JP4419951B2 - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP4419951B2
JP4419951B2 JP2005370245A JP2005370245A JP4419951B2 JP 4419951 B2 JP4419951 B2 JP 4419951B2 JP 2005370245 A JP2005370245 A JP 2005370245A JP 2005370245 A JP2005370245 A JP 2005370245A JP 4419951 B2 JP4419951 B2 JP 4419951B2
Authority
JP
Japan
Prior art keywords
packet
address
discard
setting
attribute information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005370245A
Other languages
English (en)
Other versions
JP2007174351A (ja
Inventor
敦司 児島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brother Industries Ltd
Original Assignee
Brother Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brother Industries Ltd filed Critical Brother Industries Ltd
Priority to JP2005370245A priority Critical patent/JP4419951B2/ja
Priority to US11/641,684 priority patent/US8023512B2/en
Publication of JP2007174351A publication Critical patent/JP2007174351A/ja
Application granted granted Critical
Publication of JP4419951B2 publication Critical patent/JP4419951B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、受信パケットの内、特定パケットを破棄する機能(フィルタリング機能)を有する通信装置に関する。
従来より、通信ネットワークとしては、IP(インターネットプロトコル)ネットワークが知られている。また、この種のネットワークを構成する通信装置としては、受信パケットの内、予め定められた特定パケットを破棄して、これらのパケットを下流に伝送しない機能を有した通信装置(ルータ等)が知られている(例えば、特許文献1参照)。
このようなフィルタリング機能を有する通信装置によれば、外部からの不正なアクセスを禁止することができ、ネットワーク内のセキュリティを高めることができる。
特開2001−36561号公報
しかしながら、フィルタリング機能に関しては、煩雑な設定操作が必要であり、従来では、フィルタリング機能に係る誤設定により、本来破棄すべきでないパケットが破棄されて、本来アクセスを禁止すべきでない端末装置のアクセスが禁止される場合があった。
また、フィルタリング機能に係る設定は、この機能を有する通信装置の管理者が、通信装置に設定操作を行わなければ変更できないため、フィルタリング機能についての誤設定が存在する場合、従来では、端末装置のユーザから、管理者に対してアクセス禁止に係る症状を問合せる必要があった。
また、ユーザの問合せを待って誤設定を修正する手法では、誤設定によりアクセスが禁止された端末装置のユーザが、コンピュータに不慣れなユーザである場合、更に問題が生じる可能性があった。即ち、端末装置のユーザには、アクセスができない理由が理解できず、管理者に問合せるといった行為に及ぶこともできない可能性があった。
本発明は、こうした問題に鑑みなされたものであり、フィルタリング機能に関する設定情報を効率的に管理でき、ユーザからの問合せがなくとも誤設定を迅速に修正可能な技術を提供することを目的とする。
かかる目的を達成するためになされた請求項1記載の通信装置は、データベースサーバを有するネットワークに接続された通信装置であり、ネットワークを通じ、外部から送信されてくるパケットを受信する受信手段と、破棄すべきパケットの送信元アドレスを表す破棄アドレス定義情報を記憶する設定記憶手段と、受信手段がパケットを受信した際、設定記憶手段が記憶する破棄アドレス定義情報に基づき、このパケットを破棄すべきか否かを判断する破棄判断手段と、受信手段が受信したパケットの内、破棄判断手段により破棄すべきではないと判断されたパケットを、下流に伝送する伝送制御手段と、を備える。尚、ここでいう「下流」とは、パケットの最終的な宛先のことを意味し、具体的には、装置やタスク等を意味する。
また、データベースサーバは、ネットワーク内の各端末装置の所属グループを示す属性情報を、各端末装置に割り当てられたノードアドレスと関連付けて記憶するものである。
この通信装置は、属性情報取得手段、所属判断手段、及び、設定更新手段を更に備え、属性情報取得手段は、受信手段がパケットを受信すると、このパケットが示す送信元アドレスに基づき、パケットの送信元装置の属性情報を、データベースサーバから取得すると共に、当該通信装置の属性情報を、データベースサーバから取得する
一方、所属判断手段は、属性情報取得手段が取得した属性情報が示す上記パケットの送信元装置の所属グループと、属性情報取得手段が取得した属性情報が示す当該通信装置の所属グループと、が一致するか否かを判断し、設定更新手段は、所属判断手段により所属グループが一致すると判断されると、所属グループが一致すると判断された上記パケットの送信元装置の属性情報に関連付けられたノードアドレスを送信元アドレスとしたパケットが、破棄の対象外となるように、設定記憶手段が記憶する破棄アドレス定義情報を更新する。
この通信装置では、データベースサーバの属性情報に基づき、破棄アドレス定義情報を自動で適切に修正することができる。従って、この通信装置によれば、破棄すべきパケットの送信元アドレスに関する設定情報(破棄アドレス定義情報)を効率的に管理でき、ユーザからの問合せがなくとも誤設定を迅速に修正することができる。
尚、上記通信装置は、受信手段により受信されたパケットの全ての送信元装置の属性情報を取得して、所属グループが当該通信装置の所属グループと一致するか否かを判断する構成にされてもよいが、先に、設定記憶手段に記憶された破棄アドレス定義情報に基づき、破棄判断手段により破棄すべきでないと判断したパケットを下流に伝送する構成にされるとよい。このように通信装置を構成すれば、破棄すべきでないと予め分かっているパケットについては、特にデータベースサーバから属性情報を取得しなくても下流にパケットを伝送することができ、パケット伝送の遅延を防ぐことができる。
また、伝送制御手段は、所属判断手段によって所属グループが一致すると判断されたパケットについて、破棄アドレス定義情報が修正されるまでは、該当パケットを下流に伝送せず破棄する構成にされてもよいが、このパケットについては、破棄せずに、下流に伝送する構成にされると一層好ましい。
請求項2記載の通信装置は、属性情報取得手段が、受信手段により受信されたパケットの内、破棄判断手段により破棄すべきであると判断されたパケットの送信元装置の属性情報を、データベースサーバから取得する構成にされ、伝送制御手段が、破棄判断手段により破棄すべきであると判断されたパケットの内、所属判断手段で所属グループが一致すると判断されたパケットを、下流に伝送し、その他のパケットを、下流に伝送せずに破棄する構成にされたものである。
このように構成された通信装置によれば、破棄アドレス定義情報の誤設定により、破棄判断手段で破棄すべきであると判断されたパケットについても、破棄せずに済むので、誤設定により正当なユーザのアクセスを不当に制限してしまうのを防止することができる。
また、請求項1,2記載の通信装置には、伝送制御手段により破棄されるパケットの送信元アドレスを記憶する破棄履歴記憶手段を設けると一層好ましい。このように構成された請求項3記載の通信装置によれば、管理者は、破棄履歴記憶手段を参照することで、破棄されたパケットの送信元アドレスを知ることができ、データベースサーバの属性情報によっては、適切に破棄アドレス定義情報を修正することができない場合についても、手作業にて、これを修正することができる。
この他、上記通信装置は、設定更新手段により設定記憶手段が記憶する破棄アドレス定義情報を自動的に更新するか否かを選択する更新選択手段と、更新選択手段により自動的に更新しないことが選択されている場合に、伝送制御手段によってパケットが下流に伝送されずに破棄される場合、当該パケットの破棄に関する情報及び破棄アドレス定義情報を更新するための設定画面へのリンク情報を含む電子メールを作成して、当該電子メールを、予め登録された電子メールアドレス先に送信するメール送信手段と、を備え、更新選択手段により自動的に更新することが選択されている場合には、設定更新手段を動作させる一方、更新選択手段により自動的に更新しないことが選択されている場合には、設定更新手段の動作を禁止する構成にされてもよい。
以下、本発明の実施例について、図面と共に説明する。
図1は、本発明が適用された通信システム1の構成を表すブロック図である。本実施例の通信システム1は、TCP/IPネットワークNT内に、このネットワークNT内の各端末装置の属性情報を記憶するデータベースサーバとしてのLDAP(Lightweight Directory Access Protocol)サーバ10と、メールサーバ20と、複数のパーソナルコンピュータ(以下、単に「PC」という。)30と、ディジタル複合機(以下、単に「複合機」という。)50と、が接続された構成にされている。
LDAPサーバ10は、ネットワークNT内の各端末装置(PC30,複合機50)について、端末装置の属性情報を、端末装置に割り当てられたIPアドレスと関連付けて記憶するデータベース10aを有し、データベース10aは、各端末装置の属性情報として、端末装置の名称と、端末装置のメインユーザの名称と、端末装置の所属グループと、を表す情報を記憶している。このLDAPサーバ10は、ネットワークNT内の装置から、属性情報の要求信号を受信すると、この要求信号にて指定されたIPアドレスに関連付けられた属性情報を、要求元装置に返信する。
一方、各PC30は、周知のPCと同様に、CPU,ROM,RAM等で構成される制御部31と、ネットワークNT内の各装置と通信可能な通信部33と、液晶モニタ等からなる表示部35と、キーボードやポインティングデバイス等から構成される操作部37と、各種プログラムやデータを記憶するハードディスク装置(HDD)39と、を備える。これら各PC30は、ハードディスク装置39に記憶されたメール閲覧ソフト、ブラウザ等の各種プログラムを、ユーザからの指示に従い、制御部(CPU)にて実行する。
その他、複合機50は、CPU,ROM,RAM等で構成される制御部51と、ネットワークNT内の各装置と通信可能な通信部53と、設定情報等を記憶保持するフラッシュメモリ等から構成される記憶部55と、レーザ方式やインクジェット方式等にて用紙に画像を形成する印刷部57と、原稿載置部に載置された原稿を光学的に読み取り、画像データを生成する読取部58と、ユーザが操作可能な各種キーや表示部等を備える操作パネル59と、を備える。
この複合機50は、制御部51にて各種プログラムを実行し、プリンタ機能、スキャナ機能、コピー機能等を実現する。例えば、制御部51は、外部からネットワークNTを通じて印刷コマンドを受信すると、これと共に受信したプリントデータを印刷処理し、プリントデータに基づく印刷画像を、印刷部57を通じて用紙に形成する(プリンタ機能)。また、制御部51は、操作パネル59を通じて外部から読取指令が入力されると、読取部58を制御して、原稿載置部に載置された原稿を読み取り、この読取画像を表す画像データを生成する。そして、この画像データを、ネットワークNT内の所定の装置に格納する(スキャナ機能)。
その他、複合機50は、記憶部55が記憶する設定情報に基づき、通信部53が受信したパケット(IPパケット)の内、特定パケットを破棄して、下流のタスクに伝送しないフィルタリング機能(以下、「IPフィルタ機能」という。)を、制御部51にて実現する。図2は、記憶部55が記憶する各種設定情報を示す説明図であり、図3は、このIPフィルタ機能を示した説明図である。
図2(a)に示すように、本実施例の複合機50は、記憶部55に、IPフィルタ機能についての設定情報が記述されたIPフィルタ設定ファイルを有する。IPフィルタ設定ファイルは、図2(b)に示すように、IPフィルタモード設定情報と、IPフィルタ対象アドレス設定情報と、を有し、IPフィルタモード設定情報は、IPフィルタ機能の動作モードを切り替えるための設定情報として機能する。具体的に、IPフィルタモード設定情報は、許可モードを表す値及び禁止モードを表す値のいずれかを採る。制御部51は、このIPフィルタモード設定情報が許可モードを示す場合、IPフィルタ対象アドレス設定情報が示す範囲内のIPアドレスを許可アドレスであると認識すると共に、この範囲外のIPアドレスを禁止アドレスであると認識して、禁止アドレスが割り当てられたネットワーク内の装置から受信したパケットを、破棄する動作を行う。
一方、制御部51は、IPフィルタモード設定情報が禁止モードを示す場合、IPフィルタ対象アドレス設定情報が示す範囲内のIPアドレスを禁止アドレスであると認識すると共に、この範囲外のIPアドレスを許可アドレスであると認識して、禁止アドレスが割り当てられたネットワーク内の装置から受信したパケットを、破棄する動作を行う。
また、IPフィルタ対象アドレス設定情報は、IPアドレスとサブネットマスクとの組み合わせにより、許可アドレスに該当するIPアドレスの範囲(許可モードの場合)、又は、禁止アドレスに該当するIPアドレスの範囲(禁止モードの場合)を表すものである。制御部51は、このような設定情報を有するIPフィルタ設定ファイルの内容に基づき、図3に示すように、特定パケットを破棄し、それ以外のパケットを下流のタスクに伝送する。即ち、制御部51は、受信パケットの送信元IPアドレスと、IPフィルタ設定ファイルが示す設定情報とに基づき、受信パケットを破棄すべきか否かを判断し、受信パケットを破棄すべきでないと判断した場合には、受信パケットが宛先として示すポート番号に対応するタスク(アプリ)に、受信パケットを伝送し、受信パケットを破棄すべきであると判断した場合には、下流のタスクに、受信パケットを伝送することなく、該当パケットを破棄する。
その他、記憶部55は、IPフィルタ設定ファイルとは別に、通知設定ファイルを有し、制御部51は、通信設定ファイルの内容に基づき、必要に応じて、パケットの破棄に関する情報を、電子メールを媒体として、通信設定ファイルが示すメールアドレス先に通知する構成にされている。尚、図2(c)は、記憶部55が記憶する通知設定ファイルの構成を表す説明図である。
図2(c)に示すように、通信設定ファイルは、自動設定更新機能オン/オフ設定情報と、LDAPサーバアドレス設定情報と、管理者メールアドレス設定情報と、通知間隔設定情報と、を備える。
自動設定更新機能オン/オフ設定情報は、IPフィルタ対象アドレス設定情報を自動的に更新する機能である自動設定更新機能(詳細後述)をオン/オフするための設定情報であり、オンを表す値又はオフを表す値を採る。制御部51は、この自動設定更新機能オン/オフ設定情報がオンを示す場合、自動設定更新機能に係る処理(自動設定更新処理)を実行し、自動設定更新機能オン/オフ設定情報がオフを示す場合、自動設定更新機能に係る処理を実行する代わりに、パケットの破棄に関する情報を通知する処理を実行する。
一方、LDAPサーバアドレス設定情報は、自動設定更新機能に必要な端末装置の属性情報を有するLDAPサーバ10のIPアドレスを表すものであり、制御部51は、自動設定更新機能に係る処理を実行する場合、このLDAPサーバアドレス設定情報が示すIPアドレス先に対し、属性情報の要求信号を送信することにより、相手先のLDAPサーバ10から必要な属性情報を取得する。
また、管理者メールアドレス設定情報は、パケットの破棄に関する情報の通知先メールアドレスを表す情報であり、制御部51は、自動設定更新機能がオフに設定されている場合、必要に応じて、管理者メールアドレス設定情報が示すメールアドレス先に、パケットの破棄に関する情報を通知する。また、通知間隔設定情報は、パケットの破棄に関する情報の通知間隔を表す情報であり、制御部51は、送信元IPアドレスが同一のパケットを複数回受信した場合、通知間隔設定情報が示す通知間隔分の時間が経過しない限り、パケットの破棄に関する情報を再度送信しない構成にされている。
その他、記憶部55は、通知履歴ファイル及び破棄履歴ファイルを有しており、制御部51は、上記パケットの破棄に関する情報の通知動作と併せて、通知動作を実行する原因となったパケットの送信元IPアドレスを、通知履歴ファイルに記録する構成にされている。また、制御部51は、通知動作とは無関係に、破棄するパケットの送信元IPアドレスを、破棄履歴ファイルに記録する構成にされている。
図2(d)は、通知履歴ファイル及び破棄履歴ファイルの構成を表す説明図である。通知履歴ファイル及び破棄履歴ファイルには、送信元IPアドレスと登録時刻の情報とからなるレコードが、制御部51により順次追加書込される。制御部51は、この通知履歴ファイルの内容及び破棄履歴ファイルの内容を、ユーザからの指示に従い、操作パネル59の表示部に表示可能な構成にされている。
また、図4は、記憶部55に記憶された各種設定情報の更新方法に係る説明図である。本実施例の複合機50は、ウェブサーバ51aとしての機能を制御部51にて実現する構成にされており、各設定情報の更新操作を受け付けるための設定画面を、ウェブページの形態にて、管理者のPC30に送信する構成にされている。
具体的に、図4(a)は、設定情報の更新操作の受付手順を示した説明図である。ウェブサーバ51aは、設定画面の要求信号を、PC30から受信すると、管理者に対してパスワードの入力を求めるウェブページを要求元のPC30に送信して、管理者のPC30からパスワードを取得し、このパスワードを、記憶部55に記憶されている図示しないパスワードと比較する。そして両パスワードが一致する場合には、認証に成功したとして、設定画面を構成するウェブページを、要求元のPCに送信する。
例えば、ウェブサーバ51aは、通信部53を介して、IPフィルタ設定画面の要求信号を受信した場合、IPフィルタ設定ファイルが有する各設定情報についての更新操作を受付可能な設定画面(IPフィルタ設定画面)を構成するウェブページを、要求元のPC30に送信する。また、ウェブサーバ51aは、通信部53を介して、通知設定画面の要求信号を受信した場合、通知設定ファイルが有する各設定情報についての更新操作を受付可能な設定画面を構成するウェブページを、要求元のPC30に送信する。尚、図4(b)は、通知設定画面の構成を表す説明図である。
図4(b)に示すように、設定画面には、設定画面への入力結果を、複合機50に返信するための「OK」ボタンが設けられており、この「OK」ボタンが管理者により押下操作されると、管理者のPC30からは、設定画面への入力結果が、複合機50に返信されてくる。ウェブサーバ51aは、この入力結果に基づいて、対応する設定情報を更新し、管理者からの更新操作を受け付ける。
次に、IPフィルタ機能等の詳細について、図5を用いて説明する。図5は、通信部53が外部から自装置宛のパケットを受信する度に、制御部51が実行する通信制御処理を表すフローチャートである。この通信制御処理は、下流のタスク(アプリ)に受信パケットを伝送する前に、制御部51により実行される。
制御部51は、通信部53がネットワークNTを通じて外部からパケットを受信すると、まず、記憶部55が記憶するIPフィルタモード設定情報及びIPフィルタ対象アドレス設定情報に基づき、受信パケットが示す送信元IPアドレスが許可アドレスであるか否かを判断する(S110)。そして、受信パケットが示す送信元IPアドレスが許可アドレスであると判断すると(S110でYes)、受信パケットが示す宛先のポート番号に対応するタスク(アプリ)に、受信パケットを伝送(配送)する(S120)。その後、当該通信制御処理を終了する。
一方、制御部51は、受信パケットが示す送信元IPアドレスが許可アドレスではない(禁止アドレスである)と判断すると(S110でNo)、記憶部55が記憶する自動設定更新機能オン/オフ設定情報に基づき、自動設定更新機能がオンに設定されているか否かを判断する(S130)。
そして、自動設定更新機能がオンに設定されていない(オフに設定されている)と判断すると(S130でNo)、記憶部55が記憶する通信履歴ファイル内で、今回受信したパケットが示す送信元IPアドレスと一致するIPアドレスの情報を有するレコードを検索する。そして、検索の結果、通信履歴ファイルに上記レコードが存在しないと判断すると(S150でNo)、S160に移行する。
一方、通信履歴ファイル内に上記検索対象のレコードが存在すると判断すると(S150でYes)、制御部51は、今回受信したパケットが示す送信元IPアドレスと同一の送信元から受信したパケットについてのパケットの破棄に関する情報を最後に通知してから経過した時間を、通知履歴ファイルの内容に基づき算出し(S151)、この経過時間が、記憶部55が記憶する通知間隔設定情報が示す間隔以上であるか否かを判断する(S155)。
そして、経過時間が通知間隔設定情報が示す間隔以上であると判断すると(S155でYes)、S160に移行し、経過時間が通知間隔設定情報が示す間隔未満であると判断すると(S155でNo)、S190に移行する。
また、S160に移行すると、制御部51は、記憶部55が記憶するLDAPサーバアドレス設定情報に基づいて、LDAPサーバ10から、今回受信したパケットが示す送信元IPアドレスと一致するIPアドレスに関連付けられた属性情報を取得する。そして、属性情報を取得すると、S170に移行し、パケットの破棄に関する情報を記した電子メールを、記憶部55の管理者メールアドレス設定情報が示すメールアドレスを宛先として生成する。尚、図6は、電子メールに記されるパケットの破棄に関する情報の例を示した図である。
具体的に、S170では、パケットの破棄に関する情報として、今回受信したパケットの送信元IPアドレスと、この送信元のMACアドレスと、LDAPサーバ10から取得した上記送信元IPアドレスの属性情報(端末装置の名称、メインユーザの名称、所属グループ)と、を記した電子メールを生成する。
また、S170では、アクセスされた当該複合機50のデバイス情報であるアクセス対象デバイス情報と、IPフィルタ設定画面へのリンク情報(換言すると、IPフィルタ設定画面の要求信号送出用のリンク情報)とを、電子メールに付加する。その他、電子メールには、送信元が今回の受信パケットと同一のパケットについての過去のパケット破棄回数も記す。
そして、電子メールの生成が終了すると、制御部51は、上記生成した電子メールが管理者メールアドレス先に伝送されるように、この電子メールをネットワークNTに送出する(S175)。また、この処理を終えると、制御部51は、S180に移行し、今回受信したパケットの送信元IPアドレスの情報を、登録時刻(現在時刻)の情報と共に、通知履歴ファイルに追加書込する。
また、S180での処理を終えると、制御部51は、受信パケットを破棄し(S190)、この受信パケットの送信元IPアドレスの情報を、登録時刻(現在時刻)の情報と共に、破棄履歴ファイルに追加書込する(S195)。その後、当該通信制御処理を終了する。
その他、制御部51は、S130において、自動設定更新機能がオンに設定されていると判断すると、S200に移行し、図7に示す自動設定更新処理を実行する。尚、図7は、制御部51が実行する自動設定更新処理を表すフローチャートである。
自動設定更新処理を開始すると、制御部51は、LDAPサーバアドレス設定情報が示すアドレス先のLDAPサーバ10から、今回受信したパケットの送信元IPアドレスに一致するIPアドレスに関連付けられた属性情報を取得すると共に(S210)、当該複合機50の属性情報を取得する(S220)。また、この処理を終えると、制御部51は、S230に移行し、S210及びS220で属性情報の取得に成功したか否かを判断し、両属性情報の取得に成功している場合には、S230でYesと判断して、S240に移行し、属性情報の取得に失敗している場合には、S230でNoと判断して、S270に移行する。
また、S240に移行すると、制御部51は、今回受信したパケットの送信元の属性情報が示す所属グループと、自装置(複合機50)の属性情報が示す所属グループと、を比較し、今回受信したパケットの送信元が自装置と同一グループに所属しているか否かを判断する(S250)。そして、同一グループに所属していると判断すると(S250でYes)、S260に移行し、同一グループに所属していないと判断すると(S250でNo)、S270に移行する。
また、S260に移行すると、制御部51は、今回受信したパケットの送信元装置が、当該複合機50に対してアクセス可能となるようにIPフィルタ対象アドレス設定情報を更新する。即ち、制御部51は、IPフィルタ対象アドレス設定情報が示す許可アドレスの範囲内に、今回受信したパケットの送信元IPアドレスが収まるように、IPフィルタ対象アドレス設定情報を更新する。尚、当然ではあるが、更新の際には、今回受信したパケットの送信元IPアドレスのみが新たに許可アドレスとなるように、IPフィルタ対象アドレス設定情報を更新する。
そして、S260での処理を終えると、制御部51は、今回受信したパケットを、パケットが示す宛先のポート番号に対応するタスク(アプリ)に伝送する(S265)。その後、当該自動設定更新処理を終了する。
一方、S270に移行すると、制御部51は、今回受信したパケットを破棄すると共に、この受信パケットの送信元IPアドレスの情報を、登録時刻(現在時刻)の情報と共に、破棄履歴ファイルに追加書込する(S280)。その後、当該自動設定更新処理を終了する。
即ち、上記自動設定更新処理では、自装置の属性情報が示す所属グループが、図8に示すように「2G」「3G」である場合、所属グループが「2G」又は「3G」を示す属性情報に対応するIPアドレスが割り当てられた端末装置からの送信パケットを破棄せず、対応するタスク(アプリ)に伝送し、この端末装置のIPアドレスが許可アドレスとなるようIPフィルタ対象アドレス設定情報を更新する。逆に、所属グループが「2G」及び「3G」以外のグループを示す属性情報に対応する端末装置からの送信パケットについては、これを許可アドレスとすることなく、受信パケットを破棄する。
また、このような内容の自動更新設定処理を終了すると、制御部51は、当該通信制御処理を終了する。
以上、本実施例の通信システム1について説明したが、本実施例では、複合機50が、「特許請求の範囲」に記載の通信装置として機能し、通信部53(受信手段に相当)が、ネットワークNTを通じて外部からパケットを受信すると、制御部51が、IPフィルタ設定ファイルの情報(破棄アドレス定義情報に相当)に基づき、送信元IPアドレスが許可アドレスか否かを判断する。この動作により、制御部51は、受信パケットを破棄すべきか否かを判断する(S110:破棄判断手段に相当)。
そして、制御部51は、受信パケットの内、送信元IPアドレスが許可アドレスであるパケットを、下流のタスクに伝送し(S120)、送信元IPアドレスが許可アドレスではないと判断されたパケットを、破棄する(S190,S270)。
また、制御部51は、パケットを破棄する場合、パケットの破棄に関する情報として、送信元IPアドレスと、送信元の属性情報とを記した電子メールを生成し、これを予め登録された管理者のメールアドレス先に送信する(S160〜S175:メール送信手段に相当)。また、電子メールの送信に対応して、電子メールの送信が行われる原因となったパケットの送信元IPアドレスを、通知履歴ファイルに記録する(S180)。
その他、制御部51は、S160〜S175の実行に先駆けて、パケットの破棄に関する情報を、受信パケットの破棄に対応して通知する必要があるか否か判断し(S150,S155)、通知する必要があると判断した場合にのみ(S150でNo又はS155でYes)、上記パケットの破棄に関する情報を格納した電子メールを送信する。
このように、本実施例の複合機50によれば、パケットを破棄する場合、この破棄に関する情報を、予め登録されたメールアドレス先に、電子メールを媒体として通知するので、管理者は、自身のメールアドレスを、複合機50のウェブサーバ51aを通じて予め登録しておけば、通知された電子メールの内容に基づき、IPフィルタ機能の設定情報を修正することができる。従って、この複合機50によれば、管理者は、誤設定にて本来アクセスを禁止すべきでない端末装置の送信パケットが破棄対象に設定されている場合でも、これをユーザからの問合せなく迅速に修正することができる。
特に、本実施例の複合機50によれば、一度パケットの破棄に関する情報を送信したことがある破棄パケットと送信元が同一のパケットを再度受信した場合、最後に上記パケットの破棄に関する情報を送信した時点からの経過時間を算出し、経過時間が予め設定された時間未満である場合には、再度、パケットの破棄に関する情報を送信せずに、パケットを破棄するので、外部攻撃等により不正なパケットが連続的に送信されてくる場合でも、これについて連続的に複数回通知動作をしなくて済む。従って、本実施例によれば、外部攻撃を原因とした不要な通知動作により、重要な通知が、管理者に看過されるのを防止することができ、管理者は、効率的に、IPフィルタ機能の設定情報を管理することができる。
また、本実施例の複合機50では、破棄するパケットの送信元IPアドレスに対応する属性情報を、LDAPサーバ10から取得し(S160)、これを電子メールに記述するので、管理者は、電子メールの内容に基づき、IPフィルタ機能の設定情報を修正する必要があるか否かを、適切且つ迅速に判断することができる。
その他、本実施例の複合機50によれば、自動設定更新機能がオンにされている場合(S130でYes)、自動設定更新処理を実行して、受信パケットが示す送信元IPアドレスに基づき、受信パケットの送信元装置の属性情報を、LDAPサーバ10から取得し(S210:属性情報取得手段に相当)、この属性情報と、自装置の属性情報とに基づき、今回受信したパケットと同一送信元IPアドレスのパケットを、以後、破棄の対象外に設定するか否かを判断し(S240〜S250:所属判断手段に相当)、破棄の対象外に設定すると判断した場合には(S250でYes)、今回受信したパケットと送信元が同一のパケットが、以後、破棄の対象外となるように、IPフィルタ対象アドレス設定情報を更新する(S260:設定更新手段に相当)。
このように本実施例では、LDAPサーバ10の属性情報に基づけば、属性情報に対応する送信元IPアドレスのパケットが破棄されるべきものではないことが明らかな場合に、IPフィルタ対象アドレス情報を自動で適切に修正することができる。従って、本実施例によれば、管理者の手を煩わせることなく、効率的に、IPフィルタ機能の設定情報を管理できる。
その他、本実施例の複合機50によれば、破棄したパケットの送信元アドレスを破棄履歴ファイル(破棄履歴記憶手段に相当)に記憶させて、管理者が破棄履歴を参照できるようにしているので、管理者は、この破棄履歴ファイルの内容を手掛かりに、IPフィルタ機能の設定情報の適切/不適切を定期的にチェックすることができ、常時設定情報を適切に保つことができる。
尚、本発明の通信装置は、上記実施例に限定されるものではなく、種々の態様を採ることができる。
例えば、パケットを破棄すべきか否かは、端末装置のMACアドレスに基づいて判断されてもよい。即ち、上記実施例では、IPアドレスでパケットのフィルタリングを行う複合機50について説明したが、上記複合機50は、MACアドレスでパケットのフィルタリングを行う構成にされてもよい。
本実施例の通信システム1の構成を表すブロック図である。 記憶部55が記憶する各種情報を示す説明図である。 IPフィルタ機能を示した説明図である。 記憶部55に記憶された各種設定情報の更新方法に係る説明図(a)及び、通知設定画面の構成を表す説明図(b)である。 制御部51が実行する通信制御処理を表すフローチャートである。 電子メールに記されるパケットの破棄に関する情報の例を示した図である。 制御部51が実行する自動設定更新処理を表すフローチャートである。 LDAPサーバ10が記憶する属性情報の例を示した説明図である。
1…通信システム、10…LDAPサーバ、10a…データベース、20…メールサーバ、30…PC、31,51…制御部、33,53…通信部、35…表示部、37…操作部、39…ハードディスク装置、50…複合機、51a…ウェブサーバ、55…記憶部、57…印刷部、58…読取部、59…操作パネル、NT…ネットワーク

Claims (4)

  1. ネットワーク内の各端末装置の所属グループを示す属性情報を、各端末装置に割り当てられたノードアドレスと関連付けて記憶するデータベースサーバ、を有するネットワークに接続された通信装置であって、
    前記ネットワークを通じて、外部から送信されてくるパケットを受信する受信手段と、
    破棄すべきパケットの送信元アドレスを表す破棄アドレス定義情報を記憶する設定記憶手段と、
    前記受信手段がパケットを受信すると、前記設定記憶手段が記憶する破棄アドレス定義情報に基づき、このパケットを破棄すべきか否かを判断する破棄判断手段と、
    前記受信手段が受信したパケットの内、前記破棄判断手段により破棄すべきではないと判断されたパケットを、下流に伝送する伝送制御手段と、
    前記受信手段が受信したパケットが示す送信元アドレスに基づき、このパケットの送信元装置の属性情報を、前記データベースサーバから取得すると共に、当該通信装置の属性情報を、前記データベースサーバから取得する属性情報取得手段と、
    前記属性情報取得手段が取得した属性情報が示す前記パケットの送信元装置の所属グループと、前記属性情報取得手段が取得した属性情報が示す当該通信装置の所属グループと、が一致するか否かを判断する所属判断手段と、
    前記所属判断手段により所属グループが一致すると判断されると、所属グループが一致すると判断された前記パケットの送信元装置の前記属性情報に関連付けられたノードアドレスを送信元アドレスとしたパケットが、破棄の対象外となるように、前記設定記憶手段が記憶する前記破棄アドレス定義情報を更新する設定更新手段と、
    を備えることを特徴とする通信装置。
  2. 前記属性情報取得手段は、前記受信手段が受信したパケットの内、前記破棄判断手段により破棄すべきであると判断されたパケットの送信元装置の属性情報を、前記データベースサーバから取得する構成にされ、
    前記伝送制御手段は、前記破棄判断手段により破棄すべきであると判断されたパケットの内、前記所属判断手段により所属グループが一致すると判断されたパケットについては、下流に伝送し、その他のパケットについては、下流に伝送せずに破棄する構成にされていることを特徴とする請求項1記載の通信装置。
  3. 前記伝送制御手段により破棄されるパケットの送信元アドレスを記憶する破棄履歴記憶手段、を備えることを特徴とする請求項1又は請求項2記載の通信装置。
  4. 前記設定更新手段により前記設定記憶手段が記憶する前記破棄アドレス定義情報を自動的に更新するか否かを選択する更新選択手段と、
    前記更新選択手段により自動的に更新しないことが選択されている場合に、前記伝送制御手段によってパケットが下流に伝送されずに破棄される場合、当該パケットの破棄に関する情報及び前記破棄アドレス定義情報を更新するための設定画面へのリンク情報を含む電子メールを作成して、当該電子メールを、予め登録された電子メールアドレス先に送信するメール送信手段と、
    を備え、
    前記更新選択手段により自動的に更新することが選択されている場合には、前記設定更新手段を動作させる一方、前記更新選択手段により自動的に更新しないことが選択されている場合には、前記設定更新手段の動作を禁止すること
    を特徴とする請求項1〜請求項3のいずれかに記載の通信装置。
JP2005370245A 2005-12-22 2005-12-22 通信装置 Expired - Fee Related JP4419951B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005370245A JP4419951B2 (ja) 2005-12-22 2005-12-22 通信装置
US11/641,684 US8023512B2 (en) 2005-12-22 2006-12-20 Communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005370245A JP4419951B2 (ja) 2005-12-22 2005-12-22 通信装置

Publications (2)

Publication Number Publication Date
JP2007174351A JP2007174351A (ja) 2007-07-05
JP4419951B2 true JP4419951B2 (ja) 2010-02-24

Family

ID=38193633

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005370245A Expired - Fee Related JP4419951B2 (ja) 2005-12-22 2005-12-22 通信装置

Country Status (2)

Country Link
US (1) US8023512B2 (ja)
JP (1) JP4419951B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4793491B2 (ja) * 2007-03-20 2011-10-12 富士通株式会社 パケット中継装置、パケット中継装置における廃棄パケットの転送方法、およびそのプログラム
JP6041544B2 (ja) * 2012-06-07 2016-12-07 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、及びプログラム
JP6111965B2 (ja) * 2012-12-10 2017-04-12 富士通株式会社 管理装置,管理方法,プログラム
JP6167859B2 (ja) * 2013-11-06 2017-07-26 富士通株式会社 検索方法,検索装置,検索プログラム
US10171422B2 (en) * 2016-04-14 2019-01-01 Owl Cyber Defense Solutions, Llc Dynamically configurable packet filter
JP6769080B2 (ja) 2016-04-14 2020-10-14 株式会社リコー 情報機器、プログラムおよび通信管理方法
CN106100955B (zh) * 2016-06-23 2020-01-17 北京东土科技股份有限公司 工业互联网现场层宽带总线数据深度检测实现方法
JP7003864B2 (ja) * 2018-07-24 2022-02-10 日本電信電話株式会社 振分装置、通信システムおよび振分方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH084272B2 (ja) 1993-03-03 1996-01-17 日本電気株式会社 ローカルエリアネットワークの集線装置
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
JPH10240687A (ja) 1997-02-28 1998-09-11 Tec Corp ネットワークシステム
JPH1155292A (ja) 1997-06-03 1999-02-26 Nippon Telegr & Teleph Corp <Ntt> グループ通信レート制御方法、ネットワーク資源共用方法、レート制御スケジューリング方法及び通信システム
JP3790876B2 (ja) 1998-02-03 2006-06-28 株式会社日立製作所 オンライントランザクション処理システム、ならびにその不正検出及び通知方法
JP2001036561A (ja) 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
JP2001134845A (ja) 1999-11-02 2001-05-18 Toshiba Tec Corp 商品販売データ処理システム
JP2002063084A (ja) 2000-08-21 2002-02-28 Toshiba Corp パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体
JP4330342B2 (ja) 2001-02-19 2009-09-16 富士通株式会社 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7451488B2 (en) * 2003-04-29 2008-11-11 Securify, Inc. Policy-based vulnerability assessment
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
JP2005027040A (ja) 2003-07-02 2005-01-27 Ricoh Co Ltd 監視方法、監視プログラム及び集中監視プログラム
JP2005182187A (ja) 2003-12-16 2005-07-07 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス検知方法、不正アクセス検知システム及び不正アクセス検知プログラム
US7676841B2 (en) * 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation

Also Published As

Publication number Publication date
JP2007174351A (ja) 2007-07-05
US8023512B2 (en) 2011-09-20
US20070147383A1 (en) 2007-06-28

Similar Documents

Publication Publication Date Title
JP4419951B2 (ja) 通信装置
JP4574161B2 (ja) 通信装置、その制御方法およびプログラム
EP2383676B1 (en) Image transmission apparatus and method of controlling image transmission apparatus
JP4462321B2 (ja) 画像送信装置、画像送信方法および画像送信プログラム
JP4656182B2 (ja) データ送信装置、データ送信方法およびデータ送信プログラム
JP4602947B2 (ja) ファクシミリ通信システムおよび画像処理装置
US10466943B2 (en) Image processing apparatus, method and non-transitory computer-readable recording medium storing instructions therefor
JP5595149B2 (ja) 文書管理システム、画像処理装置、それらの制御方法及びプログラム
JP2009230666A (ja) ネットワーク内デバイスの管理装置およびネットワーク内デバイス管理プログラム
JP4115285B2 (ja) ネットワークスキャナ装置
US8045192B2 (en) Image data encryption apparatus, image data encryption method and recording medium having computer executable program stored therein
JP2007004605A (ja) 通信システム、クライアント、サーバおよびプログラム
US20160019013A1 (en) Image forming apparatus and network system including the same
US8555399B2 (en) Information processing apparatus and method and storage medium
JP2007088944A (ja) 画像処理装置およびその制御方法ならびにコンピュータプログラム
US9423990B2 (en) Non-transitory computer readable recording medium storing an account management program, image forming apparatus and image forming system
JP4212535B2 (ja) データ送信装置
US8564812B2 (en) Apparatus and method for generating a communication management report with security function
JP2017078945A (ja) 情報処理装置、プログラム、認証方法および情報処理システム
JP2021072509A (ja) 情報処理装置
US10742840B2 (en) Communication device, non-transitory computer-readable recording medium storing computer-readable instructions for communication device, and method executed by communication device
JP6955188B2 (ja) 通信装置、および、コンピュータプログラム
JP2007066088A (ja) データ通信装置、データ通信方法、データ通信プログラム、およびデータ通信プログラムを記録したコンピュータ読み取り可能な記録媒体
JP6205982B2 (ja) 中継装置、プログラムおよび中継装置の制御方法
US10965669B2 (en) Communication apparatus, method of controlling the same, and storage medium

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081003

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091123

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121211

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4419951

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131211

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees