JP4487150B2 - 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム - Google Patents

通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム Download PDF

Info

Publication number
JP4487150B2
JP4487150B2 JP2008027093A JP2008027093A JP4487150B2 JP 4487150 B2 JP4487150 B2 JP 4487150B2 JP 2008027093 A JP2008027093 A JP 2008027093A JP 2008027093 A JP2008027093 A JP 2008027093A JP 4487150 B2 JP4487150 B2 JP 4487150B2
Authority
JP
Japan
Prior art keywords
mac address
server
firewall
default gateway
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008027093A
Other languages
English (en)
Other versions
JP2009188771A (ja
Inventor
真美子 早坂
善視則 海野
正伸 川島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC AccessTechnica Ltd
Original Assignee
NEC Corp
NEC AccessTechnica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC AccessTechnica Ltd filed Critical NEC Corp
Priority to JP2008027093A priority Critical patent/JP4487150B2/ja
Priority to US12/362,327 priority patent/US8239931B2/en
Publication of JP2009188771A publication Critical patent/JP2009188771A/ja
Application granted granted Critical
Publication of JP4487150B2 publication Critical patent/JP4487150B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ファイアーウォール制御方法に関し、特にVPN(Virtual Private Network)装置のファイアーウォール制御方法に関する。
企業等におけるVPN(Virtual Private Network)装置(以下、装置)のファイアーウォール制御方法として、IP(Internet Protocol)アドレス判定方式による社内社外判定方法が知られている。しかし、IPアドレス判定方式による社内社外判定方法では、装置が社外ネットワークに接続されているにもかかわらず、NAT(Network Address Translation)ルータのローカルエリア側に設置されている場合、装置は、社内ネットワークに接続されていると誤判定していた。この結果、装置のファイアーウォール機能が有効にならず、装置からインターネットへの直接アクセスが可能になりセキュリティの低下を招いていた。
例えば、IPアドレスを基にした社内社外判定方法では、ネットワーク管理者(以下、管理者)は、社内ネットワークであることを定義したIPアドレスの範囲(ネットワークアドレス)を予め装置に設定する。装置は、装置のインタフェース(I/F:interface)に付与されたIPアドレスとネットワークアドレスとを比較し、IPアドレスがネットワークアドレスに含まれる場合、装置が社内ネットワークに接続されていると判断してファイアーウォールを無効にし、IPアドレスがネットワークアドレスに含まれない場合、装置が社外ネットワークに接続されていると判断してファイアーウォールを有効にしていた。
通常、企業内ネットワークでは、管理者は、「192.168.0.0/16」、「172.16.0.0/12」、「10.0.0.0/8」等のローカルアドレスを装置に割り当て、ルータをデフォルトゲートウェイ(Default Gateway)として使用し、ルータ上でNATを機能させている。管理者は、このローカルアドレスを社内ネットワークとして認識して、装置に設定する。装置が社内ネットワークに設置された場合、ネットワークに割り当てられるIPアドレスはローカルアドレスとなり、両者は明確に一致し、装置は、社内ネットワークに設置されていると判断し、ファイアーウォールを無効にする。装置が社外ネットワークに設置された場合、ネットワークに割り当てられるIPアドレスはローカルアドレス以外のグローバルアドレスとなり、両者は明確に一致することがなく、装置は、社外ネットワークに設置されていると判断し、ファイアーウォールを有効にする。
ところが、装置が社外ネットワークに設置されていても、NATルータが装置のインタフェースにローカルアドレスを付与する設定にしてある場合には、上記と同様の動作に従うと、装置は社内ネットワークに設置されていると判断し、管理者の意図に反して、装置のファイアーウォール機能が有効にならず、装置からインターネットへの直接アクセスが可能になり、セキュリティの低下を招いてしまう。このように、IPアドレス判定方式による社内社外判定方法では、誤判定する危険性がある。誤判定した結果、ファイアーウォールが無効になり、セキュリティが低下する。
なお、ここでは、NATを使用する場合を例に説明しているが、NATの代わりに、NAPT(Network Address Port Translation)を使用する場合も同様である。ブロードバンドルータのスペック表等では、NAPTの意味で「NAT機能搭載」と表記していることもある。NAPTの例として、IPマスカレード(IP masquerade)がある。
関連する技術として、特開2004−172931号公報(特許文献1)に「動的IPアドレス割り当てに対応したファイアウォールシステム」が開示されている。
この関連技術では、アクセス管理サーバが端末に割り当て期限付きのIPアドレスを割り当てている間、あるいは端末が動的に割り当てられたIPアドレスを自ら返却するまでの間のみ、端末のMAC(Media Access Control)アドレス単位にどのようなインターネットへのアクセスが許可されているかを示すインターネットアクセス制御情報をファイアウォールに登録することにより、割り当て期限付きのIPアドレスを動的に割り当てられた端末からのインターネットへのアクセスを端末のMACアドレス単位に制御する。
また、特開2004−304371号公報(特許文献2)に「レイヤ2のスイッチング装置」が開示されている。
この関連技術では、レイヤ2のスイッチング装置は、第1及び第2ホストの一方のIPアドレスをIP送信元アドレスとして含み、且つ他方のMAC及びIPアドレスをMAC及びIP宛先アドレスとして含むエントリが登録されたフローテーブルと、一方のIPアドレスがIP送信元アドレスとして設定され且つ他方のIPアドレスがIP宛先アドレスとして設定されたデータが一方から受信された場合に、このデータに設定されているMAC宛先アドレスをフローテーブルのエントリに基づいて他方のMACアドレスに変換する変換手段と、MAC宛先アドレスが変換されたデータを他方へ向けて送出する手段とを含む。
また、特開2006−134151号公報(特許文献3)に「機器認証装置およびコンピュータプログラム」が開示されている。
この関連技術では、ネットワーク接続させる初期登録時に自己に隣接するネットワーク機器のMACアドレス、ネットワーク経路情報およびルーティング情報を検出して判定データを生成する。判定データ生成後、一定期間経過する毎に自己に隣接するネットワーク機器のMACアドレス、ネットワーク経路情報およびルーティング情報を検出して位置データを生成して判定データと比較し、「MACアドレス一致率」、「ネットワーク経路情報一致率」および「ルーティング情報一致率」のいずれかが閾値より小さい場合に、自己の移動を検知して機器機能停止を指示する。
また、特開2007−018479号公報(特許文献4)に「位置情報による電子メール送受信の最適化」が開示されている。
この関連技術では、ネットワークに接続する際に必要となるデフォルトゲートウェイのMACアドレスにより利用場所を判断し、端末(PC・PDA・無線LAN内臓携帯電話・IP携帯電話・ゲーム機等)から、ネットワークに接続した際、専用サーバにアクセスして、サーバへの認証情報と共に位置情報を付加して送り、利用場所に適した電子メールのやり取りを可能にすることを図っている。
特開2004−172931号公報 特開2004−304371号公報 特開2006−134151号公報 特開2007−018479号公報
本発明の目的は、デフォルトゲートウェイのMACアドレスを基にしたファイアーウォール制御を行う通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム提供することである。
本発明の通信装置は、事前に特定のローカルネットワークに設置された際に、特定のローカルネットワークのデフォルトゲートウェイのMACアドレスである第1MACアドレスを設定するためのMACアドレス設定手段と、第1MACアドレスを保存するMACアドレス保存手段と、インタフェースが有効になった際に、インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得するMACアドレス取得手段と、第1MACアドレスと第2MACアドレスとを比較し、比較結果に基づいて特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御するMACアドレス比較手段とを具備する。特定のローカルネットワークの例として、社内ネットワークが考えられる。MACアドレスは、その他の固有番号でも良い。
本発明のファイアーウォール制御方法は、事前に特定のローカルネットワークに設置された際に、特定のローカルネットワークのデフォルトゲートウェイのMACアドレスである第1MACアドレスを設定するステップと、第1MACアドレスを管理するステップと、インタフェースが有効になった際に、インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得するステップと、第1MACアドレスと第2MACアドレスとを比較し、比較結果に基づいて特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御するステップとを含む。
本発明のファイアーウォール制御プログラムは、事前に特定のローカルネットワークに設置された際に、特定のローカルネットワークのデフォルトゲートウェイのMACアドレスである第1MACアドレスを設定するステップと、第1MACアドレスを管理するステップと、インタフェースが有効になった際に、インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得するステップと、第1MACアドレスと第2MACアドレスとを比較し、比較結果に基づいて特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御するステップとをコンピュータに実行させるためのプログラムである。
装置が社内ネットワークに設置されているか、社外ネットワークに設置されているかを正確に判断し、ファイアーウォールの制御を適切に制御することが可能になり、厳重なセキュリティを保つことが可能になる。
以下に、本発明の第1実施形態について添付図面を参照して説明する。
図1を参照すると、本実施形態の通信装置10は、MACアドレス入力部11と、MACアドレス保存部12と、MACアドレス取得部13と、MACアドレス比較部14と、インタフェース15と、ファイアーウォール16と、アプリケーション17を備える。
通信装置10は、ファイアーウォール機能を有するVPN(Virtual Private Network)装置である。また、通信装置10は、NIC(Network Interface Card)等のネットワークアダプタでも良い。例えば、通信装置10は、通信用インタフェース(I/F:interface)上の半導体集積回路(IC:Integrated Circuit)でも良い。
MACアドレス入力部11は、管理者の入力操作に基づいて、社内ネットワークに通信装置10を設置した場合のデフォルトゲートウェイのMACアドレスを通信装置10に入力する。すなわち、MACアドレス入力部11は、社内ネットワークのデフォルトゲートウェイのMACアドレスを通信装置10に設定する。MACアドレス保存部12は、MACアドレス入力部11より入力されたMACアドレスを保存する。MACアドレス取得部13は、インタフェース15を介して同一のネットワーク上にあるデフォルトゲートウェイのMACアドレスを取得する。なお、MACアドレス取得部13は、インタフェース15を含んでいても良い。MACアドレス比較部14は、MACアドレス保存部12とMACアドレス取得部13のMACアドレスを比較し、通信装置10が社内ネットワークに設置されているかどうかを判定する。また、MACアドレス比較部14は、判定結果に従ってファイアーウォール16の有効無効を制御する。インタフェース15は、有効になれば、社内外のネットワークに接続する。ファイアーウォール16は、有効になれば、通信装置10のファイアーウォールとして機能する。アプリケーション17は、インタフェース15を介して、社内外のネットワークにアクセスする。
MACアドレス入力部11の例として、キーボード、ボタン、タッチパネル、タブレット(tablet)、マウス及び画面上のキーパッド等の入力装置等が考えられる。また、入力部11は、通信装置10の外部から入力を受け付ける入力用インタフェースでも良い。
MACアドレス保存部12の例として、メモリやストレージ等の記憶装置、バッファ(buffer)等の記憶領域、又は記憶媒体(メディア)等が考えられる。
MACアドレス取得部13、MACアドレス比較部14、ファイアーウォール16、及びアプリケーション17の例として、CPU(Central Processing Unit)やマイクロプロセッサ(microprocessor)等の処理装置、又は、MACアドレス取得部13、MACアドレス比較部14、ファイアーウォール16、及びアプリケーション17として機能する半導体集積回路(IC)が考えられる。或いは、MACアドレス取得部13、MACアドレス比較部14、ファイアーウォール16、及びアプリケーション17は、通信装置10を、MACアドレス取得部13、MACアドレス比較部14、ファイアーウォール16、及びアプリケーション17として機能させるためのプログラムでも良い。
インタフェース15の例として、NIC(Network Interface Card)等のネットワークアダプタや、アンテナ等の通信装置、その他の通信用インタフェース等が考えられる。ネットワークは、有線、無線を問わない。ネットワークの例として、インターネット、イントラネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、ADSL(Asymmetric Digital Subscriber Line)、CATV(ケーブルテレビ)回線、光ファイバー回線、専用線、電話回線、IrDA(Infrared Data Association)、Bluetooth(登録商標)、WiMAX、3G(第3世代携帯電話)、シリアル通信等が考えられる。但し、実際には、これらの例に限定されない。
なお、MACアドレスは、ネットワークカード毎に固有のID番号である。MACアドレスは、IEEE(Institute of Electrical and Electronic Engineers)が管理・割り当てをしている各メーカー毎に固有な番号と、メーカーが独自に各カードに割り当てる番号の組み合わせによって表される。通常、MACアドレスは、ネットワークカード等のハードウェアと一体不可分な物理アドレスであり、システム上の設定により変更することが不可能であるため、不変である。
一方、IPアドレスは、ネットワークに接続された通信機器毎に割り当てられた識別番号である。一般的に、IPアドレスは、システム上の設定により変更することが可能である。例えば、DHCP(Dynamic Host Configuration Protocol)サーバを使用して、通信機器に対して、動的にIPアドレスを割り当てる場合、通信機器がネットワークに接続する度に、異なるIPアドレスが割り当てられる。
図2に示すように、本実施形態の通信装置10は、社内ネットワーク100及び社内ネットワーク200のどちらにも設置することが可能である。社内ネットワーク100は、デフォルトゲートウェイ110を介してインターネット300に接続される。また、社外ネットワーク200は、デフォルトゲートウェイ210を介してインターネット300に接続される。
図3を参照して、本実施形態における動作について説明する。
(1)ステップS101
管理者は、通信装置10が社内ネットワーク100に設置されている場合のデフォルトゲートウェイ110のMACアドレスを予め調べて、MACアドレス入力部11から通信装置10に入力する。すなわち、MACアドレス入力部11は、事前に、管理者の入力操作に基づいて、社内ネットワーク100のデフォルトゲートウェイ110のMACアドレスを取得する。
(2)ステップS102
MACアドレス保存部12は、上記のMACアドレスをMACアドレス入力部11から受け取り、受け取ったMACアドレスを記憶する。例えば、MACアドレス保存部12は、MACアドレス入力部11からデフォルトゲートウェイ110のMACアドレスに関する通知を受け取り、通知されたMACアドレスを記憶する。ここでは、MACアドレス保存部12に記憶されたMACアドレスを、第1MACアドレスと呼ぶ。MACアドレス保存部12は、第1MACアドレスをMACアドレス比較部14に提供する。
(3)ステップS103
MACアドレス取得部13は、インタフェース15が有効になり、通信装置10が何らかのネットワークに接続された場合、デフォルトゲートウェイ110のMACアドレスを、インタフェース15を介して取得し、取得されたMACアドレスを記憶する。なお、インタフェース15は、通信装置10が何らかのネットワークに接続された場合、自動的に有効になるようにしても良い。ここでは、MACアドレス取得部13は、インタフェース15が有効になった場合、必ずデフォルトゲートウェイ110のMACアドレスを取得し直すものとする。例えば、MACアドレス取得部13は、ARP(Address Resolution Protocol)により、MACアドレスを取得する。この場合、MACアドレス取得部13は、予め設定されたデフォルトゲートウェイ110のIPアドレスに基づいて、デフォルトゲートウェイ110のMACアドレスを取得する。ここでは、MACアドレス取得部13により取得されたMACアドレスを、第2MACアドレスと呼ぶ。MACアドレス取得部13は、第2MACアドレスをMACアドレス比較部14に提供する。なお、実際には、MACアドレス保存部12が、第1MACアドレスと第2MACアドレスとを共に記憶し、MACアドレス比較部14に提供するようにしても良い。また、MACアドレス取得部13は、デフォルトゲートウェイ110のMACアドレスを、インタフェース15を介して取得できない場合、第2MACアドレスを空欄にする。
(4)ステップS104
MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとを比較し、比較結果に基づいて、通信装置10が社内ネットワーク100に設置されているかどうかを判定する。MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとが一致した場合、通信装置10が社内ネットワーク100に設置されていると判断する。MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとが一致しない場合、通信装置10が社外ネットワーク200に設置されていると判断する。MACアドレス比較部14は、判定結果に従ってファイアーウォール16の有効無効を制御する。
(5)ステップS105
MACアドレス比較部14は、通信装置10が社内ネットワーク100に設置されていると判断した場合、ファイアーウォール16を無効にして、アプリケーション17と社内ネットワーク100との間の全ての通信を許可する。
(6)ステップS106
MACアドレス比較部14は、通信装置10が社外ネットワーク200に設置されていると判断した場合、ファイアーウォール16を有効にして、アプリケーション17と社外ネットワーク200との間の全ての通信を許可しない。
図4を参照して、本実施形態におけるMACアドレスによるファイアーウォール制御の実施例について説明する。
まず、管理者は、事前に、通信装置10が社内ネットワーク100に設置されている場合に、社内ネットワーク100のデフォルトゲートウェイ110のMACアドレスを通信装置10に設定する。このとき、管理者は、デフォルトゲートウェイ110のIPアドレスも通信装置10に設定すると好適である。その後、通信装置10は、社内ネットワーク100に設置された場合、予め設定された社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスに基づいて、デフォルトゲートウェイ110にARP要求を行い、デフォルトゲートウェイ110からARP応答によりMACアドレスを受け取る。通信装置10は、管理者により設定されたMACアドレスと、ARP応答により受け取ったMACアドレスとが一致する場合、社内ネットワーク100に設置されていると判断し、ファイアーウォールを無効にする。
また、通信装置10は、社外ネットワーク200に設置された場合、予め設定された社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスに基づいて、社外ネットワーク200のデフォルトゲートウェイ210にARP要求を試みる。通信装置10は、社外ネットワーク200のデフォルトゲートウェイ210からARP応答によりMACアドレスを受け取った場合、管理者により設定されたMACアドレスと、ARP応答により受け取ったMACアドレスとが一致しないため、社外ネットワーク200に設置されていると判断し、ファイアーウォールを有効にする。なお、通信装置10は、社外ネットワーク200のデフォルトゲートウェイ210からARP応答によりMACアドレスを受け取ることができなかった場合も、社外ネットワーク200に設置されていると判断し、ファイアーウォールを有効にする。
これにより、通信装置10が社内ネットワークに設置されているか、社外ネットワークに設置されているかを正確に判断し、ファイアーウォールの制御を適切に制御することができるため、厳重なセキュリティを保つことが可能になる。また、装置が、自身の設置されている位置を判断し、ファイアーウォール機能を有効無効にする制御を自動的に行うため、セキュリティ管理が容易になる。
以下に、本発明の第2実施形態について説明する。
本実施形態では、比較対象のデフォルトゲートウェイのMACアドレス入力を、通信装置10が自動取得する。例えば、通信装置10が多数である場合、管理者が社内ネットワークのデフォルトゲートウェイのMACアドレスを手入力で全ての通信装置10に設定するのは、管理上、非常に手間なので、これを解決する。ここでは、MACアドレス入力部11の代わりに、MACアドレス自動取得部21を設ける。
図5を参照すると、本実施形態の通信装置10は、MACアドレス自動取得部21と、MACアドレス保存部12と、MACアドレス取得部13と、MACアドレス比較部14と、インタフェース15と、ファイアーウォール16と、アプリケーション17を備える。なお、MACアドレス保存部12、MACアドレス取得部13、MACアドレス比較部14、インタフェース15、ファイアーウォール16、及びアプリケーション17については、第1実施形態と同様である。
通信装置10は、ファイアーウォール機能を有するVPN(Virtual Private Network)装置である。ここでは、通信装置10は、クライアントサーバシステム(CSS:Client Server System)におけるクライアントPCとする。また、通信装置10は、クライアントPCに搭載されるNIC(Network Interface Card)等のネットワークアダプタでも良い。例えば、通信装置10は、通信用インタフェース(I/F:interface)上の半導体集積回路(IC:Integrated Circuit)でも良い。
MACアドレス自動取得部21は、社内ネットワークに通信装置10を設置した場合のデフォルトゲートウェイのMACアドレスを自動的に取得する。すなわち、MACアドレス自動取得部21は、社内ネットワークのデフォルトゲートウェイのMACアドレスを通信装置10に設定する。ここでは、MACアドレス自動取得部21は、社内ネットワーク上のサーバ20に接続された際、サーバ20が保持するデフォルトゲートウェイのMACアドレスの情報を自動的に取得する。このとき、MACアドレス自動取得部21は、社内ネットワーク上の少なくとも1つのサーバ20の所在を特定するためのローカルアドレス等の情報を有しているものとする。
MACアドレス自動取得部21の例として、CPU(Central Processing Unit)やマイクロプロセッサ(microprocessor)等の処理装置、又は、MACアドレス自動取得部21として機能する半導体集積回路(IC)が考えられる。或いは、MACアドレス自動取得部21は、通信装置10を、MACアドレス自動取得部21として機能させるためのプログラムでも良い。
図6に示すように、本実施形態の通信装置10は、社内ネットワーク100及び社内ネットワーク200のどちらにも設置することが可能である。サーバ20は、社内ネットワーク100に設置されている。通信装置10及びサーバ20は、社内ネットワーク100内で通信可能である。社内ネットワーク100は、デフォルトゲートウェイ110を介してインターネット300に接続される。また、社外ネットワーク200は、デフォルトゲートウェイ210を介してインターネット300に接続される。
図7を参照して、本実施形態における動作について説明する。
(1)ステップS201
管理者は、社内ネットワーク100上のサーバ20に、社内ネットワーク100におけるデフォルトゲートウェイ110のIPアドレスを設定する。
(2)ステップS202
サーバ20は、デフォルトゲートウェイ110のIPアドレスを設定された際、ARP等の方法を使ってデフォルトゲートウェイ110のMACアドレスを取得する。なお、サーバ20は、周期的に、デフォルトゲートウェイ110のMACアドレスを取得するようにしても良い。
(3)ステップS203
MACアドレス自動取得部21は、通信装置10が社内ネットワーク100に接続された際、社内ネットワーク100上のサーバ20からネットワークの情報を取得すると同時に、デフォルトゲートウェイ110のMACアドレスを取得できるか判定する。このとき、MACアドレス自動取得部21は、通信装置10が何らかのネットワークに接続された際、社内ネットワーク100上のサーバ20への接続を試み、サーバ20に接続できた場合、通信装置10が社内ネットワーク100に接続されたと判断するようにしても良い。
(4)ステップS204
MACアドレス自動取得部21は、サーバ20からデフォルトゲートウェイ110のMACアドレスを取得できない場合、サーバ20に対して、デフォルトゲートウェイ110のMACアドレスを取得するように指示する。
(5)ステップS205
MACアドレス自動取得部21は、サーバ20に対する指示の応答として、サーバ20からデフォルトゲートウェイ110のMACアドレスを取得できるか判定する。
(6)ステップS206
MACアドレス自動取得部21は、サーバ20に対する指示の応答として、サーバ20からデフォルトゲートウェイ110のMACアドレスを取得できない場合、MACアドレス比較部14に対して、ファイアーウォール16を有効にするように指示する。
(7)ステップS207
MACアドレス自動取得部21は、サーバ20からデフォルトゲートウェイ110のMACアドレスを取得できる場合、デフォルトゲートウェイ110のMACアドレスを取得する。MACアドレス自動取得部21により取得されたMACアドレスを、第3MACアドレスと呼ぶ。第3MACアドレスは、第1実施形態における第1MACアドレスに相当する。このとき、MACアドレス保存部12が、第3MACアドレスを記憶しても良い。なお、MACアドレス自動取得部21は、一度でも第3MACアドレスを取得したことがあれば、第3MACアドレスを取得する処理を行わなくても良い。但し、実際には、MACアドレス自動取得部21は、通信装置10が何らかのネットワークに接続される毎に、第3MACアドレスを取得するようにしても良い。
(8)ステップS208
MACアドレス取得部13は、インタフェース15が有効となり、通信装置10が何らかのネットワークに接続された際、当該ネットワークのデフォルトゲートウェイのMACアドレスを、インタフェース15を介して取得し、取得されたMACアドレスを記憶する。ここでは、デフォルトゲートウェイは、デフォルトゲートウェイ110又はデフォルトゲートウェイ210となる。MACアドレス取得部13により取得されたMACアドレスは、第2MACアドレスである。このとき、MACアドレス保存部12が、第2MACアドレスを記憶しても良い。また、MACアドレス取得部13は、デフォルトゲートウェイ110のMACアドレスを、インタフェース15を介して取得できない場合、第2MACアドレスを空欄にする。
(9)ステップS209
MACアドレス比較部14は、第2MACアドレスと第3MACアドレスとを共に参照できるようになれば、第2MACアドレスと第3MACアドレスとを比較する。
(10)ステップS210
MACアドレス比較部14は、社内ネットワーク100に設置されていれば、第2MACアドレスと第3MACアドレスとが一致するので、ファイアーウォール16を無効にする。
(11)ステップS211
MACアドレス比較部14は、社外ネットワーク200に設置されていれば、第2MACアドレスと第3MACアドレスとが一致しないので、ファイアーウォール16を有効にする。なお、MACアドレス比較部14は、第2MACアドレスと第3MACアドレスとがどちらも空欄である場合も、社外ネットワーク200に設置されていると判断し、ファイアーウォール16を有効にする。
図8を参照して、本実施形態におけるMACアドレスによるファイアーウォール制御の実施例について説明する。
まず、管理者は、事前に、社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスを、社内ネットワーク100に設置されているサーバ20に設定する。サーバ20は、管理者により設定された社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスに基づいて、デフォルトゲートウェイ110にARP要求を行い、デフォルトゲートウェイ110からARP応答によりMACアドレスを受け取る。通信装置10は、社内ネットワーク100に設置された場合、サーバ20に情報取得要求を行い、サーバ20から情報取得応答としてデフォルトゲートウェイ110のMACアドレスを受け取る。また、通信装置10は、予め設定された社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスに基づいて、デフォルトゲートウェイ110にARP要求を行い、デフォルトゲートウェイ110からARP応答によりMACアドレスを受け取る。管理者は、事前に、社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスを通信装置10に設定していると好適である。通信装置10は、サーバ20から受け取ったMACアドレスと、ARP応答により受け取ったMACアドレスとが一致する場合、社内ネットワーク100に設置されていると判断し、ファイアーウォールを無効にする。
その後、通信装置10は、社外ネットワーク200に設置された場合、予め設定された社内ネットワーク100のデフォルトゲートウェイ110のIPアドレスに基づいて、社外ネットワーク200のデフォルトゲートウェイ210にARP要求を試みる。通信装置10は、社外ネットワーク200のデフォルトゲートウェイ210からARP応答によりMACアドレスを受け取った場合、サーバ20から受け取ったMACアドレスと、ARP応答により受け取ったMACアドレスとが一致しないため、社外ネットワーク200に設置されていると判断し、ファイアーウォールを有効にする。なお、通信装置10は、サーバ20から受け取ったMACアドレスを有していない場合や、社外ネットワーク200のデフォルトゲートウェイ210からARP応答によりMACアドレスを受け取ることができなかった場合も、社外ネットワーク200に設置されていると判断し、ファイアーウォールを有効にする。
なお、本実施形態において、社内ネットワーク100上のサーバ20は、管理者により予め入力されたデフォルトゲートウェイ110のMACアドレスを記憶していても良い。また、実際には、社内ネットワーク100上のサーバ20は、既に社内ネットワーク100上に設置されている他の通信装置10でも良い。例えば、第1実施形態により社内ネットワーク100に設置されていると確認済みの通信装置10を、サーバ20として扱うことが考えられる。
以下に、本発明の第3実施形態について説明する。
本実施形態では、比較対象のデフォルトゲートウェイのMACアドレス入力を複数個、管理者が設定する。通常、デフォルトゲートウェイは1つであるので、MACアドレスを自動取得できるデフォルトゲートウェイは1つのみとして、2つ目以降の登録するMACアドレスはMACアドレスを管理者が直接指定する。2つ目以降の登録するMACアドレスを社内ネットワークの異なるセグメントにおけるデフォルトゲートウェイのMACアドレスとすれば、ファイアーウォール機能が有効にならずに、社内ネットワークの部署間移動ができる。
図9を参照すると、本実施形態の通信装置10は、MACアドレス入力部11と、MACアドレス自動取得部21と、MACアドレス保存部12と、MACアドレス取得部13と、MACアドレス比較部14と、インタフェース15と、ファイアーウォール16と、アプリケーション17を備える。なお、MACアドレス入力部11、MACアドレス自動取得部21、MACアドレス保存部12、MACアドレス取得部13、MACアドレス比較部14、インタフェース15、ファイアーウォール16、及びアプリケーション17については、第1及び第2実施形態と同様である。
図10を参照して、本実施形態における動作について説明する。
(1)ステップS301
MACアドレス自動取得部21は、MACアドレス保存部12を参照し、MACアドレスが少なくとも1つ設定されているかどうか調べる。
(2)ステップS302
MACアドレス自動取得部21は、MACアドレスが全く設定されていない場合、通信装置10が社内ネットワーク100に接続された際、社内ネットワーク100上のサーバ20から第3MACアドレスを取得し、MACアドレス保存部12に記憶する。このとき、MACアドレス保存部12は、第3MACアドレスに対応するデフォルトゲートウェイ110のIPアドレスを記憶すると好適である。なお、第3MACアドレスを取得する際の具体的な動作については、第2実施形態(図7のステップS201〜ステップS207)と同様である。
(3)ステップS303
MACアドレス自動取得部21は、MACアドレスが少なくとも1つ設定されている場合、社内ネットワーク100上のサーバ20から第3MACアドレスを取得しない。MACアドレス入力部11は、MACアドレスが少なくとも1つ設定されている場合、管理者の入力操作に基づいて、第1MACアドレスを取得し、MACアドレス保存部12に記憶する。このとき、MACアドレス保存部12は、第1MACアドレスに対応するデフォルトゲートウェイ110のIPアドレスを記憶すると好適である。なお、MACアドレス保存部12は、第3MACアドレスを記憶するまで、第1MACアドレスを記憶しないようにしても良い。例えば、MACアドレス保存部12は、第3MACアドレスを記憶した際にMACアドレスのリストを作成し、リスト作成後に入力された第1MACアドレスをリストに追加するようにする。第1MACアドレスは、複数でも良い。なお、第1MACアドレスを取得する際の具体的な動作については、第1実施形態(図3のステップS101、ステップS102)と同様である。
(4)ステップS304
MACアドレス取得部13は、インタフェース15が有効となり、通信装置10が何らかのネットワークに接続された際、当該ネットワークのデフォルトゲートウェイのMACアドレスを、インタフェース15を介して取得し、取得されたMACアドレスを記憶する。ここでは、デフォルトゲートウェイは、デフォルトゲートウェイ110又はデフォルトゲートウェイ210となる。MACアドレス取得部13により取得されたMACアドレスは、第2MACアドレスである。このとき、MACアドレス保存部12が、第2MACアドレスを記憶しても良い。また、MACアドレス取得部13は、デフォルトゲートウェイ110のMACアドレスを、インタフェース15を介して取得できない場合、第2MACアドレスを空欄にする。
(5)ステップS305
MACアドレス比較部14は、第2MACアドレスと第3MACアドレスとを共に参照できるようになれば、第2MACアドレスと第3MACアドレスとを比較する。
(6)ステップS306
MACアドレス比較部14は、第2MACアドレスと第3MACアドレスとが一致する場合、社内ネットワーク100に設置されていると判断し、ファイアーウォール16を無効にする。
(7)ステップS307
MACアドレス比較部14は、第2MACアドレスと第3MACアドレスとが一致しない場合、第1MACアドレスと第2MACアドレスとを比較する。
(8)ステップS308
MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとが一致する場合、社内ネットワーク100に設置されていると判断し、ファイアーウォール16を無効にする。
(9)ステップS309
MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとが一致しない場合、社外ネットワーク200に設置されていると判断し、ファイアーウォール16を有効にする。なお、MACアドレス比較部14は、第1MACアドレスと第2MACアドレスとがどちらも空欄である場合も、社外ネットワーク200に設置されていると判断し、ファイアーウォール16を有効にする。
以下に、本発明の第4実施形態について説明する。
本実施形態では、デフォルトゲートウェイのMACアドレスを定期的に更新する機能を付与する。通常、デフォルトゲートウェイは、ある一意のIPアドレスが付与されるのが通例であり、故障などの理由でデフォルトゲートウェイが交換される場合、IPアドレスは変更されないが、MACアドレスは変更されてしまう。このような場合、社内ネットワークに設置されたとしても、社外ネットワークに設置されたと判断されファイアーウォール機能が有効になってしまう。そこで、サーバは定期的にデフォルトゲートウェイのMACアドレスを更新しておき、通信装置10が定期的にデフォルトゲートウェイのMACアドレスをサーバから取得することで、上記のような誤動作を防ぐことができる。
本実施形態の通信装置10は、第2実施形態と同様である。本実施形態において、MACアドレス自動取得部21は、デフォルトゲートウェイのMACアドレスを定期的に取得し、取得されたMACアドレスに基づいて、MACアドレス保存部12に記憶されたデフォルトゲートウェイのMACアドレスを更新する。MACアドレス自動取得部21により取得されたMACアドレスは、第3MACアドレスである。なお、MACアドレス自動取得部21が第3MACアドレスを取得する周期は、任意である。例えば、MACアドレス自動取得部21は、所定の時刻(毎日12時等)、或いは所定の間隔(2時間毎等)で、第3MACアドレスを取得し、MACアドレス保存部12に記憶された第3MACアドレスを更新する。
以下に、本発明の第5実施形態について説明する。
本実施形態では、IPアドレスによる判定方法との複合動作を行う。例えば、IPアドレスによる判定方法とMACアドレスによる判定方法を複合させることにより、VRRP(Virtual Router Redundancy Protocol)環境でも動作させることができる。VRRP環境では、仮想MACアドレスが特定のプリフィクスとVRRPID(通常1オリジン)を連結したMACアドレスを付与されている仕様であるため、社内ネットワークでVRRPを構築しており、社外ネットワークでもVRRPを構築している場合、同一のMACアドレスとなる可能性が高く、社外ネットワークに設置されたとしても、社内ネットワークと誤判定されてファイアーウォール機能が無効になりセキュリティが低下する場合がある。これを回避するため、MACアドレス判定方式に加えてIPアドレス方式を判断基準に加えることで、MACアドレスが一致していてもIPアドレスが異なる場合には社外ネットワークに設置されていると正確に判断可能である。
なお、VRRPは、ルータの多重化を行うためのプロトコルである。VRRP環境下では、複数のルータを1つのグループに所属させ、通常はそのうち1つのルータが通信を行なうが、そのルータが障害を起こした時に同グループに属するルータが自動的に通信を受け継ぐ。VRRPIDは、VRRP環境下のグループを識別するためのID番号である。
本発明の各実施形態は、組み合わせて実施することも可能である。
このように、本発明では、通信装置が、通信装置を設置したネットワークのデフォルトゲートウェイのMACアドレスと、事前に登録した特定のローカルネットワークのデフォルトゲートウェイのMACアドレスとを比較する。一致した場合、通信装置が特定のローカルネットワークに接続されていると判定して通信装置のファイアーウォール機能を無効にし、通信装置からインターネットへの直接アクセスを可能にする。一致しない場合、通信装置が他のネットワークに接続されていると判定して通信装置のファイアーウォール機能を有効にし、通信装置とインターネットとの間の直接アクセスを不可能にする。
例えば、本発明は、VPN(Virtual Private Network)装置のファイアーウォール機能を有効無効にする制御において、装置が設置されている位置(特定のローカルネットワークに接続されているか、又は他のネットワークに接続されているか)を、装置が設置されているネットワークのデフォルトゲートウェイのMACアドレスを基に正確に判断し、装置が社外ネットワークに接続されている場合に、装置からのインターネットへの直接アクセスを正確に禁止するための制御方式を提供する。
以上のように、本発明は、デフォルトゲートウェイのMACアドレスをファイアーウォールの判定条件にすることを特徴とする。また、本発明は、デフォルトゲートウェイのMACアドレスをサーバが自動的に取得することを特徴とする。更に、本発明は、サーバが取得したMACアドレスをクライアントPCが自動的に取得することを特徴とする。
ここでは、デフォルトゲートウェイを利用する事例について説明している。但し、実際には、デフォルトゲートウェイを利用する事例に限定されない。例えば、ルータ、プロキシ(proxy)、DNSサーバ(Domain Name Server)、基地局、又はアクセスポイント等を利用する事例も考えられる。すなわち、本発明は、通信装置が社内ネットワークに設置された際に必ずアクセスする社内ネットワーク上のネットワーク機器を利用することで実施可能である。
また、MACアドレスの代わりに、デフォルトゲートウェイ等のハードウェアやソフトウェアの製造番号やシリアルナンバー(serial number)のように、ハードウェアやソフトウェア毎に固有の番号を使用する事例も考えられる。この場合、通信装置がデフォルトゲートウェイ等のハードウェアやソフトウェア毎に固有の番号を取得できるようにする。
図1は、本発明の第1実施形態の通信装置の構成例を示すブロック図である。 図2は、本発明の第1実施形態のシステム構成図である。 図3は、本発明の第1実施形態における動作を示すフローチャートである。 図4は、MACアドレスによるファイアーウォール制御の第1の実施例を示すシーケンス図である。 図5は、本発明の第2実施形態の通信装置の構成例を示すブロック図である。 図6は、本発明の第2実施形態のシステム構成図である。 図7は、本発明の第2実施形態における動作を示すフローチャートである。 図8は、MACアドレスによるファイアーウォール制御の第2の実施例を示すシーケンス図である。 図9は、本発明の第3実施形態の通信装置の構成例を示すブロック図である。 図10は、本発明の第3実施形態における動作を示すフローチャートである。
符号の説明
10… 通信装置
11… MACアドレス入力部
12… MACアドレス保存部
13… MACアドレス取得部
14… MACアドレス比較部
15… インタフェース
16… ファイアーウォール
17… アプリケーション
20… サーバ
21… MACアドレス自動取得部
100… 社内ネットワーク
110… デフォルトゲートウェイ
200… 社内ネットワーク
210… デフォルトゲートウェイ
300… インターネット

Claims (12)

  1. 特定のローカルネットワークに設置された際に、前記特定のローカルネットワークのデフォルトゲートウェイから前記デフォルトゲートウェイのMACアドレスである第1MACアドレスを取得したサーバと通信し、前記サーバから前記第1MACアドレスを取得して設定するMACアドレス設定手段と、
    前記第1MACアドレスを保存するMACアドレス保存手段と、
    インタフェースが有効になった際に、前記インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得するMACアドレス取得手段と、
    前記第1MACアドレスと前記第2MACアドレスとを比較し、比較結果に基づいて前記特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御するMACアドレス比較手段と
    を具備する
    通信装置。
  2. 請求項1に記載の通信装置であって、
    前記MACアドレス設定手段は、前記サーバから前記第1MACアドレスを取得できない場合、前記サーバに対して、前記デフォルトゲートウェイのMACアドレスを取得するように指示し、前記サーバに対する指示の応答として、前記サーバから前記デフォルトゲートウェイのMACアドレスを取得できない場合、前記MACアドレス比較手段に対して、ファイアーウォールを有効にするように指示する
    通信装置。
  3. 請求項1又は2に記載の通信装置であって、
    前記MACアドレス設定手段は、前記第1MACアドレスが全く設定されていなければ、前記サーバから前記第1MACアドレスを取得して設定し、前記第1MACアドレスが少なくとも1つ設定されていれば、管理者の入力操作に応じて、前記第1MACアドレスを設定する
    通信装置。
  4. 請求項1乃至のいずれか一項に記載の通信装置であって、
    前記MACアドレス比較手段は、前記第1MACアドレス及び前記第2MACアドレスのうち少なくとも一方が参照できない場合、前記特定のローカルネットワークに設置されていないと判断し、ファイアーウォールを有効にする
    通信装置。
  5. コンピュータにより実施されるファイアーウォール制御方法であって、
    特定のローカルネットワークに設置された際に、前記特定のローカルネットワークのデフォルトゲートウェイから前記デフォルトゲートウェイのMACアドレスである第1MACアドレスを取得したサーバと通信し、前記サーバから前記第1MACアドレスを取得して設定することと、
    前記第1MACアドレスを管理することと、
    インタフェースが有効になった際に、前記インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得することと、
    前記第1MACアドレスと前記第2MACアドレスとを比較し、比較結果に基づいて前記特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御すること
    を含む
    ファイアーウォール制御方法。
  6. 請求項5に記載のファイアーウォール制御方法であって、
    前記サーバから前記第1MACアドレスを取得できない場合、前記サーバに対して、前記デフォルトゲートウェイのMACアドレスを取得するように指示することと、
    前記サーバに対する指示の応答として、前記サーバから前記デフォルトゲートウェイのMACアドレスを取得できない場合、ファイアーウォールを有効にすること
    を更に含む
    ファイアーウォール制御方法。
  7. 請求項5又は6に記載のファイアーウォール制御方法であって、
    前記第1MACアドレスが全く設定されていなければ、前記サーバから前記第1MACアドレスを取得して設定し、前記第1MACアドレスが少なくとも1つ設定されていれば、管理者の入力操作に応じて、前記第1MACアドレスを設定すること
    を更に含む
    ファイアーウォール制御方法。
  8. 請求項5乃至7のいずれか一項に記載のファイアーウォール制御方法であって、
    前記第1MACアドレス及び前記第2MACアドレスのうち少なくとも一方が参照できない場合、前記特定のローカルネットワークに設置されていないと判断し、ファイアーウォールを有効にすること
    を更に含む
    ファイアーウォール制御方法。
  9. 特定のローカルネットワークに設置された際に、前記特定のローカルネットワークのデフォルトゲートウェイから前記デフォルトゲートウェイのMACアドレスである第1MACアドレスを取得したサーバと通信し、前記サーバから前記第1MACアドレスを取得して設定するステップと、
    前記第1MACアドレスを管理するステップと、
    インタフェースが有効になった際に、前記インタフェースを介して同一ネットワーク上にあるデフォルトゲートウェイのMACアドレスである第2MACアドレスを取得するステップと、
    前記第1MACアドレスと前記第2MACアドレスとを比較し、比較結果に基づいて前記特定のローカルネットワークに設置されているかどうかを判定し、判定結果に従ってファイアーウォールの有効無効を制御するステップと
    をコンピュータに実行させるための
    ファイアーウォール制御プログラム。
  10. 請求項9に記載のファイアーウォール制御プログラムであって、
    前記サーバから前記第1MACアドレスを取得できない場合、前記サーバに対して、前記デフォルトゲートウェイのMACアドレスを取得するように指示するステップと、
    前記サーバに対する指示の応答として、前記サーバから前記デフォルトゲートウェイのMACアドレスを取得できない場合、ファイアーウォールを有効にするステップと
    を更にコンピュータに実行させるための
    ファイアーウォール制御プログラム。
  11. 請求項9又は10に記載のファイアーウォール制御プログラムであって、
    前記第1MACアドレスが全く設定されていなければ、前記サーバから前記第1MACアドレスを取得して設定し、前記第1MACアドレスが少なくとも1つ設定されていれば、管理者の入力操作に応じて、前記第1MACアドレスを設定するステップ
    を更にコンピュータに実行させるための
    ファイアーウォール制御プログラム。
  12. 請求項9乃至11のいずれか一項に記載のファイアーウォール制御プログラムであって、
    前記第1MACアドレス及び前記第2MACアドレスのうち少なくとも一方が参照できない場合、前記特定のローカルネットワークに設置されていないと判断し、ファイアーウォールを有効にするステップ
    を更にコンピュータに実行させるための
    ファイアーウォール制御プログラム。
JP2008027093A 2008-02-06 2008-02-06 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム Expired - Fee Related JP4487150B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008027093A JP4487150B2 (ja) 2008-02-06 2008-02-06 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム
US12/362,327 US8239931B2 (en) 2008-02-06 2009-01-29 Communication apparatus, a firewall control method, and a firewall control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008027093A JP4487150B2 (ja) 2008-02-06 2008-02-06 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム

Publications (2)

Publication Number Publication Date
JP2009188771A JP2009188771A (ja) 2009-08-20
JP4487150B2 true JP4487150B2 (ja) 2010-06-23

Family

ID=40933086

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008027093A Expired - Fee Related JP4487150B2 (ja) 2008-02-06 2008-02-06 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム

Country Status (2)

Country Link
US (1) US8239931B2 (ja)
JP (1) JP4487150B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924524B2 (en) 2009-07-27 2014-12-30 Vmware, Inc. Automated network configuration of virtual machines in a virtual lab data environment
US8619771B2 (en) 2009-09-30 2013-12-31 Vmware, Inc. Private allocated networks over shared communications infrastructure
US8195774B2 (en) 2008-05-23 2012-06-05 Vmware, Inc. Distributed virtual switch for virtualized computer systems
CN101997715A (zh) * 2009-08-25 2011-03-30 鸿富锦精密工业(深圳)有限公司 一种网关的软件升级管理方法
US8351340B2 (en) * 2010-04-14 2013-01-08 Honeywell International Inc. Method for detecting a proxy ARP agent in secure networks having embedded controllers
US9164795B1 (en) * 2012-03-30 2015-10-20 Amazon Technologies, Inc. Secure tunnel infrastructure between hosts in a hybrid network environment
US9928107B1 (en) 2012-03-30 2018-03-27 Amazon Technologies, Inc. Fast IP migration in a hybrid network environment
JP6142544B2 (ja) * 2013-01-22 2017-06-07 富士通株式会社 設定方法、通信システムおよび通信装置
JP5914387B2 (ja) * 2013-03-04 2016-05-11 西日本電信電話株式会社 端末識別装置
KR101945886B1 (ko) * 2014-06-27 2019-02-11 노키아 솔루션스 앤드 네트웍스 오와이 계층-2 스위칭에 기초한 초고속 모바일 네트워크
JP6872352B2 (ja) 2016-11-22 2021-05-19 京セラ株式会社 電子機器、制御装置、制御プログラム及び電子機器の動作方法
JP6655527B2 (ja) 2016-11-25 2020-02-26 京セラ株式会社 電子機器、制御装置、制御プログラム及び電子機器の動作方法
JP6713943B2 (ja) 2016-11-25 2020-06-24 京セラ株式会社 電子機器、制御装置、制御プログラム及び電子機器の動作方法
WO2018096942A1 (ja) * 2016-11-25 2018-05-31 京セラ株式会社 電子機器、制御装置、制御プログラム及び電子機器の動作方法
CN108513716B (zh) * 2017-02-25 2020-08-07 华为技术有限公司 建立连接的方法、装置和终端
US10637800B2 (en) 2017-06-30 2020-04-28 Nicira, Inc Replacement of logical network addresses with physical network addresses
US10681000B2 (en) 2017-06-30 2020-06-09 Nicira, Inc. Assignment of unique physical network addresses for logical network addresses
JP7016737B2 (ja) * 2018-03-16 2022-02-07 Dynabook株式会社 電子機器、制御方法及びプログラム
JP7049885B2 (ja) * 2018-03-28 2022-04-07 株式会社ネットリソースマネジメント 接続先判定装置、接続先判定プログラムおよび接続先判定システム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3775378B2 (ja) 2002-11-20 2006-05-17 日本電気株式会社 動的ipアドレス割り当てに対応したファイアウォールシステム
JP2004304371A (ja) 2003-03-28 2004-10-28 Fujitsu Ltd レイヤ2のスイッチング装置
JP4510593B2 (ja) 2004-11-08 2010-07-28 株式会社エヌ・ティ・ティ・データ 機器認証装置およびコンピュータプログラム
US20100154049A1 (en) 2005-07-08 2010-06-17 Nec Corporation Terminal, security setting method, and program thereof

Also Published As

Publication number Publication date
US8239931B2 (en) 2012-08-07
JP2009188771A (ja) 2009-08-20
US20090199291A1 (en) 2009-08-06

Similar Documents

Publication Publication Date Title
JP4487150B2 (ja) 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム
EP3171556B1 (en) Method and apparatus for setting network rule entry
US7529810B2 (en) DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method
US8971342B2 (en) Switch and flow table controlling method
JP3612528B2 (ja) パラメータ設定システム
KR100704391B1 (ko) 단말장치의 액세스 관리장치, 프로그램을 저장하는 컴퓨터 판독가능 매체 및 원격기동방법
US20190379745A1 (en) Method and apparatus for dynamic destination address control in a computer network
KR20150030099A (ko) 주소 결정 시스템 및 방법
CN107809386B (zh) Ip地址转换方法、路由设备和通信系统
US20210211404A1 (en) Dhcp snooping with host mobility
WO2017206701A1 (zh) 访问控制方法及家庭网关
JP2018133692A (ja) 通信装置及びシステム及び方法
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP2017130963A (ja) ネットワーク装置、及び、通信方法
JP6114214B2 (ja) ネットワーク装置、及び、通信方法
JP4753194B2 (ja) Ip電話装置、ip電話システムおよび設定確認方法
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP2009517938A (ja) ネットワークアドレス変換を自動的に実行するローカルネットワークで実行するアプリケーションを検出する装置及び方法
US20030053421A1 (en) Method and apparatus for transferring packets in network
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
US20080104689A1 (en) Method for controlling access to a network in a communication system
JP4290526B2 (ja) ネットワークシステム
JP2006020089A (ja) 端末装置、vpn接続制御方法、及び、プログラム
JP4252041B2 (ja) Dhcp情報管理システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100308

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100316

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140409

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees