JP4131203B2 - セキュリティゲートウェイルータ装置およびセッションテーブル管理方法 - Google Patents

セキュリティゲートウェイルータ装置およびセッションテーブル管理方法 Download PDF

Info

Publication number
JP4131203B2
JP4131203B2 JP2003180473A JP2003180473A JP4131203B2 JP 4131203 B2 JP4131203 B2 JP 4131203B2 JP 2003180473 A JP2003180473 A JP 2003180473A JP 2003180473 A JP2003180473 A JP 2003180473A JP 4131203 B2 JP4131203 B2 JP 4131203B2
Authority
JP
Japan
Prior art keywords
session
return direction
return
session table
communication packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003180473A
Other languages
English (en)
Other versions
JP2005020222A (ja
Inventor
大 鎮目
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003180473A priority Critical patent/JP4131203B2/ja
Publication of JP2005020222A publication Critical patent/JP2005020222A/ja
Application granted granted Critical
Publication of JP4131203B2 publication Critical patent/JP4131203B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
本発明はセキュリティゲートウェイルータ装置およびセッションテーブル管理方法に関し、特にセッションテーブルを用いて動的NAT/NAPT(Network Address Translation/Network Address Port Translation)機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置およびセッションテーブル管理方法に関する。
【0002】
【従来の技術】
IP(Internet Protocol)ネットワークにおいてLAN(Local Area Network)等の内部ネットワークとWAN(Wide Area Network)等の外部ネットワークとの間に配備されるセキュリティゲートウェイルータ装置では、動的パケットフィルタ機能(ファイヤウォール機能),動的NAT/NAPT(ネットワークアドレス/ポート変換)機能,ロードバランス(負荷分散)機能等の複数の機能が同時に要求される。
【0003】
従来、これらの機能は、各々の装置または機能ブロックにより各々のセッションテーブル(レイヤ4レベルでの通信を管理するテーブル)を利用して実現されている。
【0004】
図6は、従来のセキュリティゲートウェイルータ装置の一例を示すブロック図である。このセキュリティゲートウェイルータ装置は、戻り方向動的NAT/NAPT部D−1と、戻り方向ACL(ACCESS ControL List)ルックアップ部D−2と、戻り方向動的パケットフィルタ部D−3と、戻り方向ルータ部D−4と、開始方向ルータ部E−1と、開始方向動的パケットフィルタ部E−2と、開始方向ACLルックアップ部E−3と、開始方向動的NAT/NAPT部E−4と、NAT/NAPTセッションマネージャプロセスF−1と、動的フィルタセッションマネージャプロセスF−2と、戻り方向NAT/NAPTセッションテーブルU−1と、戻り方向ACLU−2と、戻り方向フィルタセッションテーブルU−3と、開始方向フィルタセッションテーブルU−5と、開始方向ACLU−6と、開始方向NAT/NAPTセッションテーブルU−7とから構成されている。
【0005】
次に、この従来のセキュリティゲートウェイルータ装置の動作について、図7のフローチャートを参照しながら説明する。
【0006】
開始方向ルータ部E−1は、開始方向通信パケットの転送先を解決する。通信セッションは、開始方向ルータ部E−1により送信側プロセスに転送されてくる。
【0007】
次に、開始方向動的パケットフィルタ部E−2は、開始方向フィルタセッションテーブルU−5を検索して(ステップS102)、開始方向通信パケットの通過可否を判断する。ここで、通信セッションの最初のパケット受信時には、開始方向フィルタセッションテーブルU−5にセッションエントリは存在しない。この場合、開始方向動的パケットフィルタ部E−2は、開始方向セッションテーブルU−2の検索の結果、セッションエントリ無しと判定し(ステップS103でノー)、ソフトウェアプロセスへパケット処理を引き渡す。具体的には、動的パケットフィルタセッションマネージャプロセスF−2がパケット処理を引き取る。
【0008】
動的パケットフィルタセッションマネージャプロセスF−2は、動的パケットフィルタ機能が適用される場合(ステップS113でイエス)、ステート監視制御を行う(ステップS114)。
【0009】
次に、動的パケットフィルタセッションマネージャプロセスF−2は、開始方向フィルタセッションテーブルU−5と、戻り方向通信を予測し評価して戻り方向フィルタセッションテーブルU−3とを生成してセッションエントリを登録する(ステップS115およびステップS116)。ここで、戻り方向通信パケットは、開始方向通信パケットのIPヘッダおよびL4ヘッダの転送先(Destination)と転送元(Source)とを逆転させたものとなる。例えば、開始方向通信パケットのヘッダがIPDA(Internet Protocol Destination Address)=B,IPSA(Internet Protocol Source Address)=a,Protocol=TCP,L4DP(Layer 4 Destination Port)=d,L4SP(Layer 4 Source Port)=cである場合、戻り方向通信パケットのヘッダはIPDA=a,IPSA=B,Protocol=TCP,L4DP=c,L4SP=dとなる。
【0010】
次に、開始方向ACLルックアップ部E−3は、開始方向ACLU−6の検索を行い、最初の開始方向通信パケットの送信可否を判断する(ステップS101)。(動的パケットフィルタ部E−2より先に処理してもよい)。
【0011】
続いて、開始方向動的NAT/NAPT部E−4は、必要に応じて送信可能な開始方向通信パケットに対して動的NAT/NAPT処理を施す。最初の開始方向通信パケットに関しては、ネットワークアドレス/ポートが割り当てられていないため、開始方向NAT/NAPTセッションテーブルU−7にセッションエントリが無い(ステップS103でノー)。この際、開始方向動的NAT/NAPT部E−4は、開始方向動的パケットフィルタ部E−2と同様な手順で、ソフトウェアプロセスであるNAT/NAPTセッションマネージャプロセスF−1へ処理を引き渡す。
【0012】
NAT/NAPTセッションマネージャプロセスF−1は、動的NAT/NAPT機能の対象であれば(ステップS111でイエス)、ネットワークアドレス/ポートの割当てを行う(ステップS112)。
【0013】
次に、NAT/NAPTセッションマネージャプロセスF−1は、開始方向NAT/NAPTセッションテーブルU−7および戻り方向NAT/NAPTセッションテーブルU−1を生成してセッションエントリを登録する(ステップS115およびステップS116)。開始方向通信パケットに関しては、IPSAおよびL4SPが変換されることになるため、開始方向NAT/NAPTセッションテーブルU−7は、IPDA=B,IPSA=a,Protocol=TCP,L4DP=d,L4SP=cで登録される。この際、開始方向NAT/NAPTセッションテーブルU−7から開始方向通信パケットのNAT/NAPT処理指示が検索可能なように設定する。ハードウェアは、開始方向NAT/NAPTセッションテーブルU−7を検索してネットワークアドレス/ポート変換を実施する。また、戻り方向通信パケットは、グローバルベースの通信に対する戻りであるため、IPDA=A,IPSA=B,Protocol=TCP,L4DP=c,L4SP=dとなり、戻り方向NAT/NAPTセッションテーブルU−1より戻り方向通信パケットに対するNAT/NAPT指定がなされる。
【0014】
最初の開始方向通信パケットが処理されると、開始方向フィルタセッションテーブルU−5および開始方向NAT/NAPTセッションテーブルU−7,ならびに戻り方向NAT/NAPTセッションテーブルU−1および戻り方向フィルタセッションテーブルU−3のセッションエントリが登録され、次の開始方向通信パケットからは開始方向フィルタセッションテーブルU−5および開始方向NAT/NAPTセッションテーブルU−7のセッションエントリ有りと判断され(ステップS103でイエス)、ハードウェアによる転送が行われる。
【0015】
詳しくは、開始方向動的NAT/NAPT部E−4は、開始方向NAT/NAPTセッションテーブルU−7より動的NAT/NAPT情報を取得し(ステップS104)、動的NAT/NAPT機能の対象であれば(ステップS105でイエス)、動的NAT/NAPTのエディット処理を行う(ステップS106)。
【0016】
次に、開始方向動的パケットフィルタ部E−2は、開始方向フィルタセッションテーブルU−5よりステート情報を取得し(ステップS107)、動的パケットフィルタ対象であれば(S108でイエス)、ステートチェックおよび更新処理を行う(ステップS109)。
【0017】
その後、開始方向動的NAT/NAPT部E−4は、開始方向通信パケットを送信する(ステップS110)。
【0018】
一方、戻り方向通信パケットについては、まず始めに、戻り方向ACLルックアップ部D−2が、グローバルアドレスベースで戻り方向ACLU−2の検索を行う(ステップS201)。戻り方向動的NAT/NAPT部D−1の手前で戻り方向通信パケットに対してグローバルアドレスベース(受信時のパケット情報)にて戻り方向ACLU−2の検索が実施される。
【0019】
戻り方向通信パケットで戻り方向NAT/NATPセッションテーブルU−1のセッションエントリが無い場合は(ステップS203でノー)、戻り方向動的NAT/NAPT部D−1は、この戻り方向通信パケットを拒否する(ステップS204)。
【0020】
次に、戻り方向動的NAT/NAPT部D−1は、戻り方向通信パケットに対してネットワークアドレス/ポート変換を行う。開始方向通信パケットが送信された際に戻り方向NAT/NAPTセッションテーブルU−1のセッションエントリが登録されているため(ステップS203でイエス)、戻り方向NAT/NAPTセッションテーブルU−1を検索して戻り方向動的NAT/NAPT部D−1のアクションを解決する。戻り方向NAT/NAPTセッションテーブルU−1を検索すると、通信開始時に登録済みのセッションエントリにヒットする。ここには、開始方向通信に対して払い出したネットワークアドレス/ポートが戻り方向通信に対しても設定されている。具体的には、NAT/NAPT実行,変換アドレス,および変換ポートがアクションテーブルに設定される。
【0021】
戻り方向NAT/NATPセッションテーブルU−1にセッションエントリがある場合は(ステップS203でイエス)、戻り方向動的NAT/NAPT部D−1は、戻り方向通信パケットについてネットワークアドレス/ポート変換を行う。
【0022】
詳しくは、戻り方向動的NAT/NAPT部D−1は、戻り方向セッションテーブルU−1より動的NAT/NAPT情報を取得し(ステップS205)、動的NAT/NAPTの対象であれば(ステップS206でイエス)、動的NAT/NAPTのエディット処理を行う(ステップS207)。
【0023】
次に、戻り方向ACLルックアップ部D−2は、プライベートアドレスに変換した形で戻り方向ACLU−2の検索を実行する(ステップS208)。この際、戻り方向ACLU−2の検索は、ポリシールーティング,QoS(Quality of Service)クラス識別等のために使用されるため、プライベートアドレスベースでの戻り方向ACLU−2の検索が必要となる。
【0024】
続いて、戻り方向動的パケットフィルタ部D−3は、戻り方向フィルタセッションテーブルU−3よりステート情報を取得し(ステップS209)、動的パケットフィルタ対象であれば(S210でイエス)、ステートチェックおよび更新処理を行う(ステップS211)。
【0025】
その後、戻り方向ルータ部D−4は、転送先を解決し、戻り方向通信パケットを転送する(ステップS212)。
【0026】
戻り方向通信パケットに関しては、あらかじめ戻り方向ACLU−4の検索等が先頭の開始方向通信パケットに関して完了しているので、その結果が反映された戻り方向NAT/NAPTセッションテーブルU−1を検索するのみで処理を行うことが可能となる。
【0027】
【発明が解決しようとする課題】
しかしながら、上述した従来のセキュリティゲートウェイルータ装置には、ハードウェアによる実現を考慮する場合、次のような課題がある。
【0028】
第1の課題は、戻り方向NAT/NAPTセッションテーブルおよび戻り方向フィルタセッションテーブルという2つのセッションテーブルを使用しているので、セッションテーブルの検索回数が複数回となるために処理性能が低下するということである。
【0029】
第2の課題は、動的NAT/NAPT機能がある戻り方向通信についてセッションテーブルの検索に加え、戻り方向通信パケットに対する戻り方向ACLの検索処理が全戻り方向通信パケットについて必要になるために処理負荷が高いということである。
【0030】
第3の課題は、動的NAT/NAPT機能および動的パケットフィルタ機能の戻り方向通信について同一インタフェースからの戻りのみしか許可できないということである。ここで、インタフェースとは、ルータなどの通信装置のもつ外部インタフェース(物理回線,論理回線)を意味する。
【0031】
本発明の目的は、セッション確立後の処理性能を向上させるようにしたセキュリティゲートウェイルータ装置を提供することにある。
【0032】
また、本発明の他の目的は、複数インタフェースからの戻り方向通信パケットを許容するセキュリティゲートウェイルータ装置を提供することにある。
【0033】
【課題を解決するための手段】
本発明のセキュリティゲートウェイルータ装置は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部とを有することを特徴とする。
【0034】
また、本発明のセキュリティゲートウェイルータ装置は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部とを有することを特徴とする。
【0035】
さらに、本発明のセキュリティゲートウェイルータ装置は、開始方向通信パケットの転送先を解決する開始方向ルータ部と、開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う開始方向動的NAT/NAPT部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携してネットワークアドレス/ポート割当てを行うNAT/NAPTマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部とを有することを特徴とする。
【0036】
さらに、本発明のセキュリティゲートウェイルータ装置は、開始方向通信パケットの転送先を解決する開始方向ルータ部と、開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う開始方向動的NAT/NAPT部と、新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、前記セッションマネージャプロセスと連携してネットワークアドレス/ポートの割当てを行うNAT/NAPTマネージャプロセスと、前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部とを有することを特徴とする。
【0037】
さらにまた、本発明のセキュリティゲートウェイルータ装置は、前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする。
【0038】
また、本発明のセキュリティゲートウェイルータ装置は、前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする。
【0039】
一方、本発明のセッションテーブル管理方法は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程とを含むことを特徴とする。
【0040】
また、本発明のセッションテーブル管理方法は、セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、開始方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して開始方向ACLを検索する工程と、戻り方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程とを含むことを特徴とする。
【0041】
さらに、本発明のセッションテーブル管理方法は、開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、開始方向動的NAT/NAPT部により開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポート割当てを行う工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程とを含むことを特徴とする。
【0042】
さらにまた、本発明のセッションテーブル管理方法は、開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、開始方向動的NAT/NAPT部により開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う工程と、セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポートの割当てを行う工程と、前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程とを含むことを特徴とする。
【0043】
また、本発明のセッションテーブル管理方法は、前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする。
【0044】
さらに、本発明のセッションテーブル管理方法は、前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする。
【0045】
本発明のセキュリティゲートウェイルータ装置は、動的NAT/NAPTや動的パケットフィルタ等に使用されるセッションテーブルを生成して登録する際に、あらかじめ戻り方向ACLを検索しておくことにより、無駄なセッションテーブルを生成しないこと、また、戻り方向ACLの検索処理を削減できることを特徴としている。さらに、セッションテーブル検索の際にインタフェースをグルーピングし、インタフェースグループIDを用いて管理することにより、複数インタフェースからの戻り方向通信を制御可能としている特徴がある。詳しくは、セッションテーブル検索キーにインタフェース番号を含めると、そのインタフェースからの受信時のみにセッションエントリが見つかる。この場合、戻り方向通信はインタフェース番号で表されるインタフェースからのみしか許可できない。ここで、インタフェースをグルーピングしてインタフェースグループIDを割り当てる。このインタフェースグループIDをインタフェース番号の代わりに割り当てれば、グループに属するインタフェースから受信したものがヒットする。
【0046】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照しながら詳細に説明する。
【0047】
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。本実施の形態に係るセキュリティゲートウェイルータ装置は、戻り方向セッションルックアップ部A−1と、戻り方向動的NAT/NAPT部A−2と、戻り方向動的パケットフィルタ部A−3と、戻り方向ルータ部A−4と、開始方向ルータ部B−1と、開始方向ACLルックアップ部B−2と、開始方向セッションルックアップ部B−3と、開始方向動的パケットフィルタ部B−4と、開始方向動的NAT/NAPT部B−5と、セッションマネージャプロセスC−1と、NAT/NAPTマネージャプロセスC−2と、開始方向ACLルックアッププロセスC−3と、戻り方向ACLルックアッププロセスC−4と、動的パケットフィルタマネージャプロセスC−5と、戻り方向セッションテーブルT−1と、開始方向セッションテーブルT−2と、開始方向ACLT−3と、戻り方向ACLT−4とから構成されている。
【0048】
動的NAT/NAPT機能または動的パケットフィルタ機能を適用する際の開始方向通信について開始方向通信パケットの受信インタフェース(またはインタフェースグループ)を内部ネットワークと定義する。また、開始方向通信パケットの送信インタフェース(またはインタフェースグループ)を外部ネットワークと定義する。
【0049】
セキュリティゲートウェイルータ装置は、パケットをIPレイヤでスイッチする機能を有する。また、セキュリティゲートウェイルータ装置は、静的パケットフィルタ機能を有しており、ACLの設定によりパケット通過の可否を設定可能となっているのが、一般的である。静的パケットフィルタ機能は、ユーザがあらかじめパケットフローを特定して通過可否を指定する機能である。これに対して、動的パケットフィルタ機能は、あるトリガパケット(開始方向通信パケット)に対して動的にフィルタを行う機能である。静的パケットフィルタ機能にて拒否されても、動的パケットフィルタ機能で許可されると、そのパケットの通過を許可する。また、静的パケットフィルタ機能にて許可されても、動的パケットフィルタ機能で拒否されると、そのパケットの通過は拒否される。すなわち、動的パケットフィルタ機能が静的パケットフィルタ機能に優先する関係となっている。
【0050】
このACLによる静的パケットフィルタ機能は、開始方向通信パケットに対するもの,および戻り方向通信パケットに対するものの2種類が設定可能となっている。さらに、開始方向ACLT−3および戻り方向ACLT−4は、パケットフィルタのみではなく、ポリシールーティング,QoSクラス識別,IPsecポリシー識別のためにも使用される。
【0051】
戻り方向セッションテーブルT−1は、開始方向通信セッションに対する戻り方向通信セッションを処理するためのテーブルである。最初の開始方向通信パケットが外部ネットワークへ転送されると同時に、戻り方向セッションテーブルT−1のセッションエントリが生成される。
【0052】
図2を参照すると、戻り方向セッションテーブルT−1をセッション情報(IPDA,IPSA,Protocol,L4等)で検索すると、NAT/NAPTアクショテーブルが得られる。これは、戻り方向セッションテーブルT−1からポインタで指される場合や、もしくは戻り方向セッションテーブルT−1に含まれる場合のどちらでもよい。ここでは、戻り方向セッションテーブルT−1にNAT/NAPTアクションテーブルが含まれているとして考える。NAT/NAPT動作設定とは、NATまたはNAPTの処理指示,変換するアドレス,およびポート情報が設定される。開始方向通信のNATでは、転送元がNATされる。
【0053】
開始方向セッションテーブルT−2は、開始方向通信パケットを処理するためのテーブルである。内部ネットワークから外部ネットワークへ向けて最初の開始方向通信パケットが許可され転送される際に生成される。開始方向セッションテーブルT−2も、戻り方向セッションテーブルT−1と同様の構成を持つ(図2参照)。
【0054】
開始方向ルータ部B−1は、開始方向通信パケットのルーティングを実行(転送先を解決)する機能ブロックである。
【0055】
開始方向ACLルックアップ部B−2は、開始方向通信パケットの通過可否のポリシー,動的NAT/NAPT適用のポリシーなどの、ユーザにより設定されたルールを開始方向ACLT−3から検索する機能ブロックである。
【0056】
開始方向セッションルックアップ部B−3は、開始方向通信パケットの通過可否を判断するために、開始方向セッションテーブルT−2を検索してセッションエントリの有無の判断を行い、セッションエントリ有りの場合はそれに付随する情報を取得する機能ブロックである。開始方向セッションテーブルT−2でセッションエントリの有無が評価されるが、セッションエントリ有りの場合は、開始方向セッションテーブルT−2からフィルタアクションテーブル(動作設定テーブル)およびNAT/NAPTアクションテーブル(動作設定テーブル)がリンクされる。ここでは、これらを含めたテーブルを開始方向セッションテーブルT−2と呼ぶ。セッションテーブル検索キーがセッション情報(IPDA,IPSA,Protocol,L4SP,L4DP等)でそれから得られる情報が、NAT動作,フィルタ動作設定となる。NAT/NAPTアクションテーブルは、具体的には、アクションコード,変換アドレスおよび変換ポートからなる。アクションコードには、NATする,NAPTする,またはNAT/NAPTしないを設定する。変換アドレスには、WANへの送信側ではIPSAをここに設定されたアドレスに書き換えること,およびWANからの受信側ではIPDAをここに設定されたアドレスに書き換えることを設定する。変換ポートは、NAPT/NAPTの際に有効となり、WANへの送信側ではL4SPをここに設定されたポート番号に書き換えること,およびWANからの受信側ではL4DP(Layer 4 Destination Port)をここに設定されたポート番号に書き換えることを設定する。
【0057】
開始方向動的パケットフィルタ部B−4は、開始方向通信パケットについて開始方向セッションテーブルT−2を検索することにより得られた情報を元に動的に開始方向通信パケットの通過可否を判断する機能ブロックである。
【0058】
開始方向動的NAT/NAPT部B−5は、開始方向セッションテーブルT−2の検索により得られた情報を元に動的にネットワークアドレス/ポート変換を行う機能ブロックである。
【0059】
戻り方向セッションルックアップ部A−1は、戻り方向通信パケットについて戻り方向セッションテーブルT−1を検索してセッションエントリの有無を判断し、セッションエントリ有りの場合はそれに付随する情報を取得する機能ブロックである。
【0060】
戻り方向動的NAT/NAPT部A−2は、戻り方向通信パケットについて戻り方向セッションテーブルT−1の検索により得られた情報に基づいて動的NAT/NAPTの処理(ネットワークアドレス/ポート変換)を行う機能ブロックである。
【0061】
戻り方向動的パケットフィルタ部A−3は、戻り方向通信パケットについて戻り方向セッションテーブルT−1の検索により得られた情報に基づいて動的に戻り方向通信パケットの通過可否を判断する機能ブロックである。
【0062】
戻り方向ルータ部A−4は、戻り方向通信パケットの転送先を解決する機能ブロックである。
【0063】
セッションマネージャプロセスC−1は、新規セッションに関して、戻り方向セッションテーブルT−1および開始方向セッションテーブルT−2を生成し、また終了セッションに関して戻り方向セッションテーブルT−1および開始方向セッションテーブルT−2を削除するソフトウェアプロセスである。最初の開始方向通信パケットの受信時には、セッションテーブル生成要求がハードウェアより送られてくる。また、セッションマネージャプロセスC−1は、NAT/NAPTマネージャプロセスC−2,開始方向ACLルックアッププロセスC−3,戻り方向ACLルックアッププロセスC−4,および動的パケットフィルタマネージャプロセスC−5と連携して動作する。
【0064】
NAT/NAPTマネージャプロセスC−2は、戻り方向動的NAT/NAPT部A−2のネットワークアドレス/ポート割当てを行うソフトウェアプロセスである。
【0065】
開始方向ACLルックアッププロセスC−3は、開始方向通信パケットについて、開始方向ACLT−3に基づくパケットフィルタを行うソフトウェアプロセスである。(ただし、開始方向側ハードウェアで機能をサポートしている場合は不要になる。)
【0066】
戻り方向ACLルックアッププロセスC−4は、開始方向通信パケットに対する戻り方向通信パケットについて戻り方向ACLT−4に基づくパケットフィルタ,ポリシールーティング,QoSポリシー,IPsec(IP Security Protocol)ポリシー等のフロー検索を行うソフトウェアプロセスである。(戻り方向側ハードウェアで機能をサポートしている場合でも必要である。)
【0067】
動的パケットフィルタマネージャプロセスC−5は、戻り方向動的パケットフィルタ部A−3および開始方向動的パケットフィルタ部B−4を管理するためのソフトウェアプロセスである。
【0068】
以上、第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を述べたが、NAT/NAPT機能,動的パケットフィルタ機能,ポリシールーティング機能,ルータ機能,ACL検索は、当業者にとってよく知られており、また本発明とは直接関係しないので、その詳細な説明を省略する。
【0069】
次に、このように構成された第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作について、図3に示すフローチャートを参照しながら説明する。ここでは、NAT/NAPT有りセッションの開設時の動作について説明する。
【0070】
初期状態においては、開始方向セッションテーブルT−1および戻り方向セッションテーブルT−2には、セッションエントリは無い。
【0071】
開始方向ルータ部開B−1は、開始方向通信パケットの転送先を解決する。
【0072】
次に、開始方向ACLルックアップ部B−2は、開始方向ACLT−3の検索を行い、最初の開始方向通信パケットの送信可否を判断する。
【0073】
最初に、開始方向通信パケットを受信した際、開始方向セッションルックアップ部B−3は、開始方向セッションテーブルT−2を検索しセッションエントリ無しと判断し、ハードウェアプロセスからソフトウェアプロセスのセッションマネージャプロセスC−1に開始方向通信パケット処理を引き渡す。
【0074】
セッションマネージャプロセスC−1は、開始方向通信パケットについて、開始方向ACLT−3による評価,ネットワークアドレス/ポート割当て,通過可否判断を行えるように、それぞれのソフトウェアプロセスに処理を依頼する。セッションマネージャプロセスC−1は、処理結果を受け取り、セッションテーブル生成の要否を判断する。
【0075】
さらに、セッションマネージャプロセスC−1は、予測される戻り方向通信の形で戻り方向通信パケットを受信すべきインタフェースに適用された戻り方向ACLT−4を評価し、許可された場合のみ戻り方向セッションテーブルT−1を生成する。ここで、“受信すべきインタフェース”は、セキュリティゲートウェイルータ装置がもつ論理的な受信回線を示す。これは、外部インタフェースであり、Ethernet(登録商標),POS(Packet Over Sonet),ATM(Asynchronous Transfer Mode)等の回線において、物理回線もしくはVC(Virtual Channel),VLAN(Virtual LAN)のような論理回線を示す。
【0076】
戻り方向動的NAT/NAPT部A−2との併用においても、開始方向通信パケットの受信時の形(内部アドレスベース)で戻り方向通信を予測し評価する。戻り方向ACLT−4は、IPパケットフィルタの他にポリシールーティング,IPsecポリシー解決等にも使用されるため、これらの処理を開始方向通信の最初の1パケットのみに実施することにより、その後の戻り方向通信パケットについて戻り方向ACLT−4の検索をする必要がなくなる。
【0077】
まず、動的NAT/NAPT機能が適用される場合、通信が開始される方向は、プライベートネットワークからグローバルネットワークへ送信される方向となる。開始方向動的NAT/NAPT部B−5は、セッションが開始される際にネットワークアドレス/ポートを割り当てることにより有限なグローバルアドレスをシェアして使うことになる。
【0078】
ここで、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1のへのセッションエントリ登録方法を、図3のフローチャートを参照して説明する。
【0079】
最初の開始方向通信パケットを受信した際は、開始方向セッションテーブルT−2のセッションエントリはまだ存在しない。この場合、開始方向セッションテーブルT−2の検索の結果(ステップS102)、セッションエントリ無しと判断される(ステップS103でノー)。セッションエントリ無しの開始方向通信パケットは、ソフトウェアプロセスのセッションマネージャプロセスC−1に渡され、開始方向通信パケットであるためにセッションの開設を行う必要がある。
【0080】
セッションマネージャプロセスC−1は、開始方向通信パケットについて開始方向セッションテーブルT−2のセッションエントリを作成する。
【0081】
詳しくは、セッションマネージャプロセスC−1は、動的NAT/NAPT機能が適用される場合(ステップS111でイエス)、NAT/NAPTマネージャプロセスC−2と連携してネットワークアドレス/ポートを割り当てる(ステップS112)。
【0082】
次に、セッションマネージャプロセスC−1は、動的パケットフィルタ機能が適用される場合(ステップS113でイエス)、動的パケットフィルタマネージャプロセスC−5と連携してステート監視制御を行う(ステップS114)。
【0083】
続いて、セッションマネージャプロセスC−1は、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1を変換後(ステップS117)、開始方向ACLルックアッププロセスC−3および戻り方向ACLルックアッププロセスC−4と連携して開始方向ACLT−3および戻り方向ACLT−4を検索して、開始方向通信用セッションおよび戻り方向用セッションを開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1に登録する(ステップS115およびステップS116)。この際、戻り方向ACLT−4の検索を変換前の形で実行し、その結果を戻り方向セッションテーブルT−1へ反映する。ただし、戻り方向通信で拒否されるパケットについては、セッションを登録しないことにする。
【0084】
最初の開始方向通信パケットが処理されると、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1のセッションエントリが登録され、次の開始方向パケットからは開始方向セッションテーブルT−2のセッションエントリ有りと判断され(ステップS103でイエス)、ハードウェアによる転送が行われる。
【0085】
詳しくは、開始方向セッションルックアップ部B−3は、開始方向セッションテーブルT−2より動的NAT/NAPT情報を取得し(ステップS104)、動的NAT/NAPT機能の対象であれば(ステップS105でイエス)、動的NAT/NAPT情報のエディット処理を行う(ステップS106)。
【0086】
次に、開始方向動的パケットフィルタ部B−4は、開始方向セッションテーブルT−2よりステート情報を取得し(ステップS107)、動的パケットフィルタ対象であれば(S108でイエス)、ステートチェックおよび更新処理を行う(ステップS109)。
【0087】
この後、開始方向動的NAT/NAPT部B−5は、開始方向通信パケットを送信する(ステップS110)。
【0088】
一方、戻り方向通信パケットに関しては、あらかじめ戻り方向ACLT−4の検索等が先頭の開始方向通信パケットに関して完了しているので、その結果が反映された戻り方向セッションテーブルT−1を検索するのみで処理を行うことが可能となる。
【0089】
詳しくは、戻り方向通信パケットがあると、戻り方向セッションルックアップ部A−1は、戻り方向ACLT−4を検索し(ステップS201)、戻り方向セッションテーブルT−1を検索し(ステップS202)、セッションエントリがなければ(ステップS203でノー)、戻り方向通信パケットを拒否する(ステップS204)。
【0090】
セッションエントリがあれば(ステップS203でイエス)、戻り方向動的NAT/NAPT部A−1は、戻り方向セッションテーブルT−1より動的NAT/NAPT情報を取得し(ステップS204)、動的NAT/NAPT機能の対象であれば(ステップS205でイエス)、動的NAT/NAPT情報のエディット処理を行う(ステップS206)。
【0091】
次に、戻り方向動的パケットフィルタ部A−3は、戻り方向セッションテーブルT−1よりステート情報を取得し(ステップS209)、動的パケットフィルタ対象であれば(S210でイエス)、ステートチェックおよび更新処理を行う(ステップS211)。
【0092】
その後、戻り方向ルータ部A−4は、戻り方向通信パケットの転送先を解決し、戻り方向通信パケットを転送する(ステップS212)。
【0093】
第1の実施の形態によれば、戻り方向通信パケットの変換後、ACL検索により動的NAT/NAPT変換後のフローの転送先(Destination)と転送元(Source)とを反転した形で戻り、インタフェースのACLを検索して、その結果を戻り方向セッションテーブルT−1に登録しておく。このため、戻り方向通信パケットでは、戻り方向セッションテーブルT−1でヒットしたならば、戻りACLT−4を検索する必要がなくなる。
【0094】
また、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1の作成時に戻り方向通信を予測し評価して戻り方向ACLT−4等の検索処理を実行しているので、戻り方向通信に対するハードウェアによるパケット処理としては戻り方向セッションテーブルT−1の検索処理のみに負荷を低減できる。これにより、戻り方向通信パケットの処理においては、戻り方向動的NAT/NAPT部A−2での変換後の戻り方向ACLT−4の検索処理を削減することができるため、ハードウェアによるパケット転送能力を向上することが可能である。
【0095】
さらに、戻り方向セッションテーブルT−1の生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能としている。例えば、セキュリティゲートウェイルータ装置のインタフェースが#1〜#6まである場合、外部インタフェースが#1,#2で、LAN側インタフェースが#3,#4で、DMZ(DeMilitarized Zone)側インタフェースが#5,#6であったとすると、これらを種別ごとにグルーピングする。すなわち、グループ#1(インタフェース#1,#2),グループ#2(インタフェース#3,#4),グループ#3(インタフェース#5,#6)というようにする。
【0096】
また、インタフェースをインタフェースグループとして管理しているので、開始方向通信の送信インタフェース以外のインタフェースから戻ってきた戻り方向通信パケットであってもインタフェースグループが同一ならば処理可能となり、外部インタフェースを複数定義できる。ここで、企業ネットワークのエッジに置かれファイアウォールとして利用されることを想定すると、外部インタフェースは、企業からインターネットへ接続するインタフェース(回線)を指す。現在では、PPPoE(Point−to−Point Protocol over Ethernet(登録商標))やFTTH(Fiber To The Home)が主流と考えられる。
【0097】
[第2の実施の形態]
図4を参照すると、本発明の第2の実施の形態に係るセキュリティゲートウェイルータ装置は、図1に示した第1の実施の形態に係るセキュリティゲートウェイルータ装置に対して、ソフトウェアプロセスとしてルーティングプロセスC−6を追加した構成となっている。したがって、対応する部分には同一符号を付してそれらの詳しい説明を省略する。
【0098】
第2の実施の形態に係るセキュリティゲートウェイルータ装置では、さらにルーティング検索についてもあらかじめ行うことにより、戻り方向ルータ部A−4におけるルーティング検索処理も削減している。ルーティングプロセスC−6は、転送先を解決するソフトウェアプロセスであり、戻り方向ルータ部A−4と同等の動作をソフトウェアで行うものである。
【0099】
本発明の第2の実施の形態として、その基本的構成は上記の通りであるが、動的NAT/NAPTと同時に動作するのが、動的パケットフィルタだけでなく、ポリシールーティング,QoSクラス識別,IPsecポリシー検索といったようにパケットヘッダにより検索が必要となる機能であれば効果がある。
【0100】
セッションマネージャプロセスC−1は、開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1を変換後(ステップS117)、ルーティングプロセスC−6と連携して戻り方向通信に対するルーティングテーブル(図示せず)を検索して転送先情報も戻り方向セッションテーブルT−1に関連付ける。詳しくは、開始方向のフローがわかれば、戻り方向のフローがわかるので、開始方向通信パケットを送信する際に、あらかじめ戻り方向のフロー(ソースとディスティネーションとを反転)で戻り方向通信パケットを受信するインタフェース(WANへ出て行った場合はWANインタフェース)に適用されている戻り方向ACLT−4を検索する。戻り方向ACLT−4の検索にてフィルタ結果が得られた場合は、その結果を戻り方向セッションテーブルT−1にリンクさせる。動的NAT/NAPT処理も同様にリンクさせる。さらに、ポリシールーティングのACLや、ルーティングテーブルを検索することにより、転送先インタフェースの情報を得ておき、これも戻り方向セッションテーブルT−1にリンクさせておく。ルーティングテーブルから得られるのは、転送先インタフェース(戻り方向ルータ部A−4のインタフェース)になる。
【0101】
この後、セッションマネージャプロセスC−1は、開始方向ACLルックアッププロセスC−3および戻り方向ACLルックアッププロセスC−4と連携して開始方向ACLT−3および戻り方向ACLT−4を検索して、開始方向通信用セッションおよび戻り方向用セッションを開始方向セッションテーブルT−2および戻り方向セッションテーブルT−1に登録する(ステップS115およびステップS116)。
【0102】
次に、このように構成された第2の実施の形態に係るセキュリティゲートウェイルータ装置の動作について、第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作との相違する点を中心に、図5に示すフローチャートを参照しながら簡単に説明する。
【0103】
第2の実施の形態によれば、開始方向通信パケットが到着し、セッションエントリを生成して開始方向セッションテーブルT−2に登録する際に、戻り方向ACLT−4のみでなく戻り方向通信に対するルーティングテーブル(図示せず)を検索し転送先情報も戻り方向セッションテーブルT−1に関連付けておくことにより、戻り方向ルータ部A−4での転送先検索処理を削減でき、ハードウェアがパケット毎に行う処理負荷を低減できるという効果が得られる。
【0104】
【発明の効果】
以上説明したように、本発明においては、以下のような効果を奏する。
【0105】
第1の効果は、セッションテーブル作成時に戻り方向通信を予測し評価してACL等の検索処理を実行しているので、戻り方向通信に対するハードウェアによるパケット処理としてはセッションテーブル検索処理のみに負荷を低減できることである。
【0106】
第2の効果は、インタフェースをインタフェースグループとして管理しているので、開始方向通信の送信インタフェース以外のインタフェースから戻ってきたパケットであってもグループが同一ならば処理可能となり、外部インタフェースを複数定義できることである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図2】図1中の戻り方向セッションテーブルおよび開始方向セッションテーブルのセッション情報およびそれにリンクされたNAT/NAPTアクショテーブル等を示す図である。
【図3】第1の実施の形態に係るセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【図4】本発明の第2の実施の形態に係るセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図5】第2の実施の形態に係るセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【図6】従来のセキュリティゲートウェイルータ装置の構成を示すブロック図である。
【図7】従来のセキュリティゲートウェイルータ装置の動作を示すフローチャートである。
【符号の説明】
A−1 戻り方向セッションルックアップ部
A−2 戻り方向動的NAT/NAPT部
A−3 動的パケットフィルタ部
A−4 戻り方向ルータ部
B−1 開始方向ルータ部
B−2 開始方向パケットフィルタ部
B−3 開始方向セッションルックアップ部
B−4 開始方向動的パケットフィルタ部
B−5 開始方向動的NAT/NAPT部
C−1 セッションマネージャプロセス
C−2 NAT/NAPTマネージャプロセス
C−3 ACLルックアッププロセス
C−4 ACLルックアッププロセス
C−5 動的パケットフィルタマネージャプロセス
C−6 ルーティングプロセス
T−1 戻り方向セッションテーブル
T−2 開始方向セッションテーブル
T−3 開始方向ACL
T−4 戻り方向ACL

Claims (12)

  1. セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、
    開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、
    新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
    前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
    戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と
    を有することを特徴とするセキュリティゲートウェイルータ装置。
  2. セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置において、
    開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する開始方向セッションルックアップ部と、
    新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
    前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、
    戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と
    を有することを特徴とするセキュリティゲートウェイルータ装置。
  3. 開始方向通信パケットの転送先を解決する開始方向ルータ部と、
    開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、
    開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、
    開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、
    開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う開始方向動的NAT/NAPT部と、
    新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
    前記セッションマネージャプロセスと連携してネットワークアドレス/ポート割当てを行うNAT/NAPTマネージャプロセスと、
    前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、
    戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する戻り方向セッションルックアップ部と、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部と
    を有することを特徴とするセキュリティゲートウェイルータ装置。
  4. 開始方向通信パケットの転送先を解決する開始方向ルータ部と、
    開始方向通信パケットについて開始方向ACLを検索する開始方向ACLルックアップ部と、
    開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する開始方向セッションルックアップ部と、
    開始方向通信パケットの通過可否を判断する開始方向動的パケットフィルタ部と、
    開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う開始方向動的NAT/NAPT部と、
    新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除するセッションマネージャプロセスと、
    前記セッションマネージャプロセスと連携してネットワークアドレス/ポートの割当てを行うNAT/NAPTマネージャプロセスと、
    前記セッションマネージャプロセスと連携して開始方向ACLを検索する開始方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向ACLを検索する戻り方向ACLルックアッププロセスと、
    前記セッションマネージャプロセスと連携して戻り方向通信パケットの通過可否を判断する動的パケットフィルタマネージャプロセスと、
    前記セッションマネージャプロセスと連携して戻り方向通信パケットの転送先を解決するルーティングプロセスと、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う戻り方向動的NAT/NAPT部と、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する戻り方向動的パケットフィルタ部と、
    前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する戻り方向ルータ部と
    を有することを特徴とするセキュリティゲートウェイルータ装置。
  5. 前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする請求項1,請求項2,請求項3または請求項4記載のセキュリティゲートウェイルータ装置。
  6. 前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする請求項1,請求項2,請求項3,請求項4または請求項5記載のセキュリティゲートウェイルータ装置。
  7. セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、
    開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、
    セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
    前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
    戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と
    を含むことを特徴とするセッションテーブル管理方法。
  8. セッションテーブルを用いて動的NAT/NAPT機能および動的パケットフィルタ機能を実現するセキュリティゲートウェイルータ装置のセッションテーブル管理方法において、
    開始方向セッションルックアップ部により開始方向セッションテーブルの生成時に戻り方向ACLを検索し戻り方向セッションテーブルの生成の可否を判断する工程と、
    セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
    開始方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して開始方向ACLを検索する工程と、
    戻り方向ACLルックアッププロセスにより前記セッションマネージャプロセスと連携して戻り方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、
    戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と
    を含むことを特徴とするセッションテーブル管理方法。
  9. 開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、
    開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、
    開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
    開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、
    開始方向動的NAT/NAPT部により開始方向通信パケットについて動的にネットワークアドレス/ポート変換を行う工程と、
    セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
    前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポート割当てを行う工程と、
    前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、
    戻り方向セッションルックアップ部により戻り方向通信パケットについて戻り方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
    戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、
    戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、
    戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程と
    を含むことを特徴とするセッションテーブル管理方法。
  10. 開始方向ルータ部により開始方向通信パケットの転送先を解決する工程と、
    開始方向ACLルックアップ部により開始方向通信パケットについて開始方向ACLを検索する工程と、
    開始方向セッションルックアップ部により開始方向通信パケットについて開始方向セッションテーブルを検索してセッションエントリ有りの場合はそれに付随する情報を取得する工程と、
    開始方向動的パケットフィルタ部により開始方向通信パケットの通過可否を判断する工程と、
    開始方向動的NAT/NAPT部により開始方向通信パケットについてネットワークアドレス/ポートの割り当てを行う工程と、
    セッションマネージャプロセスにより新規セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを生成し、終了セッションに関して前記戻り方向セッションテーブルおよび前記開始方向セッションテーブルを削除する工程と、
    前記セッションマネージャプロセスと連携してNAT/NAPTマネージャプロセスによりネットワークアドレス/ポートの割当てを行う工程と、
    前記セッションマネージャプロセスと連携して開始方向ACLルックアッププロセスにより開始方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携して戻り方向ACLルックアッププロセスにより戻り方向ACLを検索する工程と、
    前記セッションマネージャプロセスと連携して動的パケットフィルタマネージャプロセスにより戻り方向通信パケットの通過可否を判断する工程と、
    前記セッションマネージャプロセスと連携してルーティングプロセスにより戻り方向通信パケットの転送先を解決する工程と、
    戻り方向動的NAT/NAPT部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットについてネットワークアドレス/ポート変換を行う工程と、
    戻り方向動的パケットフィルタ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの通過可否を判断する工程と、
    戻り方向ルータ部により前記戻り方向セッションテーブルの検索により得られた情報に基づいて戻り方向通信パケットの転送先を解決する工程と
    を有することを特徴とするセッションテーブル管理方法。
  11. 前記戻り方向セッションテーブルが、セッションエントリとして、IPDA,IPSA,プロトコル,L4DPおよびL4SPを保持するとともに、NAT/NAPTアクショテーブルをリンクすることを特徴とする請求項7,請求項8,請求項9または請求項10記載のセッションテーブル管理方法。
  12. 前記戻り方向セッションテーブルの生成時において、戻り方向通信が予測し評価される外部インタフェースを複数管理可能なインタフェースグループを定義することにより、複数インタフェースからの戻り方向通信パケットの管理を可能とすることを特徴とする請求項7,請求項8,請求項9,請求項10または請求項11記載のセッションテーブル管理方法。
JP2003180473A 2003-06-25 2003-06-25 セキュリティゲートウェイルータ装置およびセッションテーブル管理方法 Expired - Fee Related JP4131203B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003180473A JP4131203B2 (ja) 2003-06-25 2003-06-25 セキュリティゲートウェイルータ装置およびセッションテーブル管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003180473A JP4131203B2 (ja) 2003-06-25 2003-06-25 セキュリティゲートウェイルータ装置およびセッションテーブル管理方法

Publications (2)

Publication Number Publication Date
JP2005020222A JP2005020222A (ja) 2005-01-20
JP4131203B2 true JP4131203B2 (ja) 2008-08-13

Family

ID=34181448

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003180473A Expired - Fee Related JP4131203B2 (ja) 2003-06-25 2003-06-25 セキュリティゲートウェイルータ装置およびセッションテーブル管理方法

Country Status (1)

Country Link
JP (1) JP4131203B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9824107B2 (en) 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法

Also Published As

Publication number Publication date
JP2005020222A (ja) 2005-01-20

Similar Documents

Publication Publication Date Title
US8054804B2 (en) Method of and system for support of user devices roaming between routing realms by a single network server
JP3465620B2 (ja) 仮想私設網構築システム
JP4919608B2 (ja) パケット転送装置
EP1535449B1 (en) System and method for dynamic simultaneous connection to multiple service providers
JP3717836B2 (ja) ダイナミック・ロード・バランサ
US7260648B2 (en) Extension of address resolution protocol (ARP) for internet protocol (IP) virtual networks
JP2004013778A (ja) セキュアストレージシステム
EP1932295A1 (en) Routing data packets from a multihomed host
JP4077351B2 (ja) 名前/アドレス変換装置
US11463357B2 (en) Method and system for propagating network traffic flows between end points based on service and priority policies
KR101358775B1 (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
US7870246B1 (en) System, method, and computer program product for platform-independent port discovery
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
KR100964860B1 (ko) 주소 매핑 장치 및 방법
US20130246603A1 (en) System, method, and computer program product for automatic router discovery
JP4131203B2 (ja) セキュリティゲートウェイルータ装置およびセッションテーブル管理方法
Cisco Configuring IP Addressing
Cisco Configuring IP Addressing
Cisco Configuring IP Addressing
Stott Snmp-based layer-3 path discovery
US20240223501A1 (en) Method and system for propagating network traffic flows between end points based on service and priority policies
US11824738B2 (en) Network traffic flooding for unknown data-link to transport mapping scenarios
KR100881418B1 (ko) 네트워크 주소변환 장치 및 방법
JP5152835B2 (ja) 多重アクセス装置
JP2003087329A (ja) 統合情報通信システム

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050124

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050314

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060518

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080430

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080513

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110606

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110606

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120606

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120606

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130606

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees