JP5176983B2 - Filter device, filter program and method - Google Patents

Filter device, filter program and method Download PDF

Info

Publication number
JP5176983B2
JP5176983B2 JP2009013819A JP2009013819A JP5176983B2 JP 5176983 B2 JP5176983 B2 JP 5176983B2 JP 2009013819 A JP2009013819 A JP 2009013819A JP 2009013819 A JP2009013819 A JP 2009013819A JP 5176983 B2 JP5176983 B2 JP 5176983B2
Authority
JP
Japan
Prior art keywords
network address
filtering
address
packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009013819A
Other languages
Japanese (ja)
Other versions
JP2010098706A (en
Inventor
昌幸 永松
哲司 青山
祐一 斉藤
文人 住川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009013819A priority Critical patent/JP5176983B2/en
Publication of JP2010098706A publication Critical patent/JP2010098706A/en
Application granted granted Critical
Publication of JP5176983B2 publication Critical patent/JP5176983B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークにおけるフィルタリング技術に関するものである。   The present invention relates to a filtering technique in a network.

ネットワークの構築において、例えば、イントラネット同士でフィルタリングの設定をするような場合、ネットワークの管理者は、構築するネットワークにおける機器を把握して、フィルタリングルールを定義していた。   In network construction, for example, when filtering is set between intranets, the network administrator grasps the devices in the network to be constructed and defines filtering rules.

なお、ネットワークにおけるフィルタリング技術が知られている(例えば、特許文献1参照)。   A filtering technique in a network is known (for example, see Patent Document 1).

特開2007−053703号公報JP 2007-053703 A

しかしながら、構築するネットワークの規模が大きくなる程、機器の把握、フィルタリングルールの設定及びチェックに係る手間が増大するという問題がある。   However, as the scale of the network to be constructed increases, there is a problem that the labor involved in grasping devices, setting filtering rules, and checking increases.

本発明は、上述した問題点を解決するためになされたものであり、フィルタリングに係る設定を容易にすることができるフィルタ装置、フィルタプログラム及び方法を提供することを目的としている。   The present invention has been made to solve the above-described problems, and it is an object of the present invention to provide a filter device, a filter program, and a method capable of facilitating setting related to filtering.

上述した課題を解決するため、フィルタ装置は、通信回線上を流れるパケットのフィルタリングを行なう装置であって、フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定部と、前記通信回線上を流れるパケットを取得するパケット取得部と、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得部により取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として第1記録部に記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1記録部に記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視部とを備える。   In order to solve the above-described problem, a filter device is a device for filtering packets flowing on a communication line, and determines whether to collect information for filtering or to perform filtering. When determining that the setting mode for setting the monitor mode, the packet acquisition unit for acquiring the packet flowing on the communication line, and the mode for collecting information for filtering the filtering mode, the packet acquisition unit When the network address included in the acquired packet is associated with the communication protocol at the network address and recorded as address record information in the first recording unit, and the monitor mode is determined to be a filtering mode, the first In the address record information recorded in the recording section And Zui, and a monitoring unit for performing packet filtering.

また、フィルタプログラムは、通信回線上を流れるパケットのフィルタリングを行なう装置のプログラムであって、フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定ステップと、前記通信回線上を流れるパケットを取得するパケット取得ステップと、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として前記装置の第1メモリに記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1メモリに記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視ステップとをコンピュータに実行させる。   The filter program is a program for a device that filters packets flowing on a communication line, and has a monitor mode for determining whether to collect information for filtering or to perform filtering. The packet acquired by the packet acquisition step when it is determined that the setting step of setting, the packet acquisition step of acquiring a packet flowing on the communication line, and the monitor mode is a mode for collecting information for filtering Is associated with a communication protocol at the network address and recorded as address record information in the first memory of the device, and when the monitor mode is determined to be a filtering mode, Record Based on the address recorded information, to execute a monitoring step of performing a packet filtering on the computer.

また、フィルタ方法は、通信回線上を流れるパケットのフィルタリングを行なう装置における方法であって、フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定ステップと、前記通信回線上を流れるパケットを取得するパケット取得ステップと、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として前記装置の第1メモリに記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1メモリに記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視ステップとを備える。   The filtering method is a method in an apparatus for filtering packets flowing on a communication line, and has a monitor mode for determining whether to collect information for filtering or to perform filtering. The packet acquired by the packet acquisition step when it is determined that the setting step of setting, the packet acquisition step of acquiring a packet flowing on the communication line, and the monitor mode is a mode for collecting information for filtering Is associated with a communication protocol at the network address and recorded as address record information in the first memory of the device, and when the monitor mode is determined to be a filtering mode, Recorded Based on the dress recording information, and a surveillance performing the packet filtering.

本発明によれば、フィルタリングに係る設定を容易にすることができるという効果を奏する。   According to the present invention, there is an effect that the setting relating to filtering can be facilitated.

実施の形態1の全体構成を示す図である。1 is a diagram illustrating an overall configuration of a first embodiment. 実施の形態1に係るフィルタ装置の構成を示すブロック図である。1 is a block diagram illustrating a configuration of a filter device according to Embodiment 1. FIG. 実施の形態1に係るアドレス管理DBを示す図である。It is a figure which shows address management DB which concerns on Embodiment 1. FIG. 実施の形態1に係るマトリクスDBを示す図である。4 is a diagram showing a matrix DB according to Embodiment 1. FIG. 実施の形態1に係るフィルタ装置のハードウェア構成を示すブロック図である。2 is a block diagram illustrating a hardware configuration of the filter device according to Embodiment 1. FIG. 実施の形態1に係るフィルタ装置の全体動作を示す図である。FIG. 3 is a diagram illustrating an overall operation of the filter device according to the first embodiment. 実施の形態1に係る登録処理の動作を示すフローチャートである。4 is a flowchart showing an operation of a registration process according to the first embodiment. 実施の形態1に係る監視処理の動作を示すフローチャートである。4 is a flowchart illustrating an operation of monitoring processing according to the first embodiment. 実施の形態1に係る警告表示を示すものである。The warning display which concerns on Embodiment 1 is shown. 実施の形態1に係る生成されたフィルタリング表を示す図である。It is a figure which shows the produced | generated filtering table based on Embodiment 1. FIG. 実施の形態1に係る設定されたフィルタリング表を示す図である。It is a figure which shows the set filtering table which concerns on Embodiment 1. FIG. 実施の形態1に係るフィルタリング表による警告を示す図である。It is a figure which shows the warning by the filtering table which concerns on Embodiment 1. FIG. 実施の形態2に係る監視処理の動作を示すフローチャートである。6 is a flowchart illustrating an operation of monitoring processing according to the second embodiment. 実施の形態2に係る生成されたフィルタリング表を示す図である。It is a figure which shows the produced | generated filtering table based on Embodiment 2. FIG. 本発明が適用されるコンピュータシステムの一例を示す図である。It is a figure which shows an example of the computer system to which this invention is applied.

以下、本発明の実施の形態について図を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

実施の形態1.
まず、本実施の形態の全体構成について説明する。図1は、実施の形態1の全体構成を示す図である。 Embodiment 1 FIG.
First, the overall configuration of the present embodiment will be described. FIG. 1 is a diagram showing an overall configuration of the first embodiment.

図1に示すように、本実施の形態は、ネットワーク機器によるネットワークA及びネットワークBと、これらのネットワーク間(通信回線上)に接続されたフィルタ装置1、このフィルタ装置1に接続された設定用端末2から構成される。フィルタ装置1は、ネットワークA及びネットワークB間のフィルタリングを行うものであり、設定用端末2は、フィルタ装置1の設定を行うものである。   As shown in FIG. 1, the present embodiment includes a network A and a network B by network devices, a filter device 1 connected between these networks (on a communication line), and a setting device connected to the filter device 1 The terminal 2 is configured. The filter device 1 performs filtering between the network A and the network B, and the setting terminal 2 performs setting of the filter device 1.

次に、本実施の形態に係るフィルタ装置の構成について説明する。図2は、実施の形態1に係るフィルタ装置の構成を示すブロック図である。また、図3は、実施の形態1に係るアドレス管理DBを示す図である。また、図4は、実施の形態1に係るマトリクスDBを示す図である。また、図5は、実施の形態1に係るフィルタ装置のハードウェア構成を示すブロック図である。   Next, the configuration of the filter device according to the present embodiment will be described. FIG. 2 is a block diagram illustrating a configuration of the filter device according to the first embodiment. FIG. 3 is a diagram showing the address management DB according to the first embodiment. FIG. 4 is a diagram illustrating the matrix DB according to the first embodiment. FIG. 5 is a block diagram illustrating a hardware configuration of the filter device according to the first embodiment.

図2に示すように、本実施の形態に係るフィルタ装置1は、登録部10(送信部)、監視部11(設定部、パケット取得部、監視部、第1通知部、第2通知部)、アドレス管理DB(Data Base)12(第2記録部、第2メモリ)、マトリクスDB13(アドレス記録情報、第1記録部、第1メモリ)、フィルタリングDB14を備えるものである。登録部10はIPアドレスをアドレス管理DB12に登録するものである。このアドレス管理DB12は、図3に示すように、IDを示すアドレス番号と、IPアドレスを示す応答アドレスとが対応付けられているものである。また、監視部11は、アドレス管理DB12に存在するアドレスによる通信に関する情報をマトリクスDB13に書き込み、フィルタリングDB14に基づいてフィルタリングを実行するものである。このマトリクスDB13は、図4に示すように、IDを示すフィルタ番号、送信元IPアドレス、送信先IPアドレス、プロトコルが対応付けられているものである。また、フィルタリングDB14は、監視部11によりマトリクスDB13に基づいて生成されるものである。なお、フィルタリングDB14については、後に詳述する。   As shown in FIG. 2, the filter device 1 according to the present embodiment includes a registration unit 10 (transmission unit), a monitoring unit 11 (setting unit, packet acquisition unit, monitoring unit, first notification unit, second notification unit). , Address management DB (Data Base) 12 (second recording unit, second memory), matrix DB 13 (address recording information, first recording unit, first memory), and filtering DB 14. The registration unit 10 registers an IP address in the address management DB 12. In the address management DB 12, as shown in FIG. 3, an address number indicating an ID and a response address indicating an IP address are associated with each other. Further, the monitoring unit 11 writes information related to communication using addresses existing in the address management DB 12 in the matrix DB 13 and performs filtering based on the filtering DB 14. As shown in FIG. 4, the matrix DB 13 is associated with a filter number indicating an ID, a transmission source IP address, a transmission destination IP address, and a protocol. The filtering DB 14 is generated based on the matrix DB 13 by the monitoring unit 11. The filtering DB 14 will be described in detail later.

また、登録部10及び監視部11による各機能は、実質的にはCPU15により実行されるものとする。また、アドレス管理DB12、マトリクスDB13、フィルタリングDB14は、メモリ16に格納されているものである。   Each function by the registration unit 10 and the monitoring unit 11 is substantially executed by the CPU 15. Further, the address management DB 12, the matrix DB 13, and the filtering DB 14 are stored in the memory 16.

次に、本実施の形態に係るフィルタ装置の動作について説明する。図6は、実施の形態1に係るフィルタ装置の全体動作を示す図である。   Next, the operation of the filter device according to the present embodiment will be described. FIG. 6 is a diagram illustrating an overall operation of the filter device according to the first embodiment.

フィルタ装置1においては、まず、後述する登録処理が登録部10により実行され(S101)、次に、後述する監視処理が監視部11により実行される(S102)。   In the filter device 1, first, a registration process described later is executed by the registration unit 10 (S101), and then a monitoring process described later is executed by the monitoring unit 11 (S102).

次に、登録処理の動作について説明する。図7は、実施の形態1に係る登録処理の動作を示すフローチャートである。   Next, the operation of the registration process will be described. FIG. 7 is a flowchart showing the operation of the registration process according to the first embodiment.

まず、登録部10は、接続されたネットワークにおける全てのプライベートアドレスにPing(応答要求情報)を発行したかどうかを判断する(S201)。   First, the registration unit 10 determines whether or not Ping (response request information) has been issued to all private addresses in the connected network (S201).

全てのプライベートアドレスにPingを発行していない場合(S201,NO)、登録部10は、プライベートアドレスに順次Pingを発行し(S202、送信ステップ)、発行したPingに対して応答があるかどうかを判断する(S203)。   When the Ping has not been issued to all private addresses (S201, NO), the registration unit 10 sequentially issues the Ping to the private addresses (S202, transmission step), and determines whether there is a response to the issued Ping. Judgment is made (S203).

発行したPingに対して応答がある場合(S203,YES)、登録部10は、応答があったアドレスをアドレス番号と対応付けてアドレス管理DB12に書き込む(S204、監視ステップ)。   When there is a response to the issued Ping (S203, YES), the registration unit 10 writes the address where the response is made in association with the address number in the address management DB 12 (S204, monitoring step).

一方、発行したPingに対して応答がない場合(S203,NO)、登録部10は、再度、接続されたネットワークにおける全てのプライベートアドレスにPingを発行したかどうかを判断する(S201)。   On the other hand, when there is no response to the issued Ping (S203, NO), the registration unit 10 determines again whether or not the Ping has been issued to all private addresses in the connected network (S201).

また、ステップS201において、全てのプライベートアドレスにPingを発行した場合(S201,YES)、登録部10は登録処理を終了する。   In Step S201, when Ping is issued to all private addresses (S201, YES), the registration unit 10 ends the registration process.

上述したように、登録処理によれば、発行したPingに応答したプライベートアドレスがアドレス管理DB12に書き込まれる。この処理によって、フィルタ装置1は、接続されたネットワークA及びネットワークB内の機器のIPアドレスを得ることができる。   As described above, according to the registration process, the private address responding to the issued Ping is written in the address management DB 12. By this processing, the filter device 1 can obtain the IP addresses of the devices in the connected network A and network B.

次に、監視処理について説明する。図8は、実施の形態1に係る監視処理の動作を示すフローチャートである。また、図9は、実施の形態1に係る警告表示を示すものである。また、図10は、実施の形態1に係る生成されたフィルタリング表を示す図である。また、図11は、実施の形態1に係る設定されたフィルタリング表を示す図である。また、図12は、実施の形態1に係る矛盾ルール(Drop設定されているのに通信履歴がある、Pass設定されているのに全然通信がされていない等)があった場合、マークし表示する図である。なお、図8におけるモニタモードは、フィルタリングを行なうための情報の収集を行なうモード(ON)、あるいは、フィルタリングを行なうモード(OFF)かを判断するための機能である。また、モニタモードは本実施の形態において、ネットワークの管理者により設定用端末を介して、フィルタリングを行うための情報の収集を行うモードが所定の期間に設定されているものである。なお、図8において、モニタモードはONまたはOFFに予め設定され、ONに設定されている場合は、その期間が設定されているものとする(設定ステップ)。   Next, the monitoring process will be described. FIG. 8 is a flowchart showing the operation of the monitoring process according to the first embodiment. FIG. 9 shows a warning display according to the first embodiment. FIG. 10 is a diagram showing a generated filtering table according to the first embodiment. FIG. 11 is a diagram showing the set filtering table according to the first embodiment. Also, FIG. 12 is marked and displayed when there is a contradiction rule according to the first embodiment (Drop setting has communication history, Pass setting has not been communicated at all). It is a figure to do. Note that the monitor mode in FIG. 8 is a function for determining whether a mode for collecting information for filtering (ON) or a mode for filtering (OFF) is used. In the present embodiment, the monitor mode is a mode in which a network administrator collects information for filtering via a setting terminal for a predetermined period. In FIG. 8, the monitor mode is set to ON or OFF in advance, and when it is set to ON, the period is set (setting step).

まず、監視部11は、モニタモードがONになっているかどうかを判断する(S301)。   First, the monitoring unit 11 determines whether or not the monitor mode is ON (S301).

モニタモードがONになっている場合(S301,YES)、監視部11は、フィルタ装置1を通過するパケットを取得し、取得したパケットから送信元アドレス、送信先アドレス、プロトコルを抽出し(S302、パケット取得ステップ)、抽出したアドレスがアドレス管理DBに存在するかどうかを判断する(S303)。   When the monitor mode is ON (S301, YES), the monitoring unit 11 acquires a packet that passes through the filter device 1, and extracts a transmission source address, a transmission destination address, and a protocol from the acquired packet (S302, Packet acquisition step), it is determined whether or not the extracted address exists in the address management DB (S303).

抽出したアドレスがアドレス管理DBに存在する場合(S303,YES)、監視部11は、抽出した送信元アドレス、送信先アドレス、プロトコルをマトリクスDB13に書き込む(S304、監視ステップ)。次に、監視部11は、モニタモードの設定期間を過ぎたかどうかを判断する(S305)。   When the extracted address exists in the address management DB (S303, YES), the monitoring unit 11 writes the extracted transmission source address, transmission destination address, and protocol in the matrix DB 13 (S304, monitoring step). Next, the monitoring unit 11 determines whether or not the monitor mode setting period has passed (S305).

モニタモード設定期間を過ぎている場合(S305,YES)、監視部11は、モニタモードをOFFにし(S306)、再度、モニタモードがONになっているかどうかを判断する(S301)。   When the monitor mode setting period has passed (S305, YES), the monitoring unit 11 turns off the monitor mode (S306), and determines again whether the monitor mode is on (S301).

一方、モニタモード設定期間を過ぎていない場合(S305,NO)、監視部11は、再度、モニタモードがONになっているかどうかを判断する(S301)。   On the other hand, when the monitor mode setting period has not passed (S305, NO), the monitoring unit 11 determines again whether the monitor mode is ON (S301).

また、ステップS303において、抽出したアドレスがアドレス管理DBに存在しない場合(S303,NO)、監視部11は、図9に示すように、アドレス管理DBに存在しないアドレスを設定用端末2に通知することにより設定用端末2に警告を表示させ(S307、監視ステップ)、再度、モニタモードがONになっているかどうかを判断する(S301)。なお、図9に示す警告表示は、例えば、設定用端末2における管理画面においてポップアップとして表示される。また、この警告表示は、フィルタ装置1により表示されても構わない。   If the extracted address does not exist in the address management DB in step S303 (S303, NO), the monitoring unit 11 notifies the setting terminal 2 of the address that does not exist in the address management DB, as shown in FIG. Thus, a warning is displayed on the setting terminal 2 (S307, monitoring step), and it is determined again whether the monitor mode is ON (S301). The warning display shown in FIG. 9 is displayed as a pop-up on the management screen in the setting terminal 2, for example. The warning display may be displayed by the filter device 1.

また、ステップS301において、モニタモードがONではない場合(S301,NO)、監視部11は、マトリクスDB13を読み込み(S308)、マトリクスDB13に基づいてフィルタリングDB14を生成する(S309)。フィルタリングDB14が生成されると、監視部11は、このフィルタリングDB14に基づいてフィルタリングを実施し(S310、監視ステップ)、再度、モニタモードがONになっているかどうかを判断する(S301)。   In step S301, when the monitor mode is not ON (S301, NO), the monitoring unit 11 reads the matrix DB 13 (S308) and generates the filtering DB 14 based on the matrix DB 13 (S309). When the filtering DB 14 is generated, the monitoring unit 11 performs filtering based on the filtering DB 14 (S310, monitoring step), and determines again whether the monitor mode is ON (S301).

ここで、フィルタリングDB14について説明する。フィルタリングDB14は、図10に示すようなフィルタリング表として、設定用端末2に表示されるものである。このフィルタリング表において、INは送信元アドレスを示し、OUTは送信先アドレスを示し、IN、OUTの組み合わせに対して通信が設定される。なお、フィルタリングDB14は、図4に示すようなマトリクスDB13に基づくため、図10においては未設定の通信が存在するが、全ての設定は設定用端末2により設定可能である。図11に示すように、ネットワークの管理者は、未設定の通信に関して設定をすることができ、設定がマトリクスDB13と異なる場合には、図12に示すように、相違箇所が表示される(監視ステップ)。なお、この機能は、監視部11がフィルタリングDB14と、マトリクスDB13とを比較し、相違箇所を設定用端末2に通知することにより実現される。なお、このような相違箇所を表示する機能において、予めルールを設け、ルールにそぐわない箇所を相違箇所としても構わない。   Here, the filtering DB 14 will be described. The filtering DB 14 is displayed on the setting terminal 2 as a filtering table as shown in FIG. In this filtering table, IN indicates a source address, OUT indicates a destination address, and communication is set for a combination of IN and OUT. Since the filtering DB 14 is based on the matrix DB 13 as shown in FIG. 4, there is unset communication in FIG. 10, but all settings can be set by the setting terminal 2. As shown in FIG. 11, the network administrator can make settings for unset communication, and when the setting is different from that of the matrix DB 13, a different part is displayed as shown in FIG. 12 (monitoring). Step). This function is realized by the monitoring unit 11 comparing the filtering DB 14 and the matrix DB 13 and notifying the setting terminal 2 of the difference. In such a function for displaying different parts, a rule may be provided in advance, and a part that does not match the rule may be used as the different part.

上述したように、モニタモードがONである間になされた通信をマトリクスDB13に書き込み、マトリクスDB13に基づくフィルタリングDB14によりフィルタリングを行うことにより、フィルタリングルールの設定を容易にすることができる。また、フィルタ装置1によるPingに応じたアドレスをアドレス管理DB12に書き込み、モニタモードにおいて、アドレス管理DB12に存在しないアドレスを含むパケットによる通信があった場合に警告を発することによって、所定のネットワーク内に存在しない機器をマトリクスDB13から除外することができる。なお、本実施の形態において、予めアドレス管理DB12にアドレスを登録したが、アドレス管理DB12を用いずに、モニタモードがONである間になされた通信をマトリクスDB13に書き込むことによりフィルタリングを実施することも可能である。   As described above, by setting communication performed while the monitor mode is ON to the matrix DB 13 and performing filtering using the filtering DB 14 based on the matrix DB 13, it is possible to easily set the filtering rule. In addition, an address corresponding to Ping by the filter device 1 is written in the address management DB 12, and in the monitor mode, a warning is issued when there is a communication by a packet including an address that does not exist in the address management DB 12, thereby entering a predetermined network. Devices that do not exist can be excluded from the matrix DB 13. In the present embodiment, addresses are registered in advance in the address management DB 12, but filtering is performed by writing communications made while the monitor mode is ON to the matrix DB 13 without using the address management DB 12. Is also possible.

実施の形態2.
上述した実施の形態1におけるモニタモードにおいて、監視部11は、フィルタ装置1を通過するパケットから送信先アドレス、送信元アドレス、プロトコルを抽出するとした。これに対し、本実施の形態2におけるモニタモードは、ネットワークA及びネットワークB間でパケットによる通信を遮断する。 Embodiment 2. FIG.
In the monitor mode in the first embodiment described above, the monitoring unit 11 extracts the transmission destination address, the transmission source address, and the protocol from the packet that passes through the filter device 1. On the other hand, in the monitor mode according to the second embodiment, communication using packets between the network A and the network B is cut off.

まず、本実施の形態におけるフィルタ装置1の構成について説明する。なお、本実施の形態に係るフィルタ装置1の構成は、監視部11以外の構成は実施の形態1と同様であるため、ここでの説明を省略する。   First, the configuration of the filter device 1 in the present embodiment will be described. Note that the configuration of the filter device 1 according to the present embodiment is the same as that of the first embodiment except for the monitoring unit 11, and thus the description thereof is omitted here.

本実施の形態における監視部11(設定部、パケット取得部、監視部、第1通知部、第2通知部、遮断部)は、モニタモード中において、全てのパケットを遮断する動作を行う点が、実施の形態1とは異なる。   The monitoring unit 11 (setting unit, packet acquisition unit, monitoring unit, first notification unit, second notification unit, blocking unit) according to the present embodiment performs an operation of blocking all packets during the monitor mode. This is different from the first embodiment.

次に、本実施の形態におけるフィルタ装置の動作を説明する。なお、本実施の形態におけるフィルタ装置1の全体動作及び登録処理の動作は、上述した実施の形態1における図6及び図7に示す全体動作及び登録処理の動作と同様であるため、ここでの説明を省略する。   Next, the operation of the filter device in the present embodiment will be described. Note that the overall operation of the filter device 1 and the operation of the registration process in the present embodiment are the same as the overall operation and the operation of the registration process shown in FIGS. Description is omitted.

図13は、実施の形態2に係る監視処理の動作を示すフローチャートである。なお、このフローチャートにおいて、実施の形態1で説明した図8と同一符号のステップは、図8に示されたステップと同一又は相当するステップを示しており、重複する説明は省略する。   FIG. 13 is a flowchart showing the operation of the monitoring process according to the second embodiment. In the flowchart, steps denoted by the same reference numerals as those in FIG. 8 described in the first embodiment indicate steps that are the same as or correspond to the steps illustrated in FIG. 8, and redundant descriptions are omitted.

まず、モニタモードがONになっている場合(S301,YES)、監視部11は、フィルタ装置1を通過するパケットを遮断する(S401,遮断ステップ)。次に、監視部11は、遮断したパケットを取得し、取得したパケットから送信元アドレス、送信先アドレス、プロトコルを抽出し(S402、パケット取得ステップ)、抽出したアドレスがアドレス管理DB12に存在するかどうかを判断する(S303)。   First, when the monitor mode is ON (S301, YES), the monitoring unit 11 blocks a packet passing through the filter device 1 (S401, blocking step). Next, the monitoring unit 11 acquires the blocked packet, extracts a transmission source address, a transmission destination address, and a protocol from the acquired packet (S402, packet acquisition step). Does the extracted address exist in the address management DB 12? It is determined whether or not (S303).

抽出したアドレスがアドレス管理DB12に存在する場合(S303,YES)、監視部11は、抽出した送信元アドレス、送信先アドレス、プロトコルをパケットの通過可能なものとしてマトリクスDB13に書き込む(S403、監視ステップ)。   When the extracted address exists in the address management DB 12 (S303, YES), the monitoring unit 11 writes the extracted transmission source address, transmission destination address, and protocol in the matrix DB 13 as packets can be passed (S403, monitoring step) ).

なお、本実施の形態における監視部11は、モニタモード中において、全てのパケットを遮断し、モニタモード中に通信がきたパケットの送信元アドレス、送信先アドレス、プロトコルのみをパケットの通過可能なものとしてマトリクスDB13に書き込む。よって、ステップS309にて監視部11により作成されるフィルタリング表におけるモニタモード中にパケットの通信が無いIN−OUT間に関しては、Drop設定となり、モニタモード中にパケットの通信が有るIN−OUT間に関しては、Pass設定となる。   Note that the monitoring unit 11 in the present embodiment blocks all packets during the monitor mode, and allows the packet to pass only the source address, destination address, and protocol of packets that are communicated during the monitor mode. Is written in the matrix DB 13 as follows. Therefore, the IN-OUT between which there is no packet communication during the monitor mode in the filtering table created by the monitoring unit 11 in step S309 is Drop setting, and the IN-OUT between which there is packet communication during the monitor mode. Is a Pass setting.

図14は、実施の形態2に係る生成されたフィルタリング表を示す図である。図14に示すように、実施の形態1にて説明した図10のフィルタリング表と比較すると、図10において未設定となっていたIN−OUT間が図14においてはDropとなる。   FIG. 14 is a diagram illustrating a generated filtering table according to the second embodiment. As shown in FIG. 14, when compared with the filtering table of FIG. 10 described in the first embodiment, the section between IN and OUT that has not been set in FIG. 10 becomes Drop in FIG.

なお、本実施の形態において、ステップS303の取得したアドレスがアドレス管理DB12にあるか否かの判断において、取得したアドレスがアドレス管理DB12にないと判断された場合、警告の表示を行わず、取得したアドレスからのパケットを遮断するようにしてもよい。また、本実施の形態において、フィルタリング表におけるモニタモード中にパケットの通信が無いIN−OUT間に関してはDrop設定としたが、実施の形態1と同様に未設定としてもよいことは言うまでもない。   In this embodiment, when it is determined that the acquired address is not in the address management DB 12 in the determination of whether the acquired address is in the address management DB 12 in step S303, the warning is not displayed and the acquisition is not performed. You may make it block the packet from the address which made it. Further, in the present embodiment, the drop setting is set for the IN-OUT where there is no packet communication during the monitoring mode in the filtering table, but it goes without saying that it may be unset as in the first embodiment.

上述したように、モニタモード中において全てのパケットを遮断することにより、所定のネットワーク内に存在しない機器からのパケットを遮断することができ、モニタモード中における安全性を向上できる。また、モニタモード中に通信が遮断されたパケットの送信元アドレス、送信先アドレス、プロトコルのみをパケットの通過可能なものと設定することにより、フィルタリング表のDrop設定の入力を簡略化することが可能となり、作業性を向上できる。   As described above, by blocking all packets during the monitor mode, packets from devices that do not exist in the predetermined network can be blocked, and safety during the monitor mode can be improved. In addition, it is possible to simplify the drop table entry of the filtering table by setting only the source address, destination address, and protocol of the packet whose communication is interrupted during the monitor mode to allow the packet to pass. Thus, workability can be improved.

本発明は、その要旨または主要な特徴から逸脱することなく、他の様々な形で実施することができる。そのため、前述の実施の形態は、あらゆる点で単なる例示に過ぎず、限定的に解釈してはならない。本発明の範囲は、特許請求の範囲によって示すものであって、明細書本文には、何ら拘束されない。更に、特許請求の範囲の均等範囲に属する全ての変形、様々な改良、代替および改質は、全て本発明の範囲内のものである。   The present invention can be implemented in various other forms without departing from the gist or main features thereof. Therefore, the above-described embodiment is merely an example in all respects and should not be interpreted in a limited manner. The scope of the present invention is shown by the scope of claims, and is not restricted by the text of the specification. Moreover, all modifications, various improvements, substitutions and modifications belonging to the equivalent scope of the claims are all within the scope of the present invention.

更に、フィルタ装置1において上述した各ステップを実行させるプログラムを、フィルタプログラムとして提供することができる。上述したプログラムは、CPU15により読取り可能な記録媒体に記憶させることによって、フィルタ装置1に実行させることが可能となる。また、図15に示すように、フィルタ装置1と接続された設定用端末2に記憶媒体21を読み込ませ、フィルタプログラムをフィルタ装置1へ送信しても良い。ここで、設定用端末2により読取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体をも含むものである。また、通信回線を介してフィルタプログラムをフィルタ装置1あるいはフィルタ装置1と接続された設定用端末2へ送信しても良い。   Furthermore, a program for executing the above steps in the filter device 1 can be provided as a filter program. The above-described program can be executed by the filter device 1 by being stored in a recording medium readable by the CPU 15. Further, as shown in FIG. 15, the storage medium 21 may be read by the setting terminal 2 connected to the filter device 1, and the filter program may be transmitted to the filter device 1. Here, the recording medium readable by the setting terminal 2 may be an internal storage device such as a ROM or a RAM, a CD-ROM, a flexible disk, a DVD disk, a magneto-optical disk, an IC card, or the like. A portable storage medium is also included. Further, the filter program may be transmitted to the filter device 1 or the setting terminal 2 connected to the filter device 1 via a communication line.

以上、本実施の形態によれば、以下の付記で示す技術的思想が開示されている。
(付記1) 通信回線上を流れるパケットのフィルタリングを行なうフィルタ装置であって、
フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定部と、
前記通信回線上を流れるパケットを取得するパケット取得部と、
前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得部により取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として第1記録部に記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1記録部に記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視部と
を備えるフィルタ装置。
(付記2) 付記1に記載のフィルタ装置であって、
前記通信回線上に接続されている機器に対して、応答を求める情報である応答要求情報を送信する送信部を更に備え、
前記監視部は、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記送信部により送信された応答要求情報に対して応答があった機器のネットワークアドレスを第2記録部に記録し、前記パケット取得部により取得されたパケットに含まれるネットワークアドレスが前記第2記録部に記録していないネットワークアドレスである場合、第1通知部に警告を通知させることを特徴とするフィルタ装置。
(付記3) 付記1に記載のフィルタ装置であって、
前記監視部は、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記パケット取得部により取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルと、前記第1記録部に記録したアドレス記録情報とに基づいて、前記パケット取得部により取得されたネットワークアドレスにおける通信のプロトコルが、該第1記録部に記録したアドレス記録情報と相違があると判断すると、第2通知部に該相違を通知させることを特徴とするフィルタ装置。
(付記4) 付記2に記載のフィルタ装置であって、
前記応答要求情報はPingコマンドであり、
前記送信部は、前記複数のネットワークにおける機器に対して、複数のネットワークのプライベートアドレスにより前記Pingコマンドを送信することを特徴とするフィルタ装置。
(付記5) 付記1に記載のフィルタ装置であって、
前記監視部により前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断されると、前記通信回線上を流れるパケットを遮断する遮断部を更に備え、
前記パケット取得部は、前記遮断部により遮断されたパケットを取得することを特徴とするフィルタ装置。
(付記6) 通信回線上を流れるパケットのフィルタリングを行なう装置のフィルタプログラムであって、
フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定ステップと、
前記通信回線上を流れるパケットを取得するパケット取得ステップと、
前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として前記装置の第1メモリに記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1メモリに記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視ステップと
をコンピュータに実行させるフィルタプログラム。
(付記7) 付記6に記載のフィルタプログラムであって、
前記通信回線上に接続されている機器に対して、応答を求める情報である応答要求情報を送信する送信ステップを更にコンピュータに実行させ、
前記監視ステップは、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記送信ステップにより送信された応答要求情報に対して応答があった機器のネットワークアドレスを前記装置の第2メモリに記録し、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスが前記第2メモリに記録されていないネットワークアドレスである場合、前記装置に警告を通知させることを特徴とするフィルタプログラム。
(付記8) 付記6に記載のフィルタプログラムであって、
前記監視ステップは、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルと、前記第1メモリに記録したアドレス記録情報とに基づいて、前記パケット取得ステップにより取得されたネットワークアドレスにおける通信のプロトコルが、該第1メモリに記録したアドレス記録情報と相違があると判断をすると、前記装置に該相違を通知させることを特徴とするフィルタプログラム。
(付記9) 付記7に記載のフィルタプログラムであって、
前記応答要求情報はPingコマンドであり、
前記送信ステップは、前記複数のネットワークにおける機器に対して、複数のネットワークのプライベートアドレスにより前記Pingコマンドを送信することを特徴とするフィルタプログラム。
(付記10) 付記6に記載のフィルタプログラムであって、
前記監視ステップにより前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断されると、前記通信回線上を流れるパケットを遮断する遮断ステップを更にコンピュータに実行させ、
前記パケット取得ステップは、前記遮断ステップにより遮断されたパケットを取得することを特徴とするフィルタプログラム。
(付記11) 通信回線上を流れるパケットのフィルタリングを行なう装置におけるフィルタ方法であって、
フィルタリングを行なうための情報の収集を行なうか、あるいは、フィルタリングを行なうか、を判断するためのモニタモードを設定する設定ステップと、
前記通信回線上を流れるパケットを取得するパケット取得ステップと、
前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルとを対応付けてアドレス記録情報として前記装置の第1メモリに記録し、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記第1メモリに記録したアドレス記録情報に基づいて、パケットフィルタリングを実行する監視ステップと
を備えるフィルタ方法。
(付記12) 付記11に記載のフィルタ方法であって、
前記通信回線上に接続されている機器に対して、応答を求める情報である応答要求情報を送信する送信ステップを更に備え、
前記監視ステップは、前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断をすると、前記送信ステップにより送信された応答要求情報に対して応答があった機器のネットワークアドレスを前記装置の第2メモリに記録し、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスが前記第2メモリに記録されていないネットワークアドレスである場合、前記装置に警告を通知させることを特徴とするフィルタ方法。
(付記13) 付記11に記載のフィルタ方法であって、
前記監視ステップは、前記モニタモードがフィルタリングを行なうモードと判断をすると、前記パケット取得ステップにより取得されたパケットに含まれるネットワークアドレスと該ネットワークアドレスにおける通信のプロトコルと、前記第1メモリに記録したアドレス記録情報とに基づいて、前記パケット取得ステップにより取得されたネットワークアドレスにおける通信のプロトコルが、該第1メモリに記録したアドレス記録情報と相違があると判断をすると、前記装置に該相違を通知させることを特徴とするフィルタ方法。
(付記14) 付記12に記載のフィルタ方法であって、
前記応答要求情報はPingコマンドであり、
前記送信ステップは、前記複数のネットワークにおける機器に対して、複数のネットワークのプライベートアドレスにより前記Pingコマンドを送信することを特徴とするフィルタ方法。
(付記15) 付記11に記載のフィルタ方法であって、
前記監視ステップにより前記モニタモードがフィルタリングを行なうための情報の収集を行なうモードと判断されると、前記通信回線上を流れるパケットを遮断する遮断ステップを更に備え、
前記パケット取得ステップは、前記遮断ステップにより遮断されたパケットを取得することを特徴とするフィルタ方法。 As mentioned above, according to this Embodiment, the technical idea shown with the following additional remarks is disclosed.
(Appendix 1) A filter device for filtering packets flowing on a communication line,
A setting unit for setting a monitor mode for determining whether to collect information for filtering or to perform filtering;
A packet acquisition unit for acquiring a packet flowing on the communication line;
When it is determined that the monitor mode is a mode for collecting information for filtering, address recording information is obtained by associating a network address included in the packet acquired by the packet acquisition unit with a communication protocol at the network address. And a monitoring unit that executes packet filtering based on the address recording information recorded in the first recording unit when the monitoring mode is determined to be a filtering mode.
(Appendix 2) The filter device according to Appendix 1,
A transmission unit for transmitting response request information, which is information for requesting a response, to a device connected on the communication line;
When the monitoring unit determines that the monitor mode is a mode for collecting information for filtering, the second recording is performed on the network address of the device that has responded to the response request information transmitted by the transmission unit. And when the network address included in the packet acquired by the packet acquisition unit is a network address not recorded in the second recording unit, the first notification unit is notified of a warning. Filter device.
(Supplementary note 3) The filter device according to supplementary note 1, wherein
When the monitoring unit determines that the monitoring mode is a filtering mode, the monitoring unit records the network address included in the packet acquired by the packet acquisition unit, the communication protocol at the network address, and the first recording unit. When it is determined that the communication protocol at the network address acquired by the packet acquisition unit is different from the address recording information recorded in the first recording unit based on the address recording information, the difference is displayed in the second notification unit. The filter device characterized by the above.
(Appendix 4) The filter device according to Appendix 2,
The response request information is a Ping command,
The filter device, wherein the transmission unit transmits the Ping command to devices in the plurality of networks using private addresses of the plurality of networks.
(Additional remark 5) It is a filter apparatus of Additional remark 1, Comprising:
When the monitoring unit determines that the monitoring mode is a mode for collecting information for filtering, the monitoring unit further includes a blocking unit that blocks packets flowing on the communication line,
The filter device, wherein the packet acquisition unit acquires a packet blocked by the blocking unit.
(Supplementary note 6) A filter program of a device for filtering packets flowing on a communication line,
A setting step for setting a monitor mode for determining whether to collect information for filtering or to perform filtering;
A packet acquisition step of acquiring a packet flowing on the communication line;
If it is determined that the monitor mode is a mode for collecting information for filtering, address recording information is obtained by associating a network address included in the packet acquired by the packet acquisition step with a communication protocol at the network address. When the monitor mode is determined to be a filtering mode, the computer executes a monitoring step for performing packet filtering based on the address record information recorded in the first memory. Filter program to let you.
(Supplementary note 7) The filter program according to supplementary note 6, wherein
For a device connected on the communication line, further causing the computer to execute a transmission step of transmitting response request information that is information for requesting a response,
When the monitoring step determines that the monitor mode is a mode for collecting information for filtering, the network address of the device that has responded to the response request information transmitted by the transmission step is A filter which is recorded in a second memory and causes the device to be notified of a warning when a network address included in the packet acquired in the packet acquisition step is a network address not recorded in the second memory. program.
(Supplementary note 8) The filter program according to supplementary note 6, wherein
When the monitoring step determines that the monitoring mode is a filtering mode, the network address included in the packet acquired by the packet acquisition step, the communication protocol at the network address, and the address recorded in the first memory If it is determined that the communication protocol at the network address acquired by the packet acquisition step is different from the address record information recorded in the first memory based on the record information, the apparatus is notified of the difference. A filter program characterized by that.
(Supplementary note 9) The filter program according to supplementary note 7,
The response request information is a Ping command,
The transmission program includes transmitting the Ping command to devices in the plurality of networks using private addresses of the plurality of networks.
(Supplementary note 10) The filter program according to supplementary note 6, wherein
When the monitoring step determines that the monitoring mode is a mode for collecting information for filtering, the computer further executes a blocking step for blocking packets flowing on the communication line,
The filter program characterized in that the packet acquisition step acquires the packet blocked by the blocking step.
(Supplementary note 11) A filtering method in an apparatus for filtering packets flowing on a communication line,
A setting step for setting a monitor mode for determining whether to collect information for filtering or to perform filtering;
A packet acquisition step of acquiring a packet flowing on the communication line;
If it is determined that the monitor mode is a mode for collecting information for filtering, address recording information is obtained by associating a network address included in the packet acquired by the packet acquisition step with a communication protocol at the network address. And a monitoring step of performing packet filtering based on the address record information recorded in the first memory when it is determined that the monitor mode is a filtering mode. .
(Supplementary note 12) The filtering method according to supplementary note 11, wherein
A transmission step of transmitting response request information, which is information for requesting a response, to a device connected on the communication line;
When the monitoring step determines that the monitor mode is a mode for collecting information for filtering, the network address of the device that has responded to the response request information transmitted by the transmission step is A filter which is recorded in a second memory and causes the device to be notified of a warning when a network address included in the packet acquired in the packet acquisition step is a network address not recorded in the second memory. Method.
(Supplementary note 13) The filtering method according to supplementary note 11, wherein
When the monitoring step determines that the monitoring mode is a filtering mode, the network address included in the packet acquired by the packet acquisition step, the communication protocol at the network address, and the address recorded in the first memory If it is determined that the communication protocol at the network address acquired by the packet acquisition step is different from the address record information recorded in the first memory based on the record information, the apparatus is notified of the difference. A filtering method characterized by the above.
(Supplementary note 14) The filtering method according to supplementary note 12,
The response request information is a Ping command,
The transmission method includes transmitting the Ping command to devices in the plurality of networks using private addresses of the plurality of networks.
(Supplementary note 15) The filtering method according to supplementary note 11, wherein
When the monitoring step determines that the monitoring mode is a mode for collecting information for filtering, the method further includes a blocking step for blocking packets flowing on the communication line,
The filtering method, wherein the packet acquisition step acquires the packet blocked by the blocking step.

1 フィルタ装置、2 設定用端末、10 登録部、11 監視部、12 アドレス管理DB、13 マトリクスDB、14 フィルタリングDB。   1 filter device, 2 setting terminal, 10 registration unit, 11 monitoring unit, 12 address management DB, 13 matrix DB, 14 filtering DB.

Claims (5)

通信回線上を流れるパケットのフィルタリングを行うフィルタ装置であって、
1以上のネットワークアドレスを格納するデータベースと、
前記通信回線上を流れるパケットのうち、送信元もしくは送信先のネットワークアドレスが、前記1以上のネットワークアドレスを格納するデータベースに格納されているネットワークアドレスと一致するか否かに応じて、該パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けてデータベースに記録するか否かを制御する手段と、
パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けて記憶する前記データベースに記憶された内容と一致するか否かに基づいて、前記通信回線上を流れるパケットのフィルタリングを行う手段と、
を有することを特徴とするフィルタ装置。 A filter device for filtering packets flowing on a communication line,
A database storing one or more network addresses;
Of the packets flowing on the communication line, depending on whether or not the network address of the transmission source or the transmission destination matches the network address stored in the database storing the one or more network addresses, Means for controlling whether or not the source network address, the destination network address, and the protocol are associated and recorded in the database;
Means for filtering packets flowing on the communication line based on whether or not they match the contents stored in the database that stores the packet source network address, the destination network address, and the protocol in association with each other ; ,
A filter device comprising: 前記フィルタ装置はさらに、
前記フィルタ装置が接続されたネットワークにおける各プライベートアドレスに応答要求情報を送信し、送信した該応答要求情報に対して応答があった機器のネットワークアドレスを、前記1以上のネットワークアドレスを格納するデータベースに格納する手段
を有することを特徴とする請求項1に記載のフィルタ装置。 The filter device further includes
Response request information is transmitted to each private address in the network to which the filter device is connected, and the network address of the device that has responded to the transmitted response request information is stored in the database that stores the one or more network addresses. Means to store
Filter apparatus according to claim 1, characterized in that it comprises a. 抽出した前記パケットの送信元もしくは送信先のネットワークアドレスが、前記1以上のネットワークアドレスを格納するデータベースに格納されているネットワークアドレスと一致しない場合に、警告情報を出力する処理を実行することを特徴とする、請求項1または請求項2に記載のフィルタ装置。A process of outputting warning information is executed when the network address of the source or destination of the extracted packet does not match the network address stored in the database storing the one or more network addresses. The filter device according to claim 1 or 2. 通信回線上を流れるパケットのフィルタリングを行なうためのフィルタプログラムであって、
前記通信回線上を流れるパケットのうち、送信元もしくは送信先のネットワークアドレスが、1以上のネットワークアドレスを格納するデータベースに格納されているネットワークアドレスと一致するか否かに応じて、該パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けてデータベースに記録するか否かを制御するステップと、
パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けて記憶する前記データベースに記憶された内容と一致するか否かに基づいて、前記通信回線上を流れるパケットのフィルタリングを行うステップと、
をコンピュータに実行させるためのフィルタプログラム。 A filter program for filtering packets flowing on a communication line,
Of the packets flowing on the communication line, transmission of the packet depends on whether the network address of the transmission source or the transmission destination matches the network address stored in the database storing one or more network addresses. Controlling whether the original network address, the destination network address, and the protocol are recorded in the database in association with each other ;
On the basis of whether it matches the database stored contents to be stored in association with the source network address of the packet and the destination network address and protocol, and performing filtering of a packet flowing on the communication line ,
A filter program that causes a computer to execute. 通信回線上を流れるパケットのフィルタリングを行なう装置におけるフィルタ方法であって、
前記通信回線上を流れるパケットのうち、送信元もしくは送信先のネットワークアドレスが、1以上のネットワークアドレスを格納するデータベースに格納されているネットワークアドレスと一致するか否かに応じて、該パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けてデータベースに記録するか否かを制御するステップと、
パケットの送信元ネットワークアドレスと送信先ネットワークアドレスとプロトコルとを対応付けて記憶する前記データベースに記憶された内容と一致するか否かに基づいて、前記通信回線上を流れるパケットのフィルタリングを行うステップと、
を備えるフィルタ方法。 A filtering method in an apparatus for filtering packets flowing on a communication line,
Of the packets flowing on the communication line, transmission of the packet depends on whether the network address of the transmission source or the transmission destination matches the network address stored in the database storing one or more network addresses. Controlling whether the original network address, the destination network address, and the protocol are recorded in the database in association with each other;
Filtering packets flowing on the communication line based on whether or not they match the contents stored in the database that stores the packet source network address, the destination network address, and the protocol in association with each other; and ,
A filtering method comprising:
JP2009013819A 2008-09-22 2009-01-26 Filter device, filter program and method Expired - Fee Related JP5176983B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009013819A JP5176983B2 (en) 2008-09-22 2009-01-26 Filter device, filter program and method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2008241938 2008-09-22
JP2008241938 2008-09-22
JP2009013819A JP5176983B2 (en) 2008-09-22 2009-01-26 Filter device, filter program and method

Publications (2)

Publication Number Publication Date
JP2010098706A JP2010098706A (en) 2010-04-30
JP5176983B2 true JP5176983B2 (en) 2013-04-03

Family

ID=42260044

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009013819A Expired - Fee Related JP5176983B2 (en) 2008-09-22 2009-01-26 Filter device, filter program and method

Country Status (1)

Country Link
JP (1) JP5176983B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5430181B2 (en) * 2009-03-10 2014-02-26 キヤノン株式会社 Image forming apparatus, control method thereof, and program
JP5605237B2 (en) * 2010-06-30 2014-10-15 沖電気工業株式会社 COMMUNICATION CONTROL DEVICE AND PROGRAM, AND COMMUNICATION SYSTEM
EP2500838A1 (en) * 2011-03-16 2012-09-19 Samsung SDS Co. Ltd. SOC-based device for packet filtering and packet filtering method thereof
JP2017130963A (en) * 2017-03-15 2017-07-27 アラクサラネットワークス株式会社 Network device and communication method
JP6927081B2 (en) * 2018-02-27 2021-08-25 日本電信電話株式会社 Management system and management method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030126248A1 (en) * 2001-12-28 2003-07-03 Chambers Paul S. Method to automatically configure network routing device
JP2005005820A (en) * 2003-06-10 2005-01-06 Hitachi Ltd Filter setting information management method for filtering apparatus
JP2005318037A (en) * 2004-04-27 2005-11-10 Nippon Dentsu Co Ltd Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
JP4720363B2 (en) * 2005-08-19 2011-07-13 パナソニック電工株式会社 Filtering device

Also Published As

Publication number Publication date
JP2010098706A (en) 2010-04-30

Similar Documents

Publication Publication Date Title
JP5176983B2 (en) Filter device, filter program and method
US20120117642A1 (en) Information security protection host
JP2006121143A (en) Packet analysis system
JP2012221186A5 (en) Management device, management method, program, and recording medium
CN111273573A (en) Environmental data monitoring method and device
JP2006253753A (en) Wireless access network system
JP6033189B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
JP2011107754A (en) Plant-monitoring control system
JP2008258846A (en) Ethernet switch and remote capture system
JP4658901B2 (en) System and network monitoring method
WO2020195229A1 (en) Analysis system, method, and program
JP4235907B2 (en) Worm propagation monitoring system
JP4241677B2 (en) Communication management device, unauthorized communication terminal device identification system and method, and program
JP2015119275A (en) Communication device, packet monitoring method, and computer program
WO2014045369A1 (en) Switch device, control program, and zoning setting method
WO2009044460A9 (en) Server operation information acquisition device, method, and computer program
JP6939220B2 (en) Data analysis program, data analysis method, and data analysis device
JP3737503B2 (en) Monitoring system, monitoring method and program thereof
JP7164016B2 (en) Analysis system, method and program
US10084671B2 (en) Communication device and packet monitoring method
JP2012221184A5 (en) System management method, program, and recording medium
JP4361570B2 (en) Packet control instruction management method
JP6953903B2 (en) Communication monitoring equipment, systems, methods and programs
JP4714245B2 (en) Network visualization apparatus and method, program, and storage medium
JP3415620B2 (en) Communication system, communication management system between networks, method for managing communication between networks, program, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120821

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121022

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121224

LAPS Cancellation because of no payment of annual fees