JP4732858B2 - Packet filtering apparatus and packet filtering program - Google Patents
Packet filtering apparatus and packet filtering program Download PDFInfo
- Publication number
- JP4732858B2 JP4732858B2 JP2005320036A JP2005320036A JP4732858B2 JP 4732858 B2 JP4732858 B2 JP 4732858B2 JP 2005320036 A JP2005320036 A JP 2005320036A JP 2005320036 A JP2005320036 A JP 2005320036A JP 4732858 B2 JP4732858 B2 JP 4732858B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address information
- network
- wide area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、パケットフィルタリングを行うパケットフィルタリング装置およびパケットフィルタリングプログラムに関するものである。 The present invention relates to a packet filtering apparatus and a packet filtering program that perform packet filtering.
従来より、インターネットアプリケーションの機能の1つとして、オープンネットワーク上で不特定多数の端末と通信することがあるため、当該アプリケーションを実装する端末に対してセキュリティを確保するための対策が行われてきた。 Conventionally, as one of the functions of an Internet application, there is a case where communication with an unspecified number of terminals is performed on an open network. Therefore, measures have been taken to ensure security for a terminal on which the application is installed. .
このようなセキュリティを確保する対策として、閉域網などの内部ネットワーク(例えば、企業内LANなど)と広域網などの外部ネットワーク(例えば、公衆網やインターネットなど)との間に通信回線を物理的に制御する装置(例えば、非特許文献1を参照)を設けて、外部ネットワークから内部ネットワークに対して、または、内部ネットワークから外部ネットワークに対して不正アクセス、コンピュータウイルス、DoS(Denial of Service)攻撃などがあった場合に、通信回線を物理的に切断制御することで、内部ネットワークを保護するものがある。また、広域網を提供するISP業者(Internet Service Provider)側で、提供している広域網を構成するルータなどの各所に通信回線を物理的に制御する装置を広域に万遍なく配備する形態も知られている。 As a measure for ensuring such security, a communication line is physically connected between an internal network such as a closed network (for example, a corporate LAN) and an external network such as a wide area network (for example, a public network or the Internet). A device for controlling (for example, refer to Non-Patent Document 1) is provided, and unauthorized access from the external network to the internal network or from the internal network to the external network, computer virus, DoS (Denial of Service) attack, etc. In some cases, the internal network is protected by physically disconnecting and controlling the communication line. In addition, there is also a mode in which devices that physically control communication lines are widely deployed throughout the wide area on the ISP (Internet Service Provider) side that provides the wide area network, such as routers constituting the wide area network provided. Are known.
ところで、上記した従来の技術では、広域網を利用する企業や広域網を提供するISP業者は、閉域網と広域網との接続ポイント毎にセキュリティ対策を行う装置を配備する必要があるので、冗長な設備投資および運用コストの増加という問題点があった。 By the way, in the above-described conventional technology, a company using a wide area network or an ISP provider providing a wide area network needs to deploy a device for performing security measures for each connection point between the closed network and the wide area network. There was a problem of large capital investment and increase in operation cost.
また、広域網を利用する企業のセキュリティ対策は、その企業に依存しているので、セキュリティの認識違いによるセキュリティ対策の不統一やセキュリティ情報の更新漏れによる被害の増加という問題点があった。 In addition, since security measures of a company using a wide area network depend on the company, there are problems such as inconsistency of security measures due to different security perceptions and increased damage due to omission of security information update.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ISP業者と企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能であるとともに、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能であるパケットフィルタリング装置を提供することを目的とする。 Accordingly, the present invention has been made to solve the above-described problems of the prior art, and prevents redundant equipment investment and operation costs for security measures for both ISP contractors and companies. An object of the present invention is to provide a packet filtering device capable of preventing inconsistency of security measures and omission of update of security information.
上述した課題を解決し、目的を達成するため、本発明は、広域網または異なる複数の所定の閉域網各々と別の閉域網を介して接続されており、前記広域網または前記所定の閉域網へ送信されるパケットおよび/または前記広域網または前記所定の閉域網から送信されるパケットをフィルタリングするパケットフィルタリング装置であって、前記パケットを当該パケットの種別に応じてフィルタリングする複数のフィルタ手段と、前記広域網または前記所定の閉域網各々に接続された複数の端末装置各々に送信されるパケットおよび/または前記複数の端末装置各々から送信されるパケットを、前記広域網または前記所定の閉域網各々と接続される前記別の閉域網を介して受信するパケット受信手段と、前記パケット受信手段により受信したパケットを当該パケットの種別に応じて前記複数のフィルタ手段へ振分けるパケット振分手段と、前記複数のフィルタ手段によりフィルタリングされたパケットを送信先に配送するパケット配送手段と、前記所定の閉域網に接続されている複数の端末装置ごとに、前記広域網で使用されるアドレス情報であって当該パケットフィルタリング装置に設定されているグローバルアドレス情報と前記所定の閉域網で使用されるアドレス情報であるプライベートアドレス情報とを対応付けて記憶するアドレス情報記憶手段を備え、前記パケット配送手段は、前記パケット受信手段によって、前記所定の閉域網に接続される端末装置宛のパケットが前記広域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記所定の閉域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えるとともに、当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記広域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えて前記広域網を介して配送することを特徴とする。
In order to solve the above-described problems and achieve the object, the present invention is connected to a wide area network or each of a plurality of different predetermined closed networks via another closed network, and the wide area network or the predetermined closed network A packet filtering device for filtering packets transmitted to and / or packets transmitted from the wide area network or the predetermined closed network, and a plurality of filter means for filtering the packets according to the type of the packet; the packet transmitted from the wide area network or a packet and / or the plurality of terminal devices each being sent to a plurality of terminal devices each connected to the predetermined closed network each, each said wide area network or the predetermined closed network packet receiving means for receiving via said another closed network that is connected to, path received by the packet receiving means And distributing the packet distributing means to said plurality of filter means Tsu bets according to the type of the packet, a packet delivery means for delivering the filtered packets to the destination by the plurality of filter means, the predetermined closed network Address information used in the wide area network for each of a plurality of terminal devices connected to the network, and global address information set in the packet filtering apparatus and address information used in the predetermined closed network Address information storage means for storing private address information in association with each other, wherein the packet delivery means causes the packet receiving means to send a packet addressed to a terminal device connected to the predetermined closed network via the wide area network. If the packet is received, the address information storage means is referred to determine the destination of the packet. The packet address information is changed from private address information to private address information and delivered via the other closed network to which the destination is connected, and a packet addressed to a terminal device connected to the predetermined closed network is sent via the other closed network. If received, the address information storage means is referred to change the source of the packet from private address information to global address information, and the destination of the packet is changed from global address information to private address information. When the packet addressed to the terminal device connected to the wide area network is received via the other closed network, the address information storage means is referred to. Replacing the source of the packet from private address information to global address information It is characterized by being delivered via a network .
また、本発明は、上記の発明において、前記パケット配送手段は、セキュアな伝送路を介して前記端末装置に前記パケットを配送することを特徴とする。 Further, the present invention is characterized in that, in the above invention, the packet delivery means delivers the packet to the terminal device via a secure transmission path.
また、本発明は、上記の発明において、前記パケット受信手段は、セキュアな伝送路を介して前記端末装置から前記パケットを受信することを特徴とする。 Also, the present invention is characterized in that, in the above invention, the packet receiving means receives the packet from the terminal device via a secure transmission path.
また、本発明は、上記の発明において、前記パケット振分手段は、前記パケット受信手段により受信したパケットを処理するアプリケーションの種別に応じて振分けることを特徴とする。 Also, the present invention is characterized in that, in the above invention, the packet distribution means distributes according to the type of application that processes the packet received by the packet reception means.
本発明によれば、広域網上(例えば、公衆網、インターネットなど)またはそれと接続される閉域網でパケットを受信してフィルタリングを行い、送信先に配送されるので、広域網と閉域網との接続ポイント毎にセキュリティ対策を行う必要がなく、広域網を提供するISP業者と広域網を利用する企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができるとともに、広域網を利用する企業ごとに異なるセキュリティ対策を行う必要がなく、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能である。 According to the present invention, packets are received and filtered on a wide area network (for example, public network, Internet, etc.) or a closed network connected thereto, and are distributed to a transmission destination. There is no need to take security measures for each connection point, and it is possible to prevent redundant equipment investment and increase in operating costs for security measures for both ISP providers providing wide area networks and companies using wide area networks. In addition, it is not necessary to take different security measures for each company using a wide area network, and it is possible to prevent inconsistency of security measures and omission of update of security information.
また、本発明によれば、セキュアな伝送路を介して端末装置にパケットを配送するので、フィルタリングされたパケットは、盗聴などの危険にさらされることなく、送信先に安全に配送することが可能である。 Further, according to the present invention, since the packet is delivered to the terminal device through the secure transmission path, the filtered packet can be safely delivered to the transmission destination without being exposed to danger such as eavesdropping. It is.
また、本発明によれば、端末装置に対応したアドレス情報をパケット受信手段により受信したパケットに付け替えて配送するので、本来の送信先である端末装置に正しく配送することが可能であるとともに、送信先が返信可能な送信元アドレスに付け替えられたパケットを受信することが可能である。 In addition, according to the present invention, since address information corresponding to the terminal device is delivered by being replaced with the packet received by the packet receiving means, it can be correctly delivered to the terminal device which is the original transmission destination, and the transmission can be performed. It is possible to receive a packet that has been replaced with a source address that can be sent back.
また、本発明によれば、セキュアな伝送路を介して端末装置からのパケットを受信するので、盗聴などの危険にさらされることなく、送信元の端末装置から安全にパケットを受信することが可能である。 In addition, according to the present invention, since the packet from the terminal device is received through the secure transmission path, it is possible to safely receive the packet from the terminal device of the transmission source without being exposed to danger such as eavesdropping. It is.
また、本発明によれば、パケット受信手段により受信したパケットを当該パケットの種別に応じて複数のフィルタに振分けてフィルタリングを行うので、複数のセキュリティ機能を1つのポイントに集約して配備でき、例えば、不正アクセス、コンピュータウイルス、Dos攻撃など様々なセキュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である。 Further, according to the present invention, since the packet received by the packet receiving means is distributed to the plurality of filters according to the type of the packet and filtered, a plurality of security functions can be aggregated and deployed at one point, for example, Various security measures such as unauthorized access, computer virus, and Dos attack can be taken, and it is possible to prevent redundant capital investment and an increase in operation cost of security measures.
また、本発明によれば、パケット受信手段により受信したパケットをアプリケーションの種別により振分けてフィルタリングを行うので、例えば、HTTPやMAILなど様々なアプリケーションに対応したセキュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である。 In addition, according to the present invention, since the packet received by the packet receiving means is sorted and filtered according to the type of application, for example, security measures corresponding to various applications such as HTTP and MAIL can be taken. It is possible to prevent redundant capital investment and increase in operation cost.
また、本発明によれば、パケット受信手段により受信したパケットを端末装置、広域網または閉域網の契約状況に応じて振分けてフィルタリングを行うので、契約者に必要なセキュリティ対策のみを行うことができ、冗長な設備投資および運用コストの増加を防止することが可能である。 Further, according to the present invention, since the packet received by the packet receiving means is sorted and filtered according to the contract status of the terminal device, the wide area network or the closed area network, only the security measures necessary for the contractor can be taken. It is possible to prevent redundant capital investment and increase in operation cost.
また、本発明によれば、パケット受信手段により受信したパケットを複数のフィルタ手段の負荷状況に応じて振分けてフィルタリングを行うので、例えば、負荷が少ないフィルタに優先して振分けるなどを行うことができ、フィルタリングによるパケットの遅延を防止することが可能である。 Further, according to the present invention, the packet received by the packet receiving means is sorted and filtered according to the load status of the plurality of filter means. For example, it is possible to give priority to a filter with a low load. It is possible to prevent packet delay due to filtering.
以下に添付図面を参照して、この発明に係るパケットフィルタリング装置の実施例(実施例1〜2)を詳細に説明する。
Embodiments (
以下の実施例1では、本発明に係るパケットフィルタリング装置の概要および特徴、パケットフィルタリング装置の構成および処理の流れ、実施例1による効果等を順に説明する。 In the following first embodiment, the outline and features of the packet filtering device according to the present invention, the configuration and processing flow of the packet filtering device, and the effects of the first embodiment will be described in order.
[パケットフィルタリング装置の概要および特徴]
まず最初に、図1を用いて、本実施例に係パケットフィルタリング装置の概要および特徴を説明する。図1は、本実施例に係るパケットフィルタリング装置を含むシステムの全体構成を示すシステム構成図である。
[Outline and features of packet filtering device]
First, the outline and features of the packet filtering apparatus according to the present embodiment will be described with reference to FIG. FIG. 1 is a system configuration diagram illustrating an overall configuration of a system including a packet filtering apparatus according to the present embodiment.
このパケットフィルタリング装置は、パケットをフィルタリングしてセキュリティ対策を行うことを概要とするものであり、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができる点と、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することができる点とに主たる特徴がある。 This packet filtering device is designed to perform security measures by filtering packets, and can prevent redundant capital investment and increase in operating costs for security measures, and inconsistent security measures The main feature is that it is possible to prevent omissions in updating security information.
同図に示すように、パケットフィルタリング装置11と、A企業内LAN12と、B企業内LAN13と、C企業内LAN14と、D企業内LAN15とは、広域網10(公衆網やインターネット網などによって形成される通信網)を介して接続される。そして、A企業内LAN12およびB企業内LAN13は、パケットフィルタリング装置11が提供するセキュリティ対策サービスの契約下にある。
As shown in the figure, the
そして、それぞれの企業内LANには端末装置が接続され、端末装置にはLAN内だけで通用するプライベートアドレス(以下、PIPと言う)が設定されている。具体的には、A企業内LAN12にはPIP(10.1.1.1)が設定された端末装置A12aが接続されており、B企業内LAN13にはPIP(10.2.2.2)が設定された端末装置13aが設定されており、C企業内LAN14にはPIP(10.3.3.3)が設定された端末装置14aが接続されており、D企業内LANにはPIP(10.4.4.4)が設定された端末装置15aが接続されている。
A terminal device is connected to each in-house LAN, and a private address (hereinafter referred to as PIP) that can be used only within the LAN is set in the terminal device. Specifically, a
また、パケットフィルタリング装置11には、契約下にある企業内LANに接続されている端末装置A12aおよび端末装置B13aが、広域網10上での通信を可能にするために一意に割り当てられたグローバルIPアドレス(以下、GIPと言う)である1.1.1.1および2.2.2.2が設定されている。また、パケットフィルタリング装置11は、契約下にある端末装置のPIP(10.1.1.1および10.2.2.2)とGIP(1.1.1.1および2.2.2.2)とを関連付けたGIP・PIP情報19を記憶している。
In addition, the
そして、パケットフィルタリング装置11と、契約下にあるA企業内LAN12およびB企業内LAN13とは、それぞれ仮想的なLANで接続されており、契約下にある企業内LANに接続された端末装置に対する広域網10との入出力トラフィックが、パケットフィルタリング装置11を経由するように構成されている。
The
このようなシステム構成の元、パケットフィルタリング装置11は、契約下にある端末装置に送信されるパケットおよび/または契約下にある端末装置から送信されるパケットを広域網で受信し、受信したパケットをフィルタリングした後、当該パケットを送信先に配送する。
Under such a system configuration, the
例えば、契約下にない端末装置D15aから契約下にある端末装置A12a(1.1.1.1)に向けてパケットが送信された場合、当該パケットは、端末装置A12aの広域網10におけるGIP(1.1.1.1)に対してパケットが送信されて、広域網10では実際にGIP(1.1.1.1)が設定されているパケットフィルタリング装置11により受信される。そして、パケットフィルタリング装置11は、受信したパケットをフィルタリングし、フィルタリングされたパケットの送信先をGIP(1.1.1.1)に対応する仮想的LAN接続での送信先PIP(10.1.1.1)に付け替えて、仮想的なLAN接続を通して送信先である端末装置A12aに配送する。
For example, when a packet is transmitted from a terminal device D15a that is not under contract to a terminal device A12a (1.1.1.1) that is under contract, the packet is transmitted to the GIP (in the
また、契約下にある端末装置A12a(10.1.1.1)から契約下にある端末装置B13a(2.2.2.2)に向けてパケットが送信された場合、当該パケットは仮想的なLAN接続を介して広域網10へ出るためのゲートウエイに向かう過程でパケットフィルタリング装置11を通過する(レイヤ2では受信されるが、レイヤ3では通過する)。その際、パケットフィルタリング装置11は、パケットをフィルタリングし、フィルタリングされたパケットの送信元であるPIP(10.1.1.1)に対応したGIP(1.1.1.1)に送信元を付け替えて、広域網10経由で端末装置B13aに配送する。当該パケットは、広域網10では実際にGIP(2.2.2.2)が設定されているパケットフィルタリング装置11により受信される。そして、パケットフィルタリング装置11は、受信したパケットをフィルタリングし、フィルタリングされたパケットの送信先をGIP(2.2.2.2)に対応する仮想的LAN接続での送信先PIP(10.2.2.2)に付け替えて、仮想的なLAN接続を通してパケットを端末装置B13aに配送する。
When a packet is transmitted from the terminal device A12a (10.1.1.1) under contract to the terminal device B13a (2.2.2.2) under contract, the packet is virtual Passes through the
また、契約下にある端末装置A12a(10.1.1.1)から契約下にない端末装置C14a(3.3.3.3)に向けてパケットが送信された場合、当該パケットは仮想的なLAN接続を介して広域網10へ出るためのゲートウエイに向かう過程でパケットフィルタリング装置11を通過する(レイヤ2では受信されるが、レイヤ3では通過する)。その際、パケットフィルタリング装置11は、パケットをフィルタリングし、フィルタリングされたパケットの送信元であるPIP(10.1.1.1)に対応したGIP(1.1.1.1)に送信元を付け替えて、広域網10経由で端末装置C14a(3.3.3.3)に配送する。
When a packet is transmitted from the terminal device A12a (10.1.1.1) under contract to the terminal device C14a (3.3.3.3) not under contract, the packet is virtually Passes through the
なお、契約下にない端末装置C12aから契約下にない端末装置D15a(4.4.4.4)に向けてパケットが送信された場合、当該パケットは、パケットフィルタリング装置11を経由することなく、GIP(4.4.4.4)が割り当てられている端末装置D15aが受信する(レイヤ3だけでなく、レイヤ2においても受信する)。
In addition, when a packet is transmitted from the terminal device C12a that is not under contract to the terminal device D15a (4.4.4.4) that is not under contract, the packet does not pass through the
[パケットフィルタリング装置の構成]
次に、図2を用いて、パケットフィルタリング装置の構成を説明する。図2は、パケットフィルタリング装置の構成を示すブロック図である。同図に示すように、このパケットフィルタリング装置20は、パケット受信部21と、フィルタリング部22と、パケット配送部23とから構成される。
[Configuration of packet filtering device]
Next, the configuration of the packet filtering device will be described with reference to FIG. FIG. 2 is a block diagram illustrating a configuration of the packet filtering apparatus. As shown in the figure, the
このうち、パケット受信部21は、パケットを受信する手段である。具体的には、契約下にある企業内LANに接続されている端末装置(例えば、端末装置A12aおよび端末装置B13a)のGIPを送信先とするパケットを広域網10から受信する。また、契約下にある端末装置のPIPから広域網であるGIP宛に送信されるパケットを仮想的なLAN接続経由で受信する。
Among these, the
例えば、契約下にある端末装置A12aが広域網10を利用してパケットを受信する場合、端末装置A12aには、PIP(10.1.1.1)が設定されており、パケットフィルタリング装置11には、GIP(1.1.1.1)が設定されている。そのため、GIP(1.1.1.1)を送信先とするパケットは、パケットフィルタリング装置11により受信される。また、端末装置B13aについても同様である。なお、パケット受信部21は、特許請求の範囲に記載の「パケット受信手段」に対応する。
For example, when the terminal device A12a under contract receives a packet using the
フィルタリング部22は、受信したパケットをフィルタリングする手段である。具体的には、パケット振分部22aと、URLフィルタ22bと、AntiVirusフィルタ22cと、SPAMフィルタ22dとから構成される。なお、フィルタリング部22は、特許請求の範囲に記載の「フィルタリング手段」に対応し、また、パケット振分部22aは、同じく「パケット振分手段」に対応し、URLフィルタ22bからSPAMフィルタ22dは、同じく「複数のフィルタ手段」に対応する。
The
このうち、パケット振分部22aは、受信したパケットを種別に応じて複数のフィルタへ振分ける手段であり、具体的には、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスとにより複数のフィルタへ振分ける。例えば、図3に示すように、送信先のポート番号がHTTP(HiperText Transfer Protocol)の場合、URLフィルタ22bへ振分けを行い、また、送信先のポート番号がSMTP(Simple Mail Transfer Protocol)かつ送信先IPアドレスが1.1.1.1の場合、AntiVirusフィルタ22cに振分ける。
Among these, the
また、いずれかのフィルタへ振分けられたパケットは、フィルタリング後、再びパケット振分部22aに戻ってくる。そして、パケット振分部22aは、次にフィルタリングを行う必要がある場合は次のフィルタへ振分けを行い、必要がない場合はパケット配送部23へパケットを転送する。具体的には、送信先のポート番号がSMTP(Simple Mail Transfer Protocol)かつ送信元IPアドレスが10.2.2.2の場合、まず、AntiVirusフィルタ22cへ振分けを行い、フィルタリング後に再びパケット振分部22aに戻り、次に、SPAMフィルタ22dへ振分ける。
Further, the packet distributed to one of the filters returns to the
URLフィルタ22bは、URLによりフィルタリングする手段であり、具体的には、閲覧禁止URLなどのフィルタリングを行う。例えば、出所不明のURLやフリーメールなどを使用禁止としておいた場合、当該URLにアクセスを試みてもアクセスできないようにフィルタリングを行う。
The
AntiVirusフィルタ22cは、コンピュータウイルスをフィルタリングする手段であり、具体的には、ウイルス検出アプリケーションを備えており、受信したパケットにコンピュータウイルスが忍び込んでないかをフィルタリングする。
The
SPAMフィルタ22dは、スパムメールをフィルタリングする手段であり、具体的には、同じ内容を大量に配信するスパムメールの構成を含むパケットをフィルタリングする。
The
パケット配送部23は、フィルタリングしたパケットを本来の送信先へ配送する手段である。具体的には、送信先がGIP(1.1.1.1または2.2.2.2)である広域網経由で受信したパケットについては、送信先のGIP(1.1.1.1または2.2.2.2)に対応するPIP(10.1.1.1または10.2.2.2)に付け替えて、仮想的なLAN接続経由でパケットを配送する。また、送信元がPIP(10.1.1.1または10.2.2.2)である仮想的なLAN経由で受信したパケットについては、送信元のPIP(10.1.1.1または10.2.2.2)に対応するGIP(1.1.1.1または2.2.2.2)に付け替えて広域網10に向けて配送する(図4参照)。さらに、パケット配送部23は、記憶部を備え、GIPとPIPとの付け替えを実現するためのGIP・PIP情報19を記憶している。
The
[パケットフィルタリング装置による処理]
次に、図5を用いて、パケットフィルタリング装置による処理を説明する。図5は、パケットフィルタリング処理の流れを示すフローチャートである。
[Processing by packet filtering device]
Next, processing performed by the packet filtering apparatus will be described with reference to FIG. FIG. 5 is a flowchart showing the flow of packet filtering processing.
先ず、パケット受信部21がパケットを受信すると(ステップS501肯定)、パケット振分部22aは、パケットの種別に応じて複数のフィルタ部のいずれかへ振分ける(ステップS502)。例えば、受信したパケットの送信先のアプリケーション種別がHTTPであった場合、URLフィルタ22bへ振分ける。
First, when the
続いて、複数のフィルタリングのいずれかは、受信したパケットのアプリケーション種別に応じてパケットをフィルタリングする(ステップS503)。例えば、URLフィルタ22bは、閲覧禁止URLなどのフィルタリングを行う。
Subsequently, one of the plurality of filtering filters the packet according to the application type of the received packet (step S503). For example, the
そして、パケット配送部23は、受信したパケットに送信元のアドレス情報を付して送信先へ配送する。例えば、送信元が契約下にある端末装置A12aである場合、記憶しているGIP・PIP情報19に基づいて、PIPにGIPを付して配送する。
Then, the
[実施例1の効果]
上述してきたように、実施例1によれば、契約下にある端末装置(例えば、A企業内LANに接続された端末装置A12a)を送信先とするパケットを広域網で受信し、受信したパケットをフィルタリングし、フィルタリングされたパケットを端末装置に配送するので、広域網と閉域網との接続ポイント毎にセキュリティ対策を行う必要がなく、広域網を提供するISP業者と広域網を利用する企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することができるとともに、広域網を利用する企業ごとに異なるセキュリティ対策を行う必要がなく、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することが可能である。
[Effect of Example 1]
As described above, according to the first embodiment, a packet whose destination is a terminal device under contract (for example, the terminal device A12a connected to the corporate LAN A) is received by the wide area network, and the received packet And the filtered packets are delivered to the terminal device, so there is no need to take security measures for each connection point between the wide area network and the closed area network, and ISP companies that provide the wide area network and companies that use the wide area network In both cases, it is possible to prevent redundant capital investment and increase in operating costs for security measures, and there is no need to implement different security measures for each company using a wide area network. It is possible to prevent omission of information update.
また、実施例1によれば、契約下にある端末装置に対応したアドレス情報を受信したパケットに付け替えて配送するので、本来の送信先である端末装置に正しく配送することが可能であるとともに、送信先が返信可能な送信元アドレスに付け替えられたパケットを受信することが可能である。 In addition, according to the first embodiment, since address information corresponding to a terminal device under contract is delivered in the received packet, it can be correctly delivered to the terminal device that is the original transmission destination, It is possible to receive a packet that has been changed to a source address to which the transmission destination can reply.
また、実施例1によれば、パケットフィルタリング装置は、受信したパケットを当該パ
ケットの種別に応じてフィルタリングする複数のフィルタを備えており、受信したパケッ
トを当該パケットの種別に応じて複数のフィルタのいずれかへ振分けるので、複数のセキ
ュリティ機能を1つのポイントに集約して配備でき、例えば、不正アクセス、コンピュー
タウイルス、Dos攻撃など様々なセキュリティ対策をフィルタごとに行うことができ、
セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能である
。
In addition, according to the first embodiment, the packet filtering device includes a plurality of filters that filter received packets according to the type of the packet, and the received packets are filtered by a plurality of filters according to the type of the packet. Since it is distributed to either, multiple security functions can be aggregated and deployed at one point, for example, various security measures such as unauthorized access, computer virus, Dos attack can be performed for each filter,
It is possible to prevent redundant capital investment for security measures and an increase in operation costs.
また、実施例1によれば、受信したパケットを処理するアプリケーションの種別に応じ
て振分けるので、例えば、HTTPやMAILなど様々なアプリケーションに対応したセ
キュリティ対策を行うことができ、セキュリティ対策の冗長な設備投資および運用コスト
の増加を防止することが可能である。
Further, according to the first embodiment, since the received packet is distributed according to the type of application that processes the packet, for example, security measures corresponding to various applications such as HTTP and MAIL can be taken, and redundant security measures can be taken. It is possible to prevent an increase in capital investment and operation costs.
さて、これまで実施例1に係るパケットフィルタリング装置について説明してきたが、本発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例2として、種々の異なる形態について説明する。 Although the packet filtering apparatus according to the first embodiment has been described so far, the present invention may be implemented in various different forms other than the above-described embodiments. Therefore, various different modes will be described below as a second embodiment.
また、上記した実施例1において、図1では、便宜上、契約下にある2つの企業内LANと、契約下にない2つの企業内LANとのパケット送受信について説明したが、本発明はこれに限定されるものではなく、契約下にある企業内LANを増減させてもよく、契約下にない企業内LANは、C企業内LAN14やD企業内LAN15などと同様に広域網10に接続される。
Further, in the above-described first embodiment, for the sake of convenience, FIG. 1 illustrates packet transmission / reception between two in-company LANs under contract and two in-company LANs under contract, but the present invention is not limited to this. The in-company LAN under contract may be increased or decreased, and the in-company LAN not under contract is connected to the
また、上記した実施例1において、パケットフィルタリング装置が提供するセキュリティ対策サービスを契約しているのは企業内LANであるとして説明したが、本発明はこれに限定されるものではなく、端末装置を個別に契約してもよい。この場合には、契約下にある端末装置とパケットフィルタリング装置とを仮想的なLANで接続する。 Further, in the first embodiment described above, it is described that the security countermeasure service provided by the packet filtering device is contracted by the in-house LAN, but the present invention is not limited to this, and the terminal device is You may contract individually. In this case, the terminal device under the contract and the packet filtering device are connected by a virtual LAN.
また、上記した実施例1において、パケットフィルタリング装置11と、契約下にある閉域網に接続された端末装置(例えば、A企業内LAN12に接続された端末装置A12a)とのパケット送受信について説明してきたが、本発明はこれに限定されるものではなく、例えば、契約下にある広域網10に直接接続された端末装置とのパケット送受信について、パケットフィルタリングを行ってもよい。
In the first embodiment described above, packet transmission / reception between the
また、上記した実施例1において、パケットフィルタリング装置を広域網に設置する場合を説明したが、本発明はこれに限定されるものではなく、図6に示したように広域網に接続されるデータセンタなど(例えば、LAN60など)にパケットフィルタリング装置11を設置するようにしてもよい。
In the first embodiment, the case where the packet filtering apparatus is installed in the wide area network has been described. However, the present invention is not limited to this, and the data connected to the wide area network as shown in FIG. The
また、上記した実施例1において、パケットフィルタリング装置11のパケット受信部21と、契約下にあるA企業内LAN12およびB企業内LAN13とをセキュアな回線(例えば、IPsec(Security Architecture for Internet Protocol)、TLS(Tracnsport Layer Security)またはSSL(Secure Sockets Layer)などのセキュリティプロトコルによって実現されるVPN(Vitual Private Network)や専用線など)で接続してもよい。これにより、セキュアな伝送路を介して端末装置からのパケットを受信するので、フィルタリング後に不正な情報を付加されることがなく、送信元の端末装置から安全にパケットを受信することが可能である。
In the first embodiment, the
また、上記した実施例1において、パケットフィルタリング装置11のパケット配送部23と、契約下にあるA企業内LAN12およびB企業内LAN13とをセキュアな回線(例えば、VPNや専用線など)で接続してもよい。これにより、セキュアな伝送路を介して端末装置にパケットを配送するので、フィルタリングされたパケットは、盗聴などの危険にさらされることなく、送信先の端末装置に安全に配送することが可能である。
In the first embodiment, the
また、上記した実施例1において、パケットフィルタリング装置におけるフィルタは、便宜上、3種類の場合について説明したが、本発明はこれに限定されるものではなく、用途に応じてフィルタの種類または数を増減させてもよい。 In the first embodiment described above, the case of three types of filters in the packet filtering device has been described for convenience. However, the present invention is not limited to this, and the type or number of filters may be increased or decreased depending on the application. You may let them.
また、上記した実施例1において、パケット振分部22aは、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスとより複数のフィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、端末装置、広域網と閉域網との契約状況に応じて振分けてもよい。具体的には、A社とはURLフィルタリングとAntiVirusフィルタリングを契約し、B社とはAntiVirusフィルタリングのみを契約した場合、B社を送信元および送信先とするパケットをURLフィルタには振分けないとする。
In the first embodiment, the
また、上記した実施例1において、パケット振分部22aは、受信したパケットの送信先のアプリケーション種別を表すポート番号と送信元IPアドレスまたは送信先IPアドレスより複数のフィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、複数のフィルタ部の負荷状況に応じて振分けてもよい。具体的には、AntiVirusフィルタを複数用意しておき、一番負荷が小さいフィルタに優先して振分ける。
In the first embodiment described above, the
また、上記した実施例1において、パケットの送信先のアプリケーション種別を表すポート番号を識別して各フィルタへ振分けを行う場合を説明したが、本発明はこれに限定されるものではなく、パケットのペイロード(パケットのヘッダを除いたデータ部分)などパケットに含まれる他の情報によって、アプリケーション種別を識別してもよい。 Further, in the above-described first embodiment, the case where the port number indicating the application type of the transmission destination of the packet is identified and distributed to each filter has been described, but the present invention is not limited to this, The application type may be identified by other information included in the packet such as a payload (data portion excluding the packet header).
また、上記した実施例1において、図4に示したGIP・PIP情報は、IPアドレスに対応した情報であるが、本発明はこれに限定されるものではなく、例えば、複数のネットワークサブネットに分割したネットワークアドレスを用いてもよい。 In the first embodiment, the GIP / PIP information shown in FIG. 4 is information corresponding to the IP address. However, the present invention is not limited to this, and is divided into, for example, a plurality of network subnets. The network address may be used.
また、上記した実施例1において、ISP業者1社がパケットフィルタリング装置を集約して提供する場合を説明したが、本発明はこれに限定されるものではなく、各フィルタごとに専門性の異なるISP業者が提供するようにしてもよい。 Further, in the above-described first embodiment, a case has been described where one ISP provider provides packet filtering devices in a consolidated manner, but the present invention is not limited to this, and ISPs having different expertise for each filter. You may make it provide a trader.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に、広域網または広域網と接続する閉域網内に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof can be functionally or physically wide-area in arbitrary units depending on various loads and usage conditions. It can be distributed and integrated in a closed network connected to a network or a wide area network. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
なお、上記の実施例では、本発明を実現するパケットフィルタリング装置を機能面から説明したが、パケットフィルタリング装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したようなパケットフィルタリング装置や複数のフィルタを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。 In the above embodiment, the packet filtering device that implements the present invention has been described from the functional aspect. However, each function of the packet filtering device may be realized by causing a computer such as a personal computer or a workstation to execute a program. it can. That is, the various processing procedures described in the above embodiments can be realized by executing a program prepared in advance on a computer. These programs can be distributed via a network such as the Internet. Further, these programs can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and can be executed by being read from the recording medium by the computer. That is, for example, a packet filtering device as shown in the embodiment or a CD-ROM storing a plurality of filters (may be a separate CD-ROM for each device) is distributed and this CD-ROM is distributed. Each computer may read and execute the program stored in the computer.
以上のように、本発明に係るパケットフィルタリング装置は、パケットをフィルタリングするのに有用であり、特に、ISP業者と企業との両者に対して、セキュリティ対策の冗長な設備投資および運用コストの増加を防止することが可能であるとともに、セキュリティ対策の不統一およびセキュリティ情報の更新漏れを防止することに適する。 As described above, the packet filtering apparatus according to the present invention is useful for filtering packets. In particular, for both ISP contractors and enterprises, it is possible to increase the redundant capital investment and operation cost of security measures. In addition to being able to prevent, it is suitable for preventing inconsistency of security measures and omission of update of security information.
10 広域網
11 パケットフィルタリング装置
12 A企業内LAN
12a 端末装置A
13 B企業内LAN
13a 端末装置B
14 C企業内LAN
14a 端末装置C
15 D企業内LAN
15a 端末装置D
16 パケットフィルタリング装置とA企業内LANを接続する仮想的なLAN
17 パケットフィルタリング装置とB企業内LANを接続する仮想的なLAN
18 パケットフィルタリング装置と広域網を接続する回線
19 GIP・PIP情報
20 パケットフィルタリング装置
21 パケット受信部
22 フィルタリング部
22a パケット振分部
22b URLフィルタ
22c AntiVirusフィルタ
22d SPAMフィルタ
23 パケット配送部
60 LAN
10
12a Terminal device A
13 B Corporate LAN
13a Terminal device B
14C corporate LAN
14a Terminal device C
15 D Corporate LAN
15a Terminal device D
16 Virtual LAN that connects the packet filtering device to the corporate LAN
17 Virtual LAN that connects the packet filtering device to the corporate B LAN
18 Line connecting packet filtering device and
Claims (4)
前記パケットを当該パケットの種別に応じてフィルタリングする複数のフィルタ手段と、
前記広域網または前記所定の閉域網各々に接続された複数の端末装置各々に送信されるパケットおよび/または前記複数の端末装置各々から送信されるパケットを、前記広域網または前記所定の閉域網各々と接続される前記別の閉域網を介して受信するパケット受信手段と、
前記パケット受信手段により受信したパケットを当該パケットの種別に応じて前記複数のフィルタ手段へ振分けるパケット振分手段と、
前記複数のフィルタ手段によりフィルタリングされたパケットを送信先に配送するパケット配送手段と、
前記所定の閉域網に接続されている複数の端末装置ごとに、前記広域網で使用されるアドレス情報であって当該パケットフィルタリング装置に設定されているグローバルアドレス情報と前記所定の閉域網で使用されるアドレス情報であるプライベートアドレス情報とを対応付けて記憶するアドレス情報記憶手段を備え、
前記パケット配送手段は、前記パケット受信手段によって、前記所定の閉域網に接続される端末装置宛のパケットが前記広域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記所定の閉域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えるとともに、当該パケットの送信先をグローバルアドレス情報からプライベートアドレス情報に付け替えて前記送信先が接続される前記別の閉域網を介して配送し、前記広域網に接続される端末装置宛のパケットが前記別の閉域網を介して受信された場合、前記アドレス情報記憶手段を参照して当該パケットの送信元をプライベートアドレス情報からグローバルアドレス情報に付け替えて前記広域網を介して配送する
ことを特徴とするパケットフィルタリング装置。 Packets transmitted to the wide area network or the predetermined closed network and / or the wide area network or the predetermined closed network connected to the wide area network or different predetermined closed networks through different closed networks A packet filtering device for filtering packets transmitted from
A plurality of filter means for filtering the packet according to the type of the packet;
The packet transmitted from the wide area network or a packet and / or the plurality of terminal devices each being sent to a plurality of terminal devices each connected to the predetermined closed network each, each said wide area network or the predetermined closed network packet receiving means for receiving via said another closed network that is connected to,
A packet distribution unit that distributes the packet received by the packet reception unit to the plurality of filter units according to the type of the packet;
A packet delivery means for delivering a packet filtered by the plurality of filter means to a destination;
For each of a plurality of terminal devices connected to the predetermined closed network, address information used in the wide area network and used in the predetermined closed network and global address information set in the packet filtering device. Address information storage means for storing in association with private address information that is address information,
The packet delivery means refers to the address information storage means when the packet receiving means receives a packet addressed to a terminal device connected to the predetermined closed network via the wide area network. The destination is changed from the global address information to the private address information and delivered via the other closed network to which the destination is connected, and the packet addressed to the terminal device connected to the predetermined closed network is sent to the other closed network. When received via the network, the address information storage means is referred to change the source of the packet from the private address information to the global address information, and the destination of the packet is changed from the global address information to the private address information. And delivered via the other closed network to which the destination is connected, When a packet addressed to a terminal device connected to the network is received via the other closed network, the source of the packet is changed from private address information to global address information with reference to the address information storage means, and A packet filtering device for delivery via a wide area network .
The packet sorting unit, the packet filtering device according to any one of claims 1-3, characterized in that distribute according to the type of application that processes a packet received by said packet receiving means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005320036A JP4732858B2 (en) | 2005-11-02 | 2005-11-02 | Packet filtering apparatus and packet filtering program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005320036A JP4732858B2 (en) | 2005-11-02 | 2005-11-02 | Packet filtering apparatus and packet filtering program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007129481A JP2007129481A (en) | 2007-05-24 |
JP4732858B2 true JP4732858B2 (en) | 2011-07-27 |
Family
ID=38151778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005320036A Active JP4732858B2 (en) | 2005-11-02 | 2005-11-02 | Packet filtering apparatus and packet filtering program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4732858B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2011048645A1 (en) * | 2009-10-19 | 2013-03-07 | 順子 杉中 | Terminal management system and terminal management method |
JP5920668B2 (en) * | 2011-01-25 | 2016-05-18 | 日本電気株式会社 | Security policy enforcement system and security policy enforcement method |
KR20140044970A (en) | 2012-09-13 | 2014-04-16 | 한국전자통신연구원 | Method and apparatus for controlling blocking of service attack by using access control list |
JP6591143B2 (en) * | 2014-03-31 | 2019-10-16 | 株式会社東芝 | COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, AND PROGRAM |
JP7167439B2 (en) * | 2017-12-28 | 2022-11-09 | 株式会社リコー | Information processing device, vulnerability detection method and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07210473A (en) * | 1994-01-12 | 1995-08-11 | Hitachi Ltd | Data filtering system between transmission lines |
JPH1141280A (en) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | Communication system, vpn repeater and recording medium |
JP2000228674A (en) * | 1999-02-04 | 2000-08-15 | Nippon Telegr & Teleph Corp <Ntt> | Address allocating method in inter-plural point communication, communicating method among plural points and its connecting device |
JP2001136198A (en) * | 1999-11-04 | 2001-05-18 | Nippon Telegr & Teleph Corp <Ntt> | Inter-network communication method and server, and inter-network communication system |
JP2004062417A (en) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Certification server device, server device and gateway device |
-
2005
- 2005-11-02 JP JP2005320036A patent/JP4732858B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07210473A (en) * | 1994-01-12 | 1995-08-11 | Hitachi Ltd | Data filtering system between transmission lines |
JPH1141280A (en) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | Communication system, vpn repeater and recording medium |
JP2000228674A (en) * | 1999-02-04 | 2000-08-15 | Nippon Telegr & Teleph Corp <Ntt> | Address allocating method in inter-plural point communication, communicating method among plural points and its connecting device |
JP2001136198A (en) * | 1999-11-04 | 2001-05-18 | Nippon Telegr & Teleph Corp <Ntt> | Inter-network communication method and server, and inter-network communication system |
JP2004062417A (en) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Certification server device, server device and gateway device |
Also Published As
Publication number | Publication date |
---|---|
JP2007129481A (en) | 2007-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11811809B2 (en) | Rule-based network-threat detection for encrypted communications | |
US10735380B2 (en) | Filtering network data transfers | |
US7146421B2 (en) | Handling state information in a network element cluster | |
US7873993B2 (en) | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation | |
US8615010B1 (en) | System and method for managing traffic to a probe | |
JP6069717B2 (en) | Application state sharing in firewall clusters | |
US20080320116A1 (en) | Identification of endpoint devices operably coupled to a network through a network address translation router | |
EP2164228A1 (en) | Hierarchical application of security services with a computer network | |
WO2002050680A9 (en) | Integrated intelligent inter/intra-networking device | |
JP4732858B2 (en) | Packet filtering apparatus and packet filtering program | |
KR20100087032A (en) | Selectively loading security enforcement points with security association information | |
US8191132B1 (en) | Scalable transparent proxy | |
JP2014526739A (en) | Authentication sharing in firewall clusters | |
KR20020027471A (en) | Secure network switch | |
US10581802B2 (en) | Methods, systems, and computer readable media for advertising network security capabilities | |
US7561574B2 (en) | Method and system for filtering packets within a tunnel | |
JP2007310662A (en) | Firewall device | |
Cardona et al. | Impact of BGP filtering on Inter-Domain Routing Policies | |
JP7114769B2 (en) | Communications system | |
Bernardo et al. | Empirical survey: Experimentation and implementations of high speed protocol data transfer for grid | |
Betgé-Brezetz et al. | SDN-based trusted path control | |
Huici | Deployable filtering architectures against large denial-of-service attacks | |
Van Leeuwen | Impacts of ipv6 on infrastructure control systems | |
Mynul | Cisco network security troubleshooting handbook | |
Rumelioglu et al. | VWS-fANTLA PER SC1ENTL4 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080204 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100119 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100706 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100906 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101214 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110228 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110418 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110421 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4732858 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |