JP4321375B2 - Access control system, access control method, and access control program - Google Patents

Access control system, access control method, and access control program Download PDF

Info

Publication number
JP4321375B2
JP4321375B2 JP2004181132A JP2004181132A JP4321375B2 JP 4321375 B2 JP4321375 B2 JP 4321375B2 JP 2004181132 A JP2004181132 A JP 2004181132A JP 2004181132 A JP2004181132 A JP 2004181132A JP 4321375 B2 JP4321375 B2 JP 4321375B2
Authority
JP
Japan
Prior art keywords
protocol data
data unit
access control
packet
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004181132A
Other languages
Japanese (ja)
Other versions
JP2006005738A (en
Inventor
裕樹 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2004181132A priority Critical patent/JP4321375B2/en
Publication of JP2006005738A publication Critical patent/JP2006005738A/en
Application granted granted Critical
Publication of JP4321375B2 publication Critical patent/JP4321375B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関し、例えば、ファイアウオールとIDS(不正侵入検知システム)を連携させる場合などに適用して好適なものである。   The present invention relates to an access control system, an access control method, and an access control program, and is suitably applied to, for example, a case where a firewall and IDS (unauthorized intrusion detection system) are linked.

ファイアウオールやコンピュータウイルスに関連する従来技術としては、下記の特許文献1、2に記載されたものがある。   Conventional techniques related to firewalls and computer viruses include those described in Patent Documents 1 and 2 below.

特許文献1の技術は、1台のファイアウオール装置に複数のファイアウオール機能部を搭載し、ユーザ網の組み合わせごとに異なるファイアウオール機能部を提供することにより、多数のユーザ網間の処理を1台のファイアウオール装置で実行するように構成する。これによって必要なファイアウオール装置の数が少なくなるため、ファイアウオール装置に関する装置コストの低減と、管理の省力化をはかることができる。   In the technology of Patent Document 1, a plurality of firewall function units are mounted on one firewall device, and a different firewall function unit is provided for each combination of user networks, so that processing between a large number of user networks can be performed by one firewall. Configure to run on the device. As a result, the number of necessary firewall devices is reduced, so that it is possible to reduce the cost of the devices related to the firewall devices and save labor in management.

また、特許文献2の技術は、LAN内の中継装置であるスイッチに、不正パケットを検出する機能を搭載したものである。これにより、LAN内のコンピュータ間でやり取りされるパケットや、LAN内のコンピュータとWAN側のコンピュータとのあいだでやり取りされるパケットは、当該スイッチで中継される際に不正パケットであるか否かが検査され、不正パケットは破棄されるため、コンピュータウイルス等が送信する不正パケットにより、LAN内で感染が拡大したり、感染範囲がLAN内からWAN側へ広がったりすることを防止することができる。
特開2001−306421号公報 特開2003−348113号公報 The technique of Patent Document 2 is a switch that is a relay device in a LAN and has a function of detecting illegal packets. As a result, whether a packet exchanged between computers in the LAN or a packet exchanged between a computer in the LAN and a computer on the WAN side is an illegal packet when relayed by the switch. Since the illegal packet is inspected and discarded, it is possible to prevent the infection from spreading within the LAN or spreading the infection range from the LAN to the WAN side due to the illegal packet transmitted by a computer virus or the like.
JP 2001-306421 A JP 2003-348113 A

ところで、上述した特許文献1の技術では、個々の前記ファイアウオール機能部がパケットを遮断するためのルール(遮断ルール)などを動的に変更することができないため、利便性に欠ける面がある。   By the way, in the technique of the above-mentioned patent document 1, since the said firewall function part cannot change the rule (blocking rule) for blocking a packet etc. dynamically, there exists a surface lacking in convenience.

例えば、コンピュータウイルス(狭義のウイルス、ワーム、トロイの木馬などを含む)に感染したコンピュータ上から当該コンピュータウイルスを駆除する場合などによく利用されるパターンマッチング方式のワクチンソフトを用いようとすると、そのコンピュータに搭載されているウイルス定義ファイルを更新したり、そのコンピュータにワクチンソフト自体が搭載されていない場合にはワクチンソフトをインストールすること等が必要になるが、そのためには、感染している当該コンピュータが、ウイルス定義ファイルやワクチンソフトの提供元のサーバと通信することを許可しなければならない。   For example, if you try to use pattern matching vaccine software that is often used to remove a computer virus from a computer infected with a computer virus (including narrowly defined viruses, worms, Trojan horses, etc.) It is necessary to update the virus definition file installed on the computer, or to install the vaccine software if the vaccine software itself is not installed on the computer. The computer must be allowed to communicate with the server that provides the virus definition file or vaccine software.

しかしながら、前記遮断ルールが固定されていると、そのような許可を実現するには、逐一、管理者が、遮断ルールの設定を変更するための作業を行うこと等が必要となり、管理負担がかえって増大し、利便性が低い。あるいは、コンピュータウイルスに感染していない別なコンピュータで前記サーバにアクセスしてウイルス定義ファイルやワクチンソフトをダウンロードし、そのファイルを、フロッピー(登録商標)ディスクやCDなどの外部記憶媒体に記憶させた上で、当該外部記憶媒体を、感染しているコンピュータの外部記憶装置に挿入して、感染しているコンピュータに読み込ませること等も可能であるが、この場合にも、そのための作業に、時間や手間がかかり、利便性が低い。   However, when the blocking rule is fixed, in order to realize such permission, it is necessary for an administrator to perform work for changing the setting of the blocking rule, and the management burden is changed. Increased and low convenience. Alternatively, a virus definition file or vaccine software is downloaded by accessing the server on another computer that is not infected with a computer virus, and the file is stored in an external storage medium such as a floppy (registered trademark) disk or CD. It is possible to insert the external storage medium into the external storage device of the infected computer and read it into the infected computer. It takes a lot of work and is not convenient.

一方、前記特許文献2の技術では、すでにコンピュータウイルス等に感染しているコンピュータ(例えば、ノート型パソコンなど)がLAN内に持ち込まれて前記スイッチに接続され、ウイルスパターンを含むパケットを送信した場合、スイッチは、ポートを遮断するか、パケットを廃棄するか、所定のコンピュータに対しウイルス検出の通知を行うことになる。ポートを遮断すればウイルスパターン(自己の複製)を含むパケットがスイッチで中継されないため、コンピュータウイルスの感染の拡大を防止でき、それ以降に発生し得るウイルス被害の拡大も防止できるが、ポートを遮断してしまうと、コンピュータウイルス等に感染したコンピュータは前記提供元のサーバとの通信を行うこともできなくなる可能性があり、利便性が低い。   On the other hand, in the technique of Patent Document 2, when a computer (for example, a notebook personal computer) already infected with a computer virus is brought into the LAN and connected to the switch, a packet containing a virus pattern is transmitted. The switch shuts off the port, discards the packet, or notifies a predetermined computer of virus detection. If the port is blocked, packets containing virus patterns (self-replicated) will not be relayed by the switch, preventing the spread of computer virus infection and preventing the spread of virus damage that may occur thereafter, but blocking the port. In this case, a computer infected with a computer virus or the like may not be able to communicate with the server of the provider, which is not convenient.

また、ウイルスパターンを含むパケットをスイッチで廃棄するだけでは、コンピュータウイルスの感染拡大は防げたとしてもウイルス被害の拡大は必ずしも防ぐことはできず、セキュリティ性が十分に高いとはいえない。コンピュータウイルス等が感染したコンピュータに送信させるパケットは、必ずしも前記ウイルスパターンを含むパケットだけではないし、ウイルスパターンを含まないパケットによっても被害が発生することがあるからである。   Moreover, even if a packet containing a virus pattern is simply discarded by a switch, even if the spread of a computer virus can be prevented, the spread of virus damage cannot necessarily be prevented, and the security is not sufficiently high. This is because a packet transmitted to a computer infected with a computer virus or the like is not necessarily a packet including the virus pattern, and damage may be caused by a packet not including the virus pattern.

さらに、所定のコンピュータに対しウイルスの検出の通知を行うだけでは、感染の拡大を防止することもできず、被害の拡大を防止することもできないので、セキュリティ性が十分に高いとはいえない。   Furthermore, it is not possible to prevent the spread of infection and the spread of damage simply by notifying a predetermined computer of detection of a virus, so that the security is not sufficiently high.

かかる課題を解決するために、第1の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御システムにおいて、(1)前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御部と、(2)前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御部とを備え、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。   In order to solve such a problem, in the first aspect of the present invention, an access control system that relays a normal protocol data unit and blocks a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infection function. (1) In order to specify the source or destination of the protocol data unit, whether the predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance An identifier-corresponding access control unit that relays the protocol data unit if it does not match and blocks it if it matches, and (2) the infectious malicious program is executed using the protocol data unit The access pattern for unauthorized access conforms to the contents of the unauthorized access pattern setting received in advance. An access control unit corresponding to an access pattern that relays the protocol data unit if it does not match and blocks the block if it matches, (3) the protocol data unit includes the block If the content does not match the content of the identifier setting for use and conforms to the content of the unauthorized access pattern setting, the content of the setting for blocking identifier is changed, and the communication device that is the transmission source of the protocol data unit transmits The protocol data unit is characterized in that when the contained entity identifier designates a predetermined security server, it does not conform to the contents of the setting of the blocking identifier.

また、第2の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御方法において、(1)識別子対応アクセス制御部が、前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断し、(2)アクセスパターン対応アクセス制御部が、前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する場合、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。   According to a second aspect of the present invention, there is provided an access control method for relaying a normal protocol data unit and blocking a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infecting function. In order for the corresponding access control unit to specify the source or destination of the protocol data unit, whether the predetermined entity identifier accommodated in the protocol data unit matches the contents of the blocking identifier setting supplied in advance If it does not match, the protocol data unit is relayed, and if it matches, it is blocked. (2) The access control unit corresponding to the access pattern uses the protocol data unit by the infectious malicious program. The access pattern for unauthorized access executed by the If the protocol data unit is determined to be suitable, the protocol data unit is relayed, and if it is compatible, the protocol data unit is blocked. (3) The protocol data unit is the content of the blocking identifier setting. If the content of the unauthorized access pattern setting conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed, and the protocol data unit transmitted by the communication device that is the transmission source of the protocol data unit is: In the case where the stored entity identifier designates a predetermined security server, the entity identifier is not adapted to the contents of the setting of the blocking identifier.

さらに、第3の本発明では、通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御プログラムにおいて、コンピュータに、(1)前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御機能と、(2)前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御機能とを実現させ、(3)前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とする。   Furthermore, in the third aspect of the present invention, in an access control program that relays a normal protocol data unit and blocks a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infecting function, 1) In order to specify the source or destination of the protocol data unit, whether or not a predetermined entity identifier accommodated in the protocol data unit matches the contents of the blocking identifier setting supplied in advance. If it does not match, the protocol data unit is relayed if it does not match, and if it matches, the identifier corresponding access control function is blocked, and (2) unauthorized access executed by the infectious malicious program using the protocol data unit The access pattern matches the contents of the unauthorized access pattern setting received in advance. An access control function corresponding to an access pattern that relays the protocol data unit if it does not match and blocks it if it matches, and (3) the protocol data unit If it does not match the contents of the blocking identifier setting, but matches the contents of the unauthorized access pattern setting, the setting of the blocking identifier setting is changed, and the communication device that is the transmission source of the protocol data unit transmits The protocol data unit to be used is characterized in that when the contained entity identifier designates a predetermined security server, the protocol data unit does not conform to the contents of the setting of the blocking identifier.

本発明によれば、高いセキュリティ性を維持しつつ利便性を高めることができる。   According to the present invention, convenience can be enhanced while maintaining high security.

(A)実施形態
以下、本発明にかかるアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムの実施形態について説明する。 (A) Embodiments Hereinafter, embodiments of an access control system, an access control method, and an access control program according to the present invention will be described.

(A−1)第1の実施形態の構成
本実施形態にかかる通信システム10の全体構成例を図2に示す。なお、当該通信システム10中に、図示しないサーバ類(例えば、DNSサーバなど)が存在していてもよいことは当然である。 (A-1) Configuration of the First Embodiment FIG. 2 shows an overall configuration example of the communication system 10 according to the present embodiment. Of course, servers (not shown) (such as a DNS server) may exist in the communication system 10.

図2において、当該通信システム10は、ファイアウオール(FW)装置11と、ネットワーク12〜16と、ユーザ端末18と、復旧サーバ19と、通常サーバ20とを備えている。   In FIG. 2, the communication system 10 includes a firewall (FW) device 11, networks 12 to 16, a user terminal 18, a recovery server 19, and a normal server 20.

このうちネットワーク12〜16はFW装置11を経由して接続されるネットワークである。これらのネットワーク12〜16のなかには、LAN(ローカルエリアネットワーク)の構成要素であるネットワークが含まれていてもよく、インターネットなどが含まれていてもよい。一例としては、ネットワーク12、14、15,16は、1つのLANを構成し、ネットワーク13はインターネット(ISP網)であってもよい。   Among these, the networks 12 to 16 are networks connected via the FW device 11. Among these networks 12 to 16, a network that is a constituent element of a LAN (local area network) may be included, and the Internet may be included. As an example, the networks 12, 14, 15, and 16 may constitute one LAN, and the network 13 may be the Internet (ISP network).

本実施形態のFW装置11は、3つの仮想ファイアウオール機能部17A〜17Cを搭載している。個々の仮想ファイアウオール機能部(例えば、17A)は、上述した特許文献1のファイアウオール機能部に相当し得る構成要素であるが、本実施形態では、この構成要素の使用方法が特許文献1と異なる。   The FW device 11 of this embodiment is equipped with three virtual firewall function units 17A to 17C. Each virtual firewall function unit (for example, 17A) is a component that can correspond to the firewall function unit of Patent Document 1 described above. However, in this embodiment, the method of using this component is different from that of Patent Document 1.

ネットワーク12〜16のうち、ネットワーク12と14が、仮想ファイアウオール機能部17A経由で接続され、ネットワーク13と15が仮想ファイアウオール機能部17B経由で接続される。また、図2に示した状態では、ネットワーク16は、いずれのネットワークとも接続されていないが、隔離用の仮想ファイアウオール機能部(隔離用仮想ファイアウオール機能部)17Cは、適宜、当該ネットワーク16をいずれかのネットワーク(例えば、15)と接続する。その詳細については後で説明する。   Among the networks 12 to 16, the networks 12 and 14 are connected via the virtual firewall function unit 17A, and the networks 13 and 15 are connected via the virtual firewall function unit 17B. In the state shown in FIG. 2, the network 16 is not connected to any network, but the isolation virtual firewall function unit (isolation virtual firewall function unit) 17 </ b> C appropriately selects one of the networks 16. Network (for example, 15). Details thereof will be described later.

ネットワーク15に収容されているユーザ端末18はユーザU1に利用される情報処理装置である。具体的には、当該ユーザ端末18はネットワーク機能を有する通常のパソコン(例えば、ノート型パソコンなど)であってもよい。本実施形態では、主としてこのユーザ端末18がウイルスVR1に感染したケースを想定して説明を進める。コンピュータウイルス(ウイルス)の用語は、狭義では、ワームやトロイの木馬などと区別して用いられることがあるが、ここでは、広義のウイルス(狭義のウイルスだけでなく、ワームやトロイの木馬なども包含し得る)を指すものとして用いる。   The user terminal 18 accommodated in the network 15 is an information processing apparatus used by the user U1. Specifically, the user terminal 18 may be a normal personal computer (for example, a notebook personal computer) having a network function. In the present embodiment, the description will proceed mainly assuming a case where the user terminal 18 is infected with the virus VR1. The term computer virus (virus) may be used in the narrow sense to distinguish it from worms and Trojan horses, but here it covers broadly defined viruses (not only narrowly defined viruses but also worms and Trojan horses). Can be used).

前記ユーザ端末18は、前記パターンマッチング方式のワクチンソフトVC1を搭載しているものの、そのウイルス定義ファイルが最新のものに更新されていないため、ウイルスVR1の感染を許し、検出も行えていないケースを想定する。   Although the user terminal 18 is equipped with the pattern matching type vaccine software VC1, the virus definition file has not been updated to the latest version, so that the virus VR1 is allowed to be infected and cannot be detected. Suppose.

ネットワーク13に収容されている通常サーバ20は、普段、ユーザ端末18に搭載されている該当するクライアント機能(図示せず)と通信するサーバである。具体的には、当該通常サーバ20は、例えば、Webサーバ、メールサーバ、FTPサーバなどであってもよい。   The normal server 20 accommodated in the network 13 is a server that communicates with a corresponding client function (not shown) that is normally installed in the user terminal 18. Specifically, the normal server 20 may be, for example, a Web server, a mail server, an FTP server, or the like.

前記ネットワーク16は隔離用のネットワーク(隔離用ネットワーク)である。当該隔離用ネットワーク16はネットワークの構成や仕様自体は特段、他のネットワーク(例えば、14など)と異なるものでなくてもよいが、ウイルスに感染したコンピュータ(例えば、18)を隔離するために用いられる点が相違する。当該隔離用ネットワーク16には、復旧サーバ19が含まれている。   The network 16 is an isolation network (isolation network). The network 16 for isolation is not particularly different from other networks (for example, 14) in terms of network configuration and specifications, but is used to isolate a computer (for example, 18) infected with a virus. Is different. The isolation network 16 includes a recovery server 19.

復旧サーバ19は、前記ウイルスVR1の検出や駆除などの実行を支援するサーバである。具体的には、例えば、ウイルスVR1の検出や駆除を行うための最新のウイルス定義ファイルVF1を蓄積しており、ユーザ端末(ここでは、18)からの要求があると、当該ウイルス定義ファイルVF1をユーザ端末18へ提供する機能を持つ。ウイルス定義ファイルVF1がユーザ端末18へ届けられると、ワクチンソフトVC1が当該ウイルス定義ファイルVF1を用いてウイルスVR1の検出や駆除などを行うことができる。   The recovery server 19 is a server that supports execution of detection and removal of the virus VR1. Specifically, for example, the latest virus definition file VF1 for detecting and removing the virus VR1 is accumulated, and when there is a request from the user terminal (here, 18), the virus definition file VF1 is stored. It has a function to be provided to the user terminal 18. When the virus definition file VF1 is delivered to the user terminal 18, the vaccine software VC1 can detect or remove the virus VR1 using the virus definition file VF1.

もしも、前記ユーザ端末18がワクチンソフトVC1自体を搭載していない場合などには、復旧サーバ19からユーザ端末18へワクチンソフトVC1を提供するようにしてもよい。   If the user terminal 18 does not include the vaccine software VC1 itself, the vaccine software VC1 may be provided from the recovery server 19 to the user terminal 18.

また、前記ウイルスVR1(あるいは、VR1以外の新種のウイルス)がユーザ端末18の搭載しているソフトウエア(例えば、OS(オペレーティングシステム)やWebブラウザなど)のセキュリティホールを突いて感染するタイプのウイルスである場合などには、そのセキュリティホールを修正するための修正版プログラム(セキュリティパッチ)を当該復旧サーバ18からユーザ端末18へ提供できるようにしておくことも有効である。   In addition, the virus VR1 (or a new virus other than VR1) is a type of virus that infects through a security hole in software (for example, an OS (operating system) or a web browser) installed in the user terminal 18. In such a case, it is also effective to be able to provide a modified version program (security patch) for correcting the security hole from the recovery server 18 to the user terminal 18.

図2の状態において、ユーザ端末18にはIPアドレスIPA8が割り当てられ、通常サーバ20にはIPアドレスIPA2が割り当てられ、復旧サーバ19にはIPアドレスIPA9が割り当てられているものとする。   In the state of FIG. 2, it is assumed that the user terminal 18 is assigned an IP address IPA8, the normal server 20 is assigned an IP address IPA2, and the recovery server 19 is assigned an IP address IPA9.

なお、前記ネットワーク13,15,16に図示した以外の通信装置が収容されていてもよいことは当然である。また、ネットワーク12,14にも、図示しない通信装置が収容されている。これらの通信装置には、ユーザ端末や、サーバ類のほか、スイッチやルータなどのネットワーク機器も含まれ得る。   Of course, communication devices other than those shown in the network 13, 15, 16 may be accommodated. The networks 12 and 14 also accommodate communication devices (not shown). These communication devices may include network devices such as switches and routers in addition to user terminals and servers.

前記FW装置11の内部構成は例えば図1に示す通りである。   The internal configuration of the FW device 11 is, for example, as shown in FIG.

(A−1−1)FW装置の内部構成例
図1において、当該FW装置11は、パケット受信部30と、パケット送信部31と、仮想ファイアウオール識別部32と、仮想ファイアウオール変更制御部33と、アドレス変換部34と、不正侵入検出部35と、前記仮想ファイアウオール機能部17A〜17Cとを備えている。 (A-1-1) Internal Configuration Example of FW Device In FIG. 1, the FW device 11 includes a packet receiver 30, a packet transmitter 31, a virtual firewall identification unit 32, a virtual firewall change control unit 33, The address conversion unit 34, the unauthorized intrusion detection unit 35, and the virtual firewall function units 17A to 17C are provided.

このうちパケット受信部30は、中継または遮断するパケットを受信する部分である。このパケットは、いずれかのユーザ端末(例えば、18)またはサーバ(例えば、19)から送信され、該当するネットワーク(例えば、15)経由で当該FW装置11に受信されるパケットである。   Among these, the packet receiving unit 30 is a part that receives a packet to be relayed or blocked. This packet is a packet that is transmitted from any user terminal (for example, 18) or server (for example, 19) and is received by the FW device 11 via the corresponding network (for example, 15).

なお、OSI参照モデルのデータリンク層の通信プロトコルとして、IEEE802.3を用い、ネットワーク層の通信プロトコルとして、IPプロトコルを用いるものとすると、当該パケットは、MACフレームに収容されたIPパケットである。様々なサーバやユーザ端末がパケットの送受を行うが、ここでは、主として、前記ユーザ端末18から送信されたパケットPK1に注目する。当該パケットPK1の宛先には様々なものがあり得るが、いずれにしても当該ユーザ端末18から送信されたパケットはPK1とする。   If IEEE802.3 is used as the data link layer communication protocol of the OSI reference model and the IP protocol is used as the network layer communication protocol, the packet is an IP packet accommodated in a MAC frame. Various servers and user terminals send and receive packets. Here, the packet PK1 transmitted from the user terminal 18 is mainly noticed. There are various destinations for the packet PK1, but in any case, the packet transmitted from the user terminal 18 is PK1.

パケット送信部31は、該当する仮想ファイアウオール機能部(例えば、17A)と不正侵入検出部35が、ともに中継を許可したパケット(例えば、PK1)、または、隔離用仮想ファイアウオール機能部17Cが中継を許可しアドレス変換部34によるアドレス変換を受けたパケットを送信する部分である。パケット送信部31から送信されたパケットPK1は該当するネットワーク(例えば、13)経由で宛先の通信装置(例えば、20)まで届けられる。   The packet transmission unit 31 is a packet that the corresponding virtual firewall function unit (for example, 17A) and the unauthorized intrusion detection unit 35 permit relaying together (for example, PK1), or the isolation virtual firewall function unit 17C permits relaying This is a part that transmits a packet that has undergone address translation by the address translation unit 34. The packet PK1 transmitted from the packet transmission unit 31 is delivered to the destination communication device (for example, 20) via the corresponding network (for example, 13).

仮想ファイアウオール識別部32は、パケット受信部30を介して受信したパケットを処理するべき仮想ファイアウオール機能部を識別テーブルTB1を利用して特定し、特定した仮想ファイアウオール機能部にそのパケットを振り分ける部分である。   The virtual firewall identifying unit 32 is a part that identifies a virtual firewall function unit that should process a packet received via the packet receiving unit 30 using the identification table TB1, and distributes the packet to the identified virtual firewall function unit. .

当該識別テーブルTB1は、例えば、図3に示す構成を備えている。   The identification table TB1 has, for example, the configuration shown in FIG.

図3に示すように、当該識別テーブルTB1は、データ項目として、送信元IPアドレスと、VLANタグ値と、入力ポート番号と、仮想ファイアウオール機能とを備えている。   As shown in FIG. 3, the identification table TB1 includes a transmission source IP address, a VLAN tag value, an input port number, and a virtual firewall function as data items.

このうち送信元IPアドレスは、前記パケット(例えば、PK1)に収容されている送信元IPアドレスの値を登録するためのデータ項目である。   Among these, the transmission source IP address is a data item for registering the value of the transmission source IP address accommodated in the packet (for example, PK1).

VLANタグ値は、前記パケット(例えば、PK1)を収容したMACフレームに付加されたVLANタグの値を登録するためのデータ項目である。VLAN(バーチャルLAN)は、VLAN技術を使って論理的に構成したLANのことである。VLANを使えば物理的なLAN構成とは別個のLANを論理的に構成することができる。   The VLAN tag value is a data item for registering the value of the VLAN tag added to the MAC frame containing the packet (for example, PK1). A VLAN (virtual LAN) is a LAN that is logically configured using VLAN technology. If VLAN is used, a LAN separate from the physical LAN configuration can be logically configured.

入力ポート番号は、FW装置11が備え、パケット(例えば、PK1)の入力用に用いるポート(入力ポート)に付与したポート番号を登録するためのデータ項目である。このポートは物理的なものであってもよく、物理的には同じポートを論理的に区別したものであってもよい。いずれにしても、入力ポート番号によって入力ポートが識別される。   The input port number is a data item for registering a port number provided to the port (input port) provided in the FW device 11 and used for inputting a packet (for example, PK1). This port may be physical or physically the same port logically distinguished. In any case, the input port is identified by the input port number.

仮想ファイアウオール機能は、FW装置11に搭載されている3つのファイアウオール機能部17A〜17Cを識別するためのファイアウオール識別情報(ここでは、VFW#1〜VFW#3)を登録するためのデータ項目である。   The virtual firewall function is a data item for registering firewall identification information (here, VFW # 1 to VFW # 3) for identifying the three firewall function units 17A to 17C installed in the FW device 11. .

このような識別テーブルTB1を用いると、仮想ファイアウオール識別部32は、そのパケット(例えば、PK1)に関する送信元IPアドレスの値、VLANタグの値、入力ポート番号の値に応じて、そのパケットを振り分けるべき仮想ファイアウオール機能部を一意に特定することができる。   When such an identification table TB1 is used, the virtual firewall identifying unit 32 sorts the packet according to the value of the source IP address, the value of the VLAN tag, and the value of the input port number regarding the packet (for example, PK1). It is possible to uniquely identify the virtual firewall function unit that should be used.

個々の仮想ファイアウオール機能部(例えば、17A)は、通常の1つのファイアウオール装置と同等な機能を持ち、中継してよいと判断したパケットは中継し、中継してはいけないと判断したパケットは遮断する。遮断されたパケットは、その仮想ファイアウオール機能において直ちに廃棄される。中継の可否を判断する方法には様々なものがあるが、ここでは、OSI参照モデルのネットワーク層の情報をもとに中継の可否を判断するものとする。   Each virtual firewall function unit (for example, 17A) has a function equivalent to that of an ordinary firewall device, and relays packets that are determined to be relayed, and blocks packets that are determined not to be relayed. . The blocked packet is immediately discarded in the virtual firewall function. There are various methods for determining whether or not relaying is possible. Here, it is assumed that whether or not relaying is possible is determined based on information on the network layer of the OSI reference model.

したがって、仮想ファイアウオール機能部17A〜17Cが中継の可否を判断する際に用いるルールをまとめたルールテーブルTB2の構成および内容は例えば図4に示すものとなる。図4に示すように、当該ルールテーブルTB2は、データ項目として、送信元IPアドレスと、宛先IPアドレスと、動作とを備えている。   Therefore, the configuration and contents of the rule table TB2 that summarizes the rules used when the virtual firewall function units 17A to 17C determine whether or not relaying is possible are as shown in FIG. As shown in FIG. 4, the rule table TB2 includes a transmission source IP address, a destination IP address, and an operation as data items.

このうち送信元IPアドレスは、前記識別テーブルTB1のデータ項目である送信元IPアドレスと同じものである。   Among these, the transmission source IP address is the same as the transmission source IP address which is a data item of the identification table TB1.

また、宛先IPアドレスは、前記パケット(例えば、PK1)に収容されている宛先IPアドレスの値を登録するためのデータ項目である。   The destination IP address is a data item for registering the value of the destination IP address accommodated in the packet (for example, PK1).

動作は、その仮想ファイアウオール機能部が当該パケットを中継するか否かを示す値を登録するデータ項目である。値が許可であれば、中継することを示し、拒否であれば、中継しない(遮断する)ことを示す。   The operation is a data item for registering a value indicating whether or not the virtual firewall function unit relays the packet. If the value is permitted, it indicates that relaying is performed, and if it is rejected, it indicates that relaying is not performed (blocked).

このようなルールテーブルTB2を用いると、各仮想ファイアウオール機能部(例えば、17A)は、そのパケット(例えば、PK1)に関する送信元IPアドレス、宛先IPアドレスの値に応じて、そのパケットを中継するか遮断するかを判定することができる。   If such a rule table TB2 is used, each virtual firewall function unit (for example, 17A) relays the packet according to the value of the source IP address and the destination IP address for the packet (for example, PK1). It is possible to determine whether to block.

ただし、後述するように、通常の仮想ファイアウオール機能部(例えば、17B)は、ウイルスVR1がユーザ端末18に送信させた不正なパケットであるか否かにかかわらず、ユーザ端末18がウイルスVR1に感染していることが不正侵入検出部35に確認されたあとはパケットPK1を遮断するために用いられるのに対し、隔離用仮想ファイアウオール機能部17Cは、不正なパケットであるか否かにかかわらず、パケットPK1を中継するために用いられる点が相違する。これは、ユーザ端末18が前記ウイルス定義ファイルVF1のダウンロード等を目的として復旧サーバ19にアクセスすることを許容するためである。これを許容すると、ウイルスVR1がユーザ端末18に送信させた不正なパケットPK1も復旧サーバ19へ届けられてしまう可能性もあるが、復旧サーバ19側では、十分な防御策を施してあるため、そのパケットPK1による被害の発生を防止することができる。   However, as will be described later, the normal virtual firewall function unit (for example, 17B) causes the user terminal 18 to be infected with the virus VR1 regardless of whether the virus VR1 is an illegal packet transmitted to the user terminal 18. After being confirmed by the unauthorized intrusion detection unit 35, it is used to block the packet PK1, whereas the quarantine virtual firewall function unit 17C, regardless of whether it is an unauthorized packet, The difference is that it is used to relay the packet PK1. This is to allow the user terminal 18 to access the recovery server 19 for the purpose of downloading the virus definition file VF1. If this is allowed, there is a possibility that the illegal packet PK1 transmitted by the virus VR1 to the user terminal 18 is also delivered to the recovery server 19, but since the recovery server 19 side has taken sufficient defensive measures, The occurrence of damage due to the packet PK1 can be prevented.

なお、各仮想ファイアウオール機能部17A〜17Cごとに、図4と同じ構成(データ項目が同じ)で内容(各行が持つ各データ項目の値)の異なるルールテーブルを持たせるようにしてもよいが、ここでは、同じルールテーブルTB2を3つの仮想ファイアウオール機能部17A〜17Cに検索させるものとする。前記識別テーブルTB1の構成および内容から明らかなように、FW装置11が動作中のある時点でみると、仮想ファイアウオール機能部ごとに処理する可能性のある送信元IPアドレスは決まっているため、仮想ファイアウオール機能部が異なれば、利用する行が変わるだけで、同一のルールテーブルTB2を、すべての仮想ファイアウオール機能部17A〜17Bに検索させることができる。ここで、行とは、テーブル内のデータ項目以外の横の並びのことである。例えば、図4に示すルールテーブルTB2の場合、「A B 許可」は1つの行である。   Each virtual firewall function unit 17A to 17C may have a rule table having the same configuration (same data items) as in FIG. 4 and different contents (values of each data item in each row). Here, it is assumed that the same rule table TB2 is searched by the three virtual firewall function units 17A to 17C. As is clear from the configuration and contents of the identification table TB1, since the source IP address that can be processed for each virtual firewall function unit is determined at a certain point in time when the FW device 11 is operating, If the firewall function units are different, the same rule table TB2 can be searched for all the virtual firewall function units 17A to 17B only by changing the row to be used. Here, a row is a horizontal arrangement other than data items in the table. For example, in the case of the rule table TB2 shown in FIG. 4, “A B permission” is one row.

また、必要ならば、パケット(例えば、PK1)に含まれるトランスポート層ヘッダに収容されているポート番号(宛先ポート番号、送信元ポート番号)の値など登録するためのデータ項目を図4中に用意してもよい。この場合、送信元IPアドレスと、宛先IPアドレスだけでなく、宛先ポート番号や送信元ポート番号の値も中継するか否かを判定するためのルールに反映させることができる。   Also, if necessary, data items for registration such as values of port numbers (destination port number, source port number) contained in the transport layer header included in the packet (for example, PK1) are shown in FIG. You may prepare. In this case, not only the transmission source IP address and the destination IP address, but also the destination port number and the value of the transmission source port number can be reflected in the rule for determining whether or not to relay.

前記不正侵入検出部35は、いわゆるIDS(不正侵入検知システム)を構成する部分で、予め登録してある不正侵入のパターン(シグネチャ)に基づいて不正侵入を検知する部分である。隔離用仮想ファイアウオール機能部17C以外のいずれかの仮想ファイアウオール機能(例えば、17A)で中継するものと判定されたパケットが当該不正侵入検出部35に供給され、当該不正侵入検出部35で、再度、中継の可否を判定される。当該不正侵入検出部35は、前記仮想ファイアウオール機能部17A〜17Cとは判定のルールがまったく異なるため、仮想ファイアウオール機能部(例えば、17A)で中継するものと判定されたパケット(例えば、PK1)であっても、当該不正侵入検出部35では、遮断すべきものと判定される可能性がある。   The unauthorized intrusion detection unit 35 constitutes a so-called IDS (Unauthorized Intrusion Detection System), and is a part that detects unauthorized intrusion based on an unauthorized intrusion pattern (signature) registered in advance. A packet determined to be relayed by any virtual firewall function (for example, 17A) other than the quarantine virtual firewall function unit 17C is supplied to the unauthorized intrusion detection unit 35, and the unauthorized intrusion detection unit 35 again It is determined whether or not relaying is possible. The unauthorized intrusion detection unit 35 uses a packet (for example, PK1) determined to be relayed by a virtual firewall function unit (for example, 17A) because the determination rule is completely different from the virtual firewall function unit 17A to 17C. Even in such a case, the unauthorized intrusion detection unit 35 may determine that it should be blocked.

不正侵入検出部35で遮断すべきものと判定されたパケットは、不正侵入検出部35において送信元IPアドレス等を抽出されたあと、直ちに廃棄される。不正侵入検出部35は、抽出した送信元IPアドレス等を仮想ファイアウオール変更制御部33に供給する。   A packet that is determined to be blocked by the unauthorized intrusion detection unit 35 is immediately discarded after the source IP address or the like is extracted by the unauthorized intrusion detection unit 35. The unauthorized intrusion detection unit 35 supplies the extracted source IP address and the like to the virtual firewall change control unit 33.

仮想ファイアウオール変更制御部33は、当該不正侵入検出部35から供給を受けた送信元IPアドレス等をもとに、仮想ファイアウオール識別部32が持つ前記識別テーブルTB1と、隔離用仮想ファイアウオール機能部17Cが持つルールテーブルTB2(TB2の該当する行)の内容を変更する部分である。   Based on the source IP address supplied from the unauthorized intrusion detection unit 35, the virtual firewall change control unit 33 includes the identification table TB1 of the virtual firewall identification unit 32 and the isolation virtual firewall function unit 17C. This is a part for changing the contents of the rule table TB2 (the corresponding row of TB2).

識別テーブルTB1の内容の変更は、不正侵入検出部35で不正なパケットであると判定されたパケット(例えば、PK1)の送信元(例えば、18)から送信される後続のパケット(例えば、PK1)を隔離用仮想ファイアウオール機能部17Cへ振分けさせるために行う。   The change of the contents of the identification table TB1 is a subsequent packet (for example, PK1) transmitted from the transmission source (for example, 18) of the packet (for example, PK1) determined to be an unauthorized packet by the unauthorized intrusion detection unit 35. Is distributed to the virtual firewall function unit 17C for isolation.

また、ルールテーブルTB2の該当する行の内容の変更は、隔離用仮想ファイアウオール機能部17Cに、前記不正侵入検出部35で不正なパケットであると判定されたパケット(例えば、PK1)の送信元(例えば、18)から送信される後続のパケット(例えば、PK1)を中継させ、前記復旧サーバ19に届けるために行う。   Also, the change in the contents of the corresponding row of the rule table TB2 is sent to the quarantine virtual firewall function unit 17C from the transmission source (for example, PK1) of the packet (for example, PK1) determined by the unauthorized intrusion detection unit 35 as an unauthorized packet. For example, the subsequent packet (for example, PK1) transmitted from 18) is relayed and delivered to the recovery server 19.

前記アドレス変換部34は、隔離用仮想ファイアウオール機能部17Cが中継したパケット(例えば、PK1)に収容されている送信元IPアドレス(プライベートIPアドレス)をアドレス変換するための部分である。通常、仮想ファイアウオール機能部(例えば、17A)を介して相互に接続されているネットワーク(例えば、12,14)内では、適切なネットワーク管理が行われていれば、IPアドレスの一意性は確保されているが、隔離用仮想ファイアウオール機能部17Cを介して隔離用ネットワーク16に接続されるネットワーク(例えば、15)と隔離用ネットワーク16は、通常は、接続されるものではないため、一意性が確保されていない可能性があり、その場合、当該アドレス変換部34を用いて隔離用ネットワーク16内におけるパケット(例えば、PK1)の送信元IPアドレスの一意性を確保する。   The address conversion unit 34 is a part for converting the source IP address (private IP address) accommodated in the packet (for example, PK1) relayed by the isolation virtual firewall function unit 17C. Normally, in a network (for example, 12, 14) connected to each other via a virtual firewall function unit (for example, 17A), the uniqueness of the IP address is ensured if appropriate network management is performed. However, since the network (for example, 15) connected to the isolation network 16 via the isolation virtual firewall function unit 17C and the isolation network 16 are not normally connected, the uniqueness is ensured. In this case, the uniqueness of the source IP address of the packet (for example, PK1) in the quarantine network 16 is secured using the address conversion unit 34.

換言すると、当該アドレス変換部34があれば、隔離用ネットワーク16内の図示しない各通信装置(ただし、復旧サーバ19は除く)へのIPアドレス(プライベートIPアドレス)の割り当ては、他の任意のネットワーク12〜15内におけるIPアドレスの割り当てに拘束されることなく、自由に行うことができる。   In other words, if there is the address conversion unit 34, the assignment of an IP address (private IP address) to each communication device (not shown in the drawing except for the recovery server 19) in the isolation network 16 can be performed by any other network. This can be done freely without being constrained by the assignment of IP addresses within 12-15.

ただし、復旧サーバ19に対しては各ネットワーク12〜15内の任意のユーザ端末(例えば、18)がパケット(例えば、PK1)を届ける必要があるため、少なくとも、各ネットワーク12〜15内でそのパケットが復旧サーバ19宛てであることを一意に特定(あるいは、少なくとも、そのネットワーク内の他の通信装置宛てでないことを特定)できるようにしておく必要がある。この一意性を確保する方法には様々なものが考えられるが、例えば、復旧サーバ19に割り当てるIPアドレスIPA9を、ネットワーク12〜16内で一意なプライベートIPアドレスとしておくか、グローバルIPアドレスとしておくことによっても、この一意性は確保することができる。   However, since any user terminal (for example, 18) in each network 12-15 needs to deliver a packet (for example, PK1) to the recovery server 19, at least the packet in each network 12-15. Must be uniquely specified (or at least specified not addressed to another communication device in the network). There are various methods for ensuring this uniqueness. For example, the IP address IPA 9 assigned to the recovery server 19 is set as a private IP address unique within the networks 12 to 16 or as a global IP address. Therefore, this uniqueness can be ensured.

以下、上記のような構成を有する本実施形態の動作について、図5のフローチャートを参照しながら説明する。   The operation of the present embodiment having the above configuration will be described below with reference to the flowchart of FIG.

図5のフローチャートは前記FW装置11の動作を示すフローチャートで、S10〜S21の各ステップから構成されている。ここでも、前記ユーザ端末18が送信するパケットPK1に注目する。   The flowchart of FIG. 5 is a flowchart showing the operation of the FW device 11, and includes steps S10 to S21. Here, attention is also paid to the packet PK1 transmitted by the user terminal 18.

(A−2)第1の実施形態の動作
図5において、前記FW装置11内のパケット受信部30がネットワーク15経由で、ユーザ端末18の送信したパケットPK1を受信すると(S10)、そのパケットPK1が隔離用ネットワーク16に収容される端末から送信されたものであるか否かが検査される(S11)。この検査は、前記仮想ファイアウオール識別部32が、前記識別テーブルTB1に基づいて行う。前記不正侵入検出部35が、不正侵入に関係するパケットを検出していないあいだは、ネットワーク12〜15のなかに、隔離用ネットワーク16と接続されるものは存在しないため、ステップS11はNo側に分岐する。 (A-2) Operation of the First Embodiment In FIG. 5, when the packet receiver 30 in the FW device 11 receives the packet PK1 transmitted from the user terminal 18 via the network 15 (S10), the packet PK1 Is transmitted from a terminal accommodated in the quarantine network 16 (S11). This inspection is performed by the virtual firewall identification unit 32 based on the identification table TB1. While the unauthorized intrusion detection unit 35 does not detect a packet related to unauthorized intrusion, no network 12 to 15 is connected to the quarantine network 16, so step S11 is set to No. Branch.

例えば、ユーザ端末18がウイルスVR1に感染していない場合、感染していても当該パケットPK1が、ウイルスVR1がユーザ端末18に送信させたパケットではなく、ユーザU1が正規の目的のために送信させたパケットの場合、あるいは、すでに感染していて、ウイルスVR1がユーザ端末18に送信させたパケットであっても、まだ(不正侵入検出部35がウイルスVR1による不正侵入のパターンを検出していないために)感染の事実が識別テーブルTB1に反映されていない場合などには、当該ステップS11はNo側に分岐して、当該パケットPK1は、仮想ファイアウオール識別部32により仮想ファイアウオール機能部17Bに振り分けられる。   For example, if the user terminal 18 is not infected with the virus VR1, even if it is infected, the packet PK1 is not the packet that the virus VR1 sent to the user terminal 18, but the user U1 sends it for a legitimate purpose. Even if the packet is already infected or the packet transmitted by the virus VR1 to the user terminal 18 (because the unauthorized intrusion detection unit 35 has not detected the unauthorized intrusion pattern by the virus VR1). B) If the fact of infection is not reflected in the identification table TB1, the step S11 branches to the No side, and the packet PK1 is distributed to the virtual firewall function unit 17B by the virtual firewall identification unit 32.

この場合、当該仮想ファイアウオール機能部17Bは、前記ルールテーブルTB2の内容に基づいて、当該パケットPK1の中継の可否を判定する(S16)。   In this case, the virtual firewall function unit 17B determines whether the packet PK1 can be relayed based on the contents of the rule table TB2 (S16).

ルールテーブルTB2に基づいて、当該パケットPK1が遮断すべきパケットであると判定した場合、ステップS16はNo側に分岐し、仮想ファイアウオール機能部17Bは、直ちに、当該パケットPK1を廃棄するが(S17)、中継すべきパケットであると判定した場合には、ステップS16がYes側に分岐するので、当該パケットPK1は仮想ファイアウオール機能部17Bから前記不正侵入検出部35に渡され、処理はステップS18へ進む。   When it is determined that the packet PK1 is a packet to be blocked based on the rule table TB2, step S16 branches to the No side, and the virtual firewall function unit 17B immediately discards the packet PK1 (S17). If it is determined that the packet is to be relayed, step S16 branches to Yes, so that the packet PK1 is transferred from the virtual firewall function unit 17B to the unauthorized intrusion detection unit 35, and the process proceeds to step S18. .

ステップS18では、不正侵入検出部35が、予め登録してある不正侵入のパターン(シグネチャ)に基づいて当該パケットPK1が不正侵入に関係するものであるか否か(中継の可否)を判定し、不正侵入に関係しないパケットであると判定した場合には、当該パケットPK1を前記パケット送信部31へ渡して転送させる。   In step S18, the unauthorized intrusion detection unit 35 determines whether or not the packet PK1 is related to unauthorized intrusion based on an unauthorized intrusion pattern (signature) registered in advance (relayability). If it is determined that the packet is not related to unauthorized intrusion, the packet PK1 is transferred to the packet transmitter 31 for transfer.

このように仮想ファイアウオール機能部17Bも、不正侵入検出部35も、中継すべきと判定した場合、通常の通信であるから、そのパケットPK1はパケット送信部31によってネットワーク13に送出され、当該パケットPK1の宛先IPアドレスによって指定されるネットワーク13内の宛先の通信装置(例えば、通常サーバ20)へ届けられることになる(S19)。   As described above, when it is determined that both the virtual firewall function unit 17B and the unauthorized intrusion detection unit 35 should relay, the packet PK1 is transmitted to the network 13 by the packet transmission unit 31, and the packet PK1 is transmitted. To the destination communication device (for example, the normal server 20) in the network 13 specified by the destination IP address (S19).

これに対し、ステップS18で、不正侵入検出部35が当該パケットPK1が不正侵入に関係するパケットなので遮断すべきと判定した場合、ステップS18はYes側に分岐して処理はステップS20に進む。   On the other hand, if the unauthorized intrusion detection unit 35 determines in step S18 that the packet PK1 is a packet related to unauthorized intrusion, it should be blocked and step S18 branches to Yes and the process proceeds to step S20.

ステップS18がYes側に分岐するのは、具体的には、例えばユーザ端末18に感染しているウイルスVR1が最初に送信させたパケットPK1(あるいは、最初に送信された所定数(不正侵入のパターンを特定するのに必要な数)のパケットPK1)を不正侵入検出部35が処理したときである。ウイルスVR1がいつ、ユーザ端末18にパケットPK1を送信させるかは、ウイルスVR1の機能によって異なる。例えば、ユーザ端末18がネットワーク15に接続された直後にパケットPK1を送信させるウイルス、予めウイルスVR1内で決められた所定の時刻になるとパケットPK1を送信させるウイルス、予めウイルスVR1内で決められた所定のイベントが発生するとパケットPK1を送信させるウイルスなどもある。   The step S18 branches to the Yes side specifically, for example, the packet PK1 first transmitted by the virus VR1 infecting the user terminal 18 (or a predetermined number (the pattern of unauthorized intrusion) transmitted first). Is the number of packets PK1) necessary to identify the unauthorized intrusion detection unit 35. When the virus VR1 causes the user terminal 18 to transmit the packet PK1 depends on the function of the virus VR1. For example, a virus that transmits a packet PK1 immediately after the user terminal 18 is connected to the network 15, a virus that transmits a packet PK1 at a predetermined time determined in advance in the virus VR1, a predetermined that is determined in advance in the virus VR1. There is a virus that causes the packet PK1 to be transmitted when this event occurs.

いずれにしても、当該不正侵入検出部35がそのパケットPK1が不正侵入に関係するものであると判定した場合、不正侵入検出部35は当該パケットPK1から送信元IPアドレス(ここでは、IPA8)等を抽出したあと、直ちに当該パケットPK1を廃棄する(S21)。そして、抽出した送信元IPアドレスIPA8は、当該不正侵入検出部35から前記仮想ファイアウオール変更制御部33に供給される。このとき必要ならば、IPアドレスIPA8とともに、当該パケットPK1に関するVLANタグの値や入力ポート番号の値なども供給され得る。ただしそのためには、不正侵入検出部35における処理が終わるまで、当該パケットPK1に関するVLANタグの値や入力ポート番号の値などを、FW装置11内で当該パケットPK1に対応づけて記憶しておく必要がある。   In any case, when the unauthorized intrusion detection unit 35 determines that the packet PK1 is related to unauthorized intrusion, the unauthorized intrusion detection unit 35 determines the source IP address (in this case, IPA8) from the packet PK1. Immediately after the packet is extracted (S21). The extracted transmission source IP address IPA8 is supplied from the unauthorized intrusion detection unit 35 to the virtual firewall change control unit 33. At this time, if necessary, together with the IP address IPA8, the value of the VLAN tag and the value of the input port number related to the packet PK1 can be supplied. However, for that purpose, it is necessary to store the VLAN tag value, the input port number value, and the like related to the packet PK1 in association with the packet PK1 in the FW device 11 until the processing in the unauthorized intrusion detection unit 35 is completed. There is.

仮想ファイアウオール変更制御部33は、供給を受けた当該送信元IPアドレスIPA8等を利用して前記識別テーブルTB1の内容とルールテーブルTB2の内容を変更することにより(S20)、それ以降、ユーザ端末18から送信されたパケットPK1は、仮想ファイアウオール識別部32が隔離用仮想ファイアウオール機能部17Cに振り分け、隔離用仮想ファイアウオール機能部17Cと前記アドレス変換部34を経由して、前記パケット送信部31からネットワーク16へ送出されるようにする。   The virtual firewall change control unit 33 changes the contents of the identification table TB1 and the contents of the rule table TB2 by using the received source IP address IPA8 or the like (S20), and thereafter the user terminal 18 The packet PK1 transmitted from the virtual firewall identifying unit 32 distributes the packet PK1 to the isolation virtual firewall function unit 17C, and from the packet transmission unit 31 to the network 16 via the isolation virtual firewall function unit 17C and the address conversion unit 34. To be sent to.

なお、ステップS20とS21はいずれを先に実行してもかまわない。   Note that either step S20 or S21 may be executed first.

また、前記ステップS18がYes側に分岐して、ユーザ端末18から送信されたパケットPK1を隔離用仮想ファイアウオール機能部17Cに振り分けるように識別テーブルTB1の内容を変更したとき、ユーザ端末18が隔離用ネットワーク16に収容されたといえる。   Further, when the step S18 branches to the Yes side and the content of the identification table TB1 is changed so as to distribute the packet PK1 transmitted from the user terminal 18 to the isolation virtual firewall function unit 17C, the user terminal 18 It can be said that it was accommodated in the network 16.

この場合、ユーザ端末18と同じネットワーク15に収容されている他のユーザ端末(図示せず)が送信したパケットは、それ以降も、仮想ファイアウオール識別部32により仮想ファイアウオール記憶部17Bに振り分けられつづけることは当然である。ユーザ端末が収容されている物理的なネットワークが同じであれば、そのユーザ端末から送信されたパケットに関する物理的な入力ポート番号は同じになるが、割り当てられているIPアドレスや、VLANタグの値がユーザ端末18と相違し得るため、仮想ファイアウオール識別部32がそのパケットに関する送信元IPアドレス、VLANタグの値、入力ポート番号を検索キーとして識別テーブルTB1を検索した結果は、パケットPK1に関する送信元IPアドレスIPA8、VLANタグの値、入力ポート番号を検索キーとして検索した検索結果(ファイアウオール識別情報)と異なるものとなるからである。   In this case, packets transmitted by other user terminals (not shown) accommodated in the same network 15 as the user terminal 18 are continuously distributed to the virtual firewall storage unit 17B by the virtual firewall identification unit 32 thereafter. Is natural. If the physical network in which the user terminal is accommodated is the same, the physical input port number for the packet transmitted from the user terminal will be the same, but the assigned IP address and the value of the VLAN tag Can be different from the user terminal 18, the result of the virtual firewall identifying unit 32 searching the identification table TB1 using the source IP address, VLAN tag value, and input port number for the packet as a search key is the source for the packet PK1. This is because it is different from the search result (firewall identification information) searched using the IP address IPA8, VLAN tag value, and input port number as search keys.

前記ステップS20で識別テーブルTB1の内容が変更されて、ユーザ端末18が隔離用ネットワーク16に収容されたあと、ユーザ端末18から送信されたパケットPK8がFW装置11に受信されると(S10)、ステップS11はYes側に分岐する。   When the contents of the identification table TB1 are changed in step S20 and the user terminal 18 is accommodated in the isolation network 16, the packet PK8 transmitted from the user terminal 18 is received by the FW device 11 (S10). Step S11 branches to the Yes side.

このとき、仮想ファイアウオール識別部32が当該パケットPK1を隔離用仮想ファイアウオール機能部17Cに振り分けるので、そのパケットPK1を受け取った隔離用仮想ファイアウオール機能部17Cは、ルールテーブルTB2を用いて、当該パケットPK1の中継の可否を判定する(S12)。中継すべきでないと判定した場合には、ステップS12はNo側に分岐してそのパケットPK1を廃棄することになるが(S13)、このケースでは、すでに前記ステップS20でルールテーブルTB2も隔離用仮想ファイアウオール機能部17Cが当該パケットPK1を中継する内容に変更されているため、ステップS12はYes側に分岐する。なお、図4に示すようにルールテーブルTB2では、送信元IPアドレスと宛先IPアドレスの値が、ともに登録されている場合にのみ、許可(中継)するので、ユーザ端末18が送信したパケットPK1であっても、その宛先IPアドレスが適切でなければ、隔離用仮想ファイアウオール機能部17Cにおいて廃棄されることになる。   At this time, since the virtual firewall identifying unit 32 distributes the packet PK1 to the quarantine virtual firewall function unit 17C, the quarantine virtual firewall function unit 17C that has received the packet PK1 uses the rule table TB2 to store the packet PK1. It is determined whether or not relaying is possible (S12). If it is determined that the packet should not be relayed, step S12 branches to No and discards the packet PK1 (S13). In this case, the rule table TB2 has already been isolated in step S20. Since the firewall function unit 17C has been changed to relay the packet PK1, step S12 branches to the Yes side. As shown in FIG. 4, the rule table TB2 permits (relays) only when the values of the source IP address and the destination IP address are both registered, so the packet PK1 transmitted by the user terminal 18 is used. Even if the destination IP address is not appropriate, it is discarded in the isolation virtual firewall function unit 17C.

ここでは、ユーザ端末18には、ネットワーク16上の通信装置のうち復旧サーバ19との通信のみを許せばよいから、送信元IPアドレスがIPA8で、宛先IPアドレスがIPA9のパケットPK1のみを中継することになる。   Here, since the user terminal 18 only needs to be allowed to communicate with the recovery server 19 among the communication devices on the network 16, it relays only the packet PK1 whose source IP address is IPA8 and whose destination IP address is IPA9. It will be.

パケットPK1の宛先IPアドレスとして記述されたIPアドレスが適切なものでなければ、パケットPK1をネットワーク16に送出したとしても、本来の宛先へは届かないが、ユーザU1がDNSシステムなどを利用して正確に復旧サーバ19を指定することができれば、宛先IPアドレスとして当該復旧サーバ19のIPアドレスであるIPA9を記述したパケットPK1を送信することができるから、当該パケットPK1はアドレス変換部34によるアドレス変換を経たあとFW装置11から送出され(S14,S15)、復旧サーバ19へ届けられる。   If the IP address described as the destination IP address of the packet PK1 is not appropriate, even if the packet PK1 is sent to the network 16, it does not reach the original destination, but the user U1 uses a DNS system or the like. If the recovery server 19 can be specified correctly, the packet PK1 describing the IPA 9 that is the IP address of the recovery server 19 can be transmitted as the destination IP address. Is sent from the FW device 11 (S14, S15) and delivered to the recovery server 19.

同様に、これと同じ経路を逆方向に辿ることによって、復旧サーバ19がユーザ端末18に宛てて送信するパケットPK2も、ユーザ端末18へ届けられる。   Similarly, by following the same route in the reverse direction, the packet PK2 transmitted from the recovery server 19 to the user terminal 18 is also delivered to the user terminal 18.

このようなパケットPK1,PK2のやり取りを利用すれば、ユーザ端末18から復旧サーバ19へ、前記ウイルス定義ファイルVF1の提供を要求し、その要求に応えて、復旧サーバ19がユーザ端末18にウイルス定義ファイルVF1を提供すること等が可能となる。すなわち、ウイルスVR1に感染したユーザ端末18をそのまま利用して、ウイルス定義ファイルVF1を取得するための通信を行うことができるので従来よりも利便性が高い。このとき、従来のように、管理者M1が手作業でFW装置の設定を変更したり、ウイルスVR1に感染していない別なユーザ端末(図示せず)で復旧サーバ19にアクセスしてウイルス定義ファイルやワクチンソフトをダウンロードし、そのファイルを、フロッピーディスクやCDなどの外部記憶媒体に記憶させた上で、当該外部記憶媒体を、感染しているユーザ端末18の外部記憶装置に挿入して読み込ませること等が必要なくなることが、利便性の向上に大きく寄与する。   If such exchange of packets PK1 and PK2 is used, the user terminal 18 requests the recovery server 19 to provide the virus definition file VF1, and in response to the request, the recovery server 19 sends a virus definition to the user terminal 18. It is possible to provide the file VF1. That is, since the user terminal 18 infected with the virus VR1 can be used as it is for communication for acquiring the virus definition file VF1, it is more convenient than before. At this time, as usual, the administrator M1 manually changes the setting of the FW device, or accesses the recovery server 19 with another user terminal (not shown) that is not infected with the virus VR1 to define the virus. Download a file or vaccine software, store the file in an external storage medium such as a floppy disk or CD, insert the external storage medium into the external storage device of the infected user terminal 18 and read it The fact that it is no longer necessary contributes to the improvement of convenience.

しかも本実施形態では、このような通信を行っても、通信システム10中の他の通信装置(例えば、通常サーバ20)にウイルスVF1の感染が広がることもないのでセキュリティ性も十分に高く維持できる。   Moreover, in this embodiment, even if such communication is performed, the virus VF1 is not spread to other communication devices (for example, the normal server 20) in the communication system 10, so that the security can be maintained sufficiently high. .

このことは、例えば、ネットワーク13がネットワーク15と同じLAN内にある場合には、LAN内の感染拡大を防止できることを意味し、ネットワーク13がインターネット(ISP網)である場合には、WAN側への感染拡大を防止できることを意味する。   This means that, for example, when the network 13 is in the same LAN as the network 15, it is possible to prevent the spread of infection in the LAN, and when the network 13 is the Internet (ISP network), to the WAN side. It can prevent the spread of infection.

また、復旧サーバ19からユーザ端末18へ提供できるものは、ウイルス定義ファイルに限らない。例えば、前記セキュリティパッチやワクチンソフトなどを提供するようにしてもよい。なお、復旧サーバ19から送信された前記パケットPK2がネットワーク16内で正確にFW装置11の該当するポートに届けられるために、前記ステップS14でアドレス変換部34が実行するアドレス変換が必要となる。   What can be provided from the recovery server 19 to the user terminal 18 is not limited to the virus definition file. For example, the security patch or vaccine software may be provided. In addition, in order for the packet PK2 transmitted from the recovery server 19 to be accurately delivered to the corresponding port of the FW device 11 within the network 16, the address conversion executed by the address conversion unit 34 in step S14 is required.

なお、前記パケットPK1、PK2のやり取りによってユーザ端末18が復旧サーバ19からウイルス定義ファイルVF1等の提供を受けるには、ウイルスVR1に感染した状態でもこのような通信を行える程度にユーザ端末18が本来の機能を保っていることが前提となることは当然である。   In order for the user terminal 18 to receive provision of the virus definition file VF1 and the like from the recovery server 19 by exchanging the packets PK1 and PK2, the user terminal 18 should be able to perform such communication even in a state infected with the virus VR1. Naturally, it is assumed that the functions of

(A−3)第1の実施形態の効果
本実施形態によれば、利便性を高めることができ、セキュリティ性も十分に高く維持することができる。 (A-3) Effect of First Embodiment According to the present embodiment, convenience can be improved and security can be maintained sufficiently high.

また、本実施形態では、1台のFW装置(11)で3台のFW装置と同等の機能を発揮させることができるため、装置コストの低減や管理のための作業負担を軽減することが可能である。   Moreover, in this embodiment, since the function equivalent to three FW apparatuses can be exhibited by one FW apparatus (11), it is possible to reduce apparatus costs and work load for management. It is.

なお、本実施形態のFW装置は、多数のネットワーク(12〜16)が存在する環境で利用するのに適しているといえる。   It can be said that the FW device of this embodiment is suitable for use in an environment where a large number of networks (12 to 16) exist.

(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。 (B) Second Embodiment Hereinafter, only differences between the present embodiment and the first embodiment will be described.

この相違点は、第1の実施形態のFW装置11が3つの仮想ファイアウオール機能部を搭載していたのに対し、本実施形態のFW装置が搭載しているファイアウオール機能部の数が1つである点に関連する部分に限られる。   This difference is that the FW device 11 of the first embodiment has three virtual firewall function units, whereas the FW device of the present embodiment has one firewall function unit. Limited to parts related to a point.

(B−1)第2の実施形態の構成および動作
本実施形態にかかる通信システム40の全体構成例を図7に示す。 (B-1) Configuration and Operation of Second Embodiment FIG. 7 shows an overall configuration example of the communication system 40 according to the present embodiment.

図7において、当該通信システム40は、ファイアウオール(FW)装置41と、ネットワーク42,43と、ユーザ端末44と、復旧サーバ45と、通常サーバ46とを備えている。   In FIG. 7, the communication system 40 includes a firewall (FW) device 41, networks 42 and 43, a user terminal 44, a recovery server 45, and a normal server 46.

このうちFW装置41は前記FW装置11に対応し、ネットワーク42は前記ネットワーク15に対応し、通常サーバ46は前記通常サーバ20に対応し、復旧サーバ45は前記復旧サーバ19に対応するので、その詳しい説明は省略する。   Among them, the FW device 41 corresponds to the FW device 11, the network 42 corresponds to the network 15, the normal server 46 corresponds to the normal server 20, and the recovery server 45 corresponds to the recovery server 19. Detailed description is omitted.

前記ネットワーク43は、FW装置41を経由してネットワーク42と接続されるネットワークである。ネットワーク43は通常サーバ46を収容している点で前記ネットワーク13に対応し、復旧サーバ45を収容している点で前記ネットワーク16に対応する。   The network 43 is a network connected to the network 42 via the FW device 41. The network 43 corresponds to the network 13 in that the normal server 46 is accommodated, and corresponds to the network 16 in that the recovery server 45 is accommodated.

また、図7中で図2と同じ符号PK1,PK2,VR1,VC1,VF1を付与した各構成要素の機能は第1の実施形態と同じであるので、その詳しい説明は省略する。   Also, in FIG. 7, the functions of the constituent elements to which the same symbols PK1, PK2, VR1, VC1, and VF1 as those in FIG. 2 are assigned are the same as those in the first embodiment, and detailed description thereof is omitted.

なお、図7中のIPA4はユーザ端末44に割り当てられたIPアドレスであり、IPA5は復旧サーバ45に割り当てられたIPアドレスであり、IPA6は通常サーバ46に割り当てられたIPアドレスである。   Note that IPA 4 in FIG. 7 is an IP address assigned to the user terminal 44, IPA 5 is an IP address assigned to the recovery server 45, and IPA 6 is an IP address assigned to the normal server 46.

前記FW装置41の内部構成は例えば図6に示す通りである。   The internal configuration of the FW device 41 is, for example, as shown in FIG.

図6において、当該FW装置41は、パケット受信部50と、パケット送信部51と、ファイアウオール機能部52と、ルール制御部53と、不正侵入検出部54とを備えている。   In FIG. 6, the FW device 41 includes a packet reception unit 50, a packet transmission unit 51, a firewall function unit 52, a rule control unit 53, and an unauthorized intrusion detection unit 54.

このうちパケット受信部50は前記パケット受信部30に対応し、パケット送信部51は前記パケット送信部31に対応し、ファイアウオール機能部52は前記仮想ファイアウオール機能部17A〜17Cに対応し、ルール制御部53は前記仮想ファイアウオール変更制御部33に対応し、不正侵入検出部54は前記不正侵入検出部35に対応するので、その詳しい説明は省略する。   Of these, the packet receiving unit 50 corresponds to the packet receiving unit 30, the packet transmitting unit 51 corresponds to the packet transmitting unit 31, the firewall function unit 52 corresponds to the virtual firewall function units 17A to 17C, and the rule control unit. Since 53 corresponds to the virtual firewall change control unit 33 and the unauthorized intrusion detection unit 54 corresponds to the unauthorized intrusion detection unit 35, detailed description thereof is omitted.

なお、当該ファイアウオール機能部52は、中継の可否を判定し、中継してよいと判定したパケット(例えば、PK1)を不正侵入検出部54に供給し、遮断すべきと判定したパケットを直ちに廃棄する点では、前記仮想ファイアウオール機能部(例えば、17B、17Cなど)と同じであるものの、1つで、前記仮想ファイアウオール機能部17Bに相当する機能と前記隔離用仮想ファイアウオール機能部17Cに相当する機能を発揮することになる点が相違する。   The firewall function unit 52 determines whether relaying is possible, supplies a packet (for example, PK1) determined to be relayed to the unauthorized intrusion detection unit 54, and immediately discards the packet determined to be blocked. In this respect, although it is the same as the virtual firewall function unit (for example, 17B, 17C, etc.), it has one function corresponding to the virtual firewall function unit 17B and a function corresponding to the isolating virtual firewall function unit 17C. The point that will be demonstrated is different.

当該ファイアウオール機能部52が持つルールテーブルTB3は、形式的には、図4に示したルールテーブルTB2と同じものであってよいが、果たす役割は相違する。第1の実施形態において識別テーブルTB1とルールテーブルTB2が果たしていた役割に相当する役割を、当該ルールテーブルTB3が果たしているとみることができる。   The rule table TB3 possessed by the firewall function unit 52 may be formally the same as the rule table TB2 shown in FIG. 4, but the roles played are different. It can be considered that the rule table TB3 plays a role corresponding to the role played by the identification table TB1 and the rule table TB2 in the first embodiment.

本実施形態のFW装置41の動作は図8に示すフローチャートの通りである。   The operation of the FW device 41 of the present embodiment is as shown in the flowchart of FIG.

図8のフローチャートは、S30〜S35の各ステップを備えている。   The flowchart of FIG. 8 includes steps S30 to S35.

このうちステップS30は前記ステップS10に対応し、ステップS31は前記ステップS16に対応し、ステップS32は前記ステップS17に対応し、ステップS33は前記ステップS18に対応し、ステップS34は前記ステップS20に対応し、ステップS35は前記ステップS19に対応するので、その詳しい説明は省略する。   Of these, Step S30 corresponds to Step S10, Step S31 corresponds to Step S16, Step S32 corresponds to Step S17, Step S33 corresponds to Step S18, and Step S34 corresponds to Step S20. Since step S35 corresponds to step S19, detailed description thereof is omitted.

図8には、図5のステップS11に相当するステップがないため、ステップS30につづいてステップS31が処理される。   In FIG. 8, since there is no step corresponding to step S11 of FIG. 5, step S31 is processed following step S30.

ステップS31がYes側に分岐し、ファイアウオール機能部52から供給されたパケットPK1が、前記不正侵入検出部54によって、不正侵入に関係するパケットであると判定された場合、ステップS33はYes側に分岐して、不正侵入検出部54は、当該パケットPK1から送信元IPアドレスであるIPA4等を抽出し、抽出した送信元IPアドレスIPA4等を、ルール制御部53に供給する。   Step S31 branches to the Yes side, and if the packet PK1 supplied from the firewall function unit 52 is determined by the unauthorized intrusion detection unit 54 to be a packet related to unauthorized intrusion, the step S33 branches to the Yes side Then, the unauthorized intrusion detection unit 54 extracts the source IP address IPA4 and the like from the packet PK1, and supplies the extracted source IP address IPA4 and the like to the rule control unit 53.

これを受け取ったルール制御部53は、当該送信元IPアドレスIPA4等に基づいてファイアウオール機能部52が持つルールテーブルTB3の内容を変更する(S34)。   Receiving this, the rule control unit 53 changes the contents of the rule table TB3 of the firewall function unit 52 based on the transmission source IP address IPA4 or the like (S34).

これまでは、送信元IPアドレスとして当該IPA4を収容したパケットPK1は、基本的にその宛先IPアドレスがどのような値であっても、中継してよいものと判定されたが、この変更のあとでは、宛先IPアドレスが復旧サーバ45のIPアドレスである前記IPA5である場合にのみ中継するものと判定され、それ以外の場合は、遮断されるようになる。   Up to now, it has been determined that the packet PK1 accommodating the IPA 4 as the source IP address can basically be relayed regardless of the value of the destination IP address. In this case, it is determined that relaying is performed only when the destination IP address is the IPA 5 that is the IP address of the recovery server 45, and in other cases, the IP address is blocked.

これにより、ウイルスVR1が感染を拡大するためにネットワーク46に収容されている任意の通信装置(例えば、通常サーバ46など)に宛てて送信したパケットPK1のほとんどは、当該ファイアウオール機能部52で遮断される。ウイルスVR1が感染を拡大しようとして復旧サーバ45に宛てて送信したパケットPK1は、当該ファイアウオール機能部52では遮断されないが、不正侵入検出部54で遮断できる可能性が高い。また、もしも不正侵入検出部54で遮断できずに復旧サーバ45まで届けられたとしても、復旧サーバ45側で十分な防御策を施してあれば、被害の発生を防止することができる。   As a result, most of the packets PK1 transmitted to any communication device (for example, the normal server 46) accommodated in the network 46 in order to spread the infection by the virus VR1 are blocked by the firewall function unit 52. The The packet PK1 transmitted by the virus VR1 to the recovery server 45 in an attempt to expand infection is not blocked by the firewall function unit 52, but is likely to be blocked by the unauthorized intrusion detection unit 54. Even if the unauthorized intrusion detection unit 54 cannot reach the recovery server 45 and is delivered to the recovery server 45, the occurrence of damage can be prevented if the recovery server 45 is provided with sufficient protective measures.

また、ユーザU1が前記ウイルス定義ファイルVF1の提供を受けるためにパケットPK1を送信させた場合、そのパケットPK1は、ファイアウオール機能部52と、不正侵入検出部54で中継され、ネットワーク43経由で復旧サーバ45に届けられる。これに応じて、ウイルス定義ファイルVF1を提供するために復旧サーバ19から送信されるパケットPK2は、この経路を逆に辿って、ユーザ端末44まで届けられる。   Further, when the user U1 transmits the packet PK1 in order to receive the provision of the virus definition file VF1, the packet PK1 is relayed by the firewall function unit 52 and the unauthorized intrusion detection unit 54, and is restored via the network 43. 45. In response to this, the packet PK2 transmitted from the recovery server 19 to provide the virus definition file VF1 is delivered to the user terminal 44 by following this path in reverse.

したがって、本実施形態でも第1の実施形態と同様、ウイルスVR1に感染したユーザ端末44をそのまま利用して、ウイルス定義ファイルVF1を取得するための通信を行うことができるので従来よりも利便性が高い。   Therefore, similarly to the first embodiment, the present embodiment can use the user terminal 44 infected with the virus VR1 as it is to perform communication for acquiring the virus definition file VF1, and thus is more convenient than before. high.

なお、前記ステップS33がYes側に分岐して前記パケットPK1から送信元IPアドレスIPA4等が抽出されたあと、不正侵入検出部54内において直ちに当該パケットPK1を廃棄する(S32)点などは、第1の実施形態と同じである。   Note that after the step S33 branches to Yes and the source IP address IPA4 and the like are extracted from the packet PK1, the packet PK1 is immediately discarded in the unauthorized intrusion detection unit 54 (S32). This is the same as the first embodiment.

(B−2)第2の実施形態の効果
本実施形態によれば、利便性を高めることができ、セキュリティ性も十分に高く維持することができる。 (B-2) Effects of Second Embodiment According to the present embodiment, convenience can be improved and security can be maintained sufficiently high.

また、本実施形態では、FW装置(41)自体の規模が第1の実施形態のFW装置(11)よりも小さいので、第1の実施形態よりも装置コストを低減することが可能である。   Moreover, in this embodiment, since the scale of FW apparatus (41) itself is smaller than FW apparatus (11) of 1st Embodiment, it is possible to reduce apparatus cost rather than 1st Embodiment.

なお、本実施形態のFW装置は、少数のネットワーク(42,43)が存在する環境で利用するのに適しているといえる。   It can be said that the FW device of this embodiment is suitable for use in an environment where a small number of networks (42, 43) exist.

(C)他の実施形態
上記第1の実施形態では、FW装置11に3つの仮想ファイアウオール機能部を搭載したが、1台のFW装置に搭載する仮想ファイアウオール機能部の数は、3つに限定する必要がないことは当然である。 (C) Other Embodiments In the first embodiment, three virtual firewall function units are mounted on the FW device 11, but the number of virtual firewall function units mounted on one FW device is limited to three. Of course you don't have to.

また、上記第1および第2の実施形態における前記FW装置(例えば、11)内の構成要素は、FW装置11とは別個の装置が備えていてもよい、例えば、不正侵入検出部(IDS)はFW装置11と別個の装置に搭載するようにしてもかまわない。   Further, the components in the FW device (for example, 11) in the first and second embodiments may be provided in a device separate from the FW device 11, for example, an unauthorized intrusion detection unit (IDS). May be mounted on a separate device from the FW device 11.

さらに、上記第1および第2の実施形態において、ユーザ端末(例えば、18)でウイルスVR1の駆除などが完了する等、ウイルスVR1が感染の拡大や被害の拡大を実現する能力を失ったことが確認されたとき、自動的に、前記識別テーブルTB1やルールテーブルTB2(または、TB3)の内容を変更前の状態に戻すようにすることも望ましい。これにより、FW装置11(または、41)に関する管理負担がいっそう軽減でき、利便性が向上する。   Furthermore, in the first and second embodiments, the virus VR1 has lost the ability to realize the spread of infection and the spread of damage, such as the completion of the removal of the virus VR1 at the user terminal (for example, 18). When confirmed, it is also desirable to automatically return the contents of the identification table TB1 and rule table TB2 (or TB3) to the state before the change. Thereby, the management burden regarding the FW device 11 (or 41) can be further reduced, and convenience is improved.

なお、本発明が利用する通信プロトコルは、必ずしも上記第1および第2の実施形態で用いたものに限定する必要はない。例えば、OSI参照モデルのネットワーク層のプロトコルは必ずしもIPプロトコルである必要はない。一例として、IPXプロトコルを利用できる可能性もある。   Note that the communication protocol used by the present invention is not necessarily limited to that used in the first and second embodiments. For example, the network layer protocol of the OSI reference model is not necessarily the IP protocol. As an example, the IPX protocol may be used.

また、図3や図4に示したテーブルの構成は必ずしも図示したものに限定する必要はない。例えば、上述したように、パケット(例えば、PK1)に含まれるトランスポート層ヘッダに収容されているポート番号(宛先ポート番号、送信元ポート番号)の値など登録するためのデータ項目を用意した場合などにも、テーブルの構成は変わる。   Further, the configuration of the table shown in FIGS. 3 and 4 is not necessarily limited to the illustrated configuration. For example, as described above, when a data item for registration such as the value of a port number (destination port number, source port number) contained in a transport layer header included in a packet (for example, PK1) is prepared The structure of the table also changes.

さらに、上記第1および第2の実施形態における不正侵入検出部(例えば、35)は、仮想ファイアウオール機能部(例えば、17B)やファイアウオール機能部52と異なる方法によって不正侵入に関係するパケットを検出することができれば、どのようなものと置換してもかまわない。例えば、アプリケーション層型のファイアウオール(アプリケーションレベルゲートウエイ)等に置換できる可能性がある。アプリケーション層型のファイアウオールは、OSI参照モデルのアプリケーション層の情報をもとに中継の可否を判断する。   Further, the unauthorized intrusion detection unit (for example, 35) in the first and second embodiments detects a packet related to unauthorized intrusion by a method different from that of the virtual firewall function unit (for example, 17B) and the firewall function unit 52. If you can, you can replace it with anything. For example, there is a possibility that it can be replaced with an application layer type firewall (application level gateway). The application layer type firewall determines whether or not relaying is possible based on the information of the application layer of the OSI reference model.

以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のなかにはハードウエア的に実現することができるものもある。   In the above description, most of the functions realized in hardware can be realized in software, and some functions realized in software can be realized in hardware.

第1の実施形態で使用するファイアウオール装置(FW装置)の構成例を示す概略図である。It is the schematic which shows the structural example of the firewall apparatus (FW apparatus) used by 1st Embodiment. 第1の実施形態にかかる通信システムの構成例を示す概略図である。It is the schematic which shows the structural example of the communication system concerning 1st Embodiment. 第1の実施形態で使用する識別テーブルの構成例を示す概略図である。It is the schematic which shows the structural example of the identification table used in 1st Embodiment. 第1の実施形態で使用するルールテーブルの構成例を示す概略図である。It is the schematic which shows the structural example of the rule table used in 1st Embodiment. 第1の実施形態の動作例を示すフローチャートである。It is a flowchart which shows the operation example of 1st Embodiment. 第2の実施形態で使用するFW装置の構成例を示す概略図である。It is the schematic which shows the structural example of the FW apparatus used by 2nd Embodiment. 第2の実施形態にかかる通信システムの構成例を示す概略図である。It is the schematic which shows the structural example of the communication system concerning 2nd Embodiment. 第2の実施形態の動作例を示すフローチャートである。It is a flowchart which shows the operation example of 2nd Embodiment.

符号の説明Explanation of symbols

10…通信システム、12〜16…ネットワーク、17A〜17C…仮想ファイアウオール機能部、18、44…ユーザ端末、19、45…復旧サーバ、20、46…通常サーバ、30、50…パケット受信部、31,51…パケット送信部、32…仮想ファイアウオール識別部、33…仮想ファイアウオール変更制御部、35、54…不正侵入検出部、52…ファイアウオール機能部、53…ルール制御部、TB1…識別テーブル、TB2…ルールテーブル、PK1、PK2…パケット、VR1…ウイルス、VC1…ワクチンソフト、VF1…ウイルス定義ファイル、IPA2,IPA8,IPA9…IPアドレス。   DESCRIPTION OF SYMBOLS 10 ... Communication system, 12-16 ... Network, 17A-17C ... Virtual firewall function part, 18, 44 ... User terminal, 19, 45 ... Recovery server, 20, 46 ... Normal server, 30, 50 ... Packet receiving part, 31 , 51 ... Packet transmission unit, 32 ... Virtual firewall identification unit, 33 ... Virtual firewall change control unit, 35, 54 ... Unauthorized intrusion detection unit, 52 ... Firewall function unit, 53 ... Rule control unit, TB1 ... Identification table, TB2 ... Rule table, PK1, PK2 ... packet, VR1 ... virus, VC1 ... vaccine software, VF1 ... virus definition file, IPA2, IPA8, IPA9 ... IP address.

Claims (4)

通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御システムにおいて、
前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御部と、
前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御部とを備え、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御システム。 In an access control system that relays normal protocol data units and blocks protocol data units transmitted from communication devices infected with infectious malicious programs with infectious functions.
In order to specify the source or destination of the protocol data unit, it is determined whether or not a predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance. An identifier corresponding access control unit that relays the protocol data unit when it does not conform, and blocks it when it conforms;
It is determined whether or not an access pattern of unauthorized access executed by the infectious unauthorized program using a protocol data unit conforms to the contents of the unauthorized access pattern setting supplied in advance. It has an access control unit corresponding to the access pattern that relays the data unit and blocks it if it fits,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. And access control system. 請求項1のアクセス制御システムにおいて、
前記識別子対応アクセス制御部を、前記通信装置が属するネットワークの組ごとに複数設け、そのうちの少なくとも1つは、前記セキュリティサーバを設置した隔離用ネットワークと他の任意のネットワークとの組に対応する隔離用識別子対応アクセス制御部である場合、
所定の振分設定の内容をもとに、前記プロトコルデータ単位を処理するべき識別子対応アクセス制御部を特定し、該当する識別子対応アクセス制御部に当該プロトコルデータ単位を振り分ける振分制御部を備えることを特徴とするアクセス制御システム。 The access control system of claim 1,
A plurality of identifier-corresponding access control units are provided for each network set to which the communication device belongs, and at least one of them is an isolation corresponding to a set of an isolation network on which the security server is installed and another arbitrary network. If it is an identifier-compatible access control unit,
An identifier-corresponding access control unit to process the protocol data unit is specified based on the content of a predetermined distribution setting, and a distribution control unit that distributes the protocol data unit to the corresponding identifier-corresponding access control unit An access control system characterized by 通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御方法において、
識別子対応アクセス制御部が、前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断し、
アクセスパターン対応アクセス制御部が、前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する場合、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御方法。 In an access control method for relaying a normal protocol data unit and blocking a protocol data unit transmitted from a communication device infected with an infectious malicious program having an infection function,
Since the identifier-corresponding access control unit designates the source or destination of the protocol data unit, the predetermined entity identifier accommodated in the protocol data unit conforms to the content of the blocking identifier setting supplied in advance. If it does not match, the protocol data unit is relayed.
The access pattern-corresponding access control unit determines whether or not the unauthorized access pattern executed by the infectious unauthorized program using the protocol data unit matches the content of the unauthorized access pattern setting supplied in advance. When the protocol data unit is relayed when it does not conform, and when it conforms,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. Access control method. 通常のプロトコルデータ単位は中継し、感染機能を持つ感染型不正プログラムに感染した通信装置から送信されたプロトコルデータ単位は遮断するアクセス制御プログラムにおいて、コンピュータに、
前記プロトコルデータ単位の送信元または宛先を指定するため、前記プロトコルデータ単位内に収容されている所定のエンティティ識別子が、予め供給を受けた遮断用識別子設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断する識別子対応アクセス制御機能と、
前記感染型不正プログラムがプロトコルデータ単位を用いて実行する不正アクセスのアクセスパターンが、予め供給を受けた不正アクセスパターン設定の内容に適合するか否かを判定して、適合しない場合には前記プロトコルデータ単位を中継し、適合する場合には遮断するアクセスパターン対応アクセス制御機能とを実現させ、
前記プロトコルデータ単位が、前記遮断用識別子設定の内容に適合せず、前記不正アクセスパターン設定の内容に適合した場合には、当該遮断用識別子設定の内容を変更して、そのプロトコルデータ単位の送信元である通信装置が送信するプロトコルデータ単位は、収容されているエンティティ識別子が、所定のセキュリティサーバを指定するものである場合に、当該遮断用識別子設定の内容に適合しないものとすることを特徴とするアクセス制御プログラム。 In an access control program that relays normal protocol data units and blocks protocol data units transmitted from communication devices infected with infectious malicious programs with infectious functions,
In order to specify the source or destination of the protocol data unit, it is determined whether or not a predetermined entity identifier accommodated in the protocol data unit matches the content of the blocking identifier setting supplied in advance. An identifier-corresponding access control function that relays the protocol data unit when it does not conform, and blocks it when it conforms;
It is determined whether or not an access pattern of unauthorized access executed by the infectious unauthorized program using a protocol data unit conforms to the contents of the unauthorized access pattern setting supplied in advance. Realize access control function corresponding to access pattern that relays data unit and blocks if it fits,
If the protocol data unit does not conform to the content of the blocking identifier setting and conforms to the content of the unauthorized access pattern setting, the content of the blocking identifier setting is changed and transmission of the protocol data unit is performed. The protocol data unit transmitted by the original communication device does not conform to the content of the blocking identifier setting when the contained entity identifier specifies a predetermined security server. An access control program.
JP2004181132A 2004-06-18 2004-06-18 Access control system, access control method, and access control program Expired - Fee Related JP4321375B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004181132A JP4321375B2 (en) 2004-06-18 2004-06-18 Access control system, access control method, and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004181132A JP4321375B2 (en) 2004-06-18 2004-06-18 Access control system, access control method, and access control program

Publications (2)

Publication Number Publication Date
JP2006005738A JP2006005738A (en) 2006-01-05
JP4321375B2 true JP4321375B2 (en) 2009-08-26

Family

ID=35773727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004181132A Expired - Fee Related JP4321375B2 (en) 2004-06-18 2004-06-18 Access control system, access control method, and access control program

Country Status (1)

Country Link
JP (1) JP4321375B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007124258A (en) * 2005-10-27 2007-05-17 Fujitsu Ltd Network relay program, network relay method, network repeater and communication control program
JP4985246B2 (en) * 2007-09-04 2012-07-25 富士通株式会社 Data relay apparatus, data relay method, and management program executed on computer as data relay apparatus
JP2010026547A (en) * 2008-07-15 2010-02-04 Fujitsu Ltd Firewall load balancing method and firewall load balancing system
JP5245837B2 (en) 2009-01-06 2013-07-24 富士ゼロックス株式会社 Terminal device, relay device, and program
JP6101525B2 (en) * 2013-03-19 2017-03-22 株式会社エヌ・ティ・ティ・データ COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM
JP7198617B2 (en) * 2018-09-21 2023-01-04 株式会社日立ハイテクソリューションズ security system
JP7290495B2 (en) * 2019-07-25 2023-06-13 株式会社日立製作所 Communication relay device and diagnostic method

Also Published As

Publication number Publication date
JP2006005738A (en) 2006-01-05

Similar Documents

Publication Publication Date Title
US7870603B2 (en) Method and apparatus for automatic filter generation and maintenance
JP5398410B2 (en) Network system, packet transfer apparatus, packet transfer method, and computer program
KR101270041B1 (en) System and method for detecting arp spoofing
US7792990B2 (en) Remote client remediation
US8661544B2 (en) Detecting botnets
KR100952350B1 (en) Intelligent network interface controller
JP3954385B2 (en) System, device and method for rapid packet filtering and packet processing
US7706378B2 (en) Method and apparatus for processing network packets
US20080219261A1 (en) Apparatus and method for processing data streams
WO2012077603A1 (en) Computer system, controller, and network monitoring method
JP4290198B2 (en) Flexible network security system and network security method permitting reliable processes
US20030097589A1 (en) Personal firewall with location detection
WO2007076883A1 (en) Method and system for secure communication between a public network and a local network
JP2004304752A (en) System and method of defending attack
US20180270189A1 (en) Equipment for offering domain-name resolution services
CN101719899A (en) Dynamic access control policy with port restrictions for a network security appliance
JP2020017809A (en) Communication apparatus and communication system
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP5980968B2 (en) Information processing apparatus, information processing method, and program
JP4321375B2 (en) Access control system, access control method, and access control program
JP4895793B2 (en) Network monitoring apparatus and network monitoring method
KR100468374B1 (en) Device and method for controlling network harmful traffic
JP5509999B2 (en) Unauthorized connection prevention device and program
JP2008283495A (en) System and method for packet transfer
JP2009081736A (en) Packet transfer apparatus and program

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20061030

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090421

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090512

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090525

R150 Certificate of patent or registration of utility model

Ref document number: 4321375

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120612

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130612

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees