技術】
従来、ネットワーク上に分散した機器に対する運用管理を支援することを目的とする技術として、特開平 9-69083 号公報「分散運用管理方式および障害管理方式」等がある。これは、ネットワークに接続した計算機に対して、ネットワーク機器としての管理を行なうネットワーク管理機構と、計算機内のジョブを管理するシステム管理機構を連携させ、一元管理を可能にする機能を有するものである。
【0003】
その他、ファイアウォールのトンネリングの管理を提供する技術として、特開平10-200530号公報 「管理方法およびシステム」がある。これは、複数のネットワーク間に作成したトンネルの状況をグラフィカルに表示する機能を有するものである。
【0004】
また、 Data Communications 誌 98/5/21 Vol.27, No.8 の記事「Getting to the Root of Policy Management」によると、分散配置されたサーバ群のアクセスポリシーをディレクトリサービスを用いて設定する動きが活発化している。
【0005】
【発明が解決しようとする課題】
インターネットの発展と共に、様々なネットワーク機器や、その上で稼働するサービスソフトウェアが開発され、その設定項目は複雑化している。特に最近、複数台のネットワーク機器が協調して動作するサービスソフトウェアが増えている。このようなサービスソフトウェアは、単体での設定内容での整合性のみならず、ネットワーク機器間での設定項目の整合性も必要とする。
【0006】
このような設定項目として、例えば、ルータにおけるトンネリングの設定がある。トンネリングとは、通信経路の一部区間で、送信元が作成したパケットを別のパケットに格納して転送する技術で、一対のトンネリング機器により実現される。例えば、図1に示すように、ネットワーク A のホスト A からネットワークB のホスト B へパケットを送信する際に、経路途中のルータ A からルータ B の間でトンネリングを実行するには、
(1) ルータ A において、ホスト A より受信したネットワーク B 内のホスト B 宛のパケットを、送信元アドレスがルータ Aで、送信先アドレスがルータ B のパケット内に格納し、ルータ B に送信する処理
(2) ルータ B において、ルータ A より受信したパケットに格納された、送信元アドレスがホスト A で、送信先アドレスがホスト B のパケットをとりだし、ネットワーク B に送信する処理
を実行することになる。
【0007】
また、ホスト B が、ホスト Aからパケットを受け取ったことを通知するためのパケットをホストAに返送するには、
(3) ルータ B において、ホスト B より受信したネットワーク A 内のホスト A 宛のパケットを、送信元アドレスがルータ B で、送信先アドレスがルータ A のパケット内に格納し、ルータ A に送信する処理と、
(4) ルータ A において、ルータ B より受信したパケットに格納された、送信元アドレスがホスト B で、送信先アドレスがホスト A のパケットをとりだし、ネットワーク A に送信する処理
を実行することになる。
【0008】
このような処理を実現するには、
・ルータ A が、ネットワーク B 宛のパケットはルータ B に送信すれば良いことを知っていること
・ルータ B が、ネットワーク A 宛のパケットはルータ A に送信すれば良いことを知っていること
が前提になり、両方のルータの設定が矛盾しないように、すなわち、両方のルータの設定において不整合が発生しないようにする必要がある。
【0009】
その他の同様な設定項目として、多段のファイアウォールのアクセス制御設定がある。ファイアウォールは、送信元アドレスと送信先アドレスの組み合わせに応じてアクセスの可否を判断する。例えば、図22に示すように、サブネットワーク A1 のホスト A が、サブネットワーク A1 の出入口に設置されたパケットフィルタリング方式のファイアウォール FW-A1 と、ネットワーク A の出入口に設置されたパケットフィルタリング方式のファイアウォール FW-A を経由してインターネットのサーバにアクセスする場合、以下のアクセス制御を実施することになる。
【0010】
(1) ファイアウォール FW-A1 において、送信元アドレスがホストA で、送信先アドレスがインターネットの通信を許可する
(2) ファイアウォール FW-A において、送信元アドレスがホスト A で、送信先アドレスがインターネットの通信を許可する
2つのファイアウォールにおけるアクセス制御の設定が矛盾していると、ホスト A がインターネットと通信できないケースや、予期しないアドレスで通信が可能になってしまうことがある。
【0011】
従来技術は、
(1) 単体の計算機において、ネットワーク管理機構と計算機ジョブの関連付けて一元管理する機能 (特開平 9-69083号公報) や、
(2) 既に作成したトンネルをグラフィカルに表示する機能 (特開平 10-200530号公報)
を提供している。また、分散配置されたサーバのアクセスポリシーをディレクトリサービスを用いて設定しようとする動きもある。しかし、これらの技術はいずれも、分散して計算機に格納する設定ファイルをいかに効率良く管理し、配布するか、を主眼とするものであり、設定ファイルの内容に関して無矛盾性を保つための機能を提供するものではなかった。
【0012】
そこで、本発明は、ネットワーク機器に対して、それぞれの機器への設定内容を矛盾なく、すなわち、整合性を保って作成し、それを設定する第 1 の機能と、既にそれぞれの機器に設定されている内容の整合性を確認し、第1の機能を使用しなかったためなど、なんらかの理由による不整合があれば、ユーザ(機器の設定者)にそれを通知する第2の機能を提供することにより、ネットワークを正常に使用できるようにするためのネットワーク管理システムを実現することを目的とする。さらに、第2の機能において、不整合がある場合には、前記第1の機能を用いた再設定を促すようにするものである。
【0013】
【課題を解決するための手段】
上記課題を解決するために本発明では、管理サーバを設け、前記管理サーバにおいて、メタレベルの情報としてのポリシー情報を定義する手段と、前記ポリシー情報から各々のネットワーク機器の設定情報を作成する手段を設け、管理サーバにおいてネットワーク管理者が作成したポリシーから、各々のネットワーク機器の設定情報を、導出、生成する処理と、前記設定情報をネットワークを経由して各々のネットワーク機器に配布する処理と、各々のネットワーク機器で前記設定情報をインストールし、設定を有効にする処理を行なう。なお、上記メタレベルの情報とは、当該設定情報を導出する、あるいは作成するための元となる情報を意味する。
【0014】
また、各々のネットワーク機器の設定情報をネットワーク管理サーバに集める処理と、集めた情報を整理し、整合性をチェックする処理を行なう。
【0015】
また、ファイアウォール等により、管理サーバから設定情報を直接配布できないネットワーク機器に対しては、前記管理サーバから前記ネットワーク機器の通信経路上に存在するファイアウォールにデータ中継プログラムを配置し、設定情報の配布を中継させる。更に、管理サーバのデータ転送プログラムと、各ファイアウォール上のデータ中継プログラムの間で、相互認証処理とデータ暗号化処理を行なう。
【0016】
また、ネットワークの管理単位間にファイアウォールを設けたネットワークに適用するファイアウォール統括管理システムにおいて、ファイアウォールに管理情報の設定をおこなうための管理サーバを設け、前記管理サーバは、ファイアウォールが介在する他のファイアウォールへ、管理情報の設定を行うマネージャプログラムを備える。
【0017】
さらに、前記マネージャプログラムは、サービスを受けるクライアントのクライアントアドレスと、サービスを提供するサーバのサーバアドレスとから、設定情報を送信するファイアウォールを特定する。
【0018】
さらに、前記マネージャプログラムは、管理者から入力された情報にしたがって、設定情報を生成し、各々のファイアウォールに設定情報を送信する。
【0019】
【発明の実施の形態】
本発明の第1の実施例を、図3から図8を用いて説明する。図3は、本発明のネットワーク管理システムが稼働する環境の一例として、特にルータにおけるトンネリング設定を行なう場合を示した図である。
【0020】
301 は、インターネット、 302 から 304 は、それぞれ組織ネットワーク、 305から 307 は、前記組織ネットワーク 302 から 304 をインターネット 301 に接続するルータ、 308 は、組織ネットワーク 302 内のローカルネットワーク、 309は、前記ローカルネットワーク 308 に設置された管理サーバである。
【0021】
本実施例においては、トンネリング設定の一例として、組織ネットワーク 302と組織ネットワーク 303 の間のトンネルと、組織ネットワーク 302 と組織ネットワーク 304 の間のトンネルを作成する場合に関して説明する。
【0022】
図4は、本発明のネットワーク管理システムが使用する管理サーバ 309 の構成を示した図である。 401 は、 CPU、 402 は、ネットワークインタフェース、 403 は、ディスク、 404 は、メモリ、 405 と 406 はディスク 403 に格納されたファイルであり、 405 は、ポリシーファイル、 406 は、設定ファイル、407 から 410 は、メモリ 404 上に配置されたプログラムであり、 407 は、オペレーティングシステム、 408 は、ファイル編集プログラム、 409 は、設定ファイル作成プログラム、 410 は、データ転送プログラム, 411 は、入出力装置で、キーボード、マウス等の入力手段と、CRT、液晶などの表示手段からなる。なお、前記設定ファイル 406 は、ルータの台数分存在するものである。ファイル編集プログラム 408 は、ポリシーファイル 405を作成するために、また、設定ファイル作成プログラム 409 は、ポリシーファイル 405を入力として、各々のルータに対応する設定ファイル 406 を作成するために、また、データ転送プログラム 410 は、ルータ 305 〜ルータ 307 に設定ファイル 406 を転送するために使用するものである。管理者は、管理サーバ 309 の入出力装置により設定ファイル 406 を作成する。他の方法として、遠隔にある管理端末から管理サーバ 309 にアクセスするようにしてもよい。
【0023】
図5は、本発明のネットワーク管理システムが使用するポリシーファイル405 の内容を示した図である。ポリシーファイル 405 は、構成機器情報セクション 501 と、ポリシーセクション 502 により構成される。
構成機器情報セクション 501 は、ネットワーク名と、当該ネットワークへの通信に対するトンネリング処理を実行するルータ名とを指定する2 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドにネットワーク名、第 2 フィールドにルータ名を、":" で区切って記述する。本実施例のネットワークにおいては、第 3図の例を実現する構成機器情報セクション 501 に設定する構成機器情報の具体的な内容は以下のようになる。
【0024】
ネットワーク 302:ルータ 305
ネットワーク 303:ルータ 306
ネットワーク 304:ルータ 307
この構成機器情報セクション 501 の第 1 エントリは、「ネットワーク 302 への通信に対するトンネリングはルータ 305 が実行する」ことを意味する。
【0025】
ポリシーセクション 502 は、トンネルの両端にあるネットワーク名を指定する 2 つのフィールドにより構成されるエントリの集合である。本実施例の場合、各エントリの第 1 フィールドと第 2 フィールドとに、トンネルの両端にあるネットワーク名を":" で区切って記述する。本実施例のネットワークにおいては、図3の例を実現するポリシーセクション 502 に設定するポリシーの具体的な内容は以下のようになる。
【0026】
ネットワーク 302 : ネットワーク 303
ネットワーク 302 : ネットワーク 304
このポリシーセクション 502 の第 1 エントリは、「ネットワーク 302 とネットワーク 303 の間はトンネルで接続する」ことを意味する。
【0027】
図6は、本発明のネットワーク管理システムが使用する各々のルータに対応した設定ファイル 406 の内容を示した図である。設定ファイル 406 は、トンネル設定情報セクション 601 を含む。
トンネル設定情報セクション 601 は、トンネル処理を実行する送信先ネットワーク名と、当該ネットワークへの通信に対するトンネリング処理を実行するルータ名とを指定する2 つのフィールドにより構成されるエントリの集合である。本実施例の場合第 1 フィールドに送信先ネットワーク名、第 2 フィールドにルータ名を、":" で区切って記述する。
【0028】
本実施例のネットワークにおいては、トンネル設定情報セクション 502 に設定するトンネル設定情報の具体的な内容は以下のようになる。
【0029】
・ ルータ 305 用のトンネル設定情報
ネットワーク 303:ルータ 306
ネットワーク 304:ルータ 307
・ ルータ 306用 のトンネル設定情報
ネットワーク 302:ルータ 305
・ ルータ 307用 のトンネル設定情報
ネットワーク 302:ルータ 305
本発明のネットワーク管理システムは、図5に示したポリシーファイル 405から図6に示した各ルータへの設定ファイル 406 を生成、配布する第 1 の機能と、逆に各ルータから収集した設定ファイル 406 からポリシーファイル 405を生成し、設定に矛盾がないかチェックする第 2 の機能を持つものである。
【0030】
図7は、ポリシーファイル 405 から、各々のルータに対する設定ファイル406 を作成する処理を示したフローチャートである。この処理によって,おのおののネットワーク機器に対して、設定内容の作成およびその設定において、矛盾・不整合を防ぐ上記第1の機能を実現する。
【0031】
701 は、ポリシーファイル 405 をオープンし、構成機器情報セクションのリストとポリシーセクションのリストを作成するステップ
702 は、ステップ701 で作成した構成機器情報セクションのリスト中にエントリがまだあるか確認するステップ
703 から 713 は、まだエントリが存在する場合に実行するステップで、 703 は、構成機器情報セクションのリストからエントリを一つ取り出すステップ
704 は、ステップ 702 で取得したエントリの第 2 フィールドからルータ名を取得するステップ
705 は、名前を取得したルータに対する設定ファイル 406 をオープンするステップ
706 は、ステップ 702 で取得したエントリの第 1 フィールドからネットワーク名を取得するステップ
707 は、ポリシーセクションのリストから、ステップ 706 で取得したネットワーク名と一致するフィールドを持つエントリをピックアップし、リストを作成するステップ
708 は、ステップ 701 で作成したポリシーセクションのリスト中にエントリがまだあるか確認するステップ
709 から 712 は、まだエントリが存在する場合に実行するステップで、
709 は、ステップ 707 で作成したリストからエントリを一つ取り出すステップ
710 は、ステップ 709 で取得したエントリのフィールドで、ステップ 706 で取得したネットワーク名と一致しない方のフィールドの内容であるネットワーク名を取得するステップ
711 は、構成機器情報セクションのリストから、ステップ 710 で取得したネットワーク名と一致する第 1フィールドを持つエントリを取得するステップ
712 は、ステップ 711 で取得したエントリをステップ 705 でオープンしたファイルに書き出すステップ
713は、ステップ 701 で作成したポリシーセクションのリスト中にエントリがなくなった場合に実行する処理で、ステップ 705 でオープンしたファイルをクローズするステップ
714 は、ステップ 701 で作成した構成機器情報セクションのリスト中にエントリがなくなった場合に実行するステップで、ポリシーファイル405 をクローズするステップ
である。
【0032】
前記のフローを実行することにより、各ルータに対する設定ファイル 406 を生成することができる。さらに各ルータに対する設定ファイル 406 を各々のルータに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0033】
図8は、各々のルータの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。この処理によって、既にそれぞれの機器に設定されている内容に矛盾がないことを、すなわち整合性を確認する第2の機能を実現する。
【0034】
801 は、図5で説明した構成機器情報セクション 501 のエントリを格納する構成機器情報バッファと、ポリシーセクション 502 のエントリを格納するポリシー情報バッファをそれぞれ準備するステップ、
802 は、各々のルータの設定ファイル 406 の中でまだ未処理のものが存在するか確認するステップ、
803から 808 は、未処理の設定ファイル406 が存在する場合に実行する処理で、
803 は、設定ファイル 406 をオープンするステップ、
804 は、オープンした設定ファイル 406 中のトンネル設定情報セクションに未処理のエントリがあるか確認するステップ、
805 から 807 は、未処理のエントリが存在する場合に実行する処理で、
805 は、未処理のエントリを一つ読み込むステップ、
806 は、ステップ 805 で読み込んだエントリを構成機器情報バッファに書き込むステップ、
807 は、ステップ 805 で読み込んだエントリの第 1 フィールドを、現在処理中のルータ名に変更し、ポリシー情報バッファに書き込むステップ、
808は、未処理のエントリが存在しない場合に実行する処理で、ステップ 803 でオープンした設定ファイル 406 をクローズするステップ、
809 は、構成機器情報バッファを第 2 フィールドをキーにソートするステップ、
810 は、同一の第 2 フィールドで異なった第 1 フィールドを持つエントリが存在しないか、構成機器情報バッファの内容をチェックし、その結果を入出力装置411を用いて表示、報告するステップ、
811 は、ポリシー情報バッファの各エントリに対し、構成機器情報バッファの内容を用いることにより、第 2 フィールドに記載されたルータ名をネットワーク名に置換するステップ、
812 は、ポリシー情報バッファの各エントリのフィールドの順番をソートするステップ、
813 は、ポリシー情報バッファのエントリをソートするステップ、
814は、ポリシー情報バッファに同一のエントリが 2 つづつ存在するかチェックし、その結果を入出力装置411を用いて表示、報告するステップである。
【0035】
前記のフローを実行し、ステップ 810 およびステップ 814 によるチェックを実行することで、各設定ファイル 406 の整合性を確認し、その結果を入出力装置411を用いて表示、報告する第 2 の機能を実現することができる。
【0036】
本発明の第2の実施例を、図9から図13を用いて説明する。図9は、本発明のネットワーク管理システムを適用する環境の一例として、特にパケットフィルタリング方式のファイアウォールにおけるアクセス制御設定を行なう場合を示した図である。
【0037】
パケットフィルタリングとは、たとえば「ファイアウォール インターネット関連技術について」宝木他,昭晃堂 に記載されているように、送信元IPアドレス、宛先IPアドレスなどに基づいてパケットのフィルタリングを行うものである。
【0038】
901 は、インターネット、 902 は、組織ネットワーク、 903 は、組織ネットワーク 902 内のサブネットワーク、 904 は、組織ネットワーク 902 内のもう一つのサブネットワーク、 905 は、組織ネットワーク 902 の出入口に設置されたパケットフィルタリング方式のファイアウォール、 906 は、サブネットワーク 903の出入口に設置されたパケットフィルタリング方式のファイアウォール、 907は、サブネットワーク 904 の出入口に設置されたパケットフィルタリング方式のファイアウォール、 908 は、管理サーバである。
【0039】
本実施例においては、アクセス制御設定の一例として、送信元アドレスがサブネットワーク 903 内のすべてのホストで、送信先アドレスがインターネット上のすべてのホストである通信を許可し、かつ、送信元アドレスがサブネットワーク 904 内のすべてのホストで、送信先アドレスがサブネットワーク 903 内のすべてのホストである通信を許可する場合に関して説明する。
【0040】
図10は、本実施例において使用する各々のファイアウォールのポリシーファイル 405 の内容を示した図である。本実施例で使用するポリシーファイル 405 は、構成機器情報セクション 1001と、ポリシーセクション 1002 により構成される。
構成機器情報セクション 1001は、ファイアウォール名と、当該ファイアウォールの外側のネットワーク名と、当該ファイアウォールで防御する内側のネットワーク名を指定する 3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドにファイアウォール名、第 2フィールドに外側のネットワーク名、第 3 フィールドに内側のネットワーク名をそれぞれ記述する。本実施例のネットワークにおいては、図9の例を実現する構成機器情報セクション 1001に設定する構成機器情報の具体的な内容は以下のようになる。
【0041】
ファイアウォール 905 : 組織ネットワーク 902 : インターネット 901
ファイアウォール 906 : サブネットワーク 903 : 組織ネットワーク 902
ファイアウォール 907 : サブネットワーク 904 : 組織ネットワーク 902
この構成機器情報セクション 1001 の第 1 エントリは、「ファイアウォール905 は、組織ネットワーク 902 からインターネットへの中継を実施する」ことを意味する。
【0042】
ポリシーセクション 1002 の第 1 フィールドは送信元アドレス、第 2 フィールドは送信先アドレスを記述する。本実施例のネットワークにおいては、図9の例を実現するポリシーセクション 1002 に設定するポリシーの具体的な内容は以下のようになる。
【0043】
サブネットワーク 903 : インターネット 901
サブネットワーク 904 : サブネットワーク 903
このポリシーセクション 1002 の第 1 エントリは、「送信元がサブネットワーク 903 のホストは、送信先としてインターネット 901 のホストと通信可能である」ことを意味する。
【0044】
図11は、本実施例において使用する各々のファイアウォールの設定ファイル 406 の内容を示した図である。設定ファイル 406 は、アクセス制御情報セクション 1101 を含む。
アクセス制御情報セクション 1101 は、送信元アドレスと、送信先アドレスとを指定する2つのフィールドで構成されるエントリの集合である。本実施例の場合、第 1 フィールドに送信元アドレス、第 2 フィールドに送信先アドレスを、":" で区切って記述する。
【0045】
本実施例のネットワークにおいては、アクセス制御情報セクション 1101 に設定するアクセス制御情報の具体的な内容は以下のようになる。
【0046】
・ ファイアウォール 905用 のアクセス制御情報
サブネットワーク 903 : インターネット 901
・ ファイアウォール 906用 のアクセス制御情報
サブネットワーク 903 : インターネット 901
サブネットワーク 904 : サブネットワーク 903
・ ファイアウォール 907用 のアクセス制御情報
サブネットワーク 904 : サブネットワーク 903
図12は、ポリシーファイル 405 から、各々のファイアウォールに対する設定ファイル 406 を作成する処理を示したフローチャートである。
【0047】
1201 は、ポリシーファイル 405 をオープンし、構成機器情報セクション 1001のリストとポリシーセクション 1002 のリストを作成するステップ、
1202 は、ステップ 1201 で作成したポリシーセクションのリスト中にエントリがまだあるか確認するステップ、
1203 から 1206 は、まだエントリが存在する場合に実行するステップで、
1203 は、ポリシーセクションのリストからエントリを一つ取り出すステップ、
1204 は、構成機器情報セクションのリスト中から、ステップ 1203 で取り出したエントリに関連するエントリを取り出すステップ、
1205は、ステップ 1204 で取り出した各々のエントリの第 1 フィールドに記載されたファイアウォール用の設定ファイル 406 をそれぞれオープンし、ステップ 1203で取り出したポリシーセクションのエントリを書き込むステップ、
1206 は、ステップ 1205 でオープンした各々の設定ファイル 406 をクローズするステップである。
【0048】
前記のフローを実行することにより、各ファイアウォールに対する設定ファイル 406 を生成することができる。さらに各ファイアウォールに対する設定ファイル 406 を各々のファイアウォールに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0049】
図13は、各々のファイアウォールの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。
【0050】
1301 は、図10で説明したポリシーセクション 1002 を格納するポリシー情報バッファを準備するステップ、
1302 は、各々のファイアウォールの設定ファイル 406 の中でまだ未処理のものが存在するか確認するステップ、
1303 から1304 は、未処理の設定ファイル 406 が存在する場合に実行する処理で、
1303は、設定ファイル 406 をオープンするステップ、
1304 は、オープンした設定ファイル 406 中のアクセス制御情報セクションのエントリをポリシー情報バッファに書き込むステップである。
【0051】
1305 は、ポリシー情報バッファ中の重複するエントリを削除するステップである。
【0052】
前記のフローにより作成したポリシー情報バッファの各エントリは、通信が許可されている送信元、送信先の組を表している。そこで、この情報をチェックすることにより、各設定ファイル 406 の整合性を確認し、その結果を入出力装置411を用いて表示、報告する第 2 の機能を実現することができる。
【0053】
本発明の第3の実施例を、図14から図19を用いて説明する。図14は、本発明のネットワーク管理システムが稼働する環境の一例として、特にアプリケーションゲートウェイ方式のファイアウォールにおけるアクセス制御設定を行なう場合を示した図である。
【0054】
1401 は、インターネット、 1402 は、組織ネットワーク、 1403 は、組織ネットワーク 1402 内のサブネットワーク、 1404 は、組織ネットワーク 1402 内のもう一つのサブネットワーク、 1405 は、組織ネットワーク 1402 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1406 は、サブネットワーク 1403 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1407 は、サブネットワーク 1404 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1408 は、管理サーバ、1409 は、インターネット 1401 により隔てられたリモートネットワーク、 1410は、リモートネットワーク 1409 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1411 は、インターネット 1401 上でユーザ Aが使用するクライアント計算機、 1412 は、組織ネットワーク 1402 上でユーザB が使用するクライアント計算機、 1413 は、サブネットワーク 1403 中のサーバ計算機、 1414 は、サブネットワーク 1404 中のサーバ計算機である。
【0055】
本実施例においては、アクセス制御設定の一例として、 (1) インターネット1401 上でユーザ A がクライアント計算機 1411 により、サブネットワーク 1403内のサーバ計算機 1413 に対して telnet プロトコルの使用を許可されており、かつ、 (2) リモートネットワーク 1409 上でユーザ B がクライアント計算機 1412により、サブネットワーク 1404 内のサーバ計算機 1414 に対して ftp プロトコルの使用を許可されている場合について説明する。
【0056】
図15は、本実施例において使用する各々のファイアウォールのポリシーファイル 405 の内容を示した図である。
【0057】
本実施例で使用するポリシーファイル 405 は、構成機器情報セクション 1501と、ユーザポリシーセクション 1502 により構成される。
構成機器情報セクション 1501 は、ファイアウォールの外側のネットワーク名と、ファイアウォール名と、ファイアウォールで防御する内側のネットワーク名とを指定する3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドに外側のネットワーク名、第 2 フィールドにファイアウォール名、第 3 フィールドに内側のネットワーク名をそれぞれ記述する。本実施例のネットワークにおいては、図14の例を実現する機器構成セクション1501 に設定する構成機器情報の具体的な内容は以下のようになる。
【0058】
インターネット 1401 : ファイアウォール 1405 : 組織ネットワーク1402
インターネット 1401 : ファイアウォール 1410 : リモートネットワーク1409
組織ネットワーク 1402 : ファイアウォール 1406 : サブネットワーク 1403
組織ネットワーク 1402 : ファイアウォール 1407 : サブネットワーク 1404
ユーザポリシーセクション 1502 は、ユーザ名、送信元として許可されたネットワーク名、送信先として許可されたネットワーク名、使用を許可されたプロトコル名を指定する4つのフィールドにより構成されるエントリの集合で、本システムでアクセス制御をおこなうネットワークユーザ単位にエントリを作成する。本実施例の場合、 第 1 フィールドにユーザ名、 第 2 フィールドに送信元ネットワーク名、 第 3フィールドに送信先ネットワーク名、第 4 フィールドにプロトコル名を記述する。ここで、送信元と、送信先とのネットワーク名の指定はホスト名毎に行なうことも可能である。また、プロトコル名の指定は、複数のプロトコルをまとめて記述することも可能である。本実施例のネットワークにおいては、図14の例を実現するユーザポリシーセクション 1502 に設定するユーザポリシーの具体的な内容は以下のようになり、この内容を、入出力装置411から、入力する。
【0059】
ユーザA : インターネット 1401 : サブネットワーク 1403 : telnet
ユーザB : リモートネットワーク 1409 : サブネットワーク 1404 : ftp
図16は、本実施例において使用する各々のファイアウォールの設定ファイル 406 の内容を示した図である。設定ファイル 406 は、アクセス制御情報セクション 1601 と、ユーザ認証情報セクション 1602 を含む。
アクセス制御情報セクション 1601 は送信元アドレスと、送信先アドレスと、許可するプロトコルとを指定する3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドに送信元アドレス、第 2フィールドに送信先アドレス、第 3 フィールドにプロトコルを、":" で区切って記述する。前記アドレスは、ホスト単位もしくはネットワーク単位で指定可能とする。本実施例においては、アクセス制御情報セクション 1601 に設定するユーザポリシーの具体的な内容は以下のようになる。
【0060】
・ ファイアウォール 1405 の設定ファイル
インターネット 1401 : ファイアウォール 1406 : telnet
・ ファイアウォール 1406 の設定ファイル
ファイアウォール 1405 : サブネットワーク 1403 : telnet
・ ファイアウォール 1407 の設定ファイル
組織ネットワーク 1402 : サブネットワーク 1404 : ftp
・ ファイアウォール 1410 の設定ファイル
リモートネットワーク 1409 : ファイアウォール 1405 : ftp
ユーザ認証情報セクション 1602 はユーザ名、当該ユーザのパスワード、暗号鍵等の認証情報、当該ユーザに許可されたプロトコル名を指定する3つのフィールドから構成されるエントリの集合である。本実施例の場合、第 1 フィールドにユーザ名、第 2 フィールドに認証情報、第 3 フィールドにプロトコル名を、":" で区切って記述する。本実施例のネットワークにおいては、ユーザ情報セクション 1602 に設定するユーザ認証情報の具体的な内容は以下の通りになる。
【0061】
・ ファイアウォール 1405用 のユーザ認証情報
ユーザA : (パスワード文字列) : telnet
ユーザB : (パスワード文字列) : ftp
・ ファイアウォール 1406用 のユーザ認証情報
ユーザA : (パスワード文字列) : telnet
・ ファイアウォール 1407用 のユーザ認証情報
ユーザB : (パスワード文字列) : ftp
・ ファイアウォール 1410 のユーザ認証情報
ユーザB : (パスワード文字列) : ftp
図17は、本実施例で設定ファイルの作成に使用する経路情報リスト 1701の内容を示した図である。経路情報リストは、ネットワーク名またはファイアウォール名を格納するセルが可変数個つながったもので、各ネットワーク機器の設置時点において,ユーザ(機器の設定者)が作成するものである。このリストには、図17に示すように送信元ネットワークから送信先ネットワークまでに介在するネットワーク名と、各ネットワークを分断するファイアウォール名が順に格納される。
【0062】
経路情報リスト 1701 より、経路上の各ファイアウォールが中継を担当する送信元と送信先の範囲を特定することが可能である。着目したファイアウォールに対して、一つ前の要素となるネットワークおよび二つ前の要素となるファイアウォールが送信元となり、また一つ後の要素となるネットワークおよび二つ後の要素となるファイアウォールが送信先となる。
【0063】
なお、送信元と隣接するファイアウォールの場合は、二つ前の要素となるファイアウォールは存在しない。また送信先と隣接するファイアウォールの場合は、二つ後の要素になるファイアウォールは存在しない。
【0064】
図18は、ポリシーファイル 405 から、各々のファイアウォールに対する設定ファイル 406 を作成する処理を示したフローチャートである。
【0065】
1801 は、ポリシーファイル 405 をオープンし、構成機器情報セクション 1501と、ユーザポリシーセクション 1502 のリストを作成するステップ、
1802 は、ステップ 1801 で作成したユーザポリシーセクションのリスト中にエントリがまだあるか確認するステップ
1803 から 1809 は、まだエントリが存在する場合に実行するステップで
1803 は、ユーザポリシーセクションのリストよりエントリを一つ取り出すステップ
1804 は、構成機器情報セクション 1501 のリストを持ちいて、ステップ 1803で取り出したエントリが示す通信経路上に存在するファイアウォールを特定し、前記エントリの送信元から送信先までの経路情報リスト 1701 を作成するステップ
1805 は、ステップ 1804 で作成した経路情報リスト 1701 に含まれるファイアウォールに対し、設定ファイル 406 をそれぞれオープンするステップ
1806 から 1809 はステップ 1805 で作成した経路情報リスト 1701 に含まれる全てのファイアウォールの設定ファイル 406 を作成するステップで、
1806 は、ステップ 1806 で未処理のファイアウォールが経路情報リスト 1701
にまだ存在するか確認するステップ
1807 は、ステップ 1805 で作成した経路情報リスト 1701 からファイアウォールをピックアップするステップ、
1808 は、経路情報リスト 1701 を用いて、ステップ 1807 でピックアップしたファイアウォールに隣接するネットワークおよびファイアウォールを特定するステップ
1809 は、ステップ 1808 で特定した情報から、ステップ 1807 でピックアップしたファイアウォールの設定ファイル 406 のアクセス制御情報セクション 1601 のエントリを作成するステップ
1809 は、ステップ 1808 で特定した情報から、ステップ 1807 でピックアップしたファイアウォールの設定ファイル406 のユーザポリシーセクション 1602 のエントリを作成するステップ
1810は、ステップ 1804 で作成した経路情報リスト 1701 に含まれるファイアウォールに対し、設定ファイル 406 をそれぞれクローズするステップである。
【0066】
前記のフローを実行することにより、各ファイアウォールに対する設定ファイル 406 を生成することができる。さらに各ファイアウォールに対する設定ファイル 406 を各々のファイアウォールに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0067】
図19は、各々のファイアウォールの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。
【0068】
1901 は、図15で説明したユーザポリシーセクション 1502 を格納するポリシー情報バッファを準備するステップ
1902 は、各々のファイアウォールの設定ファイル 405 の中でまだ未処理のものが存在するか確認するステップ、
1903 から 1905 は、未処理の設定ファイル 406 が存在する場合に実行する処理で、
1903 は、設定ファイル 406 をオープンするステップ
1904 は、ステップ1903 でオープンした設定ファイル 406 のアクセス制御情報セクション 1601 よりファイアウォールの接続関係を洗い出す処理で、前記アクセス制御情報セクション 1601 の各エントリに対し、エントリの第 1 フィールド、前記設定ファイル 406 により設定されるファイアウォール名、前記エントリの第 2 フィールドを要素とするレコードをそれぞれ作成し、ポリシー情報バッファに記録するステップ
1905 は、ステップ 1903 でオープンした設定ファイル 406 のユーザ情報セクション 1602 よりユーザ登録状況を洗い出す処理で、前記ユーザ情報セクション 1602 の各エントリに対し、エントリの第 1 フィールド、前記設定ファイル 406 により設定されるファイアウォール名、前記エントリの第 3 フィールドを要素とするレコードをそれぞれ作成し、ポリシー情報バッファに記録するステップ
1906 は、ステップ 1904 でポリシー情報バッファに記録したレコードから、ポリシーファイル 405 の構成機器情報セクション 1501 を再構成するステップ
1907 は、ステップ 1904 でポリシー情報バッファに記録したレコードから、ポリシーファイル 405 のユーザポリシーセクション 1502 を再構成するステップである。
【0069】
前記のフローを実行し、作成したポリシーファイルをチェックすることにより、各設定ファイル 406 の整合性を確認する第 2 の機能を実現することができる。
【0070】
図20は、図15の構成において特に、管理サーバからファイアウォール1410 に対して設定情報を配布するための、通信経路上のネットワーク機器であるファイアウォール 1405 および、ファイアウォール 1410 の構成を示した図である。 2001 は、 CPU 2002 は、ネットワークインタフェース、 2003 は、ディスク、 2004 は、メモリ、 2005 から 2007 は、メモリ上に配置されたプログラムであり、 2005 は、オペレーティングシステム、 2006 は、エージェントプログラム、 2007 は、データ中継プログラム、 2008 は、前記データ中継プログラム2007 が中継先の特定に使用する中継経路情報テーブル、 2009 は、キーボード、マウス等の入出力装置である。
【0071】
管理サーバは、経路上のファイアウォール 1405 のデータ中継プログラム 2007を経由して目的のファイアウォール 1410 に対して設定情報 406 を送付することにより、ファイアウォール 1410 に対しても設定を行なうことが可能になる。ファイアウォール 1410 は、エージェントプログラム 2006 を用いて、受信した設定ファイル 406 をインストールする。この時、設定情報の改ざん、漏洩を防ぐことを目的として、管理サーバ1408上のデータ転送プログラム 410 と、経路上のファイアウォール 1405 上のデータ中継プログラム 2007 の間で相互認証とデータ暗号化を行なうようにしてもよい。また、管理サーバ 309 上のデータ転送プログラム 410 と、目的のファイアウォール 1410 上のデータ中継プログラム2007 との間で、相互認証とデータ暗号化を行なうようにしてもよい。
【0072】
以下、この第3の実施例をより具体化した第4の実施例について説明する。
【0073】
〔ファイアウォール統括管理システムのネットワーク構成〕
先ず、図21を用いて本実施形態に係るファイアウォール統括管理システムのネットワーク構成について説明する。 図21は、本実施形態に係るファイアウォール統括管理システムのネットワーク構成図である。 本実施形態では、プロトコルとしてインターネットの事実上の標準(デファクトスターンダード)になっているTCP(Transmission Control Protocol)/IP(Internet Protocol)を用いるものとして説明する。
【0074】
ドメイン12a〜12eは、ネットワークが管理される単位であり、一つのドメインは、同じ方針で管理されている。また、各ドメインは、不特定多数のユーザがアクセス可能なオープンなネットワークであるインターネット11で結ばれている。さらに、各ドメインと外部のネットワークとの間には、外部からの不正侵入を防ぐためのアクセス制御をおこなう装置であるファイアウォール14a〜14dが設けられている。
【0075】
ドメイン2には、管理サーバ13と管理端末15が接続されている。管理サーバ13は、ファイアウォールを管理する機能を提供するサーバである。管理端末15は、管理者がファイアウォールの管理作業をおこなうために設けられた端末である。従来では、ファイアウォールの管理は、ファイアウォールと同じドメインに接続されている端末からおこなっていたが、本発明では、これらの管理サーバ13と管理端末15により、他のドメインに接続されているファイアウォールの管理情報も設定できるところに特徴がある。
【0076】
なお、本実施形態では、管理作業用のユーザインタフェースを提供する管理端末15を用意したが、ネットワークの構成上、管理サーバから管理作業をおこなうようにしても良い。
【0077】
各ドメイン12a〜12dは、オープンなインターネットを利用して、仮想的にプライベートなネットワークとして利用する、いわゆるVPN(Virtual Private Network)を実現しているものとする。その際に、セキュリティのためには、ファイアウォールは必須の設備であるということができる。
【0078】
〔ファイアウォール統括管理システムの各ハードウェア構成〕
次に、図22ないし図24を用いて本実施形態に係るファイアウォール統括管理システムを構成している各々のハードウェア構成について説明する。
先ず、図22を用いて本実施形態の管理サーバ13のハードウェア構成について説明する。
管理サーバ13は、プロセッサ21と、固定ディスク22と、メモリ27と、入出力制御部211と、ネットワーク制御部213とで構成される。
プロセッサ21は、計算機内のハードウェア間の制御とプログラムの処理をおこなうユニットである。固定ディスク22は、大容量の補助記憶装置であり、プログラムやテーブルを格納する装置である。メモリ27は、プログラムをロードしたり、一時的なデータを格納する装置であり、通常は半導体素子で構成される。入出力制御部211は、外部に記憶された入出力装置、例えば、ディスプレイやキーボード212などを制御する。ネットワーク制御部213は、他の計算機との間の回線を制御する部分である。
【0079】
固定ディスク22には、本発明のファイアウォール統括管理システムを実現するためのプログラムと各種のテーブルが格納される。マネージャプログラム23は、管理サーバ上で動作する管理プログラムであり、管理者から入力された情報に基づき、ファイアウォールに設定するための制御情報を生成し、ファイアウォールに送信する機能を持つ。認証・暗号通信モジュール22aは、マネージャプログラム23から呼び出され、認証、暗号通信をおこなう機能を受け持つ。ファイアウォール構成情報テーブル24は、ファイアウォールとドメインとの接続関係を記載したテーブルである。ユーザ情報テーブル25は、様々なユーザ情報を格納するテーブルであり、ユーザ毎のネットワーク利用形態情報と利用経路情報とから成っている。中継経路テーブル26は、送信先アドレスと次の接続先アドレスである中継先アドレスとを記載したテーブルであり、設定情報をファイアウォールに送信するときに、接続を中継するファイアウォールのアドレスを格納する。
【0080】
なお、ここに出てきたテーブルの内容と機能については後に詳細に説明する。
一方、メモリ27は、上記のようにプログラムを固定ディスクからロードしてきて格納したり、一時的なデータを保持するための装置であり、論理的に各エリアに分割して用いられる。マネージャプログラムエリア28は、マネージャプログラム23を格納するエリア、認証・暗号通信モジュールエリア29は、認証・暗号通信モジュールがロードされるエリア、ファイアウォール設定情報テーブルエリア215は、ファイアウォールの管理情報設定のときに、ダイナミックに生成されるファイアウォール設定情報テーブル215を格納するエリアであり、経由ファイアウォールテーブルエリア214は、経由ファイアウォールテーブルを格納するエリア、中継経路テーブルエリア210は、中継経路テーブルエリアを格納するエリアである。ファイアウォール設定情報テーブル215と経由ファイアウォールテーブルエリア214についても後述する。
【0081】
次に、図23を用いて本実施形態のファイアウォール14a〜14dのハードウェア構成について説明する。
ファイアウォール14a〜14dは、プロセッサ31と、固定ディスク32と、メモリ36と、ネットワーク制御部313とで構成される。各々の機能は、管理サーバ13のときと同様である。
ファイアウォール14a〜14dの固定ディスク32にも、管理サーバ13のときと同様に、本発明のファイアウォール統括管理システムを実現するためのプログラムと各種のテーブルが格納される。エージェントプログラム33は、ファイアウォール上でマネージャプログラムのエージェント(代理人)として働くプログラムであり、マネージャプログラムから送信されてくるファイアウォールの設定情報を受信し、それをファイアウォールが持っている各テーブルに設定する。中継経路テーブル35は、管理サーバ13のときと同様に、送信先アドレスと次の接続先アドレスである中継先アドレスとを記載したテーブルであり、設定情報をファイアウォールに送信するときに、接続を中継するファイアウォールのアドレスを格納する。
【0082】
中継プログラム34は、ファイアウォールの設定情報を持つパケットを設定対象となるファイアウォールに送信するときに、その経路にあたるファイアウォールが、接続を中継するプログラムであり、前記中継経路テーブル35に基づいて接続を次のファイアウォールに中継する機能を持つ。認証・暗号通信モジュール33aは、エージェントプログラム33から呼び出され、認証、暗号通信をおこなう機能を受け持つ。ユーザ登録テーブル312は、ユーザ登録情報を格納し、ユーザがサービスを受けるときに認証をおこなうためのテーブルである。アクセス制御テーブル313は、ユーザがサービスを受けるときに必要とする各種情報を格納するテーブルである。経路制御テーブル314は、ユーザがサービスを受けるときのパケットの経路情報を格納するテーブルである。
【0083】
また、ファイアウォール14a〜14dのメモリ36には、エージェントプログラムエリア37と、中継プログラムエリア38と、中継経路テーブルエリア39と、認証・暗号通信モジュールエリア310に分割されてデータが格納される。エージェントプログラムエリア37は、エージェントプログラム33を格納するエリア、中継プログラムエリア38は、中継プログラム34が格納されるエリア、中継経路テーブルエリア39は、中継経路テーブルを格納するエリア、認証・暗号通信モジュールエリア310は、認証・暗号通信モジュールがロードされるエリアである。
【0084】
次に、図24を用いて本実施形態の管理端末15のハードウェア構成について説明する。
管理端末15は、プロセッサ41と、固定ディスク42と、メモリ45と、入出力制御部46と、ディスプレイキーボード47と、ネットワーク制御部48とで構成される。管理端末15も、各々の機能は、管理サーバ13のときと同様である。
管理端末15上の固定ディスク42には、ユーザインターフェイスプログラム43が、格納されていて、実行されるときには、メモリ上のユーザインターフェイスプログラムにロードされる。ユーザインターフェイスプログラムは、ネットワークの管理者にファイアウォールの制御操作のためのユーザインターフェイスを提供するプログラムである。
【0085】
〔ファイアウォール統括管理システムのファイアウォール設定処理〕
次に、図25ないし図29を用いて本発明に係るファイアウォール統括管理システムにおいて、ファイアウォールの設定をする処理について説明する。
図25は、本発明に係るファイアウォール統括管理システムが、ファイアウォールの設定をする処理を模式的に示した図である。
この図25で示された例では、図21に示したシステム構成のもとで、特に認証されたユーザ197のみがクライアントからサーバ199にアクセスできるようにファイアウォールに設定する場合を想定している。
【0086】
管理サーバ13が、このようなファイアウォールの設定処理をおこなうときには、以下の処理を順におこなうことになる。これを、図25をふまえて項を分けて説明する。
(1)設定対象ファイアウォールを特定する処理191
(2)ファイアウォール毎に設定情報を生成する処理192
(3)ファイアウォール毎の設定情報を各ファイアウォールに送信する処理193
(4)各ファイアウォールが設定情報を受信し、それを設定する処理194
(5)ファイアウォールが接続を中継する処理195
(1)設定対象ファイアウォールを特定する処理191。
【0087】
この中で、前記第3の実施例の具体例となる設定対象ファイアウォールを特定する処理191について図26ないし図30を用いて説明する。
図26は、管理者が、設定情報を入力するときの管理端末15上の入力画面51を示す図である。入力画面51は、ディスプレイキーボード47の出力装置上に表示されるものである。また、この管理者が設定する情報は、図15に例示したユーザポリシーセクション1502に設定するユーザポリシーに相当するものである。
図27は、管理サーバ13上のファイアウォール構成情報テーブル24を示す図である。このテーブルは、図15に例示した構成機器情報セクション1501に設定する構成機器情報に相当するものである。
図28は、マネージャプログラム23が設定するファイアウォールを特定する処理を示すフローチャートである。このフローチャートは、図18にて説明した、設定ファイル406を作成する処理を示すフローチャートの一部に相当するものである。
【0088】
図29は、経由ドメインリスト216の内容を状態毎に示した図である。
図30は、管理サーバ13上の経由ファイアウォールテーブル214を示す図である。
ファイアウォールとして、ネットワークの防衛のために有効に機能するためには、そのネットワークの形態から見て設定が必要なファイアウォールを特定し、そのファイアウォールに対して、サービスを受ける利用者の利用形態を想定した設定をする必要がある。そのために、先ず管理者は、図25に示される管理端末15から、必要な設定情報を入力する。
【0089】
ユーザ識別子(グローバルユーザ名)52は、サービスを受けるネットワーク全域において、一意的でグローバルに通用する名称である。クライアントアドレス53は、ユーザが利用するクライアントのアドレスであり、サーバアドレス54は、ユーザがサービスを受けるサーバのアドレスである。このアドレスは、計算機またはネットワークを一意的に識別するアドレスであり、表記の仕方については、DNS(Domain Name System)に基づくドメイン形式で記述し、ネットワーク全体で通用するアドレスにしておく必要がある。
【0090】
サービス名55には、ユーザが利用するサービス名を入力する。この図25に示される例は、グローバルユーザ名が「abc」であるユーザが、「ドメイン1」から「ドメイン3」に「telnet」でアクセスするサービスを前提として、ファイアウォールの設定をおこなう場合である。
管理端末15からの入力が終わると、管理端末15上のユーザインタフェースプログラム43は、入力画面51に入力された情報を、管理サーバ13に送信する。そして、管理サーバ13上のマネージャプログラム23は、送信されてくる入力情報を取得する。
設定するファイアウォールを特定するためには、管理サーバ15のマネージャプログラム23がネットワークの形態を押さえる必要がある。そのために、ドメインとファイアウォールの接続関係を記述したものが図27に示されるファイアウォール構成情報テーブル24である。
【0091】
ファイアウォール構成情報テーブル24は、図27に示されるように、ドメインを示すドメイン名フィールド61と、そのドメインに接続されているファイアウォールを示すファイアウォール名フィールド62と、ドメイン名フィールド61に記述したドメインとファイアウォールを隔てて隣接するドメインを示す隣接ドメイン名フィールド63から構成されている。
本実施形態で採り上げる図21に示すネットワーク環境の場合、ドメイン2(12b)には、ファイアウォール1(14a)とファイアウォール2(14b)が接続されている。そして、ファイアウォール1(14a)側には、ドメイン1(12a)が隣接しており、ファイアウォール2(14b)側には、インターネット(11)が隣接している。このときには、ファイアウォール構成情報テーブル24の各フィールドには、エントリ64a,64b,64c,64fに示す内容が登録される。
【0092】
次に、図28および図29を用いてマネージャプログラム23が、設定対象ファイアウォールを特定する処理手順を説明する。
この処理は、マネージャプログラム23が、ユーザの利用するクライアントアドレス53、サーバアドレス54、およびファイアウォール構成情報テーブル24とを用いて、経由するファイアウォールを特定することにより、設定対象となるファイアウォールを決定するものである。
【0093】
ドメイン形式のアドレスは、ホスト名とクライアントの属するドメイン名が合成された形式をとる。したがって、図27(a)に示されるように、マネージャプログラム23は、まず、ドメイン形式で与えられたクライアントアドレス53から、ホスト名を除くことによりクライアントの属するドメイン名(クライアントドメイン名)を取得する。例えば、ドメイン形式が、「www.xyz.co.jp」であるときには、wwwがホスト名であり、クライアントドメイン名は、xyz.co.jpとなる。そして、経由ドメインリスト216の先頭に得られたクライアントドメイン名を追加する(S71)。
【0094】
経由ドメインリスト216は、クライアントからサーバまでの間に経由するドメイン名を保存するリストである。経由ドメインリスト216が具体的にどの様に用いられるかについては、後に図29を用いて詳細に説明する。
次に、クライアントドメイン名に対して、処理A(S74)を実行する(S72)。処理Aは、再帰的呼出し手続きであり、経由ドメインリスト216を取得する処理である。したがって、この処理を抜け出てきたときには、クライアントからサーバまでの経由ドメインリスト216が完成されている。
最後に、経由ドメインリスト216中の連続するドメイン名とファイアウォール構成情報テーブルとから、その間のファイアウォール名を取得することにより、経由するファイアウォールのリスト(経由ファイアウォールリスト)を取得する(S73)。この経由ファイアウォールリストは、図30に示される経由ファイアウォールテーブル214のエントリとして格納される。
【0095】
経由ファイアウォールテーブル214は、設定対象ファイアウォールを特定する処理の結果を格納するためのテーブルであり、クライアントアドレスフィールド81とサーバアドレスフィールド82と経由ファイアウォールリストフィールド83とから構成される。クライアントアドレスフィールド81とサーバアドレスフィールド82は、それぞれクライアントのアドレスとサーバのアドレスを格納するフィールドである。経由ファイアウォールリストフィールド83は、前述の如く、設定対象ファイアウォールを特定する処理の結果として、クライアントアドレス53からサーバアドレス54までの経路上にあるファイアウォールのリストを格納したものある。すなわち、この経由ファイアウォールリストフィールド83に記載された一連のファイアウォールが、クライアントがサーバからサービスにあたって、マネージャプログラム23が、設定対象とするファイアウォールである。
【0096】
次に、上記の処理A(S74)について説明する。
この処理Aに与えられる引数は、ドメイン名、ファイアウォール構成情報テーブル24、経由ドメインリスト216である。また、この処理Aは、再帰的呼出し手続き(Recurcive Call)である。
先ず、マネージャプログラム53は、与えられたドメイン名とファイアウォール構成情報テーブル24のドメイン名フィールド61とが一致するエントリを検索する。そして、一致したエントリの隣接ドメイン名フィールド63に記載されたドメイン名からリストを作成する(S75)。これを、隣接ドメイン名リストと呼ぶことにする。
【0097】
この隣接ドメイン名リストに要素がない場合(S76)、処理Aから抜ける。
隣接ドメイン名リストに要素がある場合(S76)、そのリストからドメイン名を1つ選択する。選択したドメイン名が、経由ドメインリスト216で既に使用されているならば、隣接ドメイン名リストから別のドメイン名を選択する(S77)。経由ドメイン名リストで使用されていなければ、経由ドメイン名リストに追加する(S78)。
そして、今追加したドメイン名がサーバが属するドメイン名(サーバドメイン名)に等しいか否かを調べる(S79)。追加したドメイン名がサーバが属するドメイン名(サーバドメイン名)に等しいならば(S79)、経由ドメインリスト216を別領域に保存する(S710)。
この時点で保存されたドメインリストが、この処理の答えとなる経由ドメインリスト216になる。
【0098】
そして、経由ドメインリスト216の一番最後に追加されたドメイン名を削除する。これは、手続きが再帰的呼出しを使っているため、経由ドメインの探索を元に戻して処理するために必要なる手続きである。
【0099】
そして、隣接ドメインリストを調べる処理に戻る(S76)。
追加したドメイン名がサーバドメイン名に等しくないならば(S79)、追加したドメイン名を引数にして、再帰的に、処理Aを呼び出す(S712)。
処理Aから抜け出たときには、経由ドメインリスト216の一番最後に追加されたドメイン名を削除する(S713)。これも、処理Aが、再帰的呼出しであるために、処理から抜けたときには、一番最後に追加されたドメイン名での探索は終了していることから必要になる処理である。
この処理Aでは、再帰的な呼び出しを使っているために、クライアントからサーバへの道筋が複数ある場合にも、探索をすべての経路についておこない、経由する可能性のある道筋をすべて見つけ出すことができる。
【0100】
ここで、図29を用いて「ドメイン1」に属するクライアントから「ドメイン3」に属するサーバにアクセスする場合に、設定するファイアウォールを特定する処理を具体的に説明する。まず、「ドメイン1」を経由ドメインリスト216の先頭に追加する(S71、図29(a))。次に、「ドメイン1」を処理Aに渡す引数として、経由ドメインリスト216を取得する処理A(S74)を開始する(S72)。まず、「ドメイン1」とドメイン名フィールド61が一致するエントリとして65aを検出し、その隣接ドメイン名フィールド63に記載された「ドメイン2」を隣接ドメインリストに加える(S75)。
【0101】
次に、隣接ドメインリストから「ドメイン2」を選択する(S76)。「ドメイン2」は経由ドメインリスト216にないので(S77)、「ドメイン2」を経由ドメインリスト216に追加する(S78、図29(b))。「ドメイン2」は、サーバドメイン名「ドメイン3」に等しくないので(S79)、「ドメイン2」を引数として、経由ドメインリスト216を取得する処理A(S74)を開始する(S712)。次に、「ドメイン2」を引数として、処理A(S74)を呼び出して、エントリ64bとエントリ64cから、隣接ドメインリストとして、「ドメイン2」と「ドメイン1」が得られる。「ドメイン1」の方は、既に経由ドメインリスト216に含まれているので、候補から省かれる(S77)。したがって、この段階で図29(c)に示される経由ドメインリスト216が得られる。
【0102】
次に、ドメイン名「インターネット」を引数として、処理A(S74)が呼び出される。
「インターネット」をキーとして、得られる隣接ドメインは、エントリ64f,64g,64hから、それぞれ、「ドメイン2」、「ドメイン3」、「ドメイン4」である。
「ドメイン2」は、やはり経由ドメインリスト216に既に存在しているので候補から省かれ、「ドメイン3」を経由ドメインリスト216に追加したときに、サーバドメイン名に等しくなるため(S79)、これを答えとして保存する(S710)。このあと、追加したドメインである「ドメイン3」を削除する(S711)。そして、図29(3)の状態に戻り探索を続けることになる。
最終的に、図29(d)の状態のときの経由ドメインリスト216が、この処理の答えであって、「ドメイン1」、「ドメイン2」、「インターネット」、「ドメイン3」が取得できる。
【0103】
【発明の効果】
本発明により、複数のネットワーク機器に対して、それぞれの機器に関連する設定内容を矛盾なく作成することと、すでに作成した設定情報に対して矛盾が発生していないかチェックすることができるようになる。
【図面の簡単な説明】
【図1】トンネリングの原理を説明する図。
【図2】多段ファイアウォール環境を説明する図。
【図3】本発明の一実施例における全体構成図。
【図4】管理サーバの構成図。
【図5】第1の実施例におけるポリシーファイルの内容を示した図。
【図6】第1の実施例における設定ファイルの内容を示した図。
【図7】第1の実施例における設定ファイルを作成する処理を示すフローチャート。
【図8】第1の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図9】第2の実施例における全体構成図。
【図10】第2の実施例におけるポリシーファイルの内容を示した図。
【図11】第2の実施例における設定ファイルの内容を示した図。
【図12】第2の実施例における設定ファイルを作成する処理を示すフローチャート。
【図13】第2の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図14】第3の実施例における設定ファイルチェックフロー。
【図15】第3の実施例における全体構成。
【図16】第3の実施例におけるポリシーファイルの内容を示した図。
【図17】第3の実施例における設定ファイルの内容を示した図。
【図18】第3の実施例における設定ファイルを作成する処理を示すフローチャート。
【図19】第3の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図20】管理サーバからファイアウォールに対して設定情報を配布するための、通信経路上のネットワーク機器の構成を示した図。
【図21】 第4の実施例におけるファイアウォール統括管理システムのネットワーク構成図。
【図22】第4の実施例における管理サーバ13のハードウェア構成図。
【図23】第4の実施例におけるファイアウォール14a〜14dのハードウェア構成図。
【図24】第4の実施例における管理端末15のハードウェア構成図。
【図25】第4の実施例におけるファイアウォール統括管理システムが、ファイアウォールの設定をする処理を模式的に示した図。
【図26】第4の実施例において管理者が、設定情報を入力するときの管理端末15上の入力画面51を示す図。
【図27】第4の実施例における管理サーバ13上のファイアウォール構成情報テーブル24を示す図。
【図28】第4の実施例におけるマネージャプログラム23が設定するファイアウォールを特定する処理を示すフローチャート。
【図29】第4の実施例における経由ドメインリスト216の内容を状態毎に示した図。
【図30】第4の実施例における管理サーバ13上の経由ファイアウォールテーブル214を示す図。
【符号の説明】
301…インターネット、 302…組織ネットワーク、 303…組織ネットワーク、 304…組織ネットワーク、 305…ルータ、 306…ルータ、 307…ルータ、 308…ローカルネットワーク、 309…管理サーバ、 401…CPU、 402…ネットワークインタフェース、 403…ディスク、 404…メモリ、 405…ポリシーファイル、 406…設定ファイル、 407…オペレーティングシステム、408…ファイル編集プログラム、 409…設定ファイル作成プログラム、 410…データ転送プログラム、 411…入出力装置。 501…構成機器情報セクション、502…ポリシーセクション、 601…トンネル設定情報セクション、901…インターネット、 902…組織ネットワーク、 903…サブネットワーク、 904…サブネットワーク、 905…ファイアウォール、 906…ファイアウォール、 907…ファイアウォール、 908…管理サーバ、 1001…構成機器情報セクション、 1002…ポリシーセクション、 1101…アクセス制御情報セクション、1401…インターネット、 1402…組織ネットワーク、 1403…サブネットワーク、 1404…サブネットワーク、 1405…ファイアウォール、 1406…ファイアウォール、 1407…ファイアウォール、1408…管理サーバ、 1409…リモートネットワーク、 1410…ファイアウォール、 1411…クライアント計算機、 1412…クライアント計算機、 1413…サーバ計算機、 1414…サーバ計算機、 1501…構成機器情報セクション、1502…ユーザポリシーセクション、 1601…アクセス制御情報セクション、 1602…ユーザ認証情報セクション、 1701…経路情報リスト、 2001…CPU、 2002…ネットワークインタフェース、 2003…ディスク、 2004…メモリ、 2005…オペレーティングシステム、 2006…エージェントプログラム、 2007…データ中継プログラム、 2008…中継経路情報テーブル、 2009…入出力装置。
【発明の属する技術分野】
本発明は、ネットワーク管理システムに関連し、特に複数台のネットワーク機器が協調して動作するサービスアプリケーションの設定をリモートから一括して実行することが可能なネットワーク管理システムに関する。
【0002】
【従来の技術】
従来、ネットワーク上に分散した機器に対する運用管理を支援することを目的とする技術として、特開平 9-69083 号公報「分散運用管理方式および障害管理方式」等がある。これは、ネットワークに接続した計算機に対して、ネットワーク機器としての管理を行なうネットワーク管理機構と、計算機内のジョブを管理するシステム管理機構を連携させ、一元管理を可能にする機能を有するものである。
【0003】
その他、ファイアウォールのトンネリングの管理を提供する技術として、特開平10-200530号公報 「管理方法およびシステム」がある。これは、複数のネットワーク間に作成したトンネルの状況をグラフィカルに表示する機能を有するものである。
【0004】
また、 Data Communications 誌 98/5/21 Vol.27, No.8 の記事「Getting to the Root of Policy Management」によると、分散配置されたサーバ群のアクセスポリシーをディレクトリサービスを用いて設定する動きが活発化している。
【0005】
【発明が解決しようとする課題】
インターネットの発展と共に、様々なネットワーク機器や、その上で稼働するサービスソフトウェアが開発され、その設定項目は複雑化している。特に最近、複数台のネットワーク機器が協調して動作するサービスソフトウェアが増えている。このようなサービスソフトウェアは、単体での設定内容での整合性のみならず、ネットワーク機器間での設定項目の整合性も必要とする。
【0006】
このような設定項目として、例えば、ルータにおけるトンネリングの設定がある。トンネリングとは、通信経路の一部区間で、送信元が作成したパケットを別のパケットに格納して転送する技術で、一対のトンネリング機器により実現される。例えば、図1に示すように、ネットワーク A のホスト A からネットワークB のホスト B へパケットを送信する際に、経路途中のルータ A からルータ B の間でトンネリングを実行するには、
(1) ルータ A において、ホスト A より受信したネットワーク B 内のホスト B 宛のパケットを、送信元アドレスがルータ Aで、送信先アドレスがルータ B のパケット内に格納し、ルータ B に送信する処理
(2) ルータ B において、ルータ A より受信したパケットに格納された、送信元アドレスがホスト A で、送信先アドレスがホスト B のパケットをとりだし、ネットワーク B に送信する処理
を実行することになる。
【0007】
また、ホスト B が、ホスト Aからパケットを受け取ったことを通知するためのパケットをホストAに返送するには、
(3) ルータ B において、ホスト B より受信したネットワーク A 内のホスト A 宛のパケットを、送信元アドレスがルータ B で、送信先アドレスがルータ A のパケット内に格納し、ルータ A に送信する処理と、
(4) ルータ A において、ルータ B より受信したパケットに格納された、送信元アドレスがホスト B で、送信先アドレスがホスト A のパケットをとりだし、ネットワーク A に送信する処理
を実行することになる。
【0008】
このような処理を実現するには、
・ルータ A が、ネットワーク B 宛のパケットはルータ B に送信すれば良いことを知っていること
・ルータ B が、ネットワーク A 宛のパケットはルータ A に送信すれば良いことを知っていること
が前提になり、両方のルータの設定が矛盾しないように、すなわち、両方のルータの設定において不整合が発生しないようにする必要がある。
【0009】
その他の同様な設定項目として、多段のファイアウォールのアクセス制御設定がある。ファイアウォールは、送信元アドレスと送信先アドレスの組み合わせに応じてアクセスの可否を判断する。例えば、図22に示すように、サブネットワーク A1 のホスト A が、サブネットワーク A1 の出入口に設置されたパケットフィルタリング方式のファイアウォール FW-A1 と、ネットワーク A の出入口に設置されたパケットフィルタリング方式のファイアウォール FW-A を経由してインターネットのサーバにアクセスする場合、以下のアクセス制御を実施することになる。
【0010】
(1) ファイアウォール FW-A1 において、送信元アドレスがホストA で、送信先アドレスがインターネットの通信を許可する
(2) ファイアウォール FW-A において、送信元アドレスがホスト A で、送信先アドレスがインターネットの通信を許可する
2つのファイアウォールにおけるアクセス制御の設定が矛盾していると、ホスト A がインターネットと通信できないケースや、予期しないアドレスで通信が可能になってしまうことがある。
【0011】
従来技術は、
(1) 単体の計算機において、ネットワーク管理機構と計算機ジョブの関連付けて一元管理する機能 (特開平 9-69083号公報) や、
(2) 既に作成したトンネルをグラフィカルに表示する機能 (特開平 10-200530号公報)
を提供している。また、分散配置されたサーバのアクセスポリシーをディレクトリサービスを用いて設定しようとする動きもある。しかし、これらの技術はいずれも、分散して計算機に格納する設定ファイルをいかに効率良く管理し、配布するか、を主眼とするものであり、設定ファイルの内容に関して無矛盾性を保つための機能を提供するものではなかった。
【0012】
そこで、本発明は、ネットワーク機器に対して、それぞれの機器への設定内容を矛盾なく、すなわち、整合性を保って作成し、それを設定する第 1 の機能と、既にそれぞれの機器に設定されている内容の整合性を確認し、第1の機能を使用しなかったためなど、なんらかの理由による不整合があれば、ユーザ(機器の設定者)にそれを通知する第2の機能を提供することにより、ネットワークを正常に使用できるようにするためのネットワーク管理システムを実現することを目的とする。さらに、第2の機能において、不整合がある場合には、前記第1の機能を用いた再設定を促すようにするものである。
【0013】
【課題を解決するための手段】
上記課題を解決するために本発明では、管理サーバを設け、前記管理サーバにおいて、メタレベルの情報としてのポリシー情報を定義する手段と、前記ポリシー情報から各々のネットワーク機器の設定情報を作成する手段を設け、管理サーバにおいてネットワーク管理者が作成したポリシーから、各々のネットワーク機器の設定情報を、導出、生成する処理と、前記設定情報をネットワークを経由して各々のネットワーク機器に配布する処理と、各々のネットワーク機器で前記設定情報をインストールし、設定を有効にする処理を行なう。なお、上記メタレベルの情報とは、当該設定情報を導出する、あるいは作成するための元となる情報を意味する。
【0014】
また、各々のネットワーク機器の設定情報をネットワーク管理サーバに集める処理と、集めた情報を整理し、整合性をチェックする処理を行なう。
【0015】
また、ファイアウォール等により、管理サーバから設定情報を直接配布できないネットワーク機器に対しては、前記管理サーバから前記ネットワーク機器の通信経路上に存在するファイアウォールにデータ中継プログラムを配置し、設定情報の配布を中継させる。更に、管理サーバのデータ転送プログラムと、各ファイアウォール上のデータ中継プログラムの間で、相互認証処理とデータ暗号化処理を行なう。
【0016】
また、ネットワークの管理単位間にファイアウォールを設けたネットワークに適用するファイアウォール統括管理システムにおいて、ファイアウォールに管理情報の設定をおこなうための管理サーバを設け、前記管理サーバは、ファイアウォールが介在する他のファイアウォールへ、管理情報の設定を行うマネージャプログラムを備える。
【0017】
さらに、前記マネージャプログラムは、サービスを受けるクライアントのクライアントアドレスと、サービスを提供するサーバのサーバアドレスとから、設定情報を送信するファイアウォールを特定する。
【0018】
さらに、前記マネージャプログラムは、管理者から入力された情報にしたがって、設定情報を生成し、各々のファイアウォールに設定情報を送信する。
【0019】
【発明の実施の形態】
本発明の第1の実施例を、図3から図8を用いて説明する。図3は、本発明のネットワーク管理システムが稼働する環境の一例として、特にルータにおけるトンネリング設定を行なう場合を示した図である。
【0020】
301 は、インターネット、 302 から 304 は、それぞれ組織ネットワーク、 305から 307 は、前記組織ネットワーク 302 から 304 をインターネット 301 に接続するルータ、 308 は、組織ネットワーク 302 内のローカルネットワーク、 309は、前記ローカルネットワーク 308 に設置された管理サーバである。
【0021】
本実施例においては、トンネリング設定の一例として、組織ネットワーク 302と組織ネットワーク 303 の間のトンネルと、組織ネットワーク 302 と組織ネットワーク 304 の間のトンネルを作成する場合に関して説明する。
【0022】
図4は、本発明のネットワーク管理システムが使用する管理サーバ 309 の構成を示した図である。 401 は、 CPU、 402 は、ネットワークインタフェース、 403 は、ディスク、 404 は、メモリ、 405 と 406 はディスク 403 に格納されたファイルであり、 405 は、ポリシーファイル、 406 は、設定ファイル、407 から 410 は、メモリ 404 上に配置されたプログラムであり、 407 は、オペレーティングシステム、 408 は、ファイル編集プログラム、 409 は、設定ファイル作成プログラム、 410 は、データ転送プログラム, 411 は、入出力装置で、キーボード、マウス等の入力手段と、CRT、液晶などの表示手段からなる。なお、前記設定ファイル 406 は、ルータの台数分存在するものである。ファイル編集プログラム 408 は、ポリシーファイル 405を作成するために、また、設定ファイル作成プログラム 409 は、ポリシーファイル 405を入力として、各々のルータに対応する設定ファイル 406 を作成するために、また、データ転送プログラム 410 は、ルータ 305 〜ルータ 307 に設定ファイル 406 を転送するために使用するものである。管理者は、管理サーバ 309 の入出力装置により設定ファイル 406 を作成する。他の方法として、遠隔にある管理端末から管理サーバ 309 にアクセスするようにしてもよい。
【0023】
図5は、本発明のネットワーク管理システムが使用するポリシーファイル405 の内容を示した図である。ポリシーファイル 405 は、構成機器情報セクション 501 と、ポリシーセクション 502 により構成される。
構成機器情報セクション 501 は、ネットワーク名と、当該ネットワークへの通信に対するトンネリング処理を実行するルータ名とを指定する2 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドにネットワーク名、第 2 フィールドにルータ名を、":" で区切って記述する。本実施例のネットワークにおいては、第 3図の例を実現する構成機器情報セクション 501 に設定する構成機器情報の具体的な内容は以下のようになる。
【0024】
ネットワーク 302:ルータ 305
ネットワーク 303:ルータ 306
ネットワーク 304:ルータ 307
この構成機器情報セクション 501 の第 1 エントリは、「ネットワーク 302 への通信に対するトンネリングはルータ 305 が実行する」ことを意味する。
【0025】
ポリシーセクション 502 は、トンネルの両端にあるネットワーク名を指定する 2 つのフィールドにより構成されるエントリの集合である。本実施例の場合、各エントリの第 1 フィールドと第 2 フィールドとに、トンネルの両端にあるネットワーク名を":" で区切って記述する。本実施例のネットワークにおいては、図3の例を実現するポリシーセクション 502 に設定するポリシーの具体的な内容は以下のようになる。
【0026】
ネットワーク 302 : ネットワーク 303
ネットワーク 302 : ネットワーク 304
このポリシーセクション 502 の第 1 エントリは、「ネットワーク 302 とネットワーク 303 の間はトンネルで接続する」ことを意味する。
【0027】
図6は、本発明のネットワーク管理システムが使用する各々のルータに対応した設定ファイル 406 の内容を示した図である。設定ファイル 406 は、トンネル設定情報セクション 601 を含む。
トンネル設定情報セクション 601 は、トンネル処理を実行する送信先ネットワーク名と、当該ネットワークへの通信に対するトンネリング処理を実行するルータ名とを指定する2 つのフィールドにより構成されるエントリの集合である。本実施例の場合第 1 フィールドに送信先ネットワーク名、第 2 フィールドにルータ名を、":" で区切って記述する。
【0028】
本実施例のネットワークにおいては、トンネル設定情報セクション 502 に設定するトンネル設定情報の具体的な内容は以下のようになる。
【0029】
・ ルータ 305 用のトンネル設定情報
ネットワーク 303:ルータ 306
ネットワーク 304:ルータ 307
・ ルータ 306用 のトンネル設定情報
ネットワーク 302:ルータ 305
・ ルータ 307用 のトンネル設定情報
ネットワーク 302:ルータ 305
本発明のネットワーク管理システムは、図5に示したポリシーファイル 405から図6に示した各ルータへの設定ファイル 406 を生成、配布する第 1 の機能と、逆に各ルータから収集した設定ファイル 406 からポリシーファイル 405を生成し、設定に矛盾がないかチェックする第 2 の機能を持つものである。
【0030】
図7は、ポリシーファイル 405 から、各々のルータに対する設定ファイル406 を作成する処理を示したフローチャートである。この処理によって,おのおののネットワーク機器に対して、設定内容の作成およびその設定において、矛盾・不整合を防ぐ上記第1の機能を実現する。
【0031】
701 は、ポリシーファイル 405 をオープンし、構成機器情報セクションのリストとポリシーセクションのリストを作成するステップ
702 は、ステップ701 で作成した構成機器情報セクションのリスト中にエントリがまだあるか確認するステップ
703 から 713 は、まだエントリが存在する場合に実行するステップで、 703 は、構成機器情報セクションのリストからエントリを一つ取り出すステップ
704 は、ステップ 702 で取得したエントリの第 2 フィールドからルータ名を取得するステップ
705 は、名前を取得したルータに対する設定ファイル 406 をオープンするステップ
706 は、ステップ 702 で取得したエントリの第 1 フィールドからネットワーク名を取得するステップ
707 は、ポリシーセクションのリストから、ステップ 706 で取得したネットワーク名と一致するフィールドを持つエントリをピックアップし、リストを作成するステップ
708 は、ステップ 701 で作成したポリシーセクションのリスト中にエントリがまだあるか確認するステップ
709 から 712 は、まだエントリが存在する場合に実行するステップで、
709 は、ステップ 707 で作成したリストからエントリを一つ取り出すステップ
710 は、ステップ 709 で取得したエントリのフィールドで、ステップ 706 で取得したネットワーク名と一致しない方のフィールドの内容であるネットワーク名を取得するステップ
711 は、構成機器情報セクションのリストから、ステップ 710 で取得したネットワーク名と一致する第 1フィールドを持つエントリを取得するステップ
712 は、ステップ 711 で取得したエントリをステップ 705 でオープンしたファイルに書き出すステップ
713は、ステップ 701 で作成したポリシーセクションのリスト中にエントリがなくなった場合に実行する処理で、ステップ 705 でオープンしたファイルをクローズするステップ
714 は、ステップ 701 で作成した構成機器情報セクションのリスト中にエントリがなくなった場合に実行するステップで、ポリシーファイル405 をクローズするステップ
である。
【0032】
前記のフローを実行することにより、各ルータに対する設定ファイル 406 を生成することができる。さらに各ルータに対する設定ファイル 406 を各々のルータに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0033】
図8は、各々のルータの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。この処理によって、既にそれぞれの機器に設定されている内容に矛盾がないことを、すなわち整合性を確認する第2の機能を実現する。
【0034】
801 は、図5で説明した構成機器情報セクション 501 のエントリを格納する構成機器情報バッファと、ポリシーセクション 502 のエントリを格納するポリシー情報バッファをそれぞれ準備するステップ、
802 は、各々のルータの設定ファイル 406 の中でまだ未処理のものが存在するか確認するステップ、
803から 808 は、未処理の設定ファイル406 が存在する場合に実行する処理で、
803 は、設定ファイル 406 をオープンするステップ、
804 は、オープンした設定ファイル 406 中のトンネル設定情報セクションに未処理のエントリがあるか確認するステップ、
805 から 807 は、未処理のエントリが存在する場合に実行する処理で、
805 は、未処理のエントリを一つ読み込むステップ、
806 は、ステップ 805 で読み込んだエントリを構成機器情報バッファに書き込むステップ、
807 は、ステップ 805 で読み込んだエントリの第 1 フィールドを、現在処理中のルータ名に変更し、ポリシー情報バッファに書き込むステップ、
808は、未処理のエントリが存在しない場合に実行する処理で、ステップ 803 でオープンした設定ファイル 406 をクローズするステップ、
809 は、構成機器情報バッファを第 2 フィールドをキーにソートするステップ、
810 は、同一の第 2 フィールドで異なった第 1 フィールドを持つエントリが存在しないか、構成機器情報バッファの内容をチェックし、その結果を入出力装置411を用いて表示、報告するステップ、
811 は、ポリシー情報バッファの各エントリに対し、構成機器情報バッファの内容を用いることにより、第 2 フィールドに記載されたルータ名をネットワーク名に置換するステップ、
812 は、ポリシー情報バッファの各エントリのフィールドの順番をソートするステップ、
813 は、ポリシー情報バッファのエントリをソートするステップ、
814は、ポリシー情報バッファに同一のエントリが 2 つづつ存在するかチェックし、その結果を入出力装置411を用いて表示、報告するステップである。
【0035】
前記のフローを実行し、ステップ 810 およびステップ 814 によるチェックを実行することで、各設定ファイル 406 の整合性を確認し、その結果を入出力装置411を用いて表示、報告する第 2 の機能を実現することができる。
【0036】
本発明の第2の実施例を、図9から図13を用いて説明する。図9は、本発明のネットワーク管理システムを適用する環境の一例として、特にパケットフィルタリング方式のファイアウォールにおけるアクセス制御設定を行なう場合を示した図である。
【0037】
パケットフィルタリングとは、たとえば「ファイアウォール インターネット関連技術について」宝木他,昭晃堂 に記載されているように、送信元IPアドレス、宛先IPアドレスなどに基づいてパケットのフィルタリングを行うものである。
【0038】
901 は、インターネット、 902 は、組織ネットワーク、 903 は、組織ネットワーク 902 内のサブネットワーク、 904 は、組織ネットワーク 902 内のもう一つのサブネットワーク、 905 は、組織ネットワーク 902 の出入口に設置されたパケットフィルタリング方式のファイアウォール、 906 は、サブネットワーク 903の出入口に設置されたパケットフィルタリング方式のファイアウォール、 907は、サブネットワーク 904 の出入口に設置されたパケットフィルタリング方式のファイアウォール、 908 は、管理サーバである。
【0039】
本実施例においては、アクセス制御設定の一例として、送信元アドレスがサブネットワーク 903 内のすべてのホストで、送信先アドレスがインターネット上のすべてのホストである通信を許可し、かつ、送信元アドレスがサブネットワーク 904 内のすべてのホストで、送信先アドレスがサブネットワーク 903 内のすべてのホストである通信を許可する場合に関して説明する。
【0040】
図10は、本実施例において使用する各々のファイアウォールのポリシーファイル 405 の内容を示した図である。本実施例で使用するポリシーファイル 405 は、構成機器情報セクション 1001と、ポリシーセクション 1002 により構成される。
構成機器情報セクション 1001は、ファイアウォール名と、当該ファイアウォールの外側のネットワーク名と、当該ファイアウォールで防御する内側のネットワーク名を指定する 3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドにファイアウォール名、第 2フィールドに外側のネットワーク名、第 3 フィールドに内側のネットワーク名をそれぞれ記述する。本実施例のネットワークにおいては、図9の例を実現する構成機器情報セクション 1001に設定する構成機器情報の具体的な内容は以下のようになる。
【0041】
ファイアウォール 905 : 組織ネットワーク 902 : インターネット 901
ファイアウォール 906 : サブネットワーク 903 : 組織ネットワーク 902
ファイアウォール 907 : サブネットワーク 904 : 組織ネットワーク 902
この構成機器情報セクション 1001 の第 1 エントリは、「ファイアウォール905 は、組織ネットワーク 902 からインターネットへの中継を実施する」ことを意味する。
【0042】
ポリシーセクション 1002 の第 1 フィールドは送信元アドレス、第 2 フィールドは送信先アドレスを記述する。本実施例のネットワークにおいては、図9の例を実現するポリシーセクション 1002 に設定するポリシーの具体的な内容は以下のようになる。
【0043】
サブネットワーク 903 : インターネット 901
サブネットワーク 904 : サブネットワーク 903
このポリシーセクション 1002 の第 1 エントリは、「送信元がサブネットワーク 903 のホストは、送信先としてインターネット 901 のホストと通信可能である」ことを意味する。
【0044】
図11は、本実施例において使用する各々のファイアウォールの設定ファイル 406 の内容を示した図である。設定ファイル 406 は、アクセス制御情報セクション 1101 を含む。
アクセス制御情報セクション 1101 は、送信元アドレスと、送信先アドレスとを指定する2つのフィールドで構成されるエントリの集合である。本実施例の場合、第 1 フィールドに送信元アドレス、第 2 フィールドに送信先アドレスを、":" で区切って記述する。
【0045】
本実施例のネットワークにおいては、アクセス制御情報セクション 1101 に設定するアクセス制御情報の具体的な内容は以下のようになる。
【0046】
・ ファイアウォール 905用 のアクセス制御情報
サブネットワーク 903 : インターネット 901
・ ファイアウォール 906用 のアクセス制御情報
サブネットワーク 903 : インターネット 901
サブネットワーク 904 : サブネットワーク 903
・ ファイアウォール 907用 のアクセス制御情報
サブネットワーク 904 : サブネットワーク 903
図12は、ポリシーファイル 405 から、各々のファイアウォールに対する設定ファイル 406 を作成する処理を示したフローチャートである。
【0047】
1201 は、ポリシーファイル 405 をオープンし、構成機器情報セクション 1001のリストとポリシーセクション 1002 のリストを作成するステップ、
1202 は、ステップ 1201 で作成したポリシーセクションのリスト中にエントリがまだあるか確認するステップ、
1203 から 1206 は、まだエントリが存在する場合に実行するステップで、
1203 は、ポリシーセクションのリストからエントリを一つ取り出すステップ、
1204 は、構成機器情報セクションのリスト中から、ステップ 1203 で取り出したエントリに関連するエントリを取り出すステップ、
1205は、ステップ 1204 で取り出した各々のエントリの第 1 フィールドに記載されたファイアウォール用の設定ファイル 406 をそれぞれオープンし、ステップ 1203で取り出したポリシーセクションのエントリを書き込むステップ、
1206 は、ステップ 1205 でオープンした各々の設定ファイル 406 をクローズするステップである。
【0048】
前記のフローを実行することにより、各ファイアウォールに対する設定ファイル 406 を生成することができる。さらに各ファイアウォールに対する設定ファイル 406 を各々のファイアウォールに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0049】
図13は、各々のファイアウォールの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。
【0050】
1301 は、図10で説明したポリシーセクション 1002 を格納するポリシー情報バッファを準備するステップ、
1302 は、各々のファイアウォールの設定ファイル 406 の中でまだ未処理のものが存在するか確認するステップ、
1303 から1304 は、未処理の設定ファイル 406 が存在する場合に実行する処理で、
1303は、設定ファイル 406 をオープンするステップ、
1304 は、オープンした設定ファイル 406 中のアクセス制御情報セクションのエントリをポリシー情報バッファに書き込むステップである。
【0051】
1305 は、ポリシー情報バッファ中の重複するエントリを削除するステップである。
【0052】
前記のフローにより作成したポリシー情報バッファの各エントリは、通信が許可されている送信元、送信先の組を表している。そこで、この情報をチェックすることにより、各設定ファイル 406 の整合性を確認し、その結果を入出力装置411を用いて表示、報告する第 2 の機能を実現することができる。
【0053】
本発明の第3の実施例を、図14から図19を用いて説明する。図14は、本発明のネットワーク管理システムが稼働する環境の一例として、特にアプリケーションゲートウェイ方式のファイアウォールにおけるアクセス制御設定を行なう場合を示した図である。
【0054】
1401 は、インターネット、 1402 は、組織ネットワーク、 1403 は、組織ネットワーク 1402 内のサブネットワーク、 1404 は、組織ネットワーク 1402 内のもう一つのサブネットワーク、 1405 は、組織ネットワーク 1402 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1406 は、サブネットワーク 1403 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1407 は、サブネットワーク 1404 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1408 は、管理サーバ、1409 は、インターネット 1401 により隔てられたリモートネットワーク、 1410は、リモートネットワーク 1409 の出入口に設置されたアプリケーションゲートウェイ方式のファイアウォール、 1411 は、インターネット 1401 上でユーザ Aが使用するクライアント計算機、 1412 は、組織ネットワーク 1402 上でユーザB が使用するクライアント計算機、 1413 は、サブネットワーク 1403 中のサーバ計算機、 1414 は、サブネットワーク 1404 中のサーバ計算機である。
【0055】
本実施例においては、アクセス制御設定の一例として、 (1) インターネット1401 上でユーザ A がクライアント計算機 1411 により、サブネットワーク 1403内のサーバ計算機 1413 に対して telnet プロトコルの使用を許可されており、かつ、 (2) リモートネットワーク 1409 上でユーザ B がクライアント計算機 1412により、サブネットワーク 1404 内のサーバ計算機 1414 に対して ftp プロトコルの使用を許可されている場合について説明する。
【0056】
図15は、本実施例において使用する各々のファイアウォールのポリシーファイル 405 の内容を示した図である。
【0057】
本実施例で使用するポリシーファイル 405 は、構成機器情報セクション 1501と、ユーザポリシーセクション 1502 により構成される。
構成機器情報セクション 1501 は、ファイアウォールの外側のネットワーク名と、ファイアウォール名と、ファイアウォールで防御する内側のネットワーク名とを指定する3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドに外側のネットワーク名、第 2 フィールドにファイアウォール名、第 3 フィールドに内側のネットワーク名をそれぞれ記述する。本実施例のネットワークにおいては、図14の例を実現する機器構成セクション1501 に設定する構成機器情報の具体的な内容は以下のようになる。
【0058】
インターネット 1401 : ファイアウォール 1405 : 組織ネットワーク1402
インターネット 1401 : ファイアウォール 1410 : リモートネットワーク1409
組織ネットワーク 1402 : ファイアウォール 1406 : サブネットワーク 1403
組織ネットワーク 1402 : ファイアウォール 1407 : サブネットワーク 1404
ユーザポリシーセクション 1502 は、ユーザ名、送信元として許可されたネットワーク名、送信先として許可されたネットワーク名、使用を許可されたプロトコル名を指定する4つのフィールドにより構成されるエントリの集合で、本システムでアクセス制御をおこなうネットワークユーザ単位にエントリを作成する。本実施例の場合、 第 1 フィールドにユーザ名、 第 2 フィールドに送信元ネットワーク名、 第 3フィールドに送信先ネットワーク名、第 4 フィールドにプロトコル名を記述する。ここで、送信元と、送信先とのネットワーク名の指定はホスト名毎に行なうことも可能である。また、プロトコル名の指定は、複数のプロトコルをまとめて記述することも可能である。本実施例のネットワークにおいては、図14の例を実現するユーザポリシーセクション 1502 に設定するユーザポリシーの具体的な内容は以下のようになり、この内容を、入出力装置411から、入力する。
【0059】
ユーザA : インターネット 1401 : サブネットワーク 1403 : telnet
ユーザB : リモートネットワーク 1409 : サブネットワーク 1404 : ftp
図16は、本実施例において使用する各々のファイアウォールの設定ファイル 406 の内容を示した図である。設定ファイル 406 は、アクセス制御情報セクション 1601 と、ユーザ認証情報セクション 1602 を含む。
アクセス制御情報セクション 1601 は送信元アドレスと、送信先アドレスと、許可するプロトコルとを指定する3 つのフィールドにより構成されるエントリの集合である。本実施例の場合、第 1 フィールドに送信元アドレス、第 2フィールドに送信先アドレス、第 3 フィールドにプロトコルを、":" で区切って記述する。前記アドレスは、ホスト単位もしくはネットワーク単位で指定可能とする。本実施例においては、アクセス制御情報セクション 1601 に設定するユーザポリシーの具体的な内容は以下のようになる。
【0060】
・ ファイアウォール 1405 の設定ファイル
インターネット 1401 : ファイアウォール 1406 : telnet
・ ファイアウォール 1406 の設定ファイル
ファイアウォール 1405 : サブネットワーク 1403 : telnet
・ ファイアウォール 1407 の設定ファイル
組織ネットワーク 1402 : サブネットワーク 1404 : ftp
・ ファイアウォール 1410 の設定ファイル
リモートネットワーク 1409 : ファイアウォール 1405 : ftp
ユーザ認証情報セクション 1602 はユーザ名、当該ユーザのパスワード、暗号鍵等の認証情報、当該ユーザに許可されたプロトコル名を指定する3つのフィールドから構成されるエントリの集合である。本実施例の場合、第 1 フィールドにユーザ名、第 2 フィールドに認証情報、第 3 フィールドにプロトコル名を、":" で区切って記述する。本実施例のネットワークにおいては、ユーザ情報セクション 1602 に設定するユーザ認証情報の具体的な内容は以下の通りになる。
【0061】
・ ファイアウォール 1405用 のユーザ認証情報
ユーザA : (パスワード文字列) : telnet
ユーザB : (パスワード文字列) : ftp
・ ファイアウォール 1406用 のユーザ認証情報
ユーザA : (パスワード文字列) : telnet
・ ファイアウォール 1407用 のユーザ認証情報
ユーザB : (パスワード文字列) : ftp
・ ファイアウォール 1410 のユーザ認証情報
ユーザB : (パスワード文字列) : ftp
図17は、本実施例で設定ファイルの作成に使用する経路情報リスト 1701の内容を示した図である。経路情報リストは、ネットワーク名またはファイアウォール名を格納するセルが可変数個つながったもので、各ネットワーク機器の設置時点において,ユーザ(機器の設定者)が作成するものである。このリストには、図17に示すように送信元ネットワークから送信先ネットワークまでに介在するネットワーク名と、各ネットワークを分断するファイアウォール名が順に格納される。
【0062】
経路情報リスト 1701 より、経路上の各ファイアウォールが中継を担当する送信元と送信先の範囲を特定することが可能である。着目したファイアウォールに対して、一つ前の要素となるネットワークおよび二つ前の要素となるファイアウォールが送信元となり、また一つ後の要素となるネットワークおよび二つ後の要素となるファイアウォールが送信先となる。
【0063】
なお、送信元と隣接するファイアウォールの場合は、二つ前の要素となるファイアウォールは存在しない。また送信先と隣接するファイアウォールの場合は、二つ後の要素になるファイアウォールは存在しない。
【0064】
図18は、ポリシーファイル 405 から、各々のファイアウォールに対する設定ファイル 406 を作成する処理を示したフローチャートである。
【0065】
1801 は、ポリシーファイル 405 をオープンし、構成機器情報セクション 1501と、ユーザポリシーセクション 1502 のリストを作成するステップ、
1802 は、ステップ 1801 で作成したユーザポリシーセクションのリスト中にエントリがまだあるか確認するステップ
1803 から 1809 は、まだエントリが存在する場合に実行するステップで
1803 は、ユーザポリシーセクションのリストよりエントリを一つ取り出すステップ
1804 は、構成機器情報セクション 1501 のリストを持ちいて、ステップ 1803で取り出したエントリが示す通信経路上に存在するファイアウォールを特定し、前記エントリの送信元から送信先までの経路情報リスト 1701 を作成するステップ
1805 は、ステップ 1804 で作成した経路情報リスト 1701 に含まれるファイアウォールに対し、設定ファイル 406 をそれぞれオープンするステップ
1806 から 1809 はステップ 1805 で作成した経路情報リスト 1701 に含まれる全てのファイアウォールの設定ファイル 406 を作成するステップで、
1806 は、ステップ 1806 で未処理のファイアウォールが経路情報リスト 1701
にまだ存在するか確認するステップ
1807 は、ステップ 1805 で作成した経路情報リスト 1701 からファイアウォールをピックアップするステップ、
1808 は、経路情報リスト 1701 を用いて、ステップ 1807 でピックアップしたファイアウォールに隣接するネットワークおよびファイアウォールを特定するステップ
1809 は、ステップ 1808 で特定した情報から、ステップ 1807 でピックアップしたファイアウォールの設定ファイル 406 のアクセス制御情報セクション 1601 のエントリを作成するステップ
1809 は、ステップ 1808 で特定した情報から、ステップ 1807 でピックアップしたファイアウォールの設定ファイル406 のユーザポリシーセクション 1602 のエントリを作成するステップ
1810は、ステップ 1804 で作成した経路情報リスト 1701 に含まれるファイアウォールに対し、設定ファイル 406 をそれぞれクローズするステップである。
【0066】
前記のフローを実行することにより、各ファイアウォールに対する設定ファイル 406 を生成することができる。さらに各ファイアウォールに対する設定ファイル 406 を各々のファイアウォールに転送し、セットアップすることにより、本発明の第 1 の機能を実現することができる。
【0067】
図19は、各々のファイアウォールの設定ファイル 406 を集めた後で、それらの整合性をチェックする処理を示したフローチャートである。
【0068】
1901 は、図15で説明したユーザポリシーセクション 1502 を格納するポリシー情報バッファを準備するステップ
1902 は、各々のファイアウォールの設定ファイル 405 の中でまだ未処理のものが存在するか確認するステップ、
1903 から 1905 は、未処理の設定ファイル 406 が存在する場合に実行する処理で、
1903 は、設定ファイル 406 をオープンするステップ
1904 は、ステップ1903 でオープンした設定ファイル 406 のアクセス制御情報セクション 1601 よりファイアウォールの接続関係を洗い出す処理で、前記アクセス制御情報セクション 1601 の各エントリに対し、エントリの第 1 フィールド、前記設定ファイル 406 により設定されるファイアウォール名、前記エントリの第 2 フィールドを要素とするレコードをそれぞれ作成し、ポリシー情報バッファに記録するステップ
1905 は、ステップ 1903 でオープンした設定ファイル 406 のユーザ情報セクション 1602 よりユーザ登録状況を洗い出す処理で、前記ユーザ情報セクション 1602 の各エントリに対し、エントリの第 1 フィールド、前記設定ファイル 406 により設定されるファイアウォール名、前記エントリの第 3 フィールドを要素とするレコードをそれぞれ作成し、ポリシー情報バッファに記録するステップ
1906 は、ステップ 1904 でポリシー情報バッファに記録したレコードから、ポリシーファイル 405 の構成機器情報セクション 1501 を再構成するステップ
1907 は、ステップ 1904 でポリシー情報バッファに記録したレコードから、ポリシーファイル 405 のユーザポリシーセクション 1502 を再構成するステップである。
【0069】
前記のフローを実行し、作成したポリシーファイルをチェックすることにより、各設定ファイル 406 の整合性を確認する第 2 の機能を実現することができる。
【0070】
図20は、図15の構成において特に、管理サーバからファイアウォール1410 に対して設定情報を配布するための、通信経路上のネットワーク機器であるファイアウォール 1405 および、ファイアウォール 1410 の構成を示した図である。 2001 は、 CPU 2002 は、ネットワークインタフェース、 2003 は、ディスク、 2004 は、メモリ、 2005 から 2007 は、メモリ上に配置されたプログラムであり、 2005 は、オペレーティングシステム、 2006 は、エージェントプログラム、 2007 は、データ中継プログラム、 2008 は、前記データ中継プログラム2007 が中継先の特定に使用する中継経路情報テーブル、 2009 は、キーボード、マウス等の入出力装置である。
【0071】
管理サーバは、経路上のファイアウォール 1405 のデータ中継プログラム 2007を経由して目的のファイアウォール 1410 に対して設定情報 406 を送付することにより、ファイアウォール 1410 に対しても設定を行なうことが可能になる。ファイアウォール 1410 は、エージェントプログラム 2006 を用いて、受信した設定ファイル 406 をインストールする。この時、設定情報の改ざん、漏洩を防ぐことを目的として、管理サーバ1408上のデータ転送プログラム 410 と、経路上のファイアウォール 1405 上のデータ中継プログラム 2007 の間で相互認証とデータ暗号化を行なうようにしてもよい。また、管理サーバ 309 上のデータ転送プログラム 410 と、目的のファイアウォール 1410 上のデータ中継プログラム2007 との間で、相互認証とデータ暗号化を行なうようにしてもよい。
【0072】
以下、この第3の実施例をより具体化した第4の実施例について説明する。
【0073】
〔ファイアウォール統括管理システムのネットワーク構成〕
先ず、図21を用いて本実施形態に係るファイアウォール統括管理システムのネットワーク構成について説明する。 図21は、本実施形態に係るファイアウォール統括管理システムのネットワーク構成図である。 本実施形態では、プロトコルとしてインターネットの事実上の標準(デファクトスターンダード)になっているTCP(Transmission Control Protocol)/IP(Internet Protocol)を用いるものとして説明する。
【0074】
ドメイン12a〜12eは、ネットワークが管理される単位であり、一つのドメインは、同じ方針で管理されている。また、各ドメインは、不特定多数のユーザがアクセス可能なオープンなネットワークであるインターネット11で結ばれている。さらに、各ドメインと外部のネットワークとの間には、外部からの不正侵入を防ぐためのアクセス制御をおこなう装置であるファイアウォール14a〜14dが設けられている。
【0075】
ドメイン2には、管理サーバ13と管理端末15が接続されている。管理サーバ13は、ファイアウォールを管理する機能を提供するサーバである。管理端末15は、管理者がファイアウォールの管理作業をおこなうために設けられた端末である。従来では、ファイアウォールの管理は、ファイアウォールと同じドメインに接続されている端末からおこなっていたが、本発明では、これらの管理サーバ13と管理端末15により、他のドメインに接続されているファイアウォールの管理情報も設定できるところに特徴がある。
【0076】
なお、本実施形態では、管理作業用のユーザインタフェースを提供する管理端末15を用意したが、ネットワークの構成上、管理サーバから管理作業をおこなうようにしても良い。
【0077】
各ドメイン12a〜12dは、オープンなインターネットを利用して、仮想的にプライベートなネットワークとして利用する、いわゆるVPN(Virtual Private Network)を実現しているものとする。その際に、セキュリティのためには、ファイアウォールは必須の設備であるということができる。
【0078】
〔ファイアウォール統括管理システムの各ハードウェア構成〕
次に、図22ないし図24を用いて本実施形態に係るファイアウォール統括管理システムを構成している各々のハードウェア構成について説明する。
先ず、図22を用いて本実施形態の管理サーバ13のハードウェア構成について説明する。
管理サーバ13は、プロセッサ21と、固定ディスク22と、メモリ27と、入出力制御部211と、ネットワーク制御部213とで構成される。
プロセッサ21は、計算機内のハードウェア間の制御とプログラムの処理をおこなうユニットである。固定ディスク22は、大容量の補助記憶装置であり、プログラムやテーブルを格納する装置である。メモリ27は、プログラムをロードしたり、一時的なデータを格納する装置であり、通常は半導体素子で構成される。入出力制御部211は、外部に記憶された入出力装置、例えば、ディスプレイやキーボード212などを制御する。ネットワーク制御部213は、他の計算機との間の回線を制御する部分である。
【0079】
固定ディスク22には、本発明のファイアウォール統括管理システムを実現するためのプログラムと各種のテーブルが格納される。マネージャプログラム23は、管理サーバ上で動作する管理プログラムであり、管理者から入力された情報に基づき、ファイアウォールに設定するための制御情報を生成し、ファイアウォールに送信する機能を持つ。認証・暗号通信モジュール22aは、マネージャプログラム23から呼び出され、認証、暗号通信をおこなう機能を受け持つ。ファイアウォール構成情報テーブル24は、ファイアウォールとドメインとの接続関係を記載したテーブルである。ユーザ情報テーブル25は、様々なユーザ情報を格納するテーブルであり、ユーザ毎のネットワーク利用形態情報と利用経路情報とから成っている。中継経路テーブル26は、送信先アドレスと次の接続先アドレスである中継先アドレスとを記載したテーブルであり、設定情報をファイアウォールに送信するときに、接続を中継するファイアウォールのアドレスを格納する。
【0080】
なお、ここに出てきたテーブルの内容と機能については後に詳細に説明する。
一方、メモリ27は、上記のようにプログラムを固定ディスクからロードしてきて格納したり、一時的なデータを保持するための装置であり、論理的に各エリアに分割して用いられる。マネージャプログラムエリア28は、マネージャプログラム23を格納するエリア、認証・暗号通信モジュールエリア29は、認証・暗号通信モジュールがロードされるエリア、ファイアウォール設定情報テーブルエリア215は、ファイアウォールの管理情報設定のときに、ダイナミックに生成されるファイアウォール設定情報テーブル215を格納するエリアであり、経由ファイアウォールテーブルエリア214は、経由ファイアウォールテーブルを格納するエリア、中継経路テーブルエリア210は、中継経路テーブルエリアを格納するエリアである。ファイアウォール設定情報テーブル215と経由ファイアウォールテーブルエリア214についても後述する。
【0081】
次に、図23を用いて本実施形態のファイアウォール14a〜14dのハードウェア構成について説明する。
ファイアウォール14a〜14dは、プロセッサ31と、固定ディスク32と、メモリ36と、ネットワーク制御部313とで構成される。各々の機能は、管理サーバ13のときと同様である。
ファイアウォール14a〜14dの固定ディスク32にも、管理サーバ13のときと同様に、本発明のファイアウォール統括管理システムを実現するためのプログラムと各種のテーブルが格納される。エージェントプログラム33は、ファイアウォール上でマネージャプログラムのエージェント(代理人)として働くプログラムであり、マネージャプログラムから送信されてくるファイアウォールの設定情報を受信し、それをファイアウォールが持っている各テーブルに設定する。中継経路テーブル35は、管理サーバ13のときと同様に、送信先アドレスと次の接続先アドレスである中継先アドレスとを記載したテーブルであり、設定情報をファイアウォールに送信するときに、接続を中継するファイアウォールのアドレスを格納する。
【0082】
中継プログラム34は、ファイアウォールの設定情報を持つパケットを設定対象となるファイアウォールに送信するときに、その経路にあたるファイアウォールが、接続を中継するプログラムであり、前記中継経路テーブル35に基づいて接続を次のファイアウォールに中継する機能を持つ。認証・暗号通信モジュール33aは、エージェントプログラム33から呼び出され、認証、暗号通信をおこなう機能を受け持つ。ユーザ登録テーブル312は、ユーザ登録情報を格納し、ユーザがサービスを受けるときに認証をおこなうためのテーブルである。アクセス制御テーブル313は、ユーザがサービスを受けるときに必要とする各種情報を格納するテーブルである。経路制御テーブル314は、ユーザがサービスを受けるときのパケットの経路情報を格納するテーブルである。
【0083】
また、ファイアウォール14a〜14dのメモリ36には、エージェントプログラムエリア37と、中継プログラムエリア38と、中継経路テーブルエリア39と、認証・暗号通信モジュールエリア310に分割されてデータが格納される。エージェントプログラムエリア37は、エージェントプログラム33を格納するエリア、中継プログラムエリア38は、中継プログラム34が格納されるエリア、中継経路テーブルエリア39は、中継経路テーブルを格納するエリア、認証・暗号通信モジュールエリア310は、認証・暗号通信モジュールがロードされるエリアである。
【0084】
次に、図24を用いて本実施形態の管理端末15のハードウェア構成について説明する。
管理端末15は、プロセッサ41と、固定ディスク42と、メモリ45と、入出力制御部46と、ディスプレイキーボード47と、ネットワーク制御部48とで構成される。管理端末15も、各々の機能は、管理サーバ13のときと同様である。
管理端末15上の固定ディスク42には、ユーザインターフェイスプログラム43が、格納されていて、実行されるときには、メモリ上のユーザインターフェイスプログラムにロードされる。ユーザインターフェイスプログラムは、ネットワークの管理者にファイアウォールの制御操作のためのユーザインターフェイスを提供するプログラムである。
【0085】
〔ファイアウォール統括管理システムのファイアウォール設定処理〕
次に、図25ないし図29を用いて本発明に係るファイアウォール統括管理システムにおいて、ファイアウォールの設定をする処理について説明する。
図25は、本発明に係るファイアウォール統括管理システムが、ファイアウォールの設定をする処理を模式的に示した図である。
この図25で示された例では、図21に示したシステム構成のもとで、特に認証されたユーザ197のみがクライアントからサーバ199にアクセスできるようにファイアウォールに設定する場合を想定している。
【0086】
管理サーバ13が、このようなファイアウォールの設定処理をおこなうときには、以下の処理を順におこなうことになる。これを、図25をふまえて項を分けて説明する。
(1)設定対象ファイアウォールを特定する処理191
(2)ファイアウォール毎に設定情報を生成する処理192
(3)ファイアウォール毎の設定情報を各ファイアウォールに送信する処理193
(4)各ファイアウォールが設定情報を受信し、それを設定する処理194
(5)ファイアウォールが接続を中継する処理195
(1)設定対象ファイアウォールを特定する処理191。
【0087】
この中で、前記第3の実施例の具体例となる設定対象ファイアウォールを特定する処理191について図26ないし図30を用いて説明する。
図26は、管理者が、設定情報を入力するときの管理端末15上の入力画面51を示す図である。入力画面51は、ディスプレイキーボード47の出力装置上に表示されるものである。また、この管理者が設定する情報は、図15に例示したユーザポリシーセクション1502に設定するユーザポリシーに相当するものである。
図27は、管理サーバ13上のファイアウォール構成情報テーブル24を示す図である。このテーブルは、図15に例示した構成機器情報セクション1501に設定する構成機器情報に相当するものである。
図28は、マネージャプログラム23が設定するファイアウォールを特定する処理を示すフローチャートである。このフローチャートは、図18にて説明した、設定ファイル406を作成する処理を示すフローチャートの一部に相当するものである。
【0088】
図29は、経由ドメインリスト216の内容を状態毎に示した図である。
図30は、管理サーバ13上の経由ファイアウォールテーブル214を示す図である。
ファイアウォールとして、ネットワークの防衛のために有効に機能するためには、そのネットワークの形態から見て設定が必要なファイアウォールを特定し、そのファイアウォールに対して、サービスを受ける利用者の利用形態を想定した設定をする必要がある。そのために、先ず管理者は、図25に示される管理端末15から、必要な設定情報を入力する。
【0089】
ユーザ識別子(グローバルユーザ名)52は、サービスを受けるネットワーク全域において、一意的でグローバルに通用する名称である。クライアントアドレス53は、ユーザが利用するクライアントのアドレスであり、サーバアドレス54は、ユーザがサービスを受けるサーバのアドレスである。このアドレスは、計算機またはネットワークを一意的に識別するアドレスであり、表記の仕方については、DNS(Domain Name System)に基づくドメイン形式で記述し、ネットワーク全体で通用するアドレスにしておく必要がある。
【0090】
サービス名55には、ユーザが利用するサービス名を入力する。この図25に示される例は、グローバルユーザ名が「abc」であるユーザが、「ドメイン1」から「ドメイン3」に「telnet」でアクセスするサービスを前提として、ファイアウォールの設定をおこなう場合である。
管理端末15からの入力が終わると、管理端末15上のユーザインタフェースプログラム43は、入力画面51に入力された情報を、管理サーバ13に送信する。そして、管理サーバ13上のマネージャプログラム23は、送信されてくる入力情報を取得する。
設定するファイアウォールを特定するためには、管理サーバ15のマネージャプログラム23がネットワークの形態を押さえる必要がある。そのために、ドメインとファイアウォールの接続関係を記述したものが図27に示されるファイアウォール構成情報テーブル24である。
【0091】
ファイアウォール構成情報テーブル24は、図27に示されるように、ドメインを示すドメイン名フィールド61と、そのドメインに接続されているファイアウォールを示すファイアウォール名フィールド62と、ドメイン名フィールド61に記述したドメインとファイアウォールを隔てて隣接するドメインを示す隣接ドメイン名フィールド63から構成されている。
本実施形態で採り上げる図21に示すネットワーク環境の場合、ドメイン2(12b)には、ファイアウォール1(14a)とファイアウォール2(14b)が接続されている。そして、ファイアウォール1(14a)側には、ドメイン1(12a)が隣接しており、ファイアウォール2(14b)側には、インターネット(11)が隣接している。このときには、ファイアウォール構成情報テーブル24の各フィールドには、エントリ64a,64b,64c,64fに示す内容が登録される。
【0092】
次に、図28および図29を用いてマネージャプログラム23が、設定対象ファイアウォールを特定する処理手順を説明する。
この処理は、マネージャプログラム23が、ユーザの利用するクライアントアドレス53、サーバアドレス54、およびファイアウォール構成情報テーブル24とを用いて、経由するファイアウォールを特定することにより、設定対象となるファイアウォールを決定するものである。
【0093】
ドメイン形式のアドレスは、ホスト名とクライアントの属するドメイン名が合成された形式をとる。したがって、図27(a)に示されるように、マネージャプログラム23は、まず、ドメイン形式で与えられたクライアントアドレス53から、ホスト名を除くことによりクライアントの属するドメイン名(クライアントドメイン名)を取得する。例えば、ドメイン形式が、「www.xyz.co.jp」であるときには、wwwがホスト名であり、クライアントドメイン名は、xyz.co.jpとなる。そして、経由ドメインリスト216の先頭に得られたクライアントドメイン名を追加する(S71)。
【0094】
経由ドメインリスト216は、クライアントからサーバまでの間に経由するドメイン名を保存するリストである。経由ドメインリスト216が具体的にどの様に用いられるかについては、後に図29を用いて詳細に説明する。
次に、クライアントドメイン名に対して、処理A(S74)を実行する(S72)。処理Aは、再帰的呼出し手続きであり、経由ドメインリスト216を取得する処理である。したがって、この処理を抜け出てきたときには、クライアントからサーバまでの経由ドメインリスト216が完成されている。
最後に、経由ドメインリスト216中の連続するドメイン名とファイアウォール構成情報テーブルとから、その間のファイアウォール名を取得することにより、経由するファイアウォールのリスト(経由ファイアウォールリスト)を取得する(S73)。この経由ファイアウォールリストは、図30に示される経由ファイアウォールテーブル214のエントリとして格納される。
【0095】
経由ファイアウォールテーブル214は、設定対象ファイアウォールを特定する処理の結果を格納するためのテーブルであり、クライアントアドレスフィールド81とサーバアドレスフィールド82と経由ファイアウォールリストフィールド83とから構成される。クライアントアドレスフィールド81とサーバアドレスフィールド82は、それぞれクライアントのアドレスとサーバのアドレスを格納するフィールドである。経由ファイアウォールリストフィールド83は、前述の如く、設定対象ファイアウォールを特定する処理の結果として、クライアントアドレス53からサーバアドレス54までの経路上にあるファイアウォールのリストを格納したものある。すなわち、この経由ファイアウォールリストフィールド83に記載された一連のファイアウォールが、クライアントがサーバからサービスにあたって、マネージャプログラム23が、設定対象とするファイアウォールである。
【0096】
次に、上記の処理A(S74)について説明する。
この処理Aに与えられる引数は、ドメイン名、ファイアウォール構成情報テーブル24、経由ドメインリスト216である。また、この処理Aは、再帰的呼出し手続き(Recurcive Call)である。
先ず、マネージャプログラム53は、与えられたドメイン名とファイアウォール構成情報テーブル24のドメイン名フィールド61とが一致するエントリを検索する。そして、一致したエントリの隣接ドメイン名フィールド63に記載されたドメイン名からリストを作成する(S75)。これを、隣接ドメイン名リストと呼ぶことにする。
【0097】
この隣接ドメイン名リストに要素がない場合(S76)、処理Aから抜ける。
隣接ドメイン名リストに要素がある場合(S76)、そのリストからドメイン名を1つ選択する。選択したドメイン名が、経由ドメインリスト216で既に使用されているならば、隣接ドメイン名リストから別のドメイン名を選択する(S77)。経由ドメイン名リストで使用されていなければ、経由ドメイン名リストに追加する(S78)。
そして、今追加したドメイン名がサーバが属するドメイン名(サーバドメイン名)に等しいか否かを調べる(S79)。追加したドメイン名がサーバが属するドメイン名(サーバドメイン名)に等しいならば(S79)、経由ドメインリスト216を別領域に保存する(S710)。
この時点で保存されたドメインリストが、この処理の答えとなる経由ドメインリスト216になる。
【0098】
そして、経由ドメインリスト216の一番最後に追加されたドメイン名を削除する。これは、手続きが再帰的呼出しを使っているため、経由ドメインの探索を元に戻して処理するために必要なる手続きである。
【0099】
そして、隣接ドメインリストを調べる処理に戻る(S76)。
追加したドメイン名がサーバドメイン名に等しくないならば(S79)、追加したドメイン名を引数にして、再帰的に、処理Aを呼び出す(S712)。
処理Aから抜け出たときには、経由ドメインリスト216の一番最後に追加されたドメイン名を削除する(S713)。これも、処理Aが、再帰的呼出しであるために、処理から抜けたときには、一番最後に追加されたドメイン名での探索は終了していることから必要になる処理である。
この処理Aでは、再帰的な呼び出しを使っているために、クライアントからサーバへの道筋が複数ある場合にも、探索をすべての経路についておこない、経由する可能性のある道筋をすべて見つけ出すことができる。
【0100】
ここで、図29を用いて「ドメイン1」に属するクライアントから「ドメイン3」に属するサーバにアクセスする場合に、設定するファイアウォールを特定する処理を具体的に説明する。まず、「ドメイン1」を経由ドメインリスト216の先頭に追加する(S71、図29(a))。次に、「ドメイン1」を処理Aに渡す引数として、経由ドメインリスト216を取得する処理A(S74)を開始する(S72)。まず、「ドメイン1」とドメイン名フィールド61が一致するエントリとして65aを検出し、その隣接ドメイン名フィールド63に記載された「ドメイン2」を隣接ドメインリストに加える(S75)。
【0101】
次に、隣接ドメインリストから「ドメイン2」を選択する(S76)。「ドメイン2」は経由ドメインリスト216にないので(S77)、「ドメイン2」を経由ドメインリスト216に追加する(S78、図29(b))。「ドメイン2」は、サーバドメイン名「ドメイン3」に等しくないので(S79)、「ドメイン2」を引数として、経由ドメインリスト216を取得する処理A(S74)を開始する(S712)。次に、「ドメイン2」を引数として、処理A(S74)を呼び出して、エントリ64bとエントリ64cから、隣接ドメインリストとして、「ドメイン2」と「ドメイン1」が得られる。「ドメイン1」の方は、既に経由ドメインリスト216に含まれているので、候補から省かれる(S77)。したがって、この段階で図29(c)に示される経由ドメインリスト216が得られる。
【0102】
次に、ドメイン名「インターネット」を引数として、処理A(S74)が呼び出される。
「インターネット」をキーとして、得られる隣接ドメインは、エントリ64f,64g,64hから、それぞれ、「ドメイン2」、「ドメイン3」、「ドメイン4」である。
「ドメイン2」は、やはり経由ドメインリスト216に既に存在しているので候補から省かれ、「ドメイン3」を経由ドメインリスト216に追加したときに、サーバドメイン名に等しくなるため(S79)、これを答えとして保存する(S710)。このあと、追加したドメインである「ドメイン3」を削除する(S711)。そして、図29(3)の状態に戻り探索を続けることになる。
最終的に、図29(d)の状態のときの経由ドメインリスト216が、この処理の答えであって、「ドメイン1」、「ドメイン2」、「インターネット」、「ドメイン3」が取得できる。
【0103】
【発明の効果】
本発明により、複数のネットワーク機器に対して、それぞれの機器に関連する設定内容を矛盾なく作成することと、すでに作成した設定情報に対して矛盾が発生していないかチェックすることができるようになる。
【図面の簡単な説明】
【図1】トンネリングの原理を説明する図。
【図2】多段ファイアウォール環境を説明する図。
【図3】本発明の一実施例における全体構成図。
【図4】管理サーバの構成図。
【図5】第1の実施例におけるポリシーファイルの内容を示した図。
【図6】第1の実施例における設定ファイルの内容を示した図。
【図7】第1の実施例における設定ファイルを作成する処理を示すフローチャート。
【図8】第1の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図9】第2の実施例における全体構成図。
【図10】第2の実施例におけるポリシーファイルの内容を示した図。
【図11】第2の実施例における設定ファイルの内容を示した図。
【図12】第2の実施例における設定ファイルを作成する処理を示すフローチャート。
【図13】第2の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図14】第3の実施例における設定ファイルチェックフロー。
【図15】第3の実施例における全体構成。
【図16】第3の実施例におけるポリシーファイルの内容を示した図。
【図17】第3の実施例における設定ファイルの内容を示した図。
【図18】第3の実施例における設定ファイルを作成する処理を示すフローチャート。
【図19】第3の実施例における設定ファイルの整合性をチェックする処理を示すフローチャート。
【図20】管理サーバからファイアウォールに対して設定情報を配布するための、通信経路上のネットワーク機器の構成を示した図。
【図21】 第4の実施例におけるファイアウォール統括管理システムのネットワーク構成図。
【図22】第4の実施例における管理サーバ13のハードウェア構成図。
【図23】第4の実施例におけるファイアウォール14a〜14dのハードウェア構成図。
【図24】第4の実施例における管理端末15のハードウェア構成図。
【図25】第4の実施例におけるファイアウォール統括管理システムが、ファイアウォールの設定をする処理を模式的に示した図。
【図26】第4の実施例において管理者が、設定情報を入力するときの管理端末15上の入力画面51を示す図。
【図27】第4の実施例における管理サーバ13上のファイアウォール構成情報テーブル24を示す図。
【図28】第4の実施例におけるマネージャプログラム23が設定するファイアウォールを特定する処理を示すフローチャート。
【図29】第4の実施例における経由ドメインリスト216の内容を状態毎に示した図。
【図30】第4の実施例における管理サーバ13上の経由ファイアウォールテーブル214を示す図。
【符号の説明】
301…インターネット、 302…組織ネットワーク、 303…組織ネットワーク、 304…組織ネットワーク、 305…ルータ、 306…ルータ、 307…ルータ、 308…ローカルネットワーク、 309…管理サーバ、 401…CPU、 402…ネットワークインタフェース、 403…ディスク、 404…メモリ、 405…ポリシーファイル、 406…設定ファイル、 407…オペレーティングシステム、408…ファイル編集プログラム、 409…設定ファイル作成プログラム、 410…データ転送プログラム、 411…入出力装置。 501…構成機器情報セクション、502…ポリシーセクション、 601…トンネル設定情報セクション、901…インターネット、 902…組織ネットワーク、 903…サブネットワーク、 904…サブネットワーク、 905…ファイアウォール、 906…ファイアウォール、 907…ファイアウォール、 908…管理サーバ、 1001…構成機器情報セクション、 1002…ポリシーセクション、 1101…アクセス制御情報セクション、1401…インターネット、 1402…組織ネットワーク、 1403…サブネットワーク、 1404…サブネットワーク、 1405…ファイアウォール、 1406…ファイアウォール、 1407…ファイアウォール、1408…管理サーバ、 1409…リモートネットワーク、 1410…ファイアウォール、 1411…クライアント計算機、 1412…クライアント計算機、 1413…サーバ計算機、 1414…サーバ計算機、 1501…構成機器情報セクション、1502…ユーザポリシーセクション、 1601…アクセス制御情報セクション、 1602…ユーザ認証情報セクション、 1701…経路情報リスト、 2001…CPU、 2002…ネットワークインタフェース、 2003…ディスク、 2004…メモリ、 2005…オペレーティングシステム、 2006…エージェントプログラム、 2007…データ中継プログラム、 2008…中継経路情報テーブル、 2009…入出力装置。
Claims (8)
- 協調して動作する複数のネットワーク機器と、前記複数のネットワーク機器を管理する管理サーバとからなるネットワーク管理システムにおいて、
前記管理サーバは、
当該システムにおけるアクセス制限を規定する第1のメタレベル設定情報から、前記複数のネットワーク機器毎に設定すべき設定情報を生成する生成手段と、
前記設定情報を前記複数のネットワーク機器のそれぞれへ配布する配布手段と、
前記複数のネットワーク機器に設定されている設定情報を収集する収集手段と、
前記複数のネットワーク機器のそれぞれから収集した設定情報に基づき、第2のメタレベル設定情報を生成し、前記第1のメタレベル設定情報と当該第2のメタレベル設定情報とを比較する比較手段と、
該比較した結果を表示する前記表示手段と、を備える
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムであって、
前記メタレベル設定情報は、
各ネットワーク機器が接続されるネットワークから送信される情報に対して実行する処理を規定した機器構成情報セクションと、
実行すべきアクセス制限が適用される少なくとも2以上のネットワークが規定されたポリシーセクションとを有し、
前記生成手段は、前記機器構成情報セクションに規定された情報、及び前記ポリシーセクションに規定された情報に対して整合するよう、各ネットワーク機器で実行する処理を規定した前記設定情報を生成する
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムにおいて、
前記相互に関連を持つ設定情報は、トンネリング設定情報である
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムにおいて、
前記ネットワーク機器は、ファイアウォールであって、
前記設定情報は、前記ファイアウォールで行われるアクセス制御に関する設定情報である
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムにおいて、
前記ネットワーク機器は、サーバであって、
前記設定情報は、前記サーバが持つアクセス権設定ポリシーである
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムにおいて、
前記ネットワーク機器は、定期的にデータを交換するネットワークアプリケーションを実行する計算機であって、
前記設定情報は、前記ネットワークアプリケーションに関わる設定情報である
ことを特徴とするネットワーク管理システム。 - 請求項1に記載のネットワーク管理システムにおいて、
前記管理サーバとネットワーク機器との間に、ファイアウォールを備え、
前記管理サーバは、前記ファイアウォールに対して、設定情報の設定を中継する中継手段を配布する手段を備え、
前記配布された前記中継手段は、前記ネットワーク機器へ前記設定情報を設定する手段を備える
ことを特徴とするネットワーク管理システム。 - 請求項7に記載のネットワーク管理システムにおいて、
前記管理サーバと前記中継手段とは、
相互認証手段と、データ暗号化手段を備える
ことを特徴とするネットワーク管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP02125399A JP3736173B2 (ja) | 1998-05-19 | 1999-01-29 | ネットワーク管理システム |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13661498 | 1998-05-19 | ||
| JP10-136614 | 1998-11-17 | ||
| JP10-326332 | 1998-11-17 | ||
| JP32633298 | 1998-11-17 | ||
| JP02125399A JP3736173B2 (ja) | 1998-05-19 | 1999-01-29 | ネットワーク管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000216780A JP2000216780A (ja) | 2000-08-04 |
| JP3736173B2 true JP3736173B2 (ja) | 2006-01-18 |
Family
ID=27283352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP02125399A Expired - Fee Related JP3736173B2 (ja) | 1998-05-19 | 1999-01-29 | ネットワーク管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3736173B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007116491A1 (ja) * | 2006-03-31 | 2007-10-18 | Fujitsu Limited | 定義情報管理プログラム、定義情報管理装置、および定義情報管理方法 |
| US11382650B2 (en) | 2015-10-30 | 2022-07-12 | Auris Health, Inc. | Object capture with a basket |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251336A (ja) * | 2001-02-21 | 2002-09-06 | Mitsubishi Electric Corp | ネットワーク管理装置 |
| JP4651208B2 (ja) * | 2001-02-27 | 2011-03-16 | 三菱電機株式会社 | セキュリティ・ポリシー・データ(spd)管理装置及びspd分割配布方式及びspd分割配布方法及びspd分割配布プログラムを記録したコンピュータで読み取り可能な記録媒体 |
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| US20040249958A1 (en) * | 2003-06-04 | 2004-12-09 | Ozdemir Hasan Timucin | Method and apparatus for secure internet communications |
| US7318097B2 (en) * | 2003-06-17 | 2008-01-08 | International Business Machines Corporation | Security checking program for communication between networks |
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| US7397770B2 (en) | 2004-02-20 | 2008-07-08 | International Business Machines Corporation | Checking and repairing a network configuration |
| JPWO2006049072A1 (ja) * | 2004-11-04 | 2008-05-29 | 日本電気株式会社 | ファイアウォール検査システムおよびファイアウォール情報抽出システム |
| JP4928732B2 (ja) * | 2005-01-17 | 2012-05-09 | 株式会社リコー | データ転送システム及び電子機器 |
| WO2006090781A1 (ja) * | 2005-02-24 | 2006-08-31 | Nec Corporation | フィルタリングルール分析方法及びシステム |
| US7925491B2 (en) | 2007-06-29 | 2011-04-12 | International Business Machines Corporation | Simulation of installation and configuration of distributed software |
| JP2009048574A (ja) * | 2007-08-22 | 2009-03-05 | Panasonic Corp | 通信端末装置、ファイアウォールシステム及びファイアウォール方法 |
| JP5111256B2 (ja) * | 2008-06-23 | 2013-01-09 | 株式会社日立製作所 | 通信システムおよびサーバ装置 |
-
1999
- 1999-01-29 JP JP02125399A patent/JP3736173B2/ja not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007116491A1 (ja) * | 2006-03-31 | 2007-10-18 | Fujitsu Limited | 定義情報管理プログラム、定義情報管理装置、および定義情報管理方法 |
| JP4829293B2 (ja) * | 2006-03-31 | 2011-12-07 | 富士通株式会社 | 定義情報管理プログラム、定義情報管理装置、および定義情報管理方法 |
| US11382650B2 (en) | 2015-10-30 | 2022-07-12 | Auris Health, Inc. | Object capture with a basket |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000216780A (ja) | 2000-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7143151B1 (en) | Network management system for generating setup information for a plurality of devices based on common meta-level information | |
| US20220038533A1 (en) | Coordinating inter-region operations in provider network environments | |
| US7450584B2 (en) | Network repeater apparatus, network repeater method and network repeater program | |
| JP3736173B2 (ja) | ネットワーク管理システム | |
| US6079020A (en) | Method and apparatus for managing a virtual private network | |
| JP5859519B2 (ja) | データパケットの配信管理方法 | |
| JP4327408B2 (ja) | 仮想プライベートボリューム方式及びシステム | |
| JP5167225B2 (ja) | 1つのファイラー上の複数の仮想ファイラーが重複するネットワークアドレスを有する複数のアドレス空間に参加することを可能にする技術 | |
| US8090827B2 (en) | Secure access to remote resources over a network | |
| US6226751B1 (en) | Method and apparatus for configuring a virtual private network | |
| US6154839A (en) | Translating packet addresses based upon a user identifier | |
| US7159109B2 (en) | Method and apparatus to manage address translation for secure connections | |
| US7917939B2 (en) | IPSec processing device, network system, and IPSec processing program | |
| JP4493654B2 (ja) | ネットワーク間の通信のためのセキュリティ・チェック・プログラム | |
| CN107404470A (zh) | 接入控制方法及装置 | |
| WO2001043393A2 (en) | Decoupling access control from key management in a network | |
| Spiekermann et al. | Challenges of network forensic investigation in virtual networks | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| JP4649465B2 (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
| US20020154635A1 (en) | System and method for extending private networks onto public infrastructure using supernets | |
| JP3253542B2 (ja) | ネットワーク通信システム | |
| US20030145227A1 (en) | System and method of automatically handling internet key exchange traffic in a virtual private network | |
| WO2001043394A2 (en) | Channel-specific file system views in a private network using a public-network infrastructure | |
| Jamhour | Distributed security management using LDAP directories | |
| JP2002335274A (ja) | パケット中継装置およびパケット中継方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040914 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041101 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051017 |
|
| LAPS | Cancellation because of no payment of annual fees |