JP4900119B2 - ネットワーク機器 - Google Patents

ネットワーク機器 Download PDF

Info

Publication number
JP4900119B2
JP4900119B2 JP2007200541A JP2007200541A JP4900119B2 JP 4900119 B2 JP4900119 B2 JP 4900119B2 JP 2007200541 A JP2007200541 A JP 2007200541A JP 2007200541 A JP2007200541 A JP 2007200541A JP 4900119 B2 JP4900119 B2 JP 4900119B2
Authority
JP
Japan
Prior art keywords
rule
session information
filtering
filtering rule
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007200541A
Other languages
English (en)
Other versions
JP2009038555A (ja
Inventor
信彦 上村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2007200541A priority Critical patent/JP4900119B2/ja
Publication of JP2009038555A publication Critical patent/JP2009038555A/ja
Application granted granted Critical
Publication of JP4900119B2 publication Critical patent/JP4900119B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、送受信するパケットを選別するパケットフィルタリング機能を備えたネットワーク機器に関する。
ルータ等のネットワーク機器に搭載される一般的なファイヤーウォール機能は、送受信するパケットが通過属性を有するパケットであるかを選別し、該通過属性を有するパケットのみを通過させ、通過属性を有しないパケットは破棄するというパケットフィルタリング機能を有している。このパケットフィルタリング機能は、パケットを選別するためのルールであるフィルタリングルールを複数用いる場合が多い。このフィルタイリングルールに基づいて、パケットが通過することで、セッションが確立する(特許文献1参照。)。
セッションが切断すると、通信状態を維持できないので、セッションを維持したまま各種ネットワーク接続のための処理を行いたい。例えば、特許文献1では、セッションを維持したままネットワーク機器等を切り替える方法について記載されている。
特開2004−274552号公報
しかしながら、ネットワーク機器が記憶するフィルタリングルールが更新されると、確立しているセッションは切断され、更新後のフィルタリングルールに基づいて新たにセッションが確立される。つまり、フィルタリングルールが更新されると、その時点の通信状態を維持し続けられない。
そこで、フィルタリングルールを更新しても、確立しているセッションを維持することができるネットワーク機器を提供することを目的とする。
請求項1の発明は、複数のネットワークに接続されたネットワーク機器であって、パケットの属性を判定する判定条件と、この判定条件に合致したパケットに対して実行する動作を指定する動作指定情報とを含むフィルタリングルールを、その実行に際して優先順位の高いものから順に記憶するルール記憶部と、ネットワーク機器を介してセッションが確立した時のセッション情報を、該セッション情報に対応するフィルタリングルールの識別番号と関連付けて記憶するセッション記憶部と、前記ルール記憶部に記憶されたフィルタリングルールが更新されると、前記セッション記憶部に記憶されたセッション情報に対して、前記ルール記憶部に記憶された複数のフィルタリングルールが対応するか否か評価する評価手段と、前記評価手段の評価結果に基づいて、前記セッション記憶部に記憶されたセッション情報とフィルタリングルールの識別番号との関連付けを更新する更新手段と、を備え、前記評価手段は、更新されたフィルタリングルール、または、該更新されたフィルタリングルールより優先順位が低いフィルタリングルールの識別番号に関連付けられたセッション情報に対して評価することを特徴とする。
この構成では、ネットワーク機器は、ルータ等のファイヤーウォール機能を備え、ネットワーク間を通過するパケットに対して通過の可否を判定するフィルタリングルールと、セッションが確立した時のセッション情報と、を記憶する。このセッション情報は、対応するフィルタリングルールの識別番号と関連付けて記憶される。ネットワーク機器は、フィルタリングルールが更新されると、更新されたフィルタリングルールより優先順位が低いフィルタリングルールの識別番号に関連付けられたセッション情報に対して、フィルタリングルールと対応するか否か評価する。これにより、ネットワーク機器は、フィルタリングルールが更新されると、セッション情報を更新後のフィルタリングルールに対応するか否か評価し、評価結果に基づいて、セッション情報とフィルタリングルールの識別番号を関連付けて記憶する。このため、変更後のフィルタリングルールの下でも維持されるべきセッションについては、確立したセッションのセッション情報を維持したままで、フィルタリングルールを更新することができる。
請求項2の発明は、前記評価手段は、前記ルール記憶部にフィルタリングルールが追加されると、追加されたフィルタリングルールより優先順位が低いフィルタリングルールの識別番号に関連付けられたセッション情報に対して、追加されたフィルタリングルールが対応するか否か評価し、前記更新手段は、追加されたフィルタリングルールが対応するセッション情報を、追加されたフィルタリングルールの識別番号と関連付けるように更新することを特徴とする。
この構成では、フィルタリングルールの追加時、ネットワーク機器は、追加されたフィルタリングルールより優先順位が低いフィルタリングルールに関連付けられたセッション情報に対して、追加されたフィルタリングルールと対応するか否か評価する。ネットワーク機器は、追加されたフィルタリングルールに対応するセッション情報を、追加されたフィルタリングルールと関連付ける。これにより、ネットワーク機器は、追加されたフィルタリングルールの影響を受けるセッション情報のみに対して評価を行う。このため、ネットワーク機器は、変更後のフィルタリングルールの下でも維持されるべきセッションについては、セッション情報を維持したままフィルタリングルールを更新することができる。
請求項3の発明は、前記評価手段は、前記ルール記憶部からフィルタリングルールが削除されると、削除されたフィルタリングルールの識別番号に関連付けられたセッション情報に対して、削除されたフィルタリングルールより優先順位の低いフィルタリングルールが対応するか否か評価し、前記更新手段は、削除されたフィルタリングルールの識別番号に関連付けられたセッション情報を、削除後に残るフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新することを特徴とする。
この構成では、フィルタリングルールの削除時、ネットワーク機器は、削除されたフィルタリングルールに関連付けられたセッション情報に対して、削除されたフィルタリングルールより優先順位が低いフィルタリングルールと対応するか否か評価する。ネットワーク機器は、削除されたフィルタリングルールに関連付けられたセッション情報を、対応するフィルタリングルールの中で最も優先順位が高いフィルタリングルールと関連付ける。これにより、ネットワーク機器は、削除されたフィルタリングルールの影響を受けるセッション情報のみに対して評価を行う。このため、ネットワーク機器は、変更後のフィルタリングルールの下でも維持されるべきセッションについては、セッション情報を維持したままフィルタリングルールを更新することができる。
請求項4の発明は、前記評価手段は、前記ルール記憶部のフィルタリングルールが変更されると、変更前のフィルタリングルールの識別番号に関連付けられたセッション情報に対して、変更後のフィルタリングルール及び変更後のフィルタリングルールより優先順位の低いフィルタリングルールが対応するか否か評価し、前記更新手段は、変更前のフィルタリングルールの識別番号に対応付けられたセッション情報を、変更後に存在するフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新することを特徴とする。
この構成では、フィルタリングルールの変更時、ネットワーク機器は、変更されたフィルタリングルールに関連付けられたセッション情報に対して、変更されたフィルタリングルール又は変更されたフィルタリングルールより優先順位が低いフィルタリングルールに対応するか否か評価する。ネットワーク機器は、変更されたフィルタリングルールに関連付けられたセッション情報を、変更されたフィルタリングルールを含む対応するフィルタリングルールの中で最も優先順位が高いフィルタリングルールと関連付ける。これにより、ネットワーク機器は、変更されたフィルタリングルールの影響を受けるセッション情報のみに対して評価を行う。このため、ネットワーク機器は、変更後のフィルタリングルールの下でも維持されるべきセッションについては、セッション情報を維持したままフィルタリングルールを更新することができる。
請求項5の発明は、前記評価手段は、前記ルール記憶部のフィルタリングルールの順序を入れ替えると、入れ替えたフィルタリングルールの識別番号に関連付けられたセッション情報に対して、入れ替えたフィルタリングルールより優先順位の低い、且つ、入れ替え後に入れ替えたフィルタリングルールより優先順位の高いフィルタリングルールが対応するか否か評価し、前記更新手段は、入れ替えたフィルタリングルールの識別番号に関連付けられたセッション情報を、入れ替え後のフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新することを特徴とする。
この構成では、フィルタリングルールの順序入れ替え時、ネットワーク機器は、入れ替えたフィルタリングルールに関連付けられたセッション情報に対して、入れ替えたフィルタリングルールより優先順位が低く、且つ、入れ替え後、順序を入れ替えたフィルタリングルールより優先順位が高くなるフィルタリングルールと対応するか否か評価する。ネットワーク機器は、入れ替えたフィルタリングルールに関連付けられたセッション情報を、入れ替えが行われた新たな優先順位において対応するフィルタリングルールの中で最も優先順位が高いフィルタリングルールと関連付ける。これにより、ネットワーク機器は、順序入れ替えされたフィルタリングルールの影響を受けるセッション情報のみに対して評価を行う。このため、ネットワーク機器は、変更後のフィルタリングルールの下でも維持されるべきセッションについては、セッション情報を維持したままフィルタリングルールを更新することができる。
請求項6の発明は、前記評価手段は、前記ルール記憶部を切り替えると、切り替え前のフィルタリングルールに関連付けられたセッション情報に対して、切り替え後のフィルタリングルールから、切り替え前に対応するフィルタリングルールより優先度が高いフィルタリングルールを除いて、対応するか否かを評価し、前記更新手段は、該セッション情報を、該当する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新することを特徴とする。
この構成では、ルール記憶部(フィルタリングテーブル)の切り替え時、ネットワーク機器は、切り替え前のフィルタリングルールに関連付けられたセッション情報に対して、切り替え後のフィルタリングルールに対応するか否かを評価する。この際、切り替え前のセッション情報に対応するフィルタリングルールより優先順位が高いフィルタリングルールが、切り替え後のフィルタリングルールに存在する場合は、そのフィルタリングルールを除いて評価する。これにより、ネットワーク機器は、フィルタリングテーブルの切り替えに影響を受けるセッション情報のみに対して評価を行う。このため、変更後のフィルタリングルールの下でも維持されるべきセッションについては、ネットワーク機器は、セッション情報を維持したままフィルタリングルールを更新することができる。
本発明によれば、ネットワーク機器は、フィルタリングルールが更新されると、更新されたフィルタリングルールの影響を受ける範囲で、セッション情報がどのフィルタリングルールに対応するか否かの評価を行う。これにより、ネットワーク機器は、確立したセッションのセッション情報を維持したままで、フィルタリングルールを更新することができる。
図1は、ネットワーク機器を介してLANとWANが接続された環境を示す図である。LANに設置されたクライアント装置2(例えば、PCや携帯電話等)は、ネットワーク機器1を介すことで、ネットワーク3(WAN)に接続される。ネットワーク機器1は、LAN側に設置されたクライアント装置2に対して、WAN側からデータの取得依頼が来ると、クライアント装置2からデータの転送を許可するか否かを判断する。また、ネットワーク機器1は、WAN側に設定された通信装置4(4a,4b)(例えば、ルータを介してネットワークに接続されたPCや携帯電話等)に対して、LAN側からデータの取得依頼を行うと、WAN側に設置された通信装置4へデータの取得依頼を行うか否かを判断する。この判断は、ネットワーク機器1が記憶するフィルタリングルール(以下、ルールと称す。)に基づいて行われる。
データの取得依頼やデータの転送がルールに基づいて行われると、LAN側からWAN側へのパケット又はWAN側からLAN側へのパケットが通過するタイミングで、セッションが確立される。確立したセッションのセッション情報がネットワーク機器に記憶される。このセッションが確立すると、同一装置間(例えば、クライアント装置2と通信装置4a間)の同一サービスの通信は、ルールに基づいて判断せずに、セッション情報を参照することで、次のパケットを通過させることができる。例えば、クライアント装置2から通信装置4にポート番号80(WWWサービス)でアクセスしてセッションが確立すると、このセッションが確立している間は、クライアント装置2から通信装置4にポート番号80でアクセスすることができる。
このセッション情報は、ルールに基づいて生成されるため、ルールが更新されると、セッション情報も更新される。この際、ネットワーク機器1は、更新後のルールに基づいて、セッション情報を評価する。セッション情報を評価することで、セッション情報には、ルールの更新内容が反映される。これにより、ネットワーク機器1は、ルールの更新に影響が無いセッション情報をそのまま維持することができる。また、ネットワーク機器1は、ルールの更新に影響を受けるセッション情報であっても、更新後のフィルタリングルールと対応すればそのまま維持することができる。
なお、本実施形態では、LAN側に1台のクライアント装置2とWAN側に2台の通信装置4を設置した。しかしながら、これに限らず、LAN側にクライアント装置、WAN側に通信装置が設置されていればよい。
次に、ネットワーク機器1の機能構成について説明する。図2は、ネットワーク機器のブロック図である。このネットワーク機器1は、例えば、ルータ装置やファイヤーウォール装置である。
ネットワーク機器1は、2つのネットワークを接続する装置であるが、一方のネットワークから他方のネットワークへパケットを転送するとき、そのパケットの転送を許可するか否かを判定し、許可したもののみ通過させ、その他のパケットを破棄するパケットフィルタリングを実行する。
ネットワーク機器1は、4つのLAN側ポート14及び1つのWAN側ポート16を備える。WAN側ポート16は、インターネットサービスを提供するISP等に接続される。WAN側ポート16は、PHYチップ15を介してCPU10に接続される。
4つのLAN側ポート14には、それぞれPC等のクライアント装置2が接続される。これらLAN側ポート14は、レイヤ2スイッチチップ13に接続されている。レイヤ2スイッチチップ13は、LAN側ポート14に接続される複数のクライアント装置2間の通信を制御する。また、このレイヤ2スイッチチップ13には前記CPU10も接続されている。CPU10は、WAN側ポート16とLAN側ポート14との通信を制御する。
CPU10には、フラッシュメモリ11及びRAM12が接続される。フラッシュメモリ11は、図3に示すようなパケットフィルタリングテーブルを記憶する。また、RAM12は、図4に示すようなセッション情報テーブルを記憶し、LAN側ポート14及びWAN側ポート16から入力されたパケットを、転送または破棄の処理が決定するまでバッファする。
LAN側ポート14またはWAN側ポート16からパケットが入力されると、このパケットをRAM12にバッファするとともに、このパケットに図3のパケットフィルタリングテーブルの各ルールを適用して処理(通過/破棄)を決定する。通過と決定したパケットについては相手側のポート(WAN側ポート16又はLAN側ポート14)にこれを転送する。破棄と決定したパケットについてはRAM12からこれを消去する。
なお、本実施形態では、WAN−LAN間の通信を制御する制御部としてCPU10を用いているが、ネットワークプロセッサという専用LSIを用いてもよい。
また、本実施形態では、ネットワーク機器1は、4つのLAN側ポート14及び1つのWAN側ポート16を備える。しかしながら、これに限らず、少なくとも1つのLAN側ポート14と少なくとも1つのWAN側ポート16を備えればよい。
次に、ネットワーク機器1がフラッシュメモリ11に記憶するパケットフィルタリングテーブルとRAM12に記憶するセッション情報テーブルについて説明する。図3は、パケットフィルタリングテーブルの例を示す図である。図4は、セッション情報テーブルの例を示す図である。
まず、図3を参照して、パケットフィルタリングテーブルについて説明する。パケットフィルタリングテーブルに登録されたルールは、「入力I/F」、「出力I/F」、「始点アドレス(source address)」、「終点アドレス(destination address)」、「プロトコル(protocol)」、「始点ポート(source port)」、「終点ポート(destination port)」の属性を判定条件として用いている。そして、対応したパケットの動作指定情報として、そのパケットを通過させる「通過」又は破棄する「破棄」の2種類のうちいずれかが規定される。
図3に示すパケットフィルタリングテーブルにおいて、
ルール1は、「入力I/F=LAN」、「出力I/F=WAN」、「始点アドレス=192.168.0.0/24」、「終点アドレス=ZZ.ZZ.ZZ.0/24」、「プロトコル=tcp」、「始点ポート=*(不問)」、「終点ポート=80」の判定条件と、「動作=破棄」の内容を規定している。
ルール2は、「入力I/F=LAN」、「出力I/F=WAN」、「始点アドレス=192.168.0.0/24」、「終点アドレス=*」、「プロトコル=tcp」、「始点ポート=*」、「終点ポート=80」の判定条件と、「動作=通過」の内容を規定している。
ルール3は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=*」、「終点アドレス=192.168.0.0/24」、「プロトコル=tcp」、「始点ポート=80」、「終点ポート=*」の判定条件と、「動作=通過」の内容を規定している。
ルール4は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=AA.AA.AA.0/24」、「終点アドレス=192.168.0.0/24」、「プロトコル=tcp」、「始点ポート=23」、「終点ポート=*」の判定条件と、「動作=通過」の内容を規定している。
ルール5は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=BB.BB.BB.0/24」、「終点アドレス=192.168.0.0/24」、「プロトコル=tcp」、「始点ポート=23」、「終点ポート=*」の判定条件と、「動作=通過」の内容を規定している。
ルール6は、「入力I/F=LAN」、「出力I/F=WAN」、「始点アドレス=*」、「終点アドレス=*」、「プロトコル=*」、「始点ポート=*」、「終点ポート=*」の判定条件と、「動作=破棄」の内容を規定している。
ルール7は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=*」、「終点アドレス=*」、「プロトコル=*」、「始点ポート=*」、「終点ポート=*」の判定条件と、「動作=破棄」の内容を規定している。
ルータ装置1のCPU10は、入力されたパケットにこれらルールをルール1から順に
適用し、判定条件に合致した場合には、そのルールの動作指定情報に規定された動作を実
行する。すなわち、あるルールに対応した場合には、そのルールに規定する動作が実行さ
れ、それ以後のルールは適用されない。ここで、動作の「通過」とは、入力されたパケッ
トを相手側ポート(出力インタフェース)に転送する動作である。なお、図3に示すパケットフィルタリングテーブルの各ルールは、GUIで更新することができる。このルールの更新時に発生するセッション情報の評価処理の流れについては、後述して説明する。
また、ネットワーク機器1のCPU10は、動作の「通過」に合致したパケットについて、セッションを確立する。確立したセッションは、後述するセッション情報テーブルに登録される。このセッション情報テーブルに登録されたセッションは、一定期間が経過すると自動的に破棄される。これにより、セッション情報テーブルには、パケットの入出力が行われているセッション情報のみが登録される。
次に、図4を参照して、セッション情報テーブルについて説明する。セッション情報テーブルに登録されたセッション情報は、「入力I/F」、「出力I/F」、「始点アドレス(source address)」、「終点アドレス(destination address)」、「プロトコル(protocol)」、「始点ポート(source port)」、「終点ポート(destination port)」から構成され、「パケットフィルタのID(特許請求の範囲の「フィルタリングルールの識別番号」に該当する。)」と関連付けられる。
図4に示すセッション情報テーブルにおいて、
セッション101のセッション情報は、「入力I/F=LAN」、「出力I/F=WAN」、「始点アドレス=192.168.0.3」、「終点アドレス=ZZ.ZZ.1.ZZ」、「プロトコル=tcp」、「始点ポート=50001」、「終点ポート=80」である。図3に示すパケットフィルタリングテーブルの優先順位が最も高いルール1から順に、セッション101のセッション情報が対応するか否が判断されているので、セッション101のセッション情報は、ルール2と対応し、「パケットフィルタのID=2」と関連付けられる。
セッション102のセッション情報は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=AA.AA.AA.1」、「終点アドレス=192.168.0.3」、「プロトコル=tcp」、「始点ポート=23」、「終点ポート=56789」である。同様に、セッション102のセッション情報は、ルール4と対応するので、「パケットフィルタのID=4」と関連付けられる。
セッション103のセッション情報は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=BB.BB.BB.1」、「終点アドレス=192.168.0.3」、「プロトコル=tcp」、「始点ポート=23」、「終点ポート=51234」である。同様に、セッション103のセッション情報は、ルール5と対応するので、「パケットフィルタのID=5」と関連付けられる。
セッション104のセッション情報は、「入力I/F=WAN」、「出力I/F=LAN」、「始点アドレス=AA.AA.AA.1」、「終点アドレス=192.168.0.3」、「プロトコル=tcp」、「始点ポート=80」、「終点ポート=59999」である。同様に、セッション104のセッション情報は、ルール3と対応するので、「パケットフィルタのID=3」と関連付けられる。
次に、パケットフィルタリングテーブルに登録されたルールの更新時に発生するセッション情報の評価処理について、図5〜図11を参照して説明する。図5は、図3に示すパケットフィルタリングルールから一部のルールを抜粋した例を示す図である。図5(A)は、「入力I/F=WAN」、「出力I/F=LAN」に該当するルールを示す図である。図5(B)は、図5(A)に、ルール9を追加した例を示す。図5(C)は、図5(B)のルール5を変更した例を示す。図5(D)は、図5(B)のルール3の順序を変更した例を示す。図6は、図4に示すセッション情報から一部のセッションを抜粋した例を示す図である。図6(A)は、「入力I/F=WAN」、「出力I/F=LAN」に該当するセッションを示す図である。図6(B)は、図6(A)のセッション102のパケットフィルタのIDを変更した例を示す。図6(C)は、図6(A)のセッション104のパケットフィルタのIDを変更した例を示す。図7は、ルールの追加時に発生するセッション情報の評価処理の流れを示すフローチャートである。図8は、ルールの削除時に発生するセッション情報の評価処理の流れを示すフローチャートである。図9は、ルールの変更時に発生するセッション情報の評価処理の流れを示すフローチャートである。図10は、ルールの順序入れ替え時に発生するセッション情報の評価処理の流れを示すフローチャートである。図11は、パケットフィルタリングテーブルの切り替え時に発生するセッション情報の評価処理の流れを示すフローチャートである。
ネットワーク機器1は、パケットフィルタリングテーブルにルールの追加、削除、変更、順序入れ替えが発生すると、追加時のセッション情報の評価処理、削除時のセッション情報の評価処理、変更時のセッション情報の評価処理、順序入れ替え時のセッション情報の評価処理を行う。また、ネットワーク機器1は、パケットフィルタリングテーブルの切り替えが生じると、切り替え時のセッション情報の評価処理を行う。なお、複数処理(例えば、追加と削除等)が行われた場合は、ネットワーク機器1は、それぞれの評価処理(追加時のセッション情報の評価処理、削除時のセッション情報の評価処理)を行ってもよいし、切り替え時のセッション情報の評価処理を行ってもよい。以下に、セッション情報の評価処理の流れについて説明する。
1)ルールの追加時に発生するセッション情報の評価処理の流れについて
説明の簡単化のため、図5(A)に示すルールに、ルール9が追加され、図5(B)に示すルールに更新された場合を例にあげて説明する。この際、ネットワーク機器1は、図6(A)に示すセッション情報テーブルを記憶しているものとする。
図7に示すように、ルール9が追加されると、追加されたルール9に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S101)。ルールが存在しない場合は(S101:No)、処理を終了する。つまり、セッション情報テーブルの更新は行われない。
図5(B)の例では、追加されたルール9に対して、優先順位が低い側の次のルール(ルール4)が存在するので(S101:Yes)、ルール4に関連付けられたセッション情報が存在するか否かを調べる(S102)。セッション情報が存在しない場合は(S102:No)、ステップS108へ進む。
ルール4に関連付けられたセッション情報(セッション102)が存在するので(S102:Yes)、追加されたルール9にセッション102が対応するか否かを調べる(S103)。追加されたルール9にセッション102が対応しない場合は(S103:No)、ステップS107へ進む。
追加されたルール9にセッション102が対応するので(S103:Yes)、追加したルール9の「動作」が「通過」に設定されているかどうか調べる(S104)。「通過」に設定されているので(S104:Yes)、セッション102の「パケットフィルタのID」を4から9に変更して(S105)、ステップS107へ進む。ここで、「破棄」に設定されている場合は(S104:No)、セッション102のセッション情報を削除して(S106)、ステップS107へ進む。
ステップS107にて、ルール4に関連付けられた他のセッション情報が存在するか否かを調べる。他のセッション情報は存在しないので(S107:No)、ルール4に対して、優先順位が低い側の次のルール(ルール5)を参照して(S108)、ステップS102〜S108の処理を行う。また、他のセッション情報が存在した場合は(S107:Yes)、ステップS103〜S107の処理を行う。
ステップS108にて、現在参照しているルールに対して、優先順位が低い側の次のルールが存在するか否かを調べる(S108)。ルールが存在する場合は(S108:Yes)、ステップS102〜S108の処理を行う。また、ルールが存在しない場合は(S108:No)、処理を終了する。
以上で、セッション情報テーブルの更新が完了する。なお、本説明の場合であればルール9が追加されると、セッション情報テーブルは、図6(B)に示すテーブルとなる。
以上のように、ルール追加時に発生するセッション情報の評価処理では、追加したルールの後方(優先順位が低い側)のルールに関連付けられたセッション情報が追加したルールに対応するか否かを調べ、追加したルールに対応する場合は、対応するセッション情報を追加したルールと関連付ける。これにより、セッション情報テーブルに登録された全てのセッション情報に対して、どのルールと対応するのかを調べる必要がない。このため、セッション情報テーブルに登録されたセッション情報の更新をセッションを切断することなく短時間で行うことができる。
2)ルールの削除時に発生するセッション情報の評価処理の流れについて
説明の簡単化のため、図5(B)に示すルールから、ルール9が削除され、図5(A)に示すルールに更新された場合を例にあげて説明する。この際、ネットワーク機器1は、図6(B)に示すセッション情報テーブルを記憶しているものとする。
図8に示すように、ルール9が削除されると、削除したルール9に関連付けられたセッション情報が存在するか否かを調べる(S111)。セッション情報が存在しない場合は(S111:No)、処理を終了する。つまり、セッション情報テーブルの更新は行われない。
削除したルール9に関連付けられたセッション情報(セッション102)が存在する場合は(S110:Yes)、削除したルール9に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S112)。ルールが存在しない場合は(S112:No)、ステップS117へ進む。
削除したルール9に対して、優先順位が低い側の次のルール(ルール4)が存在するので(S112:Yes)、セッション102がルール4に対応するか否かを調べる(S113)。セッション102がルール4に対応するので(S113:Yes)、ルール4の「動作」が「通過」に設定されているかどうか調べる(S115)。「通過」に設定されているので(S115:Yes)、セッション102の「パケットフィルタのID」を9から4に変更して(S116)、ステップS118へ進む。ここで、「破棄」に設定されている場合は(S115:No)、セッション102のセッション情報を削除して(S117)、ステップS118へ進む。
また、セッション102がルール4に対応しない場合は(S113:No)、ルール4に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S114)。次のルールが存在しない場合は(S114:No)、セッション102を削除して(S117)、ステップS118へ進む。また、次のルールが存在する場合は(S114:Yes)、ステップS113へ進む。
ステップS118にて、削除したルール9に他のセッション情報が対応付けられているか調べる。他のセッション情報が対応付けられている場合は(S118:Yes)、ステップS112〜S118の処理を行う。他のセッション情報が対応付けられていない場合は(S118:No)、処理を終了する。
以上で、セッション情報テーブルの更新が完了する。なお、ルール9が削除されルール4に対応すると、セッション情報テーブルは、図6(A)に示すテーブルとなる。
以上のように、ルールの削除時に発生するセッション情報の評価処理では、削除したルールに関連付けられたセッション情報が、削除したルールの後方の優先順位が低い側のどのルールに対応するか否かを調べ、対応するルールが存在する場合は、対応するルールに関連付ける。これにより、セッション情報テーブルに登録された全てのセッション情報に対して、どのルールと対応するのかを調べる必要がない。このため、セッション情報テーブルに登録されたセッション情報の更新をセッションを切断することなく短時間で行うことができる。
3)ルールの変更時に発生するセッション情報の評価処理の流れについて
説明の簡単化のため、図5(B)に示すルールから、ルール5の「始点アドレス」が変更され、図5(C)に示すルールに更新された場合を例にあげて説明する。この際、ネットワーク機器1は、図6(B)に示すセッション情報テーブルを記憶しているものとする。
図9に示すように、ルール5が変更されると、変更前のルール5に関連付けられたセッション情報が存在するか否かを調べる(S121)。セッション情報が存在しない場合は(S121:No)、ステップS132へ進む。
変更前のルール5に関連付けられたセッション情報(セッション103)が存在するので(S121:Yes)、セッション103が変更後のルール5に対応するか否かを調べる(S122)。対応するので(S122:Yes)、変更後のルール5の「動作」が「通過」に設定されているかどうか調べる(S129)。「通過」に設定されているので(S129:Yes)、ステップS131へ進む。ここで、「破棄」に設定されている場合は(S129:No)、セッション103のセッション情報を削除して(S130)、ステップS131へ進む。
ステップS131にて、変更前のルール5に関連付けられた他のセッション情報が存在するか否かを調べる。他のセッション情報が存在する場合は(S131:Yes)、ステップS122〜S131の処理を行う。他のセッション情報が存在しないので(S131:No)、ステップS132へ進む。
ステップS132にて、変更前のルール5に対して、優先順位が低い側の次のルールが存在する否かを調べる。ルールが存在しない場合は(S132:No)、処理を終了する。
変更前のルール5に対して、優先順位が低い側の次のルール(ルール7)が存在するので(S132:Yes)、ルール7に関連付けられたセッション情報が存在するか否かを調べる(S133)。セッション情報が存在しないので(S133:No)、ステップS139へ進む。
また、ルール7に関連付けられたセッション情報が存在する場合は(S133:Yes)、ルール7に関連付けられたセッションtが変更後のルール5に対応するか否かを調べる(S134)。対応しない場合は(S134:No)、ステップS138へ進む。対応する場合は(S134:Yes)、変更後のルール5の「動作」が「通過」に設定されているかどうか調べる(S135)。「通過」に設定されている場合は(S135:Yes)、セッションの「パケットフィルタのID」を5に変更して(S136)、ステップS138へ進む。ここで、「破棄」に設定されている場合は(S135:No)、セッションtのセッション情報を削除して(S137)、ステップS138へ進む。
ステップS138にて、ルール7に関連付けられた他のセッション情報が存在するか否かを調べる。存在する場合は(S138:Yse)、ステップS134〜S138の処理を行う。存在しない場合は(S138:No)、S139へ進む。
ステップS139にて、ルール7に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S139)。存在する場合は(S139:Yes)、ステップS133〜S139の処理を行う。存在しない場合は(S139:No)、処理を終了する。
以上で、セッション情報テーブルの更新が完了する。なお、本説明の場合であれば、ルール5が変更されると、セッション情報テーブルは、図6(B)に示すテーブルとなる。
また、ステップS122にて、セッション103が変更後のルール5に対応しない場合は(S122:No)、変更後のルール5に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S123)。ルールが存在しない場合は(S123:No)、セッション103のセッション情報を削除して(S130)、ステップS131へ進む。また、変更後のルール5に対して、優先順位が低い側の次のルール(ルール7)が存在する場合は(S123:Yes)、セッション103がルール7に対応しているか否かを調べる(S124)。セッション103がルール7に対応していない場合は(S124:No)、ルール7に対して、優先順位が低い側の次のルールが存在するか否かを調べ(S125)、存在する場合は(S125:Yes)、ステップS124へ進む。存在しない場合は(S125:No)、セッション103のセッション情報を削除して(S128)、ステップS131へ進む。
セッション103がルール7に対応している場合は(S124:Yes)、ルール7の「動作」が「通過」に設定されているかどうか調べる(S126)。「通過」に設定されている場合は(S126:Yes)、セッション103の「パケットフィルタのID」を5から7に変更して(S127)、ステップS131へ進む。「破棄」に設定されている場合は(S126:No)、セッション103のセッション情報を削除して(S128)、ステップS131へ進む。
以上のように、ルールの更新時に発生するセッション情報の評価処理では、更新したルールに関連付けられたセッション情報が、更新したルール以降のどのルールに対応するか否かを調べ、対応するルールが存在する場合は、対応するルールに関連付ける。また、更新したルールの後方に存在したルールに関連付けられたセッション情報が、更新したルールに対応するか否かを調べ、対応する場合は、更新したルールに関連付ける。これにより、セッション情報テーブルに登録された全てのセッション情報に対して、どのルールと対応するのかを調べる必要がない。このため、セッション情報テーブルに登録されたセッション情報の更新をセッションを切断することなく短時間で行うことができる。
4)ルールの順序入れ替え時に発生するセッション情報の評価処理の流れについて
説明の簡単化のため、図5(B)に示すルールから、ルールの順序を入れ替えて、図5(D)に示すルールに更新された場合を例にあげて説明する。この際、ネットワーク機器1は、図6(B)に示すセッション情報テーブルを記憶しているものとする。
図10に示すように、順序入れ替え前の1つ目のルール(ルール3)を参照し(S141)、ルール3の順序が入れ替わっているかどうか調べる(S142)。ルール3の順序が入れ替わっていない場合は(S142:No)、ステップS152へ進む。
ルール3の順序が入れ替わっているので(S142:Yes)、順序入れ替え前のルール3に関連付けられたセッション情報が存在するか否かを調べる(S143)。セッション情報が存在しない場合は(S143:No)、ステップS152へ進む。
順序入れ替え前のルール3に関連付けられたセッション情報(セッション104)が存在するので(S143:Yes)、順序入れ替え前のルール3に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S144)。ルールが存在しない場合は(S144:No)、ステップS152へ進む。
順序入れ替え前のルール3に対して、優先順位が低い側の次のルール(ルール9)が存在するので(S144:Yes)、ルール9が順序入れ替え後のルール3に対して、優先順位が高い側に存在するか否かを調べる(S145)。存在しない場合は(S145:No)、ステップS147へ進む。
ルール9が順序入れ替え後のルール3に対して、優先順位が高い側に存在するので(S145:Yes)、セッション104がルール9に対応するか否かを調べる(S146)。対応しない場合は(S146:No)、ステップS147へ進む。
ステップS147にて、ルール9に対して、優先順位が低い側の次のルールが存在するか否かを調べる。存在する場合(S147:Yes)、ステップS145へ進む。存在しない場合は(S147:No)、ステップS151へ進む。
セッション104がルール9に対応する場合は(S146:Yes)、ルール9の「動作」が「通過」に設定されているかどうか調べる(S148)。「通過」に設定されている場合は(S148:Yes)、セッション104の「パケットフィルタのID」を3から9に変更して(S149)、ステップS151へ進む。ここで、「破棄」に設定されている場合は(S148:No)、セッション104のセッション情報を削除して(S150)、ステップS151へ進む。
ステップS151にて、順序入れ替え前のルール3に関連付けられた他のセッション情報が存在するか否かを調べる。存在しない場合は(S151:No)、ステップS152へ進む。他のセッション情報が存在する場合(S151:Yes)、ステップS144〜S151の処理を行う。
ステップS152にて、ルール3に対して、優先順位が低い側の次のルールが存在するか否かを調べる。次のルール(ルール9)が存在する場合は(S152:Yes)、ルール9についてS142〜S152の処理を行う。以上のように、パケットフィルタリングルールに登録されたルールが存在する間は、ステップS142〜S152の処理を繰り返し実行する。また、次のルールが存在しない場合は(S152:No)、処理を終了する。
以上で、セッション情報テーブルの更新が完了する。なお、本説明の場合であれば、ルールの順序が入れ替わると、セッション情報テーブルは、図6(C)に示すテーブルとなる。
以上のように、ルールの順序入れ替え時に発生するセッション情報の評価処理では、全ルールに対して、順序の入れ替えが生じたか否かを調べる。そして、順序の入れ替えが生じたルールに関連付けられたセッション情報に対して、順序の入れ替えが生じたルールより後方のルールで且つ入れ替え後に順序の入れ替えが生じたルールより前方になるルールに対応するか否かを調べ、対応するルールが存在する場合は、対応するルールに関連付ける。これにより、セッション情報テーブルに登録された全てのセッション情報に対して、どのルールと対応するのかを調べる必要がない。このため、セッション情報テーブルに登録されたセッション情報の更新をセッションを切断することなく短時間で行うことができる。
5)パケットフィルタリングテーブルの切り替え時に発生するセッション情報の評価処理の流れについて
説明の簡単化のため、図5(A)に示すルールから、図5(C)に示すルールに切り替えた場合を例にあげて説明する。この際、ネットワーク機器1は、図6(A)に示すセッション情報テーブルを記憶しているものとする。
図11に示すように、切替前のパケットフィルタリングテーブルにおいて、1つ目のルールm(ルール3)を参照し(S161)、ルール3に関連付けられたセッション情報が存在するか否かを調べる(S162)。存在しない場合は(S162:No)、ステップS172へ進む。
ルール3に関連付けられたセッション情報(セッション104)が存在するので(S162:Yes)、切替後のパケットフィルタリングテーブルにおいて、1つ目のルールn(ルール3)を参照する(S163)。切替前のルールm(ルール3)と切替後のルールn(ルール3)とが同じルールか否かを調べる(S164)。切替前後で、ルールが同じなので(S164:Yes)、ステップS172へ進む。
ステップS172にて、切替前のルールm(ルール3)に対して、優先順位が低い側の次のルールが存在するか否かを調べ、次のルール(ルール4)が存在するので(S172:Yes)、ルール4に関連付けられたセッション情報が存在するか否かを調べる(S162)。
ルール4に関連付けられたセッション情報(セッション102)が存在するので(S162:Yes)、切替後のパケットフィルタリングテーブルにおいて、1つ目のルールn(ルール3)を参照する(S163)。切替前のルールm(ルール4)と切替後のルールn(ルール3)とが同じルールか否かを調べる(S164)。切替前後で、ルールが異なるので(S164:No)、切替前のパケットフィルタリングテーブルにおいて、ルール3(切替後のルールn)がルール4(切替前のルールm)に対して、優先順位が高い側に存在するか否かを調べる(S165)。ルール3はルール4に対して、優先順位が高い側に存在するので(S165:Yes)、切替後のルールn(ルール3)に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S166)。次のルールが存在しない場合は(S166:No)、セッション102を削除する(S169)。
次のルール(ルール9)が存在するので(S166:Yes)、切替前のルールm(ルール4)と切替後のルールn(ルール9)とが同じルールか否かを調べる(S164)。切替前後で、ルールが異なるので(S164:No)、切替前のパケットフィルタリングテーブルにおいて、ルール9(切替後のルールn)がルール4(切替前のルールm)の前に存在するか否かを調べる(S165)。ルール9はルール4の前に存在しないので(S165:No)、セッション102(ルール4に関連付けられたセッション情報)がルール9に対応するか否かを調べる(S167)。対応しない場合は(S167:No)、ステップS166へ進む。
セッション102がルール9に対応するので(S167:Yes)、ルール9の「動作」が「通過」に設定されているかどうか調べる(S168)。「通過」に設定されているので(S168:Yes)、セッション102の「パケットフィルタのID」を4から9に変更して(S170)、ステップS171へ進む。ここで、「破棄」に設定されている場合は(S168:No)、セッション102のセッション情報を削除して(S169)、ステップS171へ進む。
ステップS171にて、ルール4に関連付けられた他のセッション情報が存在するか否かを調べる。存在する場合は(S171:Yes)、他のセッション情報について、ステップS163〜S171の処理を行う。
他のセッション情報が存在しないので(S171:No)、ルール4(切替前のルールm)に対して、優先順位が低い側の次のルールが存在するか否かを調べる(S172)。次のルール(ルール5)が存在するので(S172:Yes)、ルール5について、ステップS162〜S172の処理を実行する。以上のように、切替前のパケットフィルタリングテーブルに登録されたルールが存在する間は、ステップS162〜S172の処理を繰り返し実行する。また、次のルールが存在しない場合は(S172:No)、処理を終了する
以上で、セッション情報テーブルの更新が完了する。なお、本説明の場合であれば、パケットフィルタリングテーブルが切り替わると、セッション情報テーブルは、図6(B)に示すテーブルとなる。
以上のように、ルールの切り替え時に発生するセッション情報の評価処理では、切替前のパケットフィルタリングテーブルの全ルールに対して、次の処理を行う。切替後のパケットフィルタリングテーブルの優先度の高いルールから順に、切替前のフィルタリングテーブルおいて、評価対象ルールの前方に存在したルールか否かを調べる。評価対象ルールの前方に存在しなかった場合は、評価対象ルールに関連付けられたセッション情報が、該当ルールに対応するか調べ、対応する場合は、該当ルールに関連付ける。これにより、セッション情報テーブルに登録された全てのセッション情報に対して、どのルールと対応するのかを調べる必要がない。このため、セッション情報テーブルに登録されたセッション情報の更新をセッションを切断することなく短時間で行うことができる。
なお、本実施形態では、「入力I/F=WAN」、「出力I/F=LAN」のルール更新時のセッション情報の評価処理について説明した。しかしながら、これに限らず、「入力I/F=LAN」、「出力I/F=WAN」のルール更新時についても、同様の処理手順で、セッション情報の評価処理を行うことができる。
以上のように、本発明に係るネットワーク機器1は、パケットフィルタリングテーブルのルールが更新されると、セッション情報テーブルに登録されたセッション情報を評価して、セッション情報テーブルを更新する。この際、更新対象のルールとそのルール以降に登録されたルールのみを参照して、セッション情報を評価する。これにより、パケットフィルタリングテーブルに登録された全てのルールを参照して、セッション情報を評価する必要がないので、セッション情報テーブルを短時間で更新することができる。
また、本発明に係るネットワーク機器1は、パケットフィルタリングテーブルが更新されると、セッション情報を評価して、セッション情報テーブルを更新する。セッション情報の評価は、更新後のパケットフィルタリングルールに基づいて、セッション情報を対応するルールに関連付ける。これにより、セッション情報テーブルに登録されたセッション情報は、更新後のパケットフィルタリングテーブルに登録されたルールに対応するのであれば、破棄されずそのまま登録される。このため、ネットワーク機器1は、確立しているセッションを維持したまま、パケットフィルタリング処理を行うことができる。
ネットワーク機器を介してLANとWANが接続された環境を示す図である。 ネットワーク機器のブロック図である。 パケットフィルタリングテーブルの例を示す図である。 セッション情報テーブルの例を示す図である。 図3に示すパケットフィルタリングテーブルから一部のルールを抜粋した例を示す図である。 図4に示すセッション情報から一部のセッションを抜粋した例を示す図である。 ルールの追加時に発生するセッション情報の評価処理の流れを示すフローチャートである。 ルールの削除時に発生するセッション情報の評価処理の流れを示すフローチャートである。 ルールの変更時に発生するセッション情報の評価処理の流れを示すフローチャートである。 ルールの順序入れ替え時に発生するセッション情報の評価処理の流れを示すフローチャートである。 パケットフィルタリングテーブルの切り替え時に発生するセッション情報の評価処理の流れを示すフローチャートである。
符号の説明
1−ネットワーク機器,2−クライアント装置,3−ネットワーク,4(4a,4b)−通信装置,10−CPU,11−フラッシュメモリ,12−RAM,13−レイヤ2スイッチチップ,14−LAN側ポート,15−PHYチップ,16−WAN側ポート

Claims (6)

  1. 複数のネットワークに接続されたネットワーク機器であって、
    パケットの属性を判定する判定条件と、この判定条件に合致したパケットに対して実行する動作を指定する動作指定情報とを含むフィルタリングルールを、その実行に際して優先順位の高いものから順に記憶するルール記憶部と、
    ネットワーク機器を介してセッションが確立した時のセッション情報を、該セッション情報に対応するフィルタリングルールの識別番号と関連付けて記憶するセッション記憶部と、
    前記ルール記憶部に記憶されたフィルタリングルールが更新されると、前記セッション記憶部に記憶されたセッション情報に対して、前記ルール記憶部に記憶された複数のフィルタリングルールが対応するか否か評価する評価手段と、
    前記評価手段の評価結果に基づいて、前記セッション記憶部に記憶されたセッション情報とフィルタリングルールの識別番号との関連付けを更新する更新手段と、を備え、
    前記評価手段は、更新されたフィルタリングルール、または、該更新されたフィルタリングルールより優先順位が低いフィルタリングルールの識別番号に関連付けられたセッション情報に対して評価するネットワーク機器。
  2. 前記評価手段は、前記ルール記憶部にフィルタリングルールが追加されると、追加されたフィルタリングルールより優先順位が低いフィルタリングルールの識別番号に関連付けられたセッション情報に対して、追加されたフィルタリングルールが対応するか否か評価し、
    前記更新手段は、追加されたフィルタリングルールが対応するセッション情報を、追加されたフィルタリングルールの識別番号と関連付けるように更新する請求項1に記載のネットワーク機器。
  3. 前記評価手段は、前記ルール記憶部からフィルタリングルールが削除されると、削除されたフィルタリングルールの識別番号に関連付けられたセッション情報に対して、削除されたフィルタリングルールより優先順位の低いフィルタリングルールが対応するか否か評価し、
    前記更新手段は、削除されたフィルタリングルールの識別番号に関連付けられたセッション情報を、削除後に残るフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新する請求項1に記載のネットワーク機器。
  4. 前記評価手段は、前記ルール記憶部のフィルタリングルールが変更されると、変更前のフィルタリングルールの識別番号に関連付けられたセッション情報に対して、変更後のフィルタリングルール及び変更後のフィルタリングルールより優先順位の低いフィルタリングルールが対応するか否か評価し、
    前記更新手段は、変更前のフィルタリングルールの識別番号に対応付けられたセッション情報を、変更後に存在するフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新する請求項1に記載のネットワーク機器。
  5. 前記評価手段は、前記ルール記憶部のフィルタリングルールの順序を入れ替えると、入れ替えたフィルタリングルールの識別番号に関連付けられたセッション情報に対して、入れ替えたフィルタリングルールより優先順位の低い、且つ、入れ替え後に入れ替えたフィルタリングルールより優先順位の高いフィルタリングルールが対応するか否か評価し、
    前記更新手段は、入れ替えたフィルタリングルールの識別番号に関連付けられたセッション情報を、入れ替え後のフィルタリングルールの内で対応する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新する請求項1に記載のネットワーク機器。
  6. 前記評価手段は、前記ルール記憶部を切り替えると、切り替え前のフィルタリングルールに関連付けられたセッション情報に対して、切り替え後のフィルタリングルールから、切り替え前に対応するフィルタリングルールより優先度が高いフィルタリングルールを除いて、対応するか否かを評価し、
    前記更新手段は、該セッション情報を、該当する最も優先順位が高いフィルタリングルールの識別番号に関連付けるように更新する請求項1のネットワーク機器。
JP2007200541A 2007-08-01 2007-08-01 ネットワーク機器 Active JP4900119B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007200541A JP4900119B2 (ja) 2007-08-01 2007-08-01 ネットワーク機器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007200541A JP4900119B2 (ja) 2007-08-01 2007-08-01 ネットワーク機器

Publications (2)

Publication Number Publication Date
JP2009038555A JP2009038555A (ja) 2009-02-19
JP4900119B2 true JP4900119B2 (ja) 2012-03-21

Family

ID=40440095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007200541A Active JP4900119B2 (ja) 2007-08-01 2007-08-01 ネットワーク機器

Country Status (1)

Country Link
JP (1) JP4900119B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580216B (zh) * 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的系统和方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6173364B1 (en) * 1997-01-15 2001-01-09 At&T Corp. Session cache and rule caching method for a dynamic filter
JPH10224409A (ja) * 1997-02-07 1998-08-21 Oki Electric Ind Co Ltd 通信システム
JP3403971B2 (ja) * 1999-06-02 2003-05-06 富士通株式会社 パケット転送装置
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking

Also Published As

Publication number Publication date
JP2009038555A (ja) 2009-02-19

Similar Documents

Publication Publication Date Title
US11444868B2 (en) Systems and methods for software defined networking service function chaining
US10069933B2 (en) System and method for creating virtual interfaces based on network characteristics
US9215237B2 (en) Communication system, control device, communication method, and program
US8874789B1 (en) Application based routing arrangements and method thereof
EP3021538A1 (en) Message transmission method, router, and service switch
JP6308601B2 (ja) パケット処理方法およびデバイス
US20110069706A1 (en) Techniques for next-hop optimization
US9635119B2 (en) Communication flow control system, communication flow control method, and communication flow processing program
JP2007519375A (ja) ピアツーピア・ネットワーク通信の改善方法
US10069648B2 (en) Communication system, control apparatus, communication control method and program
CN110381025B (zh) 一种软件定义防火墙系统的实现方法
KR102585874B1 (ko) Sdn네트워크에서 라우팅 제어 장치 및 방법
JPWO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
CN102265563B (zh) 识别通信网络中的业务流的方法和设备
JP4900119B2 (ja) ネットワーク機器
US10735330B2 (en) Service application with learning capability
CA2595438C (en) Method for improving peer to peer network communication
KR20130093734A (ko) 로드 밸런싱 장치 및 그것의 로드 밸런싱 방법
US20150263953A1 (en) Communication node, control apparatus, communication system, packet processing method and program
CN115842671A (zh) 一种规则处理方法、设备和存储介质
US20150381775A1 (en) Communication system, communication method, control apparatus, control apparatus control method, and program
JP2016178530A (ja) 通信システム、通信端末、通信方法、プログラム
KR20110037860A (ko) 플로우 기반 네트워크 장치에서의 포워딩 정보 및 QoS 정보 제공 방법
JP2017085369A (ja) ネットワークコントローラ及びネットワークシステム
CN112956163B (zh) 通信装置以及通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111206

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111219

R150 Certificate of patent or registration of utility model

Ref document number: 4900119

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150113

Year of fee payment: 3