JP4271062B2 - 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ - Google Patents
移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ Download PDFInfo
- Publication number
- JP4271062B2 JP4271062B2 JP2004065761A JP2004065761A JP4271062B2 JP 4271062 B2 JP4271062 B2 JP 4271062B2 JP 2004065761 A JP2004065761 A JP 2004065761A JP 2004065761 A JP2004065761 A JP 2004065761A JP 4271062 B2 JP4271062 B2 JP 4271062B2
- Authority
- JP
- Japan
- Prior art keywords
- filtering
- information
- authentication
- network
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
ファイアウォールは、セキュリティを高めたいエンドユーザの端末またはエンドユーザのネットワークと外部ネットワークの間に配置され、予め決められたパケットフィルタリングポリシに従い、外部ネットワークからエンドユーザの端末またはネットワークに向かうパケット、またはエンドユーザの端末またはネットワークから外部ネットワークヘ向かうパケットに対して、前記パケットが通過可能か否かを判断し、可能な場合は該パケットを通過させ、可能でない場合は該パケットを破棄する等のパケットフィルタリング処理を実施する。
前記フィルタリング処理のためのフィルタリングポリシは、IPアドレス、プロトコル種別、ポート番号、パケット方向、パケット通過の可否、または他の条件を結びつけ、1つのルールとし、複数ルールをまとめたものである。
1つ目は、図16に示すように、ファイアウォール20をエンドユーザの端末21の内部に具備する形態(以下、PCベースファイアウォールと称する)のもので、二つ目は、図17に示すように、ファイアウォール20を、エンドユーザのネットワークエッジとしてホームゲートウェイルータ等に具備する形態(以下、Customer Located Equipment;CLEベースファイアウォールと称する)のもので、いずれもエンドユーザまたはエンドユーザネットワーク管理者による独立のフィルタリングポリシで運用され、エンドユーザの端末21またはネットワーク22を外部ネットワーク24から守るために機能し利用される。
3つ目は、図18に示すように、ファイアウォール20が、独立のフィルタリングポリシで運用されセキュリティを高めたいエンドユーザ端末21またはネットワーク22を複数収容し、インターネットとして外部ネットワーク24に接続するネットワークエッジに機能配備される形態(以下、ネットワークベースファイアウォールと称する)のもので、エンドユーザの端末21またはネットワーク22を、外部、内部ネットワークから守るとともに、前記複数収容されるエンドユーザの端末21またはネットワーク22からの外部または内部ネットワークヘの不正トラヒック流出を抑えるために機能し利用される。なお、図16〜図18において、23はIP転送網である。
1つは、フィルタリングポリシをエンドユーザの端末21またはネットワーク22を収容するファイアウォール内部に保持するものであり、通常のファイアウォールはこの方法が用いられている。
もう1つは、例えば、図19−1、図19−2、図19−3に示すように、フィルタリングポリシをファイアウォール外部の外部装置(例えば、管理サーバ等)に保持し、複数のファイアウォールにフィルタリングポリシを配布するものである。
ここで、先に示した3つのファイアウォール形態(PCベースファイアウォール、CLEベースファイアウォール、ネットワークベースファイアウォール)の多くは、セキュリティポリシをファイアウォール内部に保持するものである。
外部サーバ等にて管理されるフィルタリングポリシを配布する方法を用いるファイアウォールに関しては、下記非特許文献1により、例えば、図19−1に示すような端末ベースファイアウォールヘの適用が示されており、また、非特許文献2により、例えば、図19−2に示すようなCLEベースファイアウォールヘの適用が示されている。
複数のファイアウォールヘフィルタリングポリシを分配する方法を用い、ファイアウォールヘ収容されるエンドユーザの端末21またはネットワーク22が、複数接続ポイントから動的にインターネットヘ接続、切断を行う場合のネットワークベースファイアウォールについては、下記非特許文献3に示されている。
しかし、非特許文献3に記載のネットワークベースファイアウォールは通信セッションを一度切断し、移動後再接続するネットワーク移動する状況に限定され、通信セッションを維持した状態でネットワーク内を移動可能な、例えば、モバイルIP環境への適用は想定していない。
通信セッションを維持した状態で複数ネットワークベースファイアウォールを移動するエンドユーザ端末21に対するパケットフィルタリングを実施する場合、フィルタリングポリシ以外にフィルタリング状態をも移動先々のネットワークベースファイアウォールヘ引き継ぐことが、効率的なフィルタリング処理、またはユーザの利便性上、重要であるが、それらは非特許文献3では、触れられておらず、下記非特許文献4において示されている。
非特許文献4では、ネットワークアーキテクチャとしてそのコンセプトが論じられており、詳細な実現方式として、前記フィルタリング状態をホームエージエントと連携して移動元のファイアウォールから引き継ぐ方式が示されている。
しかし、ホームネットワーク、ホームエージェントと連携した移動元ファイアウォールからのフィルタリング状態情報引継ぎは、本処理負荷によりホームエージェント本来の移動管理またはパケット転送処理性能に影響を及ぼす可能性があり、またネットワークベースファイアウォール間を次々と渡り歩き移動するエンドユーザの端末21に対する移動元ファイアウォールからのフィルタリング状態情報引継ぎ、適用処理性能が高速化できない可能性があり、また通信セッション維持可能な移動通信システムが今後ホームエージェントに依存しないことを想定した場合課題がある。
「Distributed Firewalls」(Nov.1999,Special Issue on Security,ISSN 1044-6397) 特表2002−544607公報「マネージメントデバイスから複数のネットワークセキュリティデバイスを管理する方法」 「ユビキタス環境に向けたネットワークベースファイアウォール」信学技報 NS2002-252,IN 2002-225(2003.3) 「A Study on User Security of an IP-based Mobile Network」(2003.3 電子情報信学会総合大会 講演番号 B-16-009)
モバイルIP環境におけるネットワークベースファイアウォールで、ユーザの移動に伴い収容されるネットワークヘの接続、切断を動的に行うだけでなく、移動先ネットワークヘのセッション維持可能なネットワークヘの接続をシームレスに行い、収容されるネットワークベースファイアウォールを変更する場合において、ファイアウォール内部にセキュリティポリシを保持する方法として、移動ユーザの端末の接続、切断または通信セッションが維持される接続に関係無く、全てのネットワークベースファイアウォールが収容する可能性のある移動ユーザの端末に関するフィルタリングポリシを全て保持することは有用でない。
従って、このような環境では、移動ユーザの端末の接続、切断または通信セッションが維持される接続に合わせ、保持するべきフィルタリングポリシを最適にフィルタリングポリシ管理する外部装置から判断取得する手段と、最適に保持する手段を有するネットワークベースファイアウォール装置が必要になる。
また、前記分散設置されたファイアウォールヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布量が装置性能を超えた場合、フィルタリングポリシが配布できなくなる。
従って、配布するフィルタリングポリシ量を抑える手段およびフィルタリングポリシ内容に合わせた配布手段を有するフィルタリングポリシ管理装置が必要になる。
従って、このようなモバイルIP移動ユーザの端末パケットに対するパケットフィルタリングとして、フィルタリング情報の一つである端末IPアドレスを気付けアドレスに読み替える手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IP(RFC2003 IP Encapsulation within IP, RFC2004 Minimal Encapsulation within IP)カプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力され、一様などちらかへのパケットフィルタリング対応ではフィルタリング精度に影響を及ぼす。
従って、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリングする手段を有するネットワークベースファイアウォール装置が必要となる。
また、前記モバイルIP通信ネットワークに適用されるネットワークベースファイアウォールにおいて、フィルタリングポリシを前記ユーザのネットワーク接続または通信セッションが維持される接続に合わせて、フィルタリングポリシを管理する外付けサーバから取得する場合、ユーザ毎のフィルタリングポリシの適用だけでは、特に移動ユーザの通信セッション維持が生かされたパケットフィルタリング処理をおこなうことは困難である。
従って、移動元ネットワークでの動的なフィルタリング状態情報や効率的なフィルタリング処理フロー情報等を、移動元ファイアウォールから引き継ぎ適用する手段を有するネットワークベースファイアウォール装置が必要となる。
また、本発明の他の目的は、前記移動情報通信対応認証連携型分散ファイアウォールシステムに適用されるファイアウォール装置、およびセキュリティポリシ管理サーバを提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
前記課題を解決するために、本発明の移動情報通信対応認証連携型分散ファイアウォールシステムでは、ファイアウォール装置が、固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、前記固定ユーザまたは移動ユーザの端末からの認証情報より、IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、セキュリティポリシ管理サーバとの通信手段と、ホームエージェント手段との通信手段と、前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザのフィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれるフィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有することを特徴とする。
また、本発明では、ファイアウォール装置が、装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする。
また、本発明では、前記認証サーバがRADIUSサーバであり、前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続が、PPPプロトコルにしがたい、前記認証には、PAPまたはCHAPが用いられることを特徴とする。
(1)本発明によれば、インターネットまたはユビキタスネットワークとして外部ネットワークに接続する、固定ユーザ端末、または通信セッション維持しながら複数のアクセスネットワークを移動する固定ユーザまたは移動ユーザの端末、または前記ユーザネットワークまたはユーザアクセス回線等に対し、外部または内部ネットワークからの不正アクセス、不正トラヒック等から保護するための、あるいは前記固定ユーザまたは移動ユーザの端末または前記ユーザネットワークからの外部または内部ネットワークに対する不正トラヒック流出を防止することが可能なネットワークベースのファイアウォールシステムにおいて、モバイルIP環境におけるホームネットワークとしての固定ユーザの端末だけでなく、移動ユーザとしてモバイルIPが適用されたネットワークシステムにおける移動ユーザの端末パケットに対するパケットフィルタリングを実施することが可能となる。
(2)本発明によれば、移動ユーザとして、特に、無線アクセスユーザにとって、通信アクセス帯域が狭いアクセス環境、または移動ユーザ端末として、特に、端末リソースが少ない端末環境において、通信セッション維持可能な移動環境をサポート可能な本ネットワークベースファイアウォールは、不正アクセスまたはトラヒックによるアクセス回線の占有や、携帯端末におけるパケット単位の不正課金を解消することが可能とある。
(4)本発明によれば、ネットワークベースファイアウォールには、多数の固定ユーザまたは移動ユーザの端末が接続されるため、多量のフィルタリングポリシを取得する場合があるが、前記ネットワーク接続または通信セッションが維持される接続に合わせ保持するべきフィルタリングポリシを最適にフィルタリングポリシを管理する外部装置から判断取得し、最適に保持することにより、ネットワークベースファイアウォールの内部リソースまたは本来のフィルタリングおよび転送処理用のリソース浪費を解消し、フィルタリングおよび転送性能に影響を及ぼすのを防止することが可能となる。
(5)本発明によれば、分散設置されたファイアウォール装置ヘ、管理しているフィルタリングポリシを配布する外部装置においても、配布するフィルタリングポリシ量を抑え、フィルタリングポリシ内容に合わせた配布方法により、配布量が装置性能を超えフィルタリングポリシが配布できなくなる問題を解消することが可能となる。
(7)本発明によれば、前記モバイルIP環境では、ある移動ユーザにとっては移動先ネットワークであっても、移動先ネットワークをホームネットワークとして通信するユーザが混在しており、モバイルIPによりIP in IPカプセル化されたトンネルパケットと前記カプセル化されないパケットが前記ファイアウォールに混在し入力されるが、前記カプセル化されたトンネルパケットと通常パケットを識別しパケットフィルタリング可能であるため、固定または移動ユーザを限定せず、フィルタリング精度を保持することが可能となる。
(9)本発明によれば、フィルタリングポリシを、ネットワークにおいて一元管理または分散管理し、移動ユーザの移動先々のネットワークベースファイアウォールヘ適用することで、ネットワーク管理者として内部ネットワークセキュリティポリシを容易に制御でき、ユーザのセキュリティポリシ管理も容易に把握することが可能となる。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
本実施例では、本発明のネットワークベースファイアウォールが適用されるIP転送網またはIP転送システムとして、モバイルIP網またはモバイルIP通信システムの場合の、移動ユーザの端末パケットに対するパケットフィルタリングの形態について説明する。
図1は、本発明の実施例の移動情報通信対応認証連携型分散ファイアウォールシステムのシステム構成を示すブロック図である。
モバイルIPシステムにおける固定ユーザ端末5と、移動ユーザ端末6、6は、複数のアクセスネットワーク41、42を介して、IP転送網1へ接続され、また、複数の外部ネットワーク3が接続されインターネット2へ接続される。
IP転送網1には、複数のファイアウォール装置81、82が分散設置され、また、認証サーバ9とセキュリティポリシ管理サーバ10が接続される。ここで、認証サーバ9は、例えば、RADIUSサーバ(Remote Authentication Dial In User Service)であり、認証には、PAP(Password Authentication Protocol)またはCHAP(Challenge Handshake Authentication Protocol)が用いられる。
また、モバイルIPシステム(Mobile IP:Mobile IPv6/Mobile IPv4 , RFC3344 IP Mobility Support for IPv4)として、移動端末6の移動管理エージェントとしてホームエージェント7が接続される。なお、ホームエージェント7に代えて、ホームエージェント相当のモバイルIP管理ホームエージェントを使用してもよい。
前記ファイアウォール装置81は、有線アクセスネットワーク41と、有線アクセスネットワーク41に接続される固定ユーザ端末5と、有線アクセスネットワーク41をホームネットワークとする移動ユーザ端末6を収容し、固定ユーザ端末5と移動ユーザ端末6のパケットに対するパケットフィルタリングを実施する。
また、移動ユーザ端末6の移動先ファイアウォールとしてのファイアウォール装置82は、無線アクセスネットウーク42と、移動して接続される移動ユーザ端末6を収容し、移動ユーザ端末6のパケットに対するパケットフィルタリングを開始する。
移動ユーザ端末6は、例えば、無線LAN等の無線接続方式で、無線アクセスネットワーク42を介し、移動ユーザ端末6の移動先としての移動先ファイアウォール装置82またはIP転送網1に接続される。
固定ユーザ端末5としては、例えば、デスクトップ型パーソナルコンピュータが使用され、移動ユーザ端末6としては、例えば、ノート型携帯パーソナルコンピュータが使用される。
固定ユーザ端末5と移動ユーザ端末6は、アクセスネットワーク41を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP(Point-to-point Protocol)接続認証方式で接続し、前記端末5または端末6に対する全てパケットは前記ファイアウォール装置81を通過するものとする。
また、移動ユーザ端末6は、移動後のアクセスネットワーク42を介してIP転送網1に接続される認証サーバ9に従った、例えば、PPP接続認証方式およびモバイルIPシステムで通信セッションを維持するホームエージェント7とネットワーク接続し、移動後の移動ユーザ端末6に対する全てパケットは前記ファイアウォール装置82を通過するものとし、移動ユーザ端末6のパケットフィルタリングは移動先最寄のファイアウォール装置82で実施される。
ファイアウォール装置81、82は、移動ユーザ端末6がアクセスネットワーク41に対しネットワーク移動し、移動先にて収容されるファイアウォール装置82へ変わっても、ユーザ毎の事前登録された静的なフィルタリングポリシを継続適用するとともに、移動元ファイアウォール装置81にて動的に生成されるフィルタリング状態ポリシを引継適用し、移動ユーザ端末6のパケットに対し、パケットフィルタリングを実施するにあたり、移動ユーザ端末6のパケットに対してパケットフィルタリングを実施する仮想ファイアウォール801を少なくとも1つ有する。
ファイアウォール装置81、82は、パケットフィルタリングを行うための静的なフィルタリングポリシを保持するフィルタリングテーブルとして、ユーザ毎のフィルタリングポリシを保持する個別フィルタリングテーブル803と、複数のユーザに共通するまたは複数のユーザで共有するフィルタリングポリシを保持する共通フィルタリングテーブル802を少なくとも1つ有する。
また、パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォールの識別子(以下、仮想ファイアウォール識別子)、共通フィルタリングテーブルの識別子(以下、共通フィルタリングテーブル識別子)、個別フィルタリングテーブルの識別子(以下、個別フィルタリングテーブル識別子)を対応管理する振分管理テーブル806を有する。
さらに、固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPI(Stateful Packet lnspection)におけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理するフィルタリングステートテーブル804を少なくとも1つ有する。
ファイアウォール装置81、82は、移動ユーザ端末6が、IP転送網1へのネットワーク接続可能か否か、またはネットワーク移動に伴う通信セッション維持するネットワーク接続が可能か否か、端末からの認証情報より判断する認証サーバ9と通信する。
認証サーバ9は、認証情報部901と、固定ユーザパケット情報部902と、移動ユーザパケット情報部903とから構成され、
また、移動ユーザ端末6の移動に伴う通信セッション維持可能なIP転送網1として、モバイルIP技術または拡張されたモバイルIP技術があり、モバイルIP転送網またはモバイルIP転送システムにおける、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先ネットワークで認証サーバ9から取得した移動ユーザパケット情報を登録応答するホームエージェント7と通信する。
ホームエージェント7は、固定ユーザパケット情報部701と、移動ユーザパケット情報部702とから構成される。
セキュリティポリシ管理サーバ10は、共通フィルタリングテーブル802に書込まれるフィルタリングポリシと、認証情報と対応付けられた個別フィルタリングテーブル803に書込まれるフィルタリングポリシとを管理するフィルタリングポリシ管理テーブル1001と、認証情報と対応付けられた振分管理テーブル806に書き込まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを管理する振分識別子管理テーブル1002と、移動元ファイアウォール装置81にて保持済みの移動ユーザ端末6のフィルタリングステート情報を、移動先アクセスネットワーク42を収容する移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込むためのキャッシュとしてのフィルタリングステートキャッシュテーブル1005と、分散設置されるファイアウォール装置情報を管理するファイアウォール情報管理テーブル1003と、認証情報とフィルタリングポリシを配布した移動元ファイアウォール装置情報が対応付けられたポリシ配布履歴管理テーブル1004とから構成される。
本実施例のファイアウォール装置は、認証サーバ9での認証と連携し、振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、セキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、個別フィルタリングテーブル803に書き込まれる固定ユーザまたは移動ユーザのフィルタリングポリシを、前記セキュリティポリシ管理サーバ10から取得し、ファイアウォール装置81、82の立ち上げまたは再開処理を契機に、共通フィルタリングテーブル802に書き込まれるフィルタリングポリシをセキュリティポリシ管理サーバ10から取得し、認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10へ転送し、あるいは認証サーバ9での認証と連携し、フィルタリングステートテーブル804に書き込まれるフィルタリングステート情報を、セキュリティポリシ管理サーバ10から取得し、ホームエージェント7への移動ユーザパケット情報の登録応答と連携し、移動ユーザパケット情報を、ホームネットワークとしてアクセスネットワーク41にて使用していたユーザパケット情報と対応付けて振分管理テーブル806へ書き込み、移動先アクセスネットワーク42をホームネットワークとしてネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワーク42として通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングすることがあげられる。
移動先ファイアウォール装置82は、移動ユーザ端末6の通信セッションを維持するためのネットワーク接続認証時の、ユーザ認証シーケンスまたは認証制御パケットを監視し、移動ユーザ端末6からのユーザを識別可能な情報を含む認証情報を受信すると、当該認証情報を保持し、当該認証情報を認証サーバ9に中継、通知する。
認証サーバ9から認証応答を受信し、認証応答が認証承認の場合、認証応答に含まれる移動ユーザパケット情報を、移動ユーザ端末6が、ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、セキュリティポリシ管理サーバ10との通信を開始する。
次に、移動ユーザ端末6のパケットフィルタリングを実施するにあたり、移動ユーザ端末6のセキュリティポリシ管理サーバ10との通信動作を説明する。
認証サーバ9での認証と連携したセキュリティポリシ管理サーバ10との通信として、移動先ファイアウォール装置82は、認証サーバ9からの認証応答に含まれる移動ユーザ端末6の移動ユーザパケット情報を受信し保持した後、保持している移動ユーザ端末6を識別可能な認証情報を、セキュリティポリシ管理サーバ10に通知する。
認証情報の通知の応答として、セキュリティポリシ管理サーバ10から識別子応答を受信し、識別子応答に含まれる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を保持し、保持済みの移動ユーザパケット情報とを対応付け、振分管理テーブル806に書き込む。
セキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知の応答として、セキュリティポリシ管理サーバ10からのフィルタリングステート応答を受信し、フィルタリングステート応答に含まれる移動元ファイアウォール装置81にて保持されたフィルタリングステート情報を保持する。
ここで、移動元ファイアウォール装置81は、移動先ファイアウォール装置のセキュリティポリシ管理サーバ10への個別フィルタリングテーブル803の書き込み完了通知を契機とした、移動元ファイアウォール装置81のフィルタリングステート情報に対するセキュリティポリシ管理サーバ10からの認証情報を含む転送依頼通知の応答として、セキュリティポリシ管理サーバ10へ移動ユーザ端末6のフィルタリングステート情報を転送済みである。
そこで、保持済みのフィルタリングステート情報を移動先ファイアウォール装置82のファイアウォール部800のフィルタリングステートテーブル804に書込み、移動先ファイアウォール装置82において、振分管理テーブル806の書込みと、個別フィルタリングテーブル803の書き込みと、フィルタリングステートテーブル804の書込み完了後、移動ユーザ端末6へ認証承認として、移動パケットユーザ情報を通知する。
移動先ファイアウォール装置82は、ホームエージェント7との通信手段として、移動先アクセスネットワーク42における移動ユーザ端末6の認証承認の通知後、移動先ファイアウォール装置82は、移動ユーザ端末6の移動先アクセスネットワーク42にて生成した移動ユーザパケット情報、または移動先アクセスネットワークで認証サーバ9から取得した移動ユーザパケット情報を、移動元アクセスネットワークまたはホームエージェント7への登録応答シーケンスまたは登録応答パケットを監視し、登録応答に含まれる移動ユーザパケット情報を保持し、ホームネットワークとしての移動元アクセスネットワーク41で取得した固定ユーザとしての固定ユーザパケット情報と対応付け、振分管理テーブル806へ書き込み、移動ユーザパケット情報を既に移動先アクセスネットワーク42で認証サーバ9から取得し、振分管理テーブル806へ書き込み済みの場合は、固定ユーザパケット情報と対応付け、振分管理テーブル806へ上書きする。
共通フィルタリングテーブル802に書き込まれる複数ユーザに共通または共有するフィルタリングポリシとしての共通フィルタリングポリシを、ファイアウォール装置81、82は、自装置の立ち上げまたは再開処理を契機にセキュリティポリシ管理サーバ10から取得する。
ファイアウォール装置81、82の立ち上げまたは再開処理時、例えば、ファイアウォール装置18、82は、ファイアウォール装置情報をセキュリティポリシ管理サーバ10へ通知し、ファイアウォール装置情報の通知に対するセキュリティポリシ管理サーバ10からの応答として、当該応答に含まれる共通フィルタリングテーブル情報を保持し、共通フィルタリングテーブル802に書き込む。これにより、移動ユーザ端末6の移動に関わらず、共通フィルタリングポリシは事前に移動先ファイアウォール装置82に保持されることになる。
アクセスネットワークの移動に伴う通信セッション維持された移動ユーザ端末6のパケットに対し、移動先ファイアウォール装置82は、モバイルIPシステムにおいて、移動先アクセスネットワーク42をホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先アクセスネットワークとして通信する移動ユーザ端末6のパケットであるか認識し、パケットフィルタリングする動作として、移動先ファイアウォール装置82は、移動先ユーザの端末6のホームエージェント7への移動ユーザパケット情報登録後、移動ユーザ端末6から送信されるパケットまたは移動ユーザ端末6宛のパケットを受信し、移動ユーザ端末6のパケットの転送ヘッダ情報またはホームネットワークとしてホームエージェントからのモバイルIPトンネル転送のためカプセル化される場合の移動ユーザ端末6のパケットの転送ヘッダ情報に対し、転送ヘッダ情報に含まれる固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分け、当該パケットを共通フィルタリングテーブル802と、個別フィルタリングテーブル803と、フィルタリングステートテーブル804を適用しパケットフィルタリングする。
ファイアウォール装置82に収容される移動ユーザ端末6が、IP転送網1におけるネットワーク接続切断時、または他のファイアウォール装置収容のアクセスネットワーク配下へ移動時に、移動元ファイアウォール装置となるファイアウォール装置82は、保持していた固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、振分管理テーブル806を参照し、固定ユーザパケット情報または移動ユーザパケット情報と対応付けられ保持エントリされた仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、保持エントリを一定時間後無効とし、抽出仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされる個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブル803を一定時間後無効とする。
事前にセキュリティポリシ管理サーバ10が有するテーブルとして、認証情報と、少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブル1001を有し、このフィルタリングポリシ管理テーブル1001に記載されたフィルタリングポリシは、ファイアウォール装置81、82が有する共通フィルタリングテーブル802または個別フィルタリングテーブル803へ書込まれる。
また、認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子が対応付けられた振分識別子管理テーブル1002を有し、この振分識別子管理テーブル1002内の情報は、ファイアウォール装置81、82が有する振分管理テーブル806へ書き込まれ。
また、認証情報と、移動元ファイアウォール装置81から取得したフィルタリングステート情報が対応付けられたフィルタリングステートキャッシュテーブル1005を有し、このフィルタリングステートキャッシュテーブル1005の情報は、ファイアウォール装置81、82が有するフィルタリングステートテーブル804へ書き込まれる。
また、全てのファイアウォール装置情報と、固定ユーザまたは移動ユーザの認証情報と対応付けられたファイアウォール情報管理テーブル1003を有し、これにより、ファイアウォール装置81、82が立ち上げまたは再開処理時、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシの転送先ファイアウォール装置を特定する。
また、個別フィルタリングテーブル803に書き込まれたフィルタリングポリシ転送履歴として、過去の転送元ファイアウォール81の情報と、固定ユーザまたは移動ユーザの認証情報とが対応付けられたポリシ配布履歴管理テーブル1004を有し、これにより、フィルタリングステート情報の取得時取得先の移動元ファイアウォール81を特定する。
セキュリティポリシ管理サーバ10は、認証サーバ9での認証と連携し、移動ユーザ端末6の移動先ファイアウォール装置82が有する振分管理テーブル806に書き込まれる移動ユーザ端末6の仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、移動先ファイアウォール装置82へ通知し、認証サーバ9での認証と連携し、移動先ファイアウォール装置82が有する個別フィルタリングテーブル803に書き込まれるフィルタリングポリシを、移動ユーザ端末6を収容する移動先ファイアウォール装置82へ通知する。
ここで、移動先ファイアウォール装置82が有する共通フィルタリングテーブル802に書き込まれるフィルタリングポリシは、移動ユーザ端末6の移動と関係なく、事前にファイアウォール装置82の立ち上げ時に移動先ファイアウォール装置82へ通知してある。
転送依頼としての移動ユーザ端末6の認証情報通知に対する応答に含まれる移動ユーザ端末6のフィルタリングステート情報をセキュリティポリシ管理サーバ10が有するフィルタリングステートキャッシュテーブル1005へ保持し、移動先ファイアウォール装置82からの移動ユーザ端末6の個別フィルタリングテーブル803の書き込み完了応答受信を契機に、保持している移動ユーザ端末6のフィルタリングステート情報を移動先ファイアウォール装置82へ転送する。
なお、移動ユーザ端末6のフィルタリングステート情報の移動先ファイアウォール装置82への転送後、フィルタリングステートキャッシュテーブル1005の移動ユーザ端末6のフィルタリングステート情報としての保持エントリを無効にする。
図1のシステム構成において、本実施例のファイアウォール装置81は、固定ユーザの端末5または移動ユーザ端末6を収容しており、移動ユーザ端末6は移動元ファイアウォール装置81において最初のネットワーク接続し、モバイルIPシステムによる通信セッションを維持しつつ、移動先ファイアウォール装置82へ移動する場合における移動ユーザ端末6のパケットに対するフィルタリングポリシ取得またはパケットフィルタリング動作を説明する。
図15−1では、ファイアウォール装置81、82の共通フィルタリングテーブル802へ書き込まれるセキュリティポリシは、全ユーザ共通のフィルタリングポリシであるため、事前に装置内に保持しておくことが可能である。
そこで、移動ユーザ端末6にとって移動元となるファイアウォール装置81と移動先となるファイアウォール装置82は、自装置立ち上げの際、セキュリティポリシ管理サーバ10から取得する。
移動先または移動元ファイアウォール装置81、82は、自装置立ち上げ時(ステップ10−1)、セキュリティポリシ管理サーバ10ヘファイアウォール装置識別子を通知する(ステップ10−2)。
同時に、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004にヘポリシ配布履歴情報を書き込む(ステップ10−5)。
一方、フィルタリングポリシを受信した移動先または移動元ファイアウォール装置81、82は、共通フィルタリングテーブルヘ書き込み動作する(ステップ10−6)。
以上により、移動先または移動元ファイアウォール装置81、82は、移動ユーザ端末6のネットワーク接続に関わらず、共通フィルタリングテーブル802へ書き込まれるフィルタリングポリシを事前に保持することを可能にする。
まず移動ユーザ端末6は、移動元ファイアウォール装置81を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−1)。
移動元ファイアウォール装置81は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持し(ステップ11−2)、認証サーバ9へユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ11−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、図3に示す認証情報部901に基づき判断し(ステップ11−4)、図4に示す固定ユーザパケット情報部902よりIPアドレス(IP_1)を決定するとともに、固定ユーザパケット情報部902のIPアドレス使用中フラグを立てる(ステップ11−5)。
認証サーバ9にて決定されたIPアドレス(IP_1)は、移動ユーザ端末6に対し送信されるが(ステップ11−6)、ここで認証パケットを監視している移動元ファイアウォール装置81にて一時保持され(ステップ11−7)、移動ユーザ端末6に対するパケットフィルタリングに必要な情報をセキュリティポリシ管理サーバ10から取得する動作、つまり認証と連携してフィルタリングポリシの動的な適用を開始する。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、図11に示す振分識別子管理テーブル1002からユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ11−9)、移動元ファイアウォール装置81へ通知する(ステップ11−10)。
移動元ファイアウォール装置81は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、図9に示す振分管理テーブル806へ、既に保持している移動ユーザ端末6の固定ユーザパケット情報(IP_1)と対応付けて書き込む(ステップ11−11)。
次に、移動元ファイアウォール装置81は、書き込み済みの振分管理テーブル806の個別フィルタリングテーブル識別子をセキュリティポリシ管理サーバ10へ送信する(ステップ11−12)。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、図10−2に示すフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ11−13)、移動元ファイアウォール装置81へ通知する(ステップ11−14)。
移動元ファイアウォール装置81は、通知されたフィルタリングポリシを、図7に示す個別フィルタリングテーブル803へ書き込む(ステップ11−16)。
ここで、セキュリティポリシ管理サーバ10は、図13に示すポリシ配布履歴管理テーブル1004ヘ、ユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込んでおく(ステップ11−15)。
以降は、移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動元ファイアウォール装置81へ到着すると(ステップ11−18)、固定ユーザパケット情報(IP_1)を検索キーとして、図9に示す振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−19)、図8に示すフィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−20)と、図6に示す共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−21)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−23)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−22、ステップ11−24)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ11−25)。
また、外部ネットワーク3またはインターネット2からの移動ユーザ端末6宛てのパケットが到着すると(ステップ11−26)、固定ユーザパケット情報(IP_1)を検索キーとして振分管理テーブル806を参照し、共通または個別フィルタリングテーブル識別子を抽出し(ステップ11−27)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ11−28)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ11−29)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ11−31)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ11−30、ステップ11−32)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ11−33)。
移動ユーザ端末6は、移動先ファイアウォール装置82を介し、認証サーバ9へ認証情報としてのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−1)。
移動先ファイアウォール装置82は、移動ユーザ端末6からの認証サーバ9への認証パケットを監視し、ユーザ名(ユーザ6)を保持した後(ステップ12−2)、認証サーバ9へのユーザ名(ユーザ6)とパスワード(β)を送信する(ステップ12−3)。
認証サーバ9では、認証情報としてのユーザ名(ユーザ6)とパスワード(β)から、ネットワーク接続可能か否かを、認証情報部901より判断し(ステップ12−4)、図5に示す移動ユーザパケット情報部903より、モバイルIPとして気付けアドレス(IP_11)を決定するとともに、移動ユーザパケット情報部903のIPアドレス使用中ララグを立てる(ステップ12−5)。
認証サーバ9からの移動ユーザパケット情報(IP_11)を移動先ファイアウォール82にて保持後、移動先ファイアウォール装置82は既に保持しているユーザ名(ユーザ6)をセキュリティポリシ管理サーバ10へ送信する(ステップ12−8)。
ユーザ名(ユーザ6)を受信したセキュリティポリシ管理サーバ10は、振分識別子管理テーブル1002から、ユーザ名(ユーザ6)を検索キーとして、仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を抽出し(ステップ12−9)、移動先ファイアウォール装置82へ通知する(ステップ12−10)。
移動先ファイアウォール装置82は、通知された仮想ファイアウォール識別子、共通フィルタリング識別子、個別フィルタリング識別子を、振分管理テーブル806へ既に保持している移動ユーザ端末6の移動ユーザパケット情報(IP_11)と対応付けて書き込む(ステップ12−11)。
個別フィルタリングテーブル識別子を受信したセキュリティポリシ管理サーバ10は、のフィルタリングポリシ管理テーブル1001から、個別フィルタリングテーブル識別子を検索キーとして、フィルタリングポリシを抽出し(ステップ12−13)、移動先ファイアウォール装置82へ通知する(ステップ12−14)。
移動先ファイアウォール装置82は、通知されたフィルタリングポリシを、個別フィルタリングテーブル803へ書き込む(ステップ12−17)。
ここで、セキュリティポリシ管理サーバ10は、ポリシ配布履歴管理テーブル1004ヘユーザ名(ユーザ6)とファイアウォール装置情報と対応付けてフィルタリングポリシ配布履歴を書き込む(ステップ12−15)とともに、ユーザ名(ユーザ6)を検索キーとしてポリシ配布履歴管理テーブル1004を参照し、移動元ファイアウォール装置81を特定する(ステップ12−16)。
これは、次のステップである動的なフィルタリングポリシとして、フィルタリングステート情報をセキュリティポリシ管理サーバ10経由で移動元ファイアウォール装置81から取得する上で必要となる。
フィルタリングポリシを取得した後、移動先ファイアウォール装置82はセキュリティポリシ管理サーバ10ヘユーザ名含めたフィルタリングステート情報転送依頼を通知する(ステップ12−18)。
セキュリティポリシ管理サーバ10は、受信した転送依頼通知に含まれるユーザ名(ユーザ6)を検索キーとして、フィルタリングステートキャッシュテーブル1005からフィルタリングステート情報を抽出し(ステップ12−19)、移動先ファイアウォール装置82へ転送する(ステップ12−20)。
転送されたフィルタリングステート情報は、移動先ファイアウォール装置82のフィルタリングステートテーブル804へ書き込まれる(ステップ12−21)。
以上、モバイルIP通信システムにおける移動ユーザ端末6のパケットに対するパケットフィルタリング上必要な情報を取得後、移動ユーザ端末6認証シーケンスを再開させ、移動ユーザ端末6へ、認証サーバ9からの移動ユーザパケット情報(IP_11)を通知する(12−22)。
移動ユーザ端末6は、移動先ファイアウォール装置82にて、セキュリティポリシ管理サーバ10よりフィルタリングポリシを取得した後、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレスを、ホームエージェント7への登録応答動作と連携して取得したフィルタリングポリシヘも適用し、モバイルIPパケットのパケットフィルタリングを実施する。
まずモバイルIPシステム動作として、認証サーバ9より付与された、または移動先ネットワークにおいて生成されたモバイルIP気付けアドレス(IP_11)を、移動先ファイアウォール装置82を介してホームエージェント7へ送信する(ステップ13−1)。
モバイルIPシステムにおける移動ユーザ端末6とホームエージェント7との気付けアドレス登録応答パケットを監視する移動先ファイアウォール装置82は、ホームエージェント7へ登録される気付けアドレス(IP_11)を保持した後(ステップ13−2)、ホームエージェント7へ送信する(ステップ13−3)。
移動先ファイアウォール装置82は登録応答に対し、ホームエージェント7からの登録応答にふくまれる固定ユーザパケット情報(IP_1)を検索キーとして、振分管理テーブル806から振分情報を抽出し(ステップ13−7)、気付けアドレスとしての移動ユーザパケット情報(IP_11)と対応付けて再書き込みする(ステップ13−8)。
ここで、認証サーバ9から気付けアドレス(IP_11)を取得済みの場合、前述の図15−3のステップ12−11で既に対応つけて管理済みであるため、再確認した上で上書き処理することを補足する。
気付けアドレスとしての移動ユーザパケット情報の振分管理テーブル806への対応付けて管理後、移動ユーザ端末6に対し、ホームエージェント7からの登録応答シーケンスを再開する(ステップ13−9)。
以降は、モバイルIPシステムにおける移動ユーザ端末6のパケットに対するパケットフィルタリングとして、移動ユーザ端末6からのパケットが移動先ファイアウォール装置82へ到着すると(ステップ13−10)、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−11)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−12)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−13)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−15)を実施するとともに、各フィルタリング状態情報はフィルタリングステートテーブル804へ書き込んだ後(ステップ13−14、ステップ13−16)、外部ネットワーク3またはインターネット2ヘフィルタリングされたパケットを送信する(ステップ13−17)。
カプセル化転送されたモバイルIPパケットを移動先ファイアウォール82で受信すると、移動ユーザパケット情報(IP_11)を検索キーとして、振分管理テーブル806を参照し共通または個別フィルタリングテーブル識別子を抽出し(ステップ13−21)、フィルタリングステートテーブル804によるパケットフィルタリング(ステップ13−22)と、共通フィルタリングテーブル802によるパケットフィルタリング(ステップ13−23)と、個別フィルタリングテーブル803によるパケットフィルタリング(ステップ13−25)を実施するとともに、各フィルタリング状態情報を、フィルタリングステートテーブル804へ書き込んだ後(ステップ13−24、13−26)、移動ユーザ端末6ヘフィルタリングされたパケットを送信する(ステップ13−27)。
セキュリティポリシ管理サーバ10は、移動ユーザ端末6の移動先ファイアウォール装置82におけるフィルタリングポリシの通知と同時に、移動元ファイアウォール装置81を、前述の図15−3のステップ12−16により特定し、移動元ファイアウォール装置81へ、移動ユーザ端末6に対するユーザ名(ユーザ6)を含む、フィルタリングステート情報転送依頼を通知する(ステップ14−1)。
移動元ファイアウォール装置81は、フィルタリングステート情報転送依頼に含まれるユーザ名(ユーザ6)を検索キーに、フィルタリングステートテーブル804を参照し、フィルタリングステート情報を抽出し(ステップ14−2)、セキュリティポリシ管理サーバ10へ転送する(ステップ13−3)。
セキュリティポリシ管理サーバ10は、移動先ファイアウォール装置82へ転送するために、受信したフィルタリングステート情報をフィルタリングステートキャッシュテーブル1005へ書き込む(ステップ14−4)。
以降、前述の図15−3のステップ(12−18、12−19)のとおり、移動先ファイアウォール装置81からのフィルタリングステート情報転送依頼を契機に転送する。
移動ユーザ端末6が、ネットワーク接続を切断すると、切断要求が認証サーバ9へ送信される(ステップ15−1)。
移動元または移動先ファイアウォール装置81、82は、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとして、振分管理テーブル806のエントリをタイマ処理と連動して削除する(ステップ15−2)。
また、振分管理テーブル806のエントリ削除時に抽出された個別フィルタリングテーブル識別子を検索キーとして、個別フィルタリングテーブル803のエントリをタイマ処理と連動して削除する(ステップ15−3)。
また、固定ユーザパケット情報と移動ユーザパケット情報を検索キーとしてフィルタリングステートテーブル804のエントリをタイマ処理と連動して削除する(ステップ15ー4)。
以上のファイアウォール装置内の各テーブルエントリの削除後、認証サーバ9へのネットワーク切断要求シーケンスを再開し(ステップ15−5)、切断要求受信した認証サーバ9は、固定ユーザパケット情報部902、または移動ユーザパケット情報部903の使用中フラグを未使用フラグヘ変更する(ステップ15−6)。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
一方、ユーザはユビキタスコンピューティングをはじめ、いつでもどこでもコンピュータをネットワークに接続するモバイルコンピューティングが加速しており、本発明の移動性を考慮したセキュリティシステムとしてのファイアウォールシステムは、今後のユビキタスコンピューティングにおいて高性能、高機能なネットワークセキュリティ環境を提供可能とするものであり、エンドユーザにとってのみならず、通信事業会社および企業ネットワークに対する需要は非常に高くなるものと思われる。
2 インターネット
3,24 外部ネットワーク
41、42 アクセスネットワーク
5 固定ユーザの端末
6 移動ユーザの端末
7 モバイルIPシステムにおけるホームエージェント
701 ホームエージェントの固定ユーザパケット情報部
702 ホームエージェントの移動ユーザパケット情報部
81,82 ファイアウォール装置
800 ファイアウォール装置のファイアウォール部
801 ファイアウォール装置の仮想ファイアウォール
802 ファイアウォール装置の共通フィルタリングテーブル
803 ファイアウォール装置の個別フィルタリングテーブル
804 ファイアウォール装置のフィルタリングステートテーブル
805 ファイアウォール装置のIP処理部
806 ファイアウォール装置の振分管理テーブル
9 認証サーバ
901 認証サーバの認証情報部
902 認証サーバの固定ユーザパケット情報部
903 認証サーバの移動ユーザパケット情報部
10 セキュリティポリシ管理サーバ
1001 セキュリティポリシ管理サーバのフィルタリングポリシ管理テーブル
1002 セキュリティポリシ管理サーバの振分識別子管理テーブル
1003 セキュリティポリシ管理サーバのファイアウォール情報管理テーブル
1004 セキュリティポリシ管理サーバのポリシ配布履歴管理テーブル
1005 セキュリティポリシ管理サーバのフィルタリングステートキャッシュテーブル
20 ファイアウォール
21 端末
22 セキュリティを高めたいネットワーク
25 外部装置
Claims (18)
- 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムであって、
前記ファイアウォール装置は、前記固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、
前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、
パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、
前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、
前記固定ユーザまたは移動ユーザの端末からの認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、
前記セキュリティポリシ管理サーバとの通信手段と、
前記ホームエージェント手段との通信手段と、
前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザの個別フィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、
前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、
前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、
移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有し、
前記セキュリティポリシ管理サーバは、前記認証情報と少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブルと、
前記認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とが対応付けられた振分識別子管理テーブルと、
前記認証情報と、移動元ファイアウォール装置から取得したフィルタリングステート情報とが対応付けられたフィルタリングステートキャッシュテーブルと、
全てのファイアウォール装置情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたファイアウォール情報管理テーブルと、
過去の転送元ファイアウォール情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたポリシ配布履歴管理テーブルとを有し、
前記ホームエージェント手段は、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報、または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を、前記移動ユーザの端末の移動元ネットワークで使用していた固定ユーザパケット情報とを対応づけて登録する手段を有することを特徴とする移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記ネットワーク接続認証時のユーザ認証シーケンスまたは認証制御パケットを監視し、前記固定ユーザまたは移動ユーザの端末からのユーザを識別可能な情報を含む認証情報を受信し、前記認証情報を保持する手段と、
前記認証情報を認証サーバに中継、通知する手段と、
前記認証サーバから認証応答を受信し、前記認証応答が認証承認の場合、前記認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を、前記固定ユーザまたは移動ユーザの端末が前記ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、前記セキュリティポリシ管理サーバとの通信を開始する手段とを有することを特徴とする請求項1に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記認証サーバからの認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を受信し保持した後、前記保持しているユーザを識別可能な前記認証情報を、前記セキュリティポリシ管理サーバに通知する手段と、
前記認証情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを受信し、当該受信した仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、前記保持済みの固定ユーザパケット情報または移動パケット情報と対応付けて前記振分管理テーブルに書き込むとともに、当該受信した個別フィルタリングポリシを前記個別フィルタリングテーブルに書込む手段と、
前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを各テーブルに書き込んだ後に、前記セキュリティポリシ管理サーバから通知される、移動元ファイアウォール装置にて保持されていたフィルタリングステート情報を受信し、当該受信したフィルタリングステート情報を、前記フィルタリングステートテーブルに書込む手段と、
前記移動元ファイアウォールのフィルタリングステート情報に対する前記セキュリティポリシ管理サーバからの前記認証情報を含む転送依頼通知を受信して、前記セキュリティポリシ管理サーバヘ前記移動ユーザのフィルタリングステート情報を転送する手段と、
前記振分管理テーブルへの書込み、前記個別フィルタリングテーブルへの書込み、および前記フィルタリングステートテーブル書込み完了後、前記固定ユーザまたは移動ユーザの端末へ認証承認として、固定ユーザパケット情報または移動パケットユーザ情報を通知する手段とを有することを特徴とする請求項2に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記移動先ネットワークにおける移動ユーザの前記認証承認の通知後、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を移動元ネットワークまたはホームエージェント手段ヘの登録応答シーケンスまたは登録応答パケットを監視し、前記登録応答に含まれる移動ユーザパケット情報を、ホームネットワークで取得した固定ユーザとしての固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動ユーザパケット情報を既に移動先ネットワークで前記認証サーバから取得し、書き込み済みの場合、前記固定ユーザパケット情報と対応付け、前記振分管理テーブルヘ上書きする手段とを有することを特徴とする請求項3に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、自装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、
前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする請求項1ないし請求項4のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記固定ユーザのネットワーク接続が認証承認後、または移動先ユーザの前記ホームエージェント手段ヘの移動ユーザパケット情報登録後、前記固定ユーザまたは移動ユーザの端末から送信されるパケットまたは前記固定ユーザまたは移動ユーザの端末宛パケットを受信し、前記固定ユーザまたは移動ユーザの端末パケットの転送ヘッダ情報または前記ホームネットワークとして前記ホームエージェント手段からモバイルIPトンネル転送のためカプセル化されている場合の当該移動ユーザの端末パケットの転送ヘッダ情報に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、前記振分け管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを前記抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分ける手段と、
当該パケットを前記抽出した共通フィルタリングテーブル識別子で識別される共通フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記抽出した個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記固定ユーザパケット情報で識別されるフィルタリングステートテーブルを適用しパケットフィルタリングする手段とを有することを特徴とする請求項1ないし請求項5のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記ファイアウォール装置は、前記ファイアウォール装置に収容される前記固定ユーザまたは移動ユーザの端末が、前記IP転送網またはIP転送システムにおけるネットワーク接続切断時または他のネットワーク収容のファイアウォール装置配下へ移動時、前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、前記振分管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられて保持エントリされている前記仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、前記保持エントリを一定時間後、無効とする手段と、
前記抽出された仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされている前記抽出された個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを一定時間後無効とする手段とを有することを特徴とする請求項1ないし請求項6のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記セキュリティポリシ管理サーバは、前記認証サーバでの認証と連携し、前記振分識別子管理テーブル内の前記認証情報と対応づけられた前記仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記フィルタリングポリシ管理テーブル内の前記認証情報と対応づけられた前記個別フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記フィルタリングポリシ管理テーブル内の共通フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記認証サーバでの認証と連携し、前記移動ユーザの認証情報を検索キーとして前記ポリシ配布履歴管理テーブルを参照し、前回ファイアウォール装置が有する個別フィルタリングテーブルヘフィルタリングポリシを転送した移動元ファイアウォール装置を特定する手段と、
前記移動元ファイアウォール装置を特定後、前記移動元ファイアウォール装置ヘフィルタリングステート情報の転送依頼として当該移動ユーザの前記認証情報を通知する手段と、
前記フィルタリングステート情報の転送依頼に対する応答として、前記移動ユーザのフィルタリングステート情報を前記フィルタリングステートキャッシュテーブルヘ保持した後に、前記保持した移動ユーザのフィルタリングステート情報を移動先ファイアウォール装置へ転送する手段と、
前記移動ユーザのフィルタリングステート情報の移動先ファイアウォール装置への転送後フィルタリングステートキャッシュテーブルの該移動ユーザのフィルタリングステート情報としての保持エントリを無効にする手段とを有することを特徴とする請求項1ないし請求項7のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記認証サーバは、前記固定ユーザまたは移動ユーザの端末からの、ユーザ名を含む認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する手段と、
認証承認の場合に、前記固定ユーザの固定ユーザパケット情報としてIPアドレス、または移動ユーザの端末の移動ユーザパケット情報としてモバイルIPにおける気付けアドレスを決定する手段とを有することを特徴とする請求項1ないし請求項8のいずれか1項に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 前記認証サーバは、RADIUSサーバであり、
前記固定ユーザまたは移動ユーザの端末から前記IP転送網のネットワーク接続は、PPPプロトコルにしたがい、
前記認証には、PAPまたはCHAPが用いられることを特徴とする請求項9に記載の移動情報通信対応認証連携型分散ファイアウォールシステム。 - 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムにおけるファイアウォール装置であって、
前記固定ユーザまたは移動ユーザの端末の個別フィルタリングポリシを保持する個別フィルタリングテーブルと、
前記固定ユーザまたは移動ユーザの端末に共通する共通フィルタリングポリシを保持する共通フィルタリングテーブルと、
パケット毎にユーザ識別可能な固定ユーザパケット情報または移動ユーザパケット情報、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とを対応付けて管理する振分け管理テーブルと、
前記固定ユーザまたは移動ユーザ毎の動的なフィルタリング状態ポリシとして、SPIにおけるセッションログやフィルタリング処理されたフィルタリングフローログをフィルタリング状態情報として管理する少なくとも1つのフィルタリングステートテーブルと、
前記固定ユーザまたは移動ユーザの端末からの認証情報より、前記IP転送網またはIP転送システムヘのネットワーク接続可能か否かを判断する認証サーバとの通信手段と、
前記セキュリティポリシ管理サーバとの通信手段と、
前記ホームエージェント手段との通信手段と、
前記振分管理テーブルに書き込まれる前記固定ユーザまたは移動ユーザの仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記個別フィルタリングテーブルに書き込まれる前記固定ユーザまたは移動ユーザの個別フィルタリングポリシ、並びに、前記共通フィルタリングテーブルに書き込まれる共通フィルタリングポリシを前記セキュリティポリシ管理サーバから取得する手段と、
前記フィルタリングステートテーブル内のフィルタリングステート情報を、前記セキュリティポリシ管理サーバヘ転送する手段と、
前記フィルタリングステートテーブルに書き込まれるフィルタリングステート情報を、前記セキュリティポリシ管理サーバから取得する手段と、
移動ユーザパケット情報を、ホームネットワークで固定ユーザとして使用していた固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動先ネットワークをホームネットワークとして、ネットワーク接続通信する固定ユーザの端末パケットであるか、移動先ネットワークとして通信する前記移動ユーザの端末パケットであるか認識しパケットフィルタリングする手段とを有することを特徴とするファイアウォール装置。 - 前記ネットワーク接続認証時のユーザ認証シーケンスまたは認証制御パケットを監視し、前記固定ユーザまたは移動ユーザの端末からのユーザを識別可能な情報を含む認証情報を受信し、前記認証情報を保持する手段と、
前記認証情報を認証サーバに中継、通知する手段と、
前記認証サーバから認証応答を受信し、前記認証応答が認証承認の場合、前記認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を、前記固定ユーザまたは移動ユーザの端末が前記ネットワーク接続を切断するまたは強制無効命令を受信するまで保持し、前記セキュリティポリシ管理サーバとの通信を開始する手段とを有することを特徴とする請求項11に記載のファイアウォール装置。 - 前記認証サーバからの認証応答に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を受信し保持した後、前記保持しているユーザを識別可能な前記認証情報を、前記セキュリティポリシ管理サーバに通知する手段と、
前記認証情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを受信し、当該受信した仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を、前記保持済みの固定ユーザパケット情報または移動パケット情報と対応付けて前記振分管理テーブルに書き込むとともに、当該受信した個別フィルタリングポリシを、前記個別フィルタリングテーブルに書込む手段と、
前記セキュリティポリシ管理サーバから通知される、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、個別フィルタリングポリシを各テーブルに書き込んだ後に、前記セキュリティポリシ管理サーバから通知される、移動元ファイアウォール装置にて保持されていたフィルタリングステート情報を受信し、当該受信したフィルタリングステート情報を、前記フィルタリングステートテーブルに書込む手段と、
前記移動元ファイアウォールのフィルタリングステート情報に対する前記セキュリティポリシ管理サーバからの前記認証情報を含む転送依頼通知を受信して、前記セキュリティポリシ管理サーバヘ前記移動ユーザのフィルタリングステート情報を転送する手段と、
前記振分管理テーブルへの書込み、前記個別フィルタリングテーブルへの書込み、および前記フィルタリングステートテーブル書込み完了後、前記固定ユーザまたは移動ユーザの端末へ認証承認として、固定ユーザパケット情報または移動パケットユーザ情報を通知する手段とを有することを特徴とする請求項12に記載のファイアウォール装置。 - 前記移動先ネットワークにおける移動ユーザの前記認証承認の通知後、前記移動ユーザの端末の移動先ネットワークにて生成した移動ユーザパケット情報または移動先ネットワークで前記認証サーバから取得した移動ユーザパケット情報を移動元ネットワークまたはホームエージェント手段ヘの登録応答シーケンスまたは登録応答パケットを監視し、前記登録応答に含まれる移動ユーザパケット情報を、ホームネットワークで取得した固定ユーザとしての固定ユーザパケット情報と対応付けて前記振分管理テーブルヘ書き込む手段と、
前記移動ユーザパケット情報を既に移動先ネットワークで前記認証サーバから取得し、書き込み済みの場合、前記固定ユーザパケット情報と対応付け、前記振分管理テーブルヘ上書きする手段とを有することを特徴とする請求項13に記載のファイアウォール装置。 - 自装置の立ち上げまたは再開処理時、自装置のファイアウォール装置情報をセキュリティポリシ管理サーバヘ通知する手段と、
前記自装置のファイアウォール装置情報を前記セキュリティポリシ管理サーバに通知した後に、前記セキュリティポリシ管理サーバから通知される、共通フィルタリングテーブル情報を受信し、当該受信した共通フィルタリングテーブル情報を前記共通フィルタリングテーブルに書き込む手段とを有することを特徴とする請求項11ないし請求項14のいずれか1項に記載のファイアウォール装置。 - 前記固定ユーザのネットワーク接続が認証承認後、または移動先ユーザの前記ホームエージェント手段ヘの移動ユーザパケット情報登録後、前記固定ユーザまたは移動ユーザの端末から送信されるパケットまたは前記固定ユーザまたは移動ユーザの端末宛パケットを受信し、前記固定ユーザまたは移動ユーザの端末パケットの転送ヘッダ情報または前記ホームネットワークとして前記ホームエージェント手段からモバイルIPトンネル転送のためカプセル化されている場合の当該移動ユーザの端末パケットの転送ヘッダ情報に含まれる前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーとして、前記振分け管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられる仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子を抽出し、当該パケットを前記抽出した仮想ファイアウォール識別子で識別される仮想ファイアウォールヘ振分ける手段と、
当該パケットを前記抽出した共通フィルタリングテーブル識別子で識別される共通フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記抽出した個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを適用しパケットフィルタリングする手段と、
当該パケットを前記固定ユーザパケット情報で識別されるフィルタリングステートテーブルを適用しパケットフィルタリングする手段とを有することを特徴とする請求項11ないし請求項15のいずれか1項に記載のファイアウォール装置。 - 前記ファイアウォール装置に収容される前記固定ユーザまたは移動ユーザの端末が、前記IP転送網またはIP転送システムにおけるネットワーク接続切断時または他のネットワーク収容のファイアウォール装置配下へ移動時、前記固定ユーザパケット情報または移動ユーザパケット情報を検索キーに、前記振分管理テーブルを参照し、前記固定ユーザパケット情報または移動ユーザパケット情報と対応付けられて保持エントリされている前記仮想ファイアウォール識別子と共通フィルタリングテーブル識別子と個別フィルタリングテーブル識別子を抽出すると同時に、前記保持エントリを一定時間後、無効とする手段と、
前記抽出された仮想ファイアウォール識別子で識別される仮想ファイアウォール内に保持エントリされている前記抽出された個別フィルタリングテーブル識別子で識別される個別フィルタリングテーブルを一定時間後無効とする手段とを有することを特徴とする請求項11ないし請求項16のいずれか1項に記載のファイアウォール装置。 - 複数の固定ユーザまたは移動ユーザが、複数のネットワークセグメント異なるアクセス網または異種アクセス網のネットワーク移動に伴う通信セッション維持可能なIP転送網またはIP転送システムと、
前記IP転送網またはIP転送システムに接続され前記ネットワーク移動に伴う通信セッション維持可能な複数の固定ユーザまたは移動ユーザの端末と、
前記IP転送網またはIP転送システムに接続される少なくとも1つの認証サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのセキュリティポリシ管理サーバと、
前記IP転送網またはIP転送システムに接続される少なくとも1つのホームエージェント手段と、
前記IP転送網またはIP転送システムに接続される複数の外部ネットワークと、
前記IP転送網またはIP転送システムに接続される複数アクセス網と、
前記IP転送網またはIP転送システムと、前記アクセス網を介して前記IP転送網またはIP転送システムに接続される前記固定ユーザまたは移動ユーザの端末との間に設置され、前記固定ユーザまたは移動ユーザの端末に対するパケットフィルタリングを実施する少なくとも1つファイアウォール装置とを有する移動情報通信対応認証連携型分散ファイアウォールシステムにおけるセキュリティポリシ管理サーバであって、
前記認証情報と少なくとも1つのフィルタリングポリシが対応付けられたフィルタリングポリシ管理テーブルと、
前記認証情報と、仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子とが対応付けられた振分識別子管理テーブルと、
前記認証情報と、移動元ファイアウォール装置から取得したフィルタリングステート情報とが対応付けられたフィルタリングステートキャッシュテーブルと、
全てのファイアウォール装置情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたファイアウォール情報管理テーブルと、
過去の転送元ファイアウォール情報と前記固定ユーザまたは移動ユーザの前記認証情報とが対応付けられたポリシ配布履歴管理テーブルと、
前記認証サーバでの認証と連携し、前記振分識別子管理テーブル内の前記認証情報と対応づけられた前記仮想ファイアウォール識別子、共通フィルタリングテーブル識別子、個別フィルタリングテーブル識別子、および、前記フィルタリングポリシ管理テーブル内の前記認証情報と対応づけられた前記フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記フィルタリングポリシ管理テーブル内の共通フィルタリングポリシを、前記ファイアウォール装置へ通知する手段と、
前記認証サーバでの認証と連携し、前記移動ユーザの認証情報を検索キーとして前記ポリシ配布履歴管理テーブルを参照し、前回ファイアウォール装置が有する個別フィルタリングテーブルヘフィルタリングポリシを転送した移動元ファイアウォール装置を特定する手段と、
前記移動元ファイアウォール装置を特定後、前記移動元ファイアウォール装置ヘフィルタリングステート情報の転送依頼として当該移動ユーザの前記認証情報を通知する手段と、
前記フィルタリングステート情報の転送依頼に対する応答として、前記移動ユーザのフィルタリングステート情報を前記フィルタリングステートキャッシュテーブルヘ保持した後に、前記保持した移動ユーザのフィルタリングステート情報を移動先ファイアウォール装置へ転送する手段と、
前記移動ユーザのフィルタリングステート情報の移動先ファイアウォール装置への転送後フィルタリングステートキャッシュテーブルの該移動ユーザのフィルタリングステート情報としての保持エントリを無効にする手段とを有することを特徴とするセキュリティポリシ管理サーバ。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004065761A JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004065761A JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005260345A JP2005260345A (ja) | 2005-09-22 |
JP4271062B2 true JP4271062B2 (ja) | 2009-06-03 |
Family
ID=35085687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004065761A Expired - Fee Related JP4271062B2 (ja) | 2004-03-09 | 2004-03-09 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4271062B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105765901B (zh) | 2013-12-20 | 2019-11-08 | 迈克菲有限责任公司 | 智能防火墙访问规则 |
CN104239578B (zh) * | 2014-10-10 | 2017-11-14 | 北京国双科技有限公司 | 数据表的处理方法和装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001268617A (ja) * | 2000-03-21 | 2001-09-28 | Mitsubishi Electric Corp | 無線通信方法 |
JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
JP3942447B2 (ja) * | 2002-02-04 | 2007-07-11 | 沖電気工業株式会社 | ネットワークサーバ及びネットワーク |
JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
-
2004
- 2004-03-09 JP JP2004065761A patent/JP4271062B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005260345A (ja) | 2005-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8761815B2 (en) | Method, device and system for accessing mobile device user information | |
CA2419114C (en) | Enabling seamless user mobility in a short-range wireless networking environment | |
RU2270531C2 (ru) | Система и способ использования ip-адреса как идентификатора беспроводного устройства | |
EP1451984B1 (en) | System and method of managing information distribution to mobile stations | |
AU2001288394B2 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
AU2001283178A1 (en) | Enabling seamless user mobility in a short-range wireless networking environment | |
JP2005516546A (ja) | 移動クライアント装置をインターネットに接続する方法およびシステム | |
AU2001288394A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
JPH1188431A (ja) | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 | |
JP2011154622A (ja) | アクセス制御システム及びアクセス制御方法 | |
JP2008066907A (ja) | パケット通信装置 | |
KR20040021305A (ko) | UPnP 네트워크의 원격지 보안 접속 시스템 및 방법 | |
JP2005167646A (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
JP4271062B2 (ja) | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ | |
JP4495049B2 (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
JP4357401B2 (ja) | フィルタリング方法 | |
KR100566837B1 (ko) | 지능형 네트워크 접속 장치 및 네트워크 접속 방법 | |
JP2008283495A (ja) | パケット転送システムおよびパケット転送方法 | |
EP3544266B1 (en) | Network bridge and network management method | |
JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 | |
JP2000112852A (ja) | 通信システムにおける同時使用端末数の制限機構 | |
JP5745658B1 (ja) | Pbx装置、加入者登録方法、および加入者登録プログラム | |
JP2005006147A (ja) | ネットワークシステム | |
JP2002199003A (ja) | 移動端末位置登録方法及びその実施装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080715 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080916 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090224 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090224 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120306 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130306 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |