JP4518070B2 - パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置 - Google Patents

パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置 Download PDF

Info

Publication number
JP4518070B2
JP4518070B2 JP2006315710A JP2006315710A JP4518070B2 JP 4518070 B2 JP4518070 B2 JP 4518070B2 JP 2006315710 A JP2006315710 A JP 2006315710A JP 2006315710 A JP2006315710 A JP 2006315710A JP 4518070 B2 JP4518070 B2 JP 4518070B2
Authority
JP
Japan
Prior art keywords
packet
rules
verification
filter
attributes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006315710A
Other languages
English (en)
Other versions
JP2008131463A (ja
Inventor
俊洋 木村
裕昭 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2006315710A priority Critical patent/JP4518070B2/ja
Publication of JP2008131463A publication Critical patent/JP2008131463A/ja
Application granted granted Critical
Publication of JP4518070B2 publication Critical patent/JP4518070B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ルータ等のネットワーク機器に設定されるパケットフィルタの設定を検証するための検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置に関し、パケットフィルタの設定の検証を網羅的にかつ効率よく行えるようにしたものである。
パケットフィルタはルータ等のネットワーク機器に設定されて、該ネットワーク機器に入力されるパケットのヘッダ情報をチェックして、該パケットを通過または破棄する処理を行うものである。パケットフィルタは一般に該ネットワーク機器のWAN側でフィルタ処理を行うフィルタルール(WAN側フィルタ)とLAN側でフィルタ処理を行うフィルタルール(LAN側フィルタ)が設定されている。また、WAN側フィルタおよびLAN側フィルタにはWAN側からLAN側に向けて送信されるパケットに対するフィルタルールと、LAN側からWAN側に向けて送信されるパケットに対するフィルタルールがそれぞれ設定されている。パケットフィルタは多くの場合ヘッダ情報に含まれている次の内容(パケットの属性)をチェックする。以下これらのチェック項目を「判定条件」という。
・始点(送信元)IPアドレス(source address)
・始点(送信元)ポート番号(source port)
・プロトコル(protocol)
・終点(受信先)IPアドレス(destination address)
・終点(受信先)ポート番号(destination port)
典型的なパケットフィルタの設定は、複数のルールを順番に並べたものである。ここで「ルール」とは「判定条件」と「動作」の組み合わせである。「判定条件」については、1つのルールで複数の値を指定できるのが普通である。例えば始点ポート番号としては「1024〜65535」のように数値範囲(あるいは数値の列挙)で指定できる。この数値範囲の指定例では始点ポート番号が1024であっても1025であってもこの判定条件に一致する(つまり1024〜65535の範囲に属している)ことになる。「動作」は「通過(pass)」または「破棄(reject)」である。
パケットフィルタ処理は多くの場合パケットを受信するたびに図2に示す処理を実行する。すなわち1つのパケットを受信すると(S0)、該パケットに付されているヘッダ情報に含まれている属性情報と最初のルール1の判定条件とが比較され、該パケットがこの判定条件に一致するかどうかが判定される(S1)。判定の結果一致していれば、このルール1で設定された動作に従い該パケットは通過または破棄され(S1a)、そこで処理を終了する。一致しない場合は、次のルール2に進み、同様に判定および処理(S2,S3)が実行される。そして最後のルールnまで進んで同様に判定および処理(Sn,Sna)が実行された結果、ルール1〜nのいずれにも一致しなかった場合は、該パケットはデフォルトルールに従って通過または破棄されて、処理を終了する(Sn+1)。このようにして、各受信パケットについて判定条件に一致するまで(一致しない場合は最後のルールnまで)、各ルール1〜nについて順番に判定される。
パケットフィルタには使用者により数多くのルールが設定される場合があり、ルールの順番を間違えて設定したり、矛盾する(相容れない)複数のルールを設定したりすることによる設定ミスが発生しやすい。そこで、パケットフィルタにルールを設定した後、該パケットフィルタが使用者の意図したとおりに設定されているかどうかを検証する必要がある。
パケットフィルタが使用者の意図したとおりに設定されているかどうかを検証するために、従来よりダミーのパケット(検証パケット)を発生させパケットフィルタに入力して、該パケットフィルタの挙動を調べることが行われている。そして、この検証のためにポートスキャンという技術が用いられている。ポートスキャンは、例えばWAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールについて設定を検証する場合、プロトコル(TCP、UDP等)、始点IPアドレス(相手側のグローバルIPアドレス)、始点ポート番号(相手側のポート番号)、終点IPアドレス(自分側のグローバルIPアドレス)をそれぞれ固定設定しかつ終点ポート番号(自分側のポート番号)を例えば0〜65535の全範囲で変化させた検証パケットを順次発生させてパケットフィルタに入力し、パケットが通過する終点ポート番号を洗い出すことにより行われる。使用者は、この洗い出された終点ポート番号から、自己のネットワーク機器に設定されているパケットフィルタの、WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールが自分の意図したとおりに設定されているかどうかを検証することができる。なお、ポートスキャンを利用してパケットフィルタの設定を検証することを記載した文献として下記非特許文献1がある。
「サーバ管理者のためのポート番号早引き・活用辞典」持丸浩二郎著、日本実業出版社、2003年6月1日発行、P.61〜64
WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールの設定を検証するためのポートスキャンは、一般的には前述のようにプロトコル、始点IPアドレス、始点ポート番号、終点IPアドレスをそれぞれ固定設定しかつ終点ポート番号を所定範囲(例えば0〜65535)で変化させた検証パケットを順次発生させることにより行われる。ところが、始点IPアドレスと始点ポート番号の組み合わせは様々であり、この組み合わせによってはポートスキャンの結果が異なる可能性がある。例えば或る端末(1つの始点IPアドレスと始点ポート番号の組み合わせ)から送信されたパケットは或る終点IPアドレスの或る終点ポート番号で破棄されても、他の端末(他の1つの始点IPアドレスと始点ポート番号の組み合わせ)から送信されたパケット(始点IPアドレスおよび始点ポート番号以外の属性は先と同じパケット)は同終点IPアドレスの同終点ポート番号を通過する可能性がある。このようなケースでは、特定の始点IPアドレスと始点ポート番号の組み合わせについてポートスキャンしただけでは、WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールの設定を網羅的に検証したことにはならない。一方、始点IPアドレスおよび始点ポート番号の組み合わせとして取り得る範囲をすべて検証するには、248通り(始点IPアドレス232通り×始点ポート番号216通り)の組み合わせを調べなければならず、ポートスキャンに膨大な時間がかかり現実的ではない。
この発明は上述の点に鑑みてなされたもので、判定条件の組み合わせとして取り得る範囲のすべてを検証しなくてもパケットフィルタの設定を網羅的に検証できるようにして、パケットフィルタの設定の検証を網羅的にかつ効率よく行えるようにした検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置を提供しようとするものである。
この発明の検証パケット発生方法は、パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを設定したパケットフィルタについて、適宜の複数のルール(例えばパケットフィルタに設定される全ルールのうち同一方向へ通信されるパケットに適用されかつ判定条件に含まれる少なくとも1つの属性がルール相互間で共通に設定されている全ルール)の設定を検証するための検証パケットを発生する方法であって、パケットの適宜の複数の属性の組み合わせによる集合について、その全体集合の中で前記適宜の複数のルールが単独で該当する個々の領域、該適宜の複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該適宜の複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択し、該適宜の複数の属性の組み合わせを該選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに他の属性を順次変化させて設定した検証パケットを順次発生するようにしたものである。検証パケットのルール相互間で共通の属性(前記適宜の複数の属性および前記他の属性以外の属性)は該共通の属性に固定設定することができる。
この発明によれば、前記各領域内ではいずれのサンプル点を用いてもパケットフィルタに対するパケット(該サンプル点以外の属性が同じであるパケット)の通過、破棄の結果は同じになるので、該各領域ごとに選択したサンプル点について検証パケットを発生することにより、限られた数の検証パケットで該パケットフィルタの設定を網羅的に検証することができ、該パケットフィルタの設定の検証を網羅的にかつ効率よく行うことができる。
この発明の検証パケット発生方法は、例えばWAN側フィルタの全ルールのうちWAN側からLAN側へ通信されるパケットに適用されかつプロトコルおよび終点IPアドレスがルール相互間で共通に設定されている複数のルールの設定を検証する場合は、始点IPアドレスと始点ポート番号の組み合わせによる集合について、その全体集合の中で前記検証対象の複数のルールが単独で該当する個々の領域、該複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択し、プロトコルと終点IPアドレスを前記ルール相互間で共通に設定されている属性に固定設定し、かつ始点IPアドレスと始点ポート番号の組み合わせを前記選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに終点ポート番号を適宜の範囲で順次変化させて設定した検証パケットを順次発生するものとすることができる。
この発明の検証パケット発生装置はこの発明の検証パケット発生方法を実行するものである。この発明の検証パケット発生プログラムはこの発明の検証パケット発生方法を処理装置に実行させるものである。この発明のパケットフィルタのテスト方法はこの発明の検証パケット発生方法により順次発生される検証パケットを前記パケットフィルタに入力し、該パケットフィルタを動作させるものである。この発明のパケットフィルタのテスト装置はこの発明のパケットフィルタのテスト方法を実行するものである。
この発明の実施の形態を以下説明する。図3は全体のシステム構成およびルータ10内の機能ブロックを示す。この実施の形態では、ルータ10内に検証パケット発生装置および該装置から発生される検証パケットを使用してパケットフィルタをテスト動作させるテスト装置を内蔵している。はじめに、通常の通信で使用される部分について説明する。ルータ10はイーサネット(登録商標)インタフェース12を介してWAN側(インターネット側)14に接続され、イーサネットインタフェース16を介してLAN側18に接続されて、WAN側14とLAN側18間で相互通信を可能にしている。
ルータ10内のパケット転送処理部22はパケットフィルタ24を具えている。このパケットフィルタ24は、パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを縦続的に設定し、入力されるパケットについてその属性が前記いずれかのルールで規定された判定条件に一致するか否かを先頭のルールから順番に検査し、一致するルールがあった場合はそのルールで規定された動作に従い該パケットを通過または破棄して処理を終了し、最後のルールまで一致するルールがなかった場合は該パケットを通過または破棄するようにその動作が設定されている。
パケットフィルタ24はWAN側で処理を行うWAN側フィルタとLAN側で処理を行うLAN側フィルタで構成されている。両フィルタにはWAN側14からLAN側18に向けて送信されるパケットに対するフィルタルールと、LAN側18からWAN側14に向けて送信されるパケットに対するフィルタルールがそれぞれ設定されている。パケットフィルタ24のフィルタルールの設定は、使用者によるLAN側18のコンピュータからの操作により、イーサネットインタフェース16を介して(または別途用意されたシリアルインタフェースを介して)行われる。使用者により設定されたフィルタルールはパケットフィルタ設定部(メモリ)32に記憶され、パケットフィルタ24はこの記憶データに該当する内容に設定される。
WAN側14側から送信されるパケットは、イーサネットインタフェース12のパケット受信処理部20で受信されてパケット転送処理部22に供給される。パケット転送処理部22内のパケットフィルタ24は受信したパケットのヘッダ情報とパケットフィルタ24に設定されているルール(WAN側14からLAN側18に向けて送信されるパケットに対するフィルタルール)とを照合し、例えば前記図2に示したパケットフィルタ処理を実行して、パケットごとに通過または破棄する処理を行う。このパケットフィルタ処理は最初にWAN側フィルタについて行われ、WAN側フィルタを通過したパケットについてさらにLAN側フィルタについて行われる。パケットフィルタ24を通過したパケットはイーサネットインタフェース16のパケット送信処理部26を介してLAN側18のコンピュータに転送される。
一方、LAN側18のコンピュータから送信されたパケットはイーサネットインタフェース16のパケット受信処理部28で受信されてパケット転送処理部22に供給される。パケット転送処理部22のパケットフィルタ24は受信したパケットのヘッダ情報とパケットフィルタ24に設定されているルール(LAN側18からWAN側14に向けて送信されるパケットに対するフィルタルール)とを照合し、例えば前記図2に示したパケットフィルタ処理を実行して、パケットごとに通過または破棄する処理を行う。このパケットフィルタ処理は最初にLAN側フィルタについて行われ、LAN側フィルタを通過したパケットについてさらにWAN側フィルタについて行われる。パケットフィルタ24を通過したパケットはイーサネットインタフェース12のパケット送信処理部30を介してWAN側14に転送される。
次に、ルータ10内の検証パケット発生装置およびテスト装置について説明する。ここではパケットフィルタ24に設定された全フィルタルールのうち、WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルール(ルータ10に割り当てられたグローバルIPアドレスが終点IPアドレスとして共通に設定されているルール)の設定を検証する場合について説明する。図1は検証パケットを使用したパケットフィルタ24のテスト(ポートスキャン)の手順を示す。使用者がLAN側18のコンピュータからポートスキャンの準備を指示すると(S10)、使用者の操作によりまたは自動で検証パケットに付与する属性のうちプロトコル、終点IPアドレスおよびポートスキャン範囲が設定される(S11)。プロトコルはTCP、UDP等のうち検証しようとするルールのプロトコルが使用者の操作により設定される。終点IPアドレスはルータ10に割り当てられたグローバルIPアドレスが使用者の操作によりまたは自動で設定される。終点ポート番号はルータ10のポート番号のスキャン範囲(全範囲スキャンする場合は0〜65535)が使用者の操作によりまたは自動で設定される。なお、フィルタ種類(WAN側フィルタかLAN側フィルタか)を選択してテストできるようにする場合や、パケットの送信方向(WAN側14からLAN側18への送信かLAN側18からWAN側14への送信か)を選択してテストできるようにする場合は、使用者の操作によりフィルタ種類やパケットの送信方向を設定する。
検証パケットの属性が設定されたら、パケットフィルタ24に設定されたWAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールのうち検証パケットの属性設定で設定されたプロトコルについて適用される全ルールについて、各ルールで設定された始点IPアドレスと始点ポート番号の組み合わせによる集合に関し、その全体集合の中で各ルールが単独で該当する個々の領域、該各ルールのうち任意の複数のルールが共通に該当する個々の領域、該各ルールがいずれも該当しない領域からサンプル点が自動で1点ずつ選択される(S12)。
これでポートスキャン待機状態となり、使用者がポートスキャンの開始を指示すると(S13)、プロトコルと終点IPアドレスを前記検証パケットの属性設定で設定された値に固定設定し、始点IPアドレスと始点ポート番号の組み合わせを前記選択された各サンプル点に順次変化して設定し、終点ポート番号を前記検証パケットの属性設定で設定された範囲で順次変化して設定した検証パケットが自動で順次発生され、パケットフィルタ24に設定されたWAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタに供給されてポートスキャンが実行される(S14)。
全検証パケットによるポートスキャンが終了すると、ポートスキャンによる各検証パケットの通過、破棄の結果が自動で集計され、集計結果として例えば通過したパケットの属性情報(始点IPアドレス、始点ポート番号、終点ポート番号、プロトコル等)がLAN側18のコンピュータのディスプレイに表示される(S15)。使用者はこの結果を見てパケットフィルタ24に設定された全フィルタルールのうち、WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールの設定を検証することができる。他のプロトコルについて検証する場合は検証パケットの属性設定(S11)でプロトコルの設定を変更し、上記同様の手順でポートスキャンを実行する。
以上の処理を実行する図3のルータ10について説明する。ポートスキャン設定部(メモリ)34は前記検証パケットの属性設定(図1のS11)で設定された検証パケットの属性を記憶する。設定解析処理部36はパケットフィルタ設定部32に設定されているフィルタルールとポートスキャン設定部34に設定されている検証パケットの属性に基づき、ポートスキャンの準備段階として、前記サンプル点を選択する処理(同S12)を実行する。ポートスキャン処理部38は、サンプル点が選択されてポートスキャンの準備が完了した後、使用者によるポートスキャン開始指示(同S13)を受けて、該選択されたサンプル点ごとに終点ポート番号を前記設定された範囲で順次変化させた検証パケットを発生する。この検証パケットはパケット転送処理部22に直接入力され、パケットフィルタ24のWAN側フィルタに供給されてフィルタ処理(ポートスキャン)が実行される(同S14)。
ポートスキャンによる各検証パケットの通過、破棄の結果はポートスキャン処理部38に伝えられる。ポートスキャン処理部38はこの結果に基づき通過したパケットの情報(始点IPアドレス、始点ポート番号、終点ポート番号、プロトコル等)をまとめて、ポートスキャン結果出力部40を介してLAN側18のコンピュータに送出する。該コンピュータは該情報をディスプレイに表示する。使用者はこの表示を見てパケットフィルタ24の設定を検証する。
なお、ポートスキャン処理部38から発生する検証パケットに特殊な識別データを埋め込んでおくことにより、通常の通信用のパケットと区別した処理をすることができる。この識別情報を利用して、例えばこの識別データが検出されるパケットについてのみポートスキャン処理を実行させるようにすることができる。また、パケットフィルタ24を通過したパケットのうち識別データが検出されるパケットについてルータ10内で破棄することにより、検証パケットがネットワーク側(WAN側14)に漏れないようにすることができる。
ここで、設定解析処理部36による始点IPアドレスと始点ポート番号の組み合わせのサンプル点の選択処理について説明する。ここではパケットフィルタ24のWAN側フィルタのうちWAN側14からLAN側18に送信されるパケットに適用されるフィルタルールをR1〜Rnとする。これらルールR1〜Rnは、ルータ10に割り当てられたグローバルIPアドレスが終点IPアドレスとして共通に設定され、かつプロトコルが前記検証パケットの属性設定(図1のS11)で設定されたプロトコルに共通に設定されているものとする。ルールR1〜Rnに設定されている始点IPアドレスと始点ポート番号の組み合わせをCi(i=1,2,…,n)で表す。ここでは説明の便宜上3つのルールR1,R2,R3が設定されているものとする。入力パケットは前記図2のパケットフィルタ処理に従い、R1→R2→R3の順にフィルタに掛けられていき、判定条件が一致したところでルールに規定された動作に従い通過または破棄される。いずれのルールの判定条件にも一致しなかったパケットはデフォルトルールに従って通過または破棄される。
図4はルールR1〜R3における始点IPアドレスと始点ポート番号の組み合わせの各集合C1〜C3を、始点IPアドレスを横軸にとり、始点ポート番号を縦軸にとって模式的に図示したものである。始点IPアドレスと始点ポート番号の組み合わせの全体集合は、各集合Ciが単独で該当する個々の領域、各集合Ciのうち任意の複数の集合が共通に該当する個々の領域、各集合Ciがいずれも該当しない領域に区分される。これら領域の場合分けの数は2n個(したがって集合がC1,C2,C3の3つであれば領域の場合分けの数は8個)である。各集合Ciに属さない部分(すなわち補集合)を−Ciで表すと、各領域Sj(j=1,2,3,…,2n)はそれぞれ次式で表される(*は積集合を表す)。
S1:C1*C2*C3
S2:−C1*C2*C3
S3:C1*−C2*C3
S4:C1*C2*−C3
S5:−C1*−C2*C3
S6:C1*−C2*−C3
S7:−C1*C2*−C3
S8:−C1*−C2*−C3
これら領域のうち空集合となる領域がある場合(複数の集合どうしが共通に該当する領域が無い場合)は該空集合となる領域を取り除く。また、相互に一致する複数の領域がある場合(同一のルールが重複して設定されている場合)はその内の1つの領域のみ残し他は取り除く。そして残りの領域からそれぞれ1点ずつ任意のサンプル点(空集合、一致領域が無ければ全8点)を選択する。各領域からサンプル点を選択する処理手法として図形の切り取りのアルゴリズムを利用することができる。そのようなアルゴリズムとしては例えば、Sutherland-Hodgman法と呼ばれるPolygon Clippingを用いることができる。このPolygon Clippingによれば各領域を構成する多角形の頂点が求まるので、各領域の頂点位置の1つをサンプル点として選択することができる。なお、図4の模式図上で1つの領域が複数箇所に分割される場合があるが(例えば図4上で2つのルールによる集合が十字上に交差する場合、各集合が単独で該当する領域はそれぞれ2分割される)、そのような場合でも分割領域ごとにサンプル点を選択する必要はなく、分割された領域全体の中から1つのサンプルを選択すればよい。ただし、分割領域ごとにサンプル点を選択しても問題はない。
以上のようにして各領域から選択された各サンプル点(始点IPアドレスと始点ポート番号の組み合わせ)について、終点ポート番号を前記検証パケットの属性設定(図1のS11)で設定された範囲(例えば0〜65535)で変化させた検証パケットを順次発生してポートスキャンを行う。これによれば、同一の領域内ではどこでサンプリングしても通過、破棄の結果は同じになるので、1つの領域についてはその中の1つのサンプル点についてポートスキャンすればその領域全体をポートスキャンしたのと同じになり、無駄なポートスキャンをしなくて済む。しかも空集合および一致領域を除く全領域のサンプル点についてポートスキャンするので、始点IPアドレスと始点ポート番号の組み合わせ全体についてポートスキャンしたのと同じになり、漏れのないポートスキャンを行うことができる。
次に具体例について説明する。ここではパケットフィルタ24のWAN側フィルタに設定されたルールのうちWAN側14からLAN側18に送信されるパケットに適用されるルールとして表1に示す2つのルール1,2が設定されているものとする。
Figure 0004518070
使用者によりポートスキャンの準備が指示されると、図3の設定解析処理部36は各ルール1,2の始点IPアドレスと始点ポート番号の組み合わせによる集合について、その全体集合の中でルール1,2が単独で該当する個々の領域Xs1,Xs2、ルール1,2が共通に該当する領域Xs3、ルール1,2がいずれも該当しない領域Xs4を求め、各領域Xs1〜Xs4からサンプル点を1点ずつ選択する(図1のS12)。図5は領域Xs1〜Xs4を模式的に示したものである。ルール1による始点IPアドレスと始点ポート番号の組み合わせの集合および補集合をそれぞれC1、−C1とし、ルール2による同組み合わせの集合および補集合をそれぞれC2、−C2とすると、領域Xs1〜Xs4はそれぞれ次式で表される。
Xs1:C1*−C2
Xs2:−C1*C2
Xs3:C1*C2
Xs4:−C1*−C2
設定解析処理部36は領域Xs1〜Xs4ごとに任意のサンプル点を1点ずつ選択する。各領域から選択したサンプル点の例を表2に示す。
Figure 0004518070
設定解析処理部36がサンプル点を選択するとポートスキャン開始待機状態となり、次いで使用者によりポートスキャンの開始が指示されると、ポートスキャン処理部38はプロトコルと終点IPアドレスを表1による値に固定設定し、かつ始点IPアドレスと始点ポート番号の組み合わせを、選択された各サンプル点に順次切り換えて設定し、かつ該順次切り換えられるサンプル点ごとに終点ポート番号を表1により設定された0〜65535の範囲で順次変化させた検証パケットを順次発生し、これによりポートスキャンが実行される。
なお、前記実施の形態では各領域で選択するサンプル数を1としたが、この発明は各領域のサンプル数を2以上とすることを妨げるものではない。
前記実施の形態では始点IPアドレスと始点ポート番号の2つの属性の組み合わせによる集合についてサンプル点を選択したが、3つ以上の属性の組み合わせによる集合についてサンプル点を選択することもできる。例えば始点IPアドレスと始点ポート番号とプロトコルの3つの属性の組み合わせの場合は、検証パケットの属性設定(図1のS11)をプロトコルごとに変更することなく、全プロトコルについて一度にポートスキャンすることができる。
前記実施の形態では、WAN側からLAN側へ送り込まれるパケットに対するWAN側フィルタのフィルタルールの設定を検証する場合について説明したが、この発明はWAN側からLAN側へ送り込まれるパケットに対するLAN側フィルタのフィルタルール、LAN側からWAN側へ送出されるパケットに対するLAN側フィルタのフィルタルール、LAN側からWAN側へ送出されるパケットに対するWAN側フィルタのフィルタルールの設定を検証する場合にも適用することができる。例えば、LAN側からWAN側へ送出されるパケットに対するWAN側フィルタのフィルタルールの設定を検証する場合は、終点IPアドレス(相手側のIPアドレス)と終点ポート番号(相手側のポート番号)の組み合わせによる集合についてサンプル点を選択し、始点IPアドレスを自分側のグローバルIPアドレス(ルータ10に割り当てられたグローバルIPアドレス)に固定設定し、プロトコルを任意のプロトコルに固定設定し、終点IPアドレスと終点ポート番号の組み合わせを前記選択された各サンプル点に順次変化させて設定し、該サンプル点ごとに始点ポート番号(自分側のポート番号)を適宜の範囲で順次変化させて設定した検証パケットを順次発生させてポートスキャンを行うことができる。
前記実施の形態ではネットワーク機器(ルータ10)内に検証パケット発生装置およびテスト装置を内蔵したが、これに限らずコンピュータから検証パケットを発生させてネットワーク機器に供給してポートスキャンを行う場合にもこの発明を適用することができる。
図3の構成において検証パケットを使用してパケットフィルタのテスト(ポートスキャン)を行う手順を示すフローチャートである。 パケットフィルタ処理の一例を示すフローチャートである。 この発明の実施の形態の全体のシステム構成およびルータ内の機能ブロックを示すブロック図である。 フィルタルールにおける始点IPアドレスと始点ポート番号の組み合わせの各集合を模式的に示す図である。 表1のルール設定例における始点IPアドレスと始点ポート番号の組み合わせの各集合を模式的に示す図である。
符号の説明
10…ルータ(ネットワーク機器)、24…パケットフィルタ、14…WAN側、18…LAN側、22…パケット転送処理部、32…パケットフィルタ設定部、34…ポートスキャン設定部、36…設定解析処理部、38…ポートスキャン処理部、40…ポートスキャン結果出力部

Claims (7)

  1. パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを設定したパケットフィルタについて、適宜の複数のルールの設定を検証するための検証パケットを発生する方法であって、
    パケットの適宜の複数の属性の組み合わせによる集合について、その全体集合の中で前記適宜の複数のルールが単独で該当する個々の領域、該適宜の複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該適宜の複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択し、
    該適宜の複数の属性の組み合わせを該選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに他の属性を順次変化させて設定した検証パケットを順次発生する検証パケット発生方法。
  2. パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを設定したパケットフィルタについて、該パケットフィルタに設定されているWAN側フィルタの全ルールのうちWAN側からLAN側へ通信されるパケットに適用されかつプロトコルおよび終点IPアドレスがルール相互間で共通に設定されている複数のルールの設定を検証するための検証パケットを発生する方法であって、
    始点IPアドレスと始点ポート番号の組み合わせによる集合について、その全体集合の中で前記検証対象の複数のルールが単独で該当する個々の領域、該複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択し、
    プロトコルと終点IPアドレスを前記ルール相互間で共通に設定されている属性に固定設定し、かつ始点IPアドレスと始点ポート番号の組み合わせを前記選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに終点ポート番号を適宜の範囲で順次変化させて設定した検証パケットを順次発生する検証パケット発生方法。
  3. 請求項1または2記載の方法を処理装置に実行させる検証パケット発生プログラム。
  4. 請求項1または2記載の方法により順次発生される検証パケットを前記パケットフィルタに入力し、該パケットフィルタを動作させるパケットフィルタのテスト方法。
  5. パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを設定したパケットフィルタについて、適宜の複数のルールの設定を検証するための検証パケットを発生する装置であって、
    前記パケットフィルタに設定した複数のルールを記憶するパケットフィルタ設定部と、
    検証パケットに付与する属性を記憶するポートスキャン設定部と、
    前記パケットフィルタ設定部に記憶されている複数のルールと前記ポートスキャン設定部に記憶されている検証パケットの属性に基づき、パケットの適宜の複数の属性の組み合わせによる集合について、その全体集合の中で前記適宜の複数のルールが単独で該当する個々の領域、該適宜の複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該適宜の複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択する設定解析処理部と
    該適宜の複数の属性の組み合わせを該選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに他の属性を順次変化させて設定した検証パケットを順次発生するポートスキャン処理部と
    を具備してなる検証パケット発生装置
  6. パケットの属性に関する複数の判定条件とパケットの属性が該複数の判定条件に適合したときの該パケットの通過または破棄の動作を規定した複数のルールを設定したパケットフィルタについて、該パケットフィルタに設定されているWAN側フィルタの全ルールのうちWAN側からLAN側へ通信されるパケットに適用されかつプロトコルおよび終点IPアドレスがルール相互間で共通に設定されている複数のルールの設定を検証するための検証パケットを発生する装置であって、
    前記パケットフィルタに設定した複数のルールを記憶するパケットフィルタ設定部と、
    検証パケットに付与する属性としてプロトコル、終点IPアドレスおよびポートスキャン範囲を記憶するポートスキャン設定部と、
    前記パケットフィルタ設定部に記憶されている複数のルールのうち前記ポートスキャン設定部に記憶されている検証パケットのプロトコルが適用される全ルールについて、始点IPアドレスと始点ポート番号の組み合わせによる集合について、その全体集合の中で前記検証対象の複数のルールが単独で該当する個々の領域、該複数のルールのうち任意の複数のルールが共通に該当する個々の領域、該複数のルールがいずれも該当しない領域からサンプル点をそれぞれ選択する設定解析処理部と
    プロトコルと終点IPアドレスを前記ルール相互間で共通に設定されている属性に固定設定し、かつ始点IPアドレスと始点ポート番号の組み合わせを前記選択された各サンプル点に順次変化させて設定し、かつ該サンプル点ごとに終点ポート番号を前記ポートスキャン範囲で順次変化させて設定した検証パケットを順次発生するポートスキャン処理部と
    を具備してなる検証パケット発生装置
  7. 請求項または記載の検証パケット発生装置と、
    該検証パケット発生装置により順次発生される検証パケットを前記パケットフィルタに入力し、該パケットフィルタを動作させてポートスキャンを実行すパケット転送処理部と、
    該ポートスキャンによる各検証パケットの通過、破棄の結果を入力し、この結果に基づき通過したパケットの情報を出力するポートスキャン処理部と、
    該ポートスキャン処理部から出力される通過したパケットの情報をコンピュータに送出するポートスキャン結果出力部と
    を具備してなるパケットフィルタのテスト装置
JP2006315710A 2006-11-22 2006-11-22 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置 Active JP4518070B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006315710A JP4518070B2 (ja) 2006-11-22 2006-11-22 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006315710A JP4518070B2 (ja) 2006-11-22 2006-11-22 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置

Publications (2)

Publication Number Publication Date
JP2008131463A JP2008131463A (ja) 2008-06-05
JP4518070B2 true JP4518070B2 (ja) 2010-08-04

Family

ID=39556854

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006315710A Active JP4518070B2 (ja) 2006-11-22 2006-11-22 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置

Country Status (1)

Country Link
JP (1) JP4518070B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2117266B1 (en) * 2008-05-07 2012-07-11 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Methods, test systems and arrangements for verifying compliance with requirement specifications
CN106549793B (zh) 2015-09-23 2020-08-07 华为技术有限公司 流量控制方法及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040122967A1 (en) * 2002-12-23 2004-06-24 Bressler Robert D. Method and apparatus for managing packet flows for multiple network services

Also Published As

Publication number Publication date
JP2008131463A (ja) 2008-06-05

Similar Documents

Publication Publication Date Title
JP5462905B2 (ja) プロトコルエミュレータ
US8005945B2 (en) Aggregating policy criteria parameters into ranges for efficient network analysis
US9660886B1 (en) Scalable network route analysis
US7782859B2 (en) Enhanced packet classification
JP6308601B2 (ja) パケット処理方法およびデバイス
CN110635914B (zh) 一种弱口令检测方法
CN109218301B (zh) 多协议间软件定义的帧头映射的方法和装置
CN108647043A (zh) 一种命令行输入的实现方法及系统
JP4518070B2 (ja) パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置
WO2016013177A1 (ja) 網検証装置、網検証方法、および、記憶媒体
KR101323852B1 (ko) 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
EP2302874B1 (en) Communication system, terminal device, and communication method for RTP/RTCP data transmission over a NAT
CN105763663B (zh) 一种私网地址管理方法、控制装置和网络设备
JP4372646B2 (ja) 情報生成装置
CN108536541A (zh) 流程引擎对象处理方法及装置
CN113992507B (zh) 确定缺省参数值的方法、装置、服务器及存储介质
CN108833282A (zh) 数据转发方法、系统、装置及sdn交换机
JP6506522B2 (ja) 情報処理装置、その制御方法、及びプログラム
CN113347100A (zh) 数据流传输方法、装置、计算机设备及存储介质
WO2010086982A1 (ja) 情報処理器及びその通信制御方法
WO2021240752A1 (ja) プロトコル識別装置、プロトコル識別方法、及びプログラム
Clark Firewall policy diagram: Novel data structures and algorithms for modeling, analysis, and comprehension of network firewalls
RU2710302C1 (ru) Способ организации работы компонентов сетевого оборудования для обработки сетевых пакетов (4 варианта)
JP2011193327A (ja) ネットワークシミュレーションシステム及び方法
WO2010005082A1 (ja) Vlan通信範囲特定システム、vlan通信範囲特定方法およびvlan通信範囲特定プログラムを記録したコンピュータ読み取り可能な記録媒体

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100427

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100510

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130528

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4518070

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140528

Year of fee payment: 4