JP5367936B2 - 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ - Google Patents
分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ Download PDFInfo
- Publication number
- JP5367936B2 JP5367936B2 JP2005306494A JP2005306494A JP5367936B2 JP 5367936 B2 JP5367936 B2 JP 5367936B2 JP 2005306494 A JP2005306494 A JP 2005306494A JP 2005306494 A JP2005306494 A JP 2005306494A JP 5367936 B2 JP5367936 B2 JP 5367936B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- compliant
- network
- security policy
- current version
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
理解を容易にするために、可能な場合には、各図に共通する同一の要素を示すために同一の参照番号を使用している。
工程308で、IPネットワークのIPアドレス・サーバは、クライアントを分離サブネットワークに向けるように構成された以前に決定されたサブネットワーク範囲のIPアドレスをクライアントに割り当てる。次いで方法300は工程310に進む。
Claims (10)
- プロセッサで実行されたときに、ネットワークのセキュリティ・ポリシーを実現する方法を該プロセッサに実行させるためのコンピュータ命令からなるコンピュータプログラムを記録するコンピュータ読み取り可能な記録媒体であって、前記方法が
前記ネットワークへの接続を望むクライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠しているか否かを判定する工程であって、前記セキュリティ・ポリシーが、クライアント上で実行するのに適合するアクティブ・フォーマットにて表現され、及び準拠が前記クライアントにより送られるトークンを検査することによって判定される工程と、
クライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠していない場合、拡張可能認証プロトコル(EAP)を用いて、前記ネットワーク内の複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)のうちのサブセットのみの有効なユーザとして前記クライアントを認証するようにすることにより、複数の仮想ローカル・エリア・ネットワーク(VLANs)の前記ネットワークへのクライアントのアクセスを制限する工程と、を含むコンピュータ読取り可能な記録媒体。
- 前記セキュリティ・ポリシーの現在のバージョンをダウンロードすると、クライアントが前記トークンを生成する、請求項1に記載のコンピュータ読取り可能な記録媒体。
- 該セキュリティ・ポリシーの現在のバージョンに準拠していると判定された準拠クライアントに、前記ネットワークに接続するためのアドレスが発行される、請求項1に記載のコンピュータ読取り可能な記録媒体。
- 該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、この非準拠クライアントを該複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)の該サブセットに向けるよう適合する所定のIPアドレスが発行されることによって、該複数の利用可能なVLANsの該サブセットに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
- 該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、該非準拠クライアントを複数の仮想ローカル・エリア・ネットワークのうちの1つのネットワークに向けるのに適合した所定のアドレスを発行されることによって、該複数の仮想ローカル・エリア・ネットワークのうちの該1つのネットワークに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
- 該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、この非準拠クライアントを該複数の利用可能なVLANsの該サブセットに向けるのに適合したVLAN IDが発行されることにより、該複数の利用可能なVLANsの該サブセットに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
- 該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、該非準拠クライアントを所定の分離したVLANにむけるのに適合した仮想ローカル・エリア・ネットワークID(VLAN ID)により、分離したサブネットワークに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
- RADIUSサーバは、クライアントが準拠クライアントであるか又は非準拠クライアントであるかに応じて異なるVLAN IDを該クライアントに割り当て、該クライアントが非準拠クライアントである場合に、該VLAN IDによって特定されるVLANを通して該非準拠クライアントからのパケットを各交換機がルーティングし、該非準拠クライアントがネットワーク資源の全てに到達しないようする、請求項7に記載のコンピュータ読取り可能な記録媒体。
- 該複数の利用可能なVLANsの該サブセットがすべてのネットワーク資源から該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントを分離する処理、
該複数の利用可能なVLANsの該サブセットが、前記セキュリティ・ポリシーの現在のバージョンにアクセスするためのローカル・サーバに該非準拠クライアントを向ける処理、及び
該複数の利用可能なVLANsの該サブセットは、前記セキュリティ・ポリシーの現在のバージョンにアクセスするための所定のウェブサイトに該非準拠クライアントを向けるウェブ・サーバに対して、この非準拠クライアントを向ける処理、
のうちの少なくとも1つの処理が行われる、請求項1に記載のコンピュータ読取り可能な記録媒体。
- クライアントがネットワークへの接続を要求すると前記ネットワークのセキュリティ・ポリシーを実現する装置であって、情報及びプログラム命令を記憶するメモリと、前記プログラム命令を実行するプロセッサとを含み、
前記ネットワークへの接続を望むクライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠しているか否かを判定する工程であって、前記セキュリティ・ポリシーがクライアント上で実行するのに適合したアクティブ・フォーマットで表現され、及び準拠が前記クライアントにより送られるトークンを検査することにより判定される工程と、
クライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠していない場合、拡張可能認証プロトコル(EAP)を用いて、前記ネットワーク内の複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)のうちのサブセットのみの有効なユーザとして前記クライアントを認証するようにすることにより、複数の仮想ローカル・エリア・ネットワーク(VLANs)の前記ネットワークへのクライアントのアクセスを制限する工程と、を遂行するよう機能する装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/970,350 US7877786B2 (en) | 2004-10-21 | 2004-10-21 | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
US10/970350 | 2004-10-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006121704A JP2006121704A (ja) | 2006-05-11 |
JP5367936B2 true JP5367936B2 (ja) | 2013-12-11 |
Family
ID=35603406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005306494A Expired - Fee Related JP5367936B2 (ja) | 2004-10-21 | 2005-10-21 | 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ |
Country Status (4)
Country | Link |
---|---|
US (1) | US7877786B2 (ja) |
EP (1) | EP1650930B1 (ja) |
JP (1) | JP5367936B2 (ja) |
DE (1) | DE602005009101D1 (ja) |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040128539A1 (en) * | 2002-12-30 | 2004-07-01 | Intel Corporation | Method and apparatus for denial of service attack preemption |
US7607021B2 (en) * | 2004-03-09 | 2009-10-20 | Cisco Technology, Inc. | Isolation approach for network users associated with elevated risk |
US8154987B2 (en) * | 2004-06-09 | 2012-04-10 | Intel Corporation | Self-isolating and self-healing networked devices |
US7877786B2 (en) | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
US20060095961A1 (en) * | 2004-10-29 | 2006-05-04 | Priya Govindarajan | Auto-triage of potentially vulnerable network machines |
US7996881B1 (en) * | 2004-11-12 | 2011-08-09 | Aol Inc. | Modifying a user account during an authentication process |
US8245294B1 (en) * | 2004-11-23 | 2012-08-14 | Avaya, Inc. | Network based virus control |
JP4173866B2 (ja) * | 2005-02-21 | 2008-10-29 | 富士通株式会社 | 通信装置 |
US8020190B2 (en) * | 2005-10-14 | 2011-09-13 | Sdc Software, Inc. | Enhanced browser security |
JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
US9602538B1 (en) * | 2006-03-21 | 2017-03-21 | Trend Micro Incorporated | Network security policy enforcement integrated with DNS server |
US8935416B2 (en) * | 2006-04-21 | 2015-01-13 | Fortinet, Inc. | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer |
EP1858217A1 (en) * | 2006-05-16 | 2007-11-21 | Koninklijke KPN N.V. | Shared Internet access |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
US8196181B2 (en) * | 2006-10-13 | 2012-06-05 | Quipa Holdings Limited | Private network system and method |
US8677141B2 (en) * | 2007-11-23 | 2014-03-18 | Microsoft Corporation | Enhanced security and performance of web applications |
US8312270B1 (en) * | 2007-12-17 | 2012-11-13 | Trend Micro, Inc. | DHCP-based security policy enforcement system |
US20090217346A1 (en) * | 2008-02-22 | 2009-08-27 | Manring Bradley A C | Dhcp centric network access management through network device access control lists |
US8365246B2 (en) * | 2008-03-18 | 2013-01-29 | International Business Machines Corporation | Protecting confidential information on network sites based on security awareness |
US8484705B2 (en) * | 2008-04-25 | 2013-07-09 | Hewlett-Packard Development Company, L.P. | System and method for installing authentication credentials on a remote network device |
US20090271852A1 (en) * | 2008-04-25 | 2009-10-29 | Matt Torres | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment |
US9218469B2 (en) | 2008-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | System and method for installing authentication credentials on a network device |
US8898332B2 (en) * | 2008-11-20 | 2014-11-25 | At&T Intellectual Property I, L.P. | Methods, systems, devices and computer program products for protecting a network by providing severable network zones |
WO2010114927A1 (en) * | 2009-03-31 | 2010-10-07 | Napera Networks | Network-assisted health reporting activation |
US8621574B2 (en) * | 2009-06-02 | 2013-12-31 | Microsoft Corporation | Opaque quarantine and device discovery |
US8868693B2 (en) * | 2010-03-02 | 2014-10-21 | Bank Of America Corporation | Compliance tool |
US8959570B2 (en) * | 2010-07-02 | 2015-02-17 | International Business Machines Corporation | Verifying a security token |
US9251494B2 (en) * | 2010-11-05 | 2016-02-02 | Atc Logistics & Electronics, Inc. | System and method for tracking customer personal information in a warehouse management system |
JP5505654B2 (ja) * | 2011-04-04 | 2014-05-28 | 日本電気株式会社 | 検疫ネットワークシステム及び検疫方法 |
US9319429B2 (en) | 2011-07-11 | 2016-04-19 | Nec Corporation | Network quarantine system, network quarantine method and program therefor |
US9519782B2 (en) * | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
US8826429B2 (en) * | 2012-04-02 | 2014-09-02 | The Boeing Company | Information security management |
US9237188B1 (en) | 2012-05-21 | 2016-01-12 | Amazon Technologies, Inc. | Virtual machine based content processing |
CA2851709A1 (en) | 2013-05-16 | 2014-11-16 | Peter S. Warrick | Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address |
US9171174B2 (en) * | 2013-11-27 | 2015-10-27 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted |
CN106209799A (zh) * | 2016-06-29 | 2016-12-07 | 深圳市先河系统技术有限公司 | 一种实现动态网络防护的方法、系统及动态防火墙 |
JP7063185B2 (ja) * | 2018-08-15 | 2022-05-09 | 日本電信電話株式会社 | 通信システム及び通信方法 |
BR112022012042A2 (pt) | 2019-12-18 | 2022-08-30 | Huawei Tech Co Ltd | Execução de negociação de segurança para configuração de rede |
CN113992461B (zh) * | 2021-10-26 | 2024-01-30 | 亿次网联(杭州)科技有限公司 | 一种数据隔离传输方法、系统及存储介质 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5805803A (en) * | 1997-05-13 | 1998-09-08 | Digital Equipment Corporation | Secure web tunnel |
US6202157B1 (en) * | 1997-12-08 | 2001-03-13 | Entrust Technologies Limited | Computer network security system and method having unilateral enforceable security policy provision |
US7673323B1 (en) * | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
US6779120B1 (en) * | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
US7150037B2 (en) * | 2001-03-21 | 2006-12-12 | Intelliden, Inc. | Network configuration manager |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
JP3984895B2 (ja) * | 2001-10-03 | 2007-10-03 | キヤノン株式会社 | 情報処理装置およびサーバ装置およびドライバ更新方法およびコンピュータが読み取り可能な記憶媒体およびプログラム |
US6950628B1 (en) * | 2002-08-02 | 2005-09-27 | Cisco Technology, Inc. | Method for grouping 802.11 stations into authorized service sets to differentiate network access and services |
US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
US20040107274A1 (en) * | 2002-12-03 | 2004-06-03 | Mastrianni Steven J. | Policy-based connectivity |
US7523484B2 (en) * | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
US20050097199A1 (en) * | 2003-10-10 | 2005-05-05 | Keith Woodard | Method and system for scanning network devices |
US7877786B2 (en) | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
-
2004
- 2004-10-21 US US10/970,350 patent/US7877786B2/en active Active
-
2005
- 2005-09-29 EP EP05256095A patent/EP1650930B1/en not_active Expired - Fee Related
- 2005-09-29 DE DE602005009101T patent/DE602005009101D1/de active Active
- 2005-10-21 JP JP2005306494A patent/JP5367936B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE602005009101D1 (de) | 2008-10-02 |
US20060101409A1 (en) | 2006-05-11 |
EP1650930B1 (en) | 2008-08-20 |
JP2006121704A (ja) | 2006-05-11 |
US7877786B2 (en) | 2011-01-25 |
EP1650930A1 (en) | 2006-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5367936B2 (ja) | 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ | |
US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
EP1650633B1 (en) | Method, apparatus and system for enforcing security policies | |
US8707395B2 (en) | Technique for providing secure network access | |
US7792990B2 (en) | Remote client remediation | |
US9436820B1 (en) | Controlling access to resources in a network | |
US7694343B2 (en) | Client compliancy in a NAT environment | |
US7533407B2 (en) | System and methods for providing network quarantine | |
US10764264B2 (en) | Technique for authenticating network users | |
US8549646B2 (en) | Methods, media and systems for responding to a denial of service attack | |
US9225684B2 (en) | Controlling network access | |
JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
US20060059552A1 (en) | Restricting communication service | |
US8190755B1 (en) | Method and apparatus for host authentication in a network implementing network access control | |
CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 | |
JP2012199758A (ja) | 検疫管理装置、検疫システム、検疫管理方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101025 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110125 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110128 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110516 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110816 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110819 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111116 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111207 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120409 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20120523 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20120615 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130122 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130125 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130719 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5367936 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |