JP4620070B2 - トラヒック制御システムおよびトラヒック制御方法 - Google Patents
トラヒック制御システムおよびトラヒック制御方法 Download PDFInfo
- Publication number
- JP4620070B2 JP4620070B2 JP2007050186A JP2007050186A JP4620070B2 JP 4620070 B2 JP4620070 B2 JP 4620070B2 JP 2007050186 A JP2007050186 A JP 2007050186A JP 2007050186 A JP2007050186 A JP 2007050186A JP 4620070 B2 JP4620070 B2 JP 4620070B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- policy
- rule
- wide area
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
まず最初に、以下の実施例で用いる主要な用語を説明する。「ユーザネットワーク」とは、企業のネットワークや、自宅のネットワークなど、個人のユーザによって運用されるユーザサイトのネットワークのことである。より具体的には、「ユーザネットワーク」は、ユーザによって利用されるPC(Personal Computer)やサーバ等の端末(以下、ユーザ端末)や、これらユーザ端末同士を接続しているネットワーク機器(以下、CPE:Customer Premises Equipment)等によって構成されている。以下では、このようなユーザ端末やCPEを区別せずに「ユーザネットワーク」を構成する同一の機能を有する装置と考える際には、「ユーザ装置」と表現し、ユーザ端末とCPEとを区別して異なる機能を有する装置と考える際には、「ユーザ端末」や「CPE」と表現することとする。なお、以下の実施例においては、「ユーザ装置」として、「ユーザポリシサーバ」も登場する。
続いて、図1を用いて、実施例1に係るトラヒック制御システムの概要および特徴を説明する。図1は、実施例1に係るトラヒック制御システムの概要および特徴を説明するための図である。
次に、図2〜図35を用いて、実施例1に係るトラヒック制御システムの構成を説明する。図2は、実施例1に係るトラヒック制御システムの全体構成を示すブロック図であり、図3は、実施例1におけるユーザ端末の構成を示すブロック図であり、図4は、ユーザ端末のサービス情報記憶部を説明するための図であり、図5〜7は、ユーザ端末のルールセット記憶部を説明するための図であり、図8および9は、ユーザ端末のポリシ送信部を説明するための図であり、図10は、実施例1におけるユーザネットワーク装置(CPE)の構成を示すブロック図であり、図11は、CPEのサービス情報記憶部を説明するための図であり、図12〜14は、CPEのルールセット記憶部を説明するための図であり、図15および16は、CPEのポリシ送信部を説明するための図であり、図17は、実施例1におけるユーザポリシサーバの構成を示すブロック図であり、図18は、ユーザポリシサーバのサービス情報記憶部を説明するための図であり、図19〜23は、ユーザポリシサーバのルールセット記憶部を説明するための図であり、図24および25は、ユーザポリシサーバのポリシ送信部を説明するための図であり、図26は、実施例1におけるポリシ集約サーバの構成を示すブロック図であり、図27は、ポリシ集約サーバのユーザ情報記憶部を説明するための図であり、図28〜31は、ポリシ集約サーバのポリシデータ記憶部を説明するための図であり、図32は、ポリシ集約サーバの広域ネットワーク装置構成情報記憶部を説明するための図であり、図33は、ポリシ集約サーバの攻撃対策情報取得部を説明するための図であり、図34は、ポリシ集約サーバの対策ポリシ作成部を説明するための図であり、図35は、ポリシ集約サーバのポリシ集約部を説明するための図である。
実施例1におけるユーザ端末4Aは、図2に示すように、広域ネットワーク装置3Aに直接接続されるユーザ端末であって、特に本発明に密接に関連するものとしては、図3に示すように、ポリシ送信部401と、サービス情報記憶部402と、アドレス変換部403と、ルールセット記憶部404とを備える。なお、ポリシ送信部401は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部403は、特許請求の範囲に記載の「アドレス変換手段」に対応する。
実施例1におけるユーザ端末4Bは、図2に示すように、広域ネットワーク装置3Aに直接接続されるCPE5Aを介して、間接的に広域ネットワーク装置3Aに接続されるユーザ端末であって、ユーザ端末4Aのように、ポリシ送信部401と、サービス情報記憶部402と、アドレス変換部403と、ルールセット記憶部404とを備える必要はない。
実施例1におけるCPE5Aは、図2に示すように、広域ネットワーク装置3Aに直接接続され、ユーザ端末4B等を間接的に広域ネットワーク装置3Aに接続させるCPEであって、特に本発明に密接に関連するものとしては、図10に示すように、ポリシ送信部501と、サービス情報記憶部502と、アドレス変換部503と、ルールセット記憶部504とを備える。なお、ポリシ送信部501は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部503は、特許請求の範囲に記載の「アドレス変換手段」に対応する。
実施例1におけるユーザポリシサーバ6は、図2に示すように、広域ネットワーク装置3Aに直接接続されるCPE5Bを介して、間接的に広域ネットワーク装置3Aに接続されるユーザポリシサーバであって、特に本発明に密接に関連するものとしては、図17に示すように、ポリシ送信部601と、サービス情報記憶部602と、アドレス変換部603と、ルールセット記憶部604と、ポリシ取得部605とを備える。なお、ポリシ送信部601は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部603は、特許請求の範囲に記載の「アドレス変換手段」に対応し、ポリシ取得部605は、特許請求の範囲に記載の「ポリシ取得手段」に対応する。また、以下の実施例においては、ユーザポリシサーバ6が単独の装置としてトラヒック制御システムを構成する事例を説明するが、本発明はこれに限られるものではなく、ユーザポリシサーバ6が、CPEに具備される機能としてトラヒック制御システムを構成する事例など、具体的な実現形態はいずれでもよい。
実施例1におけるポリシ集約サーバ7は、図2に示すように、広域ネットワーク1Aに接続され、特に本発明に密接に関連するものとしては、図26に示すように、ポリシ受信部701と、ユーザ情報記憶部702と、ポリシ管理部703と、ポリシデータ記憶部704と、ポリシ集約部705と、制御管理部706と、対策ポリシ作成部707と、攻撃対策情報取得部708と、広域ネットワーク装置構成情報記憶部709とを備える。なお、ポリシ受信部701は、特許請求の範囲に記載の「ポリシ受信手段」に対応し、ポリシ管理部703は、特許請求の範囲に記載の「判断手段」に対応し、ポリシ集約部705および制御管理部706は、特許請求の範囲に記載の「ルール送信手段」に対応し、対策ポリシ作成部707は、特許請求の範囲に記載の「対策ポリシ作成手段」に対応し、攻撃対策情報取得部708は、特許請求の範囲に記載の「攻撃対策情報取得手段」に対応する。
実施例1における広域ネットワーク装置3A(3Bおよび3Cも同様)は、パケットフィルタ機能を有するルータやFW装置、あるいは、IDS機能を有するFW装置等であり、設定されたFWのルールに従ってパケットを遮断又は抑制するとともに、設定されたIDSのルールに従って攻撃を検出する。図示してはいないが、広域ネットワーク装置3Aは、ポリシ集約サーバ7によって送信された広域ネットワーク装置別ルールを受信する部(特許請求の範囲に記載の「ルール受信手段」に対応する)と、受信した広域ネットワーク装置別ルールに従って、トラヒックを制御する部(特許請求の範囲に記載の「トラヒック制御手段」に対応する)とを備える。
次に、図36〜41を用いて、実施例1に係るトラヒック制御システムによる処理の手順を説明する。図36は、ユーザ端末による処理の手順を示すフローチャートであり、図37は、CPEによる処理の手順を示すフローチャートであり、図38は、ユーザポリシサーバによる処理の手順を示すフローチャートであり、図39は、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)を示すフローチャートであり、図40は、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を示すフローチャートであり、図41は、ポリシ集約サーバによるポリシ受信処理の手順を示すフローチャートである。
以下では、ユーザ端末4Aによる処理の手順を一例として説明すると、図36に示すように、まず、ユーザ端末4Aは、アドレス変換部403において、ルールセット記憶部404によって記憶されているFWルール、IDSルール、およびNATルールのうち、NATルール以外の各ルール(FWルールおよびIDSルール)について、宛先アドレスおよび/または宛先ポート番号を、NATルールに基づいて変換し、変換したFWルールおよびIDSルールを、ポリシ送信部401に引き渡す(ステップS1)。
以下では、CPE5Aによる処理の手順を一例として説明すると、図37に示すように、まず、CPE5Aは、アドレス変換部503において、ルールセット記憶部504によって記憶されているFWルール、IDSルール、およびNATルールのうち、NATルール以外の各ルール(FWルールおよびIDSルール)について、宛先アドレスおよび/または宛先ポート番号を、NATルールに基づいて変換し、変換したFWルールおよびIDSルールを、ポリシ送信部501に引き渡す(ステップS11)。
以下では、ユーザポリシサーバ6による処理の手順を一例として説明する。なお、ユーザ端末4Dは、ルールセット記憶部404において、複数のFWルールおよびIDSルールを予め記憶しており、CPE5Bは、ルールセット記憶部504において、複数のFWルール、IDSルールおよびNATルールを予め記憶しているものとする。図38に示すように、まず、ユーザポリシサーバ6は、ポリシ取得部605において、ユーザ端末4Dのルールセット記憶部404、および、CPE5Bのルールセット記憶部504から、各々のルールセットを取得し、ルールセット記憶部604に記憶する。また、ユーザポリシサーバ6が、ルールセット記憶部604に記憶するルールセットは、ユーザから直接入力されてもよい(ステップS20)。
以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6から個別ポリシを受信した時の処理の手順)を一例として説明すると、図39に示すように、まず、ポリシ集約サーバ7は、ポリシ受信部701において、ユーザ端末4Aのポリシ送信手段401、CPE5Aのポリシ送信手段501、およびユーザポリシサーバ6のポリシ送信手段601から送信された個別ポリシ各々を受信し、ユーザ情報記憶部702によって記憶された情報を用いて、個別ポリシの正当性の確認、並びに、個別ポリシに含まれる各ルールに必要な補完を施し、ポリシ管理部703に引き渡す(ステップS301)。
以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、広域NW装置3A、3Bおよび3Cまたはオペレータから攻撃対策情報を受信した時の処理の手順)を一例として説明する。なお、攻撃対策情報には、パケットの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル依存情報等の検出対象と、異常検出閾値超過時間等の検出条件と、実施した対策と、対策を実施あるいは解除した装置を特定する情報と、この攻撃対策情報が対策の実施に関する情報か、対策の解除に関する情報かの種別とを含む。
上記してきたように、実施例1によれば、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数のユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、ユーザ装置とユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、自ユーザネットワーク内でユーザ装置が管理するその他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックについて、トラヒックを制御するルールを要素とする集合体である個別ポリシを、広域ネットワークに接続するポリシ集約サーバに対して送信し、ポリシ集約サーバは、送信された個別ポリシ各々を受信し、受信された個別ポリシ各々の要素であるルールを、ルールを設定すべき広域ネットワーク装置の各々に送信し、広域ネットワーク装置の各々は、送信されたルールを受信し、受信されたルールに従って、トラヒックを制御するので、ユーザサイトのユーザ装置(ユーザ端末やネットワーク機器など)における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することが可能になる。
実施例2におけるユーザ情報記憶部702(図43を参照)は、実施例1におけるユーザ情報記憶部702と同様(図27を参照)、個別ポリシの送信元の正当性の検証に必要な情報や、個別ポリシの要素であるFWルールやIDSルールの正当性の検証に必要な情報を予め記憶しているが、実施例1におけるユーザ情報記憶部702とは異なり、この他に、各ユーザが所属するVPNの識別情報が保持されている。例えば、実施例2におけるユーザ情報記憶部702は、図43に示すように、ユーザID(UID)「A」と対応づけて、グループID(GID)「G−A」を、予め記憶している。
実施例2におけるNW装置3A、3Bおよび3Cは、帯域を保証することが可能なVPNを構成するVPN機能を有する。したがって、ポリシ集約サーバ7は、FWルールおよびIDSルールが対応するVPNに対してのみ作用するように、これらのルールを、設定するVPNを指定してNW機器に設定することになる。なお、このVPNの作成には、例えば、MPLS(Multi-Protocol Label Switching)等の技術を用いられる。また、図42に示すように、8Aおよび8Bは、広域NW装置3A、3Bおよび3Cによって広域NW1A内に構成されたVPNである。
次に、実施例2に係るトラヒック制御システムによる処理の手順を、主に実施例1に係るトラヒック制御システムによる処理の手順と異なる点を中心に説明する。なお、実施例2に係るトラヒック制御システムが、実施例1に係るトラヒック制御システムと異なる処理の手順となるのは、ポリシ集約サーバによる処理(個別ポリシ受信時)についてであるので、以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6から個別ポリシを受信した時の処理の手順)を一例として説明する。
上記してきたように、実施例2によれば、ポリシ集約サーバは、同種のルールに基づいてトラヒックを制御されるユーザ装置のグループごとにルールについて集約した集約ポリシを作成し、グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように広域ネットワーク装置の各々に設定させる設定情報、および、グループごとの集約ポリシを、設定情報および集約ポリシを設定すべき広域ネットワーク装置の各々に送信するので、実施例1の効果に加え、攻撃トラヒックではない大量トラヒックの発生時などの場合に、ユーザ間の公平性を確保することが可能になる。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
1B ユーザネットワーク
1C ユーザネットワーク
1D ユーザネットワーク
3A 広域ネットワーク装置
3B 広域ネットワーク装置
3C 広域ネットワーク装置
4A ユーザ端末
401 ポリシ送信部
402 サービス情報記憶部
403 アドレス変換部
404 ルールセット記憶部
4B ユーザ端末
4C ユーザ端末
4D ユーザ端末
4E ユーザ端末
5A CPE
501 ポリシ送信部
502 サービス情報記憶部
503 アドレス変換部
504 ルールセット記憶部
5B CPE
6 ユーザポリシサーバ
601 ポリシ送信部
602 サービス情報記憶部
603 アドレス変換部
604 ルールセット記憶部
605 ポリシ取得部
7 ポリシ集約サーバ
701 ポリシ受信部
702 ユーザ情報記憶部
703 ポリシ管理部
704 ポリシデータ記憶部
705 ポリシ集約部
706 制御管理部
707 対策ポリシ作成部
708 攻撃対策情報取得部
709 広域ネットワーク装置構成情報記憶部
710 VPN情報記憶部
Claims (18)
- ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信手段を備え、
前記ポリシ集約サーバは、
前記ポリシ送信手段によって送信された前記個別ポリシ各々を受信するポリシ受信手段と、
前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信手段とを備え、
前記広域ネットワーク装置の各々は、
前記ルール送信手段によって送信された前記ルールを受信するルール受信手段と、
前記ルール受信手段によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御手段と、
を備えたことを特徴とするトラヒック制御システム。 - 前記ルール送信手段は、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、当該ルールについて集約した集約ルールと当該集約ルールを要素とする集合体である集約ポリシとを作成し、当該集約ルールを、当該集約ルールを設定すべき前記広域ネットワーク装置の各々に送信することを特徴とする請求項1に記載のトラヒック制御システム。
- 前記ポリシ受信手段は、前記個別ポリシ各々を受信する際に、当該個別ポリシ各々の正当性を検証することをさらに特徴とする請求項1または2に記載のトラヒック制御システム。
- 前記ユーザ装置は、前記自ユーザネットワーク以外のネットワーク上で開示されない非開示アドレスおよび/または非開示ポート番号と、当該ネットワーク上で開示される開示アドレスおよび/または開示ポート番号とを変換するNAT機能を利用しており、前記ルールは、当該非開示アドレスおよび/または当該非開示ポート番号で記述されているものであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
前記ルールに記述された前記非開示アドレスおよび/または前記非開示ポート番号を、前記開示アドレスおよび/または前記開示ポート番号に変換するアドレス変換手段をさらに備え、
前記ポリシ送信手段は、前記アドレス変換手段によって変換された前記ルールを要素とする個別ポリシを、前記ポリシ集約サーバに対して送信することを特徴とする請求項1〜3のいずれか一つに記載のトラヒック制御システム。 - 前記ルール送信手段は、前記ルールに従ってトラヒックが制御されることになる前記ユーザ装置に関する情報を統計情報として作成することをさらに特徴とし、
前記ポリシ集約サーバは、
前記ルール送信手段によって作成された前記統計情報に基づいて、前記ルールを、当該ルールに従ってトラヒックが制御されることになる前記ユーザ装置以外の他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断する判断手段をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載のトラヒック制御システム。 - 前記ポリシ集約サーバは、
前記広域ネットワーク装置において検出した攻撃パケットを識別する識別情報および当該攻撃パケットに対する対策情報を含む攻撃対策情報を、当該広域ネットワーク装置から取得する攻撃対策情報取得手段と、
前記攻撃対策情報取得手段によって取得された前記攻撃対策情報から、当該攻撃対策情報に基づいて前記トラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成する対策ポリシ作成手段とをさらに備え、
前記ルール送信手段は、前記対策ポリシ作成手段によって作成された前記対策ポリシを、前記ルールに反映することを特徴とする請求項1〜5のいずれか一つに記載のトラヒック制御システム。 - 前記ルール送信手段は、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することをさらに特徴とする請求項1〜6のいずれか一つに記載のトラヒック制御システム。
- ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法であって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信工程を含み、
前記ポリシ集約サーバは、
前記ポリシ送信工程によって送信された前記個別ポリシ各々を受信するポリシ受信工程と、
前記ポリシ受信工程によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信工程とを含み、
前記広域ネットワーク装置の各々は、
前記ルール送信工程によって送信された前記ルールを受信するルール受信工程と、
前記ルール受信工程によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御工程と、
を含んだことを特徴とするトラヒック制御方法。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザ端末であって、
前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とするユーザ端末。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザネットワーク機器であって、
前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とするユーザネットワーク機器。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザポリシサーバであって、
前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手段と、
前記ポリシ取得手段によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手段と、
を備えたことを特徴とするユーザポリシサーバ。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、
前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、
を備えたことを特徴とするポリシ集約サーバ。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、
前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、
を備えたことを特徴とするポリシ集約サーバ。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザ端末に実行させるユーザ端末プログラムであって、
前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザ端末に実行させることを特徴とするユーザ端末プログラム。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザネットワーク機器に実行させるユーザネットワーク機器プログラムであって、
前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザネットワーク機器に実行させることを特徴とするユーザネットワーク機器プログラム。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザポリシサーバに実行させるユーザポリシサーバプログラムであって、
前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手順と、
前記ポリシ取得手順によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手順と、
を前記コンピュータであるユーザポリシサーバに実行させることを特徴とするユーザポリシサーバプログラム。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、
前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、
を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とするポリシ集約サーバプログラム。 - ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、
前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、
前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、
を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とするポリシ集約サーバプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007050186A JP4620070B2 (ja) | 2007-02-28 | 2007-02-28 | トラヒック制御システムおよびトラヒック制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007050186A JP4620070B2 (ja) | 2007-02-28 | 2007-02-28 | トラヒック制御システムおよびトラヒック制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008219149A JP2008219149A (ja) | 2008-09-18 |
JP4620070B2 true JP4620070B2 (ja) | 2011-01-26 |
Family
ID=39838721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007050186A Expired - Fee Related JP4620070B2 (ja) | 2007-02-28 | 2007-02-28 | トラヒック制御システムおよびトラヒック制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4620070B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9661008B2 (en) | 2013-02-21 | 2017-05-23 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
WO2015011827A1 (ja) * | 2013-07-26 | 2015-01-29 | 富士通株式会社 | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム |
JP6441950B2 (ja) * | 2013-11-04 | 2018-12-19 | アマゾン・テクノロジーズ・インコーポレーテッド | 分散システムにおける集中ネットワーク構成 |
US10002011B2 (en) | 2013-11-04 | 2018-06-19 | Amazon Technologies, Inc. | Centralized networking configuration in distributed systems |
JP6891961B2 (ja) * | 2017-07-12 | 2021-06-18 | 日本電気株式会社 | ネットワーク制御システム、方法およびプログラム |
JP7312965B2 (ja) * | 2019-11-01 | 2023-07-24 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法、およびプログラム |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002507295A (ja) * | 1997-05-29 | 2002-03-05 | 3コム コーポレイション | 多層型ファイアウオールシステム |
JP2002314588A (ja) * | 2001-04-17 | 2002-10-25 | Mitsubishi Electric Corp | ポリシー定義の配布方法および設定方法 |
JP2003110605A (ja) * | 2001-09-28 | 2003-04-11 | Mitsubishi Electric Corp | ポリシー制御システム、ポリシー制御方法およびその方法をコンピュータに実行させるプログラム |
JP2004185622A (ja) * | 2002-12-04 | 2004-07-02 | Docomo Communications Laboratories Usa Inc | 動的ファイアウォールシステム |
JP2004242222A (ja) * | 2003-02-10 | 2004-08-26 | Hitachi Ltd | ネットワーク制御方法及びネットワーク制御装置 |
JP2005217828A (ja) * | 2004-01-30 | 2005-08-11 | Toshiba Corp | 通信装置、通信制御装置、通信システム及びプログラム |
JP2005354280A (ja) * | 2004-06-09 | 2005-12-22 | Fujitsu Ltd | ポリシールール最適化方法および装置 |
JP2007503189A (ja) * | 2003-06-12 | 2007-02-15 | キャミアント,インク. | 通信ネットワークのためのトポロジー発見による動的サービス配信 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060059551A1 (en) * | 2004-09-13 | 2006-03-16 | Utstarcom Inc. | Dynamic firewall capabilities for wireless access gateways |
-
2007
- 2007-02-28 JP JP2007050186A patent/JP4620070B2/ja not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002507295A (ja) * | 1997-05-29 | 2002-03-05 | 3コム コーポレイション | 多層型ファイアウオールシステム |
JP2002314588A (ja) * | 2001-04-17 | 2002-10-25 | Mitsubishi Electric Corp | ポリシー定義の配布方法および設定方法 |
JP2003110605A (ja) * | 2001-09-28 | 2003-04-11 | Mitsubishi Electric Corp | ポリシー制御システム、ポリシー制御方法およびその方法をコンピュータに実行させるプログラム |
JP2004185622A (ja) * | 2002-12-04 | 2004-07-02 | Docomo Communications Laboratories Usa Inc | 動的ファイアウォールシステム |
JP2004242222A (ja) * | 2003-02-10 | 2004-08-26 | Hitachi Ltd | ネットワーク制御方法及びネットワーク制御装置 |
JP2007503189A (ja) * | 2003-06-12 | 2007-02-15 | キャミアント,インク. | 通信ネットワークのためのトポロジー発見による動的サービス配信 |
JP2005217828A (ja) * | 2004-01-30 | 2005-08-11 | Toshiba Corp | 通信装置、通信制御装置、通信システム及びプログラム |
JP2005354280A (ja) * | 2004-06-09 | 2005-12-22 | Fujitsu Ltd | ポリシールール最適化方法および装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2008219149A (ja) | 2008-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10841279B2 (en) | Learning network topology and monitoring compliance with security goals | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
EP2974212B1 (en) | Filtering network data transfers | |
KR100796996B1 (ko) | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 | |
AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
US8341724B1 (en) | Blocking unidentified encrypted communication sessions | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
TWI528761B (zh) | 網路訊務處理系統 | |
JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
US8904514B2 (en) | Implementing a host security service by delegating enforcement to a network device | |
Mihai-Gabriel et al. | Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory | |
JP2010268483A (ja) | 能動的ネットワーク防衛システム及び方法 | |
KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
EP2213045A1 (en) | Security state aware firewall | |
TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
US20090094691A1 (en) | Intranet client protection service | |
JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
JP2013201747A (ja) | ネットワークシステム、ネットワーク中継方法及び装置 | |
JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
Ashutosh | An insight in to network traffic analysis using packet sniffer | |
JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
KR20110010050A (ko) | 플로우별 동적인 접근제어 시스템 및 방법 | |
Georgiev et al. | An Approach of Network Protection Against DDoS Attacks | |
CN115941223A (zh) | BGP Flowspec路由下发方法及装置、存储介质、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101026 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101027 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131105 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4620070 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |