JP5845898B2 - 中継サーバ - Google Patents

中継サーバ Download PDF

Info

Publication number
JP5845898B2
JP5845898B2 JP2011289644A JP2011289644A JP5845898B2 JP 5845898 B2 JP5845898 B2 JP 5845898B2 JP 2011289644 A JP2011289644 A JP 2011289644A JP 2011289644 A JP2011289644 A JP 2011289644A JP 5845898 B2 JP5845898 B2 JP 5845898B2
Authority
JP
Japan
Prior art keywords
address
relay server
unit
wan
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011289644A
Other languages
English (en)
Other versions
JP2013141071A (ja
Inventor
泰毅 上田
泰毅 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2011289644A priority Critical patent/JP5845898B2/ja
Publication of JP2013141071A publication Critical patent/JP2013141071A/ja
Application granted granted Critical
Publication of JP5845898B2 publication Critical patent/JP5845898B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、主として、異なるLANに接続されている端末間の通信を可能とする中継サーバの構成に関する。
遠隔地にあるLAN(Local Area Network)同士を、インターネットなどのWAN(Wide Area Network)を介して接続するVPN(Virtual Private Network)が開発されている。このような技術は、例えば特許文献1に開示されている。特許文献1に記載の技術は、各LANに中継サーバを設置し、当該中継サーバ同士がWANを介した中継通信を行うことにより、異なるLANに所属しているクライアント端末同士を相互に通信可能とするものである。
中継サーバは、自身が接続されるLANのゲートウェイを介して、WANにアクセスする。この場合、中継サーバにはLAN内のプライベートIPアドレスを割り当てることができる。従って、当該中継サーバへのアクセスはプライベートIPアドレスで行われることになるので、LANの外部から中継サーバへの無用な接続を防ぎ、セキュリティを高めることができる。
一方で、近年、WANに対して有線で接続することが難しい環境でもVPNに参加したいというニーズが高まっている。このようなニーズに対応するため、前記中継サーバに、携帯電話回線(移動体通信網)に接続するための無線通信端末(いわゆるデータ通信カード)を設ける場合がある。この無線通信端末を備えた中継サーバは、携帯電話回線を介してWANに接続することができるので、有線でWANに接続することが難しい環境であってもVPNに参加することが可能となる。例えば特許文献2は、携帯電話をPCに接続することで、携帯電話通信網を利用してVPNを行う構成を開示している。
特開2009−157825号公報 特開2008−219643号公報
中継サーバが携帯電話回線を利用してWANに接続する場合、当該中継サーバにはグローバルIPアドレスが割り当てられるので、当該中継サーバへのアクセスはグローバルIPアドレスで行うことになる。グローバルIPアドレスでアクセスできるということは、当該IPアドレスさえ分かれば誰でもアクセスできるということであるため、セキュリティ上の観点から改善の余地がある。
本発明は以上の事情に鑑みてされたものであり、その目的は、無線通信端末を利用してWANに接続する中継サーバのセキュリティを向上させた構成を提供することにある。
課題を解決するための手段及び効果
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
本発明の観点によれば、以下の中継サーバが提供される。即ち、この中継サーバは、第1LAN内のクライアント端末と、第2LAN内のライアント端末と、の通信を、前記第2LANに接続された第2中継サーバとの間でWANを介して中継するために、前記第1LANに接続される。当該中継サーバは、第1通信部と、第2通信部と、アドレスフィルタ部と、フィルタ用アドレス記憶部と、フィルタ設定部と、を備える。前記第1通信部は、自身に割り当てられたプライベートIPアドレスを自身のIPアドレスとして利用して、前記第1LANのゲートウェイを介して、当該ゲートウェイによってアドレス変換されながらWANに接続可能である。前記第2通信部は、自身に割り当てられたグローバルIPアドレスを自身のIPアドレスとして利用して、移動体通信網を介してWANに無線接続可能である。前記アドレスフィルタ部は、設定されたIPアドレスに基づいてパケットのフィルタリングを行う。前記フィルタ用アドレス記憶部は、前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶する。前記フィルタ設定部は、前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定することで、前記第2通信部によってWANに接続している場合と前記第1通信部によってWANに接続している場合とで前記アドレスフィルタ部の動作を自動的に変更することが可能である
上記のように、グローバルIPアドレスを利用してWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。また、LANのゲートウェイを介してWANに接続する場合は、プライベートIPアドレスを中継サーバに割り当てることができる。しかし、移動体通信網を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、移動体通信網を利用する際には、セキュリティ上の不安がある。そこで上記のように、移動体通信網を利用する場合(第2通信部によってWANに接続する際)にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。
上記の中継サーバは、以下のように構成することが好ましい。即ち、この中継サーバは、前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備える。
即ち、移動体通信網を介してWANへ接続する第2通信部がわざわざ有効化されているということは、当該第2通信部によってWANに接続することが意図されていると考えられる。そこで、第2通信部がWANに接続できる場合には、当該第2通信部による接続を、第1通信部よりも優先させる。
上記の中継サーバは、以下のように構成することが好ましい。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しない。
即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってWANに接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、第1接続部でWANに接続するときは、IPアドレスをアドレスフィルタ部に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。
上記の中継サーバは、以下のように構成することもできる。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定する。
このように、アドレス変換されたIPアドレスによってWANに接続するときにも、グローバルIPアドレスでWANに接続するときと同様のフィルタリングを行っても良い。
本発明の一実施形態に係る中継サーバによって構築されたVPNの概略図。 中継サーバのブロック図。 フィルタ用アドレス記憶部に記憶される許可アドレスの例。 許可アドレスを登録する画面の例。
次に、図面を参照して本発明の実施の形態を説明する。図1は、本実施形態に係る中継サーバを用いて構築されたVPN(仮想プライベートネットワーク)10の概略的な構成を示している。このVPN10は、例えば、遠隔地に設置された第1LAN11と第2LAN12を、インターネット(WAN)14を介して接続するためのものである。
第1LAN11及び第2LAN12の構成は特に限定されないが、通常、各LANは1つ以上のクライアント端末を含んでいる。例えば図1の場合、第1LAN11にはクライアント端末17,18,19,20が、第2LANにはクライアント端末21,22が、それぞれ接続されている。また、各LANは、比較的小規模なLANを複数接続した構成であっても良い。例えば図1の場合、第1LAN11は、LAN23,24,25を、ルータ26,27によって接続した構成となっている。
図1に示すように、第1LAN11内には第1中継サーバ15が、第2LAN12内には第2中継サーバ16が、それぞれ接続されている。第1中継サーバ15と第2中継サーバ16は、それぞれインターネット14に接続可能に構成されている。
図1の第1LAN11は、インターネット14に対して有線では接続することが難しい環境に構築されたLANを想定したものである。このようなLANでもVPN10に接続できるようにするため、本実施形態の第1中継サーバ15は、携帯電話回線(移動体通信網)30に接続可能な無線通信端末29を備えている。具体的には、この無線通信端末29は、携帯電話のアクセスポイント31との間で無線通信が可能である。アクセスポイント31は、携帯電話回線30に接続されている。この携帯電話回線30には、プロバイダが提供するゲートウェイ33が配置されており、このゲートウェイ33においてプロトコル変換等が行われて、携帯電話回線30とインターネット14とが相互に通信可能となっている。
以上の構成で、第1中継サーバ15が、携帯電話回線30を介してインターネット14に無線で接続することが可能となっている。これにより、インターネット14に対して有線では接続することが難しい第1LAN11であっても、VPN10に参加することができる。なお、プロバイダのゲートウェイ33においては、第1中継サーバ15に対してグローバルIPv4アドレスが割り当てられる。従って、第1中継サーバ15は、自身に割り当てられたグローバルIPv4アドレスによってインターネット14に接続することになる。
図1の第2LAN12は、インターネット14に対して有線で接続できているLANを想定したものである。従って、第2LAN12に接続される第2中継サーバ16の場合は、第1中継サーバ15のような無線通信端末29は不要である。即ち、第2中継サーバ16は、第2LAN12のゲートウェイ28を介してインターネット14に接続することができる。
なお、第2LAN12のゲートウェイ28は、ネットワークアドレス変換(Network Address Translation,NAT)を行うことにより、第2LAN12内の機器にプライベートIPv4アドレスをマッピングするように構成されている。従って、本実施形態の第2中継サーバ16は、自身に割り当てられたプライベートIPアドレスによってインターネット14に接続することになる。
続いて、中継サーバ15,16の構成について説明する。なお、第1中継サーバ15と第2中継サーバ16は、無線通信端末29の有無を除いて同一のハードウェアからなっている。図2に示すように、中継サーバ15,16は、LANインタフェース(第1通信部)34と、USBインタフェース(第2通信部)35と、制御部36と、フィルタ用アドレス記憶部41と、を備えている。
LANインタフェース34は、LANケーブルを接続可能であるとともに、当該LANケーブルを介してデータの送受信が可能に構成されている。第1中継サーバ15は、このLANインタフェース34によって第1LAN11に(より具体的にはLAN23に)接続されている。また、第2中継サーバ16は、LANインタフェース34よって、第2LAN12に接続されている。
前述のように、第2LAN12はゲートウェイ28を介してインターネット14に接続されているので、当該第2LAN12に接続されている第2中継サーバ16は、LANインタフェース34によってインターネット14に接続することができる。第2中継サーバ16には、プライベートIPアドレスが割り当てられ、当該プライベートIPアドレスを利用してインターネット14に接続することになる。
なお、第1中継サーバ15もLANインタフェース34を備えているが、後述のWAN接続選択部39によって、当該LANインタフェース34によるインターネット14への接続が禁止されている。従って、本実施形態の場合、第1中継サーバ15は、LANインタフェース34によってインターネット14に接続することはない。
従って、中継サーバ15,16が備えるLANインタフェース34は、インターネット14に接続する際には、プライベートIPアドレスを利用してインターネット14に接続するものであると言うことができる。
USBインタフェース35は、USB(Universal Serial Bus)規格の機器を接続可能であるとともに、当該機器との間でデータのやり取りを行うことができるように構成されている。本実施形態において、前記無線通信端末29は、いわゆるUSBデータ通信カードであり、USBインタフェース35に接続可能に構成されている。第1中継サーバ15のUSBインタフェース35には、この無線通信端末29が接続されている。これにより、第1中継サーバ15のUSBインタフェース35は、無線通信端末29を介してインターネット14に接続可能となっている。前述のように、第1中継サーバ16には、グローバルIPアドレスが割り当てられ、当該グローバルIPアドレスを利用してインターネットに接続することになる。
なお、第2中継サーバ16のUSBインタフェース35には、無線通信端末29が接続されていない。従って、第2中継サーバ16は、USBインタフェース35によってインターネット14に接続することはない。
従って、中継サーバ15,16が備えるUSBインタフェース35は、インターネット14に接続する際には、グローバルIPアドレスを利用してインターネット14に接続するものであると言うことができる。
制御部36は、図略のCPU、ROM、RAM等のハードウェアを備えたコンピュータとして構成されている。また、前記RAMには、サーバアプリケーション等のソフトウェアが記憶されている。制御部36において前記サーバアプリケーションを実行することにより、当該制御部36を、アドレスフィルタ部37、パケット転送部38、WAN接続選択部39、及びフィルタ設定部42等として機能させることができる。
パケット転送部38は、LANインタフェース34又はUSBインタフェース35で受信されたパケットを、適切な転送先に転送するように機能する。
ただし、インターネット14から受信したパケットを無制限に転送するようでは、セキュリティの面で好ましくない場合がある。そこで、アドレスフィルタ部37は、必要に応じて、パケット転送部38が転送するパケットのアドレスフィルタリングを行うように構成されている。
アドレスフィルタ部37には、インターネット14から受信したパケットの転送を許可するIPアドレスを設定可能である。このようにアドレスフィルタ部37に設定されるIPアドレスを、「許可アドレス」と呼ぶ。アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れかに一致している場合は、当該パケットを前記送信先へと転送することを許可する。一方、アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れにも一致しない場合は、当該パケットを遮断する。なお、許可アドレスが1つも設定されていない場合は、アドレスフィルタ部37によるフィルタリングは行われない。
アドレスフィルタ部37に設定すべき許可アドレスは、フィルタ用アドレス記憶部41に記憶されている。第1中継サーバ15のフィルタ用アドレス記憶部41に記憶されている許可アドレスの例を、図3に示す。図3の例では、クライアント端末17のIPアドレス(192.168.1.1)が一行目に、クライアント端末19,20が接続されているLAN25のアドレス(192.168.2.0/24)が二行目に記述されている。このように、許可アドレスは複数設定することができる。また、図3の二行目に示すように、ネットワーク全体(図3の場合はLAN25全体)を示す許可アドレスを設定することもできる。
フィルタ用アドレス記憶部41に対する許可アドレスの登録は、ユーザが適宜の操作を行うことにより行うことができる。例えば、ユーザは、何れかのクライアント端末から第1中継サーバ15にアクセスし、適宜操作することで、図4に示すような許可アドレス登録画面を表示させる。この許可アドレス登録画面では、ユーザが適宜操作を行うことにより、フィルタ用アドレス記憶部41に記憶させる許可アドレスを追加することができる。また、フィルタ用アドレス記憶部41に記憶されている許可アドレスを削除することもできる。
フィルタ設定部42は、フィルタ用アドレス記憶部41に記憶されている許可アドレスを、アドレスフィルタ部37に設定するように構成されている。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのフィルタリングを行うことができる。逆に言うと、ユーザが図4の画面によって許可アドレスをフィルタ用アドレス記憶部41に登録したとしても、フィルタ設定部42によってアドレスフィルタ部37に許可アドレスが設定されない限りは、アドレスフィルタ部37によるアドレスフィルタは行われない。
より具体的には、フィルタ設定部42は、中継サーバがUSBインタフェース35によってインターネット14に接続している場合に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定するように構成されている。即ち、中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、当該中継サーバはグローバルIPアドレスによってインターネット14に接続することになるので、インターネット14から不正なアクセスを受ける危険性がある。そこで、上記のように中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、アドレスフィルタ部37に許可アドレスを設定する。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのアドレスフィルタを行うことができる。従って、インターネット14からの無用な接続を遮断することができるので、セキュリティを高めることができる。
また、フィルタ設定部42は、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないように構成されている。即ち、中継サーバがLANインタフェース34を利用してインターネット14に接続している場合、当該中継サーバはゲートウェイ28によって割り当てられたプライベートIPアドレスによってインターネット14に接続することになるので、インターネット14から不正な接続を受ける危険性は低い。そこで、上記のように、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないことにより、アドレスフィルタ部37によるパケットのアドレスフィルタを行わない。これにより、無用なフィルタリングが行われてしまうことを防止できる。
フィルタ設定部42を上記のように構成することで、グローバルIPアドレスでインターネット14に接続している場合と、プライベートIPアドレスでインターネット14に接続している場合とでアドレスフィルタ部37の動作を自動的に変更することができる。これにより、中継サーバ15,16のインターネット14への接続状況に応じて、適切にセキュリティを確保することができる。
WAN接続選択部39は、LANインタフェース34とUSBインタフェース35の何れを利用してインターネット14に接続するかを選択するように機能する。即ち、本実施形態の中継サーバは、USBインタフェース35に無線通信端末29を接続した場合、当該USBインタフェース35とLANインタフェース34の両方でインターネット14に接続可能な状態となる。このような場合は、何れのインタフェースを用いてインターネット14に接続するかを選択しなければ、中継サーバをインターネット14に適切に接続させることができない。
ところで、本実施形態において、無線通信端末29はUSB機器として構成されているので、不必要な場合はUSBインタフェース35から無線通信端末29を取り外しておくことができる。もし仮に、中継サーバ15,16を設置する際に、VPN10の管理者が、当該中継サーバをLANインタフェース34によってインターネット14に接続することを意図していたとすれば、無線通信端末29をUSBインタフェース35にわざわざ接続するとは考えにくい。つまり、無線通信端末29がUSBインタフェース35に接続されている場合は、当該USBインタフェース35によってインターネット14に接続することが意図されているものと考えられる。
そこで、WAN接続選択部39は、USBインタフェース35によってインターネット14に接続可能な場合(無線通信端末29がUSBインタフェース35に接続されている場合、つまりUSBインタフェース35が有効化されている場合)には、LANインタフェース34によってインターネット14に接続することを禁止するとともに、前記USBインタフェース35を利用してインターネット14に接続するように設定する。このように、無線通信端末29を利用可能な場合には、USBインタフェース35を優先的に利用してインターネット14に接続することで、中継サーバ15,16を適切にインターネット14に接続することができる。一方、USBインタフェース35によってインターネットに接続できない場合(USBインタフェース35に無線通信端末29が接続されていない場合、つまりUSBインタフェース35が無効化されている場合)は、WAN接続選択部39は、LANインタフェース34を利用して、中継サーバをインターネット14に接続するように設定する。
続いて、本実施形態のVPN10の動作について、簡単に説明する。なお、以下では、第1LAN11内のクライアント端末17が、第2LAN12内のクライアント端末21に対してパケットを送信する場合を例として説明する。
クライアント端末17とクライアント端末21は互いに異なるLANに属しているので、パケットのやり取りを直接的に行うことはできない。このような場合に、本実施形態の中継サーバ15,16を利用して、第1LAN11と第2LAN12の間をVPN10で結ぶことにより、クライアント端末17とクライアント端末21の間でパケットのやり取りが可能となる。
まず、何れかのクライアント端末のユーザ、又はVPN10の管理者によって、第1中継サーバ15と第2中継サーバ16の間に、インターネット14を介した通信セッションを確立する操作が行われる。
次に、クライアント端末17において、当該クライアント端末17からクライアント端末21に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第1中継サーバ15に送信される。
パケットを受信した第1中継サーバ15のパケット転送部38は、既に確立されている通信セッションによって、前記パケットを第2中継サーバ16に転送する。
第2中継サーバ16がインターネット14から前記パケットを受信した場合、当該第2中継サーバ16のアドレスフィルタ部37は、前記パケットに対してアドレスフィルタリングを行う。ただし、本実施形態において、第2中継サーバ16はLANインタフェース34によってインターネット14に接続されている。従って、この第2中継サーバ16のフィルタ設定部42は、アドレスフィルタ部37に許可アドレスを設定していない。このように、アドレスフィルタ部37に許可アドレスが設定されていない場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットのフィルタリングは行わずに、全てのパケットを通過させる。
パケット転送部38は、アドレスフィルタ部37を通過したパケットを、当該パケットの送信先として指定されているクライアント端末21に転送する。
以上のように、第1中継サーバ15と第2中継サーバ16の間にインターネットを介した通信セッションを確立させておき、当該通信セッションを介してパケットを転送することにより、異なるLAN11,12に属しているクライアント端末17,21の間でパケットのやり取りを行うことができる。
次に、第2LAN12内のクライアント端末21から、第1LAN11内のクライアント端末17に対してパケットを送信する場合を例として説明する。
この場合、クライアント端末21において、当該クライアント端末21からクライアント端末17に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第2中継サーバ16に送信される。
パケットを受信した第2中継サーバ16のパケット転送部38は、前記通信セッションによって、前記パケットを第1中継サーバ15に転送する。
インターネット14から前記パケットを受信した第1中継サーバ15のアドレスフィルタ部37は、当該パケットのアドレスフィルタリングを行う。第1中継サーバ15はUSBインタフェース35によってインターネット14に接続しているので、フィルタ設定部42によって、アドレスフィルタ部37に許可アドレスが設定されている。このように、アドレスフィルタ部37に許可アドレスが設定されている場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットの送信先が、設定された許可アドレスの何れかに一致している場合にのみ、当該パケットを通過させる。例えば図4に示した許可アドレスには、クライアント端末17のIPアドレス(192.168.1.1)が含まれている。従って、図4に示すような許可アドレスが第1中継サーバ15のアドレスフィルタ部37に設定されている場合において、当該第1中継サーバ15がクライアント端末17宛てのパケットをインターネット14から受信した場合、アドレスフィルタ部37は、当該パケットを通過させる。
パケットがアドレスフィルタ部37を通過した場合、パケット転送部38は、当該パケットを、送信先として指定されているクライアント端末17に転送する。
以上のように、グローバルIPアドレスを用いてインターネット14に接続している第1中継サーバ15においては、インターネット14から受信したパケットを転送する際に、パケットフィルタリングを行う。これにより、インターネット14からの不正な接続を防止し、セキュリティを高めることができる。
以上で説明したように、本実施形態の中継サーバ15,16は、LANインタフェース34と、USBインタフェース35と、アドレスフィルタ部37と、フィルタ用アドレス記憶部41と、フィルタ設定部42と、を備えている。LANインタフェース34は、インターネット14に接続する際には、自身のIPアドレスとして、ゲートウェイ28でアドレス変換されたプライベートIPアドレスを利用する。USBインタフェース35は、インターネット14に接続する際には、自身のIPアドレスとして、グローバルIPアドレスを利用する。アドレスフィルタ部37は、設定された許可アドレスに基づいてパケットのフィルタリングを行う。フィルタ用アドレス記憶部41は、アドレスフィルタ部37での前記フィルタリングのために設定する許可アドレスを記憶する。フィルタ設定部42は、USBインタフェース35によってインターネットに接続する際に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。
上記のように、グローバルIPアドレスを利用してインターネット14に接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。
また、本実施形態の中継サーバ15,16は、以下のように構成されている。即ち、LANインタフェース34は、インターネット14に接続する際には、LANのゲートウェイを介してインターネット14に接続する。USBインタフェース35は、インターネット14に接続する際には、携帯電話回線30に無線接続し、当該携帯電話回線30を介してインターネット14に接続する。
即ち、LANのゲートウェイを介してWANに接続する場合は、アドレス変換されたIPアドレス(プライベートIPアドレス)を中継サーバに割り当てることができる。しかし、携帯電話回線30を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、携帯電話回線30を利用する際には、セキュリティ上の不安がある。そこで上記のように、USBインタフェース35によってWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。
また、本実施形態の中継サーバ15,16は、USBインタフェース35がインターネット14に接続可能な場合、当該USBインタフェース35によってインターネット14に接続するとともに、LANインタフェース34によるインターネット14への接続を禁止するWAN接続選択部39を備えている。
即ち、USBインタフェース35に無線通信端末29がわざわざ接続されているということは、当該USBインタフェース35によってインターネット14に接続することが意図されていると考えられる。そこで、USBインタフェース35がインターネット14に接続できる(無線通信端末29が接続されている)場合には、当該USBインタフェース35による接続を、LANインタフェース34よりも優先させる。
また、本実施形態の中継サーバ15,16において、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する場合は、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定しない。
即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってインターネット14に接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、LANインタフェース34でインターネット14に接続するときは、許可アドレスをアドレスフィルタ部37に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
上記実施形態の第1LAN11は、有線でLANに接続することが難しい環境に敷設されているとした。しかし、環境が変化して、第1LAN11が有線でインターネット14に接続可能になった場合(例えば、第1LAN11の設置地域まで光ケーブルが敷設された場合など)は、第1中継サーバ15のUSBインタフェース35から無線通信端末29を取り外せば良い。これにより、USBインタフェース35によってインターネット14に接続することができなくなるので、WAN接続選択部39は、LANインタフェース34によってインターネット14に接続するように設定を変更する。フィルタ設定部42は、LANインタフェース34によってインターネット14に接続するように設定されたことを検出すると、アドレスフィルタ部37に許可アドレスを設定しなくなる。つまり、無線通信端末29を取り外すことにより、アドレスフィルタ部37におけるアドレスフィルタを行わないようにすることができる。このように、無線通信端末29が不要になった場合には、当該無線通信端末29を取り外すだけで、インターネット14に接続するためのインタフェースの選択、及びパケットフィルタリングの設定などが自動的に変更される。従って、設定変更の手間を省くことができる。
アドレスフィルタ部37におけるフィルタリングの態様、フィルタ設定部42がアドレスフィルタ部37にIPアドレスを設定する態様等は、上記実施形態の構成に限定されない。要は、中継サーバがグローバルIPアドレスを利用してWANに接続する場合と、アドレス変換されたIPアドレス(プライベートIPアドレス)を利用してWANに接続する場合と、でアドレスフィルタリングの設定を変更することができれば良い。これにより、プライベートIPアドレスとグローバルIPアドレスの何れを利用しているかに応じて、適切なフィルタリングを実現し、良好なセキュリティを実現することができる。
上記実施形態では、無線通信端末29はUSB機器であり、中継サーバから取り外し可能であるとした。しかしこれに限らず、無線通信端末が中継サーバに内蔵されていて、取り外し不可能に構成されていても良い。なおこの場合、無線通信端末による通信を無効化する手段(例えばスイッチなど)を設けておけば好適である。
無線通信端末29を中継サーバから取り外し可能とする場合、当該無線通信端末29を中継サーバの第2通信部に接続するインタフェースはUSB規格に限定されず、例えばPCカード等の他の規格であっても良い。つまり、第2通信部はUSBインタフェースに限らず、その他のインタフェースであっても良い。更には、第2通信部は必ずしも無線でWANに接続するものでなくても良い。また、第1通信部は必ずしも有線でWANに接続するものでなくても良い。第2通信部がグローバルIPアドレスを利用してWANに接続し、第1通信部がアドレス変換されたIPアドレスを利用してWANに接続する構成の中継サーバであれば、第1通信部及び第2通信部の詳細にかかわらず本願発明を適用できる。
上記実施形態では、IPv4のIPアドレスを利用するとしたが、例えばIPv6のIPアドレスを利用しても良い。
上記の中継サーバ15,16は、以下のように構成することもできる。即ち、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する際にも、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。このように、プライベートIPアドレスでインターネット14に接続するときも、グローバルIPアドレスでインターネット14に接続するときと同様のフィルタリングを行っても良い。
11 第1LAN
12 第2LAN
14 インターネット(WAN)
15 第1中継サーバ
16 第2中継サーバ
29 無線通信端末
34 LANインタフェース(第1通信部)
35 USBインタフェース(第2通信部)
37 アドレスフィルタ部
41 フィルタ用アドレス記憶部
42 フィルタ設定部

Claims (4)

  1. 第1LAN内のクライアント端末と、第2LAN内のクライアント端末と、の通信を、前記第2LANに接続された第2中継サーバとの間でWANを介して中継するために前記第1LANに接続された中継サーバであって、
    自身に割り当てられたプライベートIPアドレスを自身のIPアドレスとして利用して、前記第1LANのゲートウェイを介して、当該ゲートウェイによってアドレス変換されながらWANに接続可能な第1通信部と、
    自身に割り当てられたグローバルIPアドレスを自身のIPアドレスとして利用して、移動体通信網を介してWANに無線接続可能な第2通信部と、
    設定されたIPアドレスに基づいてパケットのフィルタリングを行うアドレスフィルタ部と、
    前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶するフィルタ用アドレス記憶部と、
    前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定することで、前記第2通信部によってWANに接続している場合と前記第1通信部によってWANに接続している場合とで前記アドレスフィルタ部の動作を自動的に変更することが可能なフィルタ設定部と、
    を備えることを特徴とする中継サーバ。
  2. 請求項に記載の中継サーバであって、
    前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備えることを特徴とする中継サーバ。
  3. 請求項1又は2に記載の中継サーバであって、
    前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しないことを特徴とする中継サーバ。
  4. 請求項1又は2に記載の中継サーバであって、
    前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定することを特徴とする中継サーバ。
JP2011289644A 2011-12-28 2011-12-28 中継サーバ Active JP5845898B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011289644A JP5845898B2 (ja) 2011-12-28 2011-12-28 中継サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011289644A JP5845898B2 (ja) 2011-12-28 2011-12-28 中継サーバ

Publications (2)

Publication Number Publication Date
JP2013141071A JP2013141071A (ja) 2013-07-18
JP5845898B2 true JP5845898B2 (ja) 2016-01-20

Family

ID=49038165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011289644A Active JP5845898B2 (ja) 2011-12-28 2011-12-28 中継サーバ

Country Status (1)

Country Link
JP (1) JP5845898B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003008683A (ja) * 2001-06-18 2003-01-10 Nec Corp Usb再接続機能付携帯電話装置および該装置の通信復帰方法
JP4465353B2 (ja) * 2004-06-07 2010-05-19 日本電信電話株式会社 宅内ネットワーク設定方法、ホームゲートウェイ装置、ホームゲートウェイプログラム、記録媒体
JP2008219643A (ja) * 2007-03-06 2008-09-18 Nec Corp 携帯端末装置、携帯電話機、vpn接続システム、vpn接続方法、およびプログラム
JP4645915B2 (ja) * 2007-12-27 2011-03-09 村田機械株式会社 中継サーバ及び中継通信システム
JPWO2010073563A1 (ja) * 2008-12-24 2012-06-07 パナソニック株式会社 会議装置及び通信設定方法

Also Published As

Publication number Publication date
JP2013141071A (ja) 2013-07-18

Similar Documents

Publication Publication Date Title
US9173117B2 (en) Enhancing a mobile backup channel to address a node failure in a wireline network
EP2745471B1 (en) Architecture for virtualized home ip service delivery
JP5378494B2 (ja) リレーサーバを利用したデータ伝送システム及び方法
JP4989745B2 (ja) 通信を中継するための装置、方法、およびプログラム
US20100121946A1 (en) Method and device for identifying and selecting an interface to access a network
JP5763849B2 (ja) プロパティの遠隔制御で使用されるデータ転送ネットワークを実現するためのデバイス構成および方法
JP6434063B2 (ja) 通信制御装置、及びプログラム
TWI551086B (zh) Relay server and relay communication system
JP5367764B2 (ja) 仮想ネットワークシステム、構成変更方法、トンネル接続装置、及びプログラム
US20120008634A1 (en) First relay server and second relay server
JP2006033206A (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JPWO2007114251A1 (ja) 通信機器、通信機器が実行する方法、及びその方法を実装したソフトウェアを格納した記憶媒体
TWI527405B (zh) Relay server and relay communication system
US8554935B2 (en) Relay server and relay communication system
JP5621639B2 (ja) 中継サーバ及び中継通信システム
JP2010283762A (ja) 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体
JP5437518B2 (ja) 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム
CN109039849B (zh) 多设备间共同连网方法、存储介质及多设备一体机
JP5845898B2 (ja) 中継サーバ
JP5874356B2 (ja) 中継サーバ及び中継通信システム
JP2005150794A (ja) コンピュータ装置及びコンピュータプログラム
JP4371955B2 (ja) ボタン電話システム及びそれに用いる音声データ通信方法
JP5273803B2 (ja) 通信ネットワークシステム、端末設定方法及びip電話機
JP5849695B2 (ja) 中継サーバ
JP2012170008A (ja) 中継サーバ及び中継通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141030

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151027

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151109

R150 Certificate of patent or registration of utility model

Ref document number: 5845898

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250