JP4732858B2 - Packet filtering apparatus and packet filtering program - Google Patents

Packet filtering apparatus and packet filtering program Download PDF

Info

Publication number
JP4732858B2
JP4732858B2 JP2005320036A JP2005320036A JP4732858B2 JP 4732858 B2 JP4732858 B2 JP 4732858B2 JP 2005320036 A JP2005320036 A JP 2005320036A JP 2005320036 A JP2005320036 A JP 2005320036A JP 4732858 B2 JP4732858 B2 JP 4732858B2
Authority
JP
Japan
Prior art keywords
packet
address information
network
wide area
area network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005320036A
Other languages
Japanese (ja)
Other versions
JP2007129481A (en
Inventor
雅樹 ▲濱▼田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005320036A priority Critical patent/JP4732858B2/en
Publication of JP2007129481A publication Critical patent/JP2007129481A/en
Application granted granted Critical
Publication of JP4732858B2 publication Critical patent/JP4732858B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、パケットフィルタリングを行うパケットフィルタリング装置およびパケットフィルタリングプログラムに関するものである。   The present invention relates to a packet filtering apparatus and a packet filtering program that perform packet filtering.

従来より、インターネットアプリケーションの機能の1つとして、オープンネットワーク上で不特定多数の端末と通信することがあるため、当該アプリケーションを実装する端末に対してセキュリティを確保するための対策が行われてきた。   Conventionally, as one of the functions of an Internet application, there is a case where communication with an unspecified number of terminals is performed on an open network. Therefore, measures have been taken to ensure security for a terminal on which the application is installed. .

このようなセキュリティを確保する対策として、閉域網などの内部ネットワーク(例えば、企業内LANなど)と広域網などの外部ネットワーク(例えば、公衆網やインターネットなど)との間に通信回線を物理的に制御する装置(例えば、非特許文献1を参照)を設けて、外部ネットワークから内部ネットワークに対して、または、内部ネットワークから外部ネットワークに対して不正アクセス、コンピュータウイルス、DoS(Denial of Service)攻撃などがあった場合に、通信回線を物理的に切断制御することで、内部ネットワークを保護するものがある。また、広域網を提供するISP業者(Internet Service Provider)側で、提供している広域網を構成するルータなどの各所に通信回線を物理的に制御する装置を広域に万遍なく配備する形態も知られている。   As a measure for ensuring such security, a communication line is physically connected between an internal network such as a closed network (for example, a corporate LAN) and an external network such as a wide area network (for example, a public network or the Internet). A device for controlling (for example, refer to Non-Patent Document 1) is provided, and unauthorized access from the external network to the internal network or from the internal network to the external network, computer virus, DoS (Denial of Service) attack, etc. In some cases, the internal network is protected by physically disconnecting and controlling the communication line. In addition, there is also a mode in which devices that physically control communication lines are widely deployed throughout the wide area on the ISP (Internet Service Provider) side that provides the wide area network, such as routers constituting the wide area network provided. Are known.

“ステートフル・インスペクション技術”、[online]、[平成17年9月28日検索]、インターネット<http://www.checkpoint.co.jp/products/download/Stateful_Inspection.pdf>"Stateful inspection technology", [online], [searched on September 28, 2005], Internet <http://www.checkpoint.co.jp/products/download/Stateful_Inspection.pdf>

ところで、上記した従来の技術では、広域網を利用する企業や広域網を提供するISP業者は、閉域網と広域網との接続ポイント毎にセキュリティ対策を行う装置を配備する必要があるので、冗長な設備投資および運用コストの増加という問題点があった。   By the way, in the above-described conventional technology, a company using a wide area network or an ISP provider providing a wide area network needs to deploy a device for performing security measures for each connection point between the closed network and the wide area network. There was a problem of large capital investment and increase in operation cost.

また、広域網を利用する企業のセキュリティ対策は、その企業に依存しているので、セキュリティの認識違いによるセキュリティ対策の不統一やセキュリティ情報の更新漏れによる被害の増加という問題点があった。   In addition, since security measures of a company using a wide area network depend on the company, there are problems such as inconsistency of security measures due to different security perceptions and increased damage due to omission of security information update.

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ISP業者と企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能であるとともに、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能であるパケットフィルタリング装置を提供することを目的とする。   Accordingly, the present invention has been made to solve the above-described problems of the prior art, and prevents redundant equipment investment and operation costs for security measures for both ISP contractors and companies. An object of the present invention is to provide a packet filtering device capable of preventing inconsistency of security measures and omission of update of security information.

上述した課題を解決し、目的を達成するため、本発明は、広域網または異なる複数の所定の閉域網各々と別の閉域網を介して接続されており、前記広域網または前記所定の閉域網へ送信されるパケットおよび/または前記広域網または前記所定の閉域網から送信されるパケットをフィルタリングするパケットフィルタリング装置であって、前記パケットを当該パケットの種別に応じてフィルタリングする複数のフィルタ手段と、前記広域網または前記所定の閉域網各々に接続された複数の端末装置各々に送信されるパケットおよび/または前記複数の端末装置各々から送信されるパケットを、前記広域網または前記所定の閉域網各々と接続される前記別の閉域網を介して受信するパケット受信手段と、前記パケット受信手段により受信したパケットを当該パケットの種別に応じて前記複数のフィルタ手段へ振分けるパケット振分手段と、前記複数のフィルタ手段によりフィルタリングされたパケットを送信先に配送するパケット配送手段と、前記所定の閉域網に接続されている複数の端末装置ごとに、前記広域網で使用されるアドレス情報であって当該パケットフィルタリング装置に設定されているグローバルアドレス情報と前記所定の閉域網で使用されるアドレス情報であるプライベートアドレス情報とを対応付けて記憶するアドレス情報記憶手段を備え、前記パケット配送手段は、前記パケット受信手段によって、前記所定の閉域網に接続される端末装置宛のパケットが前記広域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記所定の閉域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えるとともに、当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記広域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えて前記広域網を介して配送することを特徴とする。
In order to solve the above-described problems and achieve the object, the present invention is connected to a wide area network or each of a plurality of different predetermined closed networks via another closed network, and the wide area network or the predetermined closed network A packet filtering device for filtering packets transmitted to and / or packets transmitted from the wide area network or the predetermined closed network, and a plurality of filter means for filtering the packets according to the type of the packet; the packet transmitted from the wide area network or a packet and / or the plurality of terminal devices each being sent to a plurality of terminal devices each connected to the predetermined closed network each, each said wide area network or the predetermined closed network packet receiving means for receiving via said another closed network that is connected to, path received by the packet receiving means And distributing the packet distributing means to said plurality of filter means Tsu bets according to the type of the packet, a packet delivery means for delivering the filtered packets to the destination by the plurality of filter means, the predetermined closed network Address information used in the wide area network for each of a plurality of terminal devices connected to the network, and global address information set in the packet filtering apparatus and address information used in the predetermined closed network Address information storage means for storing private address information in association with each other, wherein the packet delivery means causes the packet receiving means to send a packet addressed to a terminal device connected to the predetermined closed network via the wide area network. If the packet is received, the address information storage means is referred to determine the destination of the packet. The packet address information is changed from private address information to private address information and delivered via the other closed network to which the destination is connected, and a packet addressed to a terminal device connected to the predetermined closed network is sent via the other closed network. If received, the address information storage means is referred to change the source of the packet from private address information to global address information, and the destination of the packet is changed from global address information to private address information. When the packet addressed to the terminal device connected to the wide area network is received via the other closed network, the address information storage means is referred to. Replacing the source of the packet from private address information to global address information It is characterized by being delivered via a network .

また、発明は、上記の発明において、前記パケット配送手段は、セキュアな伝送路を介して前記端末装置に前記パケットを配送することを特徴とする。 Further, the present invention is characterized in that, in the above invention, the packet delivery means delivers the packet to the terminal device via a secure transmission path.

また、発明は、上記の発明において、前記パケット受信手段は、セキュアな伝送路を介して前記端末装置から前記パケットを受信することを特徴とする。 Also, the present invention is characterized in that, in the above invention, the packet receiving means receives the packet from the terminal device via a secure transmission path.

また、発明は、上記の発明において、前記パケット振分手段は、前記パケット受信手段により受信したパケットを処理するアプリケーションの種別に応じて振分けることを特徴とする。 Also, the present invention is characterized in that, in the above invention, the packet distribution means distributes according to the type of application that processes the packet received by the packet reception means.

発明によれば、広域網上(例えば、公衆網、インターネットなど)またはそれと接続される閉域網でパケットを受信してフィルタリングを行い、送信先に配送されるので、広域網と閉域網との接続ポイント毎にセキュリティ対策を行う必要がなく、広域網を提供するISP業者と広域網を利用する企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができるとともに、広域網を利用する企業ごとに異なるセキュリティ対策を行う必要がなく、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能である。 According to the present invention, packets are received and filtered on a wide area network (for example, public network, Internet, etc.) or a closed network connected thereto, and are distributed to a transmission destination. There is no need to take security measures for each connection point, and it is possible to prevent redundant equipment investment and increase in operating costs for security measures for both ISP providers providing wide area networks and companies using wide area networks. In addition, it is not necessary to take different security measures for each company using a wide area network, and it is possible to prevent inconsistency of security measures and omission of update of security information.

また、発明によれば、セキュアな伝送路を介して端末装置にパケットを配送するので、フィルタリングされたパケットは、盗聴などの危険にさらされることなく、送信先に安全に配送することが可能である。 Further, according to the present invention, since the packet is delivered to the terminal device through the secure transmission path, the filtered packet can be safely delivered to the transmission destination without being exposed to danger such as eavesdropping. It is.

また、発明によれば、端末装置に対応したアドレス情報をパケット受信手段により受信したパケットに付け替えて配送するので、本来の送信先である端末装置に正しく配送することが可能であるとともに、送信先が返信可能な送信元アドレスに付け替えられたパケットを受信することが可能である。 In addition, according to the present invention, since address information corresponding to the terminal device is delivered by being replaced with the packet received by the packet receiving means, it can be correctly delivered to the terminal device which is the original transmission destination, and the transmission can be performed. It is possible to receive a packet that has been replaced with a source address that can be sent back.

また、発明によれば、セキュアな伝送路を介して端末装置からのパケットを受信するので、盗聴などの危険にさらされることなく、送信元の端末装置から安全にパケットを受信することが可能である。 In addition, according to the present invention, since the packet from the terminal device is received through the secure transmission path, it is possible to safely receive the packet from the terminal device of the transmission source without being exposed to danger such as eavesdropping. It is.

また、発明によれば、パケット受信手段により受信したパケットを当該パケットの種別に応じて複数のフィルタに振分けてフィルタリングを行うので、複数のセキュリティ機能を1つのポイントに集約して配備でき、例えば、不正アクセス、コンピュータウイルス、Dos攻撃など様々なセキュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である。 Further, according to the present invention, since the packet received by the packet receiving means is distributed to the plurality of filters according to the type of the packet and filtered, a plurality of security functions can be aggregated and deployed at one point, for example, Various security measures such as unauthorized access, computer virus, and Dos attack can be taken, and it is possible to prevent redundant capital investment and an increase in operation cost of security measures.

また、発明によれば、パケット受信手段により受信したパケットをアプリケーションの種別により振分けてフィルタリングを行うので、例えば、HTTPやMAILなど様々なアプリケーションに対応したセキュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である。 In addition, according to the present invention, since the packet received by the packet receiving means is sorted and filtered according to the type of application, for example, security measures corresponding to various applications such as HTTP and MAIL can be taken. It is possible to prevent redundant capital investment and increase in operation cost.

また、発明によれば、パケット受信手段により受信したパケットを端末装置、広域網または閉域網の契約状況に応じて振分けてフィルタリングを行うので、契約者に必要なセキュリティ対策のみを行うことができ、冗長な設備投資および運用コストの増加を防止することが可能である。 Further, according to the present invention, since the packet received by the packet receiving means is sorted and filtered according to the contract status of the terminal device, the wide area network or the closed area network, only the security measures necessary for the contractor can be taken. It is possible to prevent redundant capital investment and increase in operation cost.

また、発明によれば、パケット受信手段により受信したパケットを複数のフィルタ手段の負荷状況に応じて振分けてフィルタリングを行うので、例えば、負荷が少ないフィルタに優先して振分けるなどを行うことができ、フィルタリングによるパケットの遅延を防止することが可能である。 Further, according to the present invention, the packet received by the packet receiving means is sorted and filtered according to the load status of the plurality of filter means. For example, it is possible to give priority to a filter with a low load. It is possible to prevent packet delay due to filtering.

以下に添付図面を参照して、この発明に係るパケットフィルタリング装置の実施例(実施例1〜2)を詳細に説明する。   Embodiments (embodiments 1 and 2) of a packet filtering apparatus according to the present invention will be described below in detail with reference to the accompanying drawings.

以下の実施例1では、本発明に係るパケットフィルタリング装置の概要および特徴、パケットフィルタリング装置の構成および処理の流れ、実施例1による効果等を順に説明する。   In the following first embodiment, the outline and features of the packet filtering device according to the present invention, the configuration and processing flow of the packet filtering device, and the effects of the first embodiment will be described in order.

[パケットフィルタリング装置の概要および特徴]
まず最初に、図1を用いて、本実施例に係パケットフィルタリング装置の概要および特徴を説明する。図1は、本実施例に係るパケットフィルタリング装置を含むシステムの全体構成を示すシステム構成図である。 [Outline and features of packet filtering device]
First, the outline and features of the packet filtering apparatus according to the present embodiment will be described with reference to FIG. FIG. 1 is a system configuration diagram illustrating an overall configuration of a system including a packet filtering apparatus according to the present embodiment.

このパケットフィルタリング装置は、パケットをフィルタリングしてセキュリティ対策を行うことを概要とするものであり、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができる点と、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することができる点とに主たる特徴がある。   This packet filtering device is designed to perform security measures by filtering packets, and can prevent redundant capital investment and increase in operating costs for security measures, and inconsistent security measures The main feature is that it is possible to prevent omissions in updating security information.

同図に示すように、パケットフィルタリング装置11と、A企業内LAN12と、B企業内LAN13と、C企業内LAN14と、D企業内LAN15とは、広域網10(公衆網やインターネット網などによって形成される通信網)を介して接続される。そして、A企業内LAN12およびB企業内LAN13は、パケットフィルタリング装置11が提供するセキュリティ対策サービスの契約下にある。   As shown in the figure, the packet filtering device 11, the A corporate LAN 12, the B corporate LAN 13, the C corporate LAN 14, and the D corporate LAN 15 are formed by a wide area network 10 (public network, Internet network, or the like). Communication network). The corporate LAN 12 and the corporate LAN 13 are under a security service contract provided by the packet filtering device 11.

そして、それぞれの企業内LANには端末装置が接続され、端末装置にはLAN内だけで通用するプライベートアドレス(以下、PIPと言う)が設定されている。具体的には、A企業内LAN12にはPIP(10.1.1.1)が設定された端末装置A12aが接続されており、B企業内LAN13にはPIP(10.2.2.2)が設定された端末装置13aが設定されており、C企業内LAN14にはPIP(10.3.3.3)が設定された端末装置14aが接続されており、D企業内LANにはPIP(10.4.4.4)が設定された端末装置15aが接続されている。   A terminal device is connected to each in-house LAN, and a private address (hereinafter referred to as PIP) that can be used only within the LAN is set in the terminal device. Specifically, a terminal device A 12 a in which PIP (10.1.1.1) is set is connected to the A corporate LAN 12, and a PIP (10.2.2.2) is connected to the B corporate LAN 13. Is set, the terminal 14a with PIP (10.3.3.3) is connected to the corporate LAN 14 and the corporate IP 14P is connected to the corporate LAN 14P. The terminal device 15a to which 10.4.4.4) is set is connected.

また、パケットフィルタリング装置11には、契約下にある企業内LANに接続されている端末装置A12aおよび端末装置B13aが、広域網10上での通信を可能にするために一意に割り当てられたグローバルIPアドレス(以下、GIPと言う)である1.1.1.1および2.2.2.2が設定されている。また、パケットフィルタリング装置11は、契約下にある端末装置のPIP(10.1.1.1および10.2.2.2)とGIP(1.1.1.1および2.2.2.2)とを関連付けたGIP・PIP情報19を記憶している。   In addition, the packet filtering device 11 includes a global IP address uniquely assigned to enable communication on the wide area network 10 by the terminal device A 12a and the terminal device B 13a connected to the corporate LAN under contract. Addresses (hereinafter referred to as GIP) 1.1.1.1 and 2.2.2.2 are set. Further, the packet filtering device 11 includes PIP (10.1.1.1 and 10.2.2.2) and GIP (1.1.1.1 and 2.2.2.2) of the terminal devices under contract. GIP / PIP information 19 associated with 2) is stored.

そして、パケットフィルタリング装置11と、契約下にあるA企業内LAN12およびB企業内LAN13とは、それぞれ仮想的なLANで接続されており、契約下にある企業内LANに接続された端末装置に対する広域網10との入出力トラフィックが、パケットフィルタリング装置11を経由するように構成されている。   The packet filtering device 11 and the in-company LAN 12 and the in-company LAN 13 that are under contract are connected by virtual LANs, and a wide area for terminal devices connected to the in-company LAN under contract. Input / output traffic with the network 10 is configured to pass through the packet filtering device 11.

このようなシステム構成の元、パケットフィルタリング装置11は、契約下にある端末装置に送信されるパケットおよび/または契約下にある端末装置から送信されるパケットを広域網で受信し、受信したパケットをフィルタリングした後、当該パケットを送信先に配送する。   Under such a system configuration, the packet filtering device 11 receives a packet transmitted to a terminal device under contract and / or a packet transmitted from a terminal device under contract with a wide area network, and receives the received packet. After filtering, the packet is delivered to the destination.

例えば、契約下にない端末装置D15aから契約下にある端末装置A12a(1.1.1.1)に向けてパケットが送信された場合、当該パケットは、端末装置A12aの広域網10におけるGIP(1.1.1.1)に対してパケットが送信されて、広域網10では実際にGIP(1.1.1.1)が設定されているパケットフィルタリング装置11により受信される。そして、パケットフィルタリング装置11は、受信したパケットをフィルタリングし、フィルタリングされたパケットの送信先をGIP(1.1.1.1)に対応する仮想的LAN接続での送信先PIP(10.1.1.1)に付け替えて、仮想的なLAN接続を通して送信先である端末装置A12aに配送する。   For example, when a packet is transmitted from a terminal device D15a that is not under contract to a terminal device A12a (1.1.1.1) that is under contract, the packet is transmitted to the GIP (in the wide area network 10 of the terminal device A12a). 1.1.1.1) is transmitted to the wide area network 10 and is received by the packet filtering device 11 in which GIP (1.1.1.1) is actually set. Then, the packet filtering device 11 filters the received packet, and the destination of the filtered packet is the destination PIP (10.1...) In the virtual LAN connection corresponding to GIP (1.1.1.1). 1.1) and delivered to the terminal device A 12a as the transmission destination through a virtual LAN connection.

また、契約下にある端末装置A12a(10.1.1.1)から契約下にある端末装置B13a(2.2.2.2)に向けてパケットが送信された場合、当該パケットは仮想的なLAN接続を介して広域網10へ出るためのゲートウエイに向かう過程でパケットフィルタリング装置11を通過する(レイヤ2では受信されるが、レイヤ3では通過する)。その際、パケットフィルタリング装置11は、パケットをフィルタリングし、フィルタリングされたパケットの送信元であるPIP(10.1.1.1)に対応したGIP(1.1.1.1)に送信元を付け替えて、広域網10経由で端末装置B13aに配送する。当該パケットは、広域網10では実際にGIP(2.2.2.2)が設定されているパケットフィルタリング装置11により受信される。そして、パケットフィルタリング装置11は、受信したパケットをフィルタリングし、フィルタリングされたパケットの送信先をGIP(2.2.2.2)に対応する仮想的LAN接続での送信先PIP(10.2.2.2)に付け替えて、仮想的なLAN接続を通してパケットを端末装置B13aに配送する。   When a packet is transmitted from the terminal device A12a (10.1.1.1) under contract to the terminal device B13a (2.2.2.2) under contract, the packet is virtual Passes through the packet filtering device 11 in the process of going to the gateway for exiting to the wide area network 10 via a simple LAN connection (received in layer 2 but passes in layer 3). At that time, the packet filtering device 11 filters the packet, and sends the transmission source to the GIP (1.1.1.1) corresponding to the PIP (10.1.1.1) that is the transmission source of the filtered packet. In addition, it is delivered via the wide area network 10 to the terminal device B 13a. The packet is received by the packet filtering device 11 in which GIP (2.2.2.2) is actually set in the wide area network 10. Then, the packet filtering device 11 filters the received packet, and sets the destination of the filtered packet as the destination PIP (10.2.) In the virtual LAN connection corresponding to GIP (2.2.2.2). In other words, the packet is delivered to the terminal device B 13a through a virtual LAN connection.

また、契約下にある端末装置A12a(10.1.1.1)から契約下にない端末装置C14a(3.3.3.3)に向けてパケットが送信された場合、当該パケットは仮想的なLAN接続を介して広域網10へ出るためのゲートウエイに向かう過程でパケットフィルタリング装置11を通過する(レイヤ2では受信されるが、レイヤ3では通過する)。その際、パケットフィルタリング装置11は、パケットをフィルタリングし、フィルタリングされたパケットの送信元であるPIP(10.1.1.1)に対応したGIP(1.1.1.1)に送信元を付け替えて、広域網10経由で端末装置C14a(3.3.3.3)に配送する。   When a packet is transmitted from the terminal device A12a (10.1.1.1) under contract to the terminal device C14a (3.3.3.3) not under contract, the packet is virtually Passes through the packet filtering device 11 in the process of going to the gateway for exiting to the wide area network 10 via a simple LAN connection (received in layer 2 but passes in layer 3). At that time, the packet filtering device 11 filters the packet, and sends the transmission source to the GIP (1.1.1.1) corresponding to the PIP (10.1.1.1) that is the transmission source of the filtered packet. In exchange, it is delivered to the terminal device C 14 a (3.3.3.3) via the wide area network 10.

なお、契約下にない端末装置C12aから契約下にない端末装置D15a(4.4.4.4)に向けてパケットが送信された場合、当該パケットは、パケットフィルタリング装置11を経由することなく、GIP(4.4.4.4)が割り当てられている端末装置D15aが受信する(レイヤ3だけでなく、レイヤ2においても受信する)。   In addition, when a packet is transmitted from the terminal device C12a that is not under contract to the terminal device D15a (4.4.4.4) that is not under contract, the packet does not pass through the packet filtering device 11, The terminal device D15a to which GIP (4.4.4.4) is assigned receives (receives not only in layer 3 but also in layer 2).

[パケットフィルタリング装置の構成]
次に、図2を用いて、パケットフィルタリング装置の構成を説明する。図2は、パケットフィルタリング装置の構成を示すブロック図である。同図に示すように、このパケットフィルタリング装置20は、パケット受信部21と、フィルタリング部22と、パケット配送部23とから構成される。 [Configuration of packet filtering device]
Next, the configuration of the packet filtering device will be described with reference to FIG. FIG. 2 is a block diagram illustrating a configuration of the packet filtering apparatus. As shown in the figure, the packet filtering device 20 includes a packet receiving unit 21, a filtering unit 22, and a packet delivery unit 23.

このうち、パケット受信部21は、パケットを受信する手段である。具体的には、契約下にある企業内LANに接続されている端末装置(例えば、端末装置A12aおよび端末装置B13a)のGIPを送信先とするパケットを広域網10から受信する。また、契約下にある端末装置のPIPから広域網であるGIP宛に送信されるパケットを仮想的なLAN接続経由で受信する。   Among these, the packet receiving unit 21 is a means for receiving a packet. Specifically, a packet whose destination is the GIP of a terminal device (for example, the terminal device A 12a and the terminal device B 13a) connected to the corporate LAN under contract is received from the wide area network 10. In addition, a packet transmitted from a PIP of a terminal device under contract to a GIP that is a wide area network is received via a virtual LAN connection.

例えば、契約下にある端末装置A12aが広域網10を利用してパケットを受信する場合、端末装置A12aには、PIP(10.1.1.1)が設定されており、パケットフィルタリング装置11には、GIP(1.1.1.1)が設定されている。そのため、GIP(1.1.1.1)を送信先とするパケットは、パケットフィルタリング装置11により受信される。また、端末装置B13aについても同様である。なお、パケット受信部21は、特許請求の範囲に記載の「パケット受信手段」に対応する。   For example, when the terminal device A12a under contract receives a packet using the wide area network 10, PIP (10.1.1.1) is set in the terminal device A12a, and the packet filtering device 11 Is set to GIP (1.1.1.1). Therefore, the packet filtering device 11 receives a packet whose destination is GIP (1.1.1.1). The same applies to the terminal device B13a. The packet receiving unit 21 corresponds to “packet receiving means” recited in the claims.

フィルタリング部22は、受信したパケットをフィルタリングする手段である。具体的には、パケット振分部22aと、URLフィルタ22bと、AntiVirusフィルタ22cと、SPAMフィルタ22dとから構成される。なお、フィルタリング部22は、特許請求の範囲に記載の「フィルタリング手段」に対応し、また、パケット振分部22aは、同じく「パケット振分手段」に対応し、URLフィルタ22bからSPAMフィルタ22dは、同じく「複数のフィルタ手段」に対応する。   The filtering unit 22 is means for filtering received packets. Specifically, the packet distribution unit 22a, the URL filter 22b, the AntiVirus filter 22c, and the SPAM filter 22d are configured. The filtering unit 22 corresponds to the “filtering unit” described in the claims, the packet distribution unit 22a corresponds to the “packet distribution unit”, and the URL filter 22b to the SPAM filter 22d are Similarly, it corresponds to “a plurality of filter means”.

このうち、パケット振分部22aは、受信したパケットを種別に応じて複数のフィルタへ振分ける手段であり、具体的には、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスとにより複数のフィルタへ振分ける。例えば、図3に示すように、送信先のポート番号がHTTP(HiperText Transfer Protocol)の場合、URLフィルタ22bへ振分けを行い、また、送信先のポート番号がSMTP(Simple Mail Transfer Protocol)かつ送信先IPアドレスが1.1.1.1の場合、AntiVirusフィルタ22cに振分ける。   Among these, the packet distribution unit 22a is means for distributing the received packet to a plurality of filters according to the type. Specifically, the port number indicating the application type of the destination of the received packet and the source IP Sort to a plurality of filters by address or destination IP address. For example, as shown in FIG. 3, when the destination port number is HTTP (HyperText Transfer Protocol), the distribution is made to the URL filter 22b, and the destination port number is SMTP (Simple Mail Transfer Protocol) and the destination. When the IP address is 1.1.1.1, the IP address is distributed to the AntiVirus filter 22c.

また、いずれかのフィルタへ振分けられたパケットは、フィルタリング後、再びパケット振分部22aに戻ってくる。そして、パケット振分部22aは、次にフィルタリングを行う必要がある場合は次のフィルタへ振分けを行い、必要がない場合はパケット配送部23へパケットを転送する。具体的には、送信先のポート番号がSMTP(Simple Mail Transfer Protocol)かつ送信元IPアドレスが10.2.2.2の場合、まず、AntiVirusフィルタ22cへ振分けを行い、フィルタリング後に再びパケット振分部22aに戻り、次に、SPAMフィルタ22dへ振分ける。   Further, the packet distributed to one of the filters returns to the packet distribution unit 22a again after filtering. The packet distribution unit 22a distributes the packet to the next filter when the next filtering needs to be performed, and transfers the packet to the packet distribution unit 23 when the filtering is not necessary. Specifically, when the destination port number is SMTP (Simple Mail Transfer Protocol) and the source IP address is 10.2.2.2, first, the distribution is performed to the AntiVirus filter 22c, and the packet distribution is performed again after the filtering. Returning to the unit 22a, next, it distributes to the SPAM filter 22d.

URLフィルタ22bは、URLによりフィルタリングする手段であり、具体的には、閲覧禁止URLなどのフィルタリングを行う。例えば、出所不明のURLやフリーメールなどを使用禁止としておいた場合、当該URLにアクセスを試みてもアクセスできないようにフィルタリングを行う。   The URL filter 22b is a means for filtering by URL, and specifically performs filtering such as a browsing prohibited URL. For example, when a URL whose origin is unknown or a free mail is prohibited, filtering is performed so that the URL cannot be accessed even if an attempt is made to access the URL.

AntiVirusフィルタ22cは、コンピュータウイルスをフィルタリングする手段であり、具体的には、ウイルス検出アプリケーションを備えており、受信したパケットにコンピュータウイルスが忍び込んでないかをフィルタリングする。   The AntiVirus filter 22c is a means for filtering a computer virus. Specifically, the AntiVirus filter 22c includes a virus detection application, and filters whether a computer virus has sneaked into a received packet.

SPAMフィルタ22dは、スパムメールをフィルタリングする手段であり、具体的には、同じ内容を大量に配信するスパムメールの構成を含むパケットをフィルタリングする。   The SPAM filter 22d is a means for filtering spam mails, and specifically filters packets including the structure of spam mails that distribute the same contents in large quantities.

パケット配送部23は、フィルタリングしたパケットを本来の送信先へ配送する手段である。具体的には、送信先がGIP(1.1.1.1または2.2.2.2)である広域網経由で受信したパケットについては、送信先のGIP(1.1.1.1または2.2.2.2)に対応するPIP(10.1.1.1または10.2.2.2)に付け替えて、仮想的なLAN接続経由でパケットを配送する。また、送信元がPIP(10.1.1.1または10.2.2.2)である仮想的なLAN経由で受信したパケットについては、送信元のPIP(10.1.1.1または10.2.2.2)に対応するGIP(1.1.1.1または2.2.2.2)に付け替えて広域網10に向けて配送する(図4参照)。さらに、パケット配送部23は、記憶部を備え、GIPとPIPとの付け替えを実現するためのGIP・PIP情報19を記憶している。   The packet delivery unit 23 is a means for delivering the filtered packet to the original transmission destination. Specifically, for a packet received via a wide area network whose destination is GIP (1.1.1.1 or 2.2.2.2), the destination GIP (1.1.1.1) Or, the packet is delivered via a virtual LAN connection in place of the PIP (10.1.1.1 or 10.2.2.2) corresponding to 2.2.2.2). For packets received via a virtual LAN whose source is PIP (10.1.1.1 or 10.2.2.2), the source PIP (10.1.1.1 or The GIP (1.1.1.1 or 2.2.2.2) corresponding to 10.2.2.2) is replaced and delivered to the wide area network 10 (see FIG. 4). Further, the packet delivery unit 23 includes a storage unit, and stores GIP / PIP information 19 for realizing replacement of GIP and PIP.

[パケットフィルタリング装置による処理]
次に、図5を用いて、パケットフィルタリング装置による処理を説明する。図5は、パケットフィルタリング処理の流れを示すフローチャートである。 [Processing by packet filtering device]
Next, processing performed by the packet filtering apparatus will be described with reference to FIG. FIG. 5 is a flowchart showing the flow of packet filtering processing.

先ず、パケット受信部21がパケットを受信すると(ステップS501肯定)、パケット振分部22aは、パケットの種別に応じて複数のフィルタ部のいずれかへ振分ける(ステップS502)。例えば、受信したパケットの送信先のアプリケーション種別がHTTPであった場合、URLフィルタ22bへ振分ける。   First, when the packet receiving unit 21 receives a packet (Yes at Step S501), the packet distribution unit 22a distributes the packet to one of a plurality of filter units according to the type of packet (Step S502). For example, when the application type of the destination of the received packet is HTTP, it is distributed to the URL filter 22b.

続いて、複数のフィルタリングのいずれかは、受信したパケットのアプリケーション種別に応じてパケットをフィルタリングする(ステップS503)。例えば、URLフィルタ22bは、閲覧禁止URLなどのフィルタリングを行う。   Subsequently, one of the plurality of filtering filters the packet according to the application type of the received packet (step S503). For example, the URL filter 22b performs filtering such as a browsing prohibited URL.

そして、パケット配送部23は、受信したパケットに送信元のアドレス情報を付して送信先へ配送する。例えば、送信元が契約下にある端末装置A12aである場合、記憶しているGIP・PIP情報19に基づいて、PIPにGIPを付して配送する。   Then, the packet delivery unit 23 adds the address information of the transmission source to the received packet and delivers it to the transmission destination. For example, when the transmission source is the terminal device A12a under contract, based on the stored GIP / PIP information 19, GIP is attached to the PIP and delivered.

[実施例1の効果]
上述してきたように、実施例1によれば、契約下にある端末装置(例えば、A企業内LANに接続された端末装置A12a)を送信先とするパケットを広域網で受信し、受信したパケットをフィルタリングし、フィルタリングされたパケットを端末装置に配送するので、広域網と閉域網との接続ポイント毎にセキュリティ対策を行う必要がなく、広域網を提供するISP業者と広域網を利用する企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができるとともに、広域網を利用する企業ごとに異なるセキュリティ対策を行う必要がなく、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能である。 [Effect of Example 1]
As described above, according to the first embodiment, a packet whose destination is a terminal device under contract (for example, the terminal device A12a connected to the corporate LAN A) is received by the wide area network, and the received packet And the filtered packets are delivered to the terminal device, so there is no need to take security measures for each connection point between the wide area network and the closed area network, and ISP companies that provide the wide area network and companies that use the wide area network In both cases, it is possible to prevent redundant capital investment and increase in operating costs for security measures, and there is no need to implement different security measures for each company using a wide area network. It is possible to prevent omission of information update.

また、実施例1によれば、契約下にある端末装置に対応したアドレス情報を受信したパケットに付け替えて配送するので、本来の送信先である端末装置に正しく配送することが可能であるとともに、送信先が返信可能な送信元アドレスに付け替えられたパケットを受信することが可能である。   In addition, according to the first embodiment, since address information corresponding to a terminal device under contract is delivered in the received packet, it can be correctly delivered to the terminal device that is the original transmission destination, It is possible to receive a packet that has been changed to a source address to which the transmission destination can reply.

また、実施例1によれば、パケットフィルタリング装置は、受信したパケットを当該パ
ケットの種別に応じてフィルタリングする複数のフィルタを備えており、受信したパケッ
トを当該パケットの種別に応じて複数のフィルタのいずれかへ振分けるので、複数のセキ
ュリティ機能を1つのポイントに集約して配備でき、例えば、不正アクセス、コンピュー
タウイルス、Dos攻撃など様々なセキュリティ対策をフィルタごとに行うことができ、
セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である
In addition, according to the first embodiment, the packet filtering device includes a plurality of filters that filter received packets according to the type of the packet, and the received packets are filtered by a plurality of filters according to the type of the packet. Since it is distributed to either, multiple security functions can be aggregated and deployed at one point, for example, various security measures such as unauthorized access, computer virus, Dos attack can be performed for each filter,
It is possible to prevent redundant capital investment for security measures and an increase in operation costs.

また、実施例1によれば、受信したパケットを処理するアプリケーションの種別に応じ
て振分けるので、例えば、HTTPやMAILなど様々なアプリケーションに対応したセ
キュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コスト
の増加を防止することが可能である。 Further, according to the first embodiment, since the received packet is distributed according to the type of application that processes the packet, for example, security measures corresponding to various applications such as HTTP and MAIL can be taken, and redundant security measures can be taken. It is possible to prevent an increase in capital investment and operation costs.

さて、これまで実施例1に係るパケットフィルタリング装置について説明してきたが、本発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例2として、種々の異なる形態について説明する。   Although the packet filtering apparatus according to the first embodiment has been described so far, the present invention may be implemented in various different forms other than the above-described embodiments. Therefore, various different modes will be described below as a second embodiment.

また、上記した実施例1において、図1では、便宜上、契約下にある2つの企業内LANと、契約下にない2つの企業内LANとのパケット送受信について説明したが、本発明はこれに限定されるものではなく、契約下にある企業内LANを増減させてもよく、契約下にない企業内LANは、C企業内LAN14やD企業内LAN15などと同様に広域網10に接続される。   Further, in the above-described first embodiment, for the sake of convenience, FIG. 1 illustrates packet transmission / reception between two in-company LANs under contract and two in-company LANs under contract, but the present invention is not limited to this. The in-company LAN under contract may be increased or decreased, and the in-company LAN not under contract is connected to the wide area network 10 in the same manner as the C in-company LAN 14 and the D in-company LAN 15.

また、上記した実施例1において、パケットフィルタリング装置が提供するセキュリティ対策サービスを契約しているのは企業内LANであるとして説明したが、本発明はこれに限定されるものではなく、端末装置を個別に契約してもよい。この場合には、契約下にある端末装置とパケットフィルタリング装置とを仮想的なLANで接続する。   Further, in the first embodiment described above, it is described that the security countermeasure service provided by the packet filtering device is contracted by the in-house LAN, but the present invention is not limited to this, and the terminal device is You may contract individually. In this case, the terminal device under the contract and the packet filtering device are connected by a virtual LAN.

また、上記した実施例1において、パケットフィルタリング装置11と、契約下にある閉域網に接続された端末装置(例えば、A企業内LAN12に接続された端末装置A12a)とのパケット送受信について説明してきたが、本発明はこれに限定されるものではなく、例えば、契約下にある広域網10に直接接続された端末装置とのパケット送受信について、パケットフィルタリングを行ってもよい。   In the first embodiment described above, packet transmission / reception between the packet filtering device 11 and the terminal device connected to the closed network under contract (for example, the terminal device A12a connected to the corporate LAN 12) has been described. However, the present invention is not limited to this, and for example, packet filtering may be performed for packet transmission / reception with a terminal device directly connected to the wide area network 10 under contract.

また、上記した実施例1において、パケットフィルタリング装置を広域網に設置する場合を説明したが、本発明はこれに限定されるものではなく、図6に示したように広域網に接続されるデータセンタなど(例えば、LAN60など)にパケットフィルタリング装置11を設置するようにしてもよい。   In the first embodiment, the case where the packet filtering apparatus is installed in the wide area network has been described. However, the present invention is not limited to this, and the data connected to the wide area network as shown in FIG. The packet filtering device 11 may be installed at a center or the like (for example, the LAN 60).

また、上記した実施例1において、パケットフィルタリング装置11のパケット受信部21と、契約下にあるA企業内LAN12およびB企業内LAN13とをセキュアな回線(例えば、IPsec(Security Architecture for Internet Protocol)、TLS(Tracnsport Layer Security)またはSSL(Secure Sockets Layer)などのセキュリティプロトコルによって実現されるVPN(Vitual Private Network)や専用線など)で接続してもよい。これにより、セキュアな伝送路を介して端末装置からのパケットを受信するので、フィルタリング後に不正な情報を付加されることがなく、送信元の端末装置から安全にパケットを受信することが可能である。   In the first embodiment, the packet receiving unit 21 of the packet filtering apparatus 11 and the in-company A LAN 12 and the in-B company LAN 13 are connected to a secure line (for example, IPsec (Security Architecture for Internet Protocol), You may connect by VPN (Virtual Private Network), a private line, etc. which are implement | achieved by security protocols, such as TLS (Transport Layer Security) or SSL (Secure Sockets Layer). As a result, since the packet from the terminal device is received via the secure transmission path, it is possible to safely receive the packet from the terminal device of the transmission source without adding unauthorized information after filtering. .

また、上記した実施例1において、パケットフィルタリング装置11のパケット配送部23と、契約下にあるA企業内LAN12およびB企業内LAN13とをセキュアな回線(例えば、VPNや専用線など)で接続してもよい。これにより、セキュアな伝送路を介して端末装置にパケットを配送するので、フィルタリングされたパケットは、盗聴などの危険にさらされることなく、送信先の端末装置に安全に配送することが可能である。   In the first embodiment, the packet delivery unit 23 of the packet filtering apparatus 11 is connected to the A corporate LAN 12 and the B corporate LAN 13 under contract with a secure line (for example, a VPN or a dedicated line). May be. Thus, since the packet is delivered to the terminal device via the secure transmission path, the filtered packet can be safely delivered to the destination terminal device without being exposed to danger such as eavesdropping. .

また、上記した実施例1において、パケットフィルタリング装置におけるフィルタは、便宜上、3種類の場合について説明したが、本発明はこれに限定されるものではなく、用途に応じてフィルタの種類または数を増減させてもよい。   In the first embodiment described above, the case of three types of filters in the packet filtering device has been described for convenience. However, the present invention is not limited to this, and the type or number of filters may be increased or decreased depending on the application. You may let them.

また、上記した実施例1において、パケット振分部22aは、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスとより複数のフィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、端末装置、広域網と閉域網との契約状況に応じて振分けてもよい。具体的には、A社とはURLフィルタリングとAntiVirusフィルタリングを契約し、B社とはAntiVirusフィルタリングのみを契約した場合、B社を送信元および送信先とするパケットをURLフィルタには振分けないとする。   In the first embodiment, the packet distribution unit 22a distributes the received packet to a plurality of filters based on the port number indicating the application type of the transmission destination of the received packet and the transmission source IP address or transmission destination IP address. Although described above, the present invention is not limited to this, and for example, the terminal device, distribution according to the contract status between the wide area network and the closed area network may be performed. Specifically, when contracting URL filtering and AntiVirus filtering with Company A and contracting with AntiVirus filtering only with Company B, packets with Company B as the source and destination are not distributed to the URL filter. .

また、上記した実施例1において、パケット振分部22aは、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスより複数のフィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、複数のフィルタ部の負荷状況に応じて振分けてもよい。具体的には、AntiVirusフィルタを複数用意しておき、一番負荷が小さいフィルタに優先して振分ける。   In the first embodiment described above, the packet distribution unit 22a distributes the received packet to a plurality of filters based on the port number indicating the transmission destination application type and the transmission source IP address or transmission destination IP address. However, this invention is not limited to this, For example, you may distribute according to the load condition of a some filter part. Specifically, a plurality of AntiVirus filters are prepared, and the filter is assigned with priority over the filter with the smallest load.

また、上記した実施例1において、パケットの送信先のアプリケーション種別を表すポート番号を識別して各フィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、パケットのペイロード(パケットのヘッダを除いたデータ部分)などパケットに含まれる他の情報によって、アプリケーション種別を識別してもよい。   Further, in the above-described first embodiment, the case where the port number indicating the application type of the transmission destination of the packet is identified and distributed to each filter has been described, but the present invention is not limited to this, The application type may be identified by other information included in the packet such as a payload (data portion excluding the packet header).

また、上記した実施例1において、図4に示したGIP・PIP情報は、IPアドレスに対応した情報であるが、本発明はこれに限定されるものではなく、例えば、複数のネットワークサブネットに分割したネットワークアドレスを用いてもよい。   In the first embodiment, the GIP / PIP information shown in FIG. 4 is information corresponding to the IP address. However, the present invention is not limited to this, and is divided into, for example, a plurality of network subnets. The network address may be used.

また、上記した実施例1において、ISP業者1社がパケットフィルタリング装置を集約して提供する場合を説明したが、本発明はこれに限定されるものではなく、各フィルタごとに専門性の異なるISP業者が提供するようにしてもよい。   Further, in the above-described first embodiment, a case has been described where one ISP provider provides packet filtering devices in a consolidated manner, but the present invention is not limited to this, and ISPs having different expertise for each filter. You may make it provide a trader.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に、広域網または広域網と接続する閉域網内に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。   Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof can be functionally or physically wide-area in arbitrary units depending on various loads and usage conditions. It can be distributed and integrated in a closed network connected to a network or a wide area network. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.

なお、上記の実施例では、本発明を実現するパケットフィルタリング装置を機能面から説明したが、パケットフィルタリング装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したようなパケットフィルタリング装置や複数のフィルタを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。   In the above embodiment, the packet filtering device that implements the present invention has been described from the functional aspect. However, each function of the packet filtering device may be realized by causing a computer such as a personal computer or a workstation to execute a program. it can. That is, the various processing procedures described in the above embodiments can be realized by executing a program prepared in advance on a computer. These programs can be distributed via a network such as the Internet. Further, these programs can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and can be executed by being read from the recording medium by the computer. That is, for example, a packet filtering device as shown in the embodiment or a CD-ROM storing a plurality of filters (may be a separate CD-ROM for each device) is distributed and this CD-ROM is distributed. Each computer may read and execute the program stored in the computer.

以上のように、本発明に係るパケットフィルタリング装置は、パケットをフィルタリングするのに有用であり、特に、ISP業者と企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能であるとともに、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することに適する。   As described above, the packet filtering apparatus according to the present invention is useful for filtering packets. In particular, for both ISP contractors and enterprises, it is possible to increase the redundant capital investment and operation cost of security measures. In addition to being able to prevent, it is suitable for preventing inconsistency of security measures and omission of update of security information.

システムの全体構成を示すシステム構成図である。1 is a system configuration diagram illustrating an overall configuration of a system. パケットフィルタリング装置の構成を示すブロック図である。It is a block diagram which shows the structure of a packet filtering apparatus. 振分けるフィルタを示す経路図である。It is a route diagram which shows the filter which distributes. GIP・PIP情報を示す図である。It is a figure which shows GIP * PIP information. パケットフィルタリング処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a packet filtering process. LAN内にパケットフィルタリング装置を設置した場合の図である。It is a figure at the time of installing the packet filtering apparatus in LAN.

符号の説明Explanation of symbols

10 広域網
11 パケットフィルタリング装置
12 A企業内LAN
12a 端末装置A
13 B企業内LAN
13a 端末装置B
14 C企業内LAN
14a 端末装置C
15 D企業内LAN
15a 端末装置D
16 パケットフィルタリング装置とA企業内LANを接続する仮想的なLAN
17 パケットフィルタリング装置とB企業内LANを接続する仮想的なLAN
18 パケットフィルタリング装置と広域網を接続する回線
19 GIP・PIP情報
20 パケットフィルタリング装置
21 パケット受信部
22 フィルタリング部
22a パケット振分部
22b URLフィルタ
22c AntiVirusフィルタ
22d SPAMフィルタ
23 パケット配送部
60 LAN 10 Wide area network 11 Packet filtering device 12 A Corporate LAN
12a Terminal device A
13 B Corporate LAN
13a Terminal device B
14C corporate LAN
14a Terminal device C
15 D Corporate LAN
15a Terminal device D
16 Virtual LAN that connects the packet filtering device to the corporate LAN
17 Virtual LAN that connects the packet filtering device to the corporate B LAN
18 Line connecting packet filtering device and wide area network 19 GIP / PIP information 20 Packet filtering device 21 Packet receiving unit 22 Filtering unit 22a Packet distribution unit 22b URL filter 22c AntiVirus filter 22d SPAM filter 23 Packet delivery unit 60 LAN

Claims (4)

広域網または異なる複数の所定の閉域網各々と別の閉域網を介して接続されており、前記広域網または前記所定の閉域網へ送信されるパケットおよび/または前記広域網または前記所定の閉域網から送信されるパケットをフィルタリングするパケットフィルタリング装置であって、
前記パケットを当該パケットの種別に応じてフィルタリングする複数のフィルタ手段と、
前記広域網または前記所定の閉域網各々に接続された複数の端末装置各々に送信されるパケットおよび/または前記複数の端末装置各々から送信されるパケットを、前記広域網または前記所定の閉域網各々と接続される前記別の閉域網を介して受信するパケット受信手段と、
前記パケット受信手段により受信したパケットを当該パケットの種別に応じて前記複数のフィルタ手段へ振分けるパケット振分手段と、
前記複数のフィルタ手段によりフィルタリングされたパケットを送信先に配送するパケット配送手段と、
前記所定の閉域網に接続されている複数の端末装置ごとに、前記広域網で使用されるアドレス情報であって当該パケットフィルタリング装置に設定されているグローバルアドレス情報と前記所定の閉域網で使用されるアドレス情報であるプライベートアドレス情報とを対応付けて記憶するアドレス情報記憶手段を備え、
前記パケット配送手段は、前記パケット受信手段によって、前記所定の閉域網に接続される端末装置宛のパケットが前記広域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記所定の閉域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えるとともに、当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記広域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えて前記広域網を介して配送する
ことを特徴とするパケットフィルタリング装置。 Packets transmitted to the wide area network or the predetermined closed network and / or the wide area network or the predetermined closed network connected to the wide area network or different predetermined closed networks through different closed networks A packet filtering device for filtering packets transmitted from
A plurality of filter means for filtering the packet according to the type of the packet;
The packet transmitted from the wide area network or a packet and / or the plurality of terminal devices each being sent to a plurality of terminal devices each connected to the predetermined closed network each, each said wide area network or the predetermined closed network packet receiving means for receiving via said another closed network that is connected to,
A packet distribution unit that distributes the packet received by the packet reception unit to the plurality of filter units according to the type of the packet;
A packet delivery means for delivering a packet filtered by the plurality of filter means to a destination;
For each of a plurality of terminal devices connected to the predetermined closed network, address information used in the wide area network and used in the predetermined closed network and global address information set in the packet filtering device. Address information storage means for storing in association with private address information that is address information,
The packet delivery means refers to the address information storage means when the packet receiving means receives a packet addressed to a terminal device connected to the predetermined closed network via the wide area network. The destination is changed from the global address information to the private address information and delivered via the other closed network to which the destination is connected, and the packet addressed to the terminal device connected to the predetermined closed network is sent to the other closed network. When received via the network, the address information storage means is referred to change the source of the packet from the private address information to the global address information, and the destination of the packet is changed from the global address information to the private address information. And delivered via the other closed network to which the destination is connected, When a packet addressed to a terminal device connected to the network is received via the other closed network, the source of the packet is changed from private address information to global address information with reference to the address information storage means, and A packet filtering device for delivery via a wide area network . 前記パケット配送手段は、セキュアな伝送路を介して前記端末装置に前記パケットを配送することを特徴とする請求項1に記載のパケットフィルタリング装置。   The packet filtering device according to claim 1, wherein the packet delivery unit delivers the packet to the terminal device via a secure transmission path. 前記パケット受信手段は、セキュアな伝送路を介して前記端末装置から前記パケットを受信することを特徴とする請求項1または2に記載のパケットフィルタリング装置。 It said packet receiving means, a packet filtering device according to claim 1 or 2, characterized in that to receive the packet from the terminal device via a secure transmission channel. 前記パケット振分手段は、前記パケット受信手段により受信したパケットを処理するアプリケーションの種別に応じて振分けることを特徴とする請求項1〜のいずれか一つに記載のパケットフィルタリング装置。
The packet sorting unit, the packet filtering device according to any one of claims 1-3, characterized in that distribute according to the type of application that processes a packet received by said packet receiving means.
JP2005320036A 2005-11-02 2005-11-02 Packet filtering apparatus and packet filtering program Active JP4732858B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005320036A JP4732858B2 (en) 2005-11-02 2005-11-02 Packet filtering apparatus and packet filtering program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005320036A JP4732858B2 (en) 2005-11-02 2005-11-02 Packet filtering apparatus and packet filtering program

Publications (2)

Publication Number Publication Date
JP2007129481A JP2007129481A (en) 2007-05-24
JP4732858B2 true JP4732858B2 (en) 2011-07-27

Family

ID=38151778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005320036A Active JP4732858B2 (en) 2005-11-02 2005-11-02 Packet filtering apparatus and packet filtering program

Country Status (1)

Country Link
JP (1) JP4732858B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2011048645A1 (en) * 2009-10-19 2013-03-07 順子 杉中 Terminal management system and terminal management method
JP5920668B2 (en) * 2011-01-25 2016-05-18 日本電気株式会社 Security policy enforcement system and security policy enforcement method
KR20140044970A (en) 2012-09-13 2014-04-16 한국전자통신연구원 Method and apparatus for controlling blocking of service attack by using access control list
JP6591143B2 (en) * 2014-03-31 2019-10-16 株式会社東芝 COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, AND PROGRAM
JP7167439B2 (en) * 2017-12-28 2022-11-09 株式会社リコー Information processing device, vulnerability detection method and program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07210473A (en) * 1994-01-12 1995-08-11 Hitachi Ltd Data filtering system between transmission lines
JPH1141280A (en) * 1997-07-15 1999-02-12 N T T Data:Kk Communication system, vpn repeater and recording medium
JP2000228674A (en) * 1999-02-04 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> Address allocating method in inter-plural point communication, communicating method among plural points and its connecting device
JP2001136198A (en) * 1999-11-04 2001-05-18 Nippon Telegr & Teleph Corp <Ntt> Inter-network communication method and server, and inter-network communication system
JP2004062417A (en) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> Certification server device, server device and gateway device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07210473A (en) * 1994-01-12 1995-08-11 Hitachi Ltd Data filtering system between transmission lines
JPH1141280A (en) * 1997-07-15 1999-02-12 N T T Data:Kk Communication system, vpn repeater and recording medium
JP2000228674A (en) * 1999-02-04 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> Address allocating method in inter-plural point communication, communicating method among plural points and its connecting device
JP2001136198A (en) * 1999-11-04 2001-05-18 Nippon Telegr & Teleph Corp <Ntt> Inter-network communication method and server, and inter-network communication system
JP2004062417A (en) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> Certification server device, server device and gateway device

Also Published As

Publication number Publication date
JP2007129481A (en) 2007-05-24

Similar Documents

Publication Publication Date Title
US11811809B2 (en) Rule-based network-threat detection for encrypted communications
US10735380B2 (en) Filtering network data transfers
US7146421B2 (en) Handling state information in a network element cluster
US7873993B2 (en) Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
US8615010B1 (en) System and method for managing traffic to a probe
JP6069717B2 (en) Application state sharing in firewall clusters
US20080320116A1 (en) Identification of endpoint devices operably coupled to a network through a network address translation router
EP2164228A1 (en) Hierarchical application of security services with a computer network
WO2002050680A9 (en) Integrated intelligent inter/intra-networking device
JP4732858B2 (en) Packet filtering apparatus and packet filtering program
KR20100087032A (en) Selectively loading security enforcement points with security association information
US8191132B1 (en) Scalable transparent proxy
JP2014526739A (en) Authentication sharing in firewall clusters
KR20020027471A (en) Secure network switch
US10581802B2 (en) Methods, systems, and computer readable media for advertising network security capabilities
US7561574B2 (en) Method and system for filtering packets within a tunnel
JP2007310662A (en) Firewall device
Cardona et al. Impact of BGP filtering on Inter-Domain Routing Policies
JP7114769B2 (en) Communications system
Bernardo et al. Empirical survey: Experimentation and implementations of high speed protocol data transfer for grid
Betgé-Brezetz et al. SDN-based trusted path control
Huici Deployable filtering architectures against large denial-of-service attacks
Van Leeuwen Impacts of ipv6 on infrastructure control systems
Mynul Cisco network security troubleshooting handbook
Rumelioglu et al. VWS-fANTLA PER SC1ENTL4

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100119

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100706

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101214

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110228

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110418

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110421

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4732858

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350