この発明は、パケット制御装置、パケット制御方法およびパケット制御プログラムに関する。
従来より、インターネット通信が飛躍的に進歩したことに伴い、一般個人の利用者によるインターネット接続が普及し、各種情報のダウンロードや発信などが頻繁になされるようになった。一方、悪意を持つ者によるインターネット接続も増大し、コンピュータウィルスの蔓延、個人情報や秘密情報の盗聴、ウェブページの改ざん、サーバへの攻撃など、様々な種類の脅威が登場するようにもなった。
このような様々な種類の脅威に対しては、利用者側のネットワークにおいて、複数の各種セキュリティ装置を組み合わせて、セキュリティ対策を実施することが効果的である。一般的には、セキュリティ対策の対象となるパケットを制御するパケット制御装置が設置され、このパケット制御装置が、パケットに複数の各種セキュリティ装置を経由させてから、パケットを宛先ネットワークに転送する手法などが実施される。
具体的には、パケット制御装置がパケットを制御し、不正なアクセスを検知する不正侵入検知装置IDS(Intrusion Detection System)、不正なアクセスの検知に加えて攻撃の防御まで行う不正侵入防御装置IPS(Intrusion Prevention System)、特定のURL(Uniform Resource Locator)へのアクセスを制御するURLフィルタ装置、ウィルスチェック装置など、複数の各種セキュリティ装置を経由させる。ここで、パケットにどのセキュリティ装置を経由させるべきであるのかなど、パケット制御装置によるパケットの制御について利用者が定めた方針のことを、セキュリティポリシーという。パケット制御装置によるセキュリティ対策は、通常、セキュリティポリシーに従って実施される。
例えば、非特許文献1において、パケット制御装置は、「IPSec(Security Architecture for Internet Protocol)、SSL(Secure Socket Layer)、およびSSH(Secure Shell)以外のパケットは、すべてのセキュリティ装置を経由させてから転送するが、IPSec、SSL、およびSSHのパケットは、セキュリティ装置を経由させずに転送する」などの通信プロトコルごとのセキュリティポリシーと、パケットに含まれる通信プロトコルに係る情報とを照合することで、パケットを制御している。
"特別企画 シスコ セキュリティソリューション"、[online]、[平成18年4月28日検索]、インターネット<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_01.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_02.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_03.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_04.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_05.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_06.shtml>、<http://www.cisco.com/japanese/warp/public/3/jp/event/campaign/fy06q3asa/asa_07.shtml>
ところで、上記した従来の技術では、以下に説明するように、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することができないという課題がある。すなわち、上記した従来の技術では、通信プロトコルごとのセキュリティポリシーと、パケットに含まれる通信プロトコルに係る情報とを照合することで、パケットを制御するにすぎない。このため、利用者ごとにセキュリティポリシーが異なる場合にセキュリティ対策を実施するには、図15のように、セキュリティ装置を、利用者ごと(または、セキュリティポリシーが共通の利用者ごと)に準備しなければ対応することができず、柔軟に対応することができない。また、利用者ごとにセキュリティポリシーが異なる場合に新たな機能を有するセキュリティ装置を追加するには、図16のように、新たな機能を有するセキュリティ装置を、利用者ごと(または、セキュリティポリシーが共通の利用者ごと)に追加しなければ対応することができず、柔軟に対応することができない。
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することが可能なパケット制御装置、パケット制御方法およびパケット制御プログラムを提供することを目的とする。
上記した課題を解決し、目的を達成するため、本発明は、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従って当該パケットを制御するパケット制御装置であって、パケットに含まれるアドレス情報と当該アドレス情報を含むパケットが経由すべき前記セキュリティ装置を識別する識別情報とが対応づけられた前記ポリシーを保持する保持手段と、前記保持手段によって保持された前記ポリシーとネットワークから受信したパケットに含まれるアドレス情報とを照合し、当該パケットが当該アドレス情報に対応づけられた前記識別情報によって識別される前記セキュリティ装置を経由するように制御する経由制御手段と、を備えたことを特徴とする。
また、本発明は、上記の発明において、前記保持手段は、パケットに含まれるプロトコルに係る情報が、前記アドレス情報と前記識別情報とにさらに対応づけられた前記ポリシーを保持し、前記経由制御手段は、前記保持手段によって保持された前記ポリシーとネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、当該パケットが当該アドレス情報および当該プロトコルに係る情報に対応づけられた前記識別情報によって識別される前記セキュリティ装置を経由するように制御することを特徴とする。
また、本発明は、上記の発明において、前記保持手段は、複数の前記セキュリティ装置がある場合に当該複数のセキュリティ装置をパケットが経由すべき順序がさらに指定された前記ポリシーを保持し、前記経由制御手段は、前記保持手段によって保持された前記ポリシーによって指定された前記順序に従って、当該パケットが前記複数のセキュリティ装置を経由するように制御することを特徴とする。
また、本発明は、上記の発明において、前記保持手段は、パケットが前記セキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定された前記ポリシーを保持し、前記経由制御手段は、前記保持手段によって保持された前記ポリシーによって指定された日付、曜日、時間帯に係る情報のいずれかひとつまたは複数に従って、パケットが前記セキュリティ装置を経由するように制御することを特徴とする。
また、本発明は、上記の発明において、前記セキュリティ装置は、当該セキュリティ装置において検知されたセキュリティに係る状況を通知するものであって、前記保持手段は、前記セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを保持し、前記経由制御手段は、前記セキュリティ装置によって前記セキュリティに係る状況が通知された場合に、前記保持手段によって保持された当該セキュリティに係る状況に区分けされた前記ポリシーに従って、当該セキュリティに係る状況が通知された後に制御するパケットがセキュリティ装置を経由するように制御することを特徴とする。
また、本発明は、上記の発明において、前記保持手段は、前記識別情報として、前記セキュリティ装置を収容するインタフェース情報が対応づけられた前記ポリシーを保持することを特徴とする。
また、本発明は、上記の発明において、前記保持手段は、前記ポリシーに固有の属性値を対応づけて当該ポリシーを保持し、前記経由制御手段は、前記ポリシーに従って制御されるパケットに、当該ポリシーに対応づけられた前記固有の属性値を付与し、当該ポリシーと当該パケットに付与された当該固有の属性値とを照合し、当該属性値に対応するポリシーに従って、当該パケットが前記セキュリティ装置を経由するように当該パケットを制御することを特徴とする。
また、本発明は、上記の発明において、前記保持手段によって保持された前記ポリシーを変更する変更手段をさらに備え、前記保持手段は、前記変更手段によって前記ポリシーを変更された場合に、当該ポリシーに替えて当該変更手段によって変更されたポリシーを保持し、前記経由制御手段は、前記保持手段によって前記変更されたポリシーが保持された場合に、当該変更されたポリシーに従って、当該変更されたポリシーが保持された後に制御するパケットがセキュリティ装置を経由するように制御することを特徴とする。
本発明によれば、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従ってパケットを制御するパケット制御装置であって、パケットに含まれるアドレス情報とアドレス情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持し、保持されたポリシーとネットワークから受信したパケットに含まれるアドレス情報とを照合し、パケットがアドレス情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御するので、通信プロトコルごとのセキュリティポリシーと、パケットに含まれる通信プロトコルに係る情報とを照合することで、パケットを制御する手法に比較して、アドレス情報ごと(利用者ごと)のセキュリティポリシーと、パケットに含まれるアドレス情報とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することが可能になる。すなわち、利用者ごとにセキュリティポリシーが異なる場合にセキュリティ対策を実施する際に、複数の利用者間においてセキュリティ装置を共用することが可能になり、また、利用者ごとにセキュリティポリシーが異なる場合に新たな機能を有するセキュリティ装置を追加する際に、複数の利用者間において新たな機能を有するセキュリティ装置を共用し、システム全体への影響を最小限にすることが可能になる。さらに、複数の利用者間においてセキュリティ装置を共用することから、設備コストや運用コストを削減することが可能になる。
また、本発明によれば、パケットに含まれるプロトコルに係る情報が、アドレス情報と識別情報とにさらに対応づけられたポリシーを保持し、保持されたポリシーとネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットがアドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御するので、アドレス情報ごとおよび通信プロトコルごと(利用者ごとおよび通信プロトコルごと)のセキュリティポリシーと、パケットに含まれるアドレス情報および通信プロトコルに係る情報とを照合することで、パケットを制御することから、利用者ごとおよび通信プロトコルごとにセキュリティポリシーが異なる場合に、柔軟に対応することが可能になる。
また、本発明によれば、複数のセキュリティ装置がある場合に複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持し、保持されたポリシーによって指定された順序に従って、パケットが複数のセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、複数のセキュリティ装置をパケットが経由する順序が指定されたセキュリティポリシーの場合に、柔軟に対応することが可能になる。すなわち、例えば、「最初にファイアウォール装置を通し、次にIPS装置を通す。」というセキュリティポリシーで、最初にファイアウォール装置でパケットフィルタリングを行い、次にIPS装置で攻撃を検知することで、IPS装置での処理負荷を抑えたいという利用者の要望や、「最初にIPS装置を通し、次にファイアウォール装置を通す。」というセキュリティポリシーで、最初にIPS装置で攻撃を検知し、次にファイアウォール装置でパケットフィルタリングを行うことで、攻撃に関する情報をもれなく収集したいという利用者の要望などに、柔軟に対応することが可能になる。
また、本発明によれば、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーを保持し、保持されたポリシーによって指定された日付、曜日、時間帯に係る情報のいずれかひとつまたは複数に従って、パケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置を経由する日付、曜日、時間帯などが指定されたセキュリティポリシーの場合に、柔軟に対応することが可能になる。
また、本発明によれば、セキュリティ装置は、セキュリティ装置において検知されたセキュリティに係る状況を通知するものであって、セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを保持し、セキュリティ装置によってセキュリティに係る状況が通知された場合に、保持されたセキュリティに係る状況に区分けされたポリシーに従って、セキュリティに係る状況が通知された後に制御するパケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置によって通知されるセキュリティに係る状況ごとにセキュリティポリシーが異なる場合に、柔軟かつ迅速に対応することが可能になる。
また、本発明によれば、識別情報として、セキュリティ装置を収容するインタフェース情報が対応づけられたポリシーを保持するので、パケットがパケット制御装置に入力される入力インタフェースや、パケットがパケット制御装置から出力される出力インタフェースなど、パケットがセキュリティ装置を経由する際の入出力に係る物理的な情報を利用することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に、柔軟かつ簡易に対応することが可能になる。
また、本発明によれば、ポリシーに固有の属性値を対応づけてポリシーを保持し、ポリシーに従って制御されるパケットに、ポリシーに対応づけられた固有の属性値を付与し、ポリシーとパケットに付与された固有の属性値とを照合し、属性値に対応するポリシーに従って、パケットがセキュリティ装置を経由するようにパケットを制御するので、例えば、アドレス情報ごとおよび通信プロトコルごと(利用者ごとおよび通信プロトコルごと)のセキュリティポリシーと、パケットに含まれるアドレス情報および通信プロトコルに係る情報とを照合することで、パケットを制御する手法に比較して、ひとつの属性値に対応づけられたセキュリティポリシーと、ひとつの属性値とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に、柔軟かつ処理負荷を軽減して対応することが可能になる。
また、本発明によれば、保持されたポリシーを変更し、ポリシーを変更された場合に、このポリシーに替えて変更されたポリシーを保持し、変更されたポリシーが保持された場合に、変更されたポリシーに従って、変更されたポリシーが保持された後に制御するパケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティポリシーに変更が必要になった場合に、柔軟かつ迅速に対応することが可能になる。
以下に添付図面を参照して、この発明に係るパケット制御装置の実施例を詳細に説明する。なお、以下では、実施例で用いる主要な用語、実施例1に係るパケット制御装置の概要および特徴、実施例1に係るパケット制御装置の構成および処理の手順、実施例1の効果を順に説明し、次に、他の実施例について説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「セキュリティ装置」とは、インターネット接続する利用者ネットワークのセキュリティ(安全)を確保することを目的として、インターネットにおける脅威から利用者ネットワークを守るための装置である。具体的には、セキュリティ装置は、利用者ネットワーク内部に利用者ネットワークの管理者によって設置される場合や、ISP(Internet Service Provider)などのネットワークプロバイダ内部に設置される場合などがあり、このようなセキュリティ装置を、インターネットと利用者ネットワークとの間で送受信される「パケット」が経由することで、セキュリティを確保する。
ところで、インターネットにおける脅威には様々な種類があることから、これらの脅威に対抗するセキュリティ装置にも様々な種類がある。例えば、利用者ネットワークに対する不正アクセスの脅威に対抗するには、不正アクセスを検知する機能を有する不正侵入検知装置IDS(Intrusion Detection System)や、不正アクセスに伴う攻撃を防御する機能を有する不正侵入防御装置IPS(Intrusion Prevention System)がある。また、例えば、利用者ネットワークに送信されたメールによるウィルス感染の脅威に対抗するには、ウィルス感染を検知するウィルスチェック装置がある。この他にも、ファイアウォール装置や、URL(Uniform Resource Locator)フィルタ装置など、様々な種類の脅威に対抗する様々な種類のセキュリティ装置があり、インターネットにおける脅威全てに対抗するには、可能な限り多くの種類のセキュリティ装置をパケットが経由することが効果的である。
しかしながら、一方で、パケットがセキュリティ装置を経由すると、セキュリティ装置において、パケットに含まれる各種情報を読み取り、読み取った各種情報に基づいて各種処理を行うことから、結果として、パケットの転送速度が低下するなどのデメリットが生ずることも考えられる。このため、実際には、全てのパケットが全てのセキュリティ装置を経由するというものではなく、利用者ネットワークごとに、どの脅威に対抗することを優先するべきであるのか、すなわち、どのパケットがどのセキュリティ装置を経由するべきであるのかなどの方針(特許請求の範囲に記載の「ポリシー」に対応する)が異なるのが通常である。
このように、利用者ネットワークごとに、どのパケットがどのセキュリティ装置を経由するべきであるのかなどの方針(ポリシー)が異なることから、多数の利用者ネットワークを収容するネットワークプロバイダなどでは、上記したような利用者ネットワークごとの方針(ポリシー)に従ってパケットをセキュリティ装置に経由させなければならず、方針(ポリシー)に従ってパケットを制御する「パケット制御装置」が重要な役割を果たすことになる。
[実施例1に係るパケット制御装置の概要および特徴]
続いて、図1を用いて、実施例1に係るパケット制御装置の概要および特徴を説明する。図1は、実施例1に係るパケット制御装置の概要および特徴を説明するための図である。
実施例1に係るパケット制御装置は、上記したように、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従ってパケットを制御することを概要とし、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することを主たる特徴とする。
この主たる特徴について簡単に説明すると、実施例1に係るパケット制御装置は、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)とが対応づけられたポリシーを保持する。例えば、図1に示すように、パケット制御装置は、ポリシー保持部において、パケットに含まれるアドレス情報(「129.60.10.0/28」)およびプロトコルに係る情報(「80」)と、このアドレス情報(「129.60.10.0/28」)およびプロトコルに係る情報(「80」)を含むパケットが経由すべきセキュリティ装置を識別する識別情報(「IF#1」、「IF#2」、および「IF#3」)とが対応づけられたポリシーを保持する。
このように構成された実施例1に係るパケット制御装置は、ポリシー保持部によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、このパケットが、このアドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する。例えば、図1に示すように、パケット制御装置は、ポリシー保持部によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報(「129.60.10.0/28」)およびプロトコルに係る情報(「80」)とを照合し(図1の(1)を参照)、このパケットが、このアドレス情報およびプロトコルに係る情報に対応づけられた識別情報(「IF#1」、「IF#2」、および「IF#3」)によって識別されるセキュリティ装置を経由するように制御する(図1の(2)を参照)。
このようにして、実施例1に係るパケット制御装置は、アドレス情報ごと(利用者ごと)のセキュリティポリシーと、パケットに含まれるアドレス情報とを照合することで、パケットを制御することから、上記した主たる特徴のごとく、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することが可能になる。
ところで、実施例1に係るパケット制御装置は、複数のセキュリティ装置がある場合に、複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持し、ポリシーによって指定された順序に従って、パケットが複数のセキュリティ装置を経由するように制御することにも特徴がある。
例えば、図1に示すように、パケット制御装置は、複数のセキュリティ装置(「IPS装置」、「URLフィルタ装置」、および「ウィルスチェック装置」)がある場合には、複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持し(図1の(2)−(A)〜(D)を参照)、このポリシーによって指定された順序に従って、最初に、識別情報「IF#1」によって識別される「IPS装置」を経由するようにパケットを制御し(図1の(2)−(A)を参照)、次に、識別情報「IF#2」によって識別される「URLフィルタ装置」を経由するようにパケットを制御し(図1の(2)−(B)を参照)、その後に、識別情報「IF#3」によって識別される「ウィルスチェック装置」を経由するようにパケットを制御する(図1の(2)−(C)を参照)。
[実施例1に係るパケット制御装置の構成]
次に、図2〜図4を用いて、実施例1に係るパケット制御装置を説明する。図2は、パケット制御装置の構成を示すブロック図であり、図3および図4は、ポリシー保持部を説明するための図である。
図2に示すように、実施例1に係るパケット制御装置10は、ポリシー受付用ネットワークインタフェース部11と、ネットワークインタフェース部12と、記憶部20と、制御部30とから構成される。
ポリシー受付用ネットワークインタフェース部11は、パケット制御装置10に設定するポリシーの受付やパケット制御装置10の保守に際して通信を行うインタフェースである。例えば、ポリシー受付用ネットワークインタフェース部11は、RS−232C(Recommended Standard 232 version C)などのインタフェースを有し、ケーブルで接続されたコンソール端末などとシリアル通信を行うことで、パケット制御装置10に設定するポリシーを受信する。
ネットワークインタフェース部12は、パケット制御装置10がセキュリティ装置を収容して通信を行うインタフェースである。例えば、ネットワークインタフェース部12は、モジュールタイプのセキュリティ装置を収容したり、RJ−45などのインタフェースでセキュリティ装置を収容したりする。なお、実施例1に係るパケット制御装置10は、このようなインタフェースを複数備えており、パケット制御装置10は、インタフェースに係る情報(例えば、インタフェースに付与された番号など)によって、収容するセキュリティ装置を識別する。
記憶部20は、制御部30による各種処理に用いるデータを記憶する手段であり、特にこの発明に密接に関連するものとしては、図2に示すように、ポリシー保持部21と、パケットバッファ部22とを備える。なお、ポリシー保持部21は、特許請求の範囲に記載の「保持手段」に対応する。
かかる記憶部20のなかで、ポリシー保持部21は、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)とが対応づけられたポリシーを保持する手段である。具体的には、ポリシー保持部21は、後述するポリシー受付部31によって受け付けられたポリシーを保持し、保持したポリシーは、後述するパケット経由制御部33による経由制御処理に利用される。また、ポリシー保持部21は、複数のセキュリティ装置がある場合に、複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持する。
例えば、ポリシー保持部21は、図3に示すような内容のポリシーを保持する。「外部ネットワークから利用者ネットワーク1宛の」の部分は、パケット制御装置10が、「外部ネットワーク」から「利用者ネットワーク1」に送信されたパケットを制御することを示している。この時、「外部ネットワーク」は、ポリシー保持部21において、送信元アドレスで表現され、「利用者ネットワーク1」は、宛先アドレスで表現される。また、「HTTPのパケットは、」の部分は、パケット制御装置10が、HTTP(HyperText Transfer Protocol)のパケットを制御することを示している。この時、「HTTP」は、ポリシー保持部21において、宛先ポート番号で表現される。また、「最初にIPS装置を通し、次にURLフィルタ装置を通し、その後にウィルスチェック装置を通す。」の部分は、パケット制御装置10が制御するパケットが、複数のセキュリティ装置を経由すべき順序を示している。この時、「IPS装置」、「URLフィルタ装置」、および「ウィルスチェック装置」は、ポリシー保持部21において、インタフェースに係る情報で表現される。
ポリシー保持部21は、図3に示すような内容のポリシーを、例えば、図4に示すような形態で保持する。図4に示す1行目のポリシーを説明すると、パケット制御装置10が、インタフェースに係る情報「IF#a」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、インタフェースに係る情報「IF#1」を経由するように制御することを示している。実施例1において、「IF#a」は、外部ネットワークを識別する識別情報であり、「IF#1」は、セキュリティ装置である「IPS装置」を識別する識別情報であるので、図4に示す1行目のポリシーは、パケット制御装置10が、外部ネットワークから入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、「IPS装置」を経由するように制御することを示している。なお、送信元アドレスおよび送信元ポート番号は、いずれでもよいことを示しており(「Any」)、トランスポート層のプロトコルは、「TCP(Transmission Control Protocol)」であることを示している。
また、同様に、図4に示す2行目のポリシーを説明すると、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、インタフェースに係る情報「IF#2」を経由するように制御することを示している。実施例1において、「IF#2」は、セキュリティ装置である「URLフィルタ装置」を識別する識別情報であるので、図4に示すポリシーの2行目は、パケット制御装置10が、「IPS装置」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、「URLフィルタ装置」を経由するように制御することを示している。すなわち、図4に示す2行目のポリシーは、1行目のポリシーで制御されたパケットが経由する次のセキュリティ装置を示すものである。図4の示す3行目のポリシーおよび4行目のポリシーも、同様である。
このように、実施例1におけるポリシー保持部21は、アドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持し、複数のセキュリティ装置がある場合に、複数のセキュリティ装置をパケットが経由すべき順序が指定されたポリシーを保持する。また、ポリシー保持部21は、後述するポリシー変更部32によってポリシーを変更された場合に、保持するポリシーに替えて変更されたポリシーを保持する。なお、実施例1においては、ポリシー保持部21が保持するポリシーとして図3および図4のみを例示したが、実際には、他のアドレス情報および他のプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する他のポリシーも保持する場合が通常である。
ここで、図2に戻ると、パケットバッファ部22は、パケット制御装置10がネットワークから受信したパケットを一時的に記憶する手段である。具体的には、パケットバッファ部22は、ネットワークから受信したパケットを一時的に記憶し、記憶したパケットは、後述するパケット経由制御部33による経由制御処理に利用される。
制御部30は、パケット制御装置10を制御して各種処理を実行する手段であり、特にこの発明に密接に関連するものとしては、図2に示すように、ポリシー受付部31と、ポリシー変更部32と、パケット経由制御部33とを備える。なお、ポリシー変更部32は、特許請求の範囲に記載の「変更手段」に対応し、パケット経由制御部33は、特許請求の範囲に記載の「経由制御手段」に対応する。
かかる制御部30のなかで、ポリシー受付部31は、パケット制御装置10に設定するポリシーを受け付ける手段である。具体的には、ポリシー受付部31は、ポリシー受付用ネットワークインタフェース部11経由で受信したポリシーを受け付け、受け付けたポリシーを、ポリシー保持部21に記憶させる。
ポリシー変更部32は、ポリシーを変更する手段である。具体的には、ポリシー変更部32は、ポリシー保持部21によって保持されたポリシーに替えて、ポリシー受付部31によって変更を受け付けられたポリシーをポリシー保持部21に保持させ、ポリシーを変更する。
パケット経由制御部33は、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットが、アドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する手段である。具体的には、実施例1におけるパケット経由制御部33は、ポリシー保持部21によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットが、アドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する。また、パケット経由制御部33は、ポリシー保持部21によって保持されたポリシーに指定された順序に従って、パケットが複数のセキュリティ装置を経由するように制御する。
例えば、パケット経由制御部33は、外部ネットワークからパケットを受信すると、ポリシー保持部21によって保持された図4に示すようなポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合する。実施例1において、外部ネットワークからパケットが入力されるインタフェースは「IF#a」であるので、パケット経由制御部33は、「IF#a」、「129.60.10.0/28」、および「80」を、図4に示すポリシーと照合する。すると、図4に示す1行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#1」)によって識別されるセキュリティ装置(「IPS装置」)を経由するようにパケットを制御する。
パケット経由制御部33が「IPS装置」を経由するように制御したパケットは、経由した「IPS装置」から再びパケット制御装置10に送信される。このため、パケット経由制御部33は、セキュリティ装置から送信されたパケットを受信すると、再び、ポリシー保持部21によって保持された図4に示すようなポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合する。すなわち、パケット経由制御部33は、「IF#1」、「129.60.10.0/28」、および「80」を、図4に示すポリシーと照合する。すると、図4に示す2行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(IF#2)によって識別されるセキュリティ装置(「URLフィルタ装置」)を経由するようにパケットを制御する。
パケット経由制御部33は、セキュリティ装置から送信されたパケットを受信すると、同様の処理を繰り返し、ポリシー保持部21によって保持された図4に示すようなポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合した結果、対応づけられた識別情報が利用者ネットワーク(IF#b)になった場合に、利用者ネットワークにパケットを送信し、処理を終了する。
[実施例1に係るパケット制御装置による処理の手順]
次に、図5を用いて、実施例1に係るパケット制御装置による処理の手順を説明する。図5は、実施例1に係るパケット制御装置による処理の手順を示すフローチャートである。なお、実施例1に係るパケット制御装置10は、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)とが対応づけられたポリシーを、ポリシー保持部21にすでに保持しているものとし、以下では、このようなポリシーをすでに保持するパケット制御装置10がパケットを制御する経由制御処理について説明する。
まず、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する(ステップS501)。具体的には、パケット制御装置10は、パケット経由制御部33において、パケットバッファ部22に外部ネットワーク(「IF#a」)から受信したパケットが有るか否かを判断する。判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが無い場合には(ステップS501否定)、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが有る場合には(ステップS501肯定)、パケット制御装置10は、パケット経由制御部33において、ポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合して、一致したか否かを判断する(ステップS502)。具体的には、パケット制御装置10は、パケット経由制御部33において、ポリシー保持部21に保持するポリシーと、パケットバッファ部22に記憶する上記のパケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合して、一致したか否かを判断する。
判断の結果、一致しない場合には(ステップS502否定)、パケットが経由すべきセキュリティ装置が指定されていない場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS506)。
一方、判断の結果、一致する場合には(ステップS502肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報に対応づけられたセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)が、利用者ネットワーク(「IF#b」)であるか否かを判断する(ステップS503)。
判断の結果、利用者ネットワーク(「IF#b」)である場合には(ステップS503肯定)、パケットが経由すべきセキュリティ装置を全て経由した場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS506)。
一方、判断の結果、利用者ネットワーク(「IF#b」)でない場合には(ステップS503否定)、パケット制御装置10は、パケット経由制御部33において、識別情報によって識別されるセキュリティ装置を経由するように、パケットを制御する(ステップS504)。例えば、識別情報が「IF#1」である場合には、パケット制御装置10は、パケット経由制御部33において、「IF#1」によって識別されるセキュリティ装置「IPS装置」を経由するように、パケットを制御する。
次に、パケット制御装置10は、パケット経由制御部33において、パケットを制御したセキュリティ装置からパケットを受信したか否かを判断する(ステップS505)。上記した例で説明すると、パケット制御装置10は、パケット経由制御部33において、例えば、セキュリティ装置「IPS装置」からパケットを受信したか否かを判断する。判断の結果、パケットを受信していない場合には(ステップS505否定)、パケット制御装置10は、パケット経由制御部33において、パケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、パケットを受信した場合には(ステップS505肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報に対応づけられたセキュリティ装置を識別する識別情報が、利用者ネットワーク(「IF#b」)であるか否かを判断する処理に戻る(ステップS503)。
そして、パケット制御装置10は、パケット経由制御部33において、ステップS503でパケットに対応づけられた識別情報が利用者ネットワーク(「IF#b」)と判断されるまで、ステップS504およびステップS505の処理を繰り返すことにより、ポリシーによって指定されたパケットが経由すべき順序に従って、パケットが複数のセキュリティ装置を経由するように制御する。
このようにして、実施例1に係るパケット制御装置10は、アドレス情報ごと(利用者ごと)のセキュリティポリシーと、パケットに含まれるアドレス情報とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することが可能になる。
なお、実施例1では、パケット制御装置10が、外部ネットワークから受信したパケットを利用者ネットワークに送信する場合について説明したが、この発明はこれに限られるものではなく、パケット制御装置10が、利用者ネットワークから受信したパケットを外部ネットワークに送信する場合にも、この発明を同様に適用することができる。また、実施例1では、パケット制御装置10が、外部ネットワークから受信したあるパケットをポリシーに従って制御する一連の処理について説明したが、この発明はこれに限られるものではなく、パケット制御装置10が、異なるアドレス情報や異なるプロトコルに係る情報が含まれる複数のパケットを受信し、上記したような手順を、各々のパケットについてほぼ並行して行う処理にも、この発明を同様に適用することができる。
[実施例1の効果]
上記してきたように、実施例1によれば、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従ってパケットを制御するパケット制御装置であって、パケットに含まれるアドレス情報とアドレス情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持し、保持されたポリシーとネットワークから受信したパケットに含まれるアドレス情報とを照合し、パケットがアドレス情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御するので、通信プロトコルごとのセキュリティポリシーと、パケットに含まれる通信プロトコルに係る情報とを照合することで、パケットを制御する手法に比較して、アドレス情報ごと(利用者ごと)のセキュリティポリシーと、パケットに含まれるアドレス情報とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することが可能になる。すなわち、利用者ごとにセキュリティポリシーが異なる場合にセキュリティ対策を実施する際に、複数の利用者間においてセキュリティ装置を共用することが可能になり、また、利用者ごとにセキュリティポリシーが異なる場合に新たな機能を有するセキュリティ装置を追加する際に、複数の利用者間において新たな機能を有するセキュリティ装置を共用し、システム全体への影響を最小限にすることが可能になる。さらに、複数の利用者間においてセキュリティ装置を共用することから、設備コストや運用コストを削減することが可能になる。
また、実施例1によれば、パケットに含まれるプロトコルに係る情報が、アドレス情報と識別情報とにさらに対応づけられたポリシーを保持し、保持されたポリシーとネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットがアドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御するので、アドレス情報ごとおよび通信プロトコルごと(利用者ごとおよび通信プロトコルごと)のセキュリティポリシーと、パケットに含まれるアドレス情報および通信プロトコルに係る情報とを照合することで、パケットを制御することから、利用者ごとおよび通信プロトコルごとにセキュリティポリシーが異なる場合に、柔軟に対応することが可能になる。
また、実施例1によれば、複数のセキュリティ装置がある場合に複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持し、保持されたポリシーによって指定された順序に従って、パケットが複数のセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、複数のセキュリティ装置をパケットが経由する順序が指定されたセキュリティポリシーの場合に、柔軟に対応することが可能になる。すなわち、例えば、「最初にファイアウォール装置を通し、次にIPS装置を通す。」というセキュリティポリシーで、最初にファイアウォール装置でパケットフィルタリングを行い、次にIPS装置で攻撃を検知することで、無駄なトラヒックを抑えたいという利用者の要望や、「最初にIPS装置を通し、次にファイアウォール装置を通す。」というセキュリティポリシーで、最初にIPS装置で攻撃を検知し、次にファイアウォール装置でパケットフィルタリングを行うことで、攻撃に関する情報を収集したいという利用者の要望などに、柔軟に対応することが可能になる。
また、実施例1によれば、識別情報として、セキュリティ装置を収容するインタフェース情報が対応づけられたポリシーを保持するので、パケットがパケット制御装置に入力される入力インタフェースや、パケットがパケット制御装置から出力される出力インタフェースなど、パケットがセキュリティ装置を経由する際の入出力に係る物理的な情報を利用することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に、柔軟かつ簡易に対応することが可能になる。
また、実施例1によれば、保持されたポリシーを変更し、ポリシーを変更された場合に、このポリシーに替えて変更されたポリシーを保持し、変更されたポリシーが保持された場合に、変更されたポリシーに従って、変更されたポリシーが保持された後に制御するパケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティポリシーに変更が必要になった場合に、柔軟かつ迅速に対応することが可能になる。
さて、これまで、実施例1として、パケット制御装置が、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合する手法を説明したが、この発明はこれに限られるものではなく、パケット制御装置が、ポリシーと、ネットワークから受信したパケットに付与された固有の属性値(ポリシーと対応づけられた固有の属性値)とを照合する手法にも、この発明を同様に適用することができる。そこで、以下では、実施例2として、パケット制御装置が、ポリシーと、ネットワークから受信したパケットに付与された固有の属性値とを照合する手法について説明する。
[実施例2に係るパケット制御装置の構成]
まず、図6を用いて、実施例2に係るパケット制御装置の構成を説明する。図6は、ポリシー保持部を説明するための図である。なお、以下では、実施例2に係るパケット制御装置において、実施例1に係るパケット制御装置と同様に構成される部については説明を省略し、ポリシー保持部21およびパケット経由制御部33についてのみ詳細に説明する。
実施例2におけるポリシー保持部21は、実施例1と同様、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持する手段であるが、このポリシーを、ポリシーに固有の属性値を対応づけて保持する点で、実施例1と異なる。
例えば、ポリシー保持部21は、図6の(B)および(C)に示すような形態でポリシーを保持する。まず、ポリシー保持部21は、図6の(B)に示すように、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットに係る情報に、固有の属性値「1」を対応づけて保持する。また、ポリシー保持部21は、図6の(C)に示すように、アドレス情報およびプロトコルに係る情報に、固有の属性値「1」を対応づけたポリシーを保持する。
実施例2におけるポリシー保持部21において、図6の(B)および(C)に示すような形態で保持されたポリシーは、実施例1におけるポリシー保持部21において保持されたポリシー(図4を参照)と同じ内容でパケットを制御するものであるが、ポリシーに固有の属性値「1」を対応づけて保持する点で、実施例1と異なる。
すなわち、図6の(C)に示す1行目のポリシーを説明すると、実施例1と同様、パケット制御装置10が、インタフェースに係る情報「IF#a」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、インタフェースに係る情報「IF#1」を経由するように制御することを示している。また、図6の(C)に示す2行目のポリシーを説明すると、実施例1と同様、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、インタフェースに係る情報「IF#2」を経由するように制御することを示している。図6の(C)に示す3行目のポリシーおよび4行目のポリシーも、同様である。
実施例2におけるパケット経由制御部33は、実施例1と同様、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットが、アドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する手段であるが、ポリシーに従って制御されるパケットに、ポリシーに対応づけられた固有の属性値を付与し、ポリシーとパケットに付与された固有の属性値とを照合し、属性値に対応するポリシーに従って、パケットがセキュリティ装置を経由するようにパケットを制御する点で、実施例1と異なる。
例えば、パケット経由制御部33は、外部ネットワークからパケットを受信すると、ポリシー保持部21によって保持された図6の(B)に示すようなポリシーと、パケットに含まれるアドレス情報およびプロトコルに係る情報とを照合する。実施例2において、パケット経由制御部33は、「129.60.10.0/28」および「80」を、図6の(B)に示すポリシーと照合する。すると、「129.60.10.0/28」および「80」が、図6の(B)に示す宛先アドレスおよび宛先ポート番号と一致するので、パケット経由制御部33は、「129.60.10.0/28」および「80」が含まれるパケットに、図6の(B)に示す固有の属性値「1」を付与する(図6の(A)を参照)。
また、パケット経由制御部33は、図6の(C)に示すようなポリシーと、パケットが入力されたインタフェースに係る情報および属性値とを照合する。実施例2において、外部ネットワークからパケットが入力されるインタフェースは「IF#a」であるので、パケット経由制御部33は、「IF#a」および属性値「1」を、図6の(C)に示すポリシーと照合する。すると、図6の(C)に示す1行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#1」)によって識別されるセキュリティ装置(「IPS装置」)を経由するようにパケットを制御する。
パケット経由制御部33が「IPS装置」を経由するように制御したパケットは、実施例1と同様、経由した「IPS装置」から再びパケット制御装置10に送信される。このため、パケット制御部33は、セキュリティ装置から送信されたパケットを受信すると、再び、ポリシー保持部21によって保持された図6の(C)に示すようなポリシーと、パケットが入力されたインタフェースに係る情報および属性値とを照合する。すなわち、実施例2におけるパケット経由制御部33は、「IF#1」および属性値「1」を、図6の(C)に示すポリシーと照合する。すると、図6の(C)に示す2行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#2」)によって識別されるセキュリティ装置(「URLフィルタ装置」)を経由するようにパケットを制御する。
パケット経由制御部33は、セキュリティ装置から送信されたパケットを受信すると、同様の処理を繰り返し、ポリシー保持部21によって保持された図6の(C)に示すようなポリシーと、パケットが入力されたインタフェースに係る情報および属性値とを照合した結果、対応づけられた識別情報が利用者ネットワーク(「IF#b」)になった場合に、利用者ネットワークにパケットを送信し、処理を終了する。
[実施例2に係るパケット制御装置による処理の手順]
次に、図7を用いて、実施例2に係るパケット制御装置による処理の手順を説明する。図7は、実施例2に係るパケット制御装置による処理の手順を示すフローチャートである。なお、実施例2に係るパケット制御装置10は、固有の属性値が対応づけられたポリシーを、ポリシー保持部21によってすでに保持しているものとし、以下では、このようなポリシーをすでに保持するパケット制御装置10がパケットを制御する経由制御処理について説明する。
まず、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する(ステップS701)。判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが無い場合には(ステップS701否定)、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが有る場合には(ステップS701肯定)、パケット制御装置10は、パケット経由制御部33において、ポリシーと、パケットに含まれるアドレス情報およびプロトコルに係る情報とを照合して、一致したか否かを判断する(ステップS702)。具体的には、パケット制御装置10は、パケット経由制御部33において、ポリシー保持部21に保持するポリシー(例えば、図6の(B)など)と、パケットバッファ部22に記憶する上記のパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合して、一致したか否かを判断する。
判断の結果、一致しない場合には(ステップS702否定)、パケットが経由すべきセキュリティ装置が指定されていない場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS708)。
一方、判断の結果、一致する場合には(ステップS702肯定)、パケット制御装置10は、パケット経由制御部33において、パケットに含まれるアドレス情報およびプロトコルに係る情報と一致したポリシーに対応づけられた固有の属性値を、パケットに付与する(ステップS703)。
そして、パケット制御装置10は、パケット経由制御部33において、ポリシー(例えば、図6の(C)など)と、パケットが入力されたインタフェースに係る情報およびパケットに付与された固有の属性値とを照合して、一致したか否かを判断する(ステップS704)。判断の結果、一致しない場合には(ステップS704否定)、パケットが経由すべきセキュリティ装置が指定されていない場合であるので(例えば、図6の(B)のポリシーは指定されていたが、(C)のポリシーが指定されていなかったような場合などであるので)、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS708)。
一方、判断の結果、一致する場合には(ステップS704肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報および属性値に対応づけられたセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)が、利用者ネットワーク(「IF#b」)であるか否かを判断する(ステップS705)。
判断の結果、利用者ネットワーク(「IF#b」)である場合には(ステップS705肯定)、パケットが経由すべきセキュリティ装置を全て経由した場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS708)。
一方、判断の結果、利用者ネットワーク(「IF#b」)でない場合には(ステップS705否定)、パケット制御装置10は、パケット経由制御部33において、識別情報によって識別されるセキュリティ装置を経由するように、パケットを制御する(ステップS706)。例えば、識別情報が「IF#1」である場合には、パケット制御装置10は、パケット経由制御部33において、「IF#1」によって識別されるセキュリティ装置「IPS装置」を経由するように、パケットを制御する。
次に、パケット制御装置10は、パケット経由制御部33において、パケットを制御したセキュリティ装置からパケットを受信したか否かを判断する(ステップS707)。上記した例で説明すると、パケット制御装置10は、パケット経由制御部33において、例えば、セキュリティ装置「IPS装置」からパケットを受信したか否かを判断する。判断の結果、パケットを受信していない場合には(ステップS707否定)、パケット制御装置10は、パケット経由制御部33において、パケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、パケットを受信した場合には(ステップS707肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報および属性値に対応づけられたセキュリティ装置を識別する識別情報が、利用者ネットワーク(「IF#b」)であるか否かを判断する処理に戻る(ステップS705)。
そして、パケット制御装置10は、パケット経由制御部33において、ステップS705でパケットに対応づけられた識別情報が利用者ネットワーク(「IF#b」)と判断されるまで、ステップS706およびステップS707の処理を繰り返すことにより、ポリシーによって指定されたパケットが経由すべき順序に従って、パケットが複数のセキュリティ装置を経由するように制御する。
このようにして、実施例2に係るパケット制御装置10は、ひとつの属性値に対応づけられたセキュリティポリシーと、ひとつの属性値とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に柔軟かつ処理負荷を軽減して対応することが可能になる。
[実施例2の効果]
上記してきたように、実施例2によれば、ポリシーに固有の属性値を対応づけてポリシーを保持し、ポリシーに従って制御されるパケットに、ポリシーに対応づけられた固有の属性値を付与し、ポリシーとパケットに付与された固有の属性値とを照合し、属性値に対応するポリシーに従って、パケットがセキュリティ装置を経由するようにパケットを制御するので、例えば、アドレス情報ごとおよび通信プロトコルごと(利用者ごとおよび通信プロトコルごと)のセキュリティポリシーと、パケットに含まれるアドレス情報および通信プロトコルに係る情報とを照合することで、パケットを制御する手法に比較して、ひとつの属性値に対応づけられたセキュリティポリシーと、ひとつの属性値とを照合することで、パケットを制御することから、利用者ごとにセキュリティポリシーが異なる場合に、柔軟かつ処理負荷を軽減して対応することが可能になる。
続いて、これまで、実施例1または実施例2として、パケット制御装置が、パケットが経由すべきセキュリティ装置を指定するポリシーに従ってパケットを制御する手法を説明したが、この発明はこれに限られるものではなく、パケット制御装置が、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーに従ってパケットを制御する手法にも、この発明を同様に適用することができる。そこで、以下では、実施例3として、パケット制御装置が、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーに従ってパケットを制御する手法について説明する。
[実施例3に係るパケット制御装置の構成]
まず、図8および図9を用いて、実施例3に係るパケット制御装置の構成を説明する。図8および図9は、ポリシー保持部を説明するための図である。なお、以下では、実施例3に係るパケット制御装置において、実施例1または実施例2に係るパケット制御装置と同様に構成される部については説明を省略し、ポリシー保持部21およびパケット経由制御部33についてのみ詳細に説明する。
実施例3におけるポリシー保持部21は、実施例1または実施例2と同様、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持する手段であるが、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーを保持する点で、実施例1または実施例2と異なる。
例えば、ポリシー保持部21は、図8に示すような内容のポリシーを保持する。「外部ネットワークから利用者ネットワーク1宛の」の部分は、実施例1または実施例2と同様、パケット制御装置10が、「外部ネットワーク」から「利用者ネットワーク1」に送信されたパケットを制御することを示している。また、「HTTPのパケットは、」の部分は、実施例1または実施例2と同様、パケット制御装置10が、HTTPのパケットを制御することを示している。
ところで、実施例3におけるポリシー保持部21は、実施例1または実施例2と異なり、パケット制御装置10が制御するパケットが、複数のセキュリティ装置を経由すべき順序として、「最初にIPS装置を通し、次に平日の10:00〜17:00のみURLフィルタ装置を通し、その後にウィルスチェック装置を通す。」という内容のポリシーを保持する。すなわち、実施例3におけるポリシー保持部21は、パケット制御装置10が制御するパケットが、「平日の10:00〜17:00」には、「IPS装置」、「URLフィルタ装置」、「ウィルスチェック装置」の順序で3台のセキュリティ装置を経由すべきであるが、「平日の10:00〜17:00以外」には、「IPS装置」、「ウィルスチェック装置」の順序で2台のセキュリティ装置を経由すべきであることを示す内容のポリシーを保持する。
実施例3におけるポリシー保持部21は、図8に示すような内容のポリシーを、例えば、図9に示すような形態で保持する。図9に示す2行目のポリシーを説明すると、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、「月〜金の10:00〜17:00」には、インタフェースに係る情報「IF#2」を経由するように制御することを示している。また、図9に示す3行目のポリシーを説明すると、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート番号が「80」であるパケットを、「月〜金の10:00〜17:00以外」には、インタフェースに係る情報「IF#3」を経由するように制御することを示している。
実施例3におけるパケット経由制御部33は、実施例1または実施例2と同様、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットが、アドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する手段であるが、ポリシーによって指定された日付、曜日、時間帯に係る情報のいずれかひとつまたは複数に従って、パケットがセキュリティ装置を経由するように制御する点で、実施例1または実施例2と異なる。
例えば、パケット経由制御部33は、識別情報「IF#1」によって識別される「IPS装置」から送信されたパケットを受信すると、ポリシー保持部21によって保持された図9の2行目に示すようなポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、プロトコルに係る情報、および作動条件(日付、曜日、時間帯に係る情報)とを照合する。すなわち、実施例3におけるパケット制御部33は、「IF#1」、「129.60.10.0/28」、「80」、および作動条件(現在の日付、曜日、時間帯に係る情報)を、図9に示すポリシーと照合する。
すると、現在の日付、曜日、時間帯に係る情報が、「月〜金の10:00〜17:00」に一致する場合には、図9の2行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#2」)によって識別されるセキュリティ装置(「URLフィルタ装置」)を経由するようにパケットを制御する。一方、現在の日付、曜日、時間帯に係る情報が、「月〜金の10:00〜17:00」に一致しない場合、すなわち、「月〜金の10:00〜17:00以外」に一致する場合には、図9の3行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#3」)によって識別されるセキュリティ装置(「ウィルスチェック装置」)を経由するようにパケットを制御する。
[実施例3に係るパケット制御装置による処理の手順]
次に、図10を用いて、実施例3に係るパケット制御装置による処理の手順を説明する。図10は、実施例3に係るパケット制御装置による処理の手順を示すフローチャートである。なお、実施例3に係るパケット制御装置10は、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーを、ポリシー保持部21によってすでに保持しているものとし、以下では、このようなポリシーをすでに保持するパケット制御装置10がパケットを制御する経由制御処理について説明する。
まず、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する(ステップS1001)。判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが無い場合には(ステップS1001否定)、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが有る場合には(ステップS1001肯定)、パケット制御装置10は、パケット経由制御部33において、ポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、プロトコルに係る情報、および作動条件(現在の日付、曜日、時間帯に係る情報)とを照合して、一致したか否かを判断する(ステップS1002)。
判断の結果、一致しない場合には(ステップS1002否定)、パケットが経由すべきセキュリティ装置が指定されていない場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS1006)。
一方、判断の結果、一致する場合には(ステップS1002肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、プロトコルに係る情報、および作動条件(日付、曜日、時間帯に係る情報)に対応づけられたセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)が、利用者ネットワーク(「IF#b」)であるか否かを判断する(ステップS1003)。
判断の結果、利用者ネットワーク(「IF#b」)である場合には(ステップS1003肯定)、パケットが経由すべきセキュリティ装置を全て経由した場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS1006)。
一方、判断の結果、利用者ネットワーク(「IF#b」)でない場合には(ステップS1003否定)、パケット制御装置10は、パケット経由制御部33において、識別情報によって識別されるセキュリティ装置を経由するように、パケットを制御する(ステップS1004)。
次に、パケット制御装置10は、パケット経由制御部33において、パケットを制御したセキュリティ装置からパケットを受信したか否かを判断する(ステップS1005)。判断の結果、パケットを受信していない場合には(ステップS1005否定)、パケット制御装置10は、パケット経由制御部33において、パケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、パケットを受信した場合には(ステップS1005肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、プロトコルに係る情報、および作動条件(日付、曜日、時間帯に係る情報)に対応づけられたセキュリティ装置を識別する識別情報が、利用者ネットワーク(「IF#b」)であるか否かを判断する処理に戻る(ステップS1003)。
そして、パケット制御装置10は、パケット経由制御部33において、ステップS1003でパケットに対応づけられた識別情報が利用者ネットワーク(「IF#b」)と判断されるまで、ステップS1004およびステップS1005の処理を繰り返すことにより、ポリシーによって指定されたパケットが経由すべき順序に従って、パケットが複数のセキュリティ装置を経由するように制御する。
このようにして、実施例3に係るパケット制御装置10は、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置を経由する日付、曜日、時間帯などが指定されたセキュリティポリシーの場合に、柔軟に対応することが可能になる。
[実施例3の効果]
上記してきたように、実施例3によれば、パケットがセキュリティ装置を経由すべき日付、曜日、時間帯に係る情報のいずれかひとつまたは複数がさらに指定されたポリシーを保持し、保持されたポリシーによって指定された日付、曜日、時間帯に係る情報のいずれかひとつまたは複数に従って、パケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置を経由する日付、曜日、時間帯などが指定されたセキュリティポリシーの場合に、柔軟に対応することが可能になる。
次に、これまで、実施例1〜実施例3として、パケット制御装置が、セキュリティ装置において検知されたセキュリティに係る状況に係らずパケットを制御する手法を説明したが、この発明はこれに限られるものではなく、パケット制御装置が、セキュリティ装置において検知されたセキュリティに係る状況ごとに区分けされたポリシーに従ってパケットを制御する手法にも、この発明を同様に適用することができる。そこで、以下では、実施例4として、パケット制御装置が、セキュリティ装置において検知されたセキュリティに係る状況ごとに区分けされたポリシーに従ってパケットを制御する手法について説明する。
[実施例4に係るパケット制御装置の概要および特徴]
まず、図11を用いて、実施例4に係るパケット制御装置の概要および特徴を説明する。図11は、実施例4に係るパケット制御装置の概要および特徴を説明するための図である。
実施例4に係るパケット制御装置は、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従ってパケットを制御することを概要とし、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置によって通知されるセキュリティに係る状況ごとにセキュリティポリシーが異なる場合に、柔軟かつ迅速に対応することを主たる特徴とする。
この主たる特徴について簡単に説明すると、実施例4に係るパケット制御装置は、実施例1〜実施例3と同様、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)とが対応づけられたポリシーを保持するが、セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを保持する点で、実施例1〜実施例3と異なる。
例えば、図11に示すように、実施例4に係るパケット制御装置は、ポリシー保持部において、セキュリティ装置によって通知されるセキュリティに係る状況が「DDoS(Distributed Denial of Service)攻撃なし」の場合と「DDoS攻撃あり」の場合とに区分けされた2つのポリシーを保持する。実施例4において、「DDoS攻撃なし」の場合のポリシーは、パケット制御装置が、パケットを、識別情報「IF#2」によって識別されるセキュリティ装置「DDoS防御装置」に経由させないで制御するポリシーであるが、「DDoS攻撃あり」の場合のポリシーは、セキュリティ装置「DDoS防御装置」を経由するように制御するポリシーである。また、実施例4において、識別情報「IF#1」によって識別される「DDoS攻撃検知装置」は、「DDoS攻撃検知装置」において検知されたセキュリティに係る状況を通知するものである。
このように構成された実施例4に係るパケット制御装置は、実施例1〜実施例3と同様、ポリシー保持部によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、このパケットが、このアドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御するが、セキュリティ装置によってセキュリティに係る状況が通知された場合に、ポリシー保持部によって保持されたセキュリティに係る状況に区分けされたポリシーに従って、セキュリティに係る状況が通知された後に制御するパケットがセキュリティ装置を経由するように制御する点で、実施例1〜実施例3と異なる。
例えば、図11に示すように、パケット制御装置は、セキュリティに係る状況が「DDoS攻撃なし」の場合のポリシーとしてポリシー保持部によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報(「129.60.10.0/28」)およびプロトコルに係る情報(「80」)とを照合し(図11の(1)を参照)、このパケットが、このアドレス情報およびプロトコルに係る情報に対応づけられた識別情報(「IF#1」、および「IF#3」)によって識別されるセキュリティ装置を経由するように制御する(図11の(2)を参照)。
ここで、パケット制御装置は、「DDoS攻撃検知装置」によってセキュリティに係る状況を通知されない場合には、このパケットを、識別情報「IF#1」に識別されるセキュリティ装置「DDoS攻撃検知装置」を経由するように制御した後に、識別情報「IF#3」に識別されるセキュリティ装置「ウィルスチェック装置」を経由するように制御する。一方、「DDoS攻撃検知装置」によってセキュリティに係る状況を通知された場合には(図11の(3)を参照)、実施例4に係るパケット制御装置は、ポリシー保持部によって保持されたセキュリティに係る状況が「DDoS攻撃あり」の場合のポリシーに従って、セキュリティに係る状況が通知された後に制御するパケットが、識別情報「IF#1」に識別されるセキュリティ装置「DDoS攻撃検知装置」を経由するように制御した後に、識別情報「IF#2」に識別されるセキュリティ装置「DDoS防御装置」を経由するように制御する。
例えば、図11に示すように、パケット制御装置は、セキュリティに係る状況が「DDoS攻撃あり」の場合のポリシーとしてポリシー保持部によって保持されたポリシーと、ネットワークから受信したパケットに含まれるアドレス情報(「129.60.10.0/28」)およびプロトコルに係る情報(「80」)とを照合し(図11の(4)を参照)、このパケットが、このアドレス情報およびプロトコルに係る情報に対応づけられた識別情報(「IF#2」)によって識別されるセキュリティ装置(「DDoS防御装置」)を経由するように制御する(図11の(5)を参照)。
このようにして、実施例4に係るパケット制御装置は、上記した主たる特徴のごとく、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置によって通知されるセキュリティに係る状況ごとにセキュリティポリシーが異なる場合に、柔軟かつ迅速に対応することが可能になる。
[実施例4に係るパケット制御装置の構成]
次に、図12および図13を用いて、実施例4に係るパケット制御装置を説明する。図12および図13は、ポリシー保持部を説明するための図である。なお、以下では、実施例4に係るパケット制御装置において、実施例1〜実施例3に係るパケット制御装置と同様に構成される部については説明を省略し、ポリシー保持部21およびパケット制御部33についてのみ詳細に説明する。
実施例4におけるポリシー保持部21は、実施例1〜実施例3と同様、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持する手段であるが、セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを保持する点で、実施例1〜実施例3と異なる。
例えば、ポリシー保持部21は、図12に示すような内容のポリシーを保持する。「外部ネットワークから利用者ネットワーク1宛の」の部分は、実施例1〜実施例3と同様、パケット制御装置10が、「外部ネットワーク」から「利用者ネットワーク1」に送信されたパケットを制御することを示している。また、「HTTPのパケットは、」の部分は、実施例1〜実施例3と同様、パケット制御装置10が、HTTPのパケットを制御することを示している。
ところで、実施例4におけるポリシー保持部21は、実施例1〜実施例3と異なり、セキュリティ装置によって通知されるセキュリティに係る状況が、「DDoS攻撃を検知しない場合、」には、「最初にDDoS攻撃検知装置を通し、次にウィルスチェック装置を通す。」という内容のポリシーを保持し、セキュリティ装置によって通知されるセキュリティに係る状況が、「DDoS攻撃を検知した場合、」には、「最初にDDoS攻撃検知装置を通し、次にDDoS防御装置を通し、その後にウィルスチェック装置を通す。」という内容のポリシーを保持する。
実施例4におけるポリシー保持部21は、図12に示すような内容のポリシーを、例えば、図13に示すような形態で保持する。図13に示すポリシーを説明すると、セキュリティに係る状況が「DDoS攻撃なし」に区分けされたポリシーでは、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート「80」であるパケットを、インタフェースに係る情報「IF#3」を経由するように制御することを示している。
一方、セキュリティに係る状況が「DDoS攻撃あり」に区分けされたポリシーでは、パケット制御装置10が、インタフェースに係る情報「IF#1」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート「80」であるパケットを、インタフェースに係る情報「IF#2」を経由するように制御することを示しており、また、インタフェースに係る情報「IF#2」から入力を受け付けたパケットであり、宛先アドレスが「129.60.10.0/28」であり、宛先ポート「80」であるパケットを、インタフェースに係る情報「IF#3」を経由するように制御することを示している。
実施例4におけるパケット経由制御部33は、実施例1〜実施例3と同様、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報およびプロトコルに係る情報とを照合し、パケットが、アドレス情報およびプロトコルに係る情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する手段であるが、セキュリティ装置によってセキュリティに係る状況が通知された場合に、ポリシー保持部21によって保持されたセキュリティに係る状況に区分けされたポリシーに従って、セキュリティに係る状況が通知された後に制御するパケットがセキュリティ装置を経由するように制御する点で、実施例1〜実施例3と異なる。
例えば、パケット経由制御部33は、セキュリティ装置「DDoS攻撃検知装置」によってセキュリティに係る状況が通知されない場合に、識別情報「IF#1」によって識別される「DDoS攻撃検知装置」から送信されたパケットを受信すると、ポリシー保持部21によって保持された図13に示すポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合する。すなわち、実施例4におけるパケット制御部33は、「DDoS攻撃なし」に区分けされたポリシーで、「IF#1」、「129.60.10.0/28」、および「80」を照合する。すると、図13の2行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#3」)によって識別されるセキュリティ装置(「ウィルスチェック装置」)を経由するようにパケットを制御する。
一方、パケット制御部33は、セキュリティ装置「DDoS攻撃検知装置」によってセキュリティにかかる状況が通知された場合に、識別情報「IF#1」によって識別される「DDoS攻撃検知装置」から送信されたパケットを受信すると、ポリシー保持部21によって保持された図13に示すポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合する。すなわち、実施例4におけるパケット制御部33は、「DDoS攻撃あり」に区分けされたポリシーで、「IF#1」、「129.60.10.0/28」、および「80」を照合する。すると、図13の5行目のポリシーに一致するので、パケット経由制御部33は、対応づけられた識別情報(「IF#2」)によって識別されるセキュリティ装置(「DDoS防御装置」)を経由するようにパケットを制御する。
[実施例4に係るパケット制御装置による処理の手順]
次に、図14を用いて、実施例4に係るパケット制御装置による処理の手順を説明する。図14は、実施例4に係るパケット制御装置による処理の手順を示すフローチャートである。なお、実施例4に係るパケット制御装置10は、セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを、ポリシー保持部21によってすでに保持しているものとし、以下では、このようなポリシーをすでに保持するパケット制御装置10がパケットを制御する経由制御処理について説明する。また、実施例4に係るパケット制御装置10は、セキュリティに係る状況として「DDoS攻撃なし」に区分けされたポリシーで通常運用されているものとする。
まず、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する(ステップS1401)。判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが無い場合には(ステップS1401否定)、パケット制御装置10は、パケット経由制御部33において、外部ネットワークからパケットを受信したか否かを判断する処理に戻る。
一方、判断の結果、外部ネットワーク(「IF#a」)から受信したパケットが有る場合には(ステップS1401肯定)、パケット制御装置10は、パケット経由制御部33において、セキュリティに係る状況が「DDoS攻撃なし」に区分けされたポリシーと、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報とを照合して、一致したか否かを判断する(ステップS1402)。
判断の結果、一致しない場合には(ステップS1402否定)、パケットが経由すべきセキュリティ装置が指定されていない場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS1408)。
一方、判断の結果、一致する場合には(ステップS1402肯定)、パケット制御装置10は、パケット経由制御部33において、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報に対応づけられたセキュリティ装置を識別する識別情報(セキュリティ装置を収容するインタフェース)が、利用者ネットワーク(「IF#b」)であるか否かを判断する(ステップS1403)。
判断の結果、利用者ネットワーク(「IF#b」)である場合には(ステップS1403肯定)、パケットが経由すべきセキュリティ装置を全て経由した場合であるので、パケット制御装置10は、パケット経由制御部33において、パケットを、宛先アドレスで指定された利用者ネットワーク(「IF#b」)に送信する(ステップS1408)。
一方、判断の結果、利用者ネットワーク(「IF#b」)でない場合には(ステップS1403否定)、パケット制御装置10は、パケット経由制御部33において、識別情報によって識別されるセキュリティ装置を経由するように、パケットを制御する(ステップS1404)。
次に、パケット制御装置10は、パケット経由制御部33において、セキュリティに係る状況(「DDoS攻撃なし」または「DDoS攻撃あり」)ごとに区分けされたポリシーを変更する必要が有るか否かを判断する(ステップS1405)。ポリシーを変更する必要が無い場合には(ステップS1405否定)、すなわち、「DDoS攻撃なし」に区分けされたポリシーのままで運用する場合には、パケット制御装置10は、パケット経由制御部33において、パケットを制御したセキュリティ装置からパケットを受信したか否かを判断し(ステップS1406)、判断の結果、パケットを受信していない場合には(ステップS1406否定)、パケットを受信したか否かを判断する処理に戻る。
一方、ポリシーを変更する必要がある場合には(ステップS1405肯定)、すなわち、「DDoS攻撃あり」に区分けされたポリシーで運用する場合には、パケット制御装置10は、パケット経由制御部33において、セキュリティに係る状況に区分けされたポリシーに変更する(ステップS1407)。実施例4では、「DDoS攻撃なし」に区分けされたポリシーから、「DDoS攻撃あり」に区分けされたポリシーに変更する。その後、パケット制御装置10は、パケット経由制御部33において、パケットを制御したセキュリティ装置からパケットを受信したか否かを判断する(ステップS1406)。
ステップS1406において、パケットを受信した場合には(ステップS1406肯定)、パケット制御装置10は、パケット経由制御部33において、「DDoS攻撃あり」に区分けされたポリシーに従って、パケットが入力されたインタフェースに係る情報、パケットに含まれるアドレス情報、およびプロトコルに係る情報に対応づけられたセキュリティ装置を識別する識別情報が、利用者ネットワーク(「IF#b」)であるか否かを判断する処理に戻る(ステップS1403)。
そして、パケット制御装置10は、パケット経由制御部33において、ステップS1403でパケットに対応づけられた識別情報が利用者ネットワーク(「IF#b」)と判断されるまで、ステップS1404〜ステップS1407の処理を繰り返すことにより、ポリシーによって指定されたパケットが経由すべき順序に従って、パケットが複数のセキュリティ装置を経由するように制御する。
このようにして、実施例4に係るパケット制御装置10は、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置によって通知されるセキュリティに係る状況ごとにセキュリティポリシーが異なる場合に、柔軟かつ迅速に対応することが可能になる。
[実施例4の効果]
上記してきたように、実施例4によれば、セキュリティ装置は、セキュリティ装置において検知されたセキュリティに係る状況を通知するものであって、セキュリティ装置によって通知されるセキュリティに係る状況ごとに区分けされた複数のポリシーを保持し、セキュリティ装置によってセキュリティに係る状況が通知された場合に、保持されたセキュリティに係る状況に区分けされたポリシーに従って、セキュリティに係る状況が通知された後に制御するパケットがセキュリティ装置を経由するように制御するので、利用者ごとにセキュリティポリシーが異なる場合で、かつ、セキュリティ装置によって通知されるセキュリティに係る状況ごとにセキュリティポリシーが異なる場合に、柔軟かつ迅速に対応することが可能になる。
ところで、これまで、実施例1〜実施例4に係るパケット制御装置について説明したが、この発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、実施例5に係るパケット制御装置として、異なる実施例を説明する。
[ポリシー]
上記の実施例1〜実施例4に係るパケット制御装置では、パケットに含まれるアドレス情報およびプロトコルに係る情報と、このアドレス情報およびプロトコルに係る情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持する場合を説明したが、この発明はこれに限られるものではなく、パケットに含まれるアドレス情報と、このアドレス情報を含むパケットが経由すべきセキュリティ装置を識別する識別情報とが対応づけられたポリシーを保持する場合にも、この発明を同様に適用することができる。この場合には、パケット制御装置は、ポリシーと、ネットワークから受信したパケットに含まれるアドレス情報とを照合し、パケットがアドレス情報に対応づけられた識別情報によって識別されるセキュリティ装置を経由するように制御する。
また、上記の実施例1〜実施例4に係るパケット制御装置では、複数のセキュリティ装置がある場合に、複数のセキュリティ装置をパケットが経由すべき順序がさらに指定されたポリシーを保持する手法を説明したが、この発明はこれに限られるものではなく、複数のセキュリティ装置がある場合に、複数のセキュリティ装置をパケットが経由すべき順序については指定されていないポリシーを保持する手法にも、この発明を同様に適用することができる。
また、上記の実施例1〜実施例4に係るパケット制御装置では、識別情報として、セキュリティ装置を収容するインタフェース情報が対応づけられたポリシーを保持する手法を説明したが、この発明はこれに限られるものではなく、識別情報として、セキュリティ装置の物理アドレスが対応づけられたポリシーを保持する手法など、セキュリティ装置を識別する識別情報であれば、いずれでもよい。
また、上記の実施例1〜実施例4に係るパケット制御装置では、ポリシーを変更するポリシー変更部を備え、ポリシーを変更された場合に、保持していたポリシーに替えて変更されたポリシーを保持する場合を説明したが、この発明はこれに限られるものではなく、ポリシーを変更するポリシー変更部を備えていない場合にも、この発明を同様に適用することができる。
[システム構成等]
また、上記の実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、セキュリティ装置において検知されたセキュリティに係る状況の通知など)の全部または一部を手動的におこなう(例えば、セキュリティ装置において検知されたセキュリティに係る状況を確認した利用者によって、セキュリティに係る状況がパケット制御装置に通知されるなど)こともでき、あるいは、手動的におこなわれるものとして説明した処理(例えば、ポリシーの変更など)の全部または一部を公知の方法で自動的におこなう(例えば、定期的にポリシーをダウンロードして変更するなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示(例えば、図2など)のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、図2におけるポリシー受付部31とポリシー変更部32とを統合して構成するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、上記の実施例で説明したパケット制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、この発明に係るパケット制御装置、パケット制御方法およびパケット制御プログラムは、ネットワークから受信したパケットが経由すべきセキュリティ装置を指定するポリシーに従って当該パケットを制御することに有用であり、特に、利用者ごとにセキュリティポリシーが異なる場合に柔軟に対応することに適する。
実施例1に係るパケット制御装置の概要および特徴を説明するための図である。
実施例1に係るパケット制御装置の構成を示すブロック図である。
ポリシー保持部を説明するための図である。
ポリシー保持部を説明するための図である。
実施例1に係るパケット制御装置による処理の手順を示すフローチャートである。
ポリシー保持部を説明するための図である。
実施例2に係るパケット制御装置による処理の手順を示すフローチャートである。
ポリシー保持部を説明するための図である。
ポリシー保持部を説明するための図である。
実施例3に係るパケット制御装置による処理の手順を示すフローチャートである。
実施例4に係るパケット制御装置の概要および特徴を説明するための図である。
ポリシー保持部を説明するための図である。
ポリシー保持部を説明するための図である。
実施例4に係るパケット制御装置による処理の手順を示すフローチャートである。
従来技術を説明するための図である。
従来技術を説明するための図である。
符号の説明
10 パケット制御装置
11 ポリシー受付用ネットワークインタフェース部
12 ネットワークインタフェース部
20 記憶部
21 ポリシー保持部
22 パケットバッファ部
30 制御部
31 ポリシー受付部
32 ポリシー変更部
33 パケット経由制御部