JP4677173B2 - ネットワークセキュリティシステム - Google Patents
ネットワークセキュリティシステム Download PDFInfo
- Publication number
- JP4677173B2 JP4677173B2 JP2002582528A JP2002582528A JP4677173B2 JP 4677173 B2 JP4677173 B2 JP 4677173B2 JP 2002582528 A JP2002582528 A JP 2002582528A JP 2002582528 A JP2002582528 A JP 2002582528A JP 4677173 B2 JP4677173 B2 JP 4677173B2
- Authority
- JP
- Japan
- Prior art keywords
- config
- packet
- network
- firewall
- root
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Description
ブリッジ
データリンク層の情報に基づいてネットワークセグメント間でトラヒックを転送する装置。これらのセグメントは、共通のネットワーク層アドレスを有する。
外部ネットワーク、特にインターネット接続およびダイヤルイン回線を処理するために使用される、特別なセキュリティ対策を講じた専用ゲートウェイ機。その後ろに隠されている管理の緩い一群のマシンをクラッカーから保護するという考えである。典型的なファイアウォールは、重要データを持たず、モデムおよび公衆ネットワークポートを備えた、安価なマイクロプロセッサ利用のユニット機であるが、1つだけ注意深く監視される接続がほかの集団へと戻る。
ネットワーク間でパケットを転送する装置。転送決定はネットワーク層の情報およびしばしば経路選択プロトコルによって構築される経路選択テーブルに基づく。
ネットワークで送信されるデータの単位。「パケット」は、OSIプロトコルスタックの任意の層のデータの単位を記述するために使用される総称であるが、最も正確には、アプリケーション層データ単位を記述するために使用される(「アプリケーションプロトコルデータ単位」APDU)。
全てのパケットはルールベースに照らして比較され、一致規則に基づいて決定が実行される。
どのパケットをネットワークに通すかあるいは通さないかを決定する1組のルール。
WWWページを記述するために使用される言語。
PC内に設置され、それがLANで通信することを可能にするLANアダプタ(印刷回路基板)の名称。この用語は一般的にIBM PCおよびトークンリングユーザによって使用される。
全てのネットワーク層プロトコルはアドレス形式を持ち、TCP/IPプロトコルの32ビットIPアドレスの場合、アドレスは「199.12.1.1」形式である。これはドット付き10進法と呼ばれ、4つのセクションの各々が、そのネットワークの特定のホストを指定する8ビットのIPアドレスを表す、0から255までの10進数である。
軍事用語から、戦闘が抑制されている2つの敵対者間の領域のこと。
多くの異なるタイプのファイアウォールおよびセキュリティソフトウェアが公知である。それらは3つのカテゴリに分類することができる。(単一の家庭用コンピュータを保護するパーソナルファイアウォールは考慮しない。)
・プロキシベース:このファイアウォールは、ファイアウォールサーバ上の異なるネットワークインタフェースに物理的に接続するシステム間のアプリケーションプロキシとして働く。アプリケーションプロキシはアプリケーションレベルで、ファイアウォールの別の側のエンティティと取引するときに、ファイアウォールの一方の側に存在するエンティティの代理または代用としての役を務める。インタフェース間のこの分離を維持し、かつ絶えずプロトコル検査を行うことによって、非常に安全な環境が得られる。これはCPU時間に対する要求が厳しく、これは高容量サイトでは問題になり得る。
・ステートフル検査:ファイアウォールが接続を開始するパケットを受け取るといつでも、そのパケットはファイアウォールのルールベースに照らして順番に検討される。パケットが受け入れられることなくいずれかのルールを通り抜けると、パケットは拒絶される。接続が受け入れられると、次いでセッションは、メモリに配置されたファイアウォールのステートフル接続テーブルに入れられる。その後の全てのパケットは次いで、ステートフル検査テーブルと比較される。セッションがテーブルにあり、パケットがそのセッションの一部である場合には、パケットは受け入れられる。パケットがそのセッションの一部でない場合には、それは落とされる。全ての単一パケットがルールベースに照らして比較されるわけではないので、これはシステム性能を改善する。
・パケットフィルタ:全てのパケットがルールベースに照らして比較され、一致規則又はルールに基づいて決定が実行される。
ルータは、ネットワーク間でパケットを転送する装置である。ルータは様々なネットワークおよびそこにどのように到達するかを知っている。これは、全ての公知の市販のファイアウォールによって現在使用されている技術である。これは、ファイアウォールの異なる側のホストが異なるネットワークアドレスを持たなければならないことを意味する。さもなければトラヒックはファイアウォールで終わらない。ダイヤルイン装置のみならずLANでもネットワーク変更が必要である。
ハードウェア
最低限200Mhzのプロセッサ
最低限64MBのRAM
64MBの容量の1つの固体ハードドライブ
3枚のネットワークカード10/100/1000
電源装置およびシステム構成のためのLCDパネルと入力装置を備えたケース
ビデオカードを使用しないので、情報をデバッグして始動するためのシリアルポート
ソフトウェア
Linuxカーネルバージョン2.2.20
アパッチウェブサーバ1.3.22 mod perl mod SSL
Perlバージョン5.6.1
OpenSSH+OpenSSL
SYS V Linux OSを実行するために必要なGNUツールおよびユーティリティ
Mod perl、HTMLおよびCSSを使用するウェブインタフェース
・ファイアウォール設定
・システム監視
(ファイアウォール設定)
1.インタフェース10は、ルールセットを含みCGI50を介して操作される普通テキスト設定ファイル20を使用する。
2.設定ファイルは、HTMLインタフェースを介してアクセスされるPerlスクリプトによって操作される。
3.次いで設定ファイルは、Perlスクリプトによってカーネルルール40に変換30される。
詳細な設定記述は付属書Bに見ることができる。
(システム監視)
1.LOAD状態を監視する。これは、CPUの現在のロードがどれだけかをユーザに知らせる。
2.ディスクスペース状態を監視する。これは、ディスクスペースの利用が現在どのレベルであるかをユーザに知らせる。
3.コンフィギュレーション状態を監視する。これは、ファイアウォールの設定に対して行った変更がファイアウォールに対して完遂されたか否かをユーザに知らせる。
4.パケットが許可されたかあるいは拒絶されたか否かを監視し、記録する。
− ダミーの内部IPアドレスを持つ管理インタフェース
− このネットワークカードは、ファイアウォールを設定するためにだけ使用される。それはファイアウォールの作動には決して使用されず、IPアドレスを持たない。他の2枚のネットワークカード810、110は、それらに署名されたIPアドレスを持たない。
組込みLinuxシステムを持つ理由は、Linuxオペレーティングシステムに慣れていないかもしれないユーザの管理間接費を減らすためである。さらに、システムが適切に終了せずに電源が切れたときに、ファイルシステムの破損などの問題を排除する。
我々は別個のマシンを使用してOSを作成している。このシステムは開発環境を含み、我々の生産機のために必要なバイナリおよび共用ライブラリを作成することを可能にする。
ビルド機には、OSの最終宛先をエミュレートする別個のパーティション(固体ドライブ)が存在する。
以下のルートディレクトリ構造が作成されている。
/bin (システムバイナリ)
/boot (カーネルディレクトリ)
/dev (装置のキャラクタ・デバイス)
/etc (設定ファイル)
/home (ホームディレクトリ)
/lib (共用ライブラリ)
/proc (procファイルシステムマウントポイント)
/root (ルート用ホームディレクトリ)
/sbin (システムバイナリ)
/tmp (tmpスペースマウントポイント)
/usr (usrライブラリおよびバイナリ)
/var (varマウントポイント)
/devディレクトリには以下の所要キャラクタファイルを配置する。
crw 1 root root 5, 1 Apr 9 14:34 console
crw 1 root root 5, 64 Feb 26 16:52 cua0
crw 1 root root 5, 65 Feb 26 16:52 cua1
brw-rw 1 root disk 3, 0 Feb 26 16:52 hda
brw-rw 1 root disk 3, 1 Feb 26 16:52 hda1
brw-rw 1 root root 3, 2 Feb 26 16:52 hda2
brw-rw 1 root disk 3, 3 Feb 26 16:52 hda3
brw-rw 1 root disk 3, 4 Feb 26 16:52 hda4
brw-rw 1 root disk 3, 5 Feb 26 16:52 hda5
brw-rw 1 root disk 3, 6 Feb 26 16:52 hda6
brw-rw 1 root disk 3, 7 Feb 26 16:52 hda7
brw-rw 1 root disk 3, 8 Feb 26 16:52 hda8
crw 1 root sys 89, 0 Feb 26 16:52 i2c0
crw 1 root sys 89, 1 Feb 26 16:52 i2c1
prw 1 root root 0 Apr 4 19:54 initctl
crw-r 1 root kmem 1, 2 Feb 26 16:52 kmem
crwxrwxr-x 1 root www 10, 140 Feb 26 16:52 lcd
srw-rw-rw- 1 root root 0 Apr 9 14:34 log
crw-r 1 root kmem 1, 1 Feb 26 16:52 mem
crw-rw-rw- 1 root root1, 3 Feb 26 16:52 null
crw-r 1 root kmem 1, 4 Feb 26 16:52 port
crw-rw-rw- 1 root root5, 2 Apr 10 12:53 ptmx
drwxr-xr-x 2 root root 0 Apr 9 14:34 pts
brw 1 root disk 1, 0 Feb 26 16:52 ram0
brw-rw 1 root disk 1, 1 Feb 26 16:52 ram1
brw-rw 1 root disk 1, 2 Feb 26 16:52 ram2
brw-rw 1 root disk 1, 3 Feb 26 16:52 ram3
brw-rw 1 root disk 1, 4 Feb 26 16:52 ram4
crw-r-r 1 root root1, 8 Feb 26 16:52 random
crw-rw-r 1 root root10, 135 Feb 26 16:52 rtc
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stderr->../proc/self/fd/2
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stdin->../proc/self/fd/0
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stdout->../proc/self/fd/1
crw 1 root root 4, 0 Feb 26 16:52 systty
crw-rw-rw- 1 root root5, 0 Mar 18 20:50 tty
crw 1 root tty 4, 0 Feb 26 16:52 tty0
crw 1 root tty 4, 1 Feb 26 16:52 tty1
crw 1 root tty 4, 2 Feb 26 16:52 tty2
crw 1 root tty 4, 3 Feb 26 16:52 tty3
crw 1 root tty 4, 4 Feb 26 16:52 tty4
crw 1 root tty 4, 5 Feb 26 16:52 tty5
crw 1 root tty 4, 6 Feb 26 16:52 tty6
crw 1 root tty 4, 7 Feb 26 16:52 tty7
crw 1 root tty 4, 8 Feb 26 16:52 tty8
crw 1 uucp uucp 4, 64 Apr 9 14:34 ttyS0
crw-r 1 root tty 4, 65 Feb 26 16:52 ttyS1
crw-r-r 1 root root1, 9 Feb 26 16:52 urandom
crw-r-r 1 root root10, 130 Feb 26 16:52 watchdog
crw-rw-rw- 1 root root1, 5 Feb 26 16:52 zero
我々は、OWセキュリティパッチ(www.openwall.com)で増強されたLinuxカーネル2.2.20(www.kernel.org)を使用する。既存のカーネルブリッジングコードを2.4カーネルコード(bridge.sourceforge.net)と置き換える。
カーネルは次のパラメータにより構成される。
#
# Automatically generated by make menuconfig: don't edit
#
CONFIG_X86=y
#
# Code maturity level options
#
CONFIG_EXPERIMENTAL=y
#
# Processor type and features
#
# CONFIG_M386 is not set
# CONFIG_M486 is not set
# CONFIG_M586 is not set
CONFIG_M586TSC=y
# CONFIG_M686 is not set
CONFIG_X86_WP_WORKS_OK=y
CONFIG_X86_INVLPG=y
CONFIG_X86_BSWAP=y
CONFIG_X86_POPAD_OK=y
CONFIG_X86_TSC=y
# CONFIG_MICROCODE is not set
# CONFIG_X86_MSR is not set
# CONFIG_X86_CPUID is not set
CONFIG_1GB=y
# CONFIG_2GB is not set
# CONFIG_MATH_EMULATION is not set
# CONFIG_MTRR=y
# CONFIG_SMP is not set
#
# Loadable module support
#
# CONFIG_MODULES=y
# CONFIG_MODVERSIONS is not set
CONFIG_KMOD=y
#
# General setup
#
CONFIG_NET=y
CONFIG_PCI=y
# CONFIG_PCI_GOBIOS is not set
CONFIG_PCI_GODIRECT=y
# CONFIG_PCI_GOANY is not set
CONFIG_PCI_DIRECT=y
CONFIG_PCI_QUIRKS=y
# CONFIG_PCI_OPTIMIZE is not set
CONFIG_PCI_OLD_PROC=y
# CONFIG_MCA is not set
# CONFIG_VISWS is not set
CONFIG_COBALT_GEN_III=y
# CONFIG_COBALT_GEN_V is not set
# CONFIG_COBALT_BOOTLOADER is not set
CONFIG_SYSVIPC=y
# CONFIG_BSD_PROCESS_ACCT is not set
CONFIG_SYSCTL=y
CONFIG_BINFMT_AOUT=m
CONFIG_BINFMT_ELF=y
# CONFIG_BINFMT_ELF_AOUT is not set
CONFIG_BINFMT_MISC=m
# CONFIG_BINFMT_JAVA is not set
# CONFIG_PARPORT is not set
# CONFIG_APM is not set
# CONFIG_TOSHIBA is not set
#
# Plug and Play support
#
CONFIG_PNP=y
#
# Block devices
#
# CONFIG_BLK_DEV_FD is not set
CONFIG_BLK_DEV_IDE=y
# CONFIG_BLK_DEV_HD_IDE is not set
CONFIG_BLK_DEV_IDEDISK=y
# CONFIG_BLK_DEV_IDECD is not set
# CONFIG_BLK_DEV_IDETAPE is not set
# CONFIG_BLK_DEV_IDEFLOPPY is not set
# CONFIG_BLK_DEV_IDESCSI is not set
# CONFIG_BLK_DEV_CMD640 is not set
# CONFIG_BLK_DEV_RZ1000 is not set
CONFIG_BLK_DEV_IDEPCI=y
CONFIG_BLK_DEV_IDEDMA=y
# CONFIG_BLK_DEV_OFFBOARD is not set
CONFIG_IDEDMA_AUTO=y
# CONFIG_BLK_DEV_OPTI621 is not set
CONFIG_BLK_DEV_ALI15X3=y
# CONFIG_BLK_DEV_TRM290 is not set
# CONFIG_BLK_DEV_NS87415 is not set
# CONFIG_BLK_DEV_VIA82C586 is not set
# CONFIG_BLK_DEV_CMD646 is not set
# CONFIG_BLK_DEV_CS5530 is not set
# CONFIG_IDE_CHIPSETS is not set
# CONFIG_BLK_DEV_LOOP is not set
# CONFIG_BLK_DEV_NBD is not set
# CONFIG_BLK_DEV_MD is not set
CONFIG_BLK_DEV_RAM=m
CONFIG_BLK_DEV_RAM_SIZE=4096
# CONFIG_BLK_DEV_XD is not set
# CONFIG_BLK_DEV_DAC960 is not set
CONFIG_PARIDE_PARPORT=y
# CONFIG_PARIDE is not set
# CONFIG_BLK_CPQ_DA is not set
# CONFIG_BLK_CPQ_CISS_DA is not set
# CONFIG_BLK_DEV_HD is not set
#
# Networking options
#
CONFIG_PACKET=y
CONFIG_NETLINK=y
# CONFIG_RTNETLINK is not set
CONFIG_NETLINK_DEV=y
CONFIG_FIREWALL=y
# CONFIG_FILTER is not set
CONFIG_UNIX=y
CONFIG_INET=y
# CONFIG_IP_MULTICAST is not set
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
CONFIG_IP_FIREWALL=y
# CONFIG_IP_FIREWALL_NETLINK is not set
# CONFIG_IP_TRANSPARENT_PROXY is not set
# CONFIG_IP_MASQUERADE is not set
# CONFIG_IP_ROUTER is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
CONFIG_IP_ALIAS=y
CONFIG_SYN_COOKIES=y
# CONFIG_INET_RARP is not set
CONFIG_SKB_LARGE=y
# CONFIG_IPV6 is not set
# CONFIG_IPX is not set
# CONFIG_ATALK is not set
CONFIG_BRIDGE=m
# CONFIG_X25 is not set
# CONFIG_LAPB is not set
# CONFIG_NET_DIVERT is not set
# CONFIG_LLC is not set
# CONFIG_ECONET is not set
# CONFIG_WAN_ROUTER is not set
# CONFIG_NET_FASTROUTE is not set
# CONFIG_NET_HW_FLOWCONTROL is not set
# CONFIG_CPU IS_SLOW is not set
#
#QoS and/or fair queueing
#
# CONFIG_NET_SCHED is not set
#
# Telephony Support
#
# CONFIG_PHONE is not set
# CONFIG_PHONE_IXJ is not set
#
# SCSI support
#
# CONFIG_SCSI is not set
#
# I2O device support
#
# CONFIG_I2O is not set
# CONFIG_I2O_PCI is not set
# CONFIG_I2O_BLOCK is not set
# CONFIG_I2O_SCSI is not set
#
# Network device support
#
CONFIG_NETDEVICES=y
#
# ARCnet devices
#
# CONFIG_ARCNET is not set
# CONFIG_DUMMY is not set
# CONFIG_BONDING is not set
# CONFIG_EQUALIZER is not set
# CONFIG_ETHERTAP is not set
# CONFIG_NET_SB1000 is not set
#
# Ethernet (10 or 100Mbit)
#
CONFIG_NET_ETHERNET=y
CONFIG_NET_VENDOR_3COM=y
# CONFIG_EL1 is not set
# CONFIG_EL2 is not set
# CONFIG_ELPLUS is not set
# CONFIG_EL16 is not set
# CONFIG_EL3 is not set
# CONFIG_3C515 is not set
CONFIG_VORTEX=y
# CONFIG_LANCE is not set
# CONFIG_NET_VENDOR_SMC is not set
# CONFIG_NET_VENDOR_RACAL is not set
# CONFIG_RTL8139 is not set
# CONFIG_RTL8139TOO is not set
# CONFIG_NET_ISA is not set
CONFIG_NET_EISA=y
# CONFIG_PCNET32 is not set
# CONFIG_ADAPTEC_STARFIRE is not set
# CONFIG_AC3200 is not set
# CONFIG_APRICOT is not set
# CONFIG_LP486E is not set
# CONFIG_CS89x0 is not set
# CONFIG_DM9102 is not set
# CONFIG_DE4X5 is not set
# CONFIG_DEC_ELCP is not set
# CONFIG_DEC_ELCP_OLD is not set
# CONFIG_DGRS is not set
CONFIG_EEXPRESS_PRO100=y
# CONFIG_LNE390 is not set
# CONFIG_NE3210 is not set
# CONFIG_NE2K_PCI is not set
# CONFIG_TLAN is not set
# CONFIG_VIA_RHINE is not set
# CONFIG_SIS900 is not set
# CONFIG_ES3210 is not set
# CONFIG_EPIC100 is not set
# CONFIG_ZNET is not set
# CONFIG_NET_POCKET is not set
#
# Ethernet (1000 Mbit)
#
# CONFIG_ACENIC is not set
# CONFIG_HAMACHI is not set
# CONFIG_YELLOWFIN is not set
# CONFIG_SK98LIN is not set
# CONFIG_FDDI is not set
# CONFIG_HIPPI is not set
# CONFIG_PPP is not set
# CONFIG_SLIP is not set
# CONFIG_NET_RADIO is not set
#
# Token ring devices
#
# CONFIG_TR is not set
# CONFIG_NET_FC is not set
# CONFIG_RCPCI is not set
# CONFIG_SHAPER is not set
#
# Wan interfaces
#
# CONFIG_HOSTESS_SV11 is not set
# CONFIG_COSA is not set
# CONFIG_SEALEVEL_4021 is not set
# CONFIG_SYNCLINK_SYNCPPP is not set
# CONFIG_LANMEDIA is not set
# CONFIG_COMX is not set
# CONFIG_HDLC is not set
# CONFIG_DLCI is not set
# CONFIG_XPEED is not set
# CONFIG_SBNI is not set
#
# Amateur Radio support
#
# CONFIG_HAMRADIO is not set
#
# IrDA (infrared) support
#
# CONFIG_IRDA is not set
#
# ISDN subsystem
#
# CONFIG_ISDN is not set
#
# Old CD-ROM drivers (not SCSI, not IDE)
#
# CONFIG_CD_NO_IDESCSI is not set
#
# Character devices
#
CONFIG_VT=y
CONFIG_VT_CONSOLE=y
CONFIG_SERIAL=y
CONFIG_SERIAL_CONSOLE=y
# CONFIG_SERIAL_EXTENDED is not set
# CONFIG_SERIAL_NONSTANDARD is not set
CONFIG_UNIX98_PTYS=y
CONFIG_UNIX98_PTY_COUNT=256
# CONFIG_MOUSE is not set
#
# Joysticks
#
# CONFIG_JOYSTICK is not set
# CONFIG_QIC02_TAPE is not set
CONFIG_WATCHDOG=y
#
# Watchdog cards
#
# CONFIG_WATCHDOG_NOWAYOUT is not set
# CONFIG_ACQUIRE_WDT is not set
# CONFIG_ADVANTECH_WDT is not set
# CONFIG_PCWATCHDOG is not set
# CONFIG_I810_TCO is not set
# CONFIG_MIXCOMWD is not set
# CONFIG_60XX_WDT is not set
CONFIG_SOFT_WATCHDOG=y
# CONFIG_WDT is not set
# CONFIG_WDTPCI is not set
# CONFIG_MACHZ_WDT is not set
# CONFIG_NVRAM is not set
CONFIG_RTC=y
# CONFIG_INTEL_RNG is not set
# CONFIG_AGP is not set
# CONFIG_DRM is not set
CONFIG_COBALT_LCD=y
#
# Video For Linux
#
CONFIG_VIDEO_DEV=m
# CONFIG_RADIO_RTRACK is not set
# CONFIG_RADIO_RTRACK2 is not set
# CONFIG_RADIO_AZTECH is not set
# CONFIG_RADIO_CADET is not set
# CONFIG_RADIO_GEMTEK is not set
# CONFIG_RADIO_MAESTRO is not set
# CONFIG_RADIO_MIROPCM20 is not set
# CONFIG_RADIO_TRUST is not set
# CONFIG_VIDEO_BT848 is not set
# CONFIG_VIDEO_CPIA is not set
# CONFIG_VIDEO_PMS is not set
# CONFIG_VIDEO_SAA5249 is not set
# CONFIG_RADIO_SF16FMI is not set
# CONFIG_RADIO_TYPHOON is not set
# CONFIG_RADIO_ZOLTRIX is not set
# CONFIG_VIDEO_ZORAN is not set
# CONFIG_VIDEO_BUZ is not set
# CONFIG_DTLK is not set
#
# Ftape, the floppy tape device driver
#
# CONFIG_FTAPE is not set
#
# USB support
#
# CONFIG_USB is not set
#
# Filesystems
#
# CONFIG_QUOTA is not set
# CONFIG_AUTOFS_FS is not set
# CONFIG_ADFS_FS is not set
# CONFIG_AFFS_FS is not set
# CONFIG_HFS_FS is not set
# CONFIG_FAT_FS is not set
# CONFIG_MSDOS_FS is not set
# CONFIG_UMSDOS_FS is not set
# CONFIG_VFAT_FS is not set
# CONFIG_ISO9660_FS is not set
# CONFIG_JOLIET is not set
# CONFIG_MINIX_FS is not set
# CONFIG_NTFS_FS is not set
# CONFIG_HPFS_FS is not set
CONFIG_PROC_FS=y
CONFIG_DEVPTS_FS=y
# CONFIG_QNX4FS_FS is not set
# CONFIG_ROMFS_FS is not set
CONFIG_EXT2_FS=y
# CONFIG_SYSV_FS is not set
# CONFIG_UFS_FS is not set
# CONFIG_EFS_FS is not set
#
# Network File Systems
#
# CONFIG_CODA_FS is not set
# CONFIG_NFS_FS is not set
# CONFIG_NFSD is not set
# CONFIG_SUNRPC is not set
# CONFIG_LOCKD is not set
# CONFIG_SMB_FS is not set
# CONFIG_NCP_FS is not set
#
# Partition Types
#
# CONFIG_BSD_DISKLABEL is not set
# CONFIG_MAC_PARTITION is not set
# CONFIG_MINIX_SUBPARTITION is not set
# CONFIG_SMD_DISKLABEL is not set
# CONFIG_SOLARIS_X86_RARTITION is not set
# CONFIG_UNIXWARE_DISKLABEL is not set
# CONFIG_NLS is not set
#
# Console drivers
#
# CONFIG_VGA_CONSOLE is not set
# CONFIG_VIDEO_SELECT is not set
# CONFIG_MDA_CONSOLE is not set
# CONFIG_FB is not set
#
# Sound
#
# CONFIG_SOUND is not set
#
# Security options
#
# CONFIG_SECURE_STACK is not set
# CONFIG_SECURE_LINK is not set
# CONFIG_SECURE_FIFO is not set
# CONFIG_SECURE_PROC is not set
# CONFIG_SECURE_FD_0_1_2 is not set
# CONFIG_SECURE_RLIMIT_NPROC is not set
# CONFIG_SECURE_SHM is not set
#
# Kernel hacking
#
# CONFIG_MAGIC_SYSRQ is not set
我々は生産カーネルを作成し、それを/bootディレクトリの宛先パーティションに配置する。
次いで我々は、有効に機能するSYS V Linuxシステム、ウェブサーバ、および希望する他のツールをを得るために、必要に応じて支援バイナリを作成し始める。
これらのバイナリ作成後、それらは必要な共用ライブラリおよび設定ファイルに沿って宛先パーティションに配置される。
全ての必要なバイナリが作成され、有効に機能すると、我々は以下のステップを使用する。
ブートプロセス中に、システムが書込み作業のために使用する以下のRAMドライブを生成する。明らかに、RAMは揮発性であり、シャットダウンシーケンスは、リブートまたは停電後に利用可能であることが必要な情報を格納することに注意を払う。各RAMドライブは始動時に形成されフォーマットされるので、異常シャットダウンによりファイルシステムが破壊される機会は無い。
ドライブ マウント名称
/dev/ram0 swap
/dev/ram1 /tmp
/dev/ram2 /var
/dev/ram3 /usr/local/firebridge/http
swap: 物理的RAMが低レベルで作動するときにOSによって使用される。(RAMにスワップスペースを生成することによって、メモリのその部分をスワップ用に確保する。)
/tmp: 管理インタフェースによって一時ファイルのために使用される。
/var: ロギングのために使用される(現在ログファイルはリブート時に保存されないことに注意されたい。永久ロギングを達成するために、loghostにログできるsyslogを設けている。)
/usr/…/http: ウェブサーバのウェブページおよびグラフィックス用に使用される。高速アクセスを達成し、インタフェース性能を高めるために、これらのグラフィックスをRAMから提供する。そうするとアクセス時間が他の装置からよりずっと早くなる。
CGIインタフェースはmod perlを使用して、ウェブブラウザでユーザが見るものを取り扱う*.cgiファイルと、ユーザ入力を検査し設定ファイルを操作する*−lib.plファイルの2種類のファイルを区別する。動的コンテンツおよびプレゼンテーション用のフレームワークとして使用される静的htmlファイル、画像、およびカスケーディングスタイルシートがある。
構成ファイルを操作するために、以下のファイルが使用される。
-fb-cgilib.pl (全てのスクリプトに使用される一般的な機能)
-ipcalc-lib.pl (ipカルキュレータライブラリ)
-ipcalc.cgi (ipカルキュレータプレゼンテーション)
*bridgeview (これは読出し専用バージョンを含む)
vwgroups.cgi
vwnetobjects.cgi
vwrules.cgi
vwservices.cgi
*fw
-fwconf-lib.pl (ルールに基づきipchains互換性設定を書く)
-fwconf.cgi (設定を起動/ロールバックする)
-groups-lib.pl (グループファイルを操作する)
-groups.cgi (グループファイルのプレゼンテーション)
-netobjects-lib.pl (ネットワークオブジェクトファイルを操作する)
-netobjects.cgi (ネットワークオブジェクトファイルのプレゼンテーション)
-rules-lib.pl (ルールファイルを操作する)
-rules.cgi (ルールファイルのプレゼンテーション)
-services-lib.pl (サービスファイルを操作する)
-services.cgi (サービスファイルのプレゼンテーション)
*logvw
-logvw.cgi (現在のログファイルを表示する)
*options
-fbgconf-lib.pl (グローバル設定オプションを操作する)
-fbgconf.cgi (グローバル設定オプションのプレゼンテーション)
*status
-confstatus.cgi (現在の設定がアクティブと同じかどうかを検査する)
-loadstatus.cgi (ボックスのロードを検査する)
*wizard
-wizard.cgi (ルールおよび関連オブジェクトの段階的作成)
ファイヤブリッジは以下の設定ファイルを使用する。
Actions (ルールに対して可能な処置)
nr:action
fbgcfg (グローバル設定オプション)
option=value (真または偽)
fbrules (数字によるルール)
nr:allow/deny:source-name:destination-name:service-name:action-nr:comment
(発信源/宛先/サービスをグループ名にすることができることに注意されたい)
groups (グループ)
name:type:member-name,member-name,member-name:comment
netobjects (ネットワークエンティティ)
name:address/mask
protocols (数字によるipプロトコル)
nr:name:comment
name:description:protocol-nr:source-port:destination-port
(ポートはダッシュで区切られた範囲とすることができる。例:1024−65535)
ファイヤブリッジはその設定のために次のディレクトリを使用する。
/usr/local/firebridge/fwconfig/active
/usr/local/firebridge/fwconfig/config
ブート後、システムは./activeからのファイルを物理的に/var ラムドライブ上に所在する./configに書き込む(上記名前へのシンボリックリンク)。ユーザがファイアウォールに変更を行うと、これらは./configディレクトリに記録される。ひとたびユーザが全ての変更に満足すると、ユーザは次に管理インタフェース内のactivate configを選択する。
システムは次いで./configからのファイルを全て取り出し、./activeにファイルを上書きする。次いでipchains互換性出力を作成し、グループを希望に応じて複数のルールに変換し始める。全てのルールが無事に書かれると、それらがipchainsで起動する。
代替的に、ユーザは、システムが./activeからのファイルを取り出し、ファイルを./configに上書きするロールバックを選択することができる。
Claims (9)
- 内部ネットワークへのパケットの出入りの流れを制御するネットワークセキュリティ装置であって、公的に経路指定されるIPアドレスを持たない第1および第2のネットワークカード、パケットフィルターを含むファイアウォール、および管理インタフェースであり、公的に経路指定されるIPアドレスではなく、私的なアドレスでファイアウォールを設定するために使用されるアドレスを有する第3のネットワークカードを有しており、
パケットの流入の際には第1ネットワークカードが各パケットを検査のためにパケットフィルターに転送し、そこでパケットが内部ネットワークに受け入れ許可か、拒絶されたかを決定するルールセットと比較され、
(a)もしパケットが受け入れ許可であればパケットは第2ネットワークカードさらに内部ネットワークに転送され、
(b)もしパケットが受け入れ拒絶であればパケットは落とされて消滅し、パケットの流出の際にはアウトバウンドパケットは第2ネットワークカード経由でパケットフィルターを通過し、そこで検査され、ルールセットと比較され、もしパケットが許可されれば第1ネットワークカードへ転送されて装置から送出され、もし拒絶されれば落とされて消滅する、IPアドレスを使用せずブリッジ方式を使用することにより、パケットデータ転送のための別個のコンピュータを使用する必要がなく、前記パケットフィルターは、検査されたパケットを、経路指定またはプロキシするのではなく、ブリッジすることを特徴とするネットワークセキュリティ装置。 - 前記装置がルータとハブまたはサーバ機との間に配置されるように適応された、請求項1に記載の装置。
- 前記装置がHTMLインタフェースから構成可能である、請求項1に記載の装置。
- 前記装置が、前記装置と共に供給されるHTMLインタフェースにより構成される、請求項1に記載の装置。
- ロード状態を提供し、CPUの現在のロードがどれだけかについての図形による通知をユーザに提供するためのロードモニタをさらに備えた、請求項1に記載の装置。
- ファイアウォールの設定に対して行った変更がファイアウォールに対して完遂されたか否かについての図形による通知をユーザに提供する、コンフィギュレーション状態モニタをさらに備えた、請求項1に記載の装置。
- パケットが許可されたかあるいは拒絶されたか否かについての図形による指示を提供するモニタおよびログをさらに備えた、請求項1に記載の装置。
- 追加ソフトウェアをインストールすることなく、HTMLブラウザを有しネットワーク接続されたどのコンピュータからでも設定できるように、設定のためのHTMLインタフェースをさらに備えた、請求項1に記載の装置。
- 前記第1および第2ネットワークカードがそれらに割り当てられたIPアドレスを持たず、あるいは必要としない、請求項1に記載の装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
AUPR4355A AUPR435501A0 (en) | 2001-04-11 | 2001-04-11 | Network security system |
PCT/AU2002/000499 WO2002084916A2 (en) | 2001-04-11 | 2002-04-11 | Network security system |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004531941A JP2004531941A (ja) | 2004-10-14 |
JP2004531941A5 JP2004531941A5 (ja) | 2005-08-04 |
JP4677173B2 true JP4677173B2 (ja) | 2011-04-27 |
Family
ID=3828354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002582528A Expired - Fee Related JP4677173B2 (ja) | 2001-04-11 | 2002-04-11 | ネットワークセキュリティシステム |
Country Status (7)
Country | Link |
---|---|
US (1) | US7451306B2 (ja) |
EP (1) | EP1389377B1 (ja) |
JP (1) | JP4677173B2 (ja) |
AT (1) | ATE339841T1 (ja) |
AU (1) | AUPR435501A0 (ja) |
DE (1) | DE60214702D1 (ja) |
WO (1) | WO2002084916A2 (ja) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7778999B1 (en) | 2003-01-24 | 2010-08-17 | Bsecure Technologies, Inc. | Systems and methods for multi-layered packet filtering and remote management of network devices |
TW586709U (en) * | 2003-02-18 | 2004-05-01 | Channel Inc W | Device for observing network packets |
US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
RU2005139594A (ru) * | 2005-12-19 | 2007-06-27 | Григорий Гемфриевич Дмитриев (RU) | Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) |
US7716472B2 (en) | 2005-12-29 | 2010-05-11 | Bsecure Technologies, Inc. | Method and system for transparent bridging and bi-directional management of network data |
US8484733B2 (en) * | 2006-11-28 | 2013-07-09 | Cisco Technology, Inc. | Messaging security device |
JP4985246B2 (ja) * | 2007-09-04 | 2012-07-25 | 富士通株式会社 | データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム |
US20150304395A1 (en) * | 2012-04-18 | 2015-10-22 | Nec Corporation | Information processing apparatus, information processing method and program |
JP6107817B2 (ja) * | 2012-04-18 | 2017-04-05 | 日本電気株式会社 | 設計支援装置、設計支援方法およびプログラム |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9787722B2 (en) * | 2015-05-19 | 2017-10-10 | Cisco Technology, Inc. | Integrated development environment (IDE) for network security configuration files |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US9692784B1 (en) | 2016-10-25 | 2017-06-27 | Fortress Cyber Security, LLC | Security appliance |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
CN110875910B (zh) * | 2018-08-31 | 2022-10-28 | 阿里巴巴集团控股有限公司 | 一种获取网络传输信息的方法、装置及系统 |
CN112491789B (zh) * | 2020-10-20 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5818838A (en) * | 1995-10-12 | 1998-10-06 | 3Com Corporation | Method and apparatus for transparent intermediate system based filtering on a LAN of multicast packets |
US6477648B1 (en) * | 1997-03-23 | 2002-11-05 | Novell, Inc. | Trusted workstation in a networked client/server computing system |
IL128814A (en) * | 1999-03-03 | 2004-09-27 | Packet Technologies Ltd | Local network security |
US6493752B1 (en) * | 1999-05-06 | 2002-12-10 | Watchguard Technologies | Device and method for graphically displaying data movement in a secured network |
JP2003505934A (ja) * | 1999-07-15 | 2003-02-12 | サン・マイクロシステムズ・インコーポレイテッド | 安全なネットワーク・スイッチ |
-
2001
- 2001-04-11 AU AUPR4355A patent/AUPR435501A0/en not_active Abandoned
-
2002
- 2002-04-11 US US10/474,856 patent/US7451306B2/en not_active Expired - Fee Related
- 2002-04-11 AT AT02717862T patent/ATE339841T1/de not_active IP Right Cessation
- 2002-04-11 EP EP02717862A patent/EP1389377B1/en not_active Expired - Lifetime
- 2002-04-11 JP JP2002582528A patent/JP4677173B2/ja not_active Expired - Fee Related
- 2002-04-11 WO PCT/AU2002/000499 patent/WO2002084916A2/en active IP Right Grant
- 2002-04-11 DE DE60214702T patent/DE60214702D1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
WO2002084916A2 (en) | 2002-10-24 |
JP2004531941A (ja) | 2004-10-14 |
EP1389377A4 (en) | 2006-03-22 |
EP1389377B1 (en) | 2006-09-13 |
WO2002084916A3 (en) | 2002-12-05 |
DE60214702D1 (de) | 2006-10-26 |
ATE339841T1 (de) | 2006-10-15 |
EP1389377A2 (en) | 2004-02-18 |
US20040172529A1 (en) | 2004-09-02 |
US7451306B2 (en) | 2008-11-11 |
AUPR435501A0 (en) | 2001-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4677173B2 (ja) | ネットワークセキュリティシステム | |
US7512781B2 (en) | Firewall with stateful inspection | |
US7882540B2 (en) | System and method for on-demand dynamic control of security policies/rules by a client computing device | |
US7181542B2 (en) | Method and system for managing and configuring virtual private networks | |
EP0713311A1 (en) | Secure gateway and method for communication between networks | |
JPH09505719A (ja) | 相互接続コンピュータネットワークの機密保護装置 | |
Aggarwal | Network Security with pfSense: Architect, deploy, and operate enterprise-grade firewalls | |
WO2001082533A2 (en) | Method and system for managing and configuring virtual private networks | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.5 Release Notes | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
Cisco | Release Note for the Cisco 11000 Series Secure Content Accelerator (Software Version 3.2.0) | |
Cisco | PIX Firewall Series Version 4.1.2 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.2 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.2 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.2 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.4 Release Notes | |
Cisco | PIX Firewall Series Version 4.1.5 Release Notes | |
Cisco | Release Note for the Cisco 11000 Series Secure Content Accelerator (Software Version 3.1.0) | |
Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
AU2002248989B2 (en) | Network security system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050407 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070220 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070518 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070525 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070918 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071128 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071212 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080117 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080124 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080218 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080812 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081117 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081217 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090128 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20090220 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110131 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140204 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |