JP5505654B2 - 検疫ネットワークシステム及び検疫方法 - Google Patents
検疫ネットワークシステム及び検疫方法 Download PDFInfo
- Publication number
- JP5505654B2 JP5505654B2 JP2011082438A JP2011082438A JP5505654B2 JP 5505654 B2 JP5505654 B2 JP 5505654B2 JP 2011082438 A JP2011082438 A JP 2011082438A JP 2011082438 A JP2011082438 A JP 2011082438A JP 5505654 B2 JP5505654 B2 JP 5505654B2
- Authority
- JP
- Japan
- Prior art keywords
- virtual terminal
- quarantine
- terminal
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする。
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする。
本発明では、リモート接続および治療の対象となる仮想端末から治癒サーバまでのアクセスを中継する装置(以下「中継装置」と表記する。)が、リモート端末と仮想端末との通信経路上に設置される。
以下、本発明の実施の形態における、検疫ネットワークシステムおよび検疫方法について、図1〜図6を参照しながら説明する。
最初に、本実施の形態における検疫ネットワークシステムの構成について図1を用いて説明する。図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
次に、図2を用いて、図1に示した、中継装置400、検疫サーバ500、仮想端末管理サーバ700の構成を具体的に説明する。図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。また、本実施の形態では仮想端末は複数個生成されていても良いが、説明を分かりやすくするため、仮想端末720を例に挙げて説明する。
図2に示すように、中継装置400は、IPパケット受信部410と、IPパケット送信部420と、通信制御部430と、通信ルールデータベース440と、通信ルール作成部450とを備えている。
また、図2に示すように、検疫サーバ500は、端末隔離指示部510と、ポリシ適合判定部520と、端末情報管理DB520とを備え、これらによって検疫処理を行なっている。
さらに、図2に示すように、仮想端末管理サーバ700において、仮想端末隔離装置710は、端末隔離部711を備えている。端末隔離部711は、セキュリティポリシーに適合しない仮想端末のネットワークを切り替え、当該仮想端末を業務ネットワークから検疫ネットワークへと隔離する。つまり、端末隔離部711は、仮想端末に対して隔離が必要となる場合は、その仮想端末のIPアドレスを、業務ネットワーク用IPアドレスから検疫ネットワーク用IPアドレスへと切り替える。
次に、本発明の実施の形態における検疫ネットワークシステム10の動作について、図4〜図6を用いて説明する。また、本実施の形態では、検疫ネットワークシステム10を動作させることによって、検疫方法が実施される。よって、本実施の形態における検疫方法の説明は、以下の検疫ネットワークシステム10の動作説明に代える。なお、以下においては、説明を分かりやすくするため、複数構築されている仮想端末のうち、仮想端末720のみを例として取り上げる。
最初に、本実施の形態における検疫ネットワークシステム10での仮想端末の隔離時の動作について図4を用いて説明する。図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の治療時の動作について図5を用いて説明する。図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の復旧時の動作について図6を用いて説明する。図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
以上のように、本実施の形態では、仮想端末が隔離された場合に、検疫サーバが、それまで仮想端末に付与していた業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスを中継装置に通知する。そして、中継装置は、リモート接続用のプロトコル以外を制限する。このため、本実施の形態によれば、仮想環境上の仮想端末が検疫ネットワークに隔離された場合であっても、仮想端末を利用するユーザは、業務ネットワークでのIPアドレスを用いて、仮想端末による業務を継続でき、仮想端末の治療のために、求められる操作を行なうことができる。
100 リモート端末
200 治癒サーバ
300 ネットワーク
400 中継装置
410 IPパケット受信部
420 IPパケット送信部
430 通信制御部
440 通信ルールデータベース
450 通信ルール作成部
500 検疫サーバ
510 端末隔離指示部
520 ポリシ適合判定部
530 端末情報管理データベース
600 スイッチ
700 仮想端末管理サーバ(物理サーバ)
710 端末隔離装置
711 端末隔離部
720、730、740 仮想端末
721 端末情報収集部
Claims (6)
- 物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対して前記第1のポート及び前記第2のポートを用いた通信のみを許可する、
ことを特徴とする検疫ネットワークシステム。 - 前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバを更に備え、
前記中継装置は、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項1に記載の検疫ネットワークシステム。 - 前記端末隔離装置が、
前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、
請求項1または2に記載の検疫ネットワークシステム。 - 物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対して前記第1のポート及び前記第2のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする検疫方法。 - 前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバが更に用いられ、
前記(b)のステップにおいて、前記中継装置によって、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項4に記載の検疫方法。 - (c)前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、
前記端末隔離装置によって、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、ステップを更に有する、請求項4または5に記載の検疫方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082438A JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011082438A JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012222383A JP2012222383A (ja) | 2012-11-12 |
JP5505654B2 true JP5505654B2 (ja) | 2014-05-28 |
Family
ID=47273502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011082438A Active JP5505654B2 (ja) | 2011-04-04 | 2011-04-04 | 検疫ネットワークシステム及び検疫方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5505654B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6079218B2 (ja) * | 2012-12-26 | 2017-02-15 | 日本電気株式会社 | 通信制御システム、通信制御方法および通信制御プログラム |
JP6036464B2 (ja) * | 2013-03-26 | 2016-11-30 | 富士通株式会社 | プログラム、診断方法及び診断システム |
JP6286314B2 (ja) * | 2014-07-30 | 2018-02-28 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
CN114070622B (zh) * | 2021-11-16 | 2024-02-09 | 北京宏达隆和科技有限公司 | 一种基于网络端口安全的微隔离系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7877786B2 (en) * | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
JP2006260027A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 |
JP4728871B2 (ja) * | 2006-05-08 | 2011-07-20 | 株式会社日立製作所 | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
JP2008054204A (ja) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | 接続装置及び端末装置及びデータ確認プログラム |
JP4818868B2 (ja) * | 2006-10-05 | 2011-11-16 | 日本電信電話株式会社 | 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム |
US8938782B2 (en) * | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
JP5445262B2 (ja) * | 2010-03-23 | 2014-03-19 | 日本電気株式会社 | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム |
-
2011
- 2011-04-04 JP JP2011082438A patent/JP5505654B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012222383A (ja) | 2012-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
Akbanov et al. | WannaCry ransomware: Analysis of infection, persistence, recovery prevention and propagation mechanisms | |
RU2634211C1 (ru) | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак | |
KR102301721B1 (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
US20200057852A1 (en) | System and method for providing network security to mobile devices | |
US20180247058A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
JP2018513505A (ja) | システム層間でデータオペレーション機能を分割する方法 | |
CN108809975B (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
JP5505654B2 (ja) | 検疫ネットワークシステム及び検疫方法 | |
KR101076683B1 (ko) | 호스트 기반의 망분리 장치 및 방법 | |
Akbanov et al. | Static and dynamic analysis of WannaCry ransomware | |
JP2024023875A (ja) | インラインマルウェア検出 | |
Denham et al. | Ransomware and malware sandboxing | |
Richariya et al. | Distributed approach of intrusion detection system: Survey | |
US9473462B2 (en) | Method and system for configuring and securing a device or apparatus, a device or apparatus, and a computer program product | |
Chen et al. | Research and practice of dynamic network security architecture for IaaS platforms | |
JP6623656B2 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
Kumar et al. | Debugging using MD5 process firewall | |
KR20130039626A (ko) | 가상 머신 통신 인터페이스를 이용한 가상 머신간 데이터 전송방법과 그 기록 매체 | |
CN105162577A (zh) | 虚拟环境下的加密解密方法和物理服务器 | |
Song et al. | Flowers for automated malware analysis | |
CN116781301A (zh) | 跨命名空间的容器安全防护方法、装置、设备及介质 | |
Jämthagen et al. | A technique for remote detection of certain virtual machine monitors |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130513 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130626 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140304 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5505654 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |