JP4985246B2 - データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム - Google Patents

データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム Download PDF

Info

Publication number
JP4985246B2
JP4985246B2 JP2007229490A JP2007229490A JP4985246B2 JP 4985246 B2 JP4985246 B2 JP 4985246B2 JP 2007229490 A JP2007229490 A JP 2007229490A JP 2007229490 A JP2007229490 A JP 2007229490A JP 4985246 B2 JP4985246 B2 JP 4985246B2
Authority
JP
Japan
Prior art keywords
determination result
rule
security function
relay
communication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007229490A
Other languages
English (en)
Other versions
JP2009065294A (ja
Inventor
智仁 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007229490A priority Critical patent/JP4985246B2/ja
Priority to US12/230,536 priority patent/US8151340B2/en
Publication of JP2009065294A publication Critical patent/JP2009065294A/ja
Application granted granted Critical
Publication of JP4985246B2 publication Critical patent/JP4985246B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、複数のセキュリティ機能を併せ持ち、入力された通信データに対して、複数のセキュリティ機能ごとに定められた所定のルールに基づいて複数のセキュリティ機能を順次実行して通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラムに関する。
従来、コンピュータネットワークにおけるセキュリティ機能として、IP(Internet Protocol)アドレスに基づくアクセス制御を行うもの、特定のコンテンツへのアクセスを禁止するもの、ウイルスを検出するものなどがあり、それぞれについて技術の考案がなされている。例えば、特許文献1では、セキュリティ機能の一つであるアクセス制御を行うファイアウォールに関する技術が開示されている。
上記したような各種セキュリティ機能は、それぞれ個別の装置によって実現することができるが、近年、単一の装置内に複数のセキュリティ機能を併せ持ったデータ中継装置が登場してきている。
複数のセキュリティ機能を併せ持ったデータ中継装置を使用すれば、一つのセキュリティ機能しか持たない装置を同効果が期待できるように複数組み合わせて使用する場合と比較して、価格や管理の面で多くの利点がある。
特開2003−273936号公報
ところで、複数のセキュリティ機能を併せ持ったデータ中継装置は、各セキュリティ機能を順次実行してデータの中継を制御している。
具体的に例を挙げて説明すると、ファイアウォールおよびアンチウイルスを併せ持ったデータ中継装置は、データが入力されると、当該データに対してまずファイアウォールを実行し、次にアンチウイルスを実行する。
しかし、上記したデータ中継装置は、2番目のアンチウイルスによって、ある送信元から送信されたデータにセキュリティ上の問題があり、データの中継を拒否した場合であっても、それ以降、同送信元から送信されたデータが入力されると、同様に、当該データに対して1番目のファイアウォールを実行し、2番目のアンチウイルスを実行する。
そして、データ中継装置は、2番目のアンチウイルスによって、データにセキュリティ上の問題があればデータの中継を拒否するが、当該データ中継装置による1番目のファイアウォールの実行について考えると、結果的には無駄な処理といえる。このような無駄な処理の発生は、データ中継装置が持つセキュリティ機能が増えるほど顕著になる。つまり、データ中継装置が持つセキュリティ機能が増えれば増えるほど、機器にかかる負荷は大きくなるという課題がある。さらに、複数のセキュリティ機能を全て実行するように設定した際にはスループットが大きく低下する場合もある。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、複数のセキュリティ機能を併せ持ったデータ中継装置にかかる負荷を軽減させることが可能な管理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置としてのコンピュータに実行され、前記複数のセキュリティ機能の動作を管理する管理プログラムであって、前記通信データの中継可否の判定結果を取得する判定結果取得手順と、前記判定結果取得手順によって取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更手順と、をデータ中継装置としてのコンピュータに実行させることを特徴とする。
また、本発明は、上記の発明において、前記ルール変更手順は、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう前記所定のセキュリティ機能のルールを変更することを特徴とする。
また、本発明は、上記の発明において、前記判定結果取得手順によって取得された判定結果を蓄積する判定結果蓄積手順と、前記判定結果蓄積手順によって蓄積された判定結果が所定の条件を満たす場合に、前記ルール変更手順に対してルールの変更を許可するルール変更許可手順と、をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする。
また、本発明は、上記の発明において、前記ルール変更手順は、ルール変更時に、当該変更したルールに対して有効期間を設定し、前記有効期間が経過した場合に、前記ルールの変更を取り消すルール変更取り消し手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする。
また、本発明は、上記の発明において、前記ルール変更手順は、ルール変更時に、当該変更したルールを適用する時刻条件を設定し、時刻情報に基づいて、前記変更したルールの適用可否を制御する適用制御手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする。
また、本発明は、複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置であって、前記通信データの中継可否の判定結果を取得する判定結果取得手段と、前記判定結果取得手段によって取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更手段と、を備えたことを特徴とする。
また、本発明は、複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継方法であって、前記通信データの中継可否の判定結果を取得する判定結果取得工程と、前記判定結果取得工程において取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更工程と、を含んだことを特徴とする。
本発明によれば、通信データの中継可否の判定結果を取得し、当該取得した判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するので、次回、同送信元から送信された通信データを、より先行するセキュリティ機能を実行することによって中継不可と判定し、後続のセキュリティ機能の実行を中止する。こうすることによって、データ中継装置にかかる負荷を軽減することが可能となる。
本発明によれば、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう所定のセキュリティ機能のルールを変更するので、セキュリティ上の問題がないとみなした通信データに対するセキュリティ機能の実行を減らし、データ中継装置にかかる負荷をさらに軽減することが可能となる。
本発明によれば、判定結果を蓄積し、当該蓄積した判定結果が所定の条件を満たす場合に、ルールの変更を許可する。こうすることによって、ルールの変更が、セキュリティ機能の実行による判定結果のみに基づくものではなくなり、データ中継装置を柔軟に運用することが可能となる。
本発明によれば、ルール変更時に、当該変更したルールに対して有効期間を設定し、有効期間が経過した場合に、ルールの変更を取り消す。こうすることによって、ルールの変更を恒久的にしておくことが望ましくない場合などにも対処でき、データ中継装置を柔軟に運用することが可能となる。
本発明によれば、ルール変更時に、当該変更したルールを適用する時刻条件を設定し、時刻情報に基づいて、変更したルールの適用可否を制御する。こうすることによって、1日の時間帯による業務状況などにあわせてデータ中継装置の動作を制御したい場合などにも対処でき、データ中継装置を柔軟に運用することが可能となる。
以下に添付図面を参照して、この発明に係るパケット中継装置の好適な実施の形態を詳細に説明する。
[実施例1に係るパケット中継装置の概要および特徴]
まず、図1を用いて、パケット中継装置の概要および特徴を説明する。図1は、パケット中継装置の概要および特徴を説明するための図である。
パケット中継装置の概要について説明すると、図1に示すように、パケット中継装置は、各種セキュリティ機能を併せ持っており、パケットが入力されると、当該パケットに対して矢印で示す順に各セキュリティ機能を実行することで、パケットの中継可否を判定する。なお、パケット中継装置は、セキュリティ機能ごとに定められた所定のルールに基づいて各セキュリティ機能を実行する。
そして、パケット中継装置は、セキュリティ機能の実行によりパケットにセキュリティ上の問題の有無を判断し、セキュリティ上の問題があれば中継不可と判定し、パケットを廃棄、または、送信元に返却するなどして中継を拒否し、未実行の後続のセキュリティ機能については実行せず、次のパケットが入力されると、当該パケットに対して同様に矢印で示す順に各セキュリティ機能を実行する。
一方、パケット中継装置は、全てのセキュリティ機能を実行した結果、パケットにセキュリティ上の問題がなければ中継可と判定し、予め保持するパケットの中継先に係る経路情報を参照するなどして次の中継先へパケットを送信する。以上がパケット中継装置の概要である。
このパケット中継装置の特徴について説明する。図1に示すように、パケット中継装置は、例えば、ある送信元(1.1.1.1)から送信されたパケットに対して3番目のセキュリティ機能を実行した結果、パケットにセキュリティ上の問題があり、当該パケットの中継を拒否したとする。
ここで、パケット中継装置は、1番目または2番目のセキュリティ機能に定められたルールを、「送信元(1.1.1.1)からのパケットについてはセキュリティ上の問題あり」などと、当該パケットを中継不可と判定するように変更する。こうすることによって、次回、同送信元(1.1.1.1)から送信されたパケットを、より先行するセキュリティ機能の実行によってセキュリティ上の問題があると判断して中継不可と判定し、後続のセキュリティ機能を実行せず(例えば、1番目のセキュリティ機能の実行によってセキュリティ上の問題があると判断して中継不可と判定してパケットを廃棄した場合には、2〜3番目のセキュリティ機能を実行しない)、データ中継装置にかかる負荷を軽減するようにしている。以上がパケット中継装置の特徴である。
[パケット中継装置の構成]
図2を用いて、実施例1に係るパケット中継装置の構成を説明する。同図に示すように、パケット中継装置10は、特に本発明に密接に関連するものとしては、アクセス制御ルール保持部20と、ファイアウォール処理部30と、アンチウイルス処理部40と、Webコンテンツフィルタリング処理部50と、管理部60と、を備える。なお、図2は、実施例1に係るパケット中継装置の構成を示すブロック図である。
アクセス制御ルール保持部20は、後述するファイアウォール処理部30がセキュリティ機能を実行する際に用いるテーブルを保持する。具体的には、図3に示すように、アクセス制御ルール保持部20は、パケットのヘッダに含まれる送信元アドレスと、送信先アドレスと、プロトコルと、パケットに対して行う処理を指定する処理内容とを対応付けて記憶する。例えば、アクセス制御ルール保持部20は、送信元アドレス「1.1.1.1」と、送信先アドレス「2.2.2.2」と、プロトコル「HTTP」と、処理内容「廃棄」とを対応付けて記憶する。なお、図3は、アクセス制御ルール保持部20が記憶する情報の例を示す図である。
ファイアウォール処理部30は、パケット中継装置10に入力されたパケットに対して最初にセキュリティ機能を実行する。具体的には、ファイアウォール処理部30は、パケットが入力されると、当該パケットのヘッダに含まれる送信元アドレス、送信先アドレスおよびプロトコルを読み出し、当該対応関係をアクセス制御ルール保持部20より検索する。そして、ファイアウォール処理部30は、アクセス制御ルール保持部20に当該対応関係がある場合には、当該パケットを中継不可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、中継不可の判定結果を示す判定結果情報「不可」とを管理部60内の判定結果取得部61に出力した後、当該対応関係に対応付けられた処理内容(パケットの廃棄または送信元への返却)を行う。なお、判定結果情報とは、ファイアウォール処理部30、アンチウイルス処理部40またはWebコンテンツフィルタリング処理部50が中継可否の判定後に生成する中継不可の判定結果または中継可の判定結果のいずれかを示す情報であり、中継不可の判定結果を示す情報を判定結果情報「不可」、中継可の判定結果を示す情報を判定結果情報「可」としている。
一方、ファイアウォール処理部30は、当該対応関係がアクセス制御ルール保持部20にない場合には、当該パケットを中継可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、中継可の判定結果を示す判定結果情報「可」とを管理部60内の判定結果取得部61に出力した後、パケットをアンチウイルス処理部40に出力する。
アンチウイルス処理部40は、パケット中継装置10に入力されたパケットに対して2番目にセキュリティ機能を実行する。具体的には、アンチウイルス処理部40は、ファイアウォール処理部30からパケットを受け取ると、ヘッダを除くデータ部分にウイルスとみなされる情報が含まれるか否かを、パターンマッチングなどを行って判断する。
そして、アンチウイルス処理部40は、ウイルスとみなされる情報を検出すると、当該パケットを中継不可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、判定結果情報「不可」とを管理部60内の判定結果取得部61に出力した後、パケットを廃棄する。
一方、アンチウイルス処理部40は、ウイルスとみなされる情報を検出しない場合には、当該パケットを中継可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、判定結果情報「可」とを管理部60内の判定結果取得部61に出力した後、当該パケットをWebコンテンツフィルタリング処理部50に出力する。
Webコンテンツフィルタリング処理部50は、パケット中継装置10に入力されたパケットに対して3番目にセキュリティ機能を実行する。具体的には、Webコンテンツフィルタリング処理部50は、アンチウイルス処理部40からパケットを受け取ると、ヘッダを除くデータ部分に特定の語句を示す情報が含まれるか否かを、パターンマッチングなどを行って判断する。
そして、Webコンテンツフィルタリング処理部50は、特定の語句を示す情報を検出すると、当該パケットを中継不可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、判定結果情報「不可」とを管理部60内の判定結果取得部61に出力した後、パケットを廃棄する。
一方、Webコンテンツフィルタリング処理部50は、特定の語句を示す情報を検出しない場合には、当該パケットを中継可と判定し、ヘッダから取得した情報(送信元アドレス、送信先アドレスおよびプロトコル)と、判定結果情報「可」とを管理部60内の判定結果取得部61に出力した後、当該パケットを次の中継先へ送信する。
管理部60は、上述したファイアウォール処理部30、アンチウイルス処理部40およびWebコンテンツフィルタリング処理部50の処理動作を管理する制御部であり、特に本発明に密接に関連するものとしては、判定結果取得部61およびアクセス制御ルール変更部62を備える。なお、判定結果取得部61は、特許請求の範囲に記載の「判定結果取得手順」に対応する処理を実行し、アクセス制御ルール変更部62は、同じく「ルール変更手順」に対応する処理を実行する。
判定結果取得部61は、パケットの中継可否の判定結果を取得する。そして、判定結果取得部61は、アンチウイルス処理部40またはWebコンテンツフィルタリング処理部50から、送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報「不可」を受け取った場合には、アクセス制御ルール変更部62に対して送信元アドレス、送信先アドレス、プロトコルおよび判定結果情報「不可」を出力する。
アクセス制御ルール変更部62は、判定結果取得部61によって取得された判定結果に基づいて、所定のパケットを中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該パケットが中継不可と判定されるように変更する。具体的には、アクセス制御ルール変更部62は、判定結果取得部61から送信元アドレス、送信先アドレスおよびプロトコルとともに判定結果情報「不可」を受け取ると、送信元アドレス、送信先アドレスおよびプロトコルの対応関係に対して処理内容「廃棄」をさらに対応付けてアクセス制御ルール保持部20に書き込む。
[パケット中継装置の処理]
次に、パケット中継装置10の処理動作について図4のフローチャートを参照して説明する。同図に示した処理フローは、パケット中継装置10の動作中に繰り返し実行される処理である。なお、図4は、パケット中継装置10の処理の流れを示すフローチャートである。
同図に示すように、パケット中継装置10は、パケットが入力されると(ステップS110肯定)、ファイアウォール処理部30によるパケットの中継可否の判定を行い(ステップS120)、中継不可と判定した場合には(ステップS130肯定)、パケットの中継を拒否(パケットの廃棄または送信元への返却)する(ステップS140)。
ステップS130に戻って、パケット中継装置10は、ファイアウォール処理部30によるパケットの中継可否の判定で、中継可と判定した場合には(ステップS130否定)、アンチウイルス処理部40へパケットを出力し(ステップS150)、アンチウイルス処理部40によるパケットの中継可否の判定を行う(ステップS160)。
そして、パケット中継装置10は、アンチウイルス処理部40によるパケットの中継可否の判定で、中継不可と判定した場合には(ステップS170肯定)、ヘッダから所定の情報(送信元アドレス、送信先アドレスおよびプロトコル)を取得し(ステップS180)、かかる情報の対応関係に対して処理内容「廃棄」をさらに対応付けた対応関係をアクセス制御ルール保持部20に書き込み(ステップS190)、パケットを廃棄する(ステップS200)。
ステップS170に戻って、パケット中継装置10は、アンチウイルス処理部40によるパケットの中継可否の判定で、中継可と判定した場合には(ステップS170否定)、Webコンテンツフィルタリング処理部50へパケットを出力し(ステップS210)、Webコンテンツフィルタリング処理部50によるパケットの中継可否の判定を行う(ステップS220)。
そして、パケット中継装置10は、Webコンテンツフィルタリング処理部50によるパケットの中継可否の判定で、中継不可と判定した場合には(ステップS230肯定)、上述したステップS180〜ステップS200までの処理と同様、ヘッダから所定の情報を取得し、かかる情報の対応関係に対して処理内容「廃棄」をさらに対応付けた対応関係をアクセス制御ルール保持部20に書き込み、パケットを廃棄する(ステップS180〜ステップS200)。
一方、パケット中継装置10は、Webコンテンツフィルタリング処理部50によるパケットの中継可否の判定で、中継可と判定した場合には(ステップS230否定)、次の中継先へパケットを送信し(ステップS240)、処理を終了する。
[実施例1の効果]
上記したように、実施例1によれば、パケットの中継可否の判定結果を取得し、当該取得した判定結果に基づいて、中継不可と判定した処理部より前段に位置するファイアウォール処理部が参照するアクセス制御ルール保持部を、当該パケットが中継不可と判定されるように変更するので、次回、同送信元から送信されたパケットを、より先行するファイアウォール処理部を実行することによって中継不可と判定し、後続の処理部を実行しないので、パケット中継装置にかかる負荷を軽減することが可能となる。
実施例2では、中継可否の判定を行う処理部が全て中継可と判定したパケットについては、今後もセキュリティ上の問題がないとみなし、次回当該パケットが入力された場合には、所定の処理部を実行した段階で後続の処理部を実行することなくパケットの中継を決定するものとした。これは、パケットに対する処理を減らすことでパケット中継装置にかかる負荷をさらに軽減するためである。
[実施例2に係るパケット中継装置の構成]
図5を用いて、実施例2に係るパケット中継装置の構成を説明する。なお、図5は、実施例2に係るパケット中継装置の構成を示すブロック図である。
図5に示すように、パケット中継装置10は、実施例1と同様、アクセス制御ルール保持部20と、ファイアウォール処理部30と、アンチウイルス処理部40と、Webコンテンツフィルタリング処理部50と、管理部60と、を備える。実施例1と異なる点としては、パケット中継装置10は、管理部60のアクセス制御ルール変更部62内に中継決定ルール登録部62aを備える。なお、実施例1と同じ処理動作をし、同じ機能を有する部については説明を省略し、以下では、判定結果取得部61、アクセス制御ルール変更部62、アクセス制御ルール保持部20およびファイアウォール処理部30についてのみ説明を行う。
判定結果取得部61は、パケットに対して最後に処理を行うWebコンテンツフィルタリング処理部50から送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報「可」を受け取ると、アクセス制御ルール変更部62に対して送信元アドレス、送信先アドレス、プロトコルおよび判定結果情報「可」を出力する。
アクセス制御ルール変更部62は、ファイアウォール処理部30、アンチウイルス処理部40およびWebコンテンツフィルタリング処理部50による処理を全て実行して中継が決定されたパケットがあった場合に、当該パケットに対してファイアウォール処理部30による処理を実行した段階で後続の処理部による処理を実行することなく中継を決定するようアクセス制御ルール保持部20を変更する。
具体的には、アクセス制御ルール変更部62は、判定結果取得部61から送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報「可」を受け取ると、中継決定ルール登録部62aによって送信元アドレス、送信先アドレスおよびプロトコルの対応関係に対して処理内容「中継」をさらに対応付けてアクセス制御ルール保持部20に書き込む。
以上の各部の処理により、アクセス制御ルール保持部20は、実施例1と異なる点としては、例えば、図6に示すように、送信元アドレス「12.12.12.12」と、送信先アドレス「13.13.13.13」と、プロトコル「HTTP」と、処理内容「中継」とを対応付けた対応関係を記憶する。なお、図6は、アクセス制御ルール保持部20が記憶する情報の例を示す図である。
ファイアウォール処理部30は、パケットが入力されると、当該パケットのヘッダに含まれる送信元アドレス、送信先アドレスおよびプロトコルを読み出し、当該対応関係をアクセス制御ルール保持部20から検索する。そして、ファイアウォール処理部30は、実施例1と異なる点としては、アクセス制御ルール保持部20に当該対応関係があり、さらに、当該対応関係に対応付けられた処理内容が「中継」であった場合には、アンチウイルス処理部40およびWebコンテンツフィルタリング処理部50を介さずにパケットを次の中継先へ送信する。
[実施例2の効果]
上記したように、実施例2によれば、中継可否の判定を行う処理部を全て実行して中継が決定されたパケットがあった場合に、当該パケットに対するファイアウォール処理部30の処理段階で、後続のアンチウイルス処理部40およびWebコンテンツフィルタリング処理部50の処理を実行することなく中継を決定するようアクセス制御ルール保持部20を変更する。こうすることによって、パケットに対する処理を減らし、パケット中継装置にかかる負荷をさらに軽減することが可能となる。
実施例3では、2番目以降で中継可否の判定を行う処理部がパケットに対して1回目に中継不可と判定した際にアクセス制御ルール保持部20を変更せず、以後、当該パケットに対してさらに所定の回数だけ中継不可と判定した場合に変更するものとした。これは、中継可否の判定を行う処理部の処理結果のみに従って一様にアクセス制御ルール保持部20を変更すると、運用上の問題(例えば、ウイルスの誤検出や、ウイルスに感染させようと目論む犯人による一時的な送信元アドレスの使用などに起因して、アクセス制御ルール保持部20が不必要に変更され、本来中継すべきパケットも廃棄してしまうことなど)がある場合に対処するためである。
[実施例3に係るパケット中継装置の構成]
図7を用いて、実施例3に係るパケット中継装置の構成を説明する。なお、図7は、実施例3に係るパケット中継装置の構成を示すブロック図である。
図7に示すように、パケット中継装置10は、実施例1と同様、アクセス制御ルール保持部20と、ファイアウォール処理部30と、アンチウイルス処理部40と、Webコンテンツフィルタリング処理部50と、管理部60と、を備える。実施例1と異なる点としては、管理部60は、判定結果記憶部63と、中継不可判定回数記憶部64と、ルール変更許可部65とをさらに備え、判定結果取得部61内に判定結果蓄積部61a、ルール変更許可部65内に条件保持部65aを備える。なお、ルール変更許可部65は、特許請求の範囲に記載の「ルール変更許可手順」に対応する処理を実行する。なお、実施例1と同じ処理動作をし、同じ機能を有する部については説明を省略し、以下では、判定結果取得部61、判定結果蓄積部61a、アクセス制御ルール変更部62、判定結果記憶部63、中継不可判定回数記憶部64、ルール変更許可部65および条件保持部65aについて説明を行う。
判定結果記憶部63は、パケットに対するファイアウォール処理部30、アンチウイルス処理部40およびWebコンテンツフィルタリング処理部50の判定結果を記憶する。具体的には、図8に示すように、判定結果記憶部63は、送信元アドレスと、送信先アドレスと、プロトコルと、パケットに対する中継可否の判定を行う処理部を一意に識別する判定元識別情報と、判定結果が中継不可または中継可のいずれかであることを示す判定結果情報とを対応付けて記憶する。例えば、図8に示すように、判定結果記憶部63は、送信元アドレス「1.1.1.1」と、送信先アドレス「2.2.2.2」と、プロトコル「HTTP」と、判定元識別情報「FW」と、判定結果情報「可」とを対応付けて記憶する。なお、図8は、判定結果記憶部63が記憶する情報の例を示す図であり、FW、AV、CFは、それぞれ、ファイアウォール処理部30、アンチウイルス処理部40、Webコンテンツフィルタリング処理部50に対応する。
中継不可判定回数記憶部64は、中継不可と判定された回数をパケットごとに記憶する。具体的には、図9に示すように、中継不可判定回数記憶部64は、送信元アドレスと、送信先アドレスと、プロトコルと、判定元識別情報と、判定結果情報と、中継不可と判定された回数を示す回数情報とを対応付けて記憶する。例えば、図9に示すように、中継不可判定回数記憶部64は、送信元アドレス「1.1.1.1」と、送信先アドレス「2.2.2.2」と、プロトコル「HTTP」と、判定元識別情報「CF」と、判定結果情報「不可」と、回数情報「3」とを対応付けて記憶する。なお、図9は、中継不可判定回数記憶部64が記憶する情報の例を示す図である。
判定結果取得部61は、ファイアウォール処理部30、アンチウイルス処理部40およびWebコンテンツフィルタリング処理部50から、送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報を受け取ると、判定結果蓄積部61aによって送信元アドレス、送信先アドレス、プロトコルおよび判定結果情報を対応付け、受け取り元の処理部を識別して判定元識別情報をさらに対応付けて判定結果記憶部63に格納する。なお、判定結果取得部61は、実施例1と異なり、アンチウイルス処理部40またはWebコンテンツフィルタリング処理部50から、送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報「不可」を受け取っても、アクセス制御ルール変更部62に対して送信元アドレス、送信先アドレス、プロトコルおよび判定結果情報「不可」を出力しない。
ルール変更許可部65は、判定結果蓄積部61aによって判定結果記憶部63に蓄積された判定結果が所定の条件を満たす場合に、アクセス制御ルール変更部62に対してルールの変更を許可する。
具体的には、ルール変更許可部65は、判定結果情報「不可」が判定結果記憶部63に格納されるたびに、判定結果記憶部63によって記憶された情報に基づいて、当該中継不可と判定されたパケットが現時点で中継不可と判定された回数を算出する。
そして、ルール変更許可部65は、現に判定結果記憶部63に格納された送信元アドレス、送信先アドレス、プロトコル、判定元識別情報および判定結果情報「不可」の対応関係に対して、さらに、算出した回数を回数情報として対応付けて中継不可判定回数記憶部64に格納する。
そして、ルール変更許可部65は、条件保持部65aに予め保持する所定の条件(例えば「中継不可と判定された回数が5回以上」という条件)に基づいて、回数情報が示す回数が当該所定の条件を満たすか否かを判断する。
そして、ルール変更許可部65は、かかる回数が当該所定の条件を満たす場合には、現に判定結果記憶部63に格納した送信元アドレス、送信先アドレス、プロトコルおよび判定結果情報「不可」を読み出し、アクセス制御ルール変更部62に出力する。
アクセス制御ルール変更部62は、ルール変更許可部65から送信元アドレス、送信先アドレスおよびプロトコルとともに判定結果情報「不可」を受け取ると、実施例1と同様、送信元アドレス、送信先アドレスおよびプロトコルの対応関係に対して処理内容「廃棄」をさらに対応付けてアクセス制御ルール保持部20に書き込む。
[実施例3の効果]
上記したように、実施例3によれば、判定結果を蓄積し、当該蓄積した判定結果が所定の条件を満たす場合に、アクセス制御ルール保持部20の変更を行う。こうすることによって、パケット中継装置の柔軟な運用が可能となる。
実施例4では、アクセス制御ルール保持部20の変更が常時持続するものではなく、有効期間や適用期間を設定して、アクセス制御ルール保持部20の変更を一時的なものや限定的なものとした。これは、実施例3でも述べたように、例えば、ウイルスの誤検出や、ウイルスに感染させようと目論む犯人による一時的な送信元アドレスの使用などに起因して、アクセス制御ルール保持部20が不必要に変更された場合など、当該アクセス制御ルール保持部20の変更を恒久的にしておくことが望ましくない場合や、1日の時間帯による業務状況などにあわせてパケット中継装置の動作を制御したい場合に対処するためである。
[実施例4に係るパケット中継装置の構成]
図10を用いて、実施例4に係るパケット中継装置の構成を説明する。なお、図10は、実施例4に係るパケット中継装置の構成を示すブロック図である。
図10に示すように、パケット中継装置10は、実施例1と同様、アクセス制御ルール保持部20と、ファイアウォール処理部30と、アンチウイルス処理部40と、Webコンテンツフィルタリング処理部50と、管理部60と、を備える。実施例1と異なる点としては、管理部60のアクセス制御ルール変更部62は、その内部にルール変更取り消し部62bと、ルール適用制御部62cと、制御情報保持部62dとを備える。なお、ルール変更取り消し部62bは、特許請求の範囲に記載の「ルール変更取り消し手順」に対応する処理を実行し、ルール適用制御部62cは、同じく「適用制御手順」に対応する処理を実行する。なお、実施例1と同じ処理動作をし、同じ機能を有する部については説明を省略し、以下では、アクセス制御ルール変更部62、ルール変更取り消し部62b、ルール適用制御部62cおよび制御情報保持部62dについてのみ説明を行う。
制御情報保持部62dは、後述するルール変更取り消し部62bおよびルール適用制御部62cによって参照される情報を記憶する。具体的には、図11に示すように、制御情報保持部62dは、送信元アドレスと、送信先アドレスと、プロトコルと、アクセス制御ルール保持部20の変更を1日のなかで維持する時間帯を示す適用時刻情報と、アクセス制御ルール保持部20の変更を最終的に取り消す時を示す有効期限情報とを対応付けて記憶する。例えば、制御情報保持部62dは、送信元アドレス「4.4.4.4」と、送信先アドレス「5.5.5.5」と、プロトコル「HTTP」と、適用時刻情報「09:00〜17:00(1日のうち午前9時から午後5時までの時間帯)」と、有効期限情報「2007.8.10(2007年8月10日)」とを対応付けて記憶する。
アクセス制御ルール変更部62は、判定結果取得部61から送信元アドレス、送信先アドレスおよびプロトコルとともに判定結果情報「不可」を受け取ると、送信元アドレス、送信先アドレスおよびプロトコルの対応関係に対して、さらに所定の適用時刻情報と、所定の有効期限情報とを対応付けて制御情報保持部62dに格納する。なお、適用時刻情報および有効期限情報については、例えば、判定結果取得部61から判定元識別情報をさらに出力させるなどして送信元アドレス、送信先アドレスおよびプロトコルの対応関係を区別し、処理部ごとに異なる有効期限情報および適用時刻情報を対応付けるようにしてもよい。
ここで、アクセス制御ルール変更部62のルール適用制御部62cによる初回のアクセス制御ルール保持部20への書き込み動作を説明する。アクセス制御ルール変更部62のルール適用制御部62cは、現時刻と制御情報保持部62dに現に格納された適用時刻情報とを比べ、現時刻がアクセス制御ルール保持部20の変更を維持すべき時間帯内である場合には、制御情報保持部62dから送信元アドレス、送信先アドレスおよびプロトコルを読み出し、当該対応関係に対して処理内容「廃棄」をさらに対応付けてアクセス制御ルール保持部20に書き込む。
一方、アクセス制御ルール変更部62のルール適用制御部62cは、現時刻がアクセス制御ルール保持部20の変更を維持すべき時間帯外である場合には、現時刻がアクセス制御ルール保持部20の変更を維持する時間帯の開始時刻になった時点で制御情報保持部62dから送信元アドレス、送信先アドレスおよびプロトコルを読み出し、当該対応関係に対して処理内容「廃棄」をさらに対応付けてアクセス制御ルール保持部20に書き込む。
以上のように初回の書き込みを終えると、ルール適用制御部62cおよびルール変更取り消し部62bは、制御情報保持部62dに格納された適用時刻情報および有効期限情報に基づいて、アクセス制御ルール保持部20の変更が1日のなかの所定の時間帯にだけ維持されるように制御したり、アクセス制御ルール保持部20の変更を最終的に取り消したりする。こうすることによって、例えば、図12に示すように、8月7日午前8時に、ある送信元アドレス、送信先アドレスおよびプロトコルの対応関係に対して適用時刻情報「09:00〜17:00」および有効期限情報「2007.8.10」が対応付けられて制御情報保持部62dに格納された場合には、8月7日、8月8日および8月9日の午前9時から午後5時までの時間帯だけアクセス制御ルール保持部20の変更が維持される。なお、8月10日以降は、アクセス制御ルール保持部20の変更自体行われない。
具体的には、ルール適用制御部62cは、現時刻が、制御情報保持部62dに格納された適用時刻情報が示すアクセス制御ルール保持部20の変更を維持する時間帯の終了時刻になると、当該適用時刻情報に対応する送信元アドレス、送信先アドレスおよびプロトコルを読み出す。そして、ルール適用制御部62cは、アクセス制御ルール保持部20によって記憶された対応関係のうち、送信元アドレス、送信先アドレスおよびプロトコルが当該読み出した対応関係と一致する対応関係を削除する。その後、ルール適用制御部62cは、現時刻が、制御情報保持部62dに格納された適用時刻情報が示すアクセス制御ルール保持部20の変更を維持する時間帯の開始時刻になると、当該適用時刻情報に対応する送信元アドレス、送信先アドレスおよびプロトコルを読み出し、当該対応関係に対して処理内容「廃棄」をさらに対応付けてアクセス制御ルール保持部20に書き込む。なお、ルール適用制御部62cは、以降、同じ処理を繰り返す。
また、ルール変更取り消し部62bは、現時刻が、制御情報保持部62dに格納された有効期限情報が示す時刻になると、制御情報保持部62dから現時刻を示す有効期限情報に対応する送信元アドレス、送信先アドレスおよびプロトコルを読み出すとともに、制御情報保持部62dから当該対応関係を削除する。そして、ルール変更取り消し部62bは、アクセス制御ルール保持部20によって記憶された対応関係のうち、送信元アドレス、送信先アドレスおよびプロトコルが、制御情報保持部62dから読み出した対応関係と一致する対応関係を削除する。
[実施例4の効果]
上記したように、実施例4によれば、ルール変更時に、当該変更したルールに対して有効期間を設定し、有効期間が経過した場合に、ルールの変更を取り消すので、パケット中継装置の柔軟な運用が可能となる。
また、実施例4によれば、ルール変更時に、当該変更したルールを適用する時刻条件を設定し、時刻情報に基づいて、変更したルールの適用可否を制御するので、パケット中継装置の柔軟な運用が可能となる。
実施例5では、パケットの中継が拒否された場合に、所定の送信先にメールを送信するものとした。また、送信されるメールの内容については、ファイアウォール処理部30、アンチウイルス処理部40、もしくはWebコンテンツフィルタリング処理部50いずれの処理によってパケットの中継が拒否されたかでそれぞれ異なるものとし、さらに、アクセス制御ルール保持部20の変更に基づいて、本来の処理部とは別のファイアウォール処理部30によって中継が拒否された場合においても、本来の処理部の処理によってパケットの中継が拒否された場合と同様の内容でメールを送信するものとした。これは、アクセス制御ルール変更部62の変更によって、所定のパケットの中継が、本来とは異なるファイアウォール処理部30の処理によって拒否され、所定の送信先に異なる内容のメールが送信されてしまうことに対処するためである。
[実施例5に係るパケット中継装置の構成]
図13を用いて、実施例5に係るパケット中継装置の構成を説明する。なお、図13は、実施例5に係るパケット中継装置の構成を示すブロック図である。
図13に示すように、パケット中継装置10は、実施例1と同様、アクセス制御ルール保持部20と、ファイアウォール処理部30と、アンチウイルス処理部40と、Webコンテンツフィルタリング処理部50と、管理部60と、を備える。実施例1と異なる点としては、管理部60は、その内部にメール送信部66を備え、メール送信部66内には、メール本文変更部66aと、メール本文保持部66bと、制御情報保持部66cとを備える。なお、メール送信部66は、特許請求の範囲に記載の「中継拒否通知送信手順」に対応する処理を実行し、メール本文変更部66aは、同じく「中継拒否通知内容変更手順」に対応する処理を実行する。なお、実施例1と同じ処理動作をし、同じ機能を有する部については説明を省略し、以下では、判定結果取得部61、メール送信部66、メール本文変更部66a、メール本文保持部66bおよび制御情報保持部66cについてのみ説明を行う。
メール本文保持部66bは、パケットの中継が拒否された際に、パケットのセキュリティ上の問題点とともに中継が拒否されたことを管理者などに知らせる情報を保持する。具体的には、図14に示すように、メール本文保持部66bは、パケットに対する中継可否の判定を行う処理部を一意に識別する判定元識別情報と、所定の送信先に送るメールの本文であるメール本文とを対応付けて保持する。例えば、図14に示すように、メール本文保持部66bは、判定元識別情報「AV」と、メール本文「B(例えば、「ウイルスが検出されたので、アクセスを拒否しました。」など)」とを対応付けて保持する。なお、図14は、メール本文保持部が記憶する情報の例を示す図である。
制御情報保持部66cは、メール本文変更部66aによって用いられる情報を保持する。具体的には、図15に示すように、制御情報保持部66cは、送信元アドレスと、送信先アドレスと、プロトコルと、判定元識別情報とを対応付けて記憶する。例えば、図15に示すように、制御情報保持部66cは、送信元アドレス「4.4.4.4」送信先アドレス「5.5.5.5」と、プロトコル「HTTP」と、判定元識別情報「AV」とを対応付けて記憶する。なお、図15は、制御情報保持部が記憶する情報の例を示す図である。
判定結果取得部61は、ファイアウォール処理部30、アンチウイルス処理部40またはWebコンテンツフィルタリング処理部50から送信元アドレス、送信先アドレスおよびプロトコルとともに、判定結果情報「不可」を受け取ると、メール送信部66に対して、送信元アドレス、送信先アドレスおよびプロトコルを出力するとともに、受け取り元の処理部を識別して判定元識別情報についても出力する。
メール送信部66は、判定結果取得部61によって取得された判定結果に基づいて、中継が拒否されたパケットがあった場合に、いずれの処理部の実行により通信データの中継が拒否されたかを示すメールを所定の送信先に送信する。
具体的には、メール送信部66は、判定結果取得部61から送信元アドレス、送信先アドレス、プロトコルおよび判定元識別情報を受け取ると、メール本文保持部66bを参照し、当該受け取った判定元識別情報に対応するメール本文を読み出す。そして、メール送信部66は、当該読み出したメール本文に基づいて所定の送信先にメールを送信する。なお、メール送信部66は、判定結果取得部61から受け取った判定元識別情報が「AV」または「CF」だった場合には、送信元アドレス、送信先アドレス、プロトコルおよび当該判定元識別情報を対応付けて制御情報保持部66cに格納する。なお、判定元識別情報が「AV」または「CF」であるということは、アクセス制御ルール変更部62によってアクセス制御ルール保持部20が変更されたことを意味する。
ここで、メール送信部66のメール本文変更部66aによる処理を説明する。メール本文変更部66aは、アクセス制御ルール変更部62によって変更されたアクセス制御ルール保持部20に基づいて、本来のアンチウイルス処理部40またはWebコンテンツフィルタリング処理部50とは別のファイアウォール処理部30による処理でパケットの中継が拒否された場合でも、本来の処理部の実行によってパケットの中継が拒否されたことが示されるようにメール本文を変更する。
具体的には、メール本文変更部66aは、判定結果取得部61から送信元アドレス、送信先アドレス、プロトコルおよび判定元識別情報「FW」を受け取ると、制御情報保持部66cを参照し、当該受け取った送信元アドレス、送信先アドレスおよびプロトコルの対応関係を検索する。そして、メール本文変更部66aは、制御情報保持部66cに当該対応関係がある場合には、当該対応関係に対応付けられた判定元識別情報を読み出す。そして、メール本文変更部66aは、メール本文保持部66bを参照し、当該読み出した判定元識別情報に対応するメール本文を読み出した後、当該読み出したメール本文に基づいて所定の送信先にメールを送信する。
[実施例5の効果]
上記したように、実施例5によれば、判定結果に基づいて、中継が拒否されたパケットがあった場合に、ファイアウォール処理部、アンチウイルス処理部またはWebコンテンツフィルタリング処理部のうちいずれの処理部の実行により中継が拒否されたかを示すメールを所定の送信先に送信する。そして、本来の処理部とは別のファイアウォール処理部30を実行することでパケットの中継が拒否された場合でも、本来の処理部の実行によってパケットの中継が拒否されたことを示すメール本文を送信する。こうすることによって、アクセス制御ルール保持部の変更が行われて、パケットに対して中継不可の判定を行った処理部とは異なるファイアウォール処理部が当該パケットに対して中継不可の判定を行うことにより、パケットの中継が拒否された場合においても、本来の処理部の実行によってパケットの中継が拒否されたことを示すメールを管理者などへ通知することが可能となる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)〜(4)にそれぞれ区分けして異なる実施例を説明する。
(1)セキュリティ機能
上記の実施例では、1〜3番目のセキュリティ機能として、それぞれファイアウォール、アンチウイルス、Webコンテンツフィルタリングを例に挙げて説明したが、本発明はこれに限定されるものではなく、パケット中継装置によって実行された場合に、所定のルールに基づいて中継可否の判定を行うものであればいずれのセキュリティ機能であってもよい。また、それにともない、ファイアウォール、アンチウイルス、Webコンテンツフィルタリングを実行する順序を変えてもよい。
(2)ルール変更
上記の実施例では、最前段に位置するセキュリティ機能であるファイアウォール処理部が参照するアクセス制御ルール保持部を変更する場合を説明したが、本発明はこれに限定されるものではなく、中継不可と判定したセキュリティ機能より前段に位置するセキュリティ機能に定められたルールを変更するものであればよい。例えば、あるパケットに対してWebコンテンツフィルタリング処理部を実行することによって中継不可と判定した場合に、アンチウイルス処理部に定められた所定のルールを変更し、次回、同送信元から送信されたパケットに対してアンチウイルス処理部を実行することによって中継不可と判定するようにしても、パケット中継装置にかかる負荷を軽減する効果は十分に得られる。
(3)ルール変更の条件
上記の実施例3では、蓄積した判定結果に基づいて中継不可と判定された回数を算出し、当該算出した回数が所定値以上になったことを条件にアクセス制御ルール保持部を変更する場合を説明したが、本発明はこれに限定されるものではなく、アクセス制御ルール保持部の変更が所定の条件下で行われるものであればよい。例えば、中継不可と判定した時刻が所定の時間帯内であることを条件にアクセス制御ルール保持部を変更するようにしてもよい。
(4)システム構成等
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、判定結果取得部61と、アクセス制御ルール変更部62とを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(付記1)複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置としてのコンピュータに実行され、前記複数のセキュリティ機能の動作を管理する管理プログラムであって、
前記通信データの中継可否の判定結果を取得する判定結果取得手順と、
前記判定結果取得手順によって取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更手順と、
をデータ中継装置としてのコンピュータに実行させることを特徴とする管理プログラム。
(付記2)前記ルール変更手順は、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう前記所定のセキュリティ機能のルールを変更することを特徴とする付記1に記載の管理プログラム。
(付記3)前記判定結果取得手順によって取得された判定結果を蓄積する判定結果蓄積手順と、
前記判定結果蓄積手順によって蓄積された判定結果が所定の条件を満たす場合に、前記ルール変更手順に対してルールの変更を許可するルール変更許可手順と、
をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする付記1または2に記載の管理プログラム。
(付記4)前記ルール変更手順は、ルール変更時に、当該変更したルールに対して有効期間を設定し、
前記有効期間が経過した場合に、前記ルールの変更を取り消すルール変更取り消し手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする付記1、2または3に記載の管理プログラム。
(付記5)前記ルール変更手順は、ルール変更時に、当該変更したルールを適用する時刻条件を設定し、
時刻情報に基づいて、前記変更したルールの適用可否を制御する適用制御手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする付記1〜4のいずれか一つに記載の管理プログラム。
(付記6)前記判定結果取得手順によって取得された判定結果に基づいて、中継が拒否された通信データがあった場合に、いずれのセキュリティ機能の実行により通信データの中継が拒否されたかを示す中継拒否通知を所定の送信先に送信する中継拒否通知送信手順と、
前記ルール変更手順によって変更されたルールに基づいて、本来のセキュリティ機能とは別のセキュリティ機能を実行することで前記通信データの中継が拒否された場合でも、前記本来のセキュリティ機能の実行によって前記通信データの中継が拒否されたことが示されるように前記中継拒否通知を変更する中継拒否通知変更手順と、をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする付記1〜5のいずれか一つに記載の管理プログラム。
(付記7)複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置であって、
前記通信データの中継可否の判定結果を取得する判定結果取得手段と、
前記判定結果取得手段によって取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更手段と、
を備えたことを特徴とするデータ中継装置。
(付記8)複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継方法であって、
前記通信データの中継可否の判定結果を取得する判定結果取得工程と、
前記判定結果取得工程において取得された判定結果に基づいて、中継不可と判定したセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更するルール変更工程と、
を含んだことを特徴とするデータ中継方法。
以上のように、本発明に係るデータ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラムは、複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否する場合に有用であり、特に、データ中継装置にかかる負荷を軽減することに適する。
パケット中継装置の概要および特徴を説明するための図である。 実施例1に係るパケット中継装置の構成を示すブロック図である。 アクセス制御ルール保持部が記憶する情報の例を示す図である。 パケット中継装置の処理の流れを示すフローチャートである。 実施例2に係るパケット中継装置の構成を示すブロック図である。 アクセス制御ルール保持部が記憶する情報の例を示す図である。 実施例3に係るパケット中継装置の構成を示すブロック図である。 判定結果記憶部が記憶する情報の例を示す図である。 中継不可判定回数記憶部が記憶する情報の例を示す図である。 実施例4に係るパケット中継装置の構成を示すブロック図である。 制御情報保持部が記憶する情報の例を示す図である。 アクセス制御ルール保持部の変更状態の例を説明するための図である。 実施例5に係るパケット中継装置の構成を示すブロック図である。 メール本文保持部が記憶する情報の例を示す図である。 制御情報保持部が記憶する情報の例を示す図である。
符号の説明
10 パケット中継装置
20 アクセス制御ルール保持部
30 ファイアウォール処理部
40 アンチウイルス処理部
50 Webコンテンツフィルタリング処理部
60 管理部
61 判定結果取得部
61a 判定結果蓄積部
62 アクセス制御ルール変更部
62a 中断決定ルール登録部
62b ルール変更取り消し部
62c ルール適用制御部
62d 制御情報保持部
63 判定結果記憶部
64 中継不可判定回数記憶部
65 ルール変更許可部
65a 条件保持部
66 メール送信部
66a メール本文変更部
66b メール本文保持部
66c 制御情報保持部

Claims (6)

  1. 複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置としてのコンピュータに実行され、前記複数のセキュリティ機能の動作を管理する管理プログラムであって、
    前記複数のセキュリティ機能それぞれによる前記通信データの中継可否の判定結果を取得し、取得した判定結果の判定元のセキュリティ機能の識別情報を含む判定結果を一元管理する判定結果取得手順と、
    前記判定結果取得手順によって取得され一元管理される前記複数のセキュリティ機能ごとの前記判定結果に基づいて、中継不可としたセキュリティ機能による判定結果がセキュリティ機能ごとの所定の条件を満たす場合に、当該中継不可としたセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更し、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう前記所定のセキュリティ機能のルールを変更するルール変更手順と、
    をデータ中継装置としてのコンピュータに実行させることを特徴とする管理プログラム。
  2. 前記判定結果取得手順によって取得された判定結果を蓄積する判定結果蓄積手順と、
    前記判定結果蓄積手順によって蓄積された判定結果がセキュリティ機能ごとの所定の条件を満たす場合に、前記ルール変更手順に対してルールの変更を許可するルール変更許可手順と、
    をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする請求項に記載の管理プログラム。
  3. 前記ルール変更手順は、ルール変更時に、当該変更したルールに対して有効期間を設定し、
    前記有効期間が経過した場合に、前記ルールの変更を取り消すルール変更取り消し手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする請求項1または2に記載の管理プログラム。
  4. 前記ルール変更手順は、ルール変更時に、当該変更したルールを適用する時刻条件を設定し、
    時刻情報に基づいて、前記変更したルールの適用可否を制御する適用制御手順をさらにデータ中継装置としてのコンピュータに実行させることを特徴とする請求項1、2または3に記載の管理プログラム。
  5. 複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継装置であって、
    前記複数のセキュリティ機能それぞれによる前記通信データの中継可否の判定結果を取得し、取得した判定結果の判定元のセキュリティ機能の識別情報を含む判定結果を一元管理する判定結果取得手段と、
    前記判定結果取得手段によって取得され一元管理される前記複数のセキュリティ機能ごとの前記判定結果に基づいて、中継不可としたセキュリティ機能による判定結果がセキュリティ機能ごとの所定の条件を満たす場合に、当該中継不可としたセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更し、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう前記所定のセキュリティ機能のルールを変更するルール変更手段と、
    を備えたことを特徴とするデータ中継装置。
  6. 複数のセキュリティ機能を併せ持ち、入力された通信データに対して、前記複数のセキュリティ機能ごとに定められた所定のルールに基づいて前記複数のセキュリティ機能を順次実行して前記通信データの中継可否を判定し、中継不可と判定した通信データについては、未実行の後続のセキュリティ機能を実行せずに中継を拒否するデータ中継方法であって、
    前記複数のセキュリティ機能それぞれによる前記通信データの中継可否の判定結果を取得し、取得した判定結果の判定元のセキュリティ機能の識別情報を含む判定結果を一元管理する判定結果取得工程と、
    前記判定結果取得工程において取得され一元管理される前記複数のセキュリティ機能ごとの前記判定結果に基づいて、中継不可としたセキュリティ機能による判定結果がセキュリティ機能ごとの所定の条件を満たす場合に、当該中継不可としたセキュリティ機能より前段に位置するいずれかのセキュリティ機能に定められたルールを、当該通信データが中継不可と判定されるように変更し、全てのセキュリティ機能を実行して中継が決定された通信データがあった場合に、当該通信データに対して所定のセキュリティ機能を実行した段階で後続のセキュリティ機能を実行することなく中継を決定するよう前記所定のセキュリティ機能のルールを変更するルール変更工程と、
    を含んだことを特徴とするデータ中継方法。
JP2007229490A 2007-09-04 2007-09-04 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム Active JP4985246B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007229490A JP4985246B2 (ja) 2007-09-04 2007-09-04 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
US12/230,536 US8151340B2 (en) 2007-09-04 2008-08-29 Data relay device and data relay method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007229490A JP4985246B2 (ja) 2007-09-04 2007-09-04 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム

Publications (2)

Publication Number Publication Date
JP2009065294A JP2009065294A (ja) 2009-03-26
JP4985246B2 true JP4985246B2 (ja) 2012-07-25

Family

ID=40409677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007229490A Active JP4985246B2 (ja) 2007-09-04 2007-09-04 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム

Country Status (2)

Country Link
US (1) US8151340B2 (ja)
JP (1) JP4985246B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5226105B2 (ja) * 2010-06-18 2013-07-03 サムソン エスディーエス カンパニー リミテッド アンチマルウェアシステム及びその動作方法
US8365287B2 (en) 2010-06-18 2013-01-29 Samsung Sds Co., Ltd. Anti-malware system and operating method thereof
US9064111B2 (en) 2011-08-03 2015-06-23 Samsung Electronics Co., Ltd. Sandboxing technology for webruntime system
US8893225B2 (en) 2011-10-14 2014-11-18 Samsung Electronics Co., Ltd. Method and apparatus for secure web widget runtime system
US9313238B2 (en) * 2011-12-26 2016-04-12 Vonage Network, Llc Systems and methods for communication setup via reconciliation of internet protocol addresses
US9443093B2 (en) * 2013-06-20 2016-09-13 Amazon Technologies, Inc. Policy enforcement delays
KR101502490B1 (ko) * 2013-10-18 2015-03-13 주식회사 케이티 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드
JP7028543B2 (ja) * 2016-03-11 2022-03-02 Necプラットフォームズ株式会社 通信システム
DE102018221954A1 (de) 2018-12-17 2020-06-18 Robert Bosch Gmbh Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung
JP7114769B2 (ja) * 2021-03-05 2022-08-08 Necプラットフォームズ株式会社 通信システム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US5951651A (en) * 1997-07-23 1999-09-14 Lucent Technologies Inc. Packet filter system using BITMAP vector of filter rules for routing packet through network
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
AUPR435501A0 (en) * 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
JP3797937B2 (ja) * 2002-02-04 2006-07-19 株式会社日立製作所 ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2003345690A (ja) 2002-05-23 2003-12-05 Toshiba Corp ネットワーク通信システム及びネットワーク通信方法
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP3760919B2 (ja) * 2003-02-28 2006-03-29 日本電気株式会社 不正アクセス防止方法、装置、プログラム
JP2004348292A (ja) * 2003-05-20 2004-12-09 Nec Corp サイバーセキュリティシステム、サイバーセキュリティ提供方法及び制御プログラム
JP2005027218A (ja) * 2003-07-02 2005-01-27 Nippon Telegr & Teleph Corp <Ntt> パケット経路制御装置およびファイアウォール負荷軽減方法
US7451483B2 (en) * 2003-10-09 2008-11-11 International Business Machines Corporation VLAN router with firewall supporting multiple security layers
JP4321375B2 (ja) * 2004-06-18 2009-08-26 沖電気工業株式会社 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP4168012B2 (ja) * 2004-07-21 2008-10-22 株式会社日立製作所 フィルタリングシステム、フィルタリング装置、内部端末、およびフィルタリング方法
US7475424B2 (en) * 2004-09-02 2009-01-06 International Business Machines Corporation System and method for on-demand dynamic control of security policies/rules by a client computing device
US20100088755A1 (en) * 2006-12-29 2010-04-08 Telefonaktiebolaget L M Ericsson (Publ) Access management for devices in communication networks
US8782771B2 (en) * 2007-06-19 2014-07-15 Rockwell Automation Technologies, Inc. Real-time industrial firewall

Also Published As

Publication number Publication date
US8151340B2 (en) 2012-04-03
JP2009065294A (ja) 2009-03-26
US20090064310A1 (en) 2009-03-05

Similar Documents

Publication Publication Date Title
JP4985246B2 (ja) データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP5648639B2 (ja) 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US7684339B2 (en) Communication control system
EP2482495A1 (en) System and method for flow table management
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
CN101965713A (zh) 对通过通信网络的串行数据总线到达网络的参与者的消息进行过滤的方法和过滤设备
WO2014185394A1 (ja) 中継装置および中継装置の制御方法
CN107547566B (zh) 一种处理业务报文的方法及装置
US9294397B1 (en) Apparatus and method for forwarding packets based on approved associations between ports and addresses of received packets
JP5720340B2 (ja) 制御サーバ、通信システム、制御方法およびプログラム
US8223756B2 (en) Network device and computer product
US11082447B2 (en) Systems and methods for preventing router attacks
US20140304813A1 (en) Distributed network anomaly detection
JP2008250597A (ja) コンピュータシステム
JP2014036408A (ja) 通信装置、通信システム、通信方法、および、通信プログラム
WO2016201843A1 (zh) 一种mac地址学习的控制方法和装置
JP5797597B2 (ja) 中継装置
US8276204B2 (en) Relay device and relay method
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2008283495A (ja) パケット転送システムおよびパケット転送方法
JP2009225045A (ja) 通信妨害装置及び通信妨害プログラム
JP2004172891A (ja) 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム
JP2003008662A (ja) ネットワークアクセス制御方法、その装置およびその装置を用いたネットワークアクセス制御システム
JP6898846B2 (ja) 異常原因特定支援システムおよび異常原因特定支援方法
JP6102970B2 (ja) 通信システム、制御装置および制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100517

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111031

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120306

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120403

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120416

R150 Certificate of patent or registration of utility model

Ref document number: 4985246

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3