JP4405360B2 - ファイアウォールシステム及びファイアウォール制御方法 - Google Patents

ファイアウォールシステム及びファイアウォール制御方法 Download PDF

Info

Publication number
JP4405360B2
JP4405360B2 JP2004297872A JP2004297872A JP4405360B2 JP 4405360 B2 JP4405360 B2 JP 4405360B2 JP 2004297872 A JP2004297872 A JP 2004297872A JP 2004297872 A JP2004297872 A JP 2004297872A JP 4405360 B2 JP4405360 B2 JP 4405360B2
Authority
JP
Japan
Prior art keywords
address
terminal
communication
information
call control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004297872A
Other languages
English (en)
Other versions
JP2006114991A (ja
Inventor
衛一 村本
孝弘 米田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2004297872A priority Critical patent/JP4405360B2/ja
Priority to US11/575,310 priority patent/US7950053B2/en
Priority to CN2005800346441A priority patent/CN101040497B/zh
Priority to PCT/JP2005/018774 priority patent/WO2006041080A1/ja
Publication of JP2006114991A publication Critical patent/JP2006114991A/ja
Application granted granted Critical
Publication of JP4405360B2 publication Critical patent/JP4405360B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Description

本発明は、モバイルIP等のモバイルネットワークによる通信が運用されるネットワークにおいてファイアウォールを動的に制御するファイアウォールシステム及びファイアウォール制御方法に関する。
企業、大学、家庭などでは、インターネット等の不特定多数の端末からアクセス可能なネットワークに接続する場合、内部のネットワークに対して、外部ネットワークから行われる攻撃を防ぐ必要がある。このため、内部ネットワークと外部ネットワークとの間にファイアウォールを設置することが従来より行われている。
ファイアウォールは、一般に、不正アクセス検知装置とパケットフィルタリング装置とにより構成される。不正アクセス検知装置は、外部ネットワークから攻撃が行われたり、内部ネットワークと外部ネットワークとの間で不正アクセスの兆候が観測されたりした場合に、ネットワークの管理者等に通知する装置である。
パケットフィルタリング装置は、内部ネットワークと外部ネットワークで行われる通信のうち、必要な通信に用いられるパケットのみを通過させ、それ以外のパケットを通過させない装置である。
(不正アクセス検知装置の手法)
不正アクセス検知装置は、攻撃者が行う攻撃や不正アクセスを、パケットの一連の流れを監視することで検知する。この攻撃や不正アクセスを検知する手法は、次の2つに大別できる。
(1)監視するパケットシーケンスが不正アクセスの兆候を示すことを検知する。
(2)監視するパケットシーケンスが正常アクセスを逸脱することを検知する。
このうち後者は、正常アクセス以外の動作を検知できるので不正アクセスの検知の精度を高くできることが期待される手法である。しかし、多種の通信が行われる環境において正常アクセスを規定し、データベース化することが難しいという事情がある。
このため、前者の方法を限られた対象に限定して運用されることが多い。例えば、特定の内部の端末の複数のポートに対するパケットを送ることによって、そのポート上でサービスが立ち上がっているかどうか外部ネットワーク側から調査するポートスキャンを不正アクセスの兆候として検知して通知するという方法が運用されてきた。しかし、この方法は、不正アクセスの兆候の情報を不正アクセスの手法毎に、不正アクセス検知システムに登録する必要があるため、新たな攻撃方法を検知しづらいという欠点がある。
なお、後者に属するものとして以下の技術が提案されている。
(2A)外部ネットワークから通信データを受信し、この通信データが正常である場合にのみサーバに転送する通信中継制御部と、サーバが意図したサービスの提供に寄与する通信データの条件を、正常な通信データの特徴情報として、一種類または複数種類格納する正常アクセス情報格納部と、この正常アクセス情報格納部から特徴情報を読み出して通信中継制御部が受信した通信データと比較し、これらの特徴情報をすべて満たす通信データのみを正常であると判断する正常アクセス識別部と、を備える不正アクセス遮断システム(特許文献1参照)。
(2B)通信ネットワークを介して外部から行われるアクセスを正常アクセスとして受容するためのプロトコル仕様及び/又はアクセスポリシーを、対象となる通信システム又は通信システムグループ毎に定めておき、通信ネットワークを流通する伝送情報の中から通信システム又は通信システムグループ宛ての伝送情報を捕獲するとともに、捕獲した伝送情報の中からプロトコル仕様及び/又はアクセスポリシーに適合しない伝送情報を不正アクセスの蓋然性がある伝送情報として特定する過程を含む、通信ネットワークにおけるアクセス種別を判定する方法(特許文献2参照)。
(パケットフィルタリング装置の方式)
パケットフィルタリング装置は、内部ネットワークと外部ネットワークで行われる通信のパケットが、あらかじめ定められたルールに従っている場合は通過させ、ルールに従っていない場合は通過させないようにする。このルールは、例えば、「特定のホストからのアクセスを許可する」とか、「内部ネットワークから外部ネットワークへのhttp(HyperText Transfer Protocol)アクセスを許可する」とか、「内部ネットワークから外部ネットワークへのftp(File Transfer Protocol)が起動された場合、外部ネットワークから内部ネットワークへの特定ポートへのftpのアクセスを許可する」といった内容を表すルールである。パケットフィルタリング装置は、これらのルールに適合するパケットのみを通過させ、それ以外のパケットを通過させないという動作を行うことで、外部ネットワークから内部ネットワークへの攻撃や不正アクセスを防御する。
パケットフィルタリング装置が、パケットの通過を制御する単位としては、主に、IPアドレス単位とIPアドレスとポート番号の組の単位が用いられる。
IPアドレス単位の制御は、外部ネットワークの特定端末と内部ネットワークの特定端末との間で送受されるすべてのパケットを通過させるルールで実現できる。具体的には、外部ネットワークにダイヤルアップやホットスポットを用いて接続したパソコンのIPアドレスを202.123.12.1、内部ネットワークの電子メールサーバのIPアドレスを202.32.21.1とした場合、このパソコンから電子メールサーバへの通信のパケットを許可するルールは、"Allow 202.123.12.1 202.32.21.1"、のように記述できる。このルールにおいて、Allowは通過を許可することを、202.123.12.1は送信元IPアドレスを、202.32.21.1は宛先IPアドレスを表す。パケットフィルタリング装置は、このルールに適合するパケットをすべて通過させる。このように送信元IPアドレスと宛先IPアドレスの組で特定されるパケットを通過させたり、通過させなかったりする制御をIPアドレス単位の制御と呼ぶ。
IPアドレスとポート番号の組の単位の制御は、外部ネットワーク上の特定の端末の特定ポートから送信されるデータが、内部ネットワーク上の特定の端末のアプリケーションが待ち受けている特定ポートへ通過することを許可するルールで実現できる。例えば、外部ネットワーク上のIP電話端末のIPアドレスを202.123.12.2、この端末で音声データを送信するアプリケーションが起動されているポート番号を12345とし、内部ネットワークのIP電話端末のIPアドレスを202.32.21.2、この端末で音声データを受信するアプリケーションが起動されているポート番号を23456とする。この場合、この音声データの通過を許可するルールは、"Allow 202.123.12.2 12345 202.32.21.2 23456"のように記述できる。このルールにおいてAllowは許可することを、202.123.12.2、12345、202.32.21.2、23456は、それぞれ、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号を表す。パケットフィルタリング装置は、このルールに適合するパケットをすべて通過させる。このように、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号の組で特定されるパケットを通過させたり、通過させなかったりする制御をIPアドレスとポート番号の組の単位の制御と呼ぶ。
外部ネットワークから内部ネットワークへ攻撃を行う場合、特定端末を乗っ取り、この端末から内部ネットワークの端末への攻撃を行う手法などがよく用いられる。この場合、パケットフィルタリング装置において、IPアドレス単位の制御が行われていると、乗っ取った特定端末から内部ネットワークの端末上のすべてのサービス(アプリケーション)に対するアクセスが可能となるため、望ましくない。つまり、IPアドレスとポート番号の組の制御を行ったほうが、攻撃の範囲を小さくすることができるので、より望ましい。
しかしながら、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号の組は、通信が確立する時点で端末同士の間ではじめて明らかになる情報であるため、パケットフィルタリグ装置のようにネットワークの中間に位置する装置がIPアドレスとポート番号の組の情報を容易に取得することはできなかった。
このような不具合に対して、通信を確立するための呼制御を中継するサーバを用いて、これらの情報を取得する方法が知られている(例えば、特許文献3及び特許文献4参照)。以下に呼制御中継サーバについて説明する。
(呼制御中継サーバ)
特定の端末間で通信を確立する呼制御として、SIP(Session Initiation Protocol)による通信制御がある。SIPでは、通信を確立させたる2台以上複数の端末間で、特定のメディアの配送に用いるIPアドレスとポート番号や、コーデック(CODEC)種別、帯域等の調整を行うための制御メッセージの書式とシーケンスが定義されている。このSIPの運用において、特定の組織に属する端末が送受する呼制御のシーケンスをすべて中継する呼制御中継サーバを設置する方法がある。
図21は、内部ネットワークに設置された内部端末と外部ネットワークに設置された外部端末とが、呼制御中継サーバを用いて通信を確立するための呼制御のシーケンス(INVITEシーケンス)を示したものである。図中の制御メッセージに付記されているINVITE, TRYING, RINGING, OK, ACKは、SIPで定義されている制御メッセージを表している。これらの制御メッセージを交換することで、確立する通信で用いるIPアドレスとポート番号や、メディアタイプ、CODEC、帯域等の情報を端末間で調整し、端末間で通信の確立をすることが可能となる。
例えば、図21のシーケンスで音声通信を確立する場合、制御メッセージに次のような情報を含めることで、送信元IPアドレスと送信元ポート番号、あるいは宛先IPアドレスと宛先ポート番号を確定させる。
m=audio 49170 RTP/AVP 0
c=IN IP4 224.2.17.12
なお、この記述方式は、SDP(Session Description Protocol)としてインターネット関係のプロトコルを標準化する団体であるIETFで標準化された記述方式である。m=の行は、メディアに関する情報を示す。Audioはメディアタイプ、49170はポート番号、RTP/AVP 0はトランスポートとペイロードの形式をしめす。c=の行は、接続にする情報を示す。INはインターネット、IP4は、IPv4であること、224.2.17.12は、接続に用いるIPアドレスを示す。
図21において、呼制御中継サーバがACKを受信した時点で、送信元IPアドレス、及び宛先IPアドレスと宛先ポート番号の情報を知ることができる。
呼制御中継サーバは、この送信元IPアドレス、宛先IPアドレス、宛先ポート番号を組みとした情報を用いて、パケットフィルタリング装置を制御することができる。この方法を、呼制御中継サーバを使ったパケットフィルタリング装置制御方法と呼ぶ。しかし、この方法は、次に説明するモバイルIP環境で利用できないという事情があった。
(モバイルIP環境)
モバイルIPとは、移動もしくはネットワークから切断、再接続することによりIPアドレスが変化する状況において、ひとたび確立した通信を切断することなく継続させることを実現する技術である。モバイルIPは、IETFで標準化が行われプロトコルの詳細は、RFC3775(IPv6)、RFC3344(IPv4)で規定されている。
図22は、モバイルIPの動作を説明したものである。図22の構成において、移動端末(モバイル端末、MN(Mobile Node)ともいう)201、移動管理を行うサーバであるホームエージェント(HA(Home Agent)ともいう)202、ホームエージェント202が接続されるホームネットワーク205、外部にある外部端末(CN(Correspondent Node)ともいう)203、外部ネットワーク204、外部ネットワークに接続された特定のネットワーク(移動先ネットワーク)206、パケットフィルタリング装置等を備えたファイアウォール207、ルータ208,209を有する。
移動端末201には、ホームネットワーク205上のIPアドレス、例えば2001:300:c01::2/64が付与されており、このアドレスをホームアドレスと呼ぶ。移動端末201がホームネットワーク205に接続した状態で、外部端末203と通信を確立する。この通信を確立した状態で、移動端末201が特定ネットワーク(移動先ネットワーク)206に移動することを想定する。移動端末201が特定ネットワーク(移動先ネットワーク)206に移動した場合に付与されるIPアドレスを例えば2001:300:c01:beef::2/64とする。このアドレスを移動端末201の気付けアドレスと呼ぶ。移動端末201と外部端末203との間で確立されていた通信を継続するためには、外部端末203から2001:300:c01::2(ホームアドレス=旧気付けアドレス)宛に送信されるパケットを新たな気付けアドレス宛に送信しなおす必要がある。モバイルIPでは、移動端末201が移動し、新たな気付けアドレスを取得した場合、移動端末201がホームエージェント202及び外部端末203にIPアドレスの対応関係を通知する。このIPアドレスの対応関係、すなわち「移動端末201の気付けアドレスが2001:300:c01::2から2001:300:c01:beef::2に変更になった」という通知をBU(Binding Update)メッセージと呼ぶ。
外部端末203がモバイルIPに対応していない場合、移動端末201宛のパケットはホームアドレスに向けて送信される。ホームアドレスに向けて送信されたパケットは外部ネットワーク204を経由してホームネットワーク205まで届けられる。ホームネットワーク205に届けられたパケットは、一旦ホームエージェント202が受信する。ホームエージェント202は、一旦受信したパケットを、移動端末201の気付けアドレスに配送することで移動端末201までパケットを届ける。なお、移動端末201から外部端末203へのパケットは、この逆順(移動端末201→ホームエージェント202→外部端末203)に届けられる。
外部端末203がモバイルIPに対応している場合、移動端末201宛のパケットは直接、気付けアドレスに対して配送される。このようにして、移動端末201に届けられたパケットは、特定のアプリケーションに届けられる。つまり、移動端末201が外部端末203と移動前に確立した通信は、移動端末201が移動した後にでも継続的に行うことができる。
しかし、このモバイルIPが運用されている状況では、移動端末201のIPアドレス(気付けアドレス)が変わってしまう。このため、パケットフィルタリング装置に移動端末201が移動する前に設定されたルールは、移動端末201が移動後には適用できなくなるという不具合があった。
従来、この不具合に対して、移動端末201が移動した場合に、移動端末201からホームエージェント202に送付されるBUメッセージに含まれる情報を用いて、パケットフィルタリング装置を制御する方法があった(特許文献5参照)。
図23は、この従来方式の構成を説明したものである。図23の構成において、第一の移動端末301、第二の移動端末302、ホームエージェント303、ファイアウォール管理ホスト304、パケットフィルタリング装置305、外部ネットワーク(インターネット)306、ISP(インターネットサービスプロバイダ)307、ISP307の認証サーバ308を有する。
ここでは、第一の移動端末301を外部ネットワークに持ち出し、第一の移動端末301から内部ネットワークの第二の移動端末302に接続する状況を想定している。第一の移動端末301をダイヤルアップ等で特定のISP307経由で外部ネットワークに接続する。この際、ISP307の認証サーバ308がユーザ情報を第一の移動端末301に送り、第一の移動端末301はユーザ情報を、ファイアウォール管理ホスト304に送付する。ファイアウォール管理ホスト304は、ユーザ情報が正当なものである場合、第一の移動端末301とホームエージェント303間の通信が可能となるようにファイアウォール上のパケットフィルタリング装置305の設定を変更する。この一連の動作を行うことで、第一の移動端末301がホームエージェント303を経由して第二の移動端末302と通信することを可能とする。すなわち、モバイルIPが運用されている状況で、動的なパケットフィルタリング装置305の制御を実現している。
特開2004−38557号公報 特開2001−313640号公報 特開2003−229893号公報 特開2003−229915号公報 特開平10−70576号公報
しかしながら、図23に示した従来方式においては、パケットフィルタリング装置305が、IPアドレスとポート番号の組でアクセス制限できないため、攻撃者は、第一の移動端末301を乗っ取った場合、ホームエージェント303及び第二の移動端末302のすべてのサービスへの攻撃が可能となるという問題があった。
また、従来方式を適用できるのは、第一の移動端末301を持ち出した場合のみであり、外部ネットワーク上の外部端末からの通信を開設する枠組みがない。つまり、内部ネットワークのネットワーク管理者等が承認した正当な通信を開設する仕組みが提供されていない。
また、従来方式でアクセスを許可した通信の不正アクセスを監視する場合、第一の外部端末301と第二の移動端末302の間で様々な通信が行われる可能性があるため、監視するパケットシーケンスが正常アクセスを逸脱することを検知する方式は利用できず、監視するパケットシーケンスが不正アクセスの兆候を示すことを検知する方式で監視せざるを得ない。このため、未知の攻撃を検知しづらいという問題があった。
本発明は、上記事情に鑑みてなされたもので、モバイルネットワークによる通信が運用されている状況においても、アドレスとポート番号の組単位でパケットフィルタリングを行ってより狭い範囲の通信のみを透過させること、および内部ネットワークの移動端末が、外部のネットワークに移動したときのみならず、外部のネットワークに接続された他の端末から内部ネットワークの端末に通信を開設することが可能なファイアウォールシステム及びファイアウォール制御方法を提供すること目的とする。
また、本発明は、メディアタイプで特定される通信のパケットシーケンスを監視し、メディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することで、未知の攻撃を検知することが実質的に可能なファイアウォールシステム及びファイアウォール制御方法を提供すること目的とする。
本発明のファイアウォールシステムは、外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムであって、前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部と、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部と、前記呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるパケットフィルタリング部とを備えるものである。
これにより、呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と、アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行うことができる。したがって、モバイルネットワークによる通信が運用されている状況においても、アドレスとポート番号の組単位でパケットフィルタリングを行うことができ、ネットワーク管理者等が承認した正当な通信のみを透過させることが可能となる。
また、本発明の一態様として、上記のファイアウォールシステムであって、前記呼制御中継部は、他の信頼できる呼制御中継部の情報を保持する中継部情報保持部を有し、前記フィルタリング制御部は、前記他の呼制御中継部を経由して確立される端末間の通信におけるアドレス及びポート番号の情報を取得し、このアドレスとポート番号との組によるフィルタリング条件を設定するものとする。
これにより、他の呼制御中継部を経由して確立される通信に対しても、信頼できる呼制御中継部からの情報に基づいてアドレスとポート番号の組単位でパケットフィルタリングを行うことができる。
また、本発明の一態様として、上記のファイアウォールシステムであって、前記フィルタリング制御部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から得られるアドレスの情報が変更された場合は、最新のアドレスとポート番号との組によるフィルタリング条件を設定するものとする。
これにより、端末が移動してアドレスが変更された場合でも、動的にアドレス情報の対応付けを行い、最新のアドレスに対応したアドレスとポート番号の組単位でパケットフィルタリングを動的に制御することが可能となる。
また、本発明の一態様として、上記のファイアウォールシステムであって、前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条件格納部と、前記呼制御中継部から得られる通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する不正アクセス検知部とを備えるものである。
これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパケットのみファイアウォールを通過させ、さらにこのパケットを監視し、通信のメディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することが可能となる。
また、本発明の一態様として、上記のファイアウォールシステムであって、前記不正アクセス検知部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から得られるアドレスの情報が変更された場合は、最新のアドレスの情報によって正常アクセス判定条件の判定を行うものとする。
これにより、端末が移動してアドレスが変更された場合でも、動的にアドレス情報の対応付けを行い、最新のアドレスに対応した正常アクセス判定条件に基づいて不正アクセスを検知することが可能となる。
本発明のパケットフィルタリング装置は、外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムのパケットフィルタリング装置であって、前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から得られる、通信に用いる端末のアドレス及びポート番号の情報と、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるパケットフィルタリング部とを備えるものである。
これにより、呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と、アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行うことが可能となる。
本発明の不正アクセス検知装置は、外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムの不正アクセス検知装置であって、前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条件格納部と、前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から得られる、通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から得られるアドレスの新旧対応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する不正アクセス検知部とを備えるものである。
これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパケットを監視し、通信のメディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することが可能となる。
本発明のファイアウォール制御方法は、外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御方法であって、前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から、通信に用いる端末のアドレス及びポート番号の情報を取得するステップと、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係の情報を取得するステップと、前記通信に用いる端末のアドレス及びポート番号の情報と、前記アドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するステップと、前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるステップとを有するものである。
これにより、呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と、アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行うことが可能となる。
本発明のファイアウォール制御方法は、外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御方法であって、前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から、通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報を取得するステップと、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係の情報を取得するステップと、前記通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレスの新旧対応関係の情報と、前記通信のメディアタイプ毎に定義して正常アクセス判定条件格納部に格納してある正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知するステップとを有するものである。
これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパケットを監視し、通信のメディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することが可能となる。
本発明によれば、モバイルネットワークによる通信が運用されている状況においても、アドレスとポート番号の組単位でパケットフィルタリングを行ってより狭い範囲の通信のみを透過させること、および内部ネットワークの移動端末が、外部のネットワークに移動したときのみならず、外部のネットワークに接続された他の端末から内部ネットワークの端末に通信を開設することが可能なファイアウォールシステム及びファイアウォール制御方法を提供できる。また、メディアタイプで特定される通信のパケットシーケンスを監視し、メディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することで、未知の攻撃を検知することが実質的に可能なファイアウォールシステム及びファイアウォール制御方法を提供できる。
(第1の実施形態)
図1は本発明の第1の実施形態に係るファイアウォールシステムの構成を示す図である。第1の実施形態は、モバイルネットワークとしてモバイルIPによるデータ通信が運用されるネットワークにおいて、パケットフィルタリング装置を動的に制御する構成を示したものである。図1の構成において、企業等のネットワークの外部にあるインターネット等の外部ネットワーク10上に、呼制御中継サーバ11、ホームエージェント(HA)12、アドレス管理サーバ13が接続されている。外部端末14は外部ネットワーク10に接続されている。内部端末15は企業等の内部に設けられる内部ネットワーク16に接続されており、この内部ネットワーク16と外部ネットワーク10との間にファイアウォール17が設置されている。
図2は本発明の第1の実施形態における呼制御シーケンスを示す図である。この図2は、内部ネットワーク16における内部端末15と外部ネットワーク10における外部端末14が、呼制御中継サーバ11を用いて通信を確立するための呼制御のシーケンス(INVITEシーケンス)を示したものである。図中の制御メッセージに付記されているINVITE, TRYING, RINGING, OK, ACKは、SIPで定義されている制御メッセージを表している。これらの制御メッセージを交換することで、確立する通信で用いるIPアドレスとポート番号や、メディアタイプ、コーデック(CODEC)、帯域等の情報を端末間で調整し、端末間で通信の確立をすることが可能となる。
内部端末15の呼制御処理部15aから呼制御中継サーバ11に対して外部端末14宛てのINVITE(セッション確立要求)メッセージが出されると(S1)、呼制御中継部11aはセッション確立要求の受付を意味するメッセージを呼制御処理部15aに返送する(S2)。呼制御中継サーバ11の呼制御中継部11aはアドレス管理サーバ13に対して外部端末14のアドレスを問い合せるメッセージを送る(S3)。
アドレス管理サーバ13のアドレス管理応答部13aは、アドレス保持部13bに登録されている外部端末14のアドレスを検索して、外部端末14のアドレスを返答するメッセージを呼制御中継サーバ11に送る(S4)。呼制御中継サーバ11の呼制御中継部11aは、外部端末14の呼制御処理部14aに対して接続を要求するINVITEメッセージを送る(S5)。外部端末14の呼制御処理部14aは、INVITEメッセージを受け取ると、RINGINGメッセージを返す(S6)。このRINGINGメッセージは、呼制御中継サーバ11の呼制御中継部11aを介して内部端末15の呼制御処理部15aへ送られる(S7)。
外部端末14が応答すると、外部端末14の呼制御処理部14aはOKメッセージを送る(S8)。このOKメッセージは呼制御中継サーバ11の呼制御中継部11aを介して内部端末15の呼制御処理部15aへ送られる(S9)。内部端末15の呼制御処理部15aは、OKメッセージに対してACKメッセージを送る(S10)。このACKメッセージは呼制御中継サーバ11の呼制御中継部11aを介して外部端末14の呼制御処理部14aへ送られる(S11)。
この一連の呼制御シーケンスにおいて、呼制御中継サーバ11の呼制御中継部11aは、内部端末15の呼制御処理部15aからのACKメッセージを受け取った時点(S10)で、内部端末15と外部端末14との間の通信に用いるアドレス(IPアドレス)とポート番号の情報が確定するので、通信に用いるIPアドレスとポート番号の組情報をアドレス・ポート管理部11bに一時記憶させる。そして、呼制御中継サーバ11のフィルタリング制御要求部11cは、通信に用いるIPアドレスとポート番号の組情報を含むフィルタリング制御要求メッセージをホームエージェント12に対して供給する(S21)。これにより、フィルタリング制御処理が起動される。
図1に示すように、ホームエージェント12は、IPアドレス対応情報管理部12aを有しており、このIPアドレス対応情報管理部12aによって外部端末14の移動またはネットワークへの再接続によって変更されるIPアドレスの新旧対応関係を管理している。図3はIPアドレスの新旧対応関係を示すテーブルの構成例である。図3において、ホームアドレス欄12a1は、内部ネットワークの端末のホームアドレスを保持する項目である。また、気付けアドレス欄12a2は、同じ端末の現在の気付けアドレスを保持する項目である。図1のホームエージェント12のフィルタリング制御指示部12bは、通信に用いるIPアドレスとポート番号の組情報を含むフィルタリング制御要求メッセージを受け取ると、このIPアドレスをキーとしてホームアドレス欄12a1を検索して、検索が成功する場合、気付けアドレス欄12a2から現在の気付けアドレスを取得する。そして、フィルタリング制御指示部12bは、この気付けアドレスを最新のIPアドレスとして最新のIPアドレスとポート番号との組を特定する。その後、この最新のIPアドレスとポート番号との組情報をファイアウォール17へ送る。検索が成功しない場合は、フィルタリング制御指示部12bはフィルタリング制御要求メッセージに含まれるIPアドレスとポート番号の組情報をファイアウォール17へ送る。
ファイアウォール17のパケット送信受信管理部17aは、前記最新のIPアドレスとポート番号との組情報を受信すると、この組情報をフィルタリング制御部17bに供給する。フィルタリング制御部17bは、前記最新のIPアドレスとポート番号との組情報によって特定されるIPパケットを通過させるようにパケット転送部(フィルタリング部)17cのパケット転送動作(パケットフィルタリング動作)を制御する。
これにより、内部端末15の主信号処理部15bと外部端末14の主信号処理部14bとの間で、主信号(例えば音声や画像等のデータを含むパケット)の通信が可能となる。
図4は本発明の第1の実施形態におけるフィルタリング処理のシーケンスを示す図である。呼制御中継サーバ11のフィルタリング制御要求部11cは、通信に用いるIPアドレスとポート番号の組情報を含むフィルタリング要求をホームエージェント12のフィルタリング制御指示部12bへ送る(S51)。フィルタリング制御指示部12bは、IPアドレスが最新のものであるか確認し、最新のIPアドレスとポート番号の組情報を含むフィルタリング要求をファイアウォール17のフィルタリング制御部17bに送る(S52)。フィルタリング制御部17bは、最新のIPアドレスとポート番号の組情報からなるフィルタリング情報を保持し、整合チェックを行って、フィルタリング設定指示をパケット転送部(フィルタリング部)17c(S53)に送る。これにより、フィルタリング条件が設定される。パケット転送部(フィルタリング部)17cは、フィルタリング条件が設定されたことを示す応答メッセージを返す(S54)。この応答メッセージは、フィルタリング制御部17b、フィルタリング制御指示部12bを介してフィルタリング制御要求部11cへ送られる(S55,S56)。
図5は第1の実施形態に係るファイアウォールシステムの第1運用例を示す図である。この第1運用例のファイアウォールシステムは、内部端末401、移動端末(MN)である外部端末402、呼制御中継部の機能を有する呼制御中継サーバ403、アドレス対応情報管理部の機能を有するホームエージェント(HA)404、パケットフィルタリング装置400を含むファイアウォール405、インターネット等の外部ネットワーク406、企業等に設けられる内部ネットワーク407、ルータ408を有する。呼制御中継サーバ403及びホームエージェント404は、内部ネットワーク407におけるDMZ(非武装地帯)に設置されており、外部ネットワーク406からアクセス可能である。内部ネットワーク407に接続された内部端末401は、ファイアウォール405、ルータ408を介して外部ネットワーク406とアクセス可能となっている。
ここでは、内部端末401が外部端末402と通信を確立するために、呼制御中継サーバ403を介して呼制御のシーケンスを交換することを想定する。また、外部端末402は、移動端末(MN)であり、外部ネットワーク406に移動し、気付けアドレスを取得しているものとする。
図5に示すように、呼制御中継サーバ403は、図2に示した一連の呼制御のシーケンスにおいて確定した、内部端末401のIPアドレスとポート番号、及び外部端末402のIPアドレスと宛先ポート番号の呼情報をホームエージェント404に通知する。ここで、ホームエージェント404が呼制御中継サーバ403から取得した内部端末401のIPアドレスとポート番号、及び外部端末402のIPアドレスとポート番号の呼情報は、それぞれ、2001:300:c01:1::1, 12345, 2001:300:c01:1::2, 23456とする。
一方、ホームエージェント404は、外部端末402がホームエージェント404宛てに通知したバインディングアップデート情報(BUメッセージ)により、外部端末402の気付けアドレスが2001:300:beaf::2であるという情報を取得している。それにより、外部端末402のホームアドレスと気付けアドレスとを対応付けて保持するとともに、外部端末402の最新のアドレスが気付けアドレスであることを把握している。
そして、ホームエージェント404は、パケットフィルタリング装置400を備えるファイアウォール405に対して内部端末401と外部端末402との通信に用いられる情報を通知する。パケットフィルタリング装置400では、取得したIPアドレスとポート番号との組の情報に基づき、フィルタリング条件を設定し、前記通信に用いられるIPパケットが透過できるように、IPアドレスとポート番号との組によってパケットの通過を制御する。
すなわち、パケットフィルタリング装置400は、ホームエージェント404からの情報に基づき、(IPアドレス,ポート番号)が(2001:300:c01:1::1, 12345)と(2001:300:beaf::2, 23456)との間のパケットを透過させる。具体的には、フィルタ1(Allow 2001:300:c01:1::1 * 2001:300:beaf::2 23456)およびフィルタ2(Allow 001:300:beaf::2 * 2001:300:c01:1::1 12345)の2つのフィルタを設定することで設定できる。なお、送信元ポート番号の*は、全てのポート番号を意味する記号である。ここで、ホームエージェント404が外部端末402の気付けアドレスを通知するので、2001:300:c01:1::2ではなく2001:300:beaf::2との間の通信のパケットを透過させるようにパケットフィルタリング装置400を制御していることになる。
つまり、ホームエージェント404は、外部端末402から新たなBUメッセージが到達した場合、外部端末402の新たな気付けアドレスと内部端末401との間の通信が可能となり、古い気付けアドレスと内部端末401との間で通信ができないようにパケットフィルタリング装置400を制御する。具体的には、ホームエージェント404は、新たなBUメッセージにより通知された外部端末402の気付けアドレスを2001:300:beaf::2とすると、(2001:300:c01:1::1, 12345)と( 2001:300:beaf::2, 23456)との間の通信を透過させ、(2001:300:c01:1::1, 12345)と( 2001:300:c01:1::2, 23456)との間の通信を遮断するようにパケットフィルタリング装置400を制御する。
また、呼制御中継サーバ403が、内部端末401と外部端末402との間の通信の終了を検知した場合、内部端末401または外部端末402は呼制御中継サーバ403経由で通信終了の呼制御のシーケンスを実行する。そして、呼制御中継サーバ403が、ホームエージェント402にその旨を通知する。通信の終了の通知を受けたホームエージェント402は、それまで内部端末401と外部端末402の通信を確立するために透過させていたIPパケットを遮断するように、パケットフィルタリング装置400を制御する。
なお、パケットフィルタリング装置400が内部端末401と外部端末402の通信のパケットを監視し、通信が終了していると判断する場合に、自動的に、それまで内部端末401と外部端末402の通信を確立するために透過させていたパケットを遮断するように、パケットフィルタリング装置400を制御することも可能である。
この第1運用例によれば、モバイルIPによるデータ通信が運用されている状況において、IPアドレスとポート番号の組単位で動的にパケットフィルタリングの制御を行うことが可能となる。
図6は第1の実施形態に係るファイアウォールシステムの第2運用例を示す図である。第2運用例は、内部ネットワークにおいてモバイルIPによるデータ通信が運用される例を示している。図6の構成において、内部のホームネットワーク605、内部の移動先ネットワーク606、インターネット等の外部ネットワーク604を有し、外部ネットワーク604には外部端末(CN)603が接続されている。ホームネットワーク605と移動先ネットワーク606とは、各ルータ605R,606Rを介して接続されている。各ルータ605R,606Rと外部ネットワーク604との間にはファイアウォールとしてのパケットフィルタリング装置607が設置されている。ホームネットワーク605には、移動端末(MN)601、ホームエージェント(HA)602及び呼制御中継サーバ608が接続されている。
この構成において、呼制御中継サーバ608を介してホームネットワーク605上の移動端末と外部ネットワーク604上の外部端末603との接続が確立される。さらに、ホームエージェント602を介してパケットフィルタリング装置607のフィルタリング条件が設定され、移動端末601と外部端末603との間の通信がなされている状態で、移動端末601が移動先ネットワーク606へ移動する場合を想定する。
移動端末601は、移動先ネットワーク606で移動先アドレス(気付けアドレス)を取得し、この移動先アドレスをホームエージェント602に通知する。そして、ホームエージェント602は、移動端末601の最新のIPアドレス(すなわち気付けアドレス)を含むフィルタリング要求をパケットフィルタリング装置607へ供給し、移動先ネットワーク606の移動端末601と外部端末603との間の通信がなされるようにパケットフィルタリング条件を変更させる。これにより、移動端末601が移動した場合でも、外部端末603との通信を継続することができる。つまり、移動端末601から、ホームエージェント602に対して送付されるアドレスの変更通知をトリガーとして、図4に示したフィルタリング処理のシーケンスが実行される。これにより、呼制御中継サーバ608からホームエージェント602、ルータ605Rを介して最新のIPアドレスとポート番号の組情報からなるフィルタリング情報がパケットフィルタリング装置607に通知される。この結果、移動端末601が移動した場合でも、外部端末603との通信を継続することが可能となる。
この第2運用例によれば、移動端末がホームネットワークから移動先ネットワークへ移動した場合でも、外部端末との通信を継続でき、かつIPアドレスとポート番号の組単位でパケットフィルタリングを行うことができる。
以上説明した第1の実施形態によれば、モバイルIPによるデータ通信が運用されている状況において、IPアドレスとポート番号の組単位で動的にパケットフィルタリング動作を制御することが可能となる。また、呼制御中継サーバ11によってネットワーク管理者等が承認した外部の端末からの通信を開設し、この端末に関する通信のパケットフィルタリングを行うことが可能となる。
なお、呼制御中継サーバ11において、ネットワーク管理者等が信頼する他の呼制御中継サーバの情報を保持する。呼制御中継サーバ11は、内部端末と外部端末の通信の確立のための呼制御のシーケンスを開始する際に、信頼する他の呼制御中継サーバ経由である場合のみ、呼制御のシーケンスを行う機構を導入することができる。例えば、ネットワーク管理者等が信頼する他の呼制御中継サーバの情報を保持する方法としては、URI(Unified Resource Identifier)表記で、例えば、aaa@sip.acompany.co.jpと表現される外部ネットワーク上の資源表記のホスト部分、すなわちsip.acompany.co.jp部分を複数保持する方法や、ホスト部のリストを保持する方法や、ホスト部分の表現に正規表現を適用したsip.*.co.jpといった記述で保持する方法、あるいはホスト部のみならずURIそのものを保持する方法が利用できる。このような機構を導入することで、ネットワーク管理者等が信頼する他の呼制御中継サーバを経由して確立された通信のみがパケットフィルタリング装置を通過するように制御することが可能となる。
なお、第1の実施形態において、呼制御中継サーバ11、ホームエージェント12の双方もしくはいずれかを、外部ネットワーク10に設置する運用方法と企業等の内部ネットワーク16に設置する運用方法がある。前者は、呼制御中継サーバ11とホームエージェント12の通信、ホームエージェント12とパケットフィルタリング装置を含むファイアウォール17との通信をTLS(Transport Level Security ),IPSEC(IP security)等を用いた認証・暗号化で保護する方法を適用することで外部ネットワーク上の他の端末による偽装攻撃を防止し、運用することが可能となる。これにより、呼制御中継サーバ11、ホームエージェント12の双方もしくはいずれかを、外部ネットワーク10に設置する運用方法でも、呼制御中継サーバ11、ホームエージェント12の双方を企業等の内部ネットワーク16に設置する運用方法と同等に運用することが可能となる。
(第2の実施形態)
図7は本発明の第2の実施形態に係るファイアウォールシステムの構成を示す図である。第2の実施形態に係るファイアウォールシステムは、図1に示した第1の実施形態に係るファイアウォールシステムに不正アクセス監視機能を追加したものである。ファイアウォール130は、正常アクセス判定条件格納部としての正常アクセス規定データベース131と、不正アクセス検知部132と、パケット転送部133と、不正アクセス報知部134とを有する。呼制御中継サーバ110は、不正アクセス監視制御要求部111と、呼制御中継部11aと、アドレス・ポート管理部11bとを有する。ホームエージェント(HA)120は、不正アクセス監視制御指示部121とIPアドレス対応情報管理部12aとを有する。その他の構成は図1に示した第1の実施形態と同様である。
図8は第2の実施形態における呼制御のシーケンスを示す図である。これは、図2に示した呼制御シーケンスを一部変更したものである。第2の実施形態では、内部端末15の呼制御処理部15aから呼制御中継サーバ110の呼制御中継部11aにACKメッセージが供給された時点(S10)で、通信に用いるIPアドレス、ポート番号、メディアタイプの各情報が確定する。呼制御中継サーバ110の不正アクセス監視制御要求部111は、IPアドレス、ポート番号、メディアタイプの各情報を含む不正アクセス監視制御要求メッセージをホームエージェント12に対して供給する(S22)。これにより、不正アクセス監視制御処理が起動される。その他は第1の実施形態と同様である。
図9は第2の実施形態における不正アクセス監視制御のシーケンスを示す図である。呼制御中継サーバ110の不正アクセス監視制御要求部111は、通信に用いるIPアドレス、ポート番号、メディアタイプの各情報が確定すると、不正アクセス監視制御要求(IDS(Intrusion Detection System)要求)をホームエージェント120に供給する(S111)。ホームエージェント120の不正アクセス監視制御指示部121は、IPアドレスが最新のものであるか否かを確認し、最新のIPアドレス、ポート番号及びメディアタイプの情報を含む不正アクセス監視制御要求(IDS要求)を不正アクセス検知部132に供給する(S112)。不正アクセス検知部132は、正常アクセス規定データベース131から該当するメディアの正常アクセスのパケット兆候データを取得し、正常アクセスのパケット兆候を逸脱するパケット兆候がないことを監視する。そして、逸脱するパケット兆候がある場合には、不正アクセス報知部134を介して不正アクセスの発生を管理者等に例えば電子メール等で通知する(S113)。
図10は本発明の第2の実施形態における不正アクセス監視処理の手順を示すフローチャートである。不正アクセス検知部132は、正常アクセス規定データベース131から該当するメディアの正常アクセスのパケット兆候データを取得する(ステップS121)。そして、不正アクセス検知部132は、パケット転送部133によりキャプチャーしたパケットを取得し(ステップS122)、キャプチャーしたパケットの兆候(シグネチャ)を計算する(ステップS123)。不正アクセス検知部132は、該当するメディアの正常アクセスのパケット兆候とキャプチャーしたパケットの兆候とを比較し(ステップS124)、正常アクセスのパケットの兆候と合致しない場合は、不正アクセス報知部134を介して不正アクセスの発生を管理者等に通知する(ステップS125)。そして、通信が終了するまでステップS2以降の処理が繰り返される。
なおここで、図11に示す形式をしたパケットを正常アクセスのパケットとして検査する際の、上記のステップS123,124におけるシグネチャの計算および比較方法(処理関数)の実現例を説明する。図11は音声配送におけるパケット形式の一例を示す図である。この音声パケット(G.711形式)における正常アクセスのパケット兆候として、以下の一つ以上の条件の組み合わせを用いる。(1)RTPヘッダ中のシーケンシャル番号が増加している(またはラップランドしている)。(2)RTPヘッダ中のタイムスタンプ値が増加している(またはラップランドしている)。(3)ペイロード長が一定長(G.711では160バイト)である。(4)過去N個(例えば20個)のパケットの平均到着間隔が20ms(20ミリ秒)である。このような正常アクセスのパケット兆候との比較を行うことにより、不正アクセスを検知して管理者等に通知することができる。
図12は第2の実施形態に係るファイアウォールシステムの運用例を示す図である。この運用例のファイアウォールシステムは、図5に示した第1の実施形態に係るファイアウォールシステムの第1運用例に不正アクセス監視機能を追加したものである。ファイアウォール700は、図5に示したパケットフィルタリング装置400と、不正アクセス監視装置701とを備える。また、ホームエージェント(HA)404Aと呼制御中継サーバ403Aにおいて、メディアタイプの情報取得に関する一部機能が追加されている。その他の構成は図5に示した第1の実施形態の第1運用例と同様である。
ホームエージェント404Aは、呼制御中継サーバ403Aから通信に用いるIPアドレスとポート番号との組及びメディアタイプを取得し、IPアドレスの新旧対応関係に基づいて最新のIPアドレスとポート番号との組及びメディアタイプを特定して、最新のIPアドレスとポート番号との組及びメディアタイプの情報をファイアウォール700に供給する。IPアドレスとポート番号との組及びメディアタイプの情報は、例えば、(2001:300:c01::1 12345 2001:300:c01::2 23456 m=audio 0 RTP/AVP 0,a=rtpmap:0 PCMU/8000)という空白区切りの形式で与えられる。この形式において第一の項目(2001:300:c01::1)は送信元IPアドレス、第二の項目(12345)は送信元ポート番号、第三の項目(2001:300:c01::2)は宛先IPアドレス、第四の項目(23456)は宛先ポート番号、第五の項目(m=audio 0 RTP/AVP 0,a=rtpmap:0 PCMU/8000)はメディアタイプを示す文字列であり、前述したSDP(Session Description Protocol)で規定される行記述をカンマ(,)で接続したものである。
不正アクセス監視装置701は、通信のメディアタイプが特定されると、そのメディアタイプに応じて検査動作を変更する。具体的には、前述したIPアドレスとポート番号との組及びメディアタイプの情報のメディアタイプを示す文字列をSDPで規定される意味で解釈し、端末間の通信が例えばIP電話であり、音声符号化方式としてG.711を用いる場合は、音声配送(G.711)のパケットの条件に適合しないときは不正アクセスとして検知し、ネットワーク管理者等に電子メールやインスタントメッセージやIP電話等を用いて報告する。
図13は第2の実施形態の運用例におけるファイアウォールの機能構成例を示す図である。ファイアウォール700内のフィルタリング及び検査制御部702は、ホームエージェント404Aからメディアタイプ、IPアドレス、ポート番号の通知を受けると、不正アクセス検知の機能を持つパケット検査部703に検査指示を与えるとともに、パケットフィルタリング部704にフィルタ設定指示を与える。正常アクセス判定条件を格納する機能を持つ正常アクセスパターン記憶部705には、各メディアタイプ毎の正常アクセス兆候(正常アクセス判定条件)が保持されている。具体的には、以下に例示するような正常アクセス兆候保持テーブルで保持される。
図14は正常アクセス兆候保持テーブルの構成例を示す図である。図14において、メディアタイプ欄705aは、メディアタイプを保持するキー項目である。兆候検査関数へのポインタ欄705bは、正常アクセス判定条件を格納する項目である。メディアタイプ欄705aには、SDPで記述されたメディアタイプが格納されている。兆候検査関数へのポインタ欄705bには、パケットを検査するための関数(処理)を起動するための情報として、関数へのポインタとその関数に適用する引数が指定されている。
パケット検査部703は、メディアタイプをキーにして正常アクセスパターン記憶部705の正常アクセス兆候保持テーブルからパケットを検査するための関数と引数を取得し、この関数及び引数による処理をパケット毎に適用することで、IPアドレス、ポート毎にメディアの正常アクセス兆候を逸脱するパケットを監視する。不正アクセス兆候通知部(不正アクセス報知手段)706は、正常アクセス兆候を逸脱するパケットの発生をネットワーク管理者等に電子メールやインスタントメッセージやIP電話等を用いて通知する。
上記のように対象となる通信メディア(音声、動画)が決まっているので、図11の音声配送におけるパケット形式の例で説明したように、メディアタイプ毎の正常アクセスのパターンは作成しやすい。例えば、音声、動画がRTP(Real-time Transport Protocol)のAVPフォーマットに従うものとすれば、そのフォーマットに対応した検査ルールを作成することができる。例えば、ヘッダのデータ項目とパケット長さ等の整合性は維持されるため、この性質をつかった正常アクセスのパターンを作成できる。
以上説明した第2の実施形態によれば、呼制御シーケンスにより得られるIPアドレス、ポート番号、メディアタイプの情報に基づいて、メディアタイプ毎に予め定義した正常アクセス判定条件に適合するかどうかを監視し、適合しない場合は不正アクセスとして検知してネットワーク管理者等へ通知することができる。
(第3の実施形態)
図15は本発明の第3の実施形態に係るファイアウォールシステムの構成を示す図、図16は第3の実施形態におけるファイアウォールシステムの要部のブロック構成を示す図である。第3の実施形態は、SIPによる呼制御中継サーバ(SIPサーバ)単位でのアクセス制御機能にグループ通信制御SIPサーバ(MCU)150を自動追加できるようにしたものである。
外部ネットワーク10には、アドレス管理サーバ13、外部端末14、グループ通信制御SIPサーバ(MCU)150が接続されている。呼制御中継サーバ140及びホームエージェント12は、内部ネットワーク16におけるDMZ(非武装地帯)に設置されており、外部ネットワーク10からアクセス可能である。内部ネットワーク16に接続された内部端末15は、ファイアウォール17を介して外部ネットワーク10とアクセス可能となっている。呼制御中継サーバ140は、信頼できるSIPサーバの情報を許可SIPサーバリストとして保持する機能を持つ許可SIPサーバリスト保持部141を備えている。
図16に示すように、呼制御中継サーバ140は、許可SIPサーバリスト保持部141とともに、呼制御中継部142、アドレス・ポート管理部11b、フィルタリング制御要求部11cを有する。呼制御中継部142は、会議の開催など、複数端末間でグループ通信を行う際の呼び出し信号を解釈して、グループ通信制御SIPサーバ150を許可SIPサーバリストに追加/削除する。なお、呼制御中継サーバ140のアドレス・ポート管理部11b及びフィルタリング制御要求部11c、ホームエージェント12、ファイアウォール17の機能は図1に示した第1の実施形態と同様である。
図17は複数端末間でグループ通信による会議を行う際の呼制御の例を示す図である。図17では、端末A−1がある会議に参加中に端末B−1を参加させ、さらに端末B−1が端末B−2をこの会議に参加させる場合の呼制御を示している。この場合、端末A−1がアクセスする呼制御中継サーバA140A、端末B−1及び端末B−2がアクセスする呼制御中継サーバB140B、この会議のグループ通信を制御するグループ通信制御SIPサーバ150が用いられる。図17において、数字「1」「3」「5」で示される矢印の通信は、例えばメディアの追加や参加者の追加などの制御に関する会議の制御信号を表し、数字「2」「4」で示される矢印の通信は、会議のURIの通知(招待)を示す。この例では、端末A−1(T1@aa.jp)から呼制御中継サーバA140Aを介してURIとしてmeet1@mcu.xx.yyを通知し、このURIが呼制御中継サーバB140Bを介して端末B−1(T1@bb.jp)に通知され端末B−1が会議に参加する。同様に、このURIが端末B−1から端末B−2(T21@bb.jp)に通知され、端末B−2が参加する処理が行われる。
図18は本発明の第3の実施形態における会議参加時のシーケンスの例を示す図である。初めの状態では、端末A−1が会議に参加しており、端末A−1、呼制御中継サーバA140A、グループ通信制御SIPサーバ150の間で会議の通信制御がなされているとする。端末A−1から呼制御中継サーバA140Aに対して端末B−1宛てに会議のURIを通知するREFERメッセージが出されると(S171)、呼制御中継サーバA140Aは呼制御中継サーバB140Bに対してREFERメッセージを転送する(S172)。そして、呼制御中継サーバB140Bは端末B−1に対してREFERメッセージを送信する(S173)。端末B−1は、REFERメッセージを受け取ると、会議への参加表明を示すINVITEメッセージを返す(S174)。呼制御中継サーバB140BがINVITEメッセージを受け取ると、グループ通信制御SIPサーバ150に通知を行い(S175)、グループ通信制御SIPサーバ150により端末B−1との間で会議の通信制御が開始される。これにより、端末B−1が会議に参加可能となる。
呼制御中継サーバB140Bは、REFERメッセージを受け取った時点(S172)またはINVITEメッセージを受け取った時点(S174)で、会議のURIからグループ通信制御SIPサーバ(MCU)を特定し、許可SIPサーバリスト保持部141に信頼できるSIPサーバの情報としてグループ通信制御SIPサーバの情報を格納する。
以上のように第3の実施形態によれば、グループ通信による会議の通信を制御するグループ通信制御SIPサーバの情報を信頼できるSIPサーバの情報として追加することで、この追加したSIPサーバから得られるIPアドレス、ポート番号、メディアタイプ等の情報に基づいてパケットフィルタリングや不正アクセス検知を行うことができる。
(第4の実施形態)
図19は本発明の第4の実施形態におけるファイアウォールシステムの構成を示す図である。第4の実施形態は、第1の実施形態における呼制御中継サーバ、ホームエージェント(HA)、パケットフィルタリング装置を1台の宅内ルータにおいて実現した例を示すものである。宅内ルータ508は、IPv6外部ネットワーク510A、IPv4外部ネットワーク510B、内部ネットワーク509に接続され、端末間の通信を中継する。内部ネットワーク509には内部端末501が、IPv6外部ネットワーク510Aには外部端末502がそれぞれ接続される。宅内ルータ508は、IPv4・IPv6パケット分類器511、IPv6パケット処理部512、IPv4パケット処理部513、NAT機能を実現するNAT部514、DHCPサーバ機能を実現するDHCPS部515等を有する。IPv6パケット処理部512には、呼制御中継サーバ503、ホームエージェント504、パケットフィルタリング装置505及び不正アクセス検知装置506を有するファイアウォール500、信頼する呼制御中継サーバ情報保持部507が設けられる。
信頼する呼制御中継サーバ情報保持部507は、ネットワーク管理者等が信頼する他の呼制御中継サーバの情報を保持する。そして、呼制御中継サーバ503は、内部端末501と外部端末502間の通信の確立のための呼制御のシーケンスを開始する際に、信頼する呼制御中継サーバ情報保持部507に保持された呼制御中継サーバからの呼制御シグナルのみを受け付けることにより、呼制御のシーケンスを実行する。これにより、呼制御中継サーバの管理単位(SIP管理単位)でのアクセス制御が可能となる。このような構成にすることで、宅内ルータ508において、モバイルIPによるデータ通信が運用されている状況において、IPアドレスとポート番号の組単位で動的にパケットフィルタリング装置505を制御できる。
また、IPv6外部ネットワーク509上の外部端末502から内部ネットワーク509上の内部端末501に対して通信を確立するシーケンスにおいて、呼制御中継サーバ503は、その通信で用いられるメディアタイプを取得する。そして、このメディアタイプを用いてメディアタイプに応じた不正アクセス検知装置506を起動する。不正アクセス検知装置506においては、メディアタイプ毎に正常アクセスのパターンを規定したデータベースがあらかじめ準備されている。不正アクセス検知装置506は、呼制御中継サーバ503から取得したメディアタイプの情報と正常アクセス情報のデータベースを用いて、外部ネットワーク上の外部端末502と内部ネットワーク509上の内部端末501との間で行われる通信のパケットシーケンスを監視する。この監視において、正常なアクセスを逸脱するパケットシーケンスを検知した場合、不正アクセス検知装置506は、ネットワーク管理者等に電子メールやIP電話などでその旨を通知する。
このように動作することで、不正アクセス検知装置506においてパケットシーケンスを監視して正常アクセスからの逸脱による不正アクセスを検知することが可能になる。さらに、正常アクセスの兆候をメディアタイプ毎に定義すればよいので、正常アクセスを規定することが容易になる。例えば、外部端末と内部端末との間の通信で用いられる音声や動画などの配送は、予め規定されたRTPのペイロード形式にしたがって配送される。このためペイロード形式のパケット長、シーケンス番号、タイムスタンプ等の情報を用いて正常アクセスを規定することが容易に実現できる。したがって、正常アクセスを逸脱することを検知する不正アクセス検知装置506が現実的に運用可能となる。
なお、本実施形態は、宅内ルータ508に本発明のパケットフィルタリング装置及び不正アクセス検知装置の制御方法を適用したものであるが、同様の構成をルータ機能やブリッジ機能を備えた携帯電話やPDA等の移動端末にも適用することが可能である。
以上のように第4の実施形態によれば、宅内ルータ等において、IPアドレスとポート番号の組単位での動的なパケットフィルタリングや、メディアタイプ毎に予め定義した正常アクセス判定条件に基づき容易かつ適切な不正アクセス検知を行うことができる。
(第5の実施形態)
図20は本発明の第5の実施形態におけるファイアウォールシステムの構成を示す図である。第5の実施形態は、本発明に係るファイアウォールシステムをIP携帯電話に適用した例である。インターネット等の外部ネットワーク510には、アドレス管理サーバ13、外部端末14が接続される。この外部ネットワーク510は、移動体通信キャリア網520または無線LAN網530を介してIP携帯電話800と接続可能となっている。また、IP携帯電話800はPAN(Personal Area Network)網540を介して内部端末550と接続される。
IP携帯電話800は、ルータ機能を有するもので、RF部801、無線LAN−IF部802、PAN−IN部803、IPv4・IPv6パケット分類器804、IPv4パケット処理部805、IPv6パケット処理部806、主信号処理部807、呼制御処理部808等を有する。IPv6パケット処理部806は、IPアドレス対応情報管理部811、呼制御中継部812、アドレス・ポート管理部813、フィルタリング制御部814及びパケット転送部(フィルタリング部)815等を備えるファイアウォール816を有する。
このような構成によって、移動端末であるIP携帯電話800内部において、呼制御中継部812での呼制御シーケンスにより得られるIPアドレス、ポート番号、メディアタイプの情報とIPアドレス対応情報管理部811による端末移動時のアドレス情報とに基づき、フィルタリング制御部814でIPアドレスとポート番号の組単位での動的なパケットフィルタリングを行う。これにより、IP携帯電話800において、ファイアウォール816を介して例えばPAN網540内部のIP電話等の内部端末550に対する呼のみを受けるというような制御が可能である。また、呼制御中継部812より得られるメディアタイプの情報を用いて、メディアタイプ毎に予め定義した正常アクセス判定条件に基づく不正アクセス検知を行うことも可能である。
以上のように第5の実施形態によれば、移動端末において、IPアドレスとポート番号の組単位での動的なパケットフィルタリングや、メディアタイプ毎に予め定義した正常アクセス判定条件に基づき容易かつ適切な不正アクセス検知を行うことができる。
上述したように、本実施形態の構成を企業等の内部ネットワークとインターネット等の外部ネットワークとの間に設置するファイアウォールシステムに適用することで、モバイルIPによるデータ通信が運用される状況においても有用なパケットフィルタリング機能や不正アクセス検知機能を実現可能である。また、宅内等に設けられるルータや、内部ネットワークを含み移動可能なルータ機能を有する携帯電話やPDA等の移動端末などにも適用可能である。
本発明は、モバイルネットワークによる通信が運用されている状況においても、アドレスとポート番号の組単位でパケットフィルタリングを行ってより狭い範囲の通信のみを透過させること、および内部ネットワークの移動端末が、外部のネットワークに移動したときのみならず、外部のネットワークに接続された他の端末から内部ネットワークの端末に通信を開設することが可能となる効果を有する。また、メディアタイプで特定される通信のパケットシーケンスを監視し、メディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正アクセスを検知することで、未知の攻撃を検知することが実質的に可能となる効果を有する。本発明は、モバイルIPによるデータ通信が運用されるネットワーク等においてファイアウォールを動的に制御するファイアウォールシステム及びファイアウォール制御方法等に有用である。
本発明の第1の実施形態に係るファイアウォールシステムの構成を示す図 本発明の第1の実施形態における呼制御シーケンスを示す図 IPアドレスの新旧対応関係を示すテーブルの構成例を示す図 本発明の第1の実施形態におけるフィルタリング処理のシーケンスを示す図 第1の実施形態に係るファイアウォールシステムの第1運用例を示す図 第1の実施形態に係るファイアウォールシステムの第2運用例を示す図 本発明の第2の実施形態に係るファイアウォールシステムの構成を示す図 本発明の第2の実施形態における呼制御のシーケンスを示す図 本発明の第2の実施形態における不正アクセス監視制御のシーケンスを示す図 本発明の第2の実施形態における不正アクセス監視処理の手順を示すフローチャート 音声配送におけるパケット形式の一例を示す図 第2の実施形態に係るファイアウォールシステムの運用例を示す図 第2の実施形態の運用例におけるファイアウォールの機能構成例を示す図 正常アクセス兆候保持テーブルの構成例を示す図 本発明の第3の実施形態に係るファイアウォールシステムの構成を示す図 本発明の第3の実施形態におけるファイアウォールシステムの要部のブロック構成を示す図 複数端末間でグループ通信による会議を行う際の呼制御の例を示す図 本発明の第3の実施形態における会議参加時のシーケンスの例を示す図 本発明の第4の実施形態におけるファイアウォールシステムの構成を示す図 本発明の第5の実施形態におけるファイアウォールシステムの構成を示す図 呼制御中継サーバを用いた呼制御のシーケンスを示す図 モバイルIPの動作を示す図 従来のファイアウォールの構成例を示す図
符号の説明
10,406,604 外部ネットワーク
11,110,140,403,403A,503,608 呼制御中継サーバ
11a,142,812 呼制御中継部
11c フィルタリング制御要求部
12,120,404,504,602 ホームエージェント(HA)
12a,811 IPアドレス対応情報管理部
12b フィルタリング制御指示部
13 アドレス管理サーバ
13a アドレス管理応答部
14,402,502,603 外部端末(CN)
14a,15a 呼制御処理部
15,401,501 内部端末
16,407,509 内部ネットワーク
17,405,130,500,700,816 ファイアウォール
17b,814 フィルタリング制御部
17c,133,815 パケット転送部(フィルタリング部)
111 不正アクセス監視制御要求部
121 不正アクセス監視制御指示部
131 正常アクセス規定データベース(正常アクセス判定条件格納部)
132 不正アクセス検知部
134 不正アクセス報知部
141 許可SIPサーバリスト保持部
400,505,607 パケットフィルタリング装置
506 不正アクセス検知装置
508 宅内ルータ
601 移動端末(MN)
701 不正アクセス監視装置
702 フィルタリング及び検査制御部
703 パケット検査部
704 パケットフィルタリング部
705 正常アクセスパターン記憶部(正常アクセス判定条件格納部)
706 不正アクセス兆候通知部
800 IP携帯電話

Claims (9)

  1. 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムであって、
    前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部と、
    前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部と、
    前記呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、
    前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるパケットフィルタリング部と
    を備えるファイアウォールシステム。
  2. 請求項1記載のファイアウォールシステムであって、
    前記呼制御中継部は、他の信頼できる呼制御中継部の情報を保持する中継部情報保持部を有し、
    前記フィルタリング制御部は、前記他の呼制御中継部を経由して確立される端末間の通信におけるアドレス及びポート番号の情報を取得し、このアドレスとポート番号との組によるフィルタリング条件を設定するファイアウォールシステム。
  3. 請求項1または2記載のファイアウォールシステムであって、
    前記フィルタリング制御部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から得られるアドレスの情報が変更された場合は、最新のアドレスとポート番号との組によるフィルタリング条件を設定するファイアウォールシステム。
  4. 請求項1記載のファイアウォールシステムであって、
    前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条件格納部と、
    前記呼制御中継部から得られる通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する不正アクセス検知部と
    を備えるファイアウォールシステム。
  5. 請求項4記載のファイアウォールシステムであって、
    前記不正アクセス検知部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から得られるアドレスの情報が変更された場合は、最新のアドレスの情報によって正常アクセス判定条件の判定を行うファイアウォールシステム。
  6. 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムのパケットフィルタリング装置であって、
    前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から得られる、通信に用いる端末のアドレス及びポート番号の情報と、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、
    前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるパケットフィルタリング部と
    を備えるパケットフィルタリング装置。
  7. 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステムの不正アクセス検知装置であって、
    前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条件格納部と、
    前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から得られる、通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から得られるアドレスの新旧対応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する不正アクセス検知部と
    を備える不正アクセス検知装置。
  8. 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御方法であって、
    前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から、通信に用いる端末のアドレス及びポート番号の情報を取得するステップと、
    前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係の情報を取得するステップと、
    前記通信に用いる端末のアドレス及びポート番号の情報と、前記アドレスの新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定するステップと、
    前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパケットを通過させるステップと
    を有するファイアウォール制御方法。
  9. 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御方法であって、
    前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを中継する呼制御中継部から、通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報を取得するステップと、
    前記端末の移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係の情報を取得するステップと、
    前記通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレスの新旧対応関係の情報と、前記通信のメディアタイプ毎に定義して正常アクセス判定条件格納部に格納してある正常アクセス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知するステップと
    を有するファイアウォール制御方法。
JP2004297872A 2004-10-12 2004-10-12 ファイアウォールシステム及びファイアウォール制御方法 Expired - Fee Related JP4405360B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004297872A JP4405360B2 (ja) 2004-10-12 2004-10-12 ファイアウォールシステム及びファイアウォール制御方法
US11/575,310 US7950053B2 (en) 2004-10-12 2005-10-12 Firewall system and firewall control method
CN2005800346441A CN101040497B (zh) 2004-10-12 2005-10-12 防火墙系统和防火墙控制方法
PCT/JP2005/018774 WO2006041080A1 (ja) 2004-10-12 2005-10-12 ファイアウォールシステム及びファイアウォール制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004297872A JP4405360B2 (ja) 2004-10-12 2004-10-12 ファイアウォールシステム及びファイアウォール制御方法

Publications (2)

Publication Number Publication Date
JP2006114991A JP2006114991A (ja) 2006-04-27
JP4405360B2 true JP4405360B2 (ja) 2010-01-27

Family

ID=36148368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004297872A Expired - Fee Related JP4405360B2 (ja) 2004-10-12 2004-10-12 ファイアウォールシステム及びファイアウォール制御方法

Country Status (4)

Country Link
US (1) US7950053B2 (ja)
JP (1) JP4405360B2 (ja)
CN (1) CN101040497B (ja)
WO (1) WO2006041080A1 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100563246C (zh) * 2005-11-30 2009-11-25 华为技术有限公司 一种基于ip的语音通信边界安全控制系统及方法
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
JP4224084B2 (ja) 2006-06-26 2009-02-12 株式会社東芝 通信制御装置、通信制御方法および通信制御プログラム
JP4571184B2 (ja) 2006-08-24 2010-10-27 デュアキシズ株式会社 通信管理システム
WO2008023424A1 (fr) 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
JP5035006B2 (ja) * 2007-07-25 2012-09-26 富士通株式会社 通信装置の制御方法及び通信装置
JP2009044230A (ja) * 2007-08-06 2009-02-26 Toshiba Corp 通信装置およびネットワーク接続管理プログラム
CN101662457A (zh) * 2008-08-28 2010-03-03 黄金富 一种设有网络数据过滤装置的笔记本型计算机
JP5055237B2 (ja) * 2008-09-30 2012-10-24 株式会社日立製作所 セキュア通信装置
CN101931635B (zh) * 2009-06-18 2014-05-28 北京搜狗科技发展有限公司 网络资源访问方法及代理装置
US8170182B2 (en) * 2009-08-19 2012-05-01 Avaya Inc. Enhanced call tracing
US8886773B2 (en) * 2010-08-14 2014-11-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8910259B2 (en) 2010-08-14 2014-12-09 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP5202684B2 (ja) * 2011-05-12 2013-06-05 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
US9124920B2 (en) 2011-06-29 2015-09-01 The Nielson Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
US8594617B2 (en) 2011-06-30 2013-11-26 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP2013098676A (ja) * 2011-10-31 2013-05-20 Buffalo Inc 通信システム、通信方法及びコネクションサーバ
JP2015511432A (ja) * 2012-01-27 2015-04-16 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 移動パケットコアネットワークにおけるセッション終了
JP5809086B2 (ja) * 2012-03-15 2015-11-10 西日本電信電話株式会社 携帯端末在圏検知に基づくポート開閉制御方法
US8700019B2 (en) * 2012-08-27 2014-04-15 Avaya Inc. Method and apparatus for dynamic device pairing
US10356579B2 (en) 2013-03-15 2019-07-16 The Nielsen Company (Us), Llc Methods and apparatus to credit usage of mobile devices
US9301173B2 (en) 2013-03-15 2016-03-29 The Nielsen Company (Us), Llc Methods and apparatus to credit internet usage
WO2015029157A1 (ja) * 2013-08-28 2015-03-05 株式会社日立製作所 ストレージシステム及びストレージシステムの制御方法
US20150113588A1 (en) * 2013-10-22 2015-04-23 Cisco Technology, Inc. Firewall Limiting with Third-Party Traffic Classification
JP5962690B2 (ja) * 2014-02-21 2016-08-03 コニカミノルタ株式会社 管理サーバー、接続支援方法および接続支援プログラム
JP6102845B2 (ja) * 2014-07-10 2017-03-29 コニカミノルタ株式会社 接続制御システム、管理サーバー、接続支援方法および接続支援プログラム
US9762688B2 (en) 2014-10-31 2017-09-12 The Nielsen Company (Us), Llc Methods and apparatus to improve usage crediting in mobile devices
JP6507572B2 (ja) * 2014-10-31 2019-05-08 富士通株式会社 管理サーバの経路制御方法、および管理サーバ
US11423420B2 (en) 2015-02-06 2022-08-23 The Nielsen Company (Us), Llc Methods and apparatus to credit media presentations for online media distributions
US10554683B1 (en) * 2016-05-19 2020-02-04 Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville Systems and methods for preventing remote attacks against transportation systems
JP6869203B2 (ja) * 2018-03-28 2021-05-12 ソフトバンク株式会社 監視システム
DE102019116510A1 (de) * 2019-06-18 2020-12-24 Beckhoff Automation Gmbh Netzwerkteilnehmer und Automatisierungsnetzwerk
JP7338272B2 (ja) * 2019-07-03 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
CN110912936B (zh) * 2019-12-20 2022-02-18 东软集团股份有限公司 媒体文件安全态势感知方法和防火墙
CN113596023A (zh) * 2021-07-27 2021-11-02 北京卫达信息技术有限公司 数据中继和远程引导设备
CN113612753A (zh) * 2021-07-27 2021-11-05 北京卫达信息技术有限公司 数据的远程引导系统及方法
US11627040B1 (en) * 2021-08-18 2023-04-11 Juniper Networks, Inc. Processing unmodified configuration data with a network device application
CN115277119B (zh) * 2022-07-12 2024-02-09 深圳市电子商务安全证书管理有限公司 内部网络的访问方法、装置、设备及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3662080B2 (ja) * 1996-08-29 2005-06-22 Kddi株式会社 ファイアウォール動的制御方法
US6523696B1 (en) * 1996-10-15 2003-02-25 Kabushiki Kaisha Toshiba Communication control device for realizing uniform service providing environment
SE513828C2 (sv) * 1998-07-02 2000-11-13 Effnet Group Ab Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk
JP2000151677A (ja) * 1998-11-11 2000-05-30 Toshiba Corp 移動ipシステムのアクセス認証装置及び記憶媒体
US6684329B1 (en) * 1999-07-13 2004-01-27 Networks Associates Technology, Inc. System and method for increasing the resiliency of firewall systems
JP2001313640A (ja) 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
DE60139883D1 (de) * 2001-11-29 2009-10-22 Stonesoft Oy Kundenspezifische Firewall
JP2003229893A (ja) 2002-02-06 2003-08-15 Nippon Telegr & Teleph Corp <Ntt> 事業者ipネットワークにおけるインターネット電話サービス提供方法、およびシステム
JP3790166B2 (ja) 2002-02-06 2006-06-28 日本電信電話株式会社 事業者ipネットワークにおけるip電話サービス提供方法、およびシステム
JP2004038557A (ja) 2002-07-03 2004-02-05 Oki Electric Ind Co Ltd 不正アクセス遮断システム
GB0226289D0 (en) * 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
JP2004180155A (ja) * 2002-11-28 2004-06-24 Ntt Docomo Inc 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
US8286237B2 (en) * 2003-02-25 2012-10-09 Ibm International Group B.V. Method and apparatus to detect unauthorized information disclosure via content anomaly detection
US7453852B2 (en) * 2003-07-14 2008-11-18 Lucent Technologies Inc. Method and system for mobility across heterogeneous address spaces
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications

Also Published As

Publication number Publication date
JP2006114991A (ja) 2006-04-27
CN101040497B (zh) 2010-05-12
WO2006041080A1 (ja) 2006-04-20
US7950053B2 (en) 2011-05-24
CN101040497A (zh) 2007-09-19
US20070214501A1 (en) 2007-09-13

Similar Documents

Publication Publication Date Title
JP4405360B2 (ja) ファイアウォールシステム及びファイアウォール制御方法
US9515995B2 (en) Method and apparatus for network address translation and firewall traversal
US7680120B2 (en) Connected communication terminal, connecting communication terminal, session management server and trigger server
US7472411B2 (en) Method for stateful firewall inspection of ICE messages
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
JP4589405B2 (ja) クライアント援用ファイヤウオール構造
EP2991292B1 (en) Network collaborative defense method, device and system
US20080232362A1 (en) Ip communication apparatus and ip communication method of such apparatus
KR100738567B1 (ko) 동적 네트워크 보안 시스템 및 그 제어방법
US20080028097A1 (en) Connectivity Over Stateful Firewalls
US20070011731A1 (en) Method, system &amp; computer program product for discovering characteristics of middleboxes
JP3698698B2 (ja) Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
US10834052B2 (en) Monitoring device and method implemented by an access point for a telecommunications network
US20080126455A1 (en) Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs
US7917627B1 (en) System and method for providing security in a network environment
US8312530B2 (en) System and method for providing security in a network environment using accounting information
JP2006185194A (ja) サーバ装置、通信制御方法及びプログラム
WO2013189398A2 (zh) 应用数据推送方法、装置及系统
JP2009296333A (ja) 通信制御システムおよび通信制御方法
US20070058617A1 (en) Method for establishing and maintaining a connection
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
JP2006100873A (ja) Sipパケットフィルタリング装置およびネットワーク間接続装置およびsipサーバ
Ackermann et al. Vulnerabilities and Security Limitations of current IP Telephony Systems
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
EP3044929B1 (en) A mobile-device based proxy for browser-originated procedures

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070529

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071113

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091006

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091104

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121113

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees