JP3874628B2 - パケット転送装置、半導体装置 - Google Patents

パケット転送装置、半導体装置 Download PDF

Info

Publication number
JP3874628B2
JP3874628B2 JP2001147324A JP2001147324A JP3874628B2 JP 3874628 B2 JP3874628 B2 JP 3874628B2 JP 2001147324 A JP2001147324 A JP 2001147324A JP 2001147324 A JP2001147324 A JP 2001147324A JP 3874628 B2 JP3874628 B2 JP 3874628B2
Authority
JP
Japan
Prior art keywords
packet
port
filtering
public server
lan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001147324A
Other languages
English (en)
Other versions
JP2002344530A (ja
Inventor
和也 浅野
晃彦 長友
智一 青木
淳一 橋田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001147324A priority Critical patent/JP3874628B2/ja
Priority to US09/962,118 priority patent/US7471690B2/en
Priority to TW90125314A priority patent/TW515173B/zh
Publication of JP2002344530A publication Critical patent/JP2002344530A/ja
Application granted granted Critical
Publication of JP3874628B2 publication Critical patent/JP3874628B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Description

【0001】
【発明の属する技術分野】
本発明はパケット転送装置、半導体装置、および、パケット転送システムに関し、特に、LAN、公開サーバ、および、WANの間でパケットを転送するパケット転送装置、そのようなパケット転送装置が有する半導体装置、および、パケット転送システムに関する。
【0002】
【従来の技術】
近年、ISDN(Integrated Service Digital Network)、ADSL(Asymmetric Digital Subscriber Line)、および、FTTH(Fiber To The Home)等の常時接続可能なインターネットサービスが家庭やSOHO(Small Office Home Office)で利用可能になってきており、そのような環境においても、公開サーバを設置し、種々の情報をインターネット上に公開したいという要望が高まっている。
【0003】
ところで、インターネット側からの不正な攻撃から公開サーバを守るために、ファイアウォールにより隔離されたセグメントであるDMZ(DeMilitarized Zone)を設け、そこに公開サーバを設置する方法が知られている。
【0004】
図36は、従来におけるDMZの構築方法の一例を示す図である。
この図の例では、公開サーバ22は、ファイアウォール21を介してLAN(Local Area Network)20に接続され、また、ファイアウォール23を介してWAN(Wide Area Network)24に接続されている。
【0005】
このような構成によれば、WAN24から公開サーバ22への不正アクセスは、ファイアウォール23によって阻止することができ、また、LAN20から公開サーバ22への不正アクセス、および、公開サーバ22を乗っ取ることによって間接的に実行されるWAN24からLAN20への不正アクセスは、ファイアウォール21によって阻止することができる。
【0006】
従って、このようなDMZを用いることにより、公開サーバ22への不正アクセスを防止するとともに、公開サーバ22を乗っ取ることによりなされるWAN24側からLAN20側への不正アクセスを防止することができる。
【0007】
【発明が解決しようとする課題】
ところで、このようなDMZを構築しようとすると、高価で技術的に高度なファイアウォールを必要とするため、例えば、一般家庭やSOHOへの導入はコスト面においても、技術面においても困難を伴うという問題点があった。
【0008】
本発明は、安価でコンパクトなDMZを簡易に実現することが可能なパケット転送装置、半導体装置、および、パケット転送システムを提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明では上記課題を解決するために、図1に示す、パケットを転送するパケット転送装置1において、パケットを暗号化及び復号化する機能を有する第1の手段が接続され、且つ、LAN2が接続される第1のポート1aと、公開サーバ3が接続される第2のポート1bと、WAN4が接続される第3のポート1cと、前記第1乃至第3のポート1a〜1cから入力されたパケットの属性に応じてフィルタリングを行うフィルタリング手段1dと、を有することを特徴とするパケット転送装置1が提供される。
【0010】
ここで、図35に示したように、第1のポートには、LANを介して第1の手段(たとえば、図に示したマイクロプロセッサ機構50)が接続される。第2のポートには、公開サーバ70が接続される。第3のポート1cには、WANを介して、たとえば、外部クライアント90が接続される。フィルタリング手段は第2のポートから入力されたパケットをフィルタリングし、第1の手段に出力する第1のフィルタリング手段(図では、フィルタc)と、第3のポートから入力されたパケットをフィルタリングし、第1の手段に出力する第2のフィルタリング手段(図では、フィルタa)と、第1のフィルタリング手段経由で入力され、第1の手段により暗号化されたパケットのフィルタリングを行うとともに、第2のフィルタリング手段経由で入力され、第1の手段により復号化されたパケットのフィルタリングを行う第3のフィルタリング手段(図では、フィルタb)を有する。第1のフィルタリング手段、第2のフィルタリング手段、及び第3のフィルタリング手段は、入力されたパケットの属性に応じてフィルタリングを行う
【0015】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の動作原理を説明する原理図である。この図に示すように、本発明のパケット転送システムは、パケット転送装置1、LAN2、公開サーバ3、および、WAN4によって構成されている。
【0016】
パケット転送装置1は、第1のポート1a、第2のポート1b、第3のポート1c、フィルタリング手段1d、および、ルーティング手段1eによって構成されている。
【0017】
第1のポート1aは、LAN2との間でパケットを授受する際のインターフェースである。
第2のポート1bは、公開サーバ3との間でパケットを授受する際のインターフェースである。
【0018】
第3のポート1cは、WAN4との間でパケットを授受する際のインターフェースである。
フィルタリング手段1dは、第1乃至第3のポート1a〜1cから入力されたパケットの属性に応じてフィルタリングを行う。
【0019】
ルーティング手段1eは、フィルタリング手段1dによって破棄の対象とならなかったパケットに対してルーティング処理を施す。
LAN2は、例えば、家庭またはSOHOに設置された小規模なネットワークであり、1または2以上のノード(例えば、パーソナルコンピュータ等)が接続されている。
【0020】
WAN4は、例えば、インターネットのような大規模なネットワークであり、多数のノード(例えば、公開サーバ)および他のネットワークが接続されている。
【0021】
次に、以上の原理図の動作について説明する。
先ず、WAN4に接続された所定のノードから公開サーバ3に対して接続要求を行う場合の動作について説明する。
【0022】
WAN4の所定のノードから公開サーバ3に対して接続要求を行うパケットが送信されてきた場合には、このパケットは第3のポート1cを介してパケット転送装置1に入力される。
【0023】
パケット転送装置1のフィルタリング手段1dは、パケットのヘッダ情報および入力されたポートを参照し、このパケットがWAN4の所定のノードから公開サーバ3に対する接続要求を行っていることを検知する。WAN4から公開サーバ3に対する接続要求は許容されるので、フィルタリング手段1dは、このパケットを通過させ、ルーティング手段1eに供給する。
【0024】
ルーティング手段1eは、フィルタリング手段1dから供給されたパケットを、第2のポート1bを介して公開サーバ3に供給する。
公開サーバ3は、パケットを受信し、例えば、所定の情報を送信する要求がなされている場合には、該当する情報を取得し、パケット化した後、要求を行ったノードのアドレスをヘッダに付加して送信する。
【0025】
公開サーバ3から送信されたパケットは、再度、第2のポート1bを介して、フィルタリング手段1dに供給される。公開サーバ3からWAN4へのパケットの送信は許容されているので、フィルタリング手段1dは、このパケットを通過させ、ルーティング手段1eに供給する。
【0026】
ルーティング手段1eは、供給されたパケットを受信し、ルーティング処理を行った後、第3のポート1cを介して、要求を行ったノードに対して送信する。その結果、WAN4に接続されている所定のノードは、公開サーバ3にアクセスし、所望の情報を得ることができる。
【0027】
次に、WAN4に接続された所定のノードから、LAN2に接続された所定のノードに対して接続要求がなされた場合について説明する。
WAN4の所定のノードからLAN2の所定のノードに接続要求を行うパケットが送信された場合には、このパケットは第3のポート1cを介してパケット転送装置1に入力される。
【0028】
パケット転送装置1のフィルタリング手段1dは、パケットのヘッダ情報および入力されたポートを参照し、このパケットがWAN4の所定のノードからLAN2の所定のノードに対して接続要求を行うものであることを検知する。WAN4からLAN2に対する接続要求は、悪意を有するユーザによって送信されたものである場合が多いので、そのようなアクセスは禁止することが望ましいことから、フィルタリング手段1dは、このパケットを破棄する。
【0029】
その結果、WAN4からLAN2に対する不正なアクセスを阻止することが可能になる。
次に、WAN4上の所定のノードが、公開サーバ3を乗っ取り、そこを足がかりにしてLAN2にアクセスする場合の動作について説明する。
【0030】
公開サーバ3から送信されたパケットは、第2のポート1bを介してパケット転送装置1に入力される。ここで、このパケットは、公開サーバ3からLAN2の所定のノードに対する接続要求であるので、フィルタリング手段1dは、このパケットを破棄する。
【0031】
その結果、公開サーバ3が乗っ取られて、そこを足がかりとしてLAN2のノードに不正にアクセスされることを防止することができる。
以上に説明したように、本発明のパケット転送システムでは、独立した第1のポート1a〜第3のポート1cを設けて、LAN2、公開サーバ3、および、WAN4を接続し、WAN4からLAN2の所定のノードに対する接続要求を行うパケットが送信された場合および公開サーバ3からLAN2の所定のノードに対して接続要求を行うパケットが入力された場合には、フィルタリング手段1dがそれらのパケットを破棄するようにしたので、DMZを簡易に構築することが可能になる。
【0032】
次に、本発明の実施の形態について説明する。
図2は、本発明の実施の形態の構成例を示す図である。この図に示すように、本発明のパケット転送システムは、パケット転送装置40、マイクロプロセッサ機構50、LAN60、公開サーバ70、および、WAN80によって構成されている。
【0033】
ここで、パケット転送装置40は、マイクロプロセッサ機構50、LAN60、WAN80、および、公開サーバ70の間でパケットを転送するとともに、必要に応じてパケットを破棄する処理を行う。
【0034】
マイクロプロセッサ機構50は、パケット転送装置40によって受信されたパケットに対してルーティング処理等を実行する。なお、この実施の形態では、マイクロプロセッサ機構50は、パケット転送装置40とは別個独立の構成としてあるが、これらを1つの装置として構成することも可能である。
【0035】
LAN60は、例えば、家庭またはSOHO内に構築されたローカルなネットワークであり、1または2以上のノードが接続されている。
WAN80は、例えば、インターネットによって構成されたグローバルなネットワークであり、多数のノードおよび他のネットワークが接続されている。
【0036】
図3は、複数のポートを有するイーサネット(登録商標)のMACアドレスに基づくスイッチング機構をベースにした構成例を示している。この例では、アクセスルータの核であるイーサネットスイッチは、3つのLAN用ポート40−0〜40−2(以下、適宜、ポート#0〜ポート#2と呼ぶ)を有している。また、公開サーバセグメント700、WANセグメント800、および、マイクロプロセッサ機構50用として、ポート40−3〜40−5(以下、適宜、ポート#3〜#5と呼ぶ)を有している。
【0037】
なお、LANセグメント600とポート40−0〜40−2とは、物理層デバイス61〜63を介して接続されている。また、公開サーバセグメント700とポート40−3とは物理層デバイス71を介して接続されている。更に、WANセグメント800とポート40−4とは、物理層デバイス81を介して接続されている。
【0038】
マイクロプロセッサ機構50は、CPU(Central Processing Unit)50aおよびメモリ50bによって構成され、ポート40−5に接続されている。
なお、マイクロプロセッサ機構50とパケット転送装置40との間でデータを転送する方法としては、図4に示すように、パケット転送装置40にDMAC(Direct Memory Access Controller)402を設け、FIFO(First In First Out)401と、マイクロプロセッサ機構50のメモリ50bとの間で、CPU50aを介さずにデータを直接やりとりするようにしてもよい。
【0039】
図5は、パケット転送装置40の詳細な構成例を示す図である。
この図に示すように、パケット転送装置40は、MACブロック41〜45、インターフェースブロック46、MACアドレステーブル参照機構47、フィルタリング機構48、および、キューイング機構49によって構成されている。
【0040】
ここで、MACブロック41〜45は、それぞれポート40−0〜40−4に対応しており、各ポートから入力されたパケットをMACアドレステーブル参照機構47に受け渡すとともに、フィルタリング処理等がなされた後のパケットをキューイング機構49から受け取り、該当するポートから出力する。
【0041】
インターフェースブロック46は、ポート40−5を介してマイクロプロセッサ機構50と接続されており、キューイング機構49から供給されたパケットに対して種々の処理を施した後、MACアドレステーブル参照機構47に供給する。
【0042】
MACアドレステーブル参照機構47は、MACブロック41〜45によって受信されたパケットから宛先MACアドレスを抽出し、抽出したMACアドレスと、テーブルに格納されている情報を照合し、そのパケットの転送先ポートを特定する。
【0043】
フィルタリング機構48は、MACアドレステーブル参照機構47から供給されたパケットのうち、設定された条件に応じてパケットを破棄する。
キューイング機構49は、フィルタリング機構48から供給されたパケットをポート毎に分けてキューイングする。
【0044】
次に、図5の各機構部の詳細な説明を行う。
先ず、MACアドレステーブル参照機構47について説明する。MACアドレステーブル参照機構47は、図6に示すようなMACアドレステーブルを参照し、各ポートに接続されているノード(例えば、PC(Personal Computer))のMACアドレスと、そのポート番号とを対応付けて登録する機能を有している。
【0045】
なお、登録する方法としては、自動的に学習する方法や、レジスタ設定によりマニュアル操作で登録する方法がある。
MACアドレステーブル参照機構47は、MACブロック41〜45に具備されているキャプチャユニット(詳細は後述する)によって取得された宛先MACアドレスと、図6に示すテーブルに格納されている宛先MACアドレスとを照合し、転送先ポートを決定する。
【0046】
例えば、ポート#0から入力されたパケットの宛先MACアドレスがポート#1に接続されているPCのものである場合、図6に示すテーブルによれば、第4番目の項目に該当、その値が“”となっているポート#1に転送されることになる。
【0047】
これは、ポート#0とポート#1とがリンク層において接続(ブリッジ)されていることを示している。ポート#0〜#2は、リンク層において相互に接続されており、リンク層レベルでのスイッチングを行うため、ポート#0〜#2から入力されたパケットは、共通のMACアドレステーブル領域を参照する構成となっている。ここで、ポート#0〜2から共通に参照可能なMACアドレステーブルの領域を、以下「LAN用テーブル領域」と呼ぶ。
【0048】
LAN用テーブル領域の先頭には、ポート#0,#1,#2,#5に対応付けたブロードキャストアドレスである「ffff_ffff_ffff」が固定的に登録されている。従って、例えばポート#0から入力されたブロードキャストアドレスを宛先MACアドレスとするパケットは、ポート#0,#1,#2,#5の全てに転送される。但し、入力ポートと出力ポートとが重複している場合には、転送を実行しないでもよいことから、ポート#0には転送されない。
【0049】
これに対して、ポート#3は、DMZ用のポートなので、ポート#3とLAN用のポート#0,#1,#2とはリンク層レベルで分離されている必要があることから、ポート#3から入力されたパケットについては、その宛先MACアドレスの比較参照は、LAN用テーブル領域に対しては実行しない。なお、ポート#3から入力されたパケットの参照テーブルは以下では「DMZ用テーブル領域」と呼ぶ。
【0050】
この例では、DMZ用のポートは1ポートなので、ポート#3に連結しているノードのMACアドレスの登録はされていない。DMZポートはポート#3のみなので、ブロードキャストアドレス「ffff_ffff_ffff」のみが固定的に登録されており、これはポート#5へ転送されるように設定されている。即ち、公開サーバ70が接続されたポート#3から入力されたパケットについては、マイクロプロセッサ機構50が接続されているポート#5に転送されることになる。
【0051】
ところで、複数ポートをDMZとして定義する場合は「DMZ用テーブル領域」に、ポート#3に連結している各ノードのアドレスを登録すればよい。その結果、DMZ用のポート間でのスイッチングの際に参照することが可能になる。
【0052】
更に、MACアドレステーブルには、ポート#5と対応付けされた「CPU_MAC_ADR」が登録されている。この「CPU_MAC_ADR」はマイクロプロセッサ機構50に割り当てられたMACアドレスであり、別の言い方をすれば、パケット転送装置40とマイクロプロセッサ機構50とから構成されるアクセスルータに割り付けられたMACアドレスである。
【0053】
ところで、LAN60からWAN80へ、LAN60からDMZである公開サーバ70へ、公開サーバ70からWAN80へ、公開サーバ70からLAN60へ転送されるパケットは、マイクロプロセッサ機構50によるルーティングを必要とするため、その宛先MACアドレスは「CPU_MAC_ADR」に設定される。この「CPU_MAC_ADR」が登録されている領域は、ポート#0,#1,#2から入力されたパケットからも、ポート#3から入力されたパケットからも共通に比較参照されるエントリーである。このエントリーを以下、「CPU_MAC_ADRエントリー」と呼ぶ。
【0054】
更に、ポート#0,#1,#2から入力されたパケットの宛先MACアドレスが、ブロードキャストアドレス、CPU_MAC_ADR、または、LAN用テーブル領域に登録されているアドレスのいずれにも該当しない場合には、そのパケットはポート#5に転送される。宛先が不明なデータパケットとして、マイクロプロセッサ機構50によって処理するためである。
【0055】
同様に、ポート#3から入力されたパケットの宛先MACアドレスが、ブロードキャストアドレス、CPU_MAC_ADR、DMZ用テーブル領域に登録されているアドレスのいずれにも該当しない場合は、ポート#5へ転送される。前述の場合と同様に、宛先が不明なデータパケットとして、マイクロプロセッサ機構50によって処理するためである。
【0056】
更に、ポート#5から入力されたパケットは、マイクロプロセッサ機構50がストアしたデータであるため、後述する「転送指示用ディスクリプタ」により転送先ポートが指定される。このため、そのようなパケットについては宛先MACアドレスの参照は行わない。
【0057】
更にまた、ポート#4から入力されたパケットは、宛先MACアドレスの参照は行わない。即ち、ポート#4から入力されたパケットは、WAN80から入力されたパケットであるため、マイクロプロセッサ機構50によって転送されるべきだからである。
【0058】
次に、キューイング機構49について説明する。
図7は、キューイング機構49を説明するための図である。MACアドレステーブル参照機構47により、転送先のポート番号が決定すると、パケット(塗りつぶされた矩形)は、キューイング機構49が具備する、そのポート番号(0番〜5番)に対応するリンクバッファにバッファリングされる。なお、リンクバッファは転送先ポートごとに準備されており、図5の例では、転送先ポートは、ポート#0〜#5である。
【0059】
マルチキャストが指定されている場合には、複数のポートに同一のパケットがコピーされた後、バッファリングされる。なお、コピーおよびバッファリングの実行方法としては、一斉にコピーしてバッファリングする方法と、一つの転送ポートへパケットが転送されたタイミングにおいて、マルチキャストされるべき他の転送ポート用リンクバッファにコピーしてバッファリングする方法の2つがある。つまり一斉コピーする方法と逐次コピーする方法である。マルチキャストの同報性を重視する場合は前者を選択し、バッファ容量の消費を抑制したい場合は、後者を選択することが望ましい。
【0060】
次に、インターフェースブロック46について説明する。
図8はインターフェースブロック46の詳細な構成例を示す図である。
この図に示すように、インターフェースブロック46は、キューイング機構インターフェース46a、デュアルポートRAM(Random Access Memory)46b、デュアルポートRAM46c、ステータスレジスタ46d、マイクロプロセッサインターフェース46e、および、キャプチャユニット46fによって構成されている。
【0061】
キューイング機構インターフェース46aは、図5に示すキューイング機構49との間のインターフェースであり、コントロール信号およびデータを相互にやりとりする。
【0062】
デュアルポートRAM46bは、送信用のRAMであり、キューイング機構49からマイクロプロセッサ機構50へデータを送る際のバッファである。
デュアルポートRAM46cは、受信用のRAMであり、マイクロプロセッサ機構50からキューイング機構49へデータを送る際のバッファである。
【0063】
ステータスレジスタ46dは、デュアルポートRAM46b,46cの状態を示す情報が設定されるレジスタである。
マイクロプロセッサインターフェース46eは、マイクロプロセッサ機構50との間のインターフェースであり、アドレス、コントロール信号、および、データを授受する。
【0064】
キャプチャユニット46fは、デュアルポートRAM46cに格納されているパケットからヘッダを取得し、MACアドレステーブル参照機構47に供給する。
【0065】
なお、インターフェースブロック46は、ポート#5に該当するので、キューイング機構49にキューイングされているパケットのうち、ポート#5に宛てられたパケットがリンクバッファから読み出されて供給される。
【0066】
キューイング機構49から供給されたパケットは、デュアルポートRAM46bに格納されるが、このとき、インターフェースブロック46は、パケットの先頭にパケット長(データ長)を示すヘッダを付加する。
【0067】
そして、ある程度のパケットがデュアルポートRAM46bに格納されると、インターフェースブロック46は、マイクロプロセッサ機構50に、データの転送の準備ができたことを、割り込み信号やステータスレジスタ46dの値により通知する。
【0068】
マイクロプロセッサ機構50は、このデュアルポートRAM46bにアクセスすることにより、データを取り出す。取り出すデータの総量は、ヘッダに記述されているデータパケット長により知ることができる。
【0069】
逆にマイクロプロセッサ機構50から他のポート(ポート#0,#1,#2,#3,#4)へパケットを転送する場合、マイクロプロセッサ機構50は、デュアルポートRAM46cにデータをストアする。
【0070】
この時、マイクロプロセッサ機構50は、デュアルポートRAM46cにストアされたパケットの先頭に、「転送指示用ディスクリプタ」をヘッダとして付加する。なお、転送指示用ディスクリプタは、図11に示すフォーマットとなっており、転送先ポートの番号と、パケット長とが格納されている。
【0071】
この転送指示用ディスクリプタに設定されている情報を参照することにより、インターフェースブロック46は、パケットをキューイング機構49の対応するリンクバッファに移転させる。
【0072】
なお、デュアルポートRAM46cにストア可能な空き領域の有無は、割り込み信号やステータスレジスタ46dの値によりマイクロプロセッサ機構50に通知することができる。
【0073】
次に、MACブロック41〜45の説明を行う。なお、MACブロック41〜45は全て同様の構成とされているので、以下ではMACブロック41を例に挙げて説明を行う。
【0074】
図9に示すように、MACブロック41は、MII(Media Independent Interface)バスインターフェースコントローラ41a、CRC(Cyclic Redundancy Check)チェッカ41b、TX FIFO41c、RX FIFO41d、ステータスレジスタ41e、キャプチャユニット41f、および、キューイング機構インターフェース41gによって構成されている。
【0075】
MIIバスインターフェースコントローラ41aは、MIIバスを介してポート#0と接続されており、外部から入力されたパケットを受信してRX FIFO41dに供給するとともに、TX FIFO41cから供給されたパケットを外部に出力する。
【0076】
CRCチェッカ41bは、パケットに付加されている、エラー検出のためのCRCコードを正しい値と比較する。
TX FIFO41cは、キューイング機構インターフェース41gから供給されたパケットを格納し、格納した順にMIIバスインターフェースコントローラ41aに供給する。
【0077】
RX FIFO41dは、MIIバスインターフェースコントローラ41aから供給されたパケットを格納し、格納された順にキューイング機構インターフェース41gに供給する。
【0078】
ステータスレジスタ41eは、TX FIFO41cおよびRX FIFO41dの状態を格納するレジスタである。
キャプチャユニット41fは、RX FIFO41dに格納されているパケットのヘッダ情報を取得し、MACアドレステーブル参照機構47に供給する。
【0079】
次に、フィルタリング機構48について説明する。
図10は、フィルタリング機構48の詳細な構成例を示す図である。この図に示すように、フィルタリング機構48は、ラウンドロビンアービター48a、比較器48b、および、フィルタリング用テーブル48cによって構成されている。
【0080】
ここで、ラウンドロビンアービター48aは、ラウンドロビン方式に基づいて、キャプチャユニットからの比較要求を選択する。
比較器48bは、ラウンドロビンアービター48aによって決定された比較要求に対応するキャプチャユニットからのヘッダ情報と、フィルタリング用テーブル48cとの比較により、パケットをフィルタリングすべきか否かを示す情報を、フィルタリング指示として出力する。
【0081】
ここで、比較参照されるヘッダ情報としては以下のものがある。
Ethernetヘッダ:プロトコルタイプ
IPヘッダ :宛先IPアドレス、送信元IPアドレス、プロトコルICMPヘッダ :タイプ
TCPヘッダ :宛先ポート番号、送信元ポート番号、ヘッダ情報(制御フラグ)
UDPヘッダ :宛先ポート番号、送信元ポート番号
次に、フィルタリング用テーブル48cの具体的な構成について説明する。
【0082】
図12は、ネットワーク層プロトコルタイプテーブルを示している。これはEthernetヘッダ中のプロトコルタイプを参照することによりフィルタリングを実行するためのテーブルである。この例では、「プロトコルタイプ」、「入力ポート」、「転送先ポート」、および、「通過/非通過」に関する情報が関連付けされて格納されている。
【0083】
ここで、プロトコルタイプフィールドには、ネットワーク層のプロトコルタイプが設定される。例えば、ARP(Address Resolution Protocol)プロトコルの場合は、0x0806であり、IPプロトコルの場合は、0x0800である。
【0084】
入力ポートフィールドには入力ポートの番号が設定される。
転送先ポートフィールドには転送先のポートの番号が設定される。
通過/非通過フィールドにはプロトコルタイプ、入力ポート番号、転送先のポート番号が適合したデータパケットを通過させるべきか破棄するべきかが設定される。このフィールドが“1”である場合には通過を、“0”の場合には破棄を示している。
【0085】
この例では、IPパケットは原則として通過させる設定となっている。また、ARPパケットはポート#4からポート#5への転送と、ポート#5から#4への転送が破棄される設定となっている。WAN80へのARPパケットの流出や、WAN80からのARPパケットの流入をフィルタリングするためである。
【0086】
その他のネットワーク層のプロトコル、例えばIPX等に関する情報が入力された場合、このテーブルには設定されていないため、そのパケットの扱いは設定されている動作モードによる。例えば、動作モードが不明パケット破棄モードである場合は、そのようなパケットは破棄され、そうでない場合は、通過されることになる。
【0087】
図13は、ICMP(Internet Control Message Protocol)テーブルを示している。このICMPテーブルは、IPヘッダ中のプロトコル情報を参照することにより、それがICMPプロトコルであった場合には、ICMPテーブルとの比較を行う。
【0088】
ICMPプロトコルはクラッカーがネットワークに不正侵入する際の強力なツールとなり得るため、不要なICMPパケットについてはフィルタリングにより破棄することが望ましいからである。このテーブルの参照により、不要なICMPパケットを破棄できる。
【0089】
ここで、ICMPテーブルは、「ICMPタイプ」、「入力ポート番号」、「転送先ポート番号」、および、「通過/非通過」に関する情報によって構成されている。
【0090】
ICMPタイプフィールドには、ICMPプロトコルのメッセージタイプが設定される。
入力ポート番号フィールドには、パケットが入力されたポートの入力ポート番号が設定される。
【0091】
転送先ポート番号フィールドには、パケットの転送先のポート番号が設定される。
通過/非通過フィールドには、そのパケットを通過させるか否かの情報が設定される。ここで、その値が“”である場合には通過させ、“”の場合には破棄することを示す。
【0092】
この例では、ICMPタイプが「17」(アドレスマスク要求)のメッセージパケットがWAN80側から進入することを防ぎ、かつ、ICMPタイプが「18」(アドレスマスク応答)のメッセージパケットがWAN80側へ流出するのを防いでいる。
【0093】
図14は、IPアドレス登録テーブルを示している。
IPアドレス登録テーブルは、比較の対象となるIPアドレスを登録するためのテーブルである。登録されたIPアドレスはエントリー番号によりID値として表現される。その結果、後述するL3,L4テーブルのデータ量を削減することが可能になる。
【0094】
図14の例は、「ID値」と、「IPアドレス」とから構成されている。
ここで、ID値フィールドには、そのIPアドレスに付与されたID値が設定される。
【0095】
IPアドレスフィールドには、対象となるIPアドレスが格納される。
具体的には、公開サーバ70のIPのID値は「0」であり、また、LANクライアントのIPのID値は「1」であることが分かる。
【0096】
図15は、L3テーブルの一例を示している。
L3テーブルは、レイヤー3レベルの情報、つまり宛先IPアドレスと送信元IPアドレスとの組み合わせを設定するテーブルである。なお、アドレス設定は、前述のIPアドレス登録テーブルに格納されているID値を利用して行う。
【0097】
このテーブルを参照することにより、条件が一致したパケットは「通過/非通過フィールド」の設定に応じて通過もしくは、破棄される。また、このテーブルの条件に一致しないパケットは、動作モードが不明パケット破棄モードである場合には破棄され、そうでない場合は、通過される。なお、このテーブルのエントリー番号は、後述するL4テーブルにおいて、ID値として使用される。
【0098】
図15のテーブルに設定されている内容を具体的に説明すると、例えば、接続番号(エントリー番号が)「0」である項目は、送信元IPアドレスが任意(x)であり、宛先IPアドレスのID値が「0」、即ち、DMZ公開サーバのIPアドレスである場合には、そのパケットは通過される。なお、設定値の有効/無効フィールドに設定されている情報は、その値が“1”である場合には、IPアドレスフィールドで設定された情報が有効であり、“0”である場合には無効であることを示す。
【0099】
図16は、L4テーブルを示している。このテーブルには、TCPもしくは、UDPヘッダの宛先ポート番号と送信元ポート番号が登録される。また、L3テーブルで設定したIPアドレスの組み合わせをID値として登録することが可能である。更に、TCPプロトコルの場合は、コントロールフラグの設定も可能である。
【0100】
このテーブル参照により、条件が一致したデータパケットは「通過/非通過フィールド」の設定内容に応じて通過もしくは、破棄される。なお、このテーブルの条件に一致しないデータパケットは、動作モードが不明パケット破棄モードである場合は破棄され、そうでない場合には、通過される。
【0101】
ここで、エントリー番号フィールドには、エントリー番号が設定される。
L3番号フィールドには、前述のL3テーブルのエントリー番号が設定される。
【0102】
TCP/UDPフィールドには、TCPまたはUDPの別が設定される。ここで、設定値が“1”である場合にはTCPを、設定値が“0”である場合にはUDPであることを示す。
【0103】
送信元ポート番号フィールドには、送信元のポート番号が設定される。
宛先ポート番号フィールドには、宛先のポート番号が設定される。
ACKフィールドには、ACKフラグの状態が設定される。ここで、ACKフラグが“0”である場合には、そのパケットは自発的に接続を請求するものであることを示す。
【0104】
設定の有効/無効フィールドには、L3番号フィールド、TCP/UDPフィールド、送信元ポート番号フィールド、宛先ポート番号フィールド、ACKフィールドに格納されている情報を無効にするか否かを示す情報が設定される。ここで、このフィールドに格納されている情報が“1”である場合には対応するフィールドの情報が有効であることを示し、“0”である場合には無効であることを示す。
【0105】
WAN入力フィールドには、WAN80から入力されたパケットをフィルタリングの対象とする場合には“1”がまたフィルタリングの対象としない場合には“0”が設定される。
【0106】
通過/非通過フィールドには、該当するパケットを通過させる場合には“1”を、破棄する場合には“0”が設定される。
次に、以上の実施の形態の動作について説明する。
【0107】
(1)WAN80からDMZへ設置された公開サーバ70へのアクセス
WAN80側からDMZへ設置された公開サーバ70へアクセスし、基本的な3ウエイ・ハンドシェイクによりTCPコネクションを確立する場合のデータの流れを以下に説明する。
【0108】
図17は、WAN80に接続された外部クライアント90から公開サーバ70へのアクセス時のデータの流れを示す。なお、公開サーバ70には、グローバルアドレスが割り当てられているとする。
【0109】
外部クライアント90から公開サーバ70へのデータパケットの流れは、実線で示すS1〜S4の経路を辿る。
図18は、このときのデータフローを示す図である。この図に示すように、外部クライアント90からアクセスがなされた場合、宛先IPアドレスとしては公開サーバ70のIPアドレスが設定され、また、送信元IPアドレスとしては外部クライアント90のIPアドレスが設定されている。また、宛先ポートは「80番」であり、送信元ポートは所定の値が設定されている。更に、コントロールフラグSYN=1であり、ACK=0である。
【0110】
このようなパケットは、先ず、物理ポート4番、即ち、ポート#4を介して入力され、フィルタaを介してマイクロプロセッサ機構50に供給される。
ここで、図5に示す例を参照すると、先ず、MACブロック45から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタaを経由して、キューイング機構49へ供給される。
【0111】
そして、キューイング機構49では、公開サーバ70へ宛てられたパケットであることから、インターフェースブロック46に対応するリンクバッファに格納された後、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給される。
【0112】
マイクロプロセッサ機構50においてルーティング処理が施されたパケットは、再度インターフェースブロック46を経由して、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由した後、キューイング機構49に供給される。
【0113】
キューイング機構49では、公開サーバ70に対応するリンクバッファに格納された後、MACブロック44を経由し、公開サーバ70に供給される。
次に、公開サーバ70は、図19に示すように、要求を行った外部クライアント90に対してパケットを送信する。このパケットでは、宛先IPアドレスは外部クライアント90のIPアドレスが設定され、また、送信元IPアドレスとしては公開サーバ70のIPアドレスが設定されている。また、宛先ポートには所定の値が設定され、送信元ポートに「80番」が設定されている。更に、コントロールフラグSYN=1であり、ACK=1である。
【0114】
このようなパケットは、図17に示すように、破線で示すS5〜S8の経路を辿って外部クライアント90に対して送りつけられる。
即ち、図5を参照して説明すると、公開サーバ70が接続されたMACブロック44から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタcを経由し、キューイング機構49に供給され、マイクロプロセッサ機構50に対応するリンクバッファに格納される。
【0115】
そして、キューイング機構49から出力されたパケットは、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給され、そこで所定の処理を受けた後、再度インターフェースブロック46を経由し、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由し、キューイング機構49の外部クライアント90に対応するリンクバッファに格納される。
【0116】
キューイング機構49から出力されたパケットは、MACブロック45を経由して、外部クライアント90に送り届けられる。
それ以降の通信処理においては、図20に示すようなパケットが外部クライアント90から送信されることになる。即ち、このパケットでは、宛先IPアドレスは公開サーバ70のIPアドレスが設定され、また、送信元IPアドレスとしては外部クライアント90のIPアドレスが設定されている。また、宛先ポートは「80番」であり、送信元ポートには所定の値が設定されている。更に、コントロールフラグSYN=0であり、ACK=1である。
【0117】
また、公開サーバ70からは、図21に示すようなパケットが外部クライアント90へ送信されることになる。即ち、このパケットでは、宛先IPアドレスは外部クライアント90のIPアドレスが設定され、また、送信元IPアドレスとしては公開サーバ70のIPアドレスが設定されている。また、送信元ポートは「80番」であり、宛先ポートには所定の値が設定されている。更に、コントロールフラグSYN=0であり、ACK=1である。
【0118】
なお、図14のエントリー0、図15のエントリー0,1、図16のエントリー0,1には以上の場合におけるフィルタリングの設定例を示している。また、動作モードを不明パケットを破棄するモードにしておけば、公開WEBサーバのTCPポート番号80番(HTTPプロトコル)以外へのポートへのアクセスを禁止することが可能になる。
【0119】
(2)LANからDMZへ設置された公開サーバ70へのアクセス
LAN60にあるLANクライアント100からDMZへ置かれた公開サーバ70へアクセスし、基本的な3ウエイ・ハンドシェイクによりTCPコネクションの確立を行う場合のデータの流れを以下に説明する。
【0120】
図22は、LAN60に接続されたLANクライアント100から公開サーバ70へのアクセス時のデータの流れを示す。なお、公開サーバ70には、グローバルアドレスが割り当てられているとする。
【0121】
LANクライアント100から公開サーバ70へのパケットの流れは、実線S1〜S4の経路を辿る。
図23は、このときのデータフローを示す図である。この図に示すように、LANクライアント100からアクセスがなされた場合、宛先IPアドレスは公開サーバ70のIPアドレスが設定され、また、送信元IPアドレスとしてはLANクライアント100のIPアドレスが設定されている。また、宛先ポートは「80番」であり、送信元ポートには所定の値が設定されている。更に、コントロールフラグSYN=1であり、ACK=0である。
【0122】
このようなパケットは、先ず、物理ポート0番、即ち、ポート#0を介して入力され、フィルタdを介してマイクロプロセッサ機構50に供給される。
ここで、図5に示す例を参照すると、先ず、MACブロック41から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタdを経由して、キューイング機構49へ供給される。そして、キューイング機構49では、公開サーバ70へ宛てられたパケットであることから、インターフェースブロック46に対応するリンクバッファに格納された後、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給される。
【0123】
マイクロプロセッサ機構50においてルーティング処理がなされたパケットは、再度インターフェースブロック46を経由して、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由した後、キューイング機構49に供給される。
【0124】
キューイング機構49では、公開サーバ70に対応するリンクバッファに格納された後、MACブロック44を経由し、公開サーバ70に供給される。
次に、公開サーバ70は、図24に示すように、要求を行ったLANクライアント100に対してパケットを送信する。
【0125】
このパケットでは、宛先IPアドレスはLANクライアント100のIPアドレスが設定され、また、送信元IPアドレスとしては公開サーバ70のIPアドレスが設定されている。また、宛先ポートには所定の値が設定され、送信元ポートには「80番」が設定されている。更に、コントロールフラグSYN=1であり、ACK=1である。
【0126】
このようなパケットは、図22に示すように、破線で示すS5〜S8の経路を辿ってLANクライアント100に対して送りつけられる。
即ち、図5を参照して説明すると、公開サーバ70が接続されたMACブロック44から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタcを経由し、キューイング機構49に供給され、マイクロプロセッサ機構50に対応するリンクバッファに格納される。
【0127】
そして、キューイング機構49から出力されたパケットは、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給され、ルーティング処理を受けた後、再度インターフェースブロック46を経由し、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由し、キューイング機構49のLANクライアント100に対応するリンクバッファに格納される。
【0128】
キューイング機構49から出力されたパケットは、MACブロック41を経由して、LANクライアント100に送り届けられる。
それ以降の通信処理においては、図25に示すようなパケットがLANクライアント100から送信されることになる。即ち、このパケットでは、宛先IPアドレスとしては公開サーバ70のIPアドレスが設定され、また、送信元IPアドレスとしてはLANクライアント100のIPアドレスが設定されている。また、宛先ポートは「80番」であり、送信元ポートには所定の値が設定されている。更に、コントロールフラグSYN=0であり、ACK=1である。
【0129】
また、公開サーバ70からは、図26に示すようなパケットがLANクライアント100へ送信されることになる。即ち、このパケットでは、宛先IPアドレスはLANクライアント100のIPアドレスが設定され、また、送信元IPアドレスとしては公開サーバ70のIPアドレスが設定されている。また、送信元ポートは「80番」であり、宛先ポートには所定の値が設定されている。更に、コントロールフラグSYN=0であり、ACK=1である。
【0130】
図14のエントリー0、図15のエントリー0,1、図16のエントリー0,1は以上の場合のフィルタリングの設定例を示している。
また、公開サーバ70が外部の悪質なクラッカーに乗っ取られたとしても、重要なデータベースを置いているLANクライアント100へのアクセスを防ぐための設定例を、図14のエントリー1、図15のエントリー2、図16のエントリー2に示している。
【0131】
(3)LANとWAN間でのデータ転送
LAN60側からWAN80に置かれた公開サーバ(例えばISPのサーバ)へアクセスし、基本的な3ウエイ・ハンドシェイクによりTCPコネクションの確立を行う場合のデータの流れを説明する。
【0132】
図27にLANクライアント100から外部公開サーバ110へのアクセス時のデータの流れを示す。
LANクライアント100から外部公開サーバ110へのデータパケットの流れは、実線で示すS1〜S4の経路を辿る。
【0133】
図28は、このときのデータフローを示す図である。この図に示すように、LANクライアント100からアクセスがなされた場合、宛先IPアドレスは外部公開サーバ110のIPアドレスが設定され、また、送信元IPアドレスとしてはLANクライアント100のIPアドレスが設定される。また、宛先ポートは「80番」であり、送信元ポートには所定の値が設定される。更に、コントロールフラグSYN=1であり、ACK=0である。
【0134】
このようなパケットは、先ず、物理ポート0番、即ち、ポート#0を介して入力され、フィルタdを介してマイクロプロセッサ機構50に供給される。
ここで、図5に示す例を参照すると、先ず、MACブロック41から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタdを経由して、キューイング機構49へ供給される。
【0135】
そして、キューイング機構49では、外部公開サーバ110へ宛てられたパケットであることから、インターフェースブロック46に対応するリンクバッファに格納された後、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給される。
【0136】
マイクロプロセッサ機構50においてルーティング処理が施されたパケットは、再度インターフェースブロック46を経由して、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由した後、キューイング機構49に供給される。
【0137】
キューイング機構49では、外部公開サーバ110に対応するリンクバッファに格納された後、MACブロック45を経由し、外部公開サーバ110に供給される。
【0138】
次に、外部公開サーバ110は、図29に示すパケットを、要求を行ったLANクライアント100に対して送信する。即ち、このパケットでは、宛先IPアドレスはLANクライアント100のIPアドレスが設定され、また、送信元IPアドレスとしては外部公開サーバ110のIPアドレスが設定されている。また、宛先ポートには所定の値が設定され、送信元ポートは「80番」である。更に、コントロールフラグSYN=1であり、ACK=1である。
【0139】
このようなパケットは、図27に示すように、破線で示すS5〜S8の経路を辿ってLANクライアント100に対して送りつけられる。
即ち、図5を参照して説明すると、外部公開サーバ110が接続されたMACブロック45から入力されたパケットは、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタaを経由し、キューイング機構49に供給され、マイクロプロセッサ機構50に対応するリンクバッファに格納される。
【0140】
そして、キューイング機構49から出力されたパケットは、インターフェースブロック46を経由して、マイクロプロセッサ機構50に供給され、そこで所定の処理を受けた後、再度インターフェースブロック46を経由し、MACアドレステーブル参照機構47およびフィルタリング機構48によって実現されるフィルタbを経由し、キューイング機構49のLANクライアント100に対応するリンクバッファに格納される。
【0141】
キューイング機構49から出力されたパケットは、MACブロック41を経由して、LANクライアント100に送り届けられる。
それ以降の通信処理においては、図30に示すように、LANクライアント100からパケットが送信されることになる。即ち、このパケットでは、宛先IPアドレスは外部公開サーバ110のIPアドレスが設定され、また、送信元IPアドレスとしてはLANクライアント100のIPアドレスが設定されている。また、宛先ポートは「80番」であり、送信元ポートには所定の値が設定される。更に、コントロールフラグSYN=0であり、ACK=1である。
【0142】
また、外部公開サーバ110からは、図31に示すようなパケットがLANクライアント100へ送信されることになる。即ち、このパケットでは、宛先IPアドレスはLANクライアント100のIPアドレスが設定され、また、送信元IPアドレスとしては外部公開サーバ110のIPアドレスが設定されている。また、送信元ポートは「80番」であり、宛先ポートには所定の値が設定されている。更に、コントロールフラグSYN=0であり、ACK=1である。
【0143】
図14のエントリー1、図15のエントリー3,4、図16のエントリー3,4にはこの場合のフィルタリングの設定例を示している。更に、図1のエントリー5は、外部からのACK=0での進入、即ち、外部からの主体的な接続要求を伴う進入を防止している。
【0144】
以上の処理によれば、複数のポートから入力されたパケットを、その入力されたパケットと、パケットのヘッダ情報とを参照し、フィルタリングするようにしたので、簡易な構成により、DMZを実現することが可能になる。
【0145】
また、WAN80からLAN60の所定のノードに対する接続要求があった場合には、そのパケットは破棄するようにしたので、外部からLAN60への不正なアクセスがなされることを防止することが可能になる。
【0146】
更に、外部公開サーバ110からLAN60の所定のノードに対する接続要求があった場合には、そのパケットは破棄するようにしたので、外部公開サーバ110が乗っ取られて、そこを足がかりとして、LAN60のノードが攻撃されることを防止することができる。
【0147】
続いて、以上の実施の形態により、柔軟なVPN(Virtual Private Network)を実現するための具体例を以下に示す。
当該機構と既存のVPNパッケージと呼ばれるソフトウェアパッケージを併用することで、柔軟なセキュリティーを構築することが可能となる。VPNソフトではIPSecが代表的な例であるので、以下、これをベースに話をすすめる。
【0148】
図32に、通常のIPパケットとVPNパケットの違いを示す。図32(A)は、通常のIPパケットを示しており、図32(B)はVPNパケットを示している。この図の比較から分かるように、VPNパケットの場合には、IPヘッダ以外は暗号化されている。
【0149】
図33のようにファイアウォール152とVPN装置151を設置した場合、ファイアウォール152には、通常のIPパケットとVPNパケットが流れこむ。VPNパケットはレイヤー4以上の情報(TCP/UDPポート番号等)を暗号化しているため、ファイアウォール152においては、レイヤー4以上の情報に基づくフィルタリングはできない。
【0150】
VPN装置151は、取り込んだVPNパケットの暗号化部を復号化することで、通常のIPパケットとする。その後、内部にあるルータ150へ渡す。
このようなシステム構成にすると、VPN装置151により認証され、復号化されたデータパケットには何もフィルタリングが実行されず、LANへの柔軟なセキュリティポリシーの制御ができないという問題がある。
【0151】
そこで、この問題を解決するシステム構成例としては、図34に示すように、LAN側にファイアウォール153をもう一台設置する方法が考えられるが、このような方法は、管理技術的にもコスト的にも高度となる。
【0152】
そこで、本実施の形態を利用することで、安価でコンパクトなシステムを実現できる。
即ち、図35に示すようにマイクロプロセッサ機構50にVPN装置を実現するためのソフトウエアを搭載する。この例では、DMZに設置された公開サーバ70へ向けて送信されたVPNパケットに対して、フィルタリングが実行される過程を示す。
【0153】
VPNパケットは、レイヤー4以上の情報が暗号化されているため、図16のL4テーブルによるフィルタリングは実行されず、図15のL3テーブルベースでマイクロプロセッサ機構50へ転送される。つまり、フィルタaを通過する。
【0154】
そして、マイクロプロセッサ機構50の処理により、認証され、暗号化部を復号した後、公開サーバ70へ向かうが、このときは、レイヤー4の情報が参照可能となっているため、フィルタbにおいてフィルタリングが実行される。
【0155】
即ち、図16のL4テーブルに設定されているようにTCPポート番号80番以外のものはフィルタリングされることになる。
逆に、DMZの公開サーバ70からのパケットもフィルタcにおいてフィルタリングを実行された後に、マイクロプロセッサ機構50で暗号化され、VPNパケットとしてWAN80側へ転送される。
【0156】
以上の構成によれば、簡易な構成により、VPNを容易に実現することが可能になる。
なお、図2に示す本実施の形態のパケット転送装置を半導体基板上に形成し、半導体装置として実施することも可能である。また、パケット転送装置40のみならず、マイクロプロセッサ機構50も同一の半導体基板上に形成し、これらを半導体装置として実施することも可能である。
【0157】
なお、以上の実施の形態では、LAN60、公開サーバ70、および、WAN80が接続されるポートはそれぞれ1のみとしたが、これらを必要に応じて複数個具備することも可能であることはいうまでもない。
【0158】
また、以上の実施の形態では、ハードウエアにより本発明を実施する場合を説明したが、例えば、ソフトウエアにより同等の機能を実施することも可能であることはいうまでもない。
【0159】
更に、図6および図11〜図16に示すテーブルはほんの一例であり、本発明がこのような場合のみに限定されるものではないことはいうまでもない。
更にまた、以上の実施の形態では、図6および図11〜図16に示すテーブルの内容は、LAN60に接続されている、権限を有するユーザのクライアントから書き換え可能とすることも可能である。そのような構成によれば、用途に応じて適切な処理を行うことが可能になる。
【0160】
更にまた、以上の実施の形態では、図6および図11〜図16に示すテーブルを初期設定後は、変更しないことを前提として説明したが、ネットワークの状態に応じて、テーブルの内容を適宜変更するようにしてもよいことはいうまでもない。そのような方法によれば、時々刻々と変化するネットワークの状況に応じて、最適なフィルタリングを実行することが可能になる。
【0161】
(付記1) パケットを転送するパケット転送装置において、
LANが接続される第1のポートと、
公開サーバが接続される第2のポートと、
WANが接続される第3のポートと、
前記第1のポート、前記第2のポート又は前記第3のポートから入力されたパケットの属性に応じてフィルタリングを行うフィルタリング手段と、
前記フィルタリング手段によって破棄の対象とならなかったパケットに対してルーティング処理を施すルーティング手段と、
を有することを特徴とするパケット転送装置。
【0162】
(付記2) 前記フィルタリング手段のフィルタリングの条件を設定するフィルタリング条件設定手段を有し、
前記フィルタリング手段は、前記フィルタリング条件設定手段によって設定された条件を参照してフィルタリングを行うことを特徴とする付記1記載のパケット転送装置。
【0163】
(付記3) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを破棄することを特徴とする付記2記載のパケット転送装置。
【0164】
(付記4) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを通過させることを特徴とする付記2記載のパケット転送装置。
【0165】
(付記5) 前記フィルタリング手段は、前記第3のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記1記載のパケット転送装置。
【0166】
(付記6) 前記フィルタリング手段は、前記第2のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記1記載のパケット転送装置。
【0167】
(付記7) 前記第3のポートから入力されたパケットを復号して前記第2のポートへ供給する復号手段と、
前記第2のポートから入力されたパケットを暗号化して前記第3のポートへ供給する暗号化手段と、
を更に有することを特徴とする付記1記載のパケット転送装置。
【0168】
(付記8) パケットを転送するパケット転送装置が有する半導体装置において、
LANが接続される第1のポートと、
公開サーバが接続される第2のポートと、
WANが接続される第3のポートと、
前記第1のポート、前記第2のポート又は前記第3のポートから入力されたパケットの属性に応じてフィルタリングを行うフィルタリング手段と、
前記フィルタリング手段によって破棄の対象とならなかったパケットに対してルーティング処理を施すルーティング手段と、
を有することを特徴とする半導体装置。
【0169】
(付記9) 前記フィルタリング手段のフィルタリングの条件を設定するフィルタリング条件設定手段を有し、
前記フィルタリング手段は、前記フィルタリング条件設定手段によって設定された条件を参照してフィルタリングを行うことを特徴とする付記8記載の半導体装置。
【0170】
(付記10) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを破棄することを特徴とする付記9記載の半導体装置。
【0171】
(付記11) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを通過させることを特徴とする付記9記載の半導体装置。
【0172】
(付記12) 前記フィルタリング手段は、前記第3のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記8記載の半導体装置。
【0173】
(付記13) 前記フィルタリング手段は、前記第2のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記8記載の半導体装置。
【0174】
(付記14) 前記第3のポートから入力されたパケットを復号して前記第2のポートへ供給する復号手段と、
前記第2のポートから入力されたパケットを暗号化して前記第3のポートへ供給する暗号化手段と、
を更に有することを特徴とする付記8記載の半導体装置。
【0175】
(付記15) LAN、公開サーバ、WAN、および、これらの間でパケットを転送するパケット転送装置を有するパケット転送システムにおいて、
前記パケット転送装置は、
LANが接続される第1のポートと、
公開サーバが接続される第2のポートと、
WANが接続される第3のポートと、
前記第1のポート、前記第2のポート又は前記第3のポートから入力されたパケットの属性に応じてフィルタリングを行うフィルタリング手段と、
前記フィルタリング手段によって破棄の対象とならなかったパケットに対してルーティング処理を施すルーティング手段と、
を有することを特徴とするパケット転送システム。
【0176】
(付記16) 前記フィルタリング手段のフィルタリングの条件を設定するフィルタリング条件設定手段を有し、
前記フィルタリング手段は、前記フィルタリング条件設定手段によって設定された条件を参照してフィルタリングを行うことを特徴とする付記15記載のパケット転送システム。
【0177】
(付記17) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを破棄することを特徴とする付記16記載のパケット転送システム。
【0178】
(付記18) 前記フィルタリング手段は、前記フィルタリング条件設定手段のいずれの条件にも該当しない場合には、当該パケットを通過させることを特徴とする付記16記載のパケット転送システム。
【0179】
(付記19) 前記フィルタリング手段は、前記第3のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記15記載のパケット転送システム。
【0180】
(付記20) 前記フィルタリング手段は、前記第2のポートから入力されたパケットが、前記第1のポートに接続されているノードに接続要求を行っている場合には、そのパケットは不正パケットとして破棄することを特徴とする付記15記載のパケット転送システム。
【0181】
(付記21) 前記第3のポートから入力されたパケットを復号して前記第2のポートへ供給する復号手段と、
前記第2のポートから入力されたパケットを暗号化して前記第3のポートへ供給する暗号化手段と、
を更に有することを特徴とする付記15記載のパケット転送システム。
【0182】
【発明の効果】
以上説明したように本発明では、公開サーバから転送された暗号化前のパケットは、第1のフィルタリング手段によりフィルタリング処理された後、第1の手段によって暗号化される。この暗号化パケットは、第3のフィルタリング手段によりフィルタリング処理され、外部へ転送される。一方、外部から入力した暗号化パケットは、第2のフィルタリング手段でフィルタリング処理された後、第1の手段によって復号化される。この復号化パケットは、第3のフィルタリング手段によりフィルタリング処理され、公開サーバへ転送される。このように、従来2個必要であったフィルタリング手段を、第3のフィルタリング手段で共用化することができる。この結果、パケット転送装置を安価且つコンパクトに構成することが可能となる。
【図面の簡単な説明】
【図1】本発明の動作原理を説明する原理図である。
【図2】本発明の実施の形態の構成例を示す図である。
【図3】複数のポートを有するイーサネット(登録商標)のMACアドレスに基づくスイッチング機構をベースにした構成例を示す図である。
【図4】マイクロプロセッサ機構とパケット転送装置との間でデータを転送する他の方法を示す図である。
【図5】パケット転送装置の詳細な構成例を示す図である。
【図6】MACアドレステーブルの一例を示す図である。
【図7】キューイング機構の動作を説明するための図である。
【図8】インターフェースブロックの詳細な構成例を示す図である。
【図9】MACブロックの詳細な構成例を示す図である。
【図10】フィルタリング機構の詳細な構成例を示す図である。
【図11】転送指示用ディスクリプタのフォーマットの一例を示す図である。
【図12】ネットワーク層プロトコルタイプテーブルを示す図である。
【図13】ICMPテーブルの一例を示す図である。
【図14】IPアドレス登録テーブルの一例を示す図である。
【図15】L3テーブルの一例を示す図である。
【図16】L4テーブルの一例を示す図である。
【図17】WANに接続された外部クライアントから公開サーバへのアクセス時のデータの流れを示す図である。
【図18】外部クライアントから公開サーバへアクセスする際のデータの流れを示す図である。
【図19】公開サーバから外部クライアントへアクセスする際のデータの流れを示す図である。
【図20】外部クライアントから公開サーバへアクセスする際のデータの流れを示す図である。
【図21】公開サーバから外部クライアントへアクセスする際のデータの流れを示す図である。
【図22】LANに接続されたLANクライアントから公開サーバへのアクセス時のデータの流れを示す図である。
【図23】LANクライアントから公開サーバへアクセスする際のデータの流れを示す図である。
【図24】公開サーバからLANクライアントへアクセスする際のデータの流れを示す図である。
【図25】LANクライアントから公開サーバへアクセスする際のデータの流れを示す図である。
【図26】公開サーバからLANクライアントへアクセスする際のデータの流れを示す図である。
【図27】LANに接続されたLANクライアントから外部公開サーバへのアクセス時のデータの流れを示す図である。
【図28】LANクライアントから外部公開サーバへアクセスする際のデータの流れを示す図である。
【図29】外部公開サーバからLANクライアントへアクセスする際のデータの流れを示す図である。
【図30】LANクライアントから外部公開サーバへアクセスする際のデータの流れを示す図である。
【図31】外部公開サーバからLANクライアントへアクセスする際のデータの流れを示す図である。
【図32】通常のIPパケットとVPNパケットとの相違を示す図である。
【図33】従来におけるVPNの構成例である。
【図34】従来におけるVPNの他の構成例である。
【図35】本実施の形態を用いたVPNの構成例である。
【図36】従来におけるDMZの構成例を示す図である。
【符号の説明】
1 パケット転送装置
1a 第1のポート
1b 第2のポート
1c 第3のポート
1d フィルタリング手段
1e ルーティング手段
2 LAN
3 公開サーバ
4 WAN
40 パケット転送装置
41〜45 MACブロック
41a MIIバスインターフェースコントローラ
41b CRCジェネレータ
41c TX FIFO
41d RX FIFO
41e ステータスレジスタ
41f キャプチャユニット
41g キューイング機構インターフェース
46 インターフェースブロック
46a キューイング機構インターフェース
46b デュアルポートRAM
46c デュアルポートRAM
46d ステータスレジスタ
46e マイクロプロセッサインターフェース
46f キャプチャユニット
47 MACアドレステーブル参照機構
48 フィルタリング機構
48a ラウンドロビンアービター
48b 比較器
48c フィルタリング用テーブル
49 キューイング機構
50 マイクロプロセッサ機構
60 LAN
70 公開サーバ
80 WAN

Claims (3)

  1. パケットを暗号化及び復号化する機能を有する第1の手段が接続され、且つ、LANが接続される第1のポートと、公開サーバが接続される第2のポートと、WANが接続される第3のポートとを有するパケット転送装置において、
    前記第2のポートから入力されたパケットをフィルタリングし、前記第1の手段に出力する第1のフィルタリング手段と、
    前記第3のポートから入力されたパケットをフィルタリングし、前記第1の手段に出力する第2のフィルタリング手段と、
    前記第1の手段により暗号化された前記第1のフィルタリング手段からのパケットを入力し、前記暗号化されたパケットのフィルタリングを行い、且つ、前記第1の手段により復号化された前記第2のフィルタリング手段からのパケットを入力し、前記復号化されたパケットのフィルタリングを行う第3のフィルタリング手段とを有する、
    ことを特徴とするパケット転送装置。
  2. 前記第1の手段は、前記パケットを暗号化する機能と前記パケットを復号化する機能とを有するソフトウェアが搭載された半導体装置である、
    ことを特徴とする請求項1記載のパケット転送装置。
  3. パケットを暗号化及び復号化する機能を有する第1の手段が接続され、LANが接続される第1のポートと、公開サーバが接続される第2のポートと、WANが接続される第3のポートとを有するパケット転送装置が半導体基板上に形成された半導体装置において、
    前記第2のポートから入力されたパケットをフィルタリングし、前記第1の手段に出力する第1のフィルタリング手段と、
    前記第3のポートから入力されたパケットをフィルタリングし、前記第1の手段に出力する第2のフィルタリング手段と、
    前記第1の手段により暗号化された前記第1のフィルタリング手段からのパケットを入力し、前記暗号化された前記第1のフィルタリング手段からのパケットのフィルタリングを行い、且つ、前記第1の手段により復号化された前記第2のフィルタリング手段からのパケットを入力し、前記復号化されたパケットのフィルタリングを行う第3のフィルタリング手段とを有する、
    ことを特徴とする半導体装置。
JP2001147324A 2001-05-17 2001-05-17 パケット転送装置、半導体装置 Expired - Fee Related JP3874628B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001147324A JP3874628B2 (ja) 2001-05-17 2001-05-17 パケット転送装置、半導体装置
US09/962,118 US7471690B2 (en) 2001-05-17 2001-09-26 Packet transfer device, semiconductor device and packet transfer system
TW90125314A TW515173B (en) 2001-05-17 2001-10-12 Packet transfer device, semiconductor device and packet transfer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001147324A JP3874628B2 (ja) 2001-05-17 2001-05-17 パケット転送装置、半導体装置

Publications (2)

Publication Number Publication Date
JP2002344530A JP2002344530A (ja) 2002-11-29
JP3874628B2 true JP3874628B2 (ja) 2007-01-31

Family

ID=18992827

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001147324A Expired - Fee Related JP3874628B2 (ja) 2001-05-17 2001-05-17 パケット転送装置、半導体装置

Country Status (3)

Country Link
US (1) US7471690B2 (ja)
JP (1) JP3874628B2 (ja)
TW (1) TW515173B (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3564117B2 (ja) 2002-07-01 2004-09-08 株式会社バッファロー 無線lan装置
WO2004047375A1 (en) * 2002-11-15 2004-06-03 Infineon Technologies Ag Reducing the memory requirements of a data switch
US20040196841A1 (en) * 2003-04-04 2004-10-07 Tudor Alexander L. Assisted port monitoring with distributed filtering
EP1614037A4 (en) * 2003-04-15 2008-04-16 Thomson Licensing METHOD AND APPARATUS FOR CONFIGURING A ROUTER PORT
US7404205B2 (en) 2003-06-03 2008-07-22 Hewlett-Packard Development Company, L.P. System for controlling client-server connection requests
US7660794B2 (en) 2003-06-03 2010-02-09 Hewlett-Packard Development Company, L.P. Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database
US7318097B2 (en) 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US20050198362A1 (en) * 2003-12-31 2005-09-08 Navada Muraleedhara H. Exception packet forwarding
US7639684B2 (en) * 2004-12-23 2009-12-29 Infineon Technologies Ag Modified ethernet switch
ATE373399T1 (de) * 2005-03-04 2007-09-15 Alcatel Lucent Vermittlung für integrierte telekommunikationssnetzwerke
JP4457058B2 (ja) * 2005-08-26 2010-04-28 アラクサラネットワークス株式会社 フィルタリングを備えるパケット転送装置
US7802296B2 (en) * 2006-08-23 2010-09-21 Cisco Technology, Inc. Method and system for identifying and processing secure data frames
EP1892883A1 (en) * 2006-08-23 2008-02-27 Thomson Telecom Belgium Method and device for identifying and selecting an interface to access a network
US20080059619A1 (en) * 2006-08-31 2008-03-06 Microsoft Corporation Configuring a Perimeter Network
JP4762161B2 (ja) * 2007-01-19 2011-08-31 富士通株式会社 ネットワーク装置、ネットワーク冗長接続方法およびネットワーク冗長接続プログラム
US7889748B1 (en) * 2007-02-02 2011-02-15 Gigamon Llc. Mapping a port on a packet switch appliance
JP5184922B2 (ja) * 2008-03-07 2013-04-17 株式会社アイ・オー・データ機器 ルータ装置
JP2009290332A (ja) * 2008-05-27 2009-12-10 Fujitsu Ltd 接続確認機能を有する伝送装置
JP5242301B2 (ja) * 2008-09-01 2013-07-24 株式会社東芝 メッセージを転送する装置、出力方法および出力プログラム
JP5609519B2 (ja) * 2010-10-07 2014-10-22 アイコム株式会社 Sip機器
US20140161133A1 (en) * 2012-12-11 2014-06-12 Thomson Licensing METHOD AND APPARATUS FOR IMPROVED QoS ACTIVATION
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
JP6138714B2 (ja) * 2014-03-03 2017-05-31 アラクサラネットワークス株式会社 通信装置および通信装置における通信制御方法
US9998434B2 (en) * 2015-01-26 2018-06-12 Listat Ltd. Secure dynamic communication network and protocol
CN105007227B (zh) * 2015-06-15 2018-05-11 深圳市共进电子股份有限公司 路由器及其封装结构
US10979390B2 (en) * 2017-08-25 2021-04-13 Panasonic Intellectual Property Corporation Of America Communication security apparatus, control method, and storage medium storing a program
CN110086707B (zh) * 2019-03-18 2021-08-06 普联技术有限公司 一种基于双协议栈的网关系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4189076B2 (ja) * 1999-03-26 2008-12-03 株式会社東芝 耐障害コンピュータシステム
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US6529897B1 (en) * 2000-03-31 2003-03-04 International Business Machines Corporation Method and system for testing filter rules using caching and a tree structure

Also Published As

Publication number Publication date
US7471690B2 (en) 2008-12-30
JP2002344530A (ja) 2002-11-29
TW515173B (en) 2002-12-21
US20020176426A1 (en) 2002-11-28

Similar Documents

Publication Publication Date Title
JP3874628B2 (ja) パケット転送装置、半導体装置
EP3298719B1 (en) Network device and method for processing a session using a packet signature
JP4327575B2 (ja) 動的ファイアウォールシステム
US6708218B1 (en) IpSec performance enhancement using a hardware-based parallel process
CN101040496B (zh) Vpn网关设备和主机系统
US7536715B2 (en) Distributed firewall system and method
JP2006101051A (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP3563714B2 (ja) ネットワーク間接続装置
US20090122784A1 (en) Method and device for implementing the security of the backbone network
Monia et al. iFCP-a protocol for internet fibre channel storage networking
US8146144B2 (en) Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium
JP2001249866A (ja) ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
JP4011528B2 (ja) ネットワーク仮想化システム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
JP2006067057A (ja) ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
US7653071B1 (en) Router having a single CPU MAC
Cisco Intranet and Extranet VPN Business Scenarios
Cisco Configuring Security Features
JP4461017B2 (ja) データパケットルーティング方法及び当該方法を実現するための装置
WO2001091418A2 (en) Distributed firewall system and method
JP2001313663A (ja) 排他的論理ネットワークアクセス制御方法及び装置
JP2002271417A (ja) トンネリング装置
JP2004274666A (ja) 暗号装置及びコンソール端末及び管理装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061024

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061024

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091102

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 7

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees