JP5673259B2 - ファイアウォール装置,処理方法及びファイアウォールシステム - Google Patents
ファイアウォール装置,処理方法及びファイアウォールシステム Download PDFInfo
- Publication number
- JP5673259B2 JP5673259B2 JP2011059608A JP2011059608A JP5673259B2 JP 5673259 B2 JP5673259 B2 JP 5673259B2 JP 2011059608 A JP2011059608 A JP 2011059608A JP 2011059608 A JP2011059608 A JP 2011059608A JP 5673259 B2 JP5673259 B2 JP 5673259B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- firewall
- unit
- network
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本件は、ファイアウォール装置,処理方法及びファイアウォールシステムに関する。
近年、インターネットの普及に伴い、企業等において、ネットワーク・セキュリティーの重要性が強く認識されている。例えば、悪意のある不正利用者が、インターネット等の外部ネットワークを通じて、企業内のローカルエリアネットワークなどの内部ネットワークに不正侵入する危険性がある。
こうした不正侵入等の脅威から内部ネットワークを保護する目的で、内部ネットワークと外部ネットワークとの境界にファイアウォールが設置される。このファイアウォールは、内部ネットワークと外部ネットワークとの間を往来するパケットデータのうち、不正だと判断されるものについて、往来を制限するものである。
こうした不正侵入等の脅威から内部ネットワークを保護する目的で、内部ネットワークと外部ネットワークとの境界にファイアウォールが設置される。このファイアウォールは、内部ネットワークと外部ネットワークとの間を往来するパケットデータのうち、不正だと判断されるものについて、往来を制限するものである。
通常、ファイアウォールは、往来するパケットデータが不正かどうかの判断を、セッション単位で行なう。このため、ファイアウォールで処理すべきセッションの数が、1台のファイアウォールで処理可能なセッションの数より多い場合には、複数台のファイアウォールを設置するとともに、これらの複数台のファイアウォール間で負荷分散を行なう。
従来においては、セッション数に制限を設けて負荷分散を行なう方法が知られている(下記特許文献1参照)。
従来においては、セッション数に制限を設けて負荷分散を行なう方法が知られている(下記特許文献1参照)。
しかしながら、セッション数の管理以上に重要となるのが、1つのファイアウォールで処理可能なトラフィック量である。
例えば、ファイアウォールやルータ等のネットワーク装置においては、単位時間当たりに処理可能なトラフィック処理量は装置個々に決まっている。
このため、1セッション当たりのトラフィック量が少ない場合には、ファイアウォール装置における最大値までの多くのセッション数を利用できる。
例えば、ファイアウォールやルータ等のネットワーク装置においては、単位時間当たりに処理可能なトラフィック処理量は装置個々に決まっている。
このため、1セッション当たりのトラフィック量が少ない場合には、ファイアウォール装置における最大値までの多くのセッション数を利用できる。
一方、1セッション当たりのトラフィック量が多い場合には、ファイアウォール装置におけるセッション数を最大値まで利用することができず、利用できるセッション数が少なくなってしまう。
また、内部ネットワークと外部ネットワーク間のトラフィック量に関しては、一般的に内部ネットワークから外部ネットワーク向けトラフィック量より、外部ネットワークから内部ネットワーク向けトラフィック量の方が非常に多く、非対称なトラフィック量となることが多い。
また、内部ネットワークと外部ネットワーク間のトラフィック量に関しては、一般的に内部ネットワークから外部ネットワーク向けトラフィック量より、外部ネットワークから内部ネットワーク向けトラフィック量の方が非常に多く、非対称なトラフィック量となることが多い。
そのため、セッション数の管理に加えてトラフィック量を総合的に考慮する必要がある。
特に、大規模なネットワークでは、セッション数やトラフィック量が多くなるため、トラフィック量まで考慮に入れた負荷分散が重要となる。
しかしながら、従来では、セッション数に基づく負荷分散が行なわれているに過ぎず、複数台のファイアウォールでセッション数の偏りが発生することもある上、トラフィック量による分散が出来ていなかった。
特に、大規模なネットワークでは、セッション数やトラフィック量が多くなるため、トラフィック量まで考慮に入れた負荷分散が重要となる。
しかしながら、従来では、セッション数に基づく負荷分散が行なわれているに過ぎず、複数台のファイアウォールでセッション数の偏りが発生することもある上、トラフィック量による分散が出来ていなかった。
本件の目的の一つは、複数台で効率的に負荷分散することのできるファイアウォール装置を提供することである。
なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の一つとして位置付けることができる。
なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の一つとして位置付けることができる。
(1)第1の案として、第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断する透過判断部と、前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえる、ファイアウォール装置を用いることができる。
(2)また、第2の案として、第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、当該ファイアウォール装置の空きトラフィック量を管理し、前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断し、前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する、処理方法を用いることができる。
(3)さらに、第3の案として、第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、前記ファイアウォール装置が、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断する透過判断部と、前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえる、ファイアウォールシステムを用いることができる。
複数のファイアウォール装置間で効率的に負荷分散することができる。
以下、図面を参照して本発明の実施の形態を説明する。ただし、以下に示す実施の形態は、あくまでも例示に過ぎず、以下に示す実施形態で明示しない種々の変形や技術の適用を排除する意図はない。即ち、実施形態を、本発明の趣旨を逸脱しない範囲で種々変形して実施できることはいうまでもない。
〔1〕一実施形態
〔1−1〕ネットワークシステム
図1は、一実施形態に係るネットワークシステムの構成の一例を示す図である。
〔1〕一実施形態
〔1−1〕ネットワークシステム
図1は、一実施形態に係るネットワークシステムの構成の一例を示す図である。
この図1に示すネットワークシステム1は、例示的に、M(Mは1以上の整数)個の端末20−1,20−2,・・・,20−Mと、外部ネットワーク装置30と、N(Nは2以上の整数)個のファイアウォール10−1,10−2,・・・,10−Nとをそなえる。
なお、以下では、ファイアウォール10−1,10−2,・・・,10−Nを区別しない場合、単にファイアウォール10と表記する。また、端末20−1,20−2,・・・,20−Mを区別しない場合、単に端末20と表記する。
なお、以下では、ファイアウォール10−1,10−2,・・・,10−Nを区別しない場合、単にファイアウォール10と表記する。また、端末20−1,20−2,・・・,20−Mを区別しない場合、単に端末20と表記する。
端末20は、内部ネットワークに接続され、外部ネットワーク装置30は、外部ネットワークに接続される。また、外部ネットワーク装置30は、例えば、図示しないウェブサーバに接続される。
ファイアウォール10は、内部ネットワークと外部ネットワークの境界に接続される。
また、N個のファイアウォール10が、図1に示すように、内部ネットワークと外部ネットワークとの間に並行して配設される。
ファイアウォール10は、内部ネットワークと外部ネットワークの境界に接続される。
また、N個のファイアウォール10が、図1に示すように、内部ネットワークと外部ネットワークとの間に並行して配設される。
M個の端末20のいずれかから出力されたパケットは、ファイアウォール10−1,10−2,・・,10−Nのいずれかを介して外部ネットワークに出力される。
なお、端末20から出力されたパケットは、いずれのファイアウォール10を介しても外部ネットワークに出力することができる。
同様に、ウェブサーバ等から出力されたパケットは、ファイアウォール10−1,10−2,・・,10−Nのいずれかを介して内部ネットワークに出力される。
なお、端末20から出力されたパケットは、いずれのファイアウォール10を介しても外部ネットワークに出力することができる。
同様に、ウェブサーバ等から出力されたパケットは、ファイアウォール10−1,10−2,・・,10−Nのいずれかを介して内部ネットワークに出力される。
なお、ウェブサーバ等から出力されたパケットは、いずれのファイアウォール10を介しても内部ネットワークに出力することができる。
さらに、以下では、端末20が外部ネットワーク装置30を経由しウェブサーバ等にアクセスする場合を例に本実施形態を説明する。
即ち、本実施形態において、端末20が、ウェブサーバ等に対して要求パケットを送信し、ウェブサーバ等が、当該要求パケットに対応する応答パケットを端末20に返す。ファイアウォール10は、受信した応答パケットが端末20の送信した要求パケットに対応するものであると判定出来、かつ、予め設定された条件により透過可能と判断した場合に、当該応答パケット(外部ネットワークからのパケットデータ)を内部ネットワーク内へ透過させる。
さらに、以下では、端末20が外部ネットワーク装置30を経由しウェブサーバ等にアクセスする場合を例に本実施形態を説明する。
即ち、本実施形態において、端末20が、ウェブサーバ等に対して要求パケットを送信し、ウェブサーバ等が、当該要求パケットに対応する応答パケットを端末20に返す。ファイアウォール10は、受信した応答パケットが端末20の送信した要求パケットに対応するものであると判定出来、かつ、予め設定された条件により透過可能と判断した場合に、当該応答パケット(外部ネットワークからのパケットデータ)を内部ネットワーク内へ透過させる。
また、応答パケットは、要求パケットが透過したファイアウォールと同一のファイアウォールを透過して、要求元の端末20に送信される。
〔1−2〕ファイアウォールのハードウェア構成
図2は、一実施形態に係るファイアウォールのハードウェア構成を模式的に示す図である。
〔1−2〕ファイアウォールのハードウェア構成
図2は、一実施形態に係るファイアウォールのハードウェア構成を模式的に示す図である。
この図2に示すファイアウォール10は、例示的に、K(Kは1以上の整数)個の入出力インタフェース41−1,41−2,・・・,41−Kと、メモリデバイス42,43と、スイッチ44と、CPU45とをそなえる。
また、これらのハードウェア各部は、制御バス46を介して相互に接続されている。さらに、入出力インタフェース41−1,41−2,・・・,41−K,スイッチ44及びCPU45は、データバス47を介して相互に接続される。
また、これらのハードウェア各部は、制御バス46を介して相互に接続されている。さらに、入出力インタフェース41−1,41−2,・・・,41−K,スイッチ44及びCPU45は、データバス47を介して相互に接続される。
なお、以下では、入出力インタフェース41−1,41−2,・・・,41−Kを区別しない場合、単に入出力インタフェース41と表記する。
入出力インタフェース41は、内部ネットワークもしくは外部ネットワークに接続されており、ファイアウォール10と、端末20及びルータ30との間での通信を可能にするものであり、図3で後述する内部インタフェース部101や、外部インタフェース部102として機能する。
入出力インタフェース41は、内部ネットワークもしくは外部ネットワークに接続されており、ファイアウォール10と、端末20及びルータ30との間での通信を可能にするものであり、図3で後述する内部インタフェース部101や、外部インタフェース部102として機能する。
この入出力インタフェース41は、例えば、LAN(Local Area Network)カードによって実現される。
メモリデバイス42,43は、種々のデータやプログラムを一時的に格納する記憶領域であって、例えば、RAM(Random Access Memory)などの揮発性メモリやフラッシュメモリなどの不揮発性メモリによって実現される。本実施形態では、例示的に、メモリデバイス42には、CPU(Central Processing Unit)45に実行させるOS(Operating System)のプログラムが格納され、また、メモリデバイス43には、後述する各種管理テーブルの内容が格納される。
メモリデバイス42,43は、種々のデータやプログラムを一時的に格納する記憶領域であって、例えば、RAM(Random Access Memory)などの揮発性メモリやフラッシュメモリなどの不揮発性メモリによって実現される。本実施形態では、例示的に、メモリデバイス42には、CPU(Central Processing Unit)45に実行させるOS(Operating System)のプログラムが格納され、また、メモリデバイス43には、後述する各種管理テーブルの内容が格納される。
即ち、メモリデバイス43は、トラフィック予測量算出部により算出されたトラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部の一例として機能する。
スイッチ44は、内部ネットワークと外部ネットワークとの間でやりとりが行なわれるパケットデータの転送制御を行なうものであり、図示しないバッファなどをそなえる。
スイッチ44は、内部ネットワークと外部ネットワークとの間でやりとりが行なわれるパケットデータの転送制御を行なうものであり、図示しないバッファなどをそなえる。
CPU45は、種々の制御や演算を行なう処理装置であり、メモリデバイス42や図示しないROM(Read Only Memory)等に格納された、OSやプログラムを実行することにより、種々の機能を実現する。そして、CPU45が、制御プログラムを実行することにより、図3で後述するパケット転送/制御部103,セッション管理部111,トラフィック管理部121,装置連携管理部131として機能する。
なお、これらのパケット転送/制御部103,セッション管理部111,トラフィック管理部121,装置連携管理部131としての機能を実現するためのプログラム(制御プログラム)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
パケット転送/制御部103,セッション管理部111,トラフィック管理部121,装置連携管理部131としての機能を実現する際には、内部記憶装置(本実施形態ではメモリデバイス42)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU45)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。
〔1−3〕ファイアウォールの機能構成
図3は、一実施形態に係るファイアウォール10の機能構成の一例を示す図である。
この図3に示すファイアウォール10は、例示的に、内部インタフェース部101と、外部インタフェース部102と、パケット転送/制御部103と、セッション管理部111と、トラフィック管理部121と、装置連携管理部131と、セッション管理テーブル151と、トラフィック管理テーブル152と、装置連携管理テーブル153とをそなえる。
図3は、一実施形態に係るファイアウォール10の機能構成の一例を示す図である。
この図3に示すファイアウォール10は、例示的に、内部インタフェース部101と、外部インタフェース部102と、パケット転送/制御部103と、セッション管理部111と、トラフィック管理部121と、装置連携管理部131と、セッション管理テーブル151と、トラフィック管理テーブル152と、装置連携管理テーブル153とをそなえる。
図4は、セッション管理テーブル151の内容の一例を示す図である。セッション管理テーブル151は、ファイアウォールで転送を行なうパケットデータをセッション毎に管理するために用いられる。
このため、セッション管理テーブル151は、例えば、セッションID別に、プロトコル種別,送信元/宛て先アドレス,セッション有効フラグなどのセッション情報と、トラフィック量の予測値及び実測値とを保持する。
このため、セッション管理テーブル151は、例えば、セッションID別に、プロトコル種別,送信元/宛て先アドレス,セッション有効フラグなどのセッション情報と、トラフィック量の予測値及び実測値とを保持する。
ここでセッション有効フラグは、管理対象となるセッションが、外部ネットワークからの不法アクセスではないことを示す情報である。
なお、トラフィック量の単位はpps(packet per second)で表わされる。
図5は、トラフィック管理テーブル152の内容の一例を示す図である。トラフィック管理テーブル152は、プロトコル種別および宛て先アドレスから、上り及び下りのトラフィック量を予測するために用いられる。
なお、トラフィック量の単位はpps(packet per second)で表わされる。
図5は、トラフィック管理テーブル152の内容の一例を示す図である。トラフィック管理テーブル152は、プロトコル種別および宛て先アドレスから、上り及び下りのトラフィック量を予測するために用いられる。
このため、トラフィック管理テーブル152は、例えば、プロトコル種別及び宛て先アドレス毎にトラフィック量の実測値及び予測値を保持する。
図6は、装置連携管理テーブル153の内容の一例を示す図である。装置連携管理テーブル153は、パケットデータの透過可否の判断及びリダイレクト処理のために用いられる。
図6は、装置連携管理テーブル153の内容の一例を示す図である。装置連携管理テーブル153は、パケットデータの透過可否の判断及びリダイレクト処理のために用いられる。
このため、装置連携管理テーブル153は、例えば、装置名称,空きセッション数,空きトラフィック量及びリダイレクトアドレスを保持する。
内部インタフェース部101は、ファイアウォール10と、内部ネットワークとの間の通信を可能にする。即ち、内部インタフェース部101は、内部ネットワークから送信されたパケットデータを、パケット転送/制御部103へ受け渡し、パケット転送/制御部103から転送されたパケットデータを、内部ネットワークへ出力する。
内部インタフェース部101は、ファイアウォール10と、内部ネットワークとの間の通信を可能にする。即ち、内部インタフェース部101は、内部ネットワークから送信されたパケットデータを、パケット転送/制御部103へ受け渡し、パケット転送/制御部103から転送されたパケットデータを、内部ネットワークへ出力する。
外部インタフェース部102は、ファイアウォール10と、外部ネットワークとの間の通信を可能にする。即ち、外部インタフェース部102は、外部ネットワークから送信されたパケットデータを、パケット転送/制御部103へ受け渡し、パケット転送/制御部103から転送されたパケットデータを、外部ネットワークへ出力する。
パケット転送/制御部103は、要求パケット及び応答パケットの透過、並びに、要求パケットのリダイレクト処理を行なう。なお、当該制御は、セッション管理部111やトラフィック管理部121,装置連携管理部131の処理に基づいて行なわれる。
パケット転送/制御部103は、要求パケット及び応答パケットの透過、並びに、要求パケットのリダイレクト処理を行なう。なお、当該制御は、セッション管理部111やトラフィック管理部121,装置連携管理部131の処理に基づいて行なわれる。
即ち、パケット転送/制御部103は、第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部103の一例として機能する。
また、パケット転送/制御部103は、選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部の一例として機能する。
パケット転送/制御部103は、内部インタフェース部101から要求パケットを受け取ると、受け取った要求パケットについての情報をセッション管理部111へ出力する。当該要求パケットについての情報には、プロトコル種別,送信元及び宛て先のアドレス,トラフィック量に関する情報などが含まれる。
また、パケット転送/制御部103は、選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部の一例として機能する。
パケット転送/制御部103は、内部インタフェース部101から要求パケットを受け取ると、受け取った要求パケットについての情報をセッション管理部111へ出力する。当該要求パケットについての情報には、プロトコル種別,送信元及び宛て先のアドレス,トラフィック量に関する情報などが含まれる。
また、パケット転送/制御部103は、外部インタフェース102から応答パケットを受け取ると、受け取った応答パケットについての情報をセッション管理部111へ出力する。当該応答パケットについての情報には、セッションIDなどのセッション情報やトラフィック量に関する情報などが含まれる。
さらに、パケット転送/制御部103は、リダイレクト処理として、要求パケットまたは応答パケットが透過不可である場合、対応する要求パケットを、後述する装置連携管理部131のリダイレクト部132によって指定されたアドレスを有する他のファイアウォール10に対し転送する。
さらに、パケット転送/制御部103は、リダイレクト処理として、要求パケットまたは応答パケットが透過不可である場合、対応する要求パケットを、後述する装置連携管理部131のリダイレクト部132によって指定されたアドレスを有する他のファイアウォール10に対し転送する。
セッション管理部111は、パケット転送/制御部103へ入力された要求パケットが新規セッションに基づくものであるか否かの判別を行なう。
また、セッション管理部111は、当該要求パケット及び応答パケットついてセッション単位での管理を行なう。このため、セッション管理部111は、例示的に、セッション数チェック部112と、プロトコル識別部113と、セッションチェック部114とをそなえる。
また、セッション管理部111は、当該要求パケット及び応答パケットついてセッション単位での管理を行なう。このため、セッション管理部111は、例示的に、セッション数チェック部112と、プロトコル識別部113と、セッションチェック部114とをそなえる。
セッション数チェック部112は、後述する装置連携管理部131を介して装置連携管理テーブル153の内容を参照することにより、自装置が利用可能な最大セッション数をチェックする。
そして、要求パケットを透過させることにより当該最大セッション数の超過が発生しないかどうかを判断する。
そして、要求パケットを透過させることにより当該最大セッション数の超過が発生しないかどうかを判断する。
ここで、セッション数が超過しないと判断した場合には、セッション数チェック部112は、要求パケットにセッションIDを付与するとともに、付与したセッションIDをセッション管理テーブル151へ格納する。
一方、セッション数の超過が生じると判断すると、セッション数チェック部112は、その旨を装置連携管理部131のリダイレクト部132へ通知する。
一方、セッション数の超過が生じると判断すると、セッション数チェック部112は、その旨を装置連携管理部131のリダイレクト部132へ通知する。
即ち、セッション数チェック部112は、ファイアウォール装置における転送データのセッション数を管理するセッション管理部の一例として機能する。
プロトコル識別部113は、パケット転送/制御部103が出力した要求パケットについての情報に基づき、要求パケットのプロトコル種別を識別する。
また、プロトコル識別部113は、要求パケットについての情報から送信元アドレスもしくは宛て先アドレスを抽出し、識別したプロトコル種別及び抽出した送信元アドレスもしくは宛て先アドレスをセッション管理テーブル151へ格納する。
プロトコル識別部113は、パケット転送/制御部103が出力した要求パケットについての情報に基づき、要求パケットのプロトコル種別を識別する。
また、プロトコル識別部113は、要求パケットについての情報から送信元アドレスもしくは宛て先アドレスを抽出し、識別したプロトコル種別及び抽出した送信元アドレスもしくは宛て先アドレスをセッション管理テーブル151へ格納する。
セッションチェック部114は、パケット転送/制御部103から出力された応答パケットについての情報に基づき、応答パケットが要求パケットに対応したものであるかどうかをチェックする。また、当該チェック結果をセッション有効フラグとしてセッション管理テーブル151に格納するとともに、装置連携管理部131へ通知する。
さらに、セッション管理部111は、プロトコル識別部113で得られた要求パケットのプロトコル種別及び宛て先アドレスに対応するトラフィック量の実測値及び予測値を、トラフィック管理部121を介してトラフィック管理テーブル152から取得するとともに、セッション管理テーブル151に格納する。
さらに、セッション管理部111は、プロトコル識別部113で得られた要求パケットのプロトコル種別及び宛て先アドレスに対応するトラフィック量の実測値及び予測値を、トラフィック管理部121を介してトラフィック管理テーブル152から取得するとともに、セッション管理テーブル151に格納する。
なお、トラフィック管理テーブル152に、プロトコル識別部113で得られた要求パケットのプロトコル種別及び宛て先アドレスに対応するトラフィック量の実測値及び予測値が格納されていない場合にそなえて、ユーザが、プロトコル種別毎に初期値を設定しておくこともできる。
また、セッション管理部111は、トラフィック量に関する情報や、プロトコル識別部113で得られたプロトコル種別及び送信元アドレスもしくは宛て先アドレスをトラフィック管理部121へ出力する。
また、セッション管理部111は、トラフィック量に関する情報や、プロトコル識別部113で得られたプロトコル種別及び送信元アドレスもしくは宛て先アドレスをトラフィック管理部121へ出力する。
トラフィック管理部121は、セッション管理部111から受け取った各種情報を基に、プロトコル種別及び宛て先アドレスから予測されるトラフィック量の予測値を算出するとともに、算出したトラフィック量の予測値を、トラフィック管理テーブル152を用いて管理する。
このため、トラフィック管理部121は、例示的に、トラフィック測定部122と、トラフィック演算部123とをそなえる。
このため、トラフィック管理部121は、例示的に、トラフィック測定部122と、トラフィック演算部123とをそなえる。
トラフィック測定部122は、セッション管理部111から受け取ったトラフィック量に関する情報を基に、トラフィック量の実測値を測定し、測定したトラフィック量の実測値を、セッション管理テーブル152に格納する。
即ち、トラフィック測定部122は、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部の一例として機能する。
即ち、トラフィック測定部122は、第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部の一例として機能する。
トラフィック演算部123は、トラフィック測定部122で測定したトラフィック実測値から、プロトコル種別及び宛て先アドレスから予測されるトラフィック量を計算し、計算したトラフィック量の予測値を、セッション管理テーブル152へ格納する。
即ち、トラフィック演算部123は、トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部の一例として機能する。
即ち、トラフィック演算部123は、トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部の一例として機能する。
なお、トラフィック演算部123は、過去に受け取ったトラフィック量の実測値を保持しておき、プロトコル種別及び宛て先アドレス別にトラフィック量の実測値の平均値を求めることができる。
また、トラフィック演算部123は、例えば、当該平均値に所定の大きさのマージンを加えることで、プロトコル種別及び宛て先アドレスに対応するトラフィック量の予測値を計算することができる。
また、トラフィック演算部123は、例えば、当該平均値に所定の大きさのマージンを加えることで、プロトコル種別及び宛て先アドレスに対応するトラフィック量の予測値を計算することができる。
さらに、トラフィック演算部123は、例えば、当該平均値に所定の値を乗算することで、プロトコル種別及び宛て先アドレスに対応するトラフィック量の予測値を計算してもよい。
また、トラフィック管理部121は、セッション管理テーブル151に格納されたトラフィック量の予測値と、装置連携管理テーブル153の空きトラフィック量とに基づき、パケットの透過可否の判断を行なう。
また、トラフィック管理部121は、セッション管理テーブル151に格納されたトラフィック量の予測値と、装置連携管理テーブル153の空きトラフィック量とに基づき、パケットの透過可否の判断を行なう。
具体的には、トラフィック管理部121は、パケット転送/制御部103に要求パケットの入力があった場合、セッション管理テーブル151における上りトラフィック量及び下りトラフィック量の和と、装置連携管理テーブル153における空きトラフィック量とを比較し、空きトラフィック量の方が大きい場合には、当該要求パケットは透過可であると判断する。
一方、空きトラフィック量の方が小さい場合には、トラフィック管理部121が、空きトラフィック量不足である旨を装置連携管理部131内のリダイレクト部132に通知する。
また、トラフィック管理部121は、パケット転送/制御部103に応答パケットの入力があった場合、セッション管理テーブル151における下りトラフィック量と、装置連携管理テーブル153における空きトラフィック量とを比較し、空きトラフィック量の方が大きい場合には、当該応答パケットは透過可であると判断する。
また、トラフィック管理部121は、パケット転送/制御部103に応答パケットの入力があった場合、セッション管理テーブル151における下りトラフィック量と、装置連携管理テーブル153における空きトラフィック量とを比較し、空きトラフィック量の方が大きい場合には、当該応答パケットは透過可であると判断する。
一方、空きトラフィック量の方が小さい場合には、トラフィック管理部121が、空きトラフィック量不足である旨を装置連携管理部131内のリダイレクト部132に通知する。
即ち、トラフィック管理部121は、トラフィック予測量と空きトラフィック量とを比較して、転送データの透過可否を判断する透過判断部の一例として機能する。
即ち、トラフィック管理部121は、トラフィック予測量と空きトラフィック量とを比較して、転送データの透過可否を判断する透過判断部の一例として機能する。
また、トラフィック管理部121は、パケットが透過可であると判断した場合、トラフィック量の予測値を装置連携管理部131へ出力する。
装置連携管理部131は、装置連携管理テーブル153を用いて、自装置の空きセッション数及び空きトラフィック量、並びに、他装置の空きセッション数及び空きトラフィック量を管理する。
装置連携管理部131は、装置連携管理テーブル153を用いて、自装置の空きセッション数及び空きトラフィック量、並びに、他装置の空きセッション数及び空きトラフィック量を管理する。
即ち、装置連携管理部131は、ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部の一例として機能する。
また、装置連携管理部131は、少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部の一例として機能する。
また、装置連携管理部131は、パケット転送/制御部103がパケットデータを透過させる場合、トラフィック管理部121から当該パケットデータのトラフィック量の予測値を受け取り、装置連携管理テーブル153における自装置の空きセッション数及び空きトラフィック量を更新する。
また、装置連携管理部131は、少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部の一例として機能する。
また、装置連携管理部131は、パケット転送/制御部103がパケットデータを透過させる場合、トラフィック管理部121から当該パケットデータのトラフィック量の予測値を受け取り、装置連携管理テーブル153における自装置の空きセッション数及び空きトラフィック量を更新する。
さらに、装置連携管理部131は、他のファイアウォールと相互に通信を行なうことで、装置連携管理テーブル153の内容を常に最新のものにすることができる。
また、装置連携管理部131は、パケット転送/制御部103に入力されたパケットデータのリダイレクト処理に係る判断を行なう。このため、装置連携管理部131は、リダイレクト部132をそなえる。
また、装置連携管理部131は、パケット転送/制御部103に入力されたパケットデータのリダイレクト処理に係る判断を行なう。このため、装置連携管理部131は、リダイレクト部132をそなえる。
リダイレクト部132は、セッション管理部111やトラフィック管理部121から、セッション数超過または空きトラフィック量不足の通知を受けると、空きセッション数及び空きトラフィック量の条件を満たす他のファイアウォールを、装置連携管理テーブル153の内容から検索する。
また、リダイレクト部132は、他のファイアウォールが複数存在する場合、他のファイアウォールのうち、例えば空きトラフィック量の大きいファイアウォールを優先的に選択し、選択したファイアウォールのアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう。
また、リダイレクト部132は、他のファイアウォールが複数存在する場合、他のファイアウォールのうち、例えば空きトラフィック量の大きいファイアウォールを優先的に選択し、選択したファイアウォールのアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう。
即ち、リダイレクト部132は、判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部の一例として機能する。
なお、リダイレクト部132は、応答パケットについての空きトラフィック量不足の通知を受けた場合、パケット転送/制御部103は、当該応答パケットを破棄する。
そして、リダイレクト部132は、当該応答パケットに対応する要求パケットについてのリダイレクト処理を、パケット転送/制御部103に行なわせる。
なお、リダイレクト部132は、応答パケットについての空きトラフィック量不足の通知を受けた場合、パケット転送/制御部103は、当該応答パケットを破棄する。
そして、リダイレクト部132は、当該応答パケットに対応する要求パケットについてのリダイレクト処理を、パケット転送/制御部103に行なわせる。
〔1−4〕一実施形態に係るファイアウォールの動作
ここで、図7に示すフローチャートに従って一実施形態に係るファイアウォール10の動作の一例を説明する。
端末20からの要求パケットがパケット転送/制御部103に入力されると、パケット転送/制御部103は、入力された要求パケットについての情報をセッション管理部111へ出力する。
ここで、図7に示すフローチャートに従って一実施形態に係るファイアウォール10の動作の一例を説明する。
端末20からの要求パケットがパケット転送/制御部103に入力されると、パケット転送/制御部103は、入力された要求パケットについての情報をセッション管理部111へ出力する。
パケット転送/制御部103から入力された情報に基づき、セッション管理部111は、パケット転送/制御部103に入力された要求パケットが新規セッションに基づくものであるか否かを判別する(ステップS1)。
ここで、要求パケットが、新規セッションに基づくものではないと判断された場合には(ステップS1のNOルート)、トラフィック管理部121のトラフィック測定部122が、要求パケットのトラフィック量の実測値を測定するとともに、トラフィック演算部123が、要求パケットのトラフィック量の予測値を算出する(ステップS6)。
ここで、要求パケットが、新規セッションに基づくものではないと判断された場合には(ステップS1のNOルート)、トラフィック管理部121のトラフィック測定部122が、要求パケットのトラフィック量の実測値を測定するとともに、トラフィック演算部123が、要求パケットのトラフィック量の予測値を算出する(ステップS6)。
そして、トラフィック測定部122及びトラフィック演算部123が、トラフィック管理テーブル152の上りトラフィック量の実測値や予測値を更新する(ステップS7)。
次に、トラフィック管理部121が、要求パケット及び応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、空きトラフィック量のチェックが行なわれる(ステップS8)。
次に、トラフィック管理部121が、要求パケット及び応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、空きトラフィック量のチェックが行なわれる(ステップS8)。
ここで、自装置の空きトラフィック量が不十分であると判断されると(ステップS8のNGルート)、装置連携管理部131のリダイレクト部132が、空きセッション及び空きトラフィック量の条件を満たす他のファイアウォール装置を検索する。
また、パケット転送/制御部103が、検索された他のファイアウォール装置へ要求パケットを転送するリダイレクト処理を施し、処理を終了する(ステップS11)。
また、パケット転送/制御部103が、検索された他のファイアウォール装置へ要求パケットを転送するリダイレクト処理を施し、処理を終了する(ステップS11)。
一方、ステップS1において、新規セッションに基づくものであると判断された場合には(ステップS1のYESルート)、セッション管理部111のセッション数チェック部112が、要求パケットを透過させることによりセッション数の超過が生じるか否かのチェックを行なう(ステップS2)
ここで、セッション数の超過が生じると判断された場合には(ステップS2のNGルート)、処理をステップS11へ移行する。
ここで、セッション数の超過が生じると判断された場合には(ステップS2のNGルート)、処理をステップS11へ移行する。
一方、ステップS2において、セッション数の超過が生じないと判断された場合には(ステップS2のOKルート)、セッション数チェック部112によってセッションIDの付与がなされる(ステップS3)。
次に、プロトコル識別部113が、要求パケットのプロトコル種別を識別する(ステップS4)。
次に、プロトコル識別部113が、要求パケットのプロトコル種別を識別する(ステップS4)。
そして、これらのセッションIDやプロトコル種別が、セッション数チェック部112及びプロトコル識別部113によって、新たなセッションとしてセッション管理テーブル151に登録され、これによりセッション管理テーブル151が更新される(ステップS5)。
これらのステップS4やステップS5と並行して、ステップS6以降の処理が行なわれる。
これらのステップS4やステップS5と並行して、ステップS6以降の処理が行なわれる。
ステップS8において、自装置の空きトラフィック量が十分大きいと判断されると(ステップS8のOKルート)、装置連携管理部131がパケット転送/制御部103へ要求パケット透過可能の通知を行ない、パケット転送/制御部103が要求パケットの透過を行ない、処理を終了する(ステップS9)。
また、パケット転送/制御部103による要求パケットの透過と並行して、装置連携管理部131が、装置連携管理テーブル153の空きセッション量及び空きトラフィック量を更新する(ステップS10)。
また、パケット転送/制御部103による要求パケットの透過と並行して、装置連携管理部131が、装置連携管理テーブル153の空きセッション量及び空きトラフィック量を更新する(ステップS10)。
一方、ウェブサーバからの応答パケットがパケット転送/制御部103に入力されると、パケット転送/制御部103は、入力された応答パケットについての情報をセッション管理部111へ出力する。
パケット転送/制御部103から入力された情報に基づき、セッション管理部111によって、パケット転送/制御部103に入力された応答パケットが、要求パケットに対応するものか否かが判断される(ステップS12)。
パケット転送/制御部103から入力された情報に基づき、セッション管理部111によって、パケット転送/制御部103に入力された応答パケットが、要求パケットに対応するものか否かが判断される(ステップS12)。
ここで、応答パケットが、要求パケットに対応するものではないと判断された場合は(ステップS12のNGルート)、当該パケットは破棄され、処理を終了する(ステップS13)。
一方、要求パケットに対応するものであると判断された場合は(ステップS12のOKルート)、トラフィック管理部121のトラフィック測定部122が、応答パケットのトラフィック実測値を測定するとともに、トラフィック演算部123が、トラフィック予測値を算出する(ステップS14)。
一方、要求パケットに対応するものであると判断された場合は(ステップS12のOKルート)、トラフィック管理部121のトラフィック測定部122が、応答パケットのトラフィック実測値を測定するとともに、トラフィック演算部123が、トラフィック予測値を算出する(ステップS14)。
そして、トラフィック測定部122及びトラフィック演算部123が、トラフィック管理テーブル152の上りトラフィック量の実測値や予測値を更新する(ステップS15)。
次に、トラフィック管理部121が、応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、トラフィック量のチェックが行なわれる(ステップS16)。
次に、トラフィック管理部121が、応答パケットのトラフィック予測値と、空きトラフィック量とを比較することにより、トラフィック量のチェックが行なわれる(ステップS16)。
ここで、自装置の空きトラフィック量が不十分であると判断されると(ステップS16のNGルート)、パケット転送/制御部103が、応答パケットを破棄するとともに、処理をステップS11に移行し、パケット転送/制御部103が、破棄した応答パケットに対応する要求パケットに対してリダイレクト処理を施す。
一方、自装置の空きトラフィック量が十分大きいと判断されると(ステップS16のOKルート)、装置連携管理部131がパケット転送/制御部103へ応答パケット透過可能の通知を行ない、パケット転送/制御部103が応答パケットの透過を行ない、処理を終了する(ステップS17)。
一方、自装置の空きトラフィック量が十分大きいと判断されると(ステップS16のOKルート)、装置連携管理部131がパケット転送/制御部103へ応答パケット透過可能の通知を行ない、パケット転送/制御部103が応答パケットの透過を行ない、処理を終了する(ステップS17)。
また、パケット転送/制御部103による応答パケットの透過と並行して、装置連携管理部131が、装置連携管理テーブル153の空きセッション量及び空きトラフィック量を更新する(ステップS18)。
図8は、一実施形態に係るリダイレクト処理の処理フローの一例を示す図である。
図8に示すフローチャートに従って、図7のステップS11に示すリダイレクト処理の一例を説明する。
図8は、一実施形態に係るリダイレクト処理の処理フローの一例を示す図である。
図8に示すフローチャートに従って、図7のステップS11に示すリダイレクト処理の一例を説明する。
まず、リダイレクト部132は、装置連携管理テーブル153を参照し、他のファイアウォール10の空きトラフィック状況を確認する(ステップS21)。
次に、十分な空きトラフィック量が存在するかどうかを、装置連携管理テーブル153に登録されているうちの一のファイアウォール10についてチェックする。例えば、装置連携管理テーブル153における未チェックのファイアウォール10のうち、先頭のファイアウォール10についてチェックする(ステップS22)。
次に、十分な空きトラフィック量が存在するかどうかを、装置連携管理テーブル153に登録されているうちの一のファイアウォール10についてチェックする。例えば、装置連携管理テーブル153における未チェックのファイアウォール10のうち、先頭のファイアウォール10についてチェックする(ステップS22)。
なお、装置連携管理テーブル153の内容を、空きトラフィック容量の大きい順にソートしておくことで、空きトラフィック容量の大きいファイアウォール10から順に検索を行なうことができる。
チェック対象のファイアウォール10が、十分な空きトラフィック量を有していると判断された場合(ステップS22のOKルート)、リダイレクト部132は、そのファイアウォール10のアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう(ステップS23)。
チェック対象のファイアウォール10が、十分な空きトラフィック量を有していると判断された場合(ステップS22のOKルート)、リダイレクト部132は、そのファイアウォール10のアドレスをパケット転送/制御部103へ通知するとともに、リダイレクトの指示を行なう(ステップS23)。
パケット転送/制御部103は、リダイレクト指示を受けると、通知されたアドレス宛にパケットデータのリダイレクト処理を行ない、処理を終了する(ステップS24)。
ステップ22において、チェック対象のファイアウォール10が、十分な空きトラフィック量を有していないと判断された場合(ステップS22のNGルート)、装置連携管理テーブル153における全てのファイアウォール10の空きトラフィック量をチェックしたかどうかを確認する(ステップS25)。
ステップ22において、チェック対象のファイアウォール10が、十分な空きトラフィック量を有していないと判断された場合(ステップS22のNGルート)、装置連携管理テーブル153における全てのファイアウォール10の空きトラフィック量をチェックしたかどうかを確認する(ステップS25)。
ここで、全てのファイアウォール10の空きトラフィック量をチェックしたと判断されると(ステップS25のYESルート)、パケットデータを破棄し、処理を終了する(ステップS26)。
一方、装置連携管理テーブル153における全てのファイアウォールの空きトラフィック量をチェックしていないと判断されると(ステップS25のNOルート)、装置連携管理テーブル153における次のファイアウォール10をチェック対象として選択して、ステップS21へ移行する。
一方、装置連携管理テーブル153における全てのファイアウォールの空きトラフィック量をチェックしていないと判断されると(ステップS25のNOルート)、装置連携管理テーブル153における次のファイアウォール10をチェック対象として選択して、ステップS21へ移行する。
図9は、一実施形態に係る装置連携管理テーブルの内容をファイアウォール間で相互に更新する処理フローの一例を示す図である。
図9に示すフローチャートに従って、装置連携管理テーブル153の更新処理の一例を説明する。
第i(iは、1≦i≦Nを満たす整数)番目のファイアウォール10−iの装置連携管理テーブル153が更新されると、第i番目のファイアウォール10−iの装置連携管理部131は、他のファイアウォール10の装置連携管理テーブル153を更新すべく、自らの装置連携管理テーブル153の更新内容を含んだ他装置更新用パケットを生成する(ステップS31)。
図9に示すフローチャートに従って、装置連携管理テーブル153の更新処理の一例を説明する。
第i(iは、1≦i≦Nを満たす整数)番目のファイアウォール10−iの装置連携管理テーブル153が更新されると、第i番目のファイアウォール10−iの装置連携管理部131は、他のファイアウォール10の装置連携管理テーブル153を更新すべく、自らの装置連携管理テーブル153の更新内容を含んだ他装置更新用パケットを生成する(ステップS31)。
このパケットは、例えば、装置連携管理テーブル153における更新位置と更新内容とを含む、所定のフォーマットを有するデータ列として構成されている。
次に、装置連携管理部131で生成された他装置更新用パケットは、第j(jは、1≦j≦N及びj≠iを満たす全ての整数)番目のファイアウォール10−jに転送される(ステップS32)。
次に、装置連携管理部131で生成された他装置更新用パケットは、第j(jは、1≦j≦N及びj≠iを満たす全ての整数)番目のファイアウォール10−jに転送される(ステップS32)。
そして、転送された他装置更新用パケットは、第j番目のファイアウォール10−jの装置連携管理部131において受信される(ステップS33)。
第j番目のファイアウォール10−jの装置連携管理部131は、受信した他装置更新用パケットの内容に基づき、装置連携管理テーブル153の内容を更新し、処理を終了する(ステップS34)。
第j番目のファイアウォール10−jの装置連携管理部131は、受信した他装置更新用パケットの内容に基づき、装置連携管理テーブル153の内容を更新し、処理を終了する(ステップS34)。
以上の構成によると、複数のファイアウォール間で効率的に負荷分散することができるので、特定のファイアウォールに過剰な負荷がかかることを防ぐことができ、ネットワークシステムの効率的なパケット伝送を実現することができる。
具体的には、各ファイアウォールのトラフィック量に応じて転送制御を行なうことにより、ファイアウォール間の負荷の偏りをなくすことができ、ネットワークシステム全体としてパケット転送の効率化を図ることができる。
具体的には、各ファイアウォールのトラフィック量に応じて転送制御を行なうことにより、ファイアウォール間の負荷の偏りをなくすことができ、ネットワークシステム全体としてパケット転送の効率化を図ることができる。
また、トラフィック量の予測値に基づいてパケットデータの転送制御を行なうので、トラフィック量の実測値に基づいて転送制御を行なう場合に比べ、柔軟性や適応性に優れる。例えば、実測値に対する予測値へのマージンを適宜変更して実施することができる。
さらに、トラフィック量だけでなくセッション数に基づいてパケットデータの転送制御を行なうことで、信頼性を向上させることができる。
さらに、トラフィック量だけでなくセッション数に基づいてパケットデータの転送制御を行なうことで、信頼性を向上させることができる。
また、パケットデータのリダイレクト先のファイアウォールとして、空きトラフィック量が大きいファイアウォールを優先的に選択することで、複数のファイアウォールを効率的に運用することが可能になる。
さらに、要求パケットのトラフィック量チェックの際に、要求パケットのトラフィック量の予測値だけでなく、応答パケットのトラフィック量の予測値まで考慮することで、無駄な処理を省くことができ、ネットワークシステムを効率的に運用することができる。
さらに、要求パケットのトラフィック量チェックの際に、要求パケットのトラフィック量の予測値だけでなく、応答パケットのトラフィック量の予測値まで考慮することで、無駄な処理を省くことができ、ネットワークシステムを効率的に運用することができる。
〔2〕その他
なお、上述したファイアウォール10の各構成及び各機能は、必要に応じて取捨選択してもよいし、適宜組み合わせて用いてもよい。即ち、本発明の機能を発揮できるように、上記の各構成及び各機能を取捨選択したり、適宜組み合わせて用いたりしてもよい。
例えば、上述した実施形態では、負荷分散をセッション数及びトラフィック量に基づいて行なったが、トラフィック量のみに基づいて負荷分散を行なうことで、処理量の軽減及び処理速度の向上を図ることができる。
なお、上述したファイアウォール10の各構成及び各機能は、必要に応じて取捨選択してもよいし、適宜組み合わせて用いてもよい。即ち、本発明の機能を発揮できるように、上記の各構成及び各機能を取捨選択したり、適宜組み合わせて用いたりしてもよい。
例えば、上述した実施形態では、負荷分散をセッション数及びトラフィック量に基づいて行なったが、トラフィック量のみに基づいて負荷分散を行なうことで、処理量の軽減及び処理速度の向上を図ることができる。
また、上述した実施形態では、ファイアウォールのセッション数及びトラフィック量に空きがあるか否かを判断することで、要求パケットのリダイレクト処理を行なったが、ファイアウォールの空きセッション数及び空きトラフィック量が所定の値以上であるか否かに基づき、要求パケットのリダイレクト処理を行なうことで、各ファイアウォールの負荷分担を更に均一化することができる。
さらに、上述した実施形態では、ファイアウォールに関して説明を行なったが、本件はこれに限定されるものでなく、例えば、入力負荷を分散するためのロードバランサ装置に適用することができ、この場合において、効率的な負荷分散を実現することができる。
〔3〕付記
以上の実施形態に関し、さらに以下の付記を開示する。
〔3〕付記
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォール装置。
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォール装置。
(付記2)
前記第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部をそなえ、
前記判断の結果、透過可と判断した場合に、前記データ転送制御部が、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記1記載のファイアウォール装置。
前記第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部をそなえ、
前記判断の結果、透過可と判断した場合に、前記データ転送制御部が、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記1記載のファイアウォール装置。
(付記3)
前記トラフィック予測量算出部により算出された前記トラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部をそなえることを特徴とする、付記1又は2記載のファイアウォール装置。
(付記4)
当該ファイアウォール装置における前記転送データのセッション数を管理するセッション数管理部をそなえ、
前記透過判断部が、前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記1〜3のいずれか1項に記載のファイアウォール装置。
前記トラフィック予測量算出部により算出された前記トラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部をそなえることを特徴とする、付記1又は2記載のファイアウォール装置。
(付記4)
当該ファイアウォール装置における前記転送データのセッション数を管理するセッション数管理部をそなえ、
前記透過判断部が、前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記1〜3のいずれか1項に記載のファイアウォール装置。
(付記5)
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部をそなえ、
前記選択部が、前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記1〜4のいずれか1項に記載のファイアウォール装置。
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部をそなえ、
前記選択部が、前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記1〜4のいずれか1項に記載のファイアウォール装置。
(付記6)
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、
当該ファイアウォール装置の空きトラフィック量を管理し、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断し、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送することを特徴とする、処理方法。
第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、
当該ファイアウォール装置の空きトラフィック量を管理し、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断し、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送することを特徴とする、処理方法。
(付記7)
前記判断の結果、透過可と判断した場合に、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記6記載の処理方法。
(付記8)
前記算出されたトラフィック予測量をセッションに対応付けたセッション管理情報をセッション管理情報格納部に格納することを特徴とする、付記6又は7記載の処理方法。
前記判断の結果、透過可と判断した場合に、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、付記6記載の処理方法。
(付記8)
前記算出されたトラフィック予測量をセッションに対応付けたセッション管理情報をセッション管理情報格納部に格納することを特徴とする、付記6又は7記載の処理方法。
(付記9)
当該ファイアウォール装置における前記転送データのセッション数を管理し、
前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記6〜8のいずれか1項に記載の処理方法。
(付記10)
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理し、
前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記6〜9のいずれか1項に記載の処理方法。
当該ファイアウォール装置における前記転送データのセッション数を管理し、
前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、付記6〜8のいずれか1項に記載の処理方法。
(付記10)
前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理し、
前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、付記6〜9のいずれか1項に記載の処理方法。
(付記11)
第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、
前記ファイアウォール装置が、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォールシステム。
第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、
前記ファイアウォール装置が、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォールシステム。
10,10−1,10−2,・・・,10−N ファイアウォール
101 内部インタフェース部
102 外部インタフェース部
103 パケット転送/制御部
111 セッション管理部
112 セッション数チェック部
113 プロトコル識別部
114 セッションチェック部
121 トラフィック管理部
122 トラフィック測定部
123 トラフィック演算部
131 装置連携管理部
132 リダイレクト部
151 セッション管理テーブル
152 トラフィック管理テーブル
153 装置連携管理テーブル
20,20−1,20−2,・・・,20−M 端末
30 外部ネットワーク装置
41 41−1,41−2,・・・,41−K 入出力インタフェース
42,43 メモリデバイス
44 スイッチ
45 CPU
46 制御バス
47 データバス
101 内部インタフェース部
102 外部インタフェース部
103 パケット転送/制御部
111 セッション管理部
112 セッション数チェック部
113 プロトコル識別部
114 セッションチェック部
121 トラフィック管理部
122 トラフィック測定部
123 トラフィック演算部
131 装置連携管理部
132 リダイレクト部
151 セッション管理テーブル
152 トラフィック管理テーブル
153 装置連携管理テーブル
20,20−1,20−2,・・・,20−M 端末
30 外部ネットワーク装置
41 41−1,41−2,・・・,41−K 入出力インタフェース
42,43 メモリデバイス
44 スイッチ
45 CPU
46 制御バス
47 データバス
Claims (7)
- 第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォール装置。 - 前記第1のネットワークと第2のネットワークとの間のデータ転送制御を行なうデータ転送制御部をそなえ、
前記判断の結果、透過可と判断した場合に、前記データ転送制御部が、前記転送データを前記第1のネットワークと第2のネットワークとの間で転送することを特徴とする、請求項1記載のファイアウォール装置。 - 前記トラフィック予測量算出部により算出された前記トラフィック予測量をセッションに対応付けたセッション管理情報を格納するセッション管理情報格納部をそなえることを特徴とする、請求項1又は2記載のファイアウォール装置。
- 当該ファイアウォール装置における前記転送データのセッション数を管理するセッション数管理部をそなえ、
前記透過判断部が、前記セッション数と規定セッション数とを比較して、前記転送データの透過可否を判断することを特徴とする、請求項1〜3のいずれか1項に記載のファイアウォール装置。 - 前記少なくとも1つの他のファイアウォール装置の空きトラフィック量を管理する他装置空きトラフィック量管理部をそなえ、
前記選択部が、前記少なくとも1つの他のファイアウォール装置のうち、空きトラフィック量の多いファイアウォール装置を優先的に転送先ファイアウォールとして選択することを特徴とする、請求項1〜4のいずれか1項に記載のファイアウォール装置。 - 第1のネットワークと第2のネットワークとを少なくとも1つの他のファイアウォール装置と並列して区画するファイアウォール装置における処理方法であって、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求め、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出し、
当該ファイアウォール装置の空きトラフィック量を管理し、
前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断し、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択し、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送することを特徴とする、処理方法。 - 第1のネットワークと第2のネットワークとの間に複数のファイアウォール装置を並列して配置することにより区画するファイアウォールシステムであって、
前記ファイアウォール装置が、
第1のネットワークと第2のネットワークとの間で転送される転送データのトラフィック量をセッション毎に測定してトラフィック実測値を求める測定部と、
前記トラフィック実測値に基づいて、セッション毎のトラフィック予測量を算出するトラフィック予測量算出部と、
当該ファイアウォール装置の空きトラフィック量を管理する空きトラフィック量管理部と、
前記トラフィック予測量と前記空きトラフィック量とを比較して、当該ファイアウォール装置での前記転送データの透過可否を判断する透過判断部と、
前記判断の結果、透過不可と判断した場合に、転送先ファイアウォールを選択する選択部と、
前記選択した転送先ファイアウォールに対して前記転送データをリダイレクト転送する転送部とをそなえることを特徴とする、ファイアウォールシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011059608A JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011059608A JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012195847A JP2012195847A (ja) | 2012-10-11 |
| JP5673259B2 true JP5673259B2 (ja) | 2015-02-18 |
Family
ID=47087337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011059608A Expired - Fee Related JP5673259B2 (ja) | 2011-03-17 | 2011-03-17 | ファイアウォール装置,処理方法及びファイアウォールシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5673259B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2838231B1 (en) * | 2013-05-15 | 2017-02-01 | NTT DoCoMo, Inc. | Network system and access controller and method for operating the network system |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| CN108989352B (zh) * | 2018-09-03 | 2022-11-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4431315B2 (ja) * | 2003-01-14 | 2010-03-10 | 株式会社日立製作所 | パケット通信方法およびパケット通信装置 |
| JP2008167305A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | パケット並列処理装置およびパケット並列処理方法 |
-
2011
- 2011-03-17 JP JP2011059608A patent/JP5673259B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012195847A (ja) | 2012-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10356097B2 (en) | Domain name system and method of operating using restricted channels | |
| CN105376211B (zh) | 无需内容中心网络中的验证的概率性延迟转发技术 | |
| CN104322029A (zh) | 用于提供流动安全层的装置和方法 | |
| US11979326B2 (en) | Tool port throttling at a network visibility node | |
| JPWO2011049135A1 (ja) | ネットワークシステムとその制御方法、及びコントローラ | |
| EP2824872B1 (en) | Host providing system and communication control method | |
| US9413668B2 (en) | Systems and methods for load-balancing in a data center | |
| JP5673259B2 (ja) | ファイアウォール装置,処理方法及びファイアウォールシステム | |
| Torkzaban et al. | Trust-aware service chain embedding | |
| Chen et al. | Packetcloud: an open platform for elastic in-network services | |
| KR20140032064A (ko) | 컨텐츠 전송 서비스 방법, 이를 위한 캐시 장치 | |
| US9722932B1 (en) | Packet path selection using shuffle sharding | |
| CN107241280A (zh) | 基于信誉的网络流量的动态优先级排序 | |
| US11277342B2 (en) | Lossless data traffic deadlock management system | |
| JP6181881B2 (ja) | 制御装置、制御システム、制御方法、および、制御プログラム | |
| Dwiardhika et al. | Virtual network embedding based on security level with VNF placement | |
| JP2017184168A (ja) | 通信システムと制御装置と通信制御方法並びにプログラム | |
| JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
| US9525704B2 (en) | Systems, devices, and methods for traffic management | |
| US10091116B2 (en) | Service chain construction method and server apparatus | |
| JP6310822B2 (ja) | 仮想マシンのリソース管理システム、方法及びプログラム | |
| Naik et al. | Secure virtual machine allocation against attacks using support value based game policy | |
| RU2693181C2 (ru) | Способ для идентификации конечных точек в компьютерных сетях | |
| Masoumi et al. | Efficient Protected VNF Placement and MEC Location Selection for Dynamic Service Provisioning in 5G Networks | |
| US20070220002A1 (en) | Dynamic server configuration for managing high volume traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140702 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140902 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141202 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141215 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5673259 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |