JP5729473B2 - ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム - Google Patents
ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム Download PDFInfo
- Publication number
- JP5729473B2 JP5729473B2 JP2013523939A JP2013523939A JP5729473B2 JP 5729473 B2 JP5729473 B2 JP 5729473B2 JP 2013523939 A JP2013523939 A JP 2013523939A JP 2013523939 A JP2013523939 A JP 2013523939A JP 5729473 B2 JP5729473 B2 JP 5729473B2
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- terminal
- policy
- network
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、上記関連技術の有する不都合を改善し、検疫エージェントによって端末がポリシを満たしていると判定されて当該端末が業務ネットワークに接続した後に、オペレータによって不正に検疫エージェントが無効化された場合でも、端末が業務ネットワークに接続されたままになることなく直ちに業務ネットワークから隔離して業務ネットワークのセキュリティを確保することが可能なネットワーク用検疫システムを提供することをその目的とする。
以下、本発明に係るネットワーク用検疫システムの一実施形態を、図1乃至図13に基づいて説明する。
次に、ネットワーク用検疫システムの全体的な動作を図3乃至図12に基づいて説明する。
以上のように、ポリシ読出部62が検疫サーバ40のポリシDB47からポリシを読み出し、この読み出したポリシを端末50が満たしているか否かポリシチェック部63が判定し、ポリシを満たしている場合には、検疫エージェント管理部61が検疫サーバ40にポリシ適合通知を送信する。このポリシ適合通知を受けて検疫サーバ40は、端末50からの送信パケットのうちVLANタグが付加されていない送信パケットを破棄するようにブリッジ30に指示すると共に、VLANタグを含んだ接続許可通知を端末50に送信する。VLANタグ操作部67は端末50から送信されるパケットにVLANタグを付加し、ブリッジ30が端末50からVLANタグが付加されたパケットのみを受け付ける。これにより、端末50から検疫エージェント60が不正にアンインストールされた場合には、端末50からの送信パケットにVLANタグが付加されていないため、この送信パケットはブリッジ30で破棄されることとなり、端末50を業務ネットワーク10から直ちに遮断することが可能となる。
尚、上記実施形態の一部又は全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
前記検疫サーバは、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に機能し、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部を備え、
前記端末の前記検疫エージェントが、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作部を備えたことを特徴とするネットワーク用検疫システム。
前記検疫サーバ管理部は予め外部からの前記ポリシの入力を受け付ける機能を有すると共に、前記外部入力されるポリシを記憶するポリシデータベースを前記検疫サーバ管理部に前記併設したことを特徴とするネットワーク用検疫システム。
前記端末の検疫エージェントは前記ポリシの判定に際しては前記ポリシを前記ポリシデータベースから読み出すと共に、この読み出したポリシを前記通常業務実行部が満たしているか否か前記検疫エージェントに予め装備されたポリシチェック部が判定する構成としたことを特徴とするネットワーク用検疫システム。
前記端末の検疫エージェントは、前記ポリシチェック部によって前記ポリシを満たしていると判定した場合に、前記検疫エージェントが前記端末に存在していることを示す存在通知を前記検疫サーバに対して送信する存在通知部を備えたことを特徴とするネットワーク用検疫システム。
前記検疫サーバが、前記端末の前記存在通知部から送信される前記存在通知を最後に受信した日時に予め設定された接続許可時間を加算した時間を前記端末の生存期限として記憶する端末情報データベースを備えると共に、
前記検疫サーバ管理部が、前記生存期限に達したか否かを判定する生存期限判定部と、前記生存期限判定部によって前記接続期限に達したと判定された場合に前記中継装置に対して前記端末から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部とを備え、
前記中継装置が、前記データ破棄指示部からの指示を受けて前記端末から送信される送信情報を対象外情報として破棄する対象外情報破棄部を備えたことを特徴とするネットワーク用検疫システム。
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記中継装置に対して、前記接続用識別子が付加されていない情報を対象外情報として破棄するように検疫サーバ管理部が指示し、
前記端末に対しては、前記業務ネットワークへの接続用識別子を含んだ接続許可通知を検疫サーバ管理部が送信し、
前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作をVLANタグ操作部が指示するようにしたことを特徴とするネットワーク用検疫方法。
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する中継装置指示機能、
を実行可能にプログラム化し、これを前記検疫サーバが予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作機能、
を実行可能にプログラム化し、これを前記端末が予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
30 ブリッジ(中継装置)
35 対象外情報破棄部
36 情報転送部
40 検疫サーバ
41 検疫サーバ管理部
46 端末情報データベース(端末情報DB)
47 ポリシデータベース(ポリシDB)
48 生存期限判定部
49 データ破棄指示部
50 端末
51 通常業務実行部
60 検疫エージェント
61 検疫エージェント管理部
62 ポリシ読出部
63 ポリシチェック部
65 存在通知部
67 VLANタグ操作部
Claims (8)
- 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
この中継装置の動作を制御する検疫サーバと
を備えたネットワーク用検疫システムにおいて、
前記検疫サーバは、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に機能し、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部を備え、
前記端末の前記検疫エージェントが、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作部を備えた
ことを特徴とするネットワーク用検疫システム。 - 請求項1に記載のネットワーク用検疫システムにおいて、
前記検疫サーバ管理部は予め外部からの前記ポリシの入力を受け付ける機能を有すると共に、前記外部入力されるポリシを記憶するポリシデータベースを前記検疫サーバ管理部に併設したことを特徴とするネットワーク用検疫システム。 - 請求項2に記載のネットワーク用検疫システムにおいて、
前記端末の検疫エージェントは前記ポリシの判定に際しては前記ポリシを前記ポリシデータベースから読み出すと共に、この読み出したポリシを前記通常業務実行部が満たしているか否か前記検疫エージェントに予め装備されたポリシチェック部が判定する構成としたことを特徴とするネットワーク用検疫システム。 - 請求項3に記載のネットワーク用検疫システムにおいて、
前記端末の検疫エージェントは、前記ポリシチェック部によって前記ポリシを満たしていると判定した場合に、前記検疫エージェントが前記端末に存在していることを示す存在通知を前記検疫サーバに対して送信する存在通知部を備えたことを特徴とするネットワーク用検疫システム。 - 請求項4に記載のネットワーク用検疫システムにおいて、
前記検疫サーバが、前記端末の前記存在通知部から送信される前記存在通知を最後に受信した日時に予め設定された接続許可時間を加算した時間を前記端末の生存期限として記憶する端末情報データベースを備えると共に、
前記検疫サーバ管理部が、前記生存期限に達したか否かを判定する生存期限判定部と、前記生存期限判定部によって前記生存期限に達したと判定された場合に前記中継装置に対して前記端末から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部とを備え、
前記中継装置が、前記データ破棄指示部からの指示を受けて前記端末から送信される送信情報を対象外情報として破棄する対象外情報破棄部を備えたことを特徴とするネットワーク用検疫システム。 - 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
この中継装置の動作を制御する検疫サーバと
を備えたネットワーク用検疫システムにあって、
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記中継装置に対して、接続用識別子が付加されていない情報を対象外情報として破棄するように検疫サーバ管理部が指示し、
前記端末に対しては、前記業務ネットワークへの前記接続用識別子を含んだ接続許可通知を検疫サーバ管理部が送信し、
前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作をVLANタグ操作部が指示する
ようにしたことを特徴とするネットワーク用検疫方法。 - 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
この中継装置の動作を制御する検疫サーバと
を備えたネットワーク用検疫システムにあって、
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する中継装置指示機能、
を実行可能にプログラム化し、これを前記検疫サーバが予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。 - 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、
前記検疫サーバから送信される接続許可通知に基づいて接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作機能、
を実行可能にプログラム化し、これを前記端末が予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013523939A JP5729473B2 (ja) | 2011-07-11 | 2012-07-09 | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011152469 | 2011-07-11 | ||
JP2011152469 | 2011-07-11 | ||
JP2013523939A JP5729473B2 (ja) | 2011-07-11 | 2012-07-09 | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム |
PCT/JP2012/067437 WO2013008770A1 (ja) | 2011-07-11 | 2012-07-09 | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2013008770A1 JPWO2013008770A1 (ja) | 2015-02-23 |
JP5729473B2 true JP5729473B2 (ja) | 2015-06-03 |
Family
ID=47506056
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013523939A Active JP5729473B2 (ja) | 2011-07-11 | 2012-07-09 | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US9319429B2 (ja) |
JP (1) | JP5729473B2 (ja) |
CN (1) | CN103650428B (ja) |
WO (1) | WO2013008770A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5937563B2 (ja) * | 2013-04-04 | 2016-06-22 | 株式会社インターネットイニシアティブ | 通信基地局およびその制御方法 |
NL2014776B1 (en) * | 2015-05-07 | 2017-01-26 | Eldolab Holding Bv | Method for changing the identification code of a light source in visible light communication systems. |
CN107277100B (zh) * | 2016-03-30 | 2022-03-04 | 阿普福米克斯有限公司 | 用于近实时云基础设施策略实现和管理的系统和方法 |
US10333959B2 (en) * | 2016-08-31 | 2019-06-25 | Nicira, Inc. | Use of public cloud inventory tags to configure data compute node for logical network |
US10484302B2 (en) | 2016-08-27 | 2019-11-19 | Nicira, Inc. | Managed forwarding element executing in public cloud data compute node with different internal and external network addresses |
US10567482B2 (en) | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
US10491516B2 (en) | 2017-08-24 | 2019-11-26 | Nicira, Inc. | Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table |
EP3673627B1 (en) | 2017-08-27 | 2023-09-13 | Nicira, Inc. | Performing in-line service in public cloud |
US11750623B2 (en) * | 2017-09-04 | 2023-09-05 | ITsMine Ltd. | System and method for conducting a detailed computerized surveillance in a computerized environment |
US10601705B2 (en) | 2017-12-04 | 2020-03-24 | Nicira, Inc. | Failover of centralized routers in public cloud logical networks |
US10862753B2 (en) | 2017-12-04 | 2020-12-08 | Nicira, Inc. | High availability for stateful services in public cloud logical networks |
US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
US10491466B1 (en) | 2018-08-24 | 2019-11-26 | Vmware, Inc. | Intelligent use of peering in public cloud |
US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
US11588848B2 (en) | 2021-01-05 | 2023-02-21 | Bank Of America Corporation | System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11289347A (ja) * | 1998-04-06 | 1999-10-19 | Oki Electric Ind Co Ltd | 電子メール・システムおよび電子メール配信プログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2004328559A (ja) * | 2003-04-28 | 2004-11-18 | Showa Electric Wire & Cable Co Ltd | 複バンドネットワーク |
JP2006072682A (ja) | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 中継装置及び通信システム及び通信方法及びプログラム |
US7877786B2 (en) * | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
JP2007199980A (ja) | 2006-01-26 | 2007-08-09 | Xanavi Informatics Corp | 表示制御装置、地図表示装置およびナビゲーション装置 |
US8955107B2 (en) * | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
JP2010219803A (ja) | 2009-03-16 | 2010-09-30 | Nec Corp | 検疫システム、検疫管理装置、検疫方法、及びプログラム |
JP2010246061A (ja) * | 2009-04-10 | 2010-10-28 | Hitachi Ltd | 転送管理システム |
-
2012
- 2012-07-09 JP JP2013523939A patent/JP5729473B2/ja active Active
- 2012-07-09 WO PCT/JP2012/067437 patent/WO2013008770A1/ja active Application Filing
- 2012-07-09 US US14/129,750 patent/US9319429B2/en active Active
- 2012-07-09 CN CN201280034427.2A patent/CN103650428B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US20140143853A1 (en) | 2014-05-22 |
JPWO2013008770A1 (ja) | 2015-02-23 |
CN103650428A (zh) | 2014-03-19 |
CN103650428B (zh) | 2016-12-21 |
US9319429B2 (en) | 2016-04-19 |
WO2013008770A1 (ja) | 2013-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5729473B2 (ja) | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム | |
US10805268B2 (en) | Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud | |
KR101422381B1 (ko) | 스위치 및 플로우 테이블 제어 방법 | |
US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
US20160212237A1 (en) | Management server, communication system and path management method | |
JP4507104B2 (ja) | 情報処理装置、通信制御方法および通信制御用プログラム | |
JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
CN102576343A (zh) | 计算机系统和虚拟机迁移方法 | |
JP6573717B2 (ja) | サービスフロー処理ポリシーのための処理方法、装置、およびシステム | |
JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
CN104270317A (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
JP2016009972A (ja) | 通信制御装置,通信制御プログラム及び通信制御方法 | |
US20160205099A1 (en) | Communication system, control instruction apparatus, communication control method and program | |
JP4290526B2 (ja) | ネットワークシステム | |
JPWO2021095241A5 (ja) | ||
US20210051076A1 (en) | A node, control system, communication control method and program | |
JP2005293007A (ja) | セキュリティチェックシステムおよびセキュリティチェック方法 | |
CN118041855A (zh) | 一种文件访问方法以及相关设备 | |
KR20190011093A (ko) | 네트워크 보안 장비 및 그의 정책 관리 방법 | |
JP2015149530A (ja) | オープンフローシステム、オープンフローコントローラ、オープンフロー管理方法およびオープンフロー管理プログラム | |
JP2007193599A (ja) | 端末管理監視システム、通信端末、および端末監視方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141202 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150310 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150323 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5729473 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |