JP4321375B2 - Access control system, access control method, and access control program - Google Patents
Access control system, access control method, and access control program Download PDFInfo
- Publication number
- JP4321375B2 JP4321375B2 JP2004181132A JP2004181132A JP4321375B2 JP 4321375 B2 JP4321375 B2 JP 4321375B2 JP 2004181132 A JP2004181132 A JP 2004181132A JP 2004181132 A JP2004181132 A JP 2004181132A JP 4321375 B2 JP4321375 B2 JP 4321375B2
- Authority
- JP
- Japan
- Prior art keywords
- protocol data
- data unit
- access control
- packet
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明はアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関し、例えば、ファイアウオールとIDS(不正侵入検知システム)を連携させる場合などに適用して好適なものである。 The present invention relates to an access control system, an access control method, and an access control program, and is suitably applied to, for example, a case where a firewall and IDS (unauthorized intrusion detection system) are linked.
ファイアウオールやコンピュータウイルスに関連する従来技術としては、下記の特許文献1、2に記載されたものがある。
Conventional techniques related to firewalls and computer viruses include those described in
特許文献1の技術は、1台のファイアウオール装置に複数のファイアウオール機能部を搭載し、ユーザ網の組み合わせごとに異なるファイアウオール機能部を提供することにより、多数のユーザ網間の処理を1台のファイアウオール装置で実行するように構成する。これによって必要なファイアウオール装置の数が少なくなるため、ファイアウオール装置に関する装置コストの低減と、管理の省力化をはかることができる。
In the technology of
また、特許文献2の技術は、LAN内の中継装置であるスイッチに、不正パケットを検出する機能を搭載したものである。これにより、LAN内のコンピュータ間でやり取りされるパケットや、LAN内のコンピュータとWAN側のコンピュータとのあいだでやり取りされるパケットは、当該スイッチで中継される際に不正パケットであるか否かが検査され、不正パケットは破棄されるため、コンピュータウイルス等が送信する不正パケットにより、LAN内で感染が拡大したり、感染範囲がLAN内からWAN側へ広がったりすることを防止することができる。
ところで、上述した特許文献1の技術では、個々の前記ファイアウオール機能部がパケットを遮断するためのルール(遮断ルール)などを動的に変更することができないため、利便性に欠ける面がある。
By the way, in the technique of the above-mentioned
例えば、コンピュータウイルス(狭義のウイルス、ワーム、トロイの木馬などを含む)に感染したコンピュータ上から当該コンピュータウイルスを駆除する場合などによく利用されるパターンマッチング方式のワクチンソフトを用いようとすると、そのコンピュータに搭載されているウイルス定義ファイルを更新したり、そのコンピュータにワクチンソフト自体が搭載されていない場合にはワクチンソフトをインストールすること等が必要になるが、そのためには、感染している当該コンピュータが、ウイルス定義ファイルやワクチンソフトの提供元のサーバと通信することを許可しなければならない。 For example, if you try to use pattern matching vaccine software that is often used to remove a computer virus from a computer infected with a computer virus (including narrowly defined viruses, worms, Trojan horses, etc.) It is necessary to update the virus definition file installed on the computer, or to install the vaccine software if the vaccine software itself is not installed on the computer. The computer must be allowed to communicate with the server that provides the virus definition file or vaccine software.
しかしながら、前記遮断ルールが固定されていると、そのような許可を実現するには、逐一、管理者が、遮断ルールの設定を変更するための作業を行うこと等が必要となり、管理負担がかえって増大し、利便性が低い。あるいは、コンピュータウイルスに感染していない別なコンピュータで前記サーバにアクセスしてウイルス定義ファイルやワクチンソフトをダウンロードし、そのファイルを、フロッピー(登録商標)ディスクやCDなどの外部記憶媒体に記憶させた上で、当該外部記憶媒体を、感染しているコンピュータの外部記憶装置に挿入して、感染しているコンピュータに読み込ませること等も可能であるが、この場合にも、そのための作業に、時間や手間がかかり、利便性が低い。 However, when the blocking rule is fixed, in order to realize such permission, it is necessary for an administrator to perform work for changing the setting of the blocking rule, and the management burden is changed. Increased and low convenience. Alternatively, a virus definition file or vaccine software is downloaded by accessing the server on another computer that is not infected with a computer virus, and the file is stored in an external storage medium such as a floppy (registered trademark) disk or CD. It is possible to insert the external storage medium into the external storage device of the infected computer and read it into the infected computer. It takes a lot of work and is not convenient.
一方、前記特許文献2の技術では、すでにコンピュータウイルス等に感染しているコンピュータ(例えば、ノート型パソコンなど)がLAN内に持ち込まれて前記スイッチに接続され、ウイルスパターンを含むパケットを送信した場合、スイッチは、ポートを遮断するか、パケットを廃棄するか、所定のコンピュータに対しウイルス検出の通知を行うことになる。ポートを遮断すればウイルスパターン(自己の複製)を含むパケットがスイッチで中継されないため、コンピュータウイルスの感染の拡大を防止でき、それ以降に発生し得るウイルス被害の拡大も防止できるが、ポートを遮断してしまうと、コンピュータウイルス等に感染したコンピュータは前記提供元のサーバとの通信を行うこともできなくなる可能性があり、利便性が低い。
On the other hand, in the technique of
また、ウイルスパターンを含むパケットをスイッチで廃棄するだけでは、コンピュータウイルスの感染拡大は防げたとしてもウイルス被害の拡大は必ずしも防ぐことはできず、セキュリティ性が十分に高いとはいえない。コンピュータウイルス等が感染したコンピュータに送信させるパケットは、必ずしも前記ウイルスパターンを含むパケットだけではないし、ウイルスパターンを含まないパケットによっても被害が発生することがあるからである。 Moreover, even if a packet containing a virus pattern is simply discarded by a switch, even if the spread of a computer virus can be prevented, the spread of virus damage cannot necessarily be prevented, and the security is not sufficiently high. This is because a packet transmitted to a computer infected with a computer virus or the like is not necessarily a packet including the virus pattern, and damage may be caused by a packet not including the virus pattern.
さらに、所定のコンピュータに対しウイルスの検出の通知を行うだけでは、感染の拡大を防止することもできず、被害の拡大を防止することもできないので、セキュリティ性が十分に高いとはいえない。 Furthermore, it is not possible to prevent the spread of infection and the spread of damage simply by notifying a predetermined computer of detection of a virus, so that the security is not sufficiently high.
かかる課題を解決するために、第1の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御システムにおいて、(1)前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御部と、(2)前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御部とを備え、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。 In order to solve such a problem, in the first aspect of the present invention, an access control system that relays a normal protocol data unit and blocks a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infection function. (1) In order to specify the source or destination of the protocol data unit, whether the predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance An identifier-corresponding access control unit that relays the protocol data unit if it does not match and blocks it if it matches, and (2) the infectious malicious program is executed using the protocol data unit The access pattern for unauthorized access conforms to the contents of the unauthorized access pattern setting received in advance. An access control unit corresponding to an access pattern that relays the protocol data unit if it does not match and blocks the block if it matches, (3) the protocol data unit includes the block If the content does not match the content of the identifier setting for use and conforms to the content of the unauthorized access pattern setting, the content of the setting for blocking identifier is changed, and the communication device that is the transmission source of the protocol data unit transmits The protocol data unit is characterized in that when the contained entity identifier designates a predetermined security server, it does not conform to the contents of the setting of the blocking identifier.
また、第2の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御方法において、(1)識別子対応アクセス制御部が、前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断し、(2)アクセスパターン対応アクセス制御部が、前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する場合、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。 According to a second aspect of the present invention, there is provided an access control method for relaying a normal protocol data unit and blocking a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infecting function. In order for the corresponding access control unit to specify the source or destination of the protocol data unit, whether the predetermined entity identifier accommodated in the protocol data unit matches the contents of the blocking identifier setting supplied in advance If it does not match, the protocol data unit is relayed, and if it matches, it is blocked. (2) The access control unit corresponding to the access pattern uses the protocol data unit by the infectious malicious program. The access pattern for unauthorized access executed by the If the protocol data unit is determined to be suitable, the protocol data unit is relayed, and if it is compatible, the protocol data unit is blocked. (3) The protocol data unit is the content of the blocking identifier setting. If the content of the unauthorized access pattern setting conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed, and the protocol data unit transmitted by the communication device that is the transmission source of the protocol data unit is: In the case where the stored entity identifier designates a predetermined security server, the entity identifier is not adapted to the contents of the setting of the blocking identifier.
さらに、第3の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御プログラムにおいて、コンピュータに、(1)前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御機能と、(2)前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御機能とを実現させ、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。 Furthermore, in the third aspect of the present invention, in an access control program that relays a normal protocol data unit and blocks a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infecting function, 1) In order to specify the source or destination of the protocol data unit, whether or not a predetermined entity identifier accommodated in the protocol data unit matches the contents of the blocking identifier setting supplied in advance. If it does not match, the protocol data unit is relayed if it does not match, and if it matches, the identifier corresponding access control function is blocked, and (2) unauthorized access executed by the infectious malicious program using the protocol data unit The access pattern matches the contents of the unauthorized access pattern setting received in advance. An access control function corresponding to an access pattern that relays the protocol data unit if it does not match and blocks it if it matches, and (3) the protocol data unit If it does not match the contents of the blocking identifier setting, but matches the contents of the unauthorized access pattern setting, the setting of the blocking identifier setting is changed, and the communication device that is the transmission source of the protocol data unit transmits The protocol data unit to be used is characterized in that when the contained entity identifier designates a predetermined security server, the protocol data unit does not conform to the contents of the setting of the blocking identifier.
本発明によれば、高いセキュリティ性を維持しつつ利便性を高めることができる。 According to the present invention, convenience can be enhanced while maintaining high security.
(A)実施形態
以下、本発明にかかるアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムの実施形態について説明する。
(A) Embodiments Hereinafter, embodiments of an access control system, an access control method, and an access control program according to the present invention will be described.
(A−1)第1の実施形態の構成
本実施形態にかかる通信システム10の全体構成例を図2に示す。なお、当該通信システム10中に、図示しないサーバ類(例えば、DNSサーバなど)が存在していてもよいことは当然である。
(A-1) Configuration of the First Embodiment FIG. 2 shows an overall configuration example of the
図2において、当該通信システム10は、ファイアウオール(FW)装置11と、ネットワーク12〜16と、ユーザ端末18と、復旧サーバ19と、通常サーバ20とを備えている。
In FIG. 2, the
このうちネットワーク12〜16はFW装置11を経由して接続されるネットワークである。これらのネットワーク12〜16のなかには、LAN(ローカルエリアネットワーク)の構成要素であるネットワークが含まれていてもよく、インターネットなどが含まれていてもよい。一例としては、ネットワーク12、14、15,16は、1つのLANを構成し、ネットワーク13はインターネット(ISP網)であってもよい。
Among these, the
本実施形態のFW装置11は、3つの仮想ファイアウオール機能部17A〜17Cを搭載している。個々の仮想ファイアウオール機能部(例えば、17A)は、上述した特許文献1のファイアウオール機能部に相当し得る構成要素であるが、本実施形態では、この構成要素の使用方法が特許文献1と異なる。
The
ネットワーク12〜16のうち、ネットワーク12と14が、仮想ファイアウオール機能部17A経由で接続され、ネットワーク13と15が仮想ファイアウオール機能部17B経由で接続される。また、図2に示した状態では、ネットワーク16は、いずれのネットワークとも接続されていないが、隔離用の仮想ファイアウオール機能部(隔離用仮想ファイアウオール機能部)17Cは、適宜、当該ネットワーク16をいずれかのネットワーク(例えば、15)と接続する。その詳細については後で説明する。
Among the
ネットワーク15に収容されているユーザ端末18はユーザU1に利用される情報処理装置である。具体的には、当該ユーザ端末18はネットワーク機能を有する通常のパソコン(例えば、ノート型パソコンなど)であってもよい。本実施形態では、主としてこのユーザ端末18がウイルスVR1に感染したケースを想定して説明を進める。コンピュータウイルス(ウイルス)の用語は、狭義では、ワームやトロイの木馬などと区別して用いられることがあるが、ここでは、広義のウイルス(狭義のウイルスだけでなく、ワームやトロイの木馬なども包含し得る)を指すものとして用いる。
The
前記ユーザ端末18は、前記パターンマッチング方式のワクチンソフトVC1を搭載しているものの、そのウイルス定義ファイルが最新のものに更新されていないため、ウイルスVR1の感染を許し、検出も行えていないケースを想定する。
Although the
ネットワーク13に収容されている通常サーバ20は、普段、ユーザ端末18に搭載されている該当するクライアント機能(図示せず)と通信するサーバである。具体的には、当該通常サーバ20は、例えば、Webサーバ、メールサーバ、FTPサーバなどであってもよい。
The
前記ネットワーク16は隔離用のネットワーク(隔離用ネットワーク)である。当該隔離用ネットワーク16はネットワークの構成や仕様自体は特段、他のネットワーク(例えば、14など)と異なるものでなくてもよいが、ウイルスに感染したコンピュータ(例えば、18)を隔離するために用いられる点が相違する。当該隔離用ネットワーク16には、復旧サーバ19が含まれている。
The
復旧サーバ19は、前記ウイルスVR1の検出や駆除などの実行を支援するサーバである。具体的には、例えば、ウイルスVR1の検出や駆除を行うための最新のウイルス定義ファイルVF1を蓄積しており、ユーザ端末(ここでは、18)からの要求があると、当該ウイルス定義ファイルVF1をユーザ端末18へ提供する機能を持つ。ウイルス定義ファイルVF1がユーザ端末18へ届けられると、ワクチンソフトVC1が当該ウイルス定義ファイルVF1を用いてウイルスVR1の検出や駆除などを行うことができる。
The
もしも、前記ユーザ端末18がワクチンソフトVC1自体を搭載していない場合などには、復旧サーバ19からユーザ端末18へワクチンソフトVC1を提供するようにしてもよい。
If the
また、前記ウイルスVR1(あるいは、VR1以外の新種のウイルス)がユーザ端末18の搭載しているソフトウエア(例えば、OS(オペレーティングシステム)やWebブラウザなど)のセキュリティホールを突いて感染するタイプのウイルスである場合などには、そのセキュリティホールを修正するための修正版プログラム(セキュリティパッチ)を当該復旧サーバ18からユーザ端末18へ提供できるようにしておくことも有効である。
In addition, the virus VR1 (or a new virus other than VR1) is a type of virus that infects through a security hole in software (for example, an OS (operating system) or a web browser) installed in the
図2の状態において、ユーザ端末18にはIPアドレスIPA8が割り当てられ、通常サーバ20にはIPアドレスIPA2が割り当てられ、復旧サーバ19にはIPアドレスIPA9が割り当てられているものとする。
In the state of FIG. 2, it is assumed that the
なお、前記ネットワーク13,15,16に図示した以外の通信装置が収容されていてもよいことは当然である。また、ネットワーク12,14にも、図示しない通信装置が収容されている。これらの通信装置には、ユーザ端末や、サーバ類のほか、スイッチやルータなどのネットワーク機器も含まれ得る。
Of course, communication devices other than those shown in the
前記FW装置11の内部構成は例えば図1に示す通りである。
The internal configuration of the
(A−1−1)FW装置の内部構成例
図1において、当該FW装置11は、パケット受信部30と、パケット送信部31と、仮想ファイアウオール識別部32と、仮想ファイアウオール変更制御部33と、アドレス変換部34と、不正侵入検出部35と、前記仮想ファイアウオール機能部17A〜17Cとを備えている。
(A-1-1) Internal Configuration Example of FW Device In FIG. 1, the
このうちパケット受信部30は、中継または遮断するパケットを受信する部分である。このパケットは、いずれかのユーザ端末(例えば、18)またはサーバ(例えば、19)から送信され、該当するネットワーク(例えば、15)経由で当該FW装置11に受信されるパケットである。
Among these, the
なお、OSI参照モデルのデータリンク層の通信プロトコルとして、IEEE802.3を用い、ネットワーク層の通信プロトコルとして、IPプロトコルを用いるものとすると、当該パケットは、MACフレームに収容されたIPパケットである。様々なサーバやユーザ端末がパケットの送受を行うが、ここでは、主として、前記ユーザ端末18から送信されたパケットPK1に注目する。当該パケットPK1の宛先には様々なものがあり得るが、いずれにしても当該ユーザ端末18から送信されたパケットはPK1とする。
If IEEE802.3 is used as the data link layer communication protocol of the OSI reference model and the IP protocol is used as the network layer communication protocol, the packet is an IP packet accommodated in a MAC frame. Various servers and user terminals send and receive packets. Here, the packet PK1 transmitted from the
パケット送信部31は、該当する仮想ファイアウオール機能部(例えば、17A)と不正侵入検出部35が、ともに中継を許可したパケット(例えば、PK1)、または、隔離用仮想ファイアウオール機能部17Cが中継を許可しアドレス変換部34によるアドレス変換を受けたパケットを送信する部分である。パケット送信部31から送信されたパケットPK1は該当するネットワーク(例えば、13)経由で宛先の通信装置(例えば、20)まで届けられる。
The
仮想ファイアウオール識別部32は、パケット受信部30を介して受信したパケットを処理するべき仮想ファイアウオール機能部を識別テーブルTB1を利用して特定し、特定した仮想ファイアウオール機能部にそのパケットを振り分ける部分である。
The virtual
当該識別テーブルTB1は、例えば、図3に示す構成を備えている。 The identification table TB1 has, for example, the configuration shown in FIG.
図3に示すように、当該識別テーブルTB1は、データ項目として、送信元IPアドレスと、VLANタグ値と、入力ポート番号と、仮想ファイアウオール機能とを備えている。 As shown in FIG. 3, the identification table TB1 includes a transmission source IP address, a VLAN tag value, an input port number, and a virtual firewall function as data items.
このうち送信元IPアドレスは、前記パケット(例えば、PK1)に収容されている送信元IPアドレスの値を登録するためのデータ項目である。 Among these, the transmission source IP address is a data item for registering the value of the transmission source IP address accommodated in the packet (for example, PK1).
VLANタグ値は、前記パケット(例えば、PK1)を収容したMACフレームに付加されたVLANタグの値を登録するためのデータ項目である。VLAN(バーチャルLAN)は、VLAN技術を使って論理的に構成したLANのことである。VLANを使えば物理的なLAN構成とは別個のLANを論理的に構成することができる。 The VLAN tag value is a data item for registering the value of the VLAN tag added to the MAC frame containing the packet (for example, PK1). A VLAN (virtual LAN) is a LAN that is logically configured using VLAN technology. If VLAN is used, a LAN separate from the physical LAN configuration can be logically configured.
入力ポート番号は、FW装置11が備え、パケット(例えば、PK1)の入力用に用いるポート(入力ポート)に付与したポート番号を登録するためのデータ項目である。このポートは物理的なものであってもよく、物理的には同じポートを論理的に区別したものであってもよい。いずれにしても、入力ポート番号によって入力ポートが識別される。
The input port number is a data item for registering a port number provided to the port (input port) provided in the
仮想ファイアウオール機能は、FW装置11に搭載されている3つのファイアウオール機能部17A〜17Cを識別するためのファイアウオール識別情報(ここでは、VFW#1〜VFW#3)を登録するためのデータ項目である。
The virtual firewall function is a data item for registering firewall identification information (here,
このような識別テーブルTB1を用いると、仮想ファイアウオール識別部32は、そのパケット(例えば、PK1)に関する送信元IPアドレスの値、VLANタグの値、入力ポート番号の値に応じて、そのパケットを振り分けるべき仮想ファイアウオール機能部を一意に特定することができる。
When such an identification table TB1 is used, the virtual
個々の仮想ファイアウオール機能部(例えば、17A)は、通常の1つのファイアウオール装置と同等な機能を持ち、中継してよいと判断したパケットは中継し、中継してはいけないと判断したパケットは遮断する。遮断されたパケットは、その仮想ファイアウオール機能において直ちに廃棄される。中継の可否を判断する方法には様々なものがあるが、ここでは、OSI参照モデルのネットワーク層の情報をもとに中継の可否を判断するものとする。 Each virtual firewall function unit (for example, 17A) has a function equivalent to that of an ordinary firewall device, and relays packets that are determined to be relayed, and blocks packets that are determined not to be relayed. . The blocked packet is immediately discarded in the virtual firewall function. There are various methods for determining whether or not relaying is possible. Here, it is assumed that whether or not relaying is possible is determined based on information on the network layer of the OSI reference model.
したがって、仮想ファイアウオール機能部17A〜17Cが中継の可否を判断する際に用いるルールをまとめたルールテーブルTB2の構成および内容は例えば図4に示すものとなる。図4に示すように、当該ルールテーブルTB2は、データ項目として、送信元IPアドレスと、宛先IPアドレスと、動作とを備えている。
Therefore, the configuration and contents of the rule table TB2 that summarizes the rules used when the virtual
このうち送信元IPアドレスは、前記識別テーブルTB1のデータ項目である送信元IPアドレスと同じものである。 Among these, the transmission source IP address is the same as the transmission source IP address which is a data item of the identification table TB1.
また、宛先IPアドレスは、前記パケット(例えば、PK1)に収容されている宛先IPアドレスの値を登録するためのデータ項目である。 The destination IP address is a data item for registering the value of the destination IP address accommodated in the packet (for example, PK1).
動作は、その仮想ファイアウオール機能部が当該パケットを中継するか否かを示す値を登録するデータ項目である。値が許可であれば、中継することを示し、拒否であれば、中継しない(遮断する)ことを示す。 The operation is a data item for registering a value indicating whether or not the virtual firewall function unit relays the packet. If the value is permitted, it indicates that relaying is performed, and if it is rejected, it indicates that relaying is not performed (blocked).
このようなルールテーブルTB2を用いると、各仮想ファイアウオール機能部(例えば、17A)は、そのパケット(例えば、PK1)に関する送信元IPアドレス、宛先IPアドレスの値に応じて、そのパケットを中継するか遮断するかを判定することができる。 If such a rule table TB2 is used, each virtual firewall function unit (for example, 17A) relays the packet according to the value of the source IP address and the destination IP address for the packet (for example, PK1). It is possible to determine whether to block.
ただし、後述するように、通常の仮想ファイアウオール機能部(例えば、17B)は、ウイルスVR1がユーザ端末18に送信させた不正なパケットであるか否かにかかわらず、ユーザ端末18がウイルスVR1に感染していることが不正侵入検出部35に確認されたあとはパケットPK1を遮断するために用いられるのに対し、隔離用仮想ファイアウオール機能部17Cは、不正なパケットであるか否かにかかわらず、パケットPK1を中継するために用いられる点が相違する。これは、ユーザ端末18が前記ウイルス定義ファイルVF1のダウンロード等を目的として復旧サーバ19にアクセスすることを許容するためである。これを許容すると、ウイルスVR1がユーザ端末18に送信させた不正なパケットPK1も復旧サーバ19へ届けられてしまう可能性もあるが、復旧サーバ19側では、十分な防御策を施してあるため、そのパケットPK1による被害の発生を防止することができる。
However, as will be described later, the normal virtual firewall function unit (for example, 17B) causes the
なお、各仮想ファイアウオール機能部17A〜17Cごとに、図4と同じ構成(データ項目が同じ)で内容(各行が持つ各データ項目の値)の異なるルールテーブルを持たせるようにしてもよいが、ここでは、同じルールテーブルTB2を3つの仮想ファイアウオール機能部17A〜17Cに検索させるものとする。前記識別テーブルTB1の構成および内容から明らかなように、FW装置11が動作中のある時点でみると、仮想ファイアウオール機能部ごとに処理する可能性のある送信元IPアドレスは決まっているため、仮想ファイアウオール機能部が異なれば、利用する行が変わるだけで、同一のルールテーブルTB2を、すべての仮想ファイアウオール機能部17A〜17Bに検索させることができる。ここで、行とは、テーブル内のデータ項目以外の横の並びのことである。例えば、図4に示すルールテーブルTB2の場合、「A B 許可」は1つの行である。
Each virtual
また、必要ならば、パケット(例えば、PK1)に含まれるトランスポート層ヘッダに収容されているポート番号(宛先ポート番号、送信元ポート番号)の値など登録するためのデータ項目を図4中に用意してもよい。この場合、送信元IPアドレスと、宛先IPアドレスだけでなく、宛先ポート番号や送信元ポート番号の値も中継するか否かを判定するためのルールに反映させることができる。 Also, if necessary, data items for registration such as values of port numbers (destination port number, source port number) contained in the transport layer header included in the packet (for example, PK1) are shown in FIG. You may prepare. In this case, not only the transmission source IP address and the destination IP address, but also the destination port number and the value of the transmission source port number can be reflected in the rule for determining whether or not to relay.
前記不正侵入検出部35は、いわゆるIDS(不正侵入検知システム)を構成する部分で、予め登録してある不正侵入のパターン(シグネチャ)に基づいて不正侵入を検知する部分である。隔離用仮想ファイアウオール機能部17C以外のいずれかの仮想ファイアウオール機能(例えば、17A)で中継するものと判定されたパケットが当該不正侵入検出部35に供給され、当該不正侵入検出部35で、再度、中継の可否を判定される。当該不正侵入検出部35は、前記仮想ファイアウオール機能部17A〜17Cとは判定のルールがまったく異なるため、仮想ファイアウオール機能部(例えば、17A)で中継するものと判定されたパケット(例えば、PK1)であっても、当該不正侵入検出部35では、遮断すべきものと判定される可能性がある。
The unauthorized
不正侵入検出部35で遮断すべきものと判定されたパケットは、不正侵入検出部35において送信元IPアドレス等を抽出されたあと、直ちに廃棄される。不正侵入検出部35は、抽出した送信元IPアドレス等を仮想ファイアウオール変更制御部33に供給する。
A packet that is determined to be blocked by the unauthorized
仮想ファイアウオール変更制御部33は、当該不正侵入検出部35から供給を受けた送信元IPアドレス等をもとに、仮想ファイアウオール識別部32が持つ前記識別テーブルTB1と、隔離用仮想ファイアウオール機能部17Cが持つルールテーブルTB2(TB2の該当する行)の内容を変更する部分である。
Based on the source IP address supplied from the unauthorized
識別テーブルTB1の内容の変更は、不正侵入検出部35で不正なパケットであると判定されたパケット(例えば、PK1)の送信元(例えば、18)から送信される後続のパケット(例えば、PK1)を隔離用仮想ファイアウオール機能部17Cへ振分けさせるために行う。
The change of the contents of the identification table TB1 is a subsequent packet (for example, PK1) transmitted from the transmission source (for example, 18) of the packet (for example, PK1) determined to be an unauthorized packet by the unauthorized
また、ルールテーブルTB2の該当する行の内容の変更は、隔離用仮想ファイアウオール機能部17Cに、前記不正侵入検出部35で不正なパケットであると判定されたパケット(例えば、PK1)の送信元(例えば、18)から送信される後続のパケット(例えば、PK1)を中継させ、前記復旧サーバ19に届けるために行う。
Also, the change in the contents of the corresponding row of the rule table TB2 is sent to the quarantine virtual
前記アドレス変換部34は、隔離用仮想ファイアウオール機能部17Cが中継したパケット(例えば、PK1)に収容されている送信元IPアドレス(プライベートIPアドレス)をアドレス変換するための部分である。通常、仮想ファイアウオール機能部(例えば、17A)を介して相互に接続されているネットワーク(例えば、12,14)内では、適切なネットワーク管理が行われていれば、IPアドレスの一意性は確保されているが、隔離用仮想ファイアウオール機能部17Cを介して隔離用ネットワーク16に接続されるネットワーク(例えば、15)と隔離用ネットワーク16は、通常は、接続されるものではないため、一意性が確保されていない可能性があり、その場合、当該アドレス変換部34を用いて隔離用ネットワーク16内におけるパケット(例えば、PK1)の送信元IPアドレスの一意性を確保する。
The
換言すると、当該アドレス変換部34があれば、隔離用ネットワーク16内の図示しない各通信装置(ただし、復旧サーバ19は除く)へのIPアドレス(プライベートIPアドレス)の割り当ては、他の任意のネットワーク12〜15内におけるIPアドレスの割り当てに拘束されることなく、自由に行うことができる。
In other words, if there is the
ただし、復旧サーバ19に対しては各ネットワーク12〜15内の任意のユーザ端末(例えば、18)がパケット(例えば、PK1)を届ける必要があるため、少なくとも、各ネットワーク12〜15内でそのパケットが復旧サーバ19宛てであることを一意に特定(あるいは、少なくとも、そのネットワーク内の他の通信装置宛てでないことを特定)できるようにしておく必要がある。この一意性を確保する方法には様々なものが考えられるが、例えば、復旧サーバ19に割り当てるIPアドレスIPA9を、ネットワーク12〜16内で一意なプライベートIPアドレスとしておくか、グローバルIPアドレスとしておくことによっても、この一意性は確保することができる。
However, since any user terminal (for example, 18) in each network 12-15 needs to deliver a packet (for example, PK1) to the
以下、上記のような構成を有する本実施形態の動作について、図5のフローチャートを参照しながら説明する。 The operation of the present embodiment having the above configuration will be described below with reference to the flowchart of FIG.
図5のフローチャートは前記FW装置11の動作を示すフローチャートで、S10〜S21の各ステップから構成されている。ここでも、前記ユーザ端末18が送信するパケットPK1に注目する。
The flowchart of FIG. 5 is a flowchart showing the operation of the
(A−2)第1の実施形態の動作
図5において、前記FW装置11内のパケット受信部30がネットワーク15経由で、ユーザ端末18の送信したパケットPK1を受信すると(S10)、そのパケットPK1が隔離用ネットワーク16に収容される端末から送信されたものであるか否かが検査される(S11)。この検査は、前記仮想ファイアウオール識別部32が、前記識別テーブルTB1に基づいて行う。前記不正侵入検出部35が、不正侵入に関係するパケットを検出していないあいだは、ネットワーク12〜15のなかに、隔離用ネットワーク16と接続されるものは存在しないため、ステップS11はNo側に分岐する。
(A-2) Operation of the First Embodiment In FIG. 5, when the
例えば、ユーザ端末18がウイルスVR1に感染していない場合、感染していても当該パケットPK1が、ウイルスVR1がユーザ端末18に送信させたパケットではなく、ユーザU1が正規の目的のために送信させたパケットの場合、あるいは、すでに感染していて、ウイルスVR1がユーザ端末18に送信させたパケットであっても、まだ(不正侵入検出部35がウイルスVR1による不正侵入のパターンを検出していないために)感染の事実が識別テーブルTB1に反映されていない場合などには、当該ステップS11はNo側に分岐して、当該パケットPK1は、仮想ファイアウオール識別部32により仮想ファイアウオール機能部17Bに振り分けられる。
For example, if the
この場合、当該仮想ファイアウオール機能部17Bは、前記ルールテーブルTB2の内容に基づいて、当該パケットPK1の中継の可否を判定する(S16)。 In this case, the virtual firewall function unit 17B determines whether the packet PK1 can be relayed based on the contents of the rule table TB2 (S16).
ルールテーブルTB2に基づいて、当該パケットPK1が遮断すべきパケットであると判定した場合、ステップS16はNo側に分岐し、仮想ファイアウオール機能部17Bは、直ちに、当該パケットPK1を廃棄するが(S17)、中継すべきパケットであると判定した場合には、ステップS16がYes側に分岐するので、当該パケットPK1は仮想ファイアウオール機能部17Bから前記不正侵入検出部35に渡され、処理はステップS18へ進む。
When it is determined that the packet PK1 is a packet to be blocked based on the rule table TB2, step S16 branches to the No side, and the virtual firewall function unit 17B immediately discards the packet PK1 (S17). If it is determined that the packet is to be relayed, step S16 branches to Yes, so that the packet PK1 is transferred from the virtual firewall function unit 17B to the unauthorized
ステップS18では、不正侵入検出部35が、予め登録してある不正侵入のパターン(シグネチャ)に基づいて当該パケットPK1が不正侵入に関係するものであるか否か(中継の可否)を判定し、不正侵入に関係しないパケットであると判定した場合には、当該パケットPK1を前記パケット送信部31へ渡して転送させる。
In step S18, the unauthorized
このように仮想ファイアウオール機能部17Bも、不正侵入検出部35も、中継すべきと判定した場合、通常の通信であるから、そのパケットPK1はパケット送信部31によってネットワーク13に送出され、当該パケットPK1の宛先IPアドレスによって指定されるネットワーク13内の宛先の通信装置(例えば、通常サーバ20)へ届けられることになる(S19)。
As described above, when it is determined that both the virtual firewall function unit 17B and the unauthorized
これに対し、ステップS18で、不正侵入検出部35が当該パケットPK1が不正侵入に関係するパケットなので遮断すべきと判定した場合、ステップS18はYes側に分岐して処理はステップS20に進む。
On the other hand, if the unauthorized
ステップS18がYes側に分岐するのは、具体的には、例えばユーザ端末18に感染しているウイルスVR1が最初に送信させたパケットPK1(あるいは、最初に送信された所定数(不正侵入のパターンを特定するのに必要な数)のパケットPK1)を不正侵入検出部35が処理したときである。ウイルスVR1がいつ、ユーザ端末18にパケットPK1を送信させるかは、ウイルスVR1の機能によって異なる。例えば、ユーザ端末18がネットワーク15に接続された直後にパケットPK1を送信させるウイルス、予めウイルスVR1内で決められた所定の時刻になるとパケットPK1を送信させるウイルス、予めウイルスVR1内で決められた所定のイベントが発生するとパケットPK1を送信させるウイルスなどもある。
The step S18 branches to the Yes side specifically, for example, the packet PK1 first transmitted by the virus VR1 infecting the user terminal 18 (or a predetermined number (the pattern of unauthorized intrusion) transmitted first). Is the number of packets PK1) necessary to identify the unauthorized
いずれにしても、当該不正侵入検出部35がそのパケットPK1が不正侵入に関係するものであると判定した場合、不正侵入検出部35は当該パケットPK1から送信元IPアドレス(ここでは、IPA8)等を抽出したあと、直ちに当該パケットPK1を廃棄する(S21)。そして、抽出した送信元IPアドレスIPA8は、当該不正侵入検出部35から前記仮想ファイアウオール変更制御部33に供給される。このとき必要ならば、IPアドレスIPA8とともに、当該パケットPK1に関するVLANタグの値や入力ポート番号の値なども供給され得る。ただしそのためには、不正侵入検出部35における処理が終わるまで、当該パケットPK1に関するVLANタグの値や入力ポート番号の値などを、FW装置11内で当該パケットPK1に対応づけて記憶しておく必要がある。
In any case, when the unauthorized
仮想ファイアウオール変更制御部33は、供給を受けた当該送信元IPアドレスIPA8等を利用して前記識別テーブルTB1の内容とルールテーブルTB2の内容を変更することにより(S20)、それ以降、ユーザ端末18から送信されたパケットPK1は、仮想ファイアウオール識別部32が隔離用仮想ファイアウオール機能部17Cに振り分け、隔離用仮想ファイアウオール機能部17Cと前記アドレス変換部34を経由して、前記パケット送信部31からネットワーク16へ送出されるようにする。
The virtual firewall
なお、ステップS20とS21はいずれを先に実行してもかまわない。 Note that either step S20 or S21 may be executed first.
また、前記ステップS18がYes側に分岐して、ユーザ端末18から送信されたパケットPK1を隔離用仮想ファイアウオール機能部17Cに振り分けるように識別テーブルTB1の内容を変更したとき、ユーザ端末18が隔離用ネットワーク16に収容されたといえる。
Further, when the step S18 branches to the Yes side and the content of the identification table TB1 is changed so as to distribute the packet PK1 transmitted from the
この場合、ユーザ端末18と同じネットワーク15に収容されている他のユーザ端末(図示せず)が送信したパケットは、それ以降も、仮想ファイアウオール識別部32により仮想ファイアウオール記憶部17Bに振り分けられつづけることは当然である。ユーザ端末が収容されている物理的なネットワークが同じであれば、そのユーザ端末から送信されたパケットに関する物理的な入力ポート番号は同じになるが、割り当てられているIPアドレスや、VLANタグの値がユーザ端末18と相違し得るため、仮想ファイアウオール識別部32がそのパケットに関する送信元IPアドレス、VLANタグの値、入力ポート番号を検索キーとして識別テーブルTB1を検索した結果は、パケットPK1に関する送信元IPアドレスIPA8、VLANタグの値、入力ポート番号を検索キーとして検索した検索結果(ファイアウオール識別情報)と異なるものとなるからである。
In this case, packets transmitted by other user terminals (not shown) accommodated in the
前記ステップS20で識別テーブルTB1の内容が変更されて、ユーザ端末18が隔離用ネットワーク16に収容されたあと、ユーザ端末18から送信されたパケットPK8がFW装置11に受信されると(S10)、ステップS11はYes側に分岐する。
When the contents of the identification table TB1 are changed in step S20 and the
このとき、仮想ファイアウオール識別部32が当該パケットPK1を隔離用仮想ファイアウオール機能部17Cに振り分けるので、そのパケットPK1を受け取った隔離用仮想ファイアウオール機能部17Cは、ルールテーブルTB2を用いて、当該パケットPK1の中継の可否を判定する(S12)。中継すべきでないと判定した場合には、ステップS12はNo側に分岐してそのパケットPK1を廃棄することになるが(S13)、このケースでは、すでに前記ステップS20でルールテーブルTB2も隔離用仮想ファイアウオール機能部17Cが当該パケットPK1を中継する内容に変更されているため、ステップS12はYes側に分岐する。なお、図4に示すようにルールテーブルTB2では、送信元IPアドレスと宛先IPアドレスの値が、ともに登録されている場合にのみ、許可(中継)するので、ユーザ端末18が送信したパケットPK1であっても、その宛先IPアドレスが適切でなければ、隔離用仮想ファイアウオール機能部17Cにおいて廃棄されることになる。
At this time, since the virtual
ここでは、ユーザ端末18には、ネットワーク16上の通信装置のうち復旧サーバ19との通信のみを許せばよいから、送信元IPアドレスがIPA8で、宛先IPアドレスがIPA9のパケットPK1のみを中継することになる。
Here, since the
パケットPK1の宛先IPアドレスとして記述されたIPアドレスが適切なものでなければ、パケットPK1をネットワーク16に送出したとしても、本来の宛先へは届かないが、ユーザU1がDNSシステムなどを利用して正確に復旧サーバ19を指定することができれば、宛先IPアドレスとして当該復旧サーバ19のIPアドレスであるIPA9を記述したパケットPK1を送信することができるから、当該パケットPK1はアドレス変換部34によるアドレス変換を経たあとFW装置11から送出され(S14,S15)、復旧サーバ19へ届けられる。
If the IP address described as the destination IP address of the packet PK1 is not appropriate, even if the packet PK1 is sent to the
同様に、これと同じ経路を逆方向に辿ることによって、復旧サーバ19がユーザ端末18に宛てて送信するパケットPK2も、ユーザ端末18へ届けられる。
Similarly, by following the same route in the reverse direction, the packet PK2 transmitted from the
このようなパケットPK1,PK2のやり取りを利用すれば、ユーザ端末18から復旧サーバ19へ、前記ウイルス定義ファイルVF1の提供を要求し、その要求に応えて、復旧サーバ19がユーザ端末18にウイルス定義ファイルVF1を提供すること等が可能となる。すなわち、ウイルスVR1に感染したユーザ端末18をそのまま利用して、ウイルス定義ファイルVF1を取得するための通信を行うことができるので従来よりも利便性が高い。このとき、従来のように、管理者M1が手作業でFW装置の設定を変更したり、ウイルスVR1に感染していない別なユーザ端末(図示せず)で復旧サーバ19にアクセスしてウイルス定義ファイルやワクチンソフトをダウンロードし、そのファイルを、フロッピーディスクやCDなどの外部記憶媒体に記憶させた上で、当該外部記憶媒体を、感染しているユーザ端末18の外部記憶装置に挿入して読み込ませること等が必要なくなることが、利便性の向上に大きく寄与する。
If such exchange of packets PK1 and PK2 is used, the
しかも本実施形態では、このような通信を行っても、通信システム10中の他の通信装置(例えば、通常サーバ20)にウイルスVF1の感染が広がることもないのでセキュリティ性も十分に高く維持できる。
Moreover, in this embodiment, even if such communication is performed, the virus VF1 is not spread to other communication devices (for example, the normal server 20) in the
このことは、例えば、ネットワーク13がネットワーク15と同じLAN内にある場合には、LAN内の感染拡大を防止できることを意味し、ネットワーク13がインターネット(ISP網)である場合には、WAN側への感染拡大を防止できることを意味する。
This means that, for example, when the
また、復旧サーバ19からユーザ端末18へ提供できるものは、ウイルス定義ファイルに限らない。例えば、前記セキュリティパッチやワクチンソフトなどを提供するようにしてもよい。なお、復旧サーバ19から送信された前記パケットPK2がネットワーク16内で正確にFW装置11の該当するポートに届けられるために、前記ステップS14でアドレス変換部34が実行するアドレス変換が必要となる。
What can be provided from the
なお、前記パケットPK1、PK2のやり取りによってユーザ端末18が復旧サーバ19からウイルス定義ファイルVF1等の提供を受けるには、ウイルスVR1に感染した状態でもこのような通信を行える程度にユーザ端末18が本来の機能を保っていることが前提となることは当然である。
In order for the
(A−3)第1の実施形態の効果
本実施形態によれば、利便性を高めることができ、セキュリティ性も十分に高く維持することができる。
(A-3) Effect of First Embodiment According to the present embodiment, convenience can be improved and security can be maintained sufficiently high.
また、本実施形態では、1台のFW装置(11)で3台のFW装置と同等の機能を発揮させることができるため、装置コストの低減や管理のための作業負担を軽減することが可能である。 Moreover, in this embodiment, since the function equivalent to three FW apparatuses can be exhibited by one FW apparatus (11), it is possible to reduce apparatus costs and work load for management. It is.
なお、本実施形態のFW装置は、多数のネットワーク(12〜16)が存在する環境で利用するのに適しているといえる。 It can be said that the FW device of this embodiment is suitable for use in an environment where a large number of networks (12 to 16) exist.
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
(B) Second Embodiment Hereinafter, only differences between the present embodiment and the first embodiment will be described.
この相違点は、第1の実施形態のFW装置11が3つの仮想ファイアウオール機能部を搭載していたのに対し、本実施形態のFW装置が搭載しているファイアウオール機能部の数が1つである点に関連する部分に限られる。
This difference is that the
(B−1)第2の実施形態の構成および動作
本実施形態にかかる通信システム40の全体構成例を図7に示す。
(B-1) Configuration and Operation of Second Embodiment FIG. 7 shows an overall configuration example of the
図7において、当該通信システム40は、ファイアウオール(FW)装置41と、ネットワーク42,43と、ユーザ端末44と、復旧サーバ45と、通常サーバ46とを備えている。
In FIG. 7, the
このうちFW装置41は前記FW装置11に対応し、ネットワーク42は前記ネットワーク15に対応し、通常サーバ46は前記通常サーバ20に対応し、復旧サーバ45は前記復旧サーバ19に対応するので、その詳しい説明は省略する。
Among them, the
前記ネットワーク43は、FW装置41を経由してネットワーク42と接続されるネットワークである。ネットワーク43は通常サーバ46を収容している点で前記ネットワーク13に対応し、復旧サーバ45を収容している点で前記ネットワーク16に対応する。
The
また、図7中で図2と同じ符号PK1,PK2,VR1,VC1,VF1を付与した各構成要素の機能は第1の実施形態と同じであるので、その詳しい説明は省略する。 Also, in FIG. 7, the functions of the constituent elements to which the same symbols PK1, PK2, VR1, VC1, and VF1 as those in FIG. 2 are assigned are the same as those in the first embodiment, and detailed description thereof is omitted.
なお、図7中のIPA4はユーザ端末44に割り当てられたIPアドレスであり、IPA5は復旧サーバ45に割り当てられたIPアドレスであり、IPA6は通常サーバ46に割り当てられたIPアドレスである。
Note that IPA 4 in FIG. 7 is an IP address assigned to the
前記FW装置41の内部構成は例えば図6に示す通りである。
The internal configuration of the
図6において、当該FW装置41は、パケット受信部50と、パケット送信部51と、ファイアウオール機能部52と、ルール制御部53と、不正侵入検出部54とを備えている。
In FIG. 6, the
このうちパケット受信部50は前記パケット受信部30に対応し、パケット送信部51は前記パケット送信部31に対応し、ファイアウオール機能部52は前記仮想ファイアウオール機能部17A〜17Cに対応し、ルール制御部53は前記仮想ファイアウオール変更制御部33に対応し、不正侵入検出部54は前記不正侵入検出部35に対応するので、その詳しい説明は省略する。
Of these, the
なお、当該ファイアウオール機能部52は、中継の可否を判定し、中継してよいと判定したパケット(例えば、PK1)を不正侵入検出部54に供給し、遮断すべきと判定したパケットを直ちに廃棄する点では、前記仮想ファイアウオール機能部(例えば、17B、17Cなど)と同じであるものの、1つで、前記仮想ファイアウオール機能部17Bに相当する機能と前記隔離用仮想ファイアウオール機能部17Cに相当する機能を発揮することになる点が相違する。
The
当該ファイアウオール機能部52が持つルールテーブルTB3は、形式的には、図4に示したルールテーブルTB2と同じものであってよいが、果たす役割は相違する。第1の実施形態において識別テーブルTB1とルールテーブルTB2が果たしていた役割に相当する役割を、当該ルールテーブルTB3が果たしているとみることができる。
The rule table TB3 possessed by the
本実施形態のFW装置41の動作は図8に示すフローチャートの通りである。
The operation of the
図8のフローチャートは、S30〜S35の各ステップを備えている。 The flowchart of FIG. 8 includes steps S30 to S35.
このうちステップS30は前記ステップS10に対応し、ステップS31は前記ステップS16に対応し、ステップS32は前記ステップS17に対応し、ステップS33は前記ステップS18に対応し、ステップS34は前記ステップS20に対応し、ステップS35は前記ステップS19に対応するので、その詳しい説明は省略する。 Of these, Step S30 corresponds to Step S10, Step S31 corresponds to Step S16, Step S32 corresponds to Step S17, Step S33 corresponds to Step S18, and Step S34 corresponds to Step S20. Since step S35 corresponds to step S19, detailed description thereof is omitted.
図8には、図5のステップS11に相当するステップがないため、ステップS30につづいてステップS31が処理される。 In FIG. 8, since there is no step corresponding to step S11 of FIG. 5, step S31 is processed following step S30.
ステップS31がYes側に分岐し、ファイアウオール機能部52から供給されたパケットPK1が、前記不正侵入検出部54によって、不正侵入に関係するパケットであると判定された場合、ステップS33はYes側に分岐して、不正侵入検出部54は、当該パケットPK1から送信元IPアドレスであるIPA4等を抽出し、抽出した送信元IPアドレスIPA4等を、ルール制御部53に供給する。
Step S31 branches to the Yes side, and if the packet PK1 supplied from the
これを受け取ったルール制御部53は、当該送信元IPアドレスIPA4等に基づいてファイアウオール機能部52が持つルールテーブルTB3の内容を変更する(S34)。
Receiving this, the
これまでは、送信元IPアドレスとして当該IPA4を収容したパケットPK1は、基本的にその宛先IPアドレスがどのような値であっても、中継してよいものと判定されたが、この変更のあとでは、宛先IPアドレスが復旧サーバ45のIPアドレスである前記IPA5である場合にのみ中継するものと判定され、それ以外の場合は、遮断されるようになる。 Up to now, it has been determined that the packet PK1 accommodating the IPA 4 as the source IP address can basically be relayed regardless of the value of the destination IP address. In this case, it is determined that relaying is performed only when the destination IP address is the IPA 5 that is the IP address of the recovery server 45, and in other cases, the IP address is blocked.
これにより、ウイルスVR1が感染を拡大するためにネットワーク46に収容されている任意の通信装置(例えば、通常サーバ46など)に宛てて送信したパケットPK1のほとんどは、当該ファイアウオール機能部52で遮断される。ウイルスVR1が感染を拡大しようとして復旧サーバ45に宛てて送信したパケットPK1は、当該ファイアウオール機能部52では遮断されないが、不正侵入検出部54で遮断できる可能性が高い。また、もしも不正侵入検出部54で遮断できずに復旧サーバ45まで届けられたとしても、復旧サーバ45側で十分な防御策を施してあれば、被害の発生を防止することができる。
As a result, most of the packets PK1 transmitted to any communication device (for example, the normal server 46) accommodated in the
また、ユーザU1が前記ウイルス定義ファイルVF1の提供を受けるためにパケットPK1を送信させた場合、そのパケットPK1は、ファイアウオール機能部52と、不正侵入検出部54で中継され、ネットワーク43経由で復旧サーバ45に届けられる。これに応じて、ウイルス定義ファイルVF1を提供するために復旧サーバ19から送信されるパケットPK2は、この経路を逆に辿って、ユーザ端末44まで届けられる。
Further, when the user U1 transmits the packet PK1 in order to receive the provision of the virus definition file VF1, the packet PK1 is relayed by the
したがって、本実施形態でも第1の実施形態と同様、ウイルスVR1に感染したユーザ端末44をそのまま利用して、ウイルス定義ファイルVF1を取得するための通信を行うことができるので従来よりも利便性が高い。
Therefore, similarly to the first embodiment, the present embodiment can use the
なお、前記ステップS33がYes側に分岐して前記パケットPK1から送信元IPアドレスIPA4等が抽出されたあと、不正侵入検出部54内において直ちに当該パケットPK1を廃棄する(S32)点などは、第1の実施形態と同じである。 Note that after the step S33 branches to Yes and the source IP address IPA4 and the like are extracted from the packet PK1, the packet PK1 is immediately discarded in the unauthorized intrusion detection unit 54 (S32). This is the same as the first embodiment.
(B−2)第2の実施形態の効果
本実施形態によれば、利便性を高めることができ、セキュリティ性も十分に高く維持することができる。
(B-2) Effects of Second Embodiment According to the present embodiment, convenience can be improved and security can be maintained sufficiently high.
また、本実施形態では、FW装置(41)自体の規模が第1の実施形態のFW装置(11)よりも小さいので、第1の実施形態よりも装置コストを低減することが可能である。 Moreover, in this embodiment, since the scale of FW apparatus (41) itself is smaller than FW apparatus (11) of 1st Embodiment, it is possible to reduce apparatus cost rather than 1st Embodiment.
なお、本実施形態のFW装置は、少数のネットワーク(42,43)が存在する環境で利用するのに適しているといえる。 It can be said that the FW device of this embodiment is suitable for use in an environment where a small number of networks (42, 43) exist.
(C)他の実施形態
上記第1の実施形態では、FW装置11に3つの仮想ファイアウオール機能部を搭載したが、1台のFW装置に搭載する仮想ファイアウオール機能部の数は、3つに限定する必要がないことは当然である。
(C) Other Embodiments In the first embodiment, three virtual firewall function units are mounted on the
また、上記第1および第2の実施形態における前記FW装置(例えば、11)内の構成要素は、FW装置11とは別個の装置が備えていてもよい、例えば、不正侵入検出部(IDS)はFW装置11と別個の装置に搭載するようにしてもかまわない。
Further, the components in the FW device (for example, 11) in the first and second embodiments may be provided in a device separate from the
さらに、上記第1および第2の実施形態において、ユーザ端末(例えば、18)でウイルスVR1の駆除などが完了する等、ウイルスVR1が感染の拡大や被害の拡大を実現する能力を失ったことが確認されたとき、自動的に、前記識別テーブルTB1やルールテーブルTB2(または、TB3)の内容を変更前の状態に戻すようにすることも望ましい。これにより、FW装置11(または、41)に関する管理負担がいっそう軽減でき、利便性が向上する。 Furthermore, in the first and second embodiments, the virus VR1 has lost the ability to realize the spread of infection and the spread of damage, such as the completion of the removal of the virus VR1 at the user terminal (for example, 18). When confirmed, it is also desirable to automatically return the contents of the identification table TB1 and rule table TB2 (or TB3) to the state before the change. Thereby, the management burden regarding the FW device 11 (or 41) can be further reduced, and convenience is improved.
なお、本発明が利用する通信プロトコルは、必ずしも上記第1および第2の実施形態で用いたものに限定する必要はない。例えば、OSI参照モデルのネットワーク層のプロトコルは必ずしもIPプロトコルである必要はない。一例として、IPXプロトコルを利用できる可能性もある。 Note that the communication protocol used by the present invention is not necessarily limited to that used in the first and second embodiments. For example, the network layer protocol of the OSI reference model is not necessarily the IP protocol. As an example, the IPX protocol may be used.
また、図3や図4に示したテーブルの構成は必ずしも図示したものに限定する必要はない。例えば、上述したように、パケット(例えば、PK1)に含まれるトランスポート層ヘッダに収容されているポート番号(宛先ポート番号、送信元ポート番号)の値など登録するためのデータ項目を用意した場合などにも、テーブルの構成は変わる。 Further, the configuration of the table shown in FIGS. 3 and 4 is not necessarily limited to the illustrated configuration. For example, as described above, when a data item for registration such as the value of a port number (destination port number, source port number) contained in a transport layer header included in a packet (for example, PK1) is prepared The structure of the table also changes.
さらに、上記第1および第2の実施形態における不正侵入検出部(例えば、35)は、仮想ファイアウオール機能部(例えば、17B)やファイアウオール機能部52と異なる方法によって不正侵入に関係するパケットを検出することができれば、どのようなものと置換してもかまわない。例えば、アプリケーション層型のファイアウオール(アプリケーションレベルゲートウエイ)等に置換できる可能性がある。アプリケーション層型のファイアウオールは、OSI参照モデルのアプリケーション層の情報をもとに中継の可否を判断する。
Further, the unauthorized intrusion detection unit (for example, 35) in the first and second embodiments detects a packet related to unauthorized intrusion by a method different from that of the virtual firewall function unit (for example, 17B) and the
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のなかにはハードウエア的に実現することができるものもある。 In the above description, most of the functions realized in hardware can be realized in software, and some functions realized in software can be realized in hardware.
10…通信システム、12〜16…ネットワーク、17A〜17C…仮想ファイアウオール機能部、18、44…ユーザ端末、19、45…復旧サーバ、20、46…通常サーバ、30、50…パケット受信部、31,51…パケット送信部、32…仮想ファイアウオール識別部、33…仮想ファイアウオール変更制御部、35、54…不正侵入検出部、52…ファイアウオール機能部、53…ルール制御部、TB1…識別テーブル、TB2…ルールテーブル、PK1、PK2…パケット、VR1…ウイルス、VC1…ワクチンソフト、VF1…ウイルス定義ファイル、IPA2,IPA8,IPA9…IPアドレス。
DESCRIPTION OF
Claims (4)
前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御部と、
前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御部とを備え、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御システム。 In an access control system that relays normal protocol data units and blocks protocol data units transmitted from communication devices infected with infectious malicious programs with infectious functions.
In order to specify the source or destination of the protocol data unit, it is determined whether or not a predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance. An identifier corresponding access control unit that relays the protocol data unit when it does not conform, and blocks it when it conforms;
It is determined whether or not an access pattern of unauthorized access executed by the infectious unauthorized program using a protocol data unit conforms to the contents of the unauthorized access pattern setting supplied in advance. It has an access control unit corresponding to the access pattern that relays the data unit and blocks it if it fits,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. And access control system.
前記識別子対応アクセス制御部を、前記通信装置が属するネットワークの組ごとに複数設け、そのうちの少なくとも1つは、前記セキュリティサーバを設置した隔離用ネットワークと他の任意のネットワークとの組に対応する隔離用識別子対応アクセス制御部である場合、
所定の振分設定の内容をもとに、前記プロトコルデータ単位を処理するべき識別子対応アクセス制御部を特定し、該当する識別子対応アクセス制御部に当該プロトコルデータ単位を振り分ける振分制御部を備えることを特徴とするアクセス制御システム。 The access control system of claim 1,
A plurality of identifier-corresponding access control units are provided for each network set to which the communication device belongs, and at least one of them is an isolation corresponding to a set of an isolation network on which the security server is installed and another arbitrary network. If it is an identifier-compatible access control unit,
An identifier-corresponding access control unit to process the protocol data unit is specified based on the content of a predetermined distribution setting, and a distribution control unit that distributes the protocol data unit to the corresponding identifier-corresponding access control unit An access control system characterized by
識別子対応アクセス制御部が、前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断し、
アクセスパターン対応アクセス制御部が、前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する場合、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御方法。 In an access control method for relaying a normal protocol data unit and blocking a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infection function,
Since the identifier-corresponding access control unit designates the source or destination of the protocol data unit, the predetermined entity identifier accommodated in the protocol data unit conforms to the content of the blocking identifier setting supplied in advance. If it does not match, the protocol data unit is relayed.
The access pattern-corresponding access control unit determines whether or not the unauthorized access pattern executed by the infectious unauthorized program using the protocol data unit matches the content of the unauthorized access pattern setting supplied in advance. When the protocol data unit is relayed when it does not conform, and when it conforms,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. Access control method.
前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御機能と、
前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御機能とを実現させ、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御プログラム。 In an access control program that relays normal protocol data units and blocks protocol data units transmitted from communication devices infected with infectious malicious programs with infectious functions,
In order to specify the source or destination of the protocol data unit, it is determined whether or not a predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance. An identifier-corresponding access control function that relays the protocol data unit when it does not conform, and blocks it when it conforms;
It is determined whether or not an access pattern of unauthorized access executed by the infectious unauthorized program using a protocol data unit conforms to the contents of the unauthorized access pattern setting supplied in advance. Realize access control function corresponding to access pattern that relays data unit and blocks if it fits,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. An access control program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004181132A JP4321375B2 (en) | 2004-06-18 | 2004-06-18 | Access control system, access control method, and access control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004181132A JP4321375B2 (en) | 2004-06-18 | 2004-06-18 | Access control system, access control method, and access control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006005738A JP2006005738A (en) | 2006-01-05 |
JP4321375B2 true JP4321375B2 (en) | 2009-08-26 |
Family
ID=35773727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004181132A Expired - Fee Related JP4321375B2 (en) | 2004-06-18 | 2004-06-18 | Access control system, access control method, and access control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4321375B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007124258A (en) * | 2005-10-27 | 2007-05-17 | Fujitsu Ltd | Network relay program, network relay method, network repeater and communication control program |
JP4985246B2 (en) * | 2007-09-04 | 2012-07-25 | 富士通株式会社 | Data relay apparatus, data relay method, and management program executed on computer as data relay apparatus |
JP2010026547A (en) * | 2008-07-15 | 2010-02-04 | Fujitsu Ltd | Firewall load balancing method and firewall load balancing system |
JP5245837B2 (en) | 2009-01-06 | 2013-07-24 | 富士ゼロックス株式会社 | Terminal device, relay device, and program |
JP6101525B2 (en) * | 2013-03-19 | 2017-03-22 | 株式会社エヌ・ティ・ティ・データ | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM |
JP7198617B2 (en) * | 2018-09-21 | 2023-01-04 | 株式会社日立ハイテクソリューションズ | security system |
JP7290495B2 (en) * | 2019-07-25 | 2023-06-13 | 株式会社日立製作所 | Communication relay device and diagnostic method |
-
2004
- 2004-06-18 JP JP2004181132A patent/JP4321375B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006005738A (en) | 2006-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
JP5398410B2 (en) | Network system, packet transfer apparatus, packet transfer method, and computer program | |
KR101270041B1 (en) | System and method for detecting arp spoofing | |
US7792990B2 (en) | Remote client remediation | |
US8661544B2 (en) | Detecting botnets | |
KR100952350B1 (en) | Intelligent network interface controller | |
JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
US7706378B2 (en) | Method and apparatus for processing network packets | |
US20080219261A1 (en) | Apparatus and method for processing data streams | |
WO2012077603A1 (en) | Computer system, controller, and network monitoring method | |
JP4290198B2 (en) | Flexible network security system and network security method permitting reliable processes | |
US20030097589A1 (en) | Personal firewall with location detection | |
WO2007076883A1 (en) | Method and system for secure communication between a public network and a local network | |
JP2004304752A (en) | System and method of defending attack | |
US20180270189A1 (en) | Equipment for offering domain-name resolution services | |
CN101719899A (en) | Dynamic access control policy with port restrictions for a network security appliance | |
JP2020017809A (en) | Communication apparatus and communication system | |
US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
JP4321375B2 (en) | Access control system, access control method, and access control program | |
JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
KR100468374B1 (en) | Device and method for controlling network harmful traffic | |
JP5509999B2 (en) | Unauthorized connection prevention device and program | |
JP2008283495A (en) | System and method for packet transfer | |
JP2009081736A (en) | Packet transfer apparatus and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20061030 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070423 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090421 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090512 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090525 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4321375 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130612 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |