JP4237754B2 - パーソナルリモートファイヤウォール - Google Patents
パーソナルリモートファイヤウォール Download PDFInfo
- Publication number
- JP4237754B2 JP4237754B2 JP2005508382A JP2005508382A JP4237754B2 JP 4237754 B2 JP4237754 B2 JP 4237754B2 JP 2005508382 A JP2005508382 A JP 2005508382A JP 2005508382 A JP2005508382 A JP 2005508382A JP 4237754 B2 JP4237754 B2 JP 4237754B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- user
- port
- tcp server
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephone Function (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
- Lock And Its Accessories (AREA)
- Control Of Eletrric Generators (AREA)
Description
本発明は、企業ネットワークへのセキュアトンネル接続上の無線接続用ルールを提供する方法及びバーチャルプライベートネットワーク(VPN)に関する。
インターネットにアクセスするために無線ターミナルを使うという要望と実現性は、ここ数年急激に増加している。そのようなアクセスは、第3世代(3G)移動体ネットワークにより改良され、その第3世代(3G)移動体ネットワークは、世界中に導入され、又は、導入されようとしている。また、既存の移動体ネットワークも、例えば、GPRS(汎用パケット無線サービス)で更新されたGSM(移動体通信グローバルシステム)のように、そのようなアクセスを促進する付加的な機能で更新されている。
同時に、これらの無線ターミナルの使用を望む従業員の数は、その従業員が社外にいる場合に社内リソースにアクセスするために、連続的に増加しており、特に、遠隔作動ツール(remote working tool)として適当な機能を提供するますます力強い無線デバイスの紹介に伴い増加している。
企業ネットワークリソースへの無線アクセスの要望は、インターネットへの無線アクセスの実現性の増加と共に、社内リソースへの無線アクセス付きクライアントを提供するために設計されるバーチャルプライベートネットワーク(VPN)の企業導入を増加させるだろう。
一般に、バーチャルプライベートネットワーク(VPN)は、パブリックネットワーク上にセキュアで、プライベートな通信を構築するという考えである。その論理的概念のVPNトンネルをプライベートネットワークに配置し、そして、そのトンネルは、2つの企業ネットワーク側を内部接続する、いわゆるサイト間VPNと、遠隔ユーザを企業ネットワークに内部接続する、いわゆるリモートアクセスVPNとがある。
リモートアクセスVPNにおいては、VPNゲートウェイサーバが典型的に、インターネットで企業ネットワークを内部接続する。従って、ユーザはVPNゲートウェイサーバを通して企業ネットワークに接続するために、インターネットサービスプロバイダによって提供されるダイヤルアップインターネット接続を使用しても良い。ユーザは、公共ネットワーク上を接続するので、あるセキュア手段が必要とされ、典型的には、その接続の暗号化及びユーザの認証がある。VPNゲートウェイサーバがうまくクライアントと企業VPNゲートウェイ間の暗号化接続を超え、ユーザを承認した後で、そのユーザには、いわゆるセキュアVPNトンネル上の企業ネットワークへのアクセスが提供される。そのトンネルを用いて、ユーザは、社内ネットワークの異なるリソースにアクセスできる。同様に、無線ネットワークを介して、インターネットアクセスを有する無線クライアントターミナルを使う場合、セキュアVPNトンネルが、無線ネットワークとインターネットを通して、無線クライアントとVPNゲートウェイ間に確立し、それにより、企業ネットワークリソースに無線リモートアクセスを可能にする。
述べたように、セキュアVPNトンネル接続上の企業ネットワークへのアクセスは、接続の暗号化とアクセスユーザの認証を意味する。しかし、一旦セキュアトンネル接続が確立すると、そのトンネル内に、ユーザ特定アクセスルールは存在しない。代わりに、そのトンネルは、無線クライアントに、全ての認証されたアクセスユーザのために絶えず開かれた全てのTCPポートを使用することを可能にする。
全ての認証ユーザのために、セキュアトンネル接続内に、絶えず開かれたTCPポートを有することは、多くの従業員が無線クライアントターミナルを用いて、企業ネットワーク内のあるアプリケーションにのみアクセスを必要とするという事実に則していない。さらに、幾人かの従業員は、ある企業アプリケーションにアクセスするために認証すらされないかもしれない。それゆえ、セキュアVPNトンネル内の企業ネットワークにアクセス可能などの範囲の無線クライアントを、企業に制御可能にする単純な方法による設計を提供することが望まれる。
本発明は、企業ネットワークへの異なるユーザによって許可されるアクセスタイプを区別できるファイヤウォール機能でVPNゲートウェイを提供する。
本発明によれば、この機能は、独立請求項1による方法と、独立請求項12によるバーチャルプライベートネットワーク・ゲートウェイサーバによって達成される。好適な実施例は、その従属請求項によって規定される。
本発明に基づくアイデアは、企業ネットワークに無線リモートアクセスを提供することであり、その企業ネットワークは、異なる遠隔ユーザのための異なるアクセス設定を有するファイヤウォール機能によって保護される。
本発明によれば、VPNゲートウェイサーバは、セキュアトンネルを用いて、企業ネットワークへアクセスする各ユーザ用の特定ルールを提供するユーザデータベースを含んでいる。そのルールは、それぞれの特定ユーザに関係するTCPポートの特定セットを含んでいる。ゲートウェイサーバは、企業ネットワークに対し認証されたユーザを、関係する許可TCPサーバポートに対し、ゲートウェイサーバによって提供されるトンネル接続の手段で実行されるアクセスを制限する。
従って、認証ユーザに、セキュアトンネル内に利用可能なTCPサーバポートを使用することを許可することよりむしろ、本発明によるVPNゲートウェイのファイヤウォール機能は、ユーザデータベース内のユーザに関係するTCPサーバポートを用いてセキュアトンネル手段により、ユーザに企業ネットワークにアクセスすることを許可する。これは、異なるユーザによって許可される企業ネットワークへのアクセス種類を区別することが出来ることを意味する。例えば、あるユーザは、セキュアトンネル内で、全ての利用可能なTCPポート又はソケットを使用することを許され、従って、企業ネットワークにおける様々な種類のアプリケーションと遠隔でインタラクションするオプションが与えられる。同時に、別のユーザは、企業ネットワーク内の電子メールサーバに遠隔でインタラクションするためのTCPサーバポートを使用することのみ許されるかもしれない。
セキュアトンネルは、ゲートウェイサーバの特定TCPサーバポートに好ましくは結び付けられ、一方で、セキュアトンネル内の実際のユーザトラフィック用の許可TCPサーバポートは、ユーザデータベース内で事前設定される。トンネルそれ自身のためのTCPサーバポートは、ユーザのアプリケーションで事前設定される。
好ましくは、企業ネットワークへのユーザのアクセスは、2つの分かれたTCPセッションを含む。1つは、ユーザの無線クライアントターミナルとゲートウェイサーバとの間の暗号化接続の形式におけるVPNトンネルで、1つは、ゲートウェイサーバと企業ネットワークのバックエンドサーバとの間のセッションである。後者のTCPセッションにおいては、ゲートウェイサーバは、許可TCPサーバポートにより定義されるサーバソケットに対するクライアントとして作動する。
ユーザデータベースは、トンネル接続上の企業ネットワークへのユーザアクセスを制御及び改良する様々な有利な方法で設定される。これらの可能性のある設定の幾つかは、後述する。
好ましくは、ユーザデータベースは、特定ユーザの許可TCPサーバポート番号を、企業ネットワーク内に関係付ける。このように、同じ良く知られたソケットを用いて、又は、同じポートプロトコルに関係する異なるクライアントのユーザデータを用いてのどちらかである、同じポートプロトコルを用いて、異なるクライアントのユーザデータは、企業ネットワーク内の異なる宛先IPアドレスに転送される。それから、これらの宛先は、同じアクセスプロトコルを用いて、異なるユーザ用のアクセス可能なサービスとアプリケーションを区別するように使用される。
ユーザデータベースは、クライアント側TCPサーバポートを、企業ネットワーク内のサーバ側TCPサーバポートと企業DNSサーバのIPアドレスに関係付けるように有利に設定される。これは、問題となるクライアントに、トンネル接続内の企業DNSサービスを使用することを可能にする。
特定ユーザに関係するトンネル内の許可TCPサーバポートのセットは、ユーザが認証された後で、ユーザに送信されるのが好ましい。このように、クライアントがこれらの許可TCPサーバポートの情報を事前設定していない場合、ユーザは、トンネル内で使用が許されるTCPサーバポートが何であるか通知される。また、それは、トンネル接続を用いる前に、クライアントを事前設定せずに、ユーザデータベース内のTCPポートを変更することを可能にする。
クライアントにより使用が許されるTCPサーバポートは、良く知られたソケットのポートか、任意のポートかのどちらかである。任意のTCPサーバポートが使用される場合では、本発明の実施例は、認証後にTCPサーバポートと共にクライアントに送信されるポート特定プロトコルを、許可TCPサーバポートに関係付けるデータベースを提供する。
上述した本発明、本発明の更なる特徴、利点は、本発明の多くの実施例を示す以下の記述によりさらに十分に理解されるだろう。理解されるように、発明の精神及び範囲内から生じる様々な改良、変形及び異なる組合せは、ここで説明される一般的な調査及び次の詳細な説明を調査するとき、当業者には明確となるであろう。
本発明の実施例は、関連する図を参照して述べられる。
図1を参照して、本発明は、より詳細に述べられる。図1は、典型的にはイントラネットである企業ネットワーク20と、インターネットと内部接続するバーチャルプライベートネットワーク(VPN)ゲートウェイサーバ10を表す。ユーザの無線クライアントターミナル40は、無線ネットワーク50を介してインターネットにアクセスするように表される。
VPNゲートウェイサーバは、企業ネットワーク20にアクセスする異なるユーザ特定ルールで異なるユーザを関係付けるように設定されるユーザデータベース15を含む。そのユーザデータベースは、VPNトンネル接続手段で、企業ネットワークアクセスするとき使用することが許されるTCPサーバポートの異なるセットで、異なるユーザを関係付けることによるユーザ特定ルールを提供する。
VPNゲートウェイサーバ10は、無線クライアントターミナル40を用いて、セキュアVPNトンネルを提供する1つの特定TCPサーバポートを使うように設定されている。そしてそのセキュアVPNトンネルと共に、ユーザは、企業ネットワーク20にアクセスする。無線クライアント40とゲートウェイサーバ10の間のSSL(セキュアソケットレイヤ)暗号化接続を、無線クライアント40が、自分のセッション(own session)として開始するために、この特定ポートを使うとき、トンネルが生成される。このセッションは、ゲートウェイサーバで終わりにする。ゲートウェイサーバ10と企業ネットワーク20のバックエンドサーバ間のさらなる接続は、新しく、暗号化されてない別のTCPセッションによって提供される。
従って、企業ネットワーク20のバックエンドサーバへのユーザのアクセスは、クライアント40とゲートウェイサーバ10の間の特定TCPセッション、及び、ゲートウェイサーバ10とクライアントとして行動するゲートウェイサーバと共にバックエンドサーバ間の付加的なTCPセッションによって提供される。
VPNゲートウェイサーバ10は、さらに、VPNトンネルに接続するユーザを認証する認証手段11、トンネルの中に認証されたユーザのアクセスを制限するポートフィルタリング手段12、及び、認証ユーザに許容されたTCPサーバポートのセットを送信する送信手段13を含める。
当業者は、ユーザデータベース15、認証手段11、ポートフィルタリング手段12、及び、送信手段13は、全て、よく知られた、メモリ、インタフェース回路、マイクロプロセッサ、を含む最先端のハードウェア回路によって実装され、それらは、本発明に従って作動するように設定され、制御されることを十分理解するだろう。マイクロプロセッサは、メモリにロードされるプログラム命令を実行し、そしてそれは、本発明の様々な実施例に従って構成され作動するハードウエア回路をもたらす。これらのプログラム命令の設計は、現在の応用の内容を習得した後、プログラミングの当業者により十分に理解されるだろう。
図1を再び参照し、実施例を記載する。図1では、ユーザデータベース15における例証する設定が示され、それは、ポート80、110、及び、25からなる許可されるTCPポートセットを、ユーザXに関係付ける設定である。これらのポートは、それぞれ、HTTP(ハイパーテキスト・トランスポート・プロトコル)、POP3(ポストオフィスプロトコル−バージョン3)及びSMTP(シンプル・メール・トランスファー・プロトコル)用のソケットとして、当業者には知られている。同様に、ユーザYは、許可されたTCPポート110と25のみに関係付けられ、一方、ユーザXは、メールサーバアクセスに加えて、企業ネットワーク内のウェブアプリケーションにアクセスすることが許可される。
無線クライアント40は、ゲートウェイサーバにより提供されるVPNトンネルにアクセスするように設定されるクライアントアプリケーションを含む。トンネルにアクセスするために、クライアントは、VPNゲートウェイサーバのIPアドレス、及び、トンネルの特定TCPサーバポートに接続する。トンネル用TCPサーバポートは、例えば、ポート83であるなら、クライアントアプリケーションは、VPNトンネルにアクセスするとき、TCPサーバポート83に接続するように事前設定される。
図1に示される実施例の動作を述べる。本発明によれば、ユーザデータベース15は、第1に、VPNトンネルを用いたTCPサーバポートアクセスのためのユーザ特定ルールに設定される。上述のように、この設定は、異なるユーザに異なる許可TCPサーバポートセットを関係付けることを含む。この実施例において、ユーザデータベースの結果として生じる設定は、上述され、かつ、図1にも示される。
ユーザが企業ネットワークにアクセスするとき、ユーザは、VPNトンネルのTCPサーバポート、即ち、この例ではポート83、無線クライアント40とVPNゲートサーバ10を使用する。クライアント40とVPNゲートウェイサーバ10間のSSL暗号化された接続を開始するこのポートを用いることで、セキュアVPNトンネルが生成される。それから、VPNゲートウェイサーバ10は、トンネルのTCPサーバポート83へのTCP/IP接続上の無線クライアント40から、ユーザにより送信されるユーザ認証とパスワード情報に基づいて、ユーザを認証する。それから、ユーザが認証されたとき、VPNゲートウェイサーバは、ユーザデータベース15から特定ユーザに関係する許可TCPサーバポートを取り出す。それから、VPNサーバ10は、クライアントセッション番号と特定許可TCPサーバポート、例えば接続ユーザが上記ユーザXならポート80、110及び25を、無線クライアントアプリケーションに戻す。これらのTCPサーバポートは、トンネルで許可されるポートのみである。
VPNゲートウェイサーバ10から、許可TCPサーバポートを取り戻した後、無線クライアント40は、開いたセキュアトンネルで使用するプロトコルが何であるか認識する(もし、許可TCPポートが良く知られたソケットでないなら、サーバ10は、許可されたTCPポートと共に使用するプロトコルを、クライアントに送信もするだろう)。ユーザは、許可TCPポートに関連して、使用可能なプロトコルに対応するプロトコルを要求するアプリケーションを用いることをすぐに開始する。典型的には、クライアントアプリケーションは、クライアント側のTCPポートを開け、そして、許可されたサーバ側TCPポートに接続されるトンネルの中に、要求(request)を送信する。例えば、ユーザXは、クライアント側ポート1077を開け、許可されたサーバ側TCPポート80に接続されることを要求するウェブブラウザアプリケーションを使用する。クライアントは、この接続要求を、トンネル内のソケットに、即ち、サーバサイドポート83への確立した接続を介してルート付けする。全てのクライアントは、異なるソケットへの接続のためのクライアント要求は、同じ方法で、同じ開いたサーバソケット接続、即ち、SSL暗号化セキュアトンネルのTCPサーバ側ポート83を介して、ルート付けされる。
セキュアトンネル内で、無線クライアントからデータを受信するとすぐ、ゲートウェイサーバ10は、そのデータを解読し、ユーザXがトンネル内でTCPサーバポート80を許可されるかどうか、データベースでチェックする。ユーザが許可されると、ゲートウェイサーバ10は、クライアントとして行動し、企業ネットワークの中でウェブアプリケーション・サーバ処理をホストするバックエンドサーバのTCPポート80への接続によって、新しく分割したTCPセッションを確立する。ゲートウェイサーバ10は、それから、解読したユーザデータをこの分割TCPセッション上に転送する。
ユーザYが企業ウェブブラウザアプリケーションを起動したい場合を考える。この設定によれば、ゲートウェイサーバ10は、企業ネットワークへのこの種のアクセスからユーザYを防止する。ユーザYがトンネル内のポート80への接続要求をルート付けする場合、受信データの解読後、ゲートウェイサーバは、ユーザYが要求TCPサーバポートを使うことを許可されないことを発見する。それゆえ、ゲートウェイサーバ10は、バックエンドサーバのポート80へのいかなるTCPセッションを確立せず、そして、企業ネットワークへ転送されるデータは無い。しかし、ユーザYが企業ネットワーク内のメールサーバにアクセスしようとする場合、そのようなアクセスは、トンネル(ポート25及び110)内のユーザYによる使用を許可されるTCPサーバポートを含めたので、そのようなアクセスは、ゲートウェイサーバ10によって提供されただろう。従って、ゲートウェイサーバ10は、ユーザYのアクセスを企業ネットワークに制限する。
図2を参照して、本発明の別の実施例を説明する。この実施例では、ユーザデータベースは、企業ネットワークへのアクセス用付加的ユーザ特定ルールを提供する。VPNトンネルへのアクセスの設定は、図1を参照して既に説明したものに対応する。さらに、図1の構成要素の設計と動作に対応する図2の設計と動作を有する全ての構成要素は、図1で使用された同じ参照符号で示される。
ユーザに関係付けられる許可TCPサーバポートは、この実施例では、許可クライアント側TCPサーバポートであり、ユーザデータベース25におけるそのサーバポートは、各サーバ側サーバポートに関係付けられる。許可されたクライアント側TCPサーバポートへの接続用VPNトンネルを越えて要求を受信する場合、ゲートウェイサーバ10は、関係付けられるサーバサイド側TCPサーバポートへの接続により新しいTCPセッションを確立する。セキュアトンネルで受信され、行き先として許可されたクライアント側TCPサーバポートを有するユーザデータは、それから、関係付けられるサーバ側TCPサーバポートへ転送される。
加えて、各ユーザのクライアント側TCPサーバポートは、IPアドレスと関係付けられ、異なるユーザの同じクライアント側TCPサーバポート番号に、異なるIPアドレスを関係付けることを可能にする。
図2は、ユーザXとYを含む実証する構成を表す。再び、企業ネットワーク上のアプリケーションは、これらの番号、即ち、SMTPプロトコル用のポート25、POP3プロトコル用のポート110、HTTPプロトコル用ポート80、ドメイン名称サーバアプリケーション用ポート53を使用する。図2における構成と共に、ユーザXは、異なるIPアドレスを有する異なるメールサーバアプリケーションを使うために、クライアント側TCPサーバポート25、26、110、及び、112を使用することが許可される。
ユーザXを認証するとすぐに、VPNゲートウェイサーバは、許可されたクライアント側TCPサーバポートを、セキュアトンネル上をユーザXに動かされる無線ターミナル40へ送信する。それから、ユーザXは、何のプロトコルが使用されるべきかを認識する。ポート番号が良く知られた(well known)ソケットで無い場合、ゲートウェイサーバも、ユーザに、特定ポートに使用されるポート特定プロトコルを送信する。代わりに、無線クライアントは、様々なポート番号と一緒に使用される何かのプロトコルと共に事前設定される。
図2における、ユーザデータベース25の設定から、トンネル内のPOP3プロトコルと一緒に異なるクライアント側TCPサーバポート110及び112を使用することで、ユーザXは、企業ネットワーク上の2つの異なるIPアドレス10.114.2.1及び10.114.2.2に属する、2つの異なるPOP3サーバ処理にアクセスが許されることがわかる。図2に示されるように、クライアント側TCPサーバポート110を用いて、ユーザXからのセキュアトンネル内のトラフィックは、企業ネットワーク内のIPアドレス10.114.2.1及びサーバサイドTCPポート110へのTCP接続上を転送される一方で、クライアント側TCPサーバポート112を用いたトラフィックは、IP10.114.2.2及びサーバサイドTCPポート110上のTCPコネクションに転送される。
他方では、ユーザYは、クライアント側TCPサーバポート25及び110を使用することが許可される。従って、企業ネットワークへのユーザYのメールサーバは、IPアドレス10.114.2.2を有するメールサーバによってPOP3及びSMTPに使用されるサーバ側TCPサーバポートに制限される。従って、2つの異なるユーザの同じクライアント側TCPサーバポート番号、即ち、ポート番号110は、ここで、同じサーバ側TCPポート番号に関係付けられるが、異なるIPアドレスに関係付けられる。このように、ゲートウェイサーバは、異なる宛先IPアドレスのサーバ側TCPポートに、同じ通信プロトコルを使用する異なるユーザから、ユーザデータを転送することが出来る。
ユーザXは、企業ネットワーク内のウェブアプリケーションとドメインネームサーバの各サーバ側TCPポートに関係付けられるクライアント側TCPサーバポート80及び53をも使用することが許される。ユーザYは、ウェブアプリケーション又はドメインネームサーバ用のサーバ側ポートに関係付けられるクライアント側ポートを有さない。従って、企業ネットワークへのユーザYのアクセスは、メールサーバアクセスのみに制限される。
本発明の異なる実施例の上記の詳細な説明は、例示のみによって与えられ、それゆえ、発明の範囲を制限する意図はなく、発明の範囲は、請求の範囲で定義されることに注意すべきである。相違する上述の実施例の特徴は、添付の請求の範囲内に収まる新しい実施例を生じるように好適にも組み合わされることを特に注意すべきである。
さらに、添付の請求の範囲、及び、ここで一般的に説明される精神及び範囲内に収まる他の変更及び変形は、請求項及び詳細な説明を調べる当業者には明白であることを考慮すべきであろう。
Claims (14)
- 企業ネットワーク(20)へのセキュアトンネル接続上の無線アクセス用ルールを提供するバーチャル・プライベート・ネットワークゲートウェイサーバ(10)の方法において、
前記セキュアトンネル接続上の前記アクセス用ユーザ特定ルールを提供するために、前記バーチャル・プライベート・ネットワークゲートウェイサーバのユーザデータベース(15、25)を設定する設定ステップと、
前記セキュアトンネル接続に接続するユーザを認証するステップと、
前記企業ネットワーク(20)への前記認証ユーザのアクセスを制限する制限ステップと、
を含み、
前記設定ステップは更に、別個の特定ユーザと対応する許可TCPサーバポートの各セットとを関係付けるステップを含み、
前記制限ステップは、前記ユーザデータベース(15、25)における前記ユーザに関係する許可TCPサーバポートの前記セットに含まれるポートを宛先として有する前記セキュアトンネルで受信したユーザデータのみを転送するステップによって行われ、
特定ユーザに関係する前記許可TCPサーバポートは許可クライアント側TCPサーバポートとし、前記設定ステップは許可クライアント側TCPサーバポートとサーバ側TCPサーバポートとを関係付けるように前記ユーザデータベース(25)を設定し、
前記方法は、前記セキュアトンネルで受信したユーザデータを許可クライアント側TCPサーバポートと関係するサーバ側TCPサーバポートへ別のTCP接続を介して転送するステップであって、該TCP接続において前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)はクライアントとして動作するステップを含み、
前記設定ステップは、特定ユーザと関係する別個の許可クライアント側TCPサーバポートと同一のサーバ側TCPサーバポート及び対応する別個のIPアドレスとを関係付けるように前記ユーザデータベース(25)を設定するステップを含み、
前記方法は前記セキュアトンネルで受信したユーザデータを、許可クライアント側TCPサーバポートと関係するIPアドレスへ転送するステップを含む
方法。 - 前記セキュアトンネルを、前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)の特定TCPサーバポートに結び付けるように設定するステップを含む請求項1に記載の方法。
- 前記設定ステップは、別個の許可クライアント側TCPサーバポートを、対応するIPアドレスを有する別個の電子メールサーバのサーバ側TCPサーバポートに関係付けるように、前記データベース(25)を設定するステップを含む請求項1又は2に記載の方法。
- 前記設定ステップは、許可クライアント側TCPサーバポートを、前記企業ネットワーク内のサーバ側TCPサーバポート及び企業DNSサーバのIPアドレスに関係付けるように前記データベース(25)を設定するステップを含む請求項1〜3のいずれか一項に記載の方法。
- 前記ユーザデータベース(15、25)において前記認証ユーザに関係する許可TCPサーバポートの前記セットを、前記セキュアトンネルを介して前記認証ユーザに送信するステップを含む請求項1〜4のいずれか一項に記載の方法。
- 前記設定ステップは、許可TCPサーバポートと共に前記認証ユーザに送信されるポート特定プロトコルを該許可TCPサーバポートに関係付けるように前記ユーザデータベース(15、25)を設定するステップを含む請求項5に記載の方法。
- 企業ネットワーク(20)へセキュアトンネル接続上の無線アクセス用ルールを提供するバーチャル・プライベート・ネットワークゲートウェイサーバ(10)において、
前記セキュアトンネル接続上の前記アクセス用ユーザ特定ルールを提供するユーザデータベース(15、25)と、
前記セキュアトンネル接続に接続するユーザを認証する認証手段(11)と、
前記企業ネットワーク(20)に前記認証ユーザのアクセスを制限するポートフィルタリング手段(11)と、
を含み、
前記ユーザデータベース(15、25)は、別個の特定ユーザと対応する許可TCPサーバポートの各セットとの関係を記憶し、
前記の認証ユーザのアクセス制限は、前記ユーザデータベース(15、25)における前記ユーザに関係する許可TCPサーバポートの前記セットに含まれるポートを宛先として有する前記セキュアトンネルで受信したユーザデータのみを転送するステップによって行われ、
特定ユーザと関係する前記許可TCPサーバポートは許可クライアント側TCPサーバポートとし、前記ポートフィルタリング手段は更に、前記セキュアトンネルで受信したユーザデータを許可クライアント側TCPサーバポートと関係するサーバ側TCPサーバポートへ別のTCP接続を介して転送するようになっており、該TCP接続において前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)はクライアントとして動作し、
前記ユーザデータベース(25)は、特定ユーザと関係する別個の許可クライアント側TCPサーバポートと同一のサーバ側TCPサーバポート及び対応する別個のIPアドレスとを関係付け、
前記ポートフィルタリング手段は、前記セキュアトンネルで受信したユーザデータを許可クライアント側TCPサーバポートと関係するIPアドレスへ転送するようになっている
ゲートウェイサーバ。 - 前記セキュアトンネルは、前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)の特定TCPサーバポートに結び付けられる請求項7に記載のゲートウェイサーバ。
- 前記ユーザデータベース(25)は、別個の許可クライアント側TCPサーバポートを、対応するIPアドレスを有する別個の電子メールサーバのサーバ側TCPサーバポートに関係付ける請求項8に記載のゲートウェイサーバ。
- 前記ユーザデータベース(25)は、許可クライアント側TCPサーバポートを、前記企業ネットワーク内のサーバ側TCPサーバポート及び企業DNSサーバのIPアドレスに関係付ける請求項7〜9のいずれか一項に記載のゲートウェイサーバ。
- 前記セキュアトンネル上を、前記ユーザデータベース(15、25)において前記認証ユーザに関係する許可TCPサーバポートの前記セットを送信する送信手段を含む請求項7〜10のいずれか一項に記載のゲートウェイサーバ。
- 前記ユーザデータベース(12、25)は、ポート特定プロトコルを許可TCPサーバポートに関係付け、前記送信手段は、前記認証ユーザへの前記許可TCPサーバポートと共に前記ポート特定プロトコルを送信するようになっている請求項11に記載のゲートウェイサーバ。
- 企業ネットワーク(20)、
前記企業ネットワーク(20)へセキュアトンネル接続上の無線アクセスを提供する請求項7〜12のいずれか一項によるバーチャル・プライベート・ネットワークゲートウェイサーバ(10)、及び、
少なくとも1つの無線クライアントターミナル(40)を含み、
前記クライアントターミナルは、前記トンネル接続上の前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)に接続するとき、特定ユーザと関係する特定TCPサーバポート及びIPアドレスを使用するように、かつ、前記企業ネットワーク(20)にアクセスするとき前記トンネル接続内のTCPサーバポートの特定セットを使用するように設定されるバーチャル・プライベート・ネットワークシステム。 - 前記無線クライアントターミナル(40)は、前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)に送信される認証メッセージに応答して前記バーチャル・プライベート・ネットワークゲートウェイサーバ(10)から、前記トンネル接続内で使用されるように特定ユーザと関係する前記TCPサーバポートを受信するように設定される請求項13に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2003/003606 WO2005022838A1 (en) | 2003-08-29 | 2003-08-29 | Personal remote firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007516625A JP2007516625A (ja) | 2007-06-21 |
| JP4237754B2 true JP4237754B2 (ja) | 2009-03-11 |
Family
ID=34259870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005508382A Expired - Fee Related JP4237754B2 (ja) | 2003-08-29 | 2003-08-29 | パーソナルリモートファイヤウォール |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7734647B2 (ja) |
| EP (1) | EP1658700B1 (ja) |
| JP (1) | JP4237754B2 (ja) |
| CN (1) | CN100456729C (ja) |
| AT (1) | ATE399415T1 (ja) |
| AU (1) | AU2003255909A1 (ja) |
| BR (1) | BR0318455A (ja) |
| DE (1) | DE60321834D1 (ja) |
| ES (1) | ES2308048T3 (ja) |
| HK (1) | HK1093824A1 (ja) |
| WO (1) | WO2005022838A1 (ja) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2865335A1 (fr) * | 2004-01-16 | 2005-07-22 | France Telecom | Systeme de communication entre reseaux ip prives et publics |
| US8126999B2 (en) | 2004-02-06 | 2012-02-28 | Microsoft Corporation | Network DNA |
| GB2414627A (en) * | 2004-05-27 | 2005-11-30 | Hewlett Packard Development Co | Network administration |
| US20060064397A1 (en) * | 2004-09-17 | 2006-03-23 | Yohko Ohtani | Network device, service using method, service using program product, and computer-readable recording medium recorded with a service using program |
| US20060206922A1 (en) * | 2005-03-08 | 2006-09-14 | Securedatainnovations Ag | Secure Remote Access To Non-Public Private Web Servers |
| US8166538B2 (en) * | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
| US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| US8175053B2 (en) | 2006-03-02 | 2012-05-08 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| US7873032B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | Call flow system and method use in VoIP telecommunication system |
| US11405846B2 (en) | 2006-03-02 | 2022-08-02 | Tango Networks, Inc. | Call flow system and method for use in a legacy telecommunication system |
| US8023479B2 (en) | 2006-03-02 | 2011-09-20 | Tango Networks, Inc. | Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks |
| US7890096B2 (en) | 2006-03-02 | 2011-02-15 | Tango Networks, Inc. | System and method for enabling call originations using SMS and hotline capabilities |
| US7873001B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| WO2008010857A2 (en) * | 2006-03-30 | 2008-01-24 | Seamless Skyy-Fi, Inc. | System and method for secure network browsing |
| JP4752064B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP4752062B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 |
| JP4752063B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
| US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
| US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
| US8060917B2 (en) * | 2008-04-16 | 2011-11-15 | International Business Machines Corporation | System and method for hosting multiple kerberos service principal names |
| US9008618B1 (en) * | 2008-06-13 | 2015-04-14 | West Corporation | MRCP gateway for mobile devices |
| US20100107240A1 (en) * | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
| CN101511117B (zh) * | 2009-04-08 | 2010-11-10 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN101778045B (zh) | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| WO2012027472A2 (en) * | 2010-08-24 | 2012-03-01 | Copiun, Inc. | Constant access gateway and de-duplicated data cache server |
| US9294308B2 (en) * | 2011-03-10 | 2016-03-22 | Mimecast North America Inc. | Enhancing communication |
| US8910273B1 (en) | 2011-08-04 | 2014-12-09 | Wyse Technology L.L.C. | Virtual private network over a gateway connection |
| US8862753B2 (en) * | 2011-11-16 | 2014-10-14 | Google Inc. | Distributing overlay network ingress information |
| CN102571817B (zh) * | 2012-02-15 | 2014-12-10 | 华为技术有限公司 | 访问应用服务器的方法及装置 |
| EP3620943B1 (en) | 2013-03-15 | 2023-06-07 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| KR102482114B1 (ko) | 2015-12-31 | 2022-12-29 | 삼성전자주식회사 | 보안 통신 방법, 이를 수행하는 시스템 온 칩 및 이를 포함하는 모바일 시스템 |
| US11272366B2 (en) * | 2017-02-17 | 2022-03-08 | Tata Communications (Uk) Limited | System and method for accessing a privately hosted application from a device connected to a wireless network |
| CN107465752B (zh) * | 2017-08-22 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种连接管理方法及装置 |
| US11635990B2 (en) | 2019-07-01 | 2023-04-25 | Nutanix, Inc. | Scalable centralized manager including examples of data pipeline deployment to an edge system |
| US11501881B2 (en) | 2019-07-03 | 2022-11-15 | Nutanix, Inc. | Apparatus and method for deploying a mobile device as a data source in an IoT system |
| US11652801B2 (en) * | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US11726764B2 (en) | 2020-11-11 | 2023-08-15 | Nutanix, Inc. | Upgrade systems for service domains |
| US11665221B2 (en) | 2020-11-13 | 2023-05-30 | Nutanix, Inc. | Common services model for multi-cloud platform |
| US11736585B2 (en) | 2021-02-26 | 2023-08-22 | Nutanix, Inc. | Generic proxy endpoints using protocol tunnels including life cycle management and examples for distributed cloud native services and applications |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6553410B2 (en) * | 1996-02-27 | 2003-04-22 | Inpro Licensing Sarl | Tailoring data and transmission protocol for efficient interactive data transactions over wide-area networks |
| US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
| US6396830B2 (en) * | 1998-06-18 | 2002-05-28 | Lucent Technologies Inc. | Implementing network services over the internet through dynamic resolution of personal host names |
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| JP3526435B2 (ja) | 2000-06-08 | 2004-05-17 | 株式会社東芝 | ネットワークシステム |
| AU2002231001A1 (en) * | 2000-12-20 | 2002-07-01 | Pumatech, Inc. | Spontaneous virtual private network between portable device and enterprise network |
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| WO2003045034A1 (en) * | 2001-10-12 | 2003-05-30 | Mobiwave Pte, Ltd. | Security of data through wireless access points supporting roaming |
| EP1328102A1 (en) * | 2002-01-14 | 2003-07-16 | Alcatel | Method and system for managing the access to a communication network based on authentication data |
| US6934799B2 (en) * | 2002-01-18 | 2005-08-23 | International Business Machines Corporation | Virtualization of iSCSI storage |
| JP3782981B2 (ja) * | 2002-04-26 | 2006-06-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム |
| US7359933B1 (en) * | 2002-09-26 | 2008-04-15 | Oracle International Corporation | Providing remote access to network applications using a dual proxy |
| US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| JP3922375B2 (ja) * | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
| JP4652741B2 (ja) * | 2004-08-02 | 2011-03-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出装置、異常検出方法、異常検出プログラム、及び記録媒体 |
-
2003
- 2003-08-29 EP EP03818400A patent/EP1658700B1/en not_active Expired - Lifetime
- 2003-08-29 WO PCT/IB2003/003606 patent/WO2005022838A1/en active IP Right Grant
- 2003-08-29 AT AT03818400T patent/ATE399415T1/de not_active IP Right Cessation
- 2003-08-29 JP JP2005508382A patent/JP4237754B2/ja not_active Expired - Fee Related
- 2003-08-29 AU AU2003255909A patent/AU2003255909A1/en not_active Abandoned
- 2003-08-29 DE DE60321834T patent/DE60321834D1/de not_active Expired - Lifetime
- 2003-08-29 CN CNB038267780A patent/CN100456729C/zh not_active Expired - Fee Related
- 2003-08-29 BR BRPI0318455-2A patent/BR0318455A/pt not_active IP Right Cessation
- 2003-08-29 ES ES03818400T patent/ES2308048T3/es not_active Expired - Lifetime
-
2004
- 2004-08-30 US US10/931,262 patent/US7734647B2/en not_active Expired - Fee Related
-
2007
- 2007-01-04 HK HK07100097.5A patent/HK1093824A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005022838A1 (en) | 2005-03-10 |
| EP1658700B1 (en) | 2008-06-25 |
| JP2007516625A (ja) | 2007-06-21 |
| HK1093824A1 (en) | 2007-03-09 |
| US20050060328A1 (en) | 2005-03-17 |
| EP1658700A1 (en) | 2006-05-24 |
| DE60321834D1 (de) | 2008-08-07 |
| US7734647B2 (en) | 2010-06-08 |
| CN1802821A (zh) | 2006-07-12 |
| AU2003255909A1 (en) | 2005-03-16 |
| ATE399415T1 (de) | 2008-07-15 |
| BR0318455A (pt) | 2006-09-12 |
| ES2308048T3 (es) | 2008-12-01 |
| CN100456729C (zh) | 2009-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4237754B2 (ja) | パーソナルリモートファイヤウォール | |
| KR100758733B1 (ko) | 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 | |
| US8095786B1 (en) | Application-specific network-layer virtual private network connections | |
| US7984157B2 (en) | Persistent and reliable session securely traversing network components using an encapsulating protocol | |
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| US7308710B2 (en) | Secured FTP architecture | |
| US7251824B2 (en) | Accessing a private network | |
| US20070271453A1 (en) | Identity based flow control of IP traffic | |
| JP2013523050A (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
| WO2002019651A2 (en) | Method and apparatus for providing network dependent application services | |
| EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
| WO2002047336A1 (fr) | Reseau prive virtuel | |
| WO2019167057A1 (en) | Relaying media content via a relay server system without decryption | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
| US20050086533A1 (en) | Method and apparatus for providing secure communication | |
| RU2316126C2 (ru) | Персональный удаленный межсетевой экран | |
| JP4380945B2 (ja) | 中継サーバ | |
| Cisco | Policy Management | |
| US20200287868A1 (en) | Systems and methods for in-band remote management | |
| KR20060096986A (ko) | 개인 원격 방화벽 | |
| JP2007189752A (ja) | 通信方法 | |
| JP2006352710A (ja) | パケット中継装置及びプログラム | |
| Heyman | A new virtual private network for today's mobile world |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080415 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080513 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081218 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |