JP4611197B2 - ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム - Google Patents
ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム Download PDFInfo
- Publication number
- JP4611197B2 JP4611197B2 JP2005500906A JP2005500906A JP4611197B2 JP 4611197 B2 JP4611197 B2 JP 4611197B2 JP 2005500906 A JP2005500906 A JP 2005500906A JP 2005500906 A JP2005500906 A JP 2005500906A JP 4611197 B2 JP4611197 B2 JP 4611197B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- port
- virus check
- virus
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークへの機器の接続方法に関し、特にコンピュータウイルス対策を考慮した機器のネットワークへの接続方法及びこれを用いるネットワークシステムに関する。
現在、ADSL(Asynchronous Digital Subscriber Line)の一般家庭への普及に伴いコンピュータウイルスが短時間に爆発的に拡散し、ネットワークに重大な被害を与える事例が増えている。
今後、通信ネットワークとしてIP(Internet Protocol)ネットワークの構築が検討され実現しつつある。従来の通信ネットワークは、専用のハードウエア、ソフトウエア等で構築されているため、一般的にコンピュータウイルスの攻撃を受けることが少なかった。
これに対し、IPネットワークを構成するサーバ群は、汎用マシンでありOS(オペーレーティング システム)もWindows(マイクロシステム社登録商標)、UNIX等がありコンピュータウイルスの攻撃を受ける機会は十分に考えられる。これまでのコンピュータウイルスに対する対策としては、ネットワーク外部からのウイルス侵入を防ぐことに主眼がおかれている。
しかし、コンピュータウイルスは多種多様になっており、既にネットワークに帰属する端末(PC)がウイルスに感染していているような場合に、当該PCをネットワークに接続した時点で、IPネットワークにウイルスが一気に拡散されることが充分に考えられる。それによるネットワークダウンによって社会に与える影響は計り知れない。
また、企業内LAN(Local Area Network)においても同様に、既にウイルスに感染している企業内部のPCが接続される場合は、当該企業内ネットワーク全体にウイルスが一気に広がることが考えられ、ウイルスによるネットワークダウンによって企業に与える影響は大きい。
従来技術として、ネットワークに接続されたコンピュータ等情報処理装置において、ネットワークとの論理的な接続及び非接続状態を動的に変更してコンピュータウイルスのネットワーク伝播を防止する技術が提示されている(特許文献1参照)。
かかる特許文献1に記載される発明では、既にウイルス対策機能(例えば、ウイルスチェックプログラム)を格納したコンピュータがLANに接続されている。そして、当該コンピュータに挿入され、実行されるファイルに対し、前記ウイルス対策機能で、ファイルにウイルス感染があるか否かを判断し、ウイルス感染がある場合には、LANへのファイル転送を阻止するようにした構成である。
しかし、かかる特許文献1に記載の技術では、LANに接続された特定のコンピュータに挿入されるファイルに対してのみウイルスチェックが行われる仕組みである。
したがって、企業内LAN等において、帰属するコンピュータが、随時にLANに接続分離されるような態様にあっては、前記特許文献1に記載の技術は適用できないものである。すなわち、既にコンピュータ自身がウイルスに汚染している場合において、LANへの接続を阻止する対応が不可能である。
特開平11−73384号公報
現在、ADSL(Asynchronous Digital Subscriber Line)の一般家庭への普及に伴いコンピュータウイルスが短時間に爆発的に拡散し、ネットワークに重大な被害を与える事例が増えている。
今後、通信ネットワークとしてIP(Internet Protocol)ネットワークの構築が検討され実現しつつある。従来の通信ネットワークは、専用のハードウエア、ソフトウエア等で構築されているため、一般的にコンピュータウイルスの攻撃を受けることが少なかった。
これに対し、IPネットワークを構成するサーバ群は、汎用マシンでありOS(オペーレーティング システム)もWindows(マイクロシステム社登録商標)、UNIX等がありコンピュータウイルスの攻撃を受ける機会は十分に考えられる。これまでのコンピュータウイルスに対する対策としては、ネットワーク外部からのウイルス侵入を防ぐことに主眼がおかれている。
しかし、コンピュータウイルスは多種多様になっており、既にネットワークに帰属する端末(PC)がウイルスに感染していているような場合に、当該PCをネットワークに接続した時点で、IPネットワークにウイルスが一気に拡散されることが充分に考えられる。それによるネットワークダウンによって社会に与える影響は計り知れない。
また、企業内LAN(Local Area Network)においても同様に、既にウイルスに感染している企業内部のPCが接続される場合は、当該企業内ネットワーク全体にウイルスが一気に広がることが考えられ、ウイルスによるネットワークダウンによって企業に与える影響は大きい。
従来技術として、ネットワークに接続されたコンピュータ等情報処理装置において、ネットワークとの論理的な接続及び非接続状態を動的に変更してコンピュータウイルスのネットワーク伝播を防止する技術が提示されている(特許文献1参照)。
かかる特許文献1に記載される発明では、既にウイルス対策機能(例えば、ウイルスチェックプログラム)を格納したコンピュータがLANに接続されている。そして、当該コンピュータに挿入され、実行されるファイルに対し、前記ウイルス対策機能で、ファイルにウイルス感染があるか否かを判断し、ウイルス感染がある場合には、LANへのファイル転送を阻止するようにした構成である。
しかし、かかる特許文献1に記載の技術では、LANに接続された特定のコンピュータに挿入されるファイルに対してのみウイルスチェックが行われる仕組みである。
したがって、企業内LAN等において、帰属するコンピュータが、随時にLANに接続分離されるような態様にあっては、前記特許文献1に記載の技術は適用できないものである。すなわち、既にコンピュータ自身がウイルスに汚染している場合において、LANへの接続を阻止する対応が不可能である。
発明の概要
したがって、本発明の目的は、かかる不都合も考慮した機器のネットワークへの接続方法及びこれを用いるネットワークシステムを提供することにある。
かかる本発明の目的を達成する機器のネットワークへの接続方法の第1の態様は、ネットワーク構成をVLAN(Virtual Local Area Network)機能により、運用ネットワークとウイルスチェック用ネットワークに分離し、機器の接続時に、前記ウイルスチェック用ネットワークにおいてウイルスのチェックを行い、前記ウイルスチェックにより安全を確認した前記機器を、前記運用ネットワークへ収容する。
上記の本発明の目的を達成する機器のネットワークへの接続方法の第2の態様は、第1の態様において、前記ウイルスチェックにより安全を確認できないとき、前記機器を、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離する。
上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第1の態様は、複数のポートを備え、VLAN(Virtual Local Area Network)機能により前記複数のポートに接続される機器を運用ネットワークとウイルスチェック用ネットワークに分離するネットワーク接続装置と、前記ウイルスチェック用ネットワークに接続されるウイルスチェック用サーバを有し、
新規に機器が前記ネットワーク接続装置の空きポートに接続される時、前記ウイルスチェック用ネットワークに収容して、ウイルスチェックを行い、前記ウイルスチェックにより安全を確認した場合に、前記機器が、前記運用ネットワークに収容される。
上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第2の態様は、第1のネットワークシステムの態様において、前記ウイルスチェックにより安全を確認できないとき、前記新規の機器は、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離される。
また、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第3の態様は、第1のネットワークシステムの態様において、前記ネットワーク接続装置は、前記複数のポートのそれぞれについての管理テーブルを有し、前記ウイルスチェックの結果に対応して、前記管理テーブルを更新して、前記新規の機器の接続されるポートを収容するネットワークを更新設定する。
さらに、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第4の態様は、第1のネットワークシステムの態様において、前記運用ネットワークに接続される機器が対応のポートから外される時は、前期ネットワーク接続装置のVLAN機能により前記ポートをウイルスチェック用ネットワークに収容を変更する。
本発明は、以下に図面を参照して説明される発明の実施の形態例から更に明らかになる。
したがって、本発明の目的は、かかる不都合も考慮した機器のネットワークへの接続方法及びこれを用いるネットワークシステムを提供することにある。
かかる本発明の目的を達成する機器のネットワークへの接続方法の第1の態様は、ネットワーク構成をVLAN(Virtual Local Area Network)機能により、運用ネットワークとウイルスチェック用ネットワークに分離し、機器の接続時に、前記ウイルスチェック用ネットワークにおいてウイルスのチェックを行い、前記ウイルスチェックにより安全を確認した前記機器を、前記運用ネットワークへ収容する。
上記の本発明の目的を達成する機器のネットワークへの接続方法の第2の態様は、第1の態様において、前記ウイルスチェックにより安全を確認できないとき、前記機器を、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離する。
上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第1の態様は、複数のポートを備え、VLAN(Virtual Local Area Network)機能により前記複数のポートに接続される機器を運用ネットワークとウイルスチェック用ネットワークに分離するネットワーク接続装置と、前記ウイルスチェック用ネットワークに接続されるウイルスチェック用サーバを有し、
新規に機器が前記ネットワーク接続装置の空きポートに接続される時、前記ウイルスチェック用ネットワークに収容して、ウイルスチェックを行い、前記ウイルスチェックにより安全を確認した場合に、前記機器が、前記運用ネットワークに収容される。
上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第2の態様は、第1のネットワークシステムの態様において、前記ウイルスチェックにより安全を確認できないとき、前記新規の機器は、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離される。
また、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第3の態様は、第1のネットワークシステムの態様において、前記ネットワーク接続装置は、前記複数のポートのそれぞれについての管理テーブルを有し、前記ウイルスチェックの結果に対応して、前記管理テーブルを更新して、前記新規の機器の接続されるポートを収容するネットワークを更新設定する。
さらに、上記の本発明の目的を達成する機器のネットワークへの接続方法を用いるネットワークシステムの第4の態様は、第1のネットワークシステムの態様において、前記運用ネットワークに接続される機器が対応のポートから外される時は、前期ネットワーク接続装置のVLAN機能により前記ポートをウイルスチェック用ネットワークに収容を変更する。
本発明は、以下に図面を参照して説明される発明の実施の形態例から更に明らかになる。
図1は、本発明を適用するネットワークの概念図である。
図2乃至図5は、新たにサーバ、PC等の接続機器(以降、接続機器PCと表記)をネットワークVLAN1に接続する場合の態様を示す図である。
図6A,図6Bは、第1の実施の形態例として図2〜図5に対応する処理の手順を説明する図である。
図7は、第1の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
図8は、VLANの設定情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)の送受(要求/回答)するためのパケットフォーマットを示す図である。
図9は、ある時点における接続装置1における管理テーブル(図9A)及びウイルス監視用サーバ2における管理テーブル(図9B)の一例を示す図である。
図10は、ウイルスチェック要求パケット及び、ウイルスチェック結果通知パケットを示す図である。
図11は、ウイルスチェック結果に問題がない場合の接続装置1における管理テーブル及びウイルス監視用サーバ2における管理テーブルを示す図である。
図12は、ウイルスチェック結果に問題ある場合の接続装置1における管理テーブル及びウイルス監視用サーバ2における管理テーブルを示す図である。
図13は、管理テーブルの更新要求及び、接続ポートの検疫を指示するパケットの一例を示す図である。
図14は、本発明の第2の実施の形態例の処理の手順を説明する図である。
図15は、第2の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
発明の実施の形態例
以下図面に従い、本発明の実施の形態例を説明する。
図1は、本発明を適用するネットワークの概念図である。レイヤ3(L3)スイッチ、ルータあるいは、レイヤ2(L2)スイッチ(スイッチングハブ)等のネットワーク接続機器1によって、複数のコンピュータ機器が接続されてネットワークを構成している。
本発明においては、ネットワーク接続機器1のVLAN(Virtual Local Area Network)機能によって、ポートに接続された複数のコンピュータ機器に対し、第1のネットワークVLAN(Virtual Local Area Network)1と、第2のウイルスチェック用のネットワークVLAN(Virtual Local Area Network)2が構成される。ネットワークVLAN2には、ウイルス監視用のサーバ2が接続されている。
図2〜図5は、新たにサーバ、PC等の接続機器(以降、接続機器PCと表記)をネットワークVLAN1に接続する場合の態様を示す図であり、図6A,図6Bは、第1の実施の形態例として図2〜図5に対応する処理の手順を説明する図である。
図7は、第1の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。すなわち、図7Aに示すウイルス監視サーバ2は、ウイルスチェックサーバ機能2−1、ルーティングテーブル制御機能2−2及びDHCP(Dynamic Host Configuration Protocol)機能2−3を有している。図7Bに示す接続装置1は、VLAN(Virtual Local Area Network)機能1−1を有している。
さらに、図7Cに示す接続機器PCは、ウイルスチェック機能PC−1及びウイルスチェック結果通知機能PC−2を有している。なお、この接続機器PCにおけるウイルスチェック機能PC−1及びウイルスチェック結果通知機能PC−2は、接続の際、ウイルス監視サーバ2からダウンロードするようにしてもよい。
図6A,図6Bに戻り説明すると、ウイルス監視用サーバ2は、接続装置1からVLANの設定情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)をtelnet等で収集している(処理工程P1)。
このときのパケットのフォーマットの一例が図8に示される。VLANの管理テーブル情報を収集するアプリケーションプログラム(VLANINF)により、ウイルス監視用サーバ2から接続装置1にVLANの管理テーブル情報を要求し(図8AのREQUESTパケットを使用)、これに対し、応答パケット(図8BのANSパケットを使用)により接続装置1からウイルス監視用サーバ2に管理テーブル情報が通知される。
このように、接続装置1から得られる接続装置1のVLANの設定情報を収集し、ウイルス監視用サーバ2のサーバ管理テーブル(図9B参照)が更新される(処理工程P2)。
ここで、接続装置1及びウイルス監視用サーバ2に設定される管理テーブルについて説明する。
図9は、ある時点における接続装置1における管理テーブル(図9A)及びウイルス監視用サーバ2における管理テーブル(図9B)の一例を示す図である。図9から、接続装置1のポート番号1〜10には既に10台のPCがされ、VLAN1のネットワークグループを構成している。さらに、ポート番号11〜16は、空きポートであることが理解できる。
また、図9A、図9Bにおいて、図示省略されているポート番号4〜9はポート1と同じ設定であり、ポート番号14〜15はポート番号11と同じ設定である。
この状態において、新規に空きポートに接続される接続機器PCをVLAN1に収容する場合を想定する(図9Aのポート番号12を参照)。図2に示すように、新規の接続機器PCが接続装置1の空きポートに挿入される(処理工程P3、図2:▲1▼)と、接続装置1は、空きポートへのケーブル接続を検出し、接続ポート番号をUDP(User Datagram Protocol),SNMP(Simple Network Management Protocol),SNMPv2TrP等のプロトコルによりウイルス監視用サーバ2に通知する(処理工程P4)。
接続機器PCは、DHCP(Dynamic Host Configuration Protocol)によりIPアドレス要求をブロードキャストする(処理工程P5)。ウイルス監視用サーバ2は、IPアドレス要求を受けるとIPアドレスを振り出し(処理工程P6、図2:▲2▼)、これにより以降の接続機器PCとウイルス監視用サーバ2との間のコネクションが確立する(処理工程P7)。
コネクションが確立すると、ウイルス監視用サーバ2からコンピュータウイルスチェックを行うアプリケーションプログラムVirusCHKにより、ウイルスチェック要求を接続機器PCに送る(処理工程P8、図2:▲3▼)。したがって、接続機器PCはウイルスチェックを実施し(処理工程P9、図2:▲4▼)、その結果をウイルス監視用サーバ2に通知する(処理工程P10、図3:▲5▼)。
このとき、ウイルス監視用サーバ2からのウイルスチェック要求及び、接続機器PCからのウイルスチェック結果の通知は、実施例として、各々図10に示すウイルスチェック要求パケット(図10A:VirusCHKフラグをONとする)及び、ウイルスチェック結果通知パケット(図10B:ウイルスチェック結果をOKまたはNGとする)により行われる。また、先に説明したように、接続機器PCにおけるウイルスチェック機能及びウイルスチェック結果通知機能を実現するプログラムは、必要によりウイルス監視サーバ2からダウンロードして供給することが可能である。
次に図6Bにおいて、接続機器PCから通知されるウイルスチェック結果に問題ない場合(処理工程P11、OK)は、管理テーブルの更新を接続装置1に要求する(処理工程P12、図3:▲6▼)。
これにより、図11に示すように、接続装置1における管理テーブル(図11A)、ウイルス監視用サーバ2における管理テーブル(図11B)がそれぞれ更新される(処理工程P13、P14)。図11A,図11Bにおいて、図示省略されているポート番号4〜9は、ポート番号1と同じ設定であり、ポート番号14〜15は、ポート番号11と同じ設定である。
管理テーブルが更新されると、VLAN1の属するDHCPサーバ(図4参照)によりIPアドレスの割り当てが行われる(処理工程P15)。これによりポート6に接続された新たな接続機器PCは、VLAN1のネットワークに収容される(処理工程P16)。
一方、図6Bにおいて、接続機器PCから通知されるウイルスチェック結果に問題ある場合(処理工程P11、NG)は、接続ポートを検疫(隔離)処理する(処理工程P17)。
これに対応して、図12に示すように、接続装置1における管理テーブル(図12A)、ウイルス監視用サーバ2における管理テーブル(図12B)がそれぞれ更新される(処理工程P18、P19)。図12A、図12Bにおいて、図示省略されているポート番号4〜9はポート番号1と同じ設定であり、ポート番号14〜15はポート番号11と同じ設定である。
接続機器PCは、VLAN1、VLAN2のそれぞれと異なるエリアに検疫(隔離)される(処理工程P20)。
なお、上記処理工程P12、P17における管理テーブルの更新要求及び、接続ポートの検疫は、実施例として、図13のパケットにより行われる。図13において、ウイルスチェック結果がOKである場合、VLAN情報を更新するべくVLANCHGフラグをYesとし、ウイルスチェック結果がNGである場合、該当ポートを閉塞するためにVLANCHGフラグをNOとする。
図14A,図14Bは、本発明の第2の実施の形態例の処理の手順を説明する図である。 図15は、第2の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
図15において、図7との比較により明確な通り、第2の実施の形態例は、ルーティングテーブル制御機能を接続装置1に備えるようにした構成である。これにより、図14A,図14Bに示す処理の手順が、図6A,6Bに示す処理の手順と異なってくるが、処理工程P2〜11までは、第1の実施の形態例と同様である。
異なる点は、図14Aに示す処理工程P1において、telnet等で情報収集する代わりに、ウイルス監視用サーバ2では、VLANの情報を要求(収集)するアプリケーションプログラムによりVLAN情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)を接続装置1から収集する(処理工程P1−1,P1−2)。
次いで、処理工程P2〜11までは、第1の実施の形態例と同様であって、さらに処理工程P12以降に処理の内容が異なる。即ち、図14Bに示す処理工程P12において、ウイルス監視用サーバ2からVLAN管理テーブルの更新を接続装置1に要求する(処理工程P12、図3:▲6▼)代わりに、VLAN書換え(ポートの収容LANを変更、ポートの閉塞)を行うアプリケーションプログラムにより、図13のパケットによりVLAN変更フラグをYes,ポート番号、VLAN名、VLAN ID、新収容IPアドレスを通知する(処理工程P12)。これにより、接続装置1の持つルーティングテーブル制御機能2−2により、ポート番号、新収容IPアドレス、VLAN名、VLAN IDで設定の書換えを行い、新規接続機器をVLAN1に収容して運用可能とする(処理工程P13−1)。
さらに、ウイルスチェック結果がNGであった場合も同様に、図13のパケットによりVLAN変更フラグをNO,ポート番号、VLAN名、VLAN ID、新収容IPアドレスを通知する(処理工程P17)。これにより、接続装置1において検疫へのVLAN書換えを行う(処理工程P18−1)。
なお、上記において、VLAN1の属する、ネットワーク接続装置1のポートから接続機器PCが離脱される場合は、ネットワーク接続装置1は、当該ポートをVLAN2、即ちウイルスチェック用ポートに収容する。
図2乃至図5は、新たにサーバ、PC等の接続機器(以降、接続機器PCと表記)をネットワークVLAN1に接続する場合の態様を示す図である。
図6A,図6Bは、第1の実施の形態例として図2〜図5に対応する処理の手順を説明する図である。
図7は、第1の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
図8は、VLANの設定情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)の送受(要求/回答)するためのパケットフォーマットを示す図である。
図9は、ある時点における接続装置1における管理テーブル(図9A)及びウイルス監視用サーバ2における管理テーブル(図9B)の一例を示す図である。
図10は、ウイルスチェック要求パケット及び、ウイルスチェック結果通知パケットを示す図である。
図11は、ウイルスチェック結果に問題がない場合の接続装置1における管理テーブル及びウイルス監視用サーバ2における管理テーブルを示す図である。
図12は、ウイルスチェック結果に問題ある場合の接続装置1における管理テーブル及びウイルス監視用サーバ2における管理テーブルを示す図である。
図13は、管理テーブルの更新要求及び、接続ポートの検疫を指示するパケットの一例を示す図である。
図14は、本発明の第2の実施の形態例の処理の手順を説明する図である。
図15は、第2の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
発明の実施の形態例
以下図面に従い、本発明の実施の形態例を説明する。
図1は、本発明を適用するネットワークの概念図である。レイヤ3(L3)スイッチ、ルータあるいは、レイヤ2(L2)スイッチ(スイッチングハブ)等のネットワーク接続機器1によって、複数のコンピュータ機器が接続されてネットワークを構成している。
本発明においては、ネットワーク接続機器1のVLAN(Virtual Local Area Network)機能によって、ポートに接続された複数のコンピュータ機器に対し、第1のネットワークVLAN(Virtual Local Area Network)1と、第2のウイルスチェック用のネットワークVLAN(Virtual Local Area Network)2が構成される。ネットワークVLAN2には、ウイルス監視用のサーバ2が接続されている。
図2〜図5は、新たにサーバ、PC等の接続機器(以降、接続機器PCと表記)をネットワークVLAN1に接続する場合の態様を示す図であり、図6A,図6Bは、第1の実施の形態例として図2〜図5に対応する処理の手順を説明する図である。
図7は、第1の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。すなわち、図7Aに示すウイルス監視サーバ2は、ウイルスチェックサーバ機能2−1、ルーティングテーブル制御機能2−2及びDHCP(Dynamic Host Configuration Protocol)機能2−3を有している。図7Bに示す接続装置1は、VLAN(Virtual Local Area Network)機能1−1を有している。
さらに、図7Cに示す接続機器PCは、ウイルスチェック機能PC−1及びウイルスチェック結果通知機能PC−2を有している。なお、この接続機器PCにおけるウイルスチェック機能PC−1及びウイルスチェック結果通知機能PC−2は、接続の際、ウイルス監視サーバ2からダウンロードするようにしてもよい。
図6A,図6Bに戻り説明すると、ウイルス監視用サーバ2は、接続装置1からVLANの設定情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)をtelnet等で収集している(処理工程P1)。
このときのパケットのフォーマットの一例が図8に示される。VLANの管理テーブル情報を収集するアプリケーションプログラム(VLANINF)により、ウイルス監視用サーバ2から接続装置1にVLANの管理テーブル情報を要求し(図8AのREQUESTパケットを使用)、これに対し、応答パケット(図8BのANSパケットを使用)により接続装置1からウイルス監視用サーバ2に管理テーブル情報が通知される。
このように、接続装置1から得られる接続装置1のVLANの設定情報を収集し、ウイルス監視用サーバ2のサーバ管理テーブル(図9B参照)が更新される(処理工程P2)。
ここで、接続装置1及びウイルス監視用サーバ2に設定される管理テーブルについて説明する。
図9は、ある時点における接続装置1における管理テーブル(図9A)及びウイルス監視用サーバ2における管理テーブル(図9B)の一例を示す図である。図9から、接続装置1のポート番号1〜10には既に10台のPCがされ、VLAN1のネットワークグループを構成している。さらに、ポート番号11〜16は、空きポートであることが理解できる。
また、図9A、図9Bにおいて、図示省略されているポート番号4〜9はポート1と同じ設定であり、ポート番号14〜15はポート番号11と同じ設定である。
この状態において、新規に空きポートに接続される接続機器PCをVLAN1に収容する場合を想定する(図9Aのポート番号12を参照)。図2に示すように、新規の接続機器PCが接続装置1の空きポートに挿入される(処理工程P3、図2:▲1▼)と、接続装置1は、空きポートへのケーブル接続を検出し、接続ポート番号をUDP(User Datagram Protocol),SNMP(Simple Network Management Protocol),SNMPv2TrP等のプロトコルによりウイルス監視用サーバ2に通知する(処理工程P4)。
接続機器PCは、DHCP(Dynamic Host Configuration Protocol)によりIPアドレス要求をブロードキャストする(処理工程P5)。ウイルス監視用サーバ2は、IPアドレス要求を受けるとIPアドレスを振り出し(処理工程P6、図2:▲2▼)、これにより以降の接続機器PCとウイルス監視用サーバ2との間のコネクションが確立する(処理工程P7)。
コネクションが確立すると、ウイルス監視用サーバ2からコンピュータウイルスチェックを行うアプリケーションプログラムVirusCHKにより、ウイルスチェック要求を接続機器PCに送る(処理工程P8、図2:▲3▼)。したがって、接続機器PCはウイルスチェックを実施し(処理工程P9、図2:▲4▼)、その結果をウイルス監視用サーバ2に通知する(処理工程P10、図3:▲5▼)。
このとき、ウイルス監視用サーバ2からのウイルスチェック要求及び、接続機器PCからのウイルスチェック結果の通知は、実施例として、各々図10に示すウイルスチェック要求パケット(図10A:VirusCHKフラグをONとする)及び、ウイルスチェック結果通知パケット(図10B:ウイルスチェック結果をOKまたはNGとする)により行われる。また、先に説明したように、接続機器PCにおけるウイルスチェック機能及びウイルスチェック結果通知機能を実現するプログラムは、必要によりウイルス監視サーバ2からダウンロードして供給することが可能である。
次に図6Bにおいて、接続機器PCから通知されるウイルスチェック結果に問題ない場合(処理工程P11、OK)は、管理テーブルの更新を接続装置1に要求する(処理工程P12、図3:▲6▼)。
これにより、図11に示すように、接続装置1における管理テーブル(図11A)、ウイルス監視用サーバ2における管理テーブル(図11B)がそれぞれ更新される(処理工程P13、P14)。図11A,図11Bにおいて、図示省略されているポート番号4〜9は、ポート番号1と同じ設定であり、ポート番号14〜15は、ポート番号11と同じ設定である。
管理テーブルが更新されると、VLAN1の属するDHCPサーバ(図4参照)によりIPアドレスの割り当てが行われる(処理工程P15)。これによりポート6に接続された新たな接続機器PCは、VLAN1のネットワークに収容される(処理工程P16)。
一方、図6Bにおいて、接続機器PCから通知されるウイルスチェック結果に問題ある場合(処理工程P11、NG)は、接続ポートを検疫(隔離)処理する(処理工程P17)。
これに対応して、図12に示すように、接続装置1における管理テーブル(図12A)、ウイルス監視用サーバ2における管理テーブル(図12B)がそれぞれ更新される(処理工程P18、P19)。図12A、図12Bにおいて、図示省略されているポート番号4〜9はポート番号1と同じ設定であり、ポート番号14〜15はポート番号11と同じ設定である。
接続機器PCは、VLAN1、VLAN2のそれぞれと異なるエリアに検疫(隔離)される(処理工程P20)。
なお、上記処理工程P12、P17における管理テーブルの更新要求及び、接続ポートの検疫は、実施例として、図13のパケットにより行われる。図13において、ウイルスチェック結果がOKである場合、VLAN情報を更新するべくVLANCHGフラグをYesとし、ウイルスチェック結果がNGである場合、該当ポートを閉塞するためにVLANCHGフラグをNOとする。
図14A,図14Bは、本発明の第2の実施の形態例の処理の手順を説明する図である。 図15は、第2の実施の形態例において、ウイルス監視サーバ2、接続装置1及び、接続機器PCの本発明の適用における機能を説明する図である。
図15において、図7との比較により明確な通り、第2の実施の形態例は、ルーティングテーブル制御機能を接続装置1に備えるようにした構成である。これにより、図14A,図14Bに示す処理の手順が、図6A,6Bに示す処理の手順と異なってくるが、処理工程P2〜11までは、第1の実施の形態例と同様である。
異なる点は、図14Aに示す処理工程P1において、telnet等で情報収集する代わりに、ウイルス監視用サーバ2では、VLANの情報を要求(収集)するアプリケーションプログラムによりVLAN情報(ポート番号、VLAN名、VLAN ID、収容IPアドレス)を接続装置1から収集する(処理工程P1−1,P1−2)。
次いで、処理工程P2〜11までは、第1の実施の形態例と同様であって、さらに処理工程P12以降に処理の内容が異なる。即ち、図14Bに示す処理工程P12において、ウイルス監視用サーバ2からVLAN管理テーブルの更新を接続装置1に要求する(処理工程P12、図3:▲6▼)代わりに、VLAN書換え(ポートの収容LANを変更、ポートの閉塞)を行うアプリケーションプログラムにより、図13のパケットによりVLAN変更フラグをYes,ポート番号、VLAN名、VLAN ID、新収容IPアドレスを通知する(処理工程P12)。これにより、接続装置1の持つルーティングテーブル制御機能2−2により、ポート番号、新収容IPアドレス、VLAN名、VLAN IDで設定の書換えを行い、新規接続機器をVLAN1に収容して運用可能とする(処理工程P13−1)。
さらに、ウイルスチェック結果がNGであった場合も同様に、図13のパケットによりVLAN変更フラグをNO,ポート番号、VLAN名、VLAN ID、新収容IPアドレスを通知する(処理工程P17)。これにより、接続装置1において検疫へのVLAN書換えを行う(処理工程P18−1)。
なお、上記において、VLAN1の属する、ネットワーク接続装置1のポートから接続機器PCが離脱される場合は、ネットワーク接続装置1は、当該ポートをVLAN2、即ちウイルスチェック用ポートに収容する。
上記に説明した様に、本発明により、ウイルスに感染されたサーバ、クライアント、PC等の機器が、ネットワークに接続されることによりネットワーク全体にウイルスが広がりを防ぐことが可能であり、コンピュータウイルスに対して強いネットワークの構築が出来る。
Claims (3)
- ネットワーク接続装置に複数のポートを備え、ネットワーク構成をVLAN(Virtual Local Area Network)機能により、運用ネットワークとウイルスチェック用ネットワークに分離し、
新規の機器を前記複数のポートの空ポートに接続する時に、前記ウイルスチェック用ネットワークにおいてウイルスのチェックを行い、
前記ウイルスチェックにより安全を確認した前記新規の機器の接続されているポートを、前記運用ネットワークへ収容し、
前記ウイルスチェックにより安全を確認できないとき、前記新規の機器の接続されているポートを、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離し、
前記運用ネットワークに接続されている機器が前記ネットワーク接続装置の対応のポートから外される時は、前記ネットワーク接続装置のVLAN機能により前記ポートをウイルスチェック用ネットワークに収容するように変更する、
ことを特徴とするネットワークシステムにおける機器の接続方法。 - 複数のポートを備え、ネットワーク構成をVLAN(Virtual Local Area Network)機能により、前記複数のポートに接続される機器を運用ネットワークとウイルスチェック用ネットワークに分離するネットワーク接続装置と、
前記ウイルスチェック用ネットワークに接続されるウイルスチェック用サーバを有し、
新規に機器が前記ネットワーク接続装置の空きポートに接続される時、前記ウイルスチェック用ネットワークに収容して、ウイルスチェックを行い、
前記ウイルスチェックにより安全を確認した場合に、前記機器の接続されているポートが、前記運用ネットワークに収容され、
前記ウイルスチェックにより安全を確認できないとき、前記新規の機器の接続されているポートは、前記運用ネットワーク及びウイルスチェック用ネットワークの何れからも隔離され、更に、
前記運用ネットワークに接続される機器が対応のポートから外される時は、前記ネットワーク接続装置のVLAN機能により前記ポートをウイルスチェック用ネットワークに収容するように変更する、
ことを特徴とするネットワークシステム。 - 請求項2において、
前記ネットワーク接続装置は、前記複数のポートのそれぞれについての管理テーブルを有し、
前記ウイルスチェックの結果に対応して、前記管理テーブルを更新して、前記新規の機器の接続されるポートを収容するネットワークを更新設定することを特徴とするネットワークシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2003/007842 WO2004114599A1 (ja) | 2003-06-20 | 2003-06-20 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2004114599A1 JPWO2004114599A1 (ja) | 2006-07-27 |
| JP4611197B2 true JP4611197B2 (ja) | 2011-01-12 |
Family
ID=33524165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005500906A Expired - Fee Related JP4611197B2 (ja) | 2003-06-20 | 2003-06-20 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7874002B2 (ja) |
| JP (1) | JP4611197B2 (ja) |
| WO (1) | WO2004114599A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140379894A1 (en) * | 2013-06-21 | 2014-12-25 | Microsoft Corporation | Using different connectivity checks to determine causes of connectivity issues |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200612695A (en) * | 2004-10-08 | 2006-04-16 | Broad Web Corp | Content checking method applied to network packet of a network security switch |
| US20130246603A1 (en) * | 2005-08-30 | 2013-09-19 | Mcafee, Inc. | System, method, and computer program product for automatic router discovery |
| US7870246B1 (en) * | 2005-08-30 | 2011-01-11 | Mcafee, Inc. | System, method, and computer program product for platform-independent port discovery |
| JP4797552B2 (ja) * | 2005-10-07 | 2011-10-19 | 日本電気株式会社 | 検疫システム及び方法並びにプログラム |
| ES2348043T3 (es) * | 2006-04-28 | 2010-11-29 | Koninklijke Kpn N.V. | Conexion en cascada de servicios externos. |
| US20090299493A1 (en) * | 2006-05-02 | 2009-12-03 | Allan Bo Joergensen | System for operating a plant |
| US8590002B1 (en) | 2006-11-29 | 2013-11-19 | Mcafee Inc. | System, method and computer program product for maintaining a confidentiality of data on a network |
| US8621008B2 (en) | 2007-04-26 | 2013-12-31 | Mcafee, Inc. | System, method and computer program product for performing an action based on an aspect of an electronic mail message thread |
| US8199965B1 (en) | 2007-08-17 | 2012-06-12 | Mcafee, Inc. | System, method, and computer program product for preventing image-related data loss |
| US20130276061A1 (en) | 2007-09-05 | 2013-10-17 | Gopi Krishna Chebiyyam | System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session |
| US8446607B2 (en) * | 2007-10-01 | 2013-05-21 | Mcafee, Inc. | Method and system for policy based monitoring and blocking of printing activities on local and network printers |
| US8893285B2 (en) | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
| US9077684B1 (en) | 2008-08-06 | 2015-07-07 | Mcafee, Inc. | System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy |
| JP5305045B2 (ja) | 2011-03-29 | 2013-10-02 | 日本電気株式会社 | スイッチングハブ及び検疫ネットワークシステム |
| JP5776470B2 (ja) | 2011-09-26 | 2015-09-09 | 日本電気株式会社 | 検疫ネットワークシステム、サーバ装置、及びプログラム |
| US8892696B1 (en) * | 2012-03-08 | 2014-11-18 | Juniper Networks, Inc. | Methods and apparatus for automatic configuration of virtual local area network on a switch device |
| US20130262621A1 (en) * | 2012-03-29 | 2013-10-03 | Andrei Yoryevich Sherbakov | Telecommunication system with variable functionality |
| IN2013CH01041A (ja) * | 2013-03-12 | 2015-08-14 | Atchayam Business Solutions Pvt Ltd | |
| JP6476853B2 (ja) * | 2014-12-26 | 2019-03-06 | 富士通株式会社 | ネットワーク監視システム及び方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002314573A (ja) * | 2001-04-10 | 2002-10-25 | Allied Tereshisu Kk | ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム |
| JP2002366522A (ja) * | 2001-06-08 | 2002-12-20 | System Needs Kk | ユーザ認証型vlan |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1173384A (ja) | 1997-08-29 | 1999-03-16 | Nec Corp | ウィルス対応ネットワーク接続コンピュータ |
| US20020199116A1 (en) * | 2001-06-25 | 2002-12-26 | Keith Hoene | System and method for computer network virus exclusion |
| US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
-
2003
- 2003-06-20 JP JP2005500906A patent/JP4611197B2/ja not_active Expired - Fee Related
- 2003-06-20 WO PCT/JP2003/007842 patent/WO2004114599A1/ja active Application Filing
-
2005
- 2005-08-26 US US11/212,191 patent/US7874002B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002314573A (ja) * | 2001-04-10 | 2002-10-25 | Allied Tereshisu Kk | ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム |
| JP2002366522A (ja) * | 2001-06-08 | 2002-12-20 | System Needs Kk | ユーザ認証型vlan |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140379894A1 (en) * | 2013-06-21 | 2014-12-25 | Microsoft Corporation | Using different connectivity checks to determine causes of connectivity issues |
| US9544207B2 (en) * | 2013-06-21 | 2017-01-10 | Microsoft Technology Licensing, Llc | Using different connectivity checks to determine causes of connectivity issues |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2004114599A1 (ja) | 2006-07-27 |
| US7874002B2 (en) | 2011-01-18 |
| WO2004114599A1 (ja) | 2004-12-29 |
| US20060021043A1 (en) | 2006-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4611197B2 (ja) | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| RU2269873C2 (ru) | Беспроводное устройство инициализации | |
| EP1969777B1 (en) | Method for operating several virtual networks | |
| AU687575B2 (en) | Security system for interconnected computer networks | |
| US7792990B2 (en) | Remote client remediation | |
| US7474655B2 (en) | Restricting communication service | |
| US20040148520A1 (en) | Mitigating denial of service attacks | |
| US20020112076A1 (en) | Internet protocol-based computer network service | |
| JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
| US11463474B2 (en) | Defend against denial of service attack | |
| WO2005109366A2 (en) | Method and apparatus for controlling traffic in a computer network | |
| KR20060116741A (ko) | 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 | |
| EP1826986B1 (en) | Management of passive network devices using covert connections | |
| Cisco | Bridging and IBM Networking Configuration Guide Cisco IOS Release 12.0 | |
| Cisco | Bridging and IBM Networking Configuration Guide Cisco IOS Release 11.3 | |
| Denker et al. | Moat: a Virtual Private Network Appliance and Services Platform. | |
| JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
| KR100520102B1 (ko) | 네트워크 유해 트래픽 방역 시스템 및 그 방법 | |
| US7694021B1 (en) | Firewall for gateway network elements between IP based networks | |
| WO2004080024A1 (en) | A packet forwarding apparatus | |
| Liu et al. | Packet filtering in bridge | |
| JP2005328281A (ja) | ネットワークシステム及び通信方法 | |
| Chandradeep | A Scheme for the Design and Implementation of a Distributed IDS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080307 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080909 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081106 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20081121 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20081212 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101013 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131022 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4611197 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |