JP5223376B2 - リモートアクセスシステム、方法及びプログラム - Google Patents
リモートアクセスシステム、方法及びプログラム Download PDFInfo
- Publication number
- JP5223376B2 JP5223376B2 JP2008050173A JP2008050173A JP5223376B2 JP 5223376 B2 JP5223376 B2 JP 5223376B2 JP 2008050173 A JP2008050173 A JP 2008050173A JP 2008050173 A JP2008050173 A JP 2008050173A JP 5223376 B2 JP5223376 B2 JP 5223376B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- access server
- remote terminal
- vpn
- logical line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Description
となった接続からパケットが受信されるかどうかに従って、パケットに関し制限された一連のアクションを実行する。パケットがそのように可能となった接続から受信されるならば、プレ・フィルタリング・モジュールは、パケット上で随意に1又はそれ以上のアクションを実行して、それらの宛先へパケットを転送する。そうでなければ、パケットは処理のためにファイアウォールへ転送される。1度ファイアウォールが、プレ・フィルタリング・モジュールの接続に対する責任を移す、あるいは接続を「オフロードされる」ならば、接続の間にタイムアウトが生じるまで、もしくはセッションが終了したことを示す特定のセッション制御フィールド値で受信されるまで、ファイアウォールがさらなるパケッ
トを受信しない、つまりパケットは接続が閉じられる。
リモート端末と、
前記リモート端末からの接続を収容するアクセスサーバと、
前記リモート端末と前記アクセスサーバとを論理的に接続する第1及び第2の論理回線とを備えるリモートアクセスシステムであって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、
前記第1の論理回線は、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットの転送に用いられ、
前記第2の論理回線は、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットの転送に用いられることを特徴とする。
前記リモート端末における前記フロー検索処理部が、フローを分類し、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されることが好ましい。
前記アクセスサーバが、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、
前記アクセスサーバにおける前記通過判定処理部が、前記第1の論理回線を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報を前記アクセスサーバにおける前記フロー検索処理部に登録するように構成されることが好ましい。
前記アクセスサーバにおける前記フロー検索処理部が、前記リモート端末に送信すべきパケットが属するフローを分類し、通過の可否の判定が不要である場合には、該フローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、通過の可否の判定が必要である場合には、前記通過判定処理部によって該フローに対する通過の判定を行なった後に前記第1の論理回線を介して前記リモート端末に送信するように構成されることが好ましい。
前記リモート端末における前記フロー検索処理部によって参照されるフロー情報が、前記第2の論理回線を介して受信したパケットが属するフロー情報に基づいて、前記リモート端末に設けたフローテーブルに自動登録されることが好ましい。
前記アクセスサーバにおける前記フロー検索処理部によって参照されるフロー情報が、前記通過判定処理部によって通過が許可された場合に、前記アクセスサーバに設けたフローテーブルに登録されることが好ましい。
アクセスサーバによって接続を収容され、該アクセスサーバと第1及び第2の論理回線によって論理的に接続されたリモート端末であって、
前記リモート端末は、フローを分類するフロー検索処理部を備え、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記アクセスサーバに送信するように構成されたことを特徴とする。
リモート端末からの接続を収容し、該リモート端末と第1及び第2の論理回線によって論理的に接続されたアクセスサーバであって、
前記アクセスサーバは、フローの通過の可否を判定する通過判定処理部と、フローを分類するフロー検索処理部とを備え、自身によって通過の可否の判定を要するフローに含まれるパケットを前記第1の論理回線介して前記リモート端末に送信し、自身によって通過の許可がされたフローに含まれるパケットを前記第2の論理回線を介して前記リモート端末に送信するように構成されたことを特徴とする。
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス方法であって、
前記リモート端末によって、フローを分類する工程と、
前記リモート端末によって、前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバによって、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
リモート端末からアクセスサーバへのリモートアクセス方法であって、
フローを分類する工程と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する工程と、を含むことを特徴とする。
アクセスサーバからリモート端末へのリモートアクセス方法であって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含むことを特徴とする。
リモート端末と該リモート端末からの接続を収容するアクセスサーバとの間のリモートアクセス処理を、該リモート端末及び該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させるとともに、
前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
リモート端末からアクセスサーバへのリモートアクセス処理を、該リモート端末に備えたコンピュータに実行させるリモートアクセスプログラムであって、
フローを分類する処理と、
前記アクセスサーバによる通過の可否の判定を要するフローに含まれるパケットを第1の論理回線を介して前記アクセスサーバに送信するとともに、前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを第2の論理回線を介して前記アクセスサーバに送信する処理と、を前記リモート端末に備えたコンピュータに実行させることを特徴とする。
アクセスサーバからリモート端末へのリモートアクセス処理を、該アクセスサーバに備えたコンピュータに実行させるリモートアクセスプログラムであって、
前記アクセスサーバによって通過の許可がされたフローに含まれるパケットを送信するための専用の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する処理を、前記アクセスサーバに備えたコンピュータに実行させることを特徴とする。
本発明の第10の視点に係るリモートアクセスシステムは、
リモート端末と、
第1の論理回線および第2の論理回線を介して前記リモート端末に接続されたアクセスサーバと、を備え、
前記アクセスサーバは、前記リモート端末から、前記第1の論理回線を介して受信したパケットに対する通過の可否を判定し、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、
前記リモート端末は、前記アクセスサーバによる通過の可否の判定を要するフローに属するパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録し、前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する。
本発明の第11の視点に係るリモート端末は、
第1の論理回線および第2の論理回線を介してアクセスサーバに接続されたリモート端末であって、
前記アクセスサーバは、前記リモート端末から、前記第1の論理回線を介して受信したパケットに対する通過の可否を判定し、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、
前記リモート端末は、前記アクセスサーバによる通過の可否の判定を要するフローに属するパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録し、前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する。
本発明の第12の視点に係るリモートアクセス方法は、
リモート端末が、第1の論理回線および第2の論理回線を介して前記リモート端末に接続されたアクセスサーバによる通過の可否の判定を要するフローに属するパケットを、前記第1の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバが、前記リモート端末から前記第1の論理回線を介して受信したパケットに対する通過の可否を判定する工程と、
通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信する工程と、
前記リモート端末が、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録する工程と、
前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバが、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含む。
本発明の第1の実施形態に係るリモートアクセスシステムについて図面を参照して説明する。図1は、本実施形態に係るリモートアクセスシステムの構成を示すブロック図である。
通過判定処理部42は、第1の論理回線51を介して受信したパケットに対して通過の可否を判定し、通過を許可する場合には、該パケットが属するフローの情報をフロー検索処理部41に登録することが好ましい。
本発明の第2の実施形態にリモートアクセスシステムについて図面を参照して説明する。本実施形態は、VPNを用いたリモートアクセスに関するものである。図2は、本実施形態のリモートアクセスシステムの構成を示すブロック図である。リモートアクセスシステムは、VPNリモート端末100−1〜100〜NとVPNアクセスサーバ200とを備え、これらは、公衆回線10を介して相互に接続される。
次に、本発明の第3の実施形態について図面を参照して詳細に説明する。図2は、本実施形態に係るVPNリモートアクセスシステムの構成を示す。VPNアクセスサーバ200は、LAN20と公衆回線10とに接続される。VPNアクセスサーバ200は、公衆回線(インターネット等を含む)10を介してVPNリモート端末100−1〜100−Nとの間に、VPN11−1〜11−NとVPN12−1〜12−Nとを確立している。VPNリモート端末100−1〜100−Nは、このVPNを介して、LAN20に接続されたサーバ300のサービスを利用することが可能になる。なお、Nはリモート端末の個数を表し、本実施形態においてNは任意の数である。
11、12、11−1〜11−N、12−N VPN
20、21 LAN
30、60 リモート端末
31、41 フロー検索処理部
42 通過判定処理部
40、70 アクセスサーバ
51、52 論理回線
61、71 CPU
100、100−1〜100−N、400−1〜400−N VPNリモート端末
110、210、411 VPN終端処理部
120、220 アクセス制御部
121 フロー情報抽出処理部
123、223 多重処理部
124、224 フロー検索処理部
125、225 フローテーブル
130 プロトコル処理部
140 アプリケーション
200、200−1〜200−N、410 VPNアクセスサーバ
221 通過判定処理
222 ポリシーテーブル
300 サーバ
500 フィルタ装置
Claims (3)
- リモート端末と、
第1の論理回線および第2の論理回線を介して前記リモート端末に接続されたアクセスサーバと、を備え、
前記アクセスサーバは、前記リモート端末から、前記第1の論理回線を介して受信したパケットに対する通過の可否を判定し、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、
前記リモート端末は、前記アクセスサーバによる通過の可否の判定を要するフローに属するパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録し、前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する、リモートアクセスシステム。 - 第1の論理回線および第2の論理回線を介してアクセスサーバに接続されたリモート端末であって、
前記アクセスサーバは、前記リモート端末から、前記第1の論理回線を介して受信したパケットに対する通過の可否を判定し、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可し、通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信し、
前記リモート端末は、前記アクセスサーバによる通過の可否の判定を要するフローに属するパケットを前記第1の論理回線を介して前記アクセスサーバに送信し、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録し、前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する、リモート端末。 - リモート端末が、第1の論理回線および第2の論理回線を介して前記リモート端末に接続されたアクセスサーバによる通過の可否の判定を要するフローに属するパケットを、前記第1の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバが、前記リモート端末から前記第1の論理回線を介して受信したパケットに対する通過の可否を判定する工程と、
通過を許可したフローに属するパケットを前記第2の論理回線を介して前記リモート端末に送信する工程と、
前記リモート端末が、前記アクセスサーバから前記第2の論理回線を経由して受信したパケットが属するフローを示すフロー情報を自身に設けられたフローテーブルに登録する工程と、
前記フローテーブルに登録されたフロー情報に該当するフローに属するパケットを前記第2の論理回線を介して前記アクセスサーバに送信する工程と、
前記アクセスサーバが、前記第2の論理回線を介して受信したパケットに対して通過の可否を判定することなく通過を許可する工程と、を含む、リモートアクセス方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008050173A JP5223376B2 (ja) | 2008-02-29 | 2008-02-29 | リモートアクセスシステム、方法及びプログラム |
US12/394,494 US8151320B2 (en) | 2008-02-29 | 2009-02-27 | Remote access system, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008050173A JP5223376B2 (ja) | 2008-02-29 | 2008-02-29 | リモートアクセスシステム、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009207094A JP2009207094A (ja) | 2009-09-10 |
JP5223376B2 true JP5223376B2 (ja) | 2013-06-26 |
Family
ID=41014254
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008050173A Expired - Fee Related JP5223376B2 (ja) | 2008-02-29 | 2008-02-29 | リモートアクセスシステム、方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8151320B2 (ja) |
JP (1) | JP5223376B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100005181A1 (en) * | 2008-07-07 | 2010-01-07 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for controlling a terminal access and terminal for controlling an access |
JP5943410B2 (ja) * | 2011-09-21 | 2016-07-05 | 日本電気株式会社 | 通信装置、制御装置、通信システム、通信制御方法及びプログラム |
US9203694B2 (en) * | 2013-03-15 | 2015-12-01 | Telefonaktiebolaget L M Ericsson (Publ) | Network assisted UPnP remote access |
CN104601431B (zh) * | 2014-12-31 | 2018-04-20 | 华为技术有限公司 | 一种vpn业务的接入方法及网络设备 |
US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
US10091168B2 (en) * | 2015-12-27 | 2018-10-02 | T-Mobile Usa, Inc. | Wireless access point security |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3961112B2 (ja) * | 1998-04-23 | 2007-08-22 | 株式会社東芝 | パケット通信制御システム及びパケット通信制御装置 |
US6496935B1 (en) | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US7475426B2 (en) * | 2001-11-30 | 2009-01-06 | Lancope, Inc. | Flow-based detection of network intrusions |
AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
JP2004334455A (ja) * | 2003-05-07 | 2004-11-25 | Fujitsu Ltd | サーバ装置 |
JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
US8024429B2 (en) * | 2007-01-18 | 2011-09-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for remote access to a home network |
-
2008
- 2008-02-29 JP JP2008050173A patent/JP5223376B2/ja not_active Expired - Fee Related
-
2009
- 2009-02-27 US US12/394,494 patent/US8151320B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8151320B2 (en) | 2012-04-03 |
US20090222892A1 (en) | 2009-09-03 |
JP2009207094A (ja) | 2009-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11784928B2 (en) | System and method for dataplane-signaled packet capture in IPv6 environment | |
US11394692B2 (en) | Distributed tunneling for VPN | |
US10778464B2 (en) | NSH encapsulation for traffic steering establishing a tunnel between virtual extensible local area network (VxLAN) tunnel end points (VTEPS) using a NSH encapsulation header comprising a VxLAN header whose VNI field has been replaced by an NSH shim | |
US9967200B2 (en) | Service processing switch | |
US7587587B2 (en) | Data path security processing | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
JP4826827B2 (ja) | 通信装置、通信システム、通信方法、及びプログラム | |
US9015467B2 (en) | Tagging mechanism for data path security processing | |
US6708218B1 (en) | IpSec performance enhancement using a hardware-based parallel process | |
EP1435716B1 (en) | Security association updates in a packet load-balanced system | |
EP1570361B1 (en) | Method and apparatus for performing network processing functions | |
US7296092B2 (en) | Apparatus for inter-domain communications including a virtual switch for routing data packets between virtual interfaces of the virtual switch | |
US9294302B2 (en) | Non-fragmented IP packet tunneling in a network | |
US8037303B2 (en) | System and method for providing secure multicasting across virtual private networks | |
JP5223376B2 (ja) | リモートアクセスシステム、方法及びプログラム | |
US20070211735A1 (en) | System and method for providing packet proxy services across virtual private networks | |
WO2013063791A1 (en) | Nat/firewall accelerator | |
US20080077694A1 (en) | Method and system for network security using multiple virtual network stack instances | |
US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
CN111988211A (zh) | 网络设备的报文分流方法和装置 | |
US20100183019A1 (en) | Method and apparatus for distributing data packets to multiple network addresses | |
US9912575B2 (en) | Routing network traffic packets through a shared inline tool | |
US20170339055A1 (en) | Communication device and communication method | |
US7454522B2 (en) | Connection management apparatus for network devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110112 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120501 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130225 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160322 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |