JP5876788B2 - 通信遮断装置、通信遮断方法、及びプログラム - Google Patents
通信遮断装置、通信遮断方法、及びプログラム Download PDFInfo
- Publication number
- JP5876788B2 JP5876788B2 JP2012182654A JP2012182654A JP5876788B2 JP 5876788 B2 JP5876788 B2 JP 5876788B2 JP 2012182654 A JP2012182654 A JP 2012182654A JP 2012182654 A JP2012182654 A JP 2012182654A JP 5876788 B2 JP5876788 B2 JP 5876788B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- logical address
- information
- identification information
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークに接続された情報処理装置による通信を遮断する通信遮断装置に関する。
従来、ネットワーク通信システムにおいて、ネットワークを通じてクライアントから受信された他の機器に対するアクセス要求を受信して宛先IPアドレスを抽出し、そのIPアドレスを自己のものとして一時登録IPアドレステーブルに登録し、受信したフレームのコピーをネットワークへ再送する通信制御装置が提案されている(特許文献1を参照)。また、アクセス要求装置の要請を受けて代理要求装置が認証処理装置に自己の認証データで要求し、認証処理装置がその要請を受けて認証処理結果に基づくアクセス制御データをアクセス制御装置に配布するネットワークアクセス制御方法が提案されている(特許文献
2を参照)。
2を参照)。
例えば、企業内ネットワークにおいては、トラフィックの平準化によるネットワーク負荷の軽減やセキュリティの向上を目的として、プロキシサーバが設置されていることが多い。このネットワークに接続された情報処理装置は、プロキシサーバを介して、インターネット上のWebサーバ等と通信する必要がある。
また、例えば、企業内ネットワークにおいては、ネットワークの不正利用による情報漏洩やマルウェア等への感染を防ぐため、ネットワークに接続された情報処理装置による通信のうち、セキュリティパッチやセキュリティソフトウェアの定義ファイルのダウンロード、ネットワークの利用申請等を目的とした必要な通信のみを許可し、それ以外の通信を遮断することが行われている。従来、このような通信の許可及び遮断を行う装置やシステムでは、ネットワークを流れるIPパケットの宛先IPアドレスや宛先ポート番号に基づいて、許可されるサーバ以外への通信を遮断する方式等が採用されている。
しかし、この方式には、プロキシサーバを介した通信について、適切な許可及び遮断ができないという問題があった。プロキシサーバへ送信されるIPパケットの宛先IPアドレス及び宛先ポート番号は、プロキシサーバのIPアドレス及びポート番号であり、IPパケットが許可されるサーバとの通信を構成するか否かが判断できないからである。
本発明は、上記の問題に鑑み、ネットワークに接続された情報処理装置からの通信について、プロキシサーバを介した通信であっても、適切な許可及び遮断をできる装置を提供することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、ネットワークに接続された情報処理装置による通信を遮断する通信遮断装置であって、前記情報処理装置に対して、他の装置の物理アドレスとして、前記通信遮断装置の物理アドレ
スを通知することで、前記情報処理装置から送信される情報を前記通信遮断装置に誘導する誘導手段と、所定の条件を満たす場合に、前記誘導手段によって誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断手段と、前記誘導手段により誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得手段と、少なくとも前記識別情報取得手段によって取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定手段と、前記所定の条件を満たす場合において、前記許可決定手段によって許可する決定がされたときに、前記通信遮断手段による通信の遮断にかかわらず、前記メッセージを転送することで、前記情報処理装置による通信を許可する通信許可手段と、を備える通信遮断装置である。
スを通知することで、前記情報処理装置から送信される情報を前記通信遮断装置に誘導する誘導手段と、所定の条件を満たす場合に、前記誘導手段によって誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断手段と、前記誘導手段により誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得手段と、少なくとも前記識別情報取得手段によって取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定手段と、前記所定の条件を満たす場合において、前記許可決定手段によって許可する決定がされたときに、前記通信遮断手段による通信の遮断にかかわらず、前記メッセージを転送することで、前記情報処理装置による通信を許可する通信許可手段と、を備える通信遮断装置である。
また、本発明に係る通信遮断装置は、前記所定の条件を満たさない場合に、前記誘導手段により誘導された情報を前記他の装置に転送する誘導情報転送手段を更に備えてもよい。
また、本発明において、前記通信許可手段は、前記他の装置に前記メッセージを転送してもよい。
また、本発明に係る通信遮断装置は、前記メッセージによる通信の許可される通知先又は前記メッセージによる通信の許可されない通知先の前記識別情報の全部又は一部を設定する設定手段を更に備え、前記許可決定手段は、前記識別情報取得手段によって取得された前記識別情報が、前記設定手段によって設定された前記識別情報の全部又は一部を含んでいるか否かに基づいて、前記メッセージによる通信を許可するか否かを決定してもよい。
また、本発明に係る通信遮断装置は、前記誘導手段により誘導された情報が、前記識別情報に対応する論理アドレスの問い合わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論理アドレスを、前記問い合わせに対して返答する論理アドレス返答手段を更に備えてもよい。
また、本発明において、前記論理アドレス返答手段による前記返答には、前記所定の論理アドレスの有効期間が付加されており、前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間とは異なる有効期間であってもよい。
また、本発明において、前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間よりも短い有効期間であってもよい。
また、本発明に係る通信遮断装置は、前記所定プロトコルの通信の代理をするプロキシサーバと通信するプロキシサーバ通信手段を更に備え、前記通信許可手段は、前記誘導手段により誘導された情報が前記所定の論理アドレスを宛先の論理アドレスとする場合において、前記メッセージに前記識別情報を基準とした相対的な情報が含まれるときは、前記メッセージ内の前記相対的な情報を、前記識別情報を基準としない絶対的な情報に変更し、変更したメッセージを、前記プロキシサーバ通信手段を用いて前記プロキシサーバに転送することで、前記情報処理装置による通信を許可してもよい。
また、本発明は、ネットワークに接続された情報処理装置による通信を遮断する通信遮断方法であって、コンピュータによって、前記情報処理装置に対して、他の装置の物理アドレスとして、前記コンピュータの物理アドレスを通知することで、前記情報処理装置か
ら送信される情報を前記コンピュータに誘導する誘導ステップと、所定の条件を満たす場合に、前記誘導ステップにおいて誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断ステップと、前記誘導ステップにおいて誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得ステップと、少なくとも前記識別情報取得ステップにおいて取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定ステップと、前記所定の条件を満たす場合において、前記許可決定ステップにおいて許可する決定がされたときに、前記通信遮断ステップにおける通信の遮断にかかわらず、前記メッセージを転送することで、前記情報処理装置による通信を許可する通信許可ステップと、が実行される、通信遮断方法であってもよい。
ら送信される情報を前記コンピュータに誘導する誘導ステップと、所定の条件を満たす場合に、前記誘導ステップにおいて誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断ステップと、前記誘導ステップにおいて誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得ステップと、少なくとも前記識別情報取得ステップにおいて取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定ステップと、前記所定の条件を満たす場合において、前記許可決定ステップにおいて許可する決定がされたときに、前記通信遮断ステップにおける通信の遮断にかかわらず、前記メッセージを転送することで、前記情報処理装置による通信を許可する通信許可ステップと、が実行される、通信遮断方法であってもよい。
また、本発明は、コンピュータを、ネットワークに接続された情報処理装置に対して、他の装置の物理アドレスとして、前記通信遮断装置の物理アドレスを通知することで、前記情報処理装置から送信される情報を前記コンピュータに誘導する誘導手段と、所定の条件を満たす場合に、前記誘導手段によって誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断手段と、前記誘導手段により誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得手段と、少なくとも前記識別情報取得手段によって取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定手段と、前記所定の条件を満たす場合において、前記許可決定手段によって許可する決定がされたときに、前記通信遮断手段による通信の遮断にかかわらず、前記メッセージを転送することで、前記情報処理装置による通信を許可する通信許可手段と、として機能させる、プログラムであってもよい。
また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、又は化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によって、ネットワークに接続された情報処理装置からの通信について、プロキシサーバを介した通信であっても、適切な許可及び遮断をすることが可能となる。
以下、本発明の実施の形態について、図面に基づいて説明する。本実施形態において、本発明に係る通信遮断装置は、センサー装置として実施され、ネットワークに接続される情報処理装置としての対象装置による通信を遮断する。また、センサー装置は、OSI基本参照モデルにおけるトランスポート層より上位の所定プロトコルとしてHTTP(Hyper Text Transfer Protocol)のメッセージによる通信を許可する。なお、以下に説明する実施の形態は、本発明を実施する一例を示すものであって、本発明を以下に説明する具体的構成に限定するものではない。本発明を実施するにあたっては、実施の形態に応じた具体的構成が適宜採用されることが好ましい。
<構成>
図1は、本実施形態に係るセンサー装置を含む通信システムの構成を示す概略図である。本実施形態に係る通信システムは、センサー装置1、Webブラウザ等を備える情報処理装置である対象装置2、IPネットワークを構成するネットワークセグメント3、ルータ4、HTTP通信を代理できるプロキシサーバ5、インターネット6、Webサーバ7、及びWebサーバ7のホスト名に対応するIPアドレスを管理して名前解決を行うDNSサーバ8を備える。センサー装置1、対象装置2、ルータ4、及びプロキシサーバ5は、ネットワークセグメント3に接続されている。ネットワークセグメント3は、ルータ4を介してインターネット6と接続されている。Webサーバ7、及びDNSサーバ8は、インターネット6に接続されている。なお、本通信システムは、インターネット6の代わりに、イントラネット、WAN(Wide Area Network)等で構成されてもよい。
図1は、本実施形態に係るセンサー装置を含む通信システムの構成を示す概略図である。本実施形態に係る通信システムは、センサー装置1、Webブラウザ等を備える情報処理装置である対象装置2、IPネットワークを構成するネットワークセグメント3、ルータ4、HTTP通信を代理できるプロキシサーバ5、インターネット6、Webサーバ7、及びWebサーバ7のホスト名に対応するIPアドレスを管理して名前解決を行うDNSサーバ8を備える。センサー装置1、対象装置2、ルータ4、及びプロキシサーバ5は、ネットワークセグメント3に接続されている。ネットワークセグメント3は、ルータ4を介してインターネット6と接続されている。Webサーバ7、及びDNSサーバ8は、インターネット6に接続されている。なお、本通信システムは、インターネット6の代わりに、イントラネット、WAN(Wide Area Network)等で構成されてもよい。
ルータ4はプロキシサーバ5からのインターネット6への通信を許可しているため、プロキシサーバ5は、Webサーバ7及びDNSサーバ8と通信をすることができる。一方、ルータ4は対象装置2からのインターネット6への通信を許可していないため、対象装置2は、プロキシサーバ5を介さなければ、Webサーバ7とHTTPメッセージによる通信をすることができない。また、対象装置2は、DNSサーバ8と通信することはできない。
センサー装置1は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、ROM(Read Only Memory)13、NIC(Network Interface Card)1
4、HDD(Hard Disk Drive)等の補助記憶装置15を備えたコンピュータである。CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、RAM12、NIC14、補助記憶装置15等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。補助記憶装置15は、不揮発性の補助記憶装置であり、RAM12にロードされるOS(Operating System)や通信の制御プログラム等の各種プログラム等、主にコンピュータの電源を落としても保持したい情報が書き込まれ、読み出される。
4、HDD(Hard Disk Drive)等の補助記憶装置15を備えたコンピュータである。CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、RAM12、NIC14、補助記憶装置15等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。補助記憶装置15は、不揮発性の補助記憶装置であり、RAM12にロードされるOS(Operating System)や通信の制御プログラム等の各種プログラム等、主にコンピュータの電源を落としても保持したい情報が書き込まれ、読み出される。
また、補助記憶装置15は、特別にパケットの転送が許可される転送先を示すIPアドレスとポート番号の組のリストである転送IPアドレス/ポートリスト、対象装置2からのHTTP通信が許可されるWebサーバ7を示す許可サーバリスト、及びIPアドレス
、ポート番号、認証情報等のプロキシサーバ5へのアクセス情報を記憶する。
、ポート番号、認証情報等のプロキシサーバ5へのアクセス情報を記憶する。
対象装置2は、センサー装置1と同様に、CPU、RAM、ROM、NIC、HDD等の補助記憶装置15等を備えたコンピュータである。対象装置2には、Webブラウザ等のプログラムが搭載されており、NICを介してHTTPのメッセージによる通信をすることができる。
図2は、本実施形態に係るセンサー装置1の機能構成の概略を示す図である。センサー装置1は、補助記憶装置15に記録されているプログラムが、RAM12に読み出され、CPU11によって実行されることで、誘導部21、通信遮断部22、識別情報取得部23、許可決定部24、通信許可部25、誘導情報転送部26、設定部27、論理アドレス返答部28、及びプロキシサーバ通信部29を備えるコンピュータとして機能する。なお、本実施形態では、コンピュータの備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部又は全部は、1又は複数の専用プロセッサによって実行されてもよい。
本実施形態において、誘導部21は、ネットワークセグメント3を流れるMACフレーム(データ)を、その宛先MACアドレスがセンサー装置1のMACアドレスでないものも含めNIC14から取得し、送信元MACアドレスに基づいて、通信遮断の対象となる対象装置2か否かを判定する。誘導部21は、取得されたデータが対象装置2から送信されたデータである場合において、そのデータがARP要求パケットを構成するときに、送信元の対象装置2に対して、センサー装置1の物理アドレスであるMACアドレスを、ARP応答パケットによって返送する。
ここで、ARP応答として、ARP要求の送信元へ返送されるMACアドレスは、デフォルトゲートウェイやネットワークセグメント3内の他の装置のMACアドレスを、センサー装置1のMACアドレスで偽装したものである。このため、誘導部21によれば、ARP応答を受信した対象端末2は、IPパケットを送信しようとするネットワークセグメント3内の他の装置のIPアドレスと、当該他の装置のMACアドレスとしてのセンサー1装置のMACアドレスとを関連付けてARPテーブルに登録する。このため、誘導部21は、対象装置2から送信されるIPパケットをセンサー装置1に誘導することができる。
通信遮断部22は、誘導部21によって誘導されたIPパケットをNIC14から取得する。通信遮断部22は、取得されたIPパケット中の宛先IPアドレス及び宛先ポート番号が、補助記憶装置15に記憶された転送IPアドレス/ポートリストに含まれている場合を除き、原則として当該IPパケットの転送を行わない。このため、原則として、誘導されたIPパケットは、他の装置に転送されず、対象装置2による他の装置への通信は遮断される。
本実施形態において、通信遮断部22が通信を遮断する所定の条件は、宛先IPアドレスが、転送IPアドレス/ポートリストに含まれていないことである。なお、通信を遮断する所定の条件は、センサー装置1に誘導されたパケット内の宛先ポート番号に無関係な条件であってもよいし、送信元MACアドレス、IPパケットの送信元IPアドレス等のその他の要素に関係する条件であってもよい。
誘導情報転送部26は、誘導部21によって誘導されたIPパケットをNIC14から取得する。誘導情報転送部26は、取得されたIPパケット中の宛先IPアドレス及び宛先ポート番号が、補助記憶装置15に記憶された転送IPアドレス/ポートリストに含まれている場合に、即ち、通信遮断部22により通信が遮断されるための所定の条件を満た
さない場合に、宛先IPアドレスに対応する、偽装されていないMACアドレスを有する他の装置へ、IPパケットを転送する。このため、対象装置2は、通信を遮断されることなく、一部の通信を行うことができる。
さない場合に、宛先IPアドレスに対応する、偽装されていないMACアドレスを有する他の装置へ、IPパケットを転送する。このため、対象装置2は、通信を遮断されることなく、一部の通信を行うことができる。
識別情報取得部23は、誘導部21によって誘導されたIPパケットを解析し、IPパケットがHTTPのリクエストメッセージが含まれている場合において、リクエストヘッダ内のHostからリクエストメッセージの通知先を識別する識別情報としてのホスト名を取得する。なお、ホスト名は、リクエストメッセージのリクエスト行のURI(Uniform Resource Idendtifier)に基づいて取得されてもよい。
設定部27は、通信許可部25によって、通信遮断部22による通信遮断にかかわらず、対象装置2からのHTTP通信が許可されるWebサーバ7を設定する。設定は、ドメ
イン名のリストにより記述され、許可サーバリストとして補助記憶装置15に記憶される。リストの要素としてのドメイン名は、FQDN(Fully Qualified Domain Name)であるもの、及びFQDNでないもののいずれの形式でも記述できる。例えば、FQDNとして"www.pfu.co.jp"、FQDNでないドメイン名として"pfu.co.jp"を記述できる。FQDNは、ホスト名を全部記述したものであり、FQDNでないドメイン名は、ホスト名の一部を記述したものである。FQDNでないドメイン名を記述することは、当該ドメイン名が示すドメインに属するすべてのホスト(Webサーバ7)へのHT
TP通信の許可を設定することを意味する。例えば、"pfu.co.jp"を記述することは、"www.pfu.co.jp"、"web.pfu.co.jp"等の複数のWebサーバ7へのHTTP通信の許可を設
定すること意味する。
イン名のリストにより記述され、許可サーバリストとして補助記憶装置15に記憶される。リストの要素としてのドメイン名は、FQDN(Fully Qualified Domain Name)であるもの、及びFQDNでないもののいずれの形式でも記述できる。例えば、FQDNとして"www.pfu.co.jp"、FQDNでないドメイン名として"pfu.co.jp"を記述できる。FQDNは、ホスト名を全部記述したものであり、FQDNでないドメイン名は、ホスト名の一部を記述したものである。FQDNでないドメイン名を記述することは、当該ドメイン名が示すドメインに属するすべてのホスト(Webサーバ7)へのHT
TP通信の許可を設定することを意味する。例えば、"pfu.co.jp"を記述することは、"www.pfu.co.jp"、"web.pfu.co.jp"等の複数のWebサーバ7へのHTTP通信の許可を設
定すること意味する。
大規模な通信システムや基幹システム等においては、冗長化や処理能力向上のため複数のサーバが備えられていることが多い。設定部27によれば、許可されるWebサーバ7が複数ある場合にも、通信が許可されるWebサーバ7の設定をドメイン名により一括して記述できるため、1台1台のWebサーバ7を個別に記述する場合に比べ、システム管理者の作業負担を軽減することができる。また、通信システムのネットワーク構成が変更され、IPアドレスが変更になった場合にも、設定部27によれば、ドメイン名による記述の設定であるため、設定を変更する必要がなく、システム管理者の作業負担を軽減することができる。なお、対象装置2からのHTTP通信が許可されるWebサーバ7の設定については、許可されないサーバのリストが記述され、記憶されてもよい。また、許可サーバリストの要素は、正規表現やワイルドカードを用いて記述されてもよい。
許可決定部24は、識別情報取得部23によって取得されたホスト名と、許可サーバリストの各要素とを、文字列として比較する。ホスト名が許可サーバリスト内のある要素(ホスト名の全部、又は一部に当たるFQDNではないドメイン名の文字列)を含んでいる場合(ホスト名とある要素が一致する場合も含む)には、許可決定部24は、対象装置2からのHTTP通信を許可する決定をする。許可サーバリスト内の全ての要素が、ホスト名が含まないものである場合は、許可決定部24は、対象装置2からのHTTP通信を許可しない決定をする。なお、許可決定部24は、識別情報取得部23によって取得されたホスト名に加え、例えば、リクエストメッセージ中のメソッド名、リソースを示すURI等が所定の条件を満たすか否かに基づいて、許可するか否かを決定してもよい。
通信許可部25は、許可決定部24によってHTTP通信を許可する決定がされたときに、通信遮断部22により転送を行わないパケットが構成するHTTPのリクエストメッセージを転送することで、対象装置2によるHTTP通信を許可する。通信許可部25は、リクエストメッセージの転送の際、センサー装置1と転送先との間でTCP(Transmission Control Protocol)のコネクションを確立する。
プロキシサーバ5を介したHTTP通信は、実質的なリソース(Webコンテンツ)を提供するWebサーバ7が異なっていても、プロキシサーバ5の宛先IPアドレスや宛先ポート番号が用いられるため、トランスポート層以下のプロトコルのメッセージ解析では、通信先のWebサーバ7が区別できない。本実施形態の識別情報取得部23、許可決定部24、及び通信許可部25によれば、対象装置2からのHTTPメッセージに含まれる通信先のホスト名に基づいて通信を許可するため、プロキシサーバ5を介した通信についても、一部のWebサーバ7への通信を許可し、その他のWebサーバ7への通信を遮断することができる。
論理アドレス返答部28は、誘導部21によって誘導されたIPパケットが、ホスト名に対応する論理アドレスの問い合わせであるDNS問い合わせを構成する場合に、問い合わせられた名前が、設定部27によって設定された対象装置2からのHTTP通信が許可されるWebサーバ7を示すときは、DNS問い合わせに対して、Webサーバ7のIP
アドレスではなく、所定の論理アドレスとしてのセンサー装置1のIPアドレスを返答する。このため、対象装置2は、DNSサーバ8と通信できない環境であっても、Webサーバ7の名前解決を行うことができる。特に、プロキシサーバ5への通信設定がされていない対象装置2は、通信しようとするWebサーバ7の名前解決を行おうとするため、論理アドレス返答部28によって、この名前解決が失敗することを防ぐことができる。なお、論理アドレス返答部28が返答する所定の論理アドレスは、センサー装置1のIPアドレス以外のIPアドレスであってもよい。
アドレスではなく、所定の論理アドレスとしてのセンサー装置1のIPアドレスを返答する。このため、対象装置2は、DNSサーバ8と通信できない環境であっても、Webサーバ7の名前解決を行うことができる。特に、プロキシサーバ5への通信設定がされていない対象装置2は、通信しようとするWebサーバ7の名前解決を行おうとするため、論理アドレス返答部28によって、この名前解決が失敗することを防ぐことができる。なお、論理アドレス返答部28が返答する所定の論理アドレスは、センサー装置1のIPアドレス以外のIPアドレスであってもよい。
論理アドレス返答部28は、DNS問い合わせに返答する際、DNSサーバ8がWebサーバ7のホスト名の名前解決の際に設定するTTL(Time To Live)値よりも小さい値(例えば、60秒)を、返答メッセージのTTL値に設定する。返答メッセージを受信した対象装置2は、このTTL値をWebサーバ7のホスト名に対応する論理アドレスであるセンサー装置1のIPアドレスの有効期間として扱う。このため、対象装置2は、センサー装置1が設置されていない別のネットワークに接続され、センサー装置1による通信の遮断の作用が及ばなくなった場合に、DNSサーバ8から、正規のDNS情報を速やかに取得できる。なお、論理アドレス返答部28が設定するTTL値は、DNSサーバ8がWebサーバ7のホスト名の名前解決の際に設定するTTL値以上の値であってもよい。
プロキシサーバ通信部29は、補助記憶装置15に記憶されたプロキシサーバ5へのアクセス情報を用いて、NIC15を介してプロキシサーバ5と通信する。
≪実施形態1≫
実施形態1における通信及び処理について図面を用いて説明する。
実施形態1における通信及び処理について図面を用いて説明する。
<通信システムの通信の流れ>
実施形態1に係るセンサー装置1を含む通信システムにおける通信の流れについて説明する。実施形態1の通信システムでは、対象装置2からのプロキシサーバ5を介した通信のうち、一部のWebサーバ7への通信は許可され、その他のサーバへの通信は遮断される。
実施形態1に係るセンサー装置1を含む通信システムにおける通信の流れについて説明する。実施形態1の通信システムでは、対象装置2からのプロキシサーバ5を介した通信のうち、一部のWebサーバ7への通信は許可され、その他のサーバへの通信は遮断される。
図3は、実施形態1に係るセンサー装置1を含む通信システムの通信の例を示すシーケンス図である。実施形態1において、対象装置2にはプロキシサーバ5のアクセス情報の設定がされている。また、センサー装置1には、Webサーバ7のホスト名が許可サーバリストに設定されている。図3では、対象装置2によるWebサーバ7とのHTTP通信が、センサー装置1において許可され、センサー装置1とプロキシサーバ5を介して実現される。
ネットワークセグメント3に接続された対象装置2は、プロキシサーバ5と通信を行うために、プロキシサーバ5についてのARP要求をブロードキャスト送信する(ステップS301)。このARP要求を受信したセンサー装置1の誘導部21は、センサー装置1のMACアドレスを、送信元の対象装置2に対して、ARP応答パケットとして返送する(ステップS302)。ARP応答パケットを受信した対象装置2は、プロキシサーバ5のIPアドレスに対応するMACアドレスとしてセンサー装置1のMACアドレスをARPテーブルに登録する。
対象装置2は、Webサーバ7と通信するためのHTTPのリクエストメッセージをプロキシサーバ5宛に送信する(ステップS303)。この際の送信パケットは、宛先MACアドレスがセンサー装置1のMACアドレス、宛先IPアドレスがプロキシサーバ5宛であり、リクエストヘッダのHostは、Webサーバ7のホスト名である。リクエストメッセージを受信したセンサー装置1の誘導情報転送部26は、プロキシサーバ5のIPアドレスが転送IPアドレス/ポートリストに含まれていないため、リクエストメッセージを構成するIPパケットの転送を行わない。
次に、センサー装置1の識別情報取得部23がリクエストメッセージからホスト名を取得し、許可決定部24は、このホスト名に基づいてHTTP通信を許可する。センサー装置1の通信許可部25は、対象装置2から受信されたリクエストメッセージをプロキシサーバ5に転送する(ステップS304)。なお、Webサーバ7のホスト名が許可サーバリストに設定されていない場合は、識別情報取得部23がHTTP通信を許可しないため、HTTP通信は遮断される。
ステップS305〜S307では、プロキシサーバ5がWebサーバ7と代理通信する。リクエストメッセージを受信したプロキシサーバ5は、Webサーバ7にリクエストメッセージを代理送信する(ステップS305)。プロキシサーバ5からリクエストメッセージを受信したWebサーバ7は、レスポンスメッセージを生成し、プロキシサーバ5に送信する(ステップS306)。Webサーバ7からレスポンスメッセージを受信したプロキシサーバ5は、レスポンスメッセージを代理送信する(ステップS307)。
レスポンスメッセージを受信したセンサー装置1は、レスポンスメッセージをリクエストメッセージの送信元の対象装置2に転送する(ステップS308)。
<センサー装置の処理の流れ>
以上の通信の例は、センサー装置1の受信データの処理によって実現される。図4及び図5のフローチャートを用いて、実施形態1に係るセンサー装置1の受信データの処理の流れを説明する。なお、フローチャートに示された処理の具体的な内容及び順序は一例であり、処理内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
以上の通信の例は、センサー装置1の受信データの処理によって実現される。図4及び図5のフローチャートを用いて、実施形態1に係るセンサー装置1の受信データの処理の流れを説明する。なお、フローチャートに示された処理の具体的な内容及び順序は一例であり、処理内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
図4は、実施形態1に係るセンサー装置1における対象装置2からの受信データ処理の流れを示すフローチャートである。対象装置2からの受信データ処理は、センサー装置1が、対象装置2の送信したデータを受信したことを契機に開始される。
ステップS401及びS402では、対象装置2からのARP要求の処理がされる。まず、誘導部21は、対象装置2からの受信データが、ARP要求であるか否かを判定する(ステップS401)。ステップS401において、対象装置2からの受信データがARP要求であると判定された場合、誘導部21は、センサー装置1のMACアドレスを、送信元の対象装置2に対してARP応答パケットとして返送する(ステップS402)。ス
テップS401において、対象装置2からの受信データがARP要求でないと判定された場合は、ステップS403へ処理が進む。
テップS401において、対象装置2からの受信データがARP要求でないと判定された場合は、ステップS403へ処理が進む。
ステップS403及びS404では、対象装置2からの受信データの転送についての処理がされる。まず、通信遮断部22及び誘導情報転送部26は、対象装置2からの受信データが、転送されるIPアドレス、ポート宛か否か、即ち、受信データ内の宛先IPアドレス及び宛先ポート番号が、転送IPアドレス/ポートリストに含まれているかを判定する(ステップS403)。ステップS403において、対象装置2からの受信データが、転送されるIPアドレス、ポート宛であると判定された場合には、誘導情報転送部26は、宛先IPアドレスに対応する、偽装されていないMACアドレスを有する他の装置に、受信データを転送する(ステップS404)。ステップS403において、ステップS403において、対象装置2からの受信データが、転送されるIPアドレス、ポート宛でないと判定された場合は、ステップS405へ処理が進む。
ステップS405〜S407では、HTTPのリクエストメッセージの転送についての処理がされる。まず、識別情報取得部23は、受信データを解析し、HTTPのリクエストメッセージが構成されるか否かを判定する(ステップS405)。ステップS405において、HTTPのリクエストメッセージが構成されると判定された場合には、識別情報取得部23は、受信データからリクエストメッセージの通信先のホスト名を取得し、更に、許可決定部24は、識別情報取得部23によって取得されたホスト名に基づいて、リクエストメッセージ、通信許可されるWebサーバ7宛であるか否かを判定する(ステップS406)。ステップS406において、リクエストメッセージが通信許可されるWebサーバ7宛であると判定された場合は、許可決定部24が、対象装置2からのHTTP通信を許可する決定をし、通信許可部25は、リクエストメッセージを受信データ中の宛先IPアドレス及びポート番号が示す装置に転送する(ステップS407)。
ステップS405においてHTTPのリクエストメッセージが構成されないと判定された場合、又はステップS406においてリクエストメッセージが通信許可されるWebサーバ7宛でないと判断された場合には、受信データは破棄され、HTTPのリクエストメッセージは転送さない(ステップS408)。なお、受信データがHTTPのリクエストメッセージを構成する場合は、ステップS408において、センサー装置1は、所定のURLへリダイレクトをするためのレスポンスメッセージを、対象装置2に送信してもよい。この送信によって、センサー装置1は、HTTP通信が遮断される対象装置2に対し、通信システムの利用申請を行うためのWebページ等の所定の情報の提供することができる。また、受信データがHTTPのリクエストメッセージを構成する場合は、ステップS408において、センサー装置1は、リクエストメッセージに関連するコネクションの切断を行ってもよい。
図5は、実施形態1に係るセンサー装置1におけるリクエストメッセージ転送先からの受信データ処理の流れを示すフローチャートである。リクエストメッセージ転送先からの受信データ処理は、センサー装置1が、図4のステップS407における通信許可部25
のリクエストメッセージ転送の際に確立したTCPのコネクションから、データを受信したことを契機に開始される。
のリクエストメッセージ転送の際に確立したTCPのコネクションから、データを受信したことを契機に開始される。
ステップS501〜S503では、受信されたHTTPのレスポンスメッセージの転送についての処理がされる。まず、センサー装置1は、受信データがレスポンスメッセージであるか否かを判定する(ステップS501)。ステップS501において、受信データがレスポンスメッセージであると判定された場合には、センサー装置1は、リクエストメッセージの転送元である対象装置2に、レスポンスメッセージを転送する(ステップS502)。ステップS501において受信データがレスポンスメッセージでないと判定され
た場合には、センサー装置1は、受信データを破棄する(ステップS503)。
た場合には、センサー装置1は、受信データを破棄する(ステップS503)。
実施形態1に係るセンサー装置1によれば、ネットワークセグメント3に接続された対象装置2からのHTTP通信のうち、プロキシサーバ5を介したHTTP通信であっても、その通信先に応じて、一部のWebサーバ7への通信を許可し、その他のWebサーバ7への通信を遮断することが可能となる。また、実施形態1に係るセンサー装置1によれば、プロキシサーバ5宛の通信か否かに無関係に、HTTPのメッセージによる通信の許可を決定するため、プロキシサーバ5を介さないHTTP通信についてもホスト名による設定に基づいて許可及び遮断をすることができる。また、既にプロキシサーバ5が設置され、対象装置2にプロキシサーバ5の設定がされている通信システムに対し、ネットワークの構成やIPアドレス等の設定の変更をすることなく、センサー装置1を設置するだけで、プロキシサーバ5を介したHTTP通信も含めて、対象装置2からのHTTP通信の許可及び遮断をすることができる。
なお、実施形態1に係るセンサー装置1は、HTTP通信の許可及び遮断を行うが、例えば、SMTP(Simple Mail Transfer Protocol)等の通信の許可及び遮断を行ってもよい。
≪実施形態2≫
実施形態2における通信及び処理について図面を用いて説明する。
実施形態2における通信及び処理について図面を用いて説明する。
<通信システムの通信の流れ>
実施形態2に係るセンサー装置1を含む通信システムにおける通信の流れについて説明する。実施形態2の通信システムにおいて、プロキシサーバ5のアクセス情報の設定がされていない対象装置2は、通信が許可されたWebサーバ7とHTTP通信をすることができる。
実施形態2に係るセンサー装置1を含む通信システムにおける通信の流れについて説明する。実施形態2の通信システムにおいて、プロキシサーバ5のアクセス情報の設定がされていない対象装置2は、通信が許可されたWebサーバ7とHTTP通信をすることができる。
図6は、実施形態2に係るセンサー装置1を含む通信システムの通信の例を示すシーケンス図である。図6では、プロキシサーバ5のアクセス情報の設定がされていない対象装置2によるWebサーバ7とのHTTP通信が、センサー装置1において許可され、センサー装置1とプロキシサーバ5を介して実現される。なお、本通信の例では、センサー装置1の設定部27によって事前にWebサーバ7のホスト名が許可サーバリストに設定されている。
ステップS601及びS602では、実施形態1と同様に、ARP要求及びARP応答の送信がされ、センサー装置1のMACアドレスが対象装置2のARPテーブルに登録される。
対象装置2は、Webサーバ7のホスト名の名前解決を行うためにDNS問い合わせを送信する(ステップS603)。この際の送信パケットは、宛先MACアドレスがセンサー装置のMACアドレスであるため、センサー装置1がDNS問い合わせを受信する。
DNS問い合わせを受信したセンサー装置1の論理アドレス返答部28は、センサー装置1のIPアドレスを対象装置2に返答する(ステップS604)。
対象装置2は、Webサーバ7と通信するためのHTTPのリクエストメッセージをセンサー装置1宛に送信する(ステップS605)。この際の宛先IPアドレスはDNS問い合わせに対して返答されたセンサー装置1のIPアドレスである。
リクエストメッセージを受信したセンサー装置1の識別情報取得部23は、リクエスト
メッセージからホスト名を取得し、許可決定部24は、ホスト名に基づいてHTTP通信を許可する。センサー装置1の通信許可部25は、対象装置2から受信されたリクエストメッセージをプロキシサーバ5向けのリクエストメッセージに変更して、プロキシサーバ5に転送する(ステップS606)。
メッセージからホスト名を取得し、許可決定部24は、ホスト名に基づいてHTTP通信を許可する。センサー装置1の通信許可部25は、対象装置2から受信されたリクエストメッセージをプロキシサーバ5向けのリクエストメッセージに変更して、プロキシサーバ5に転送する(ステップS606)。
ステップS607〜S609では、実施形態1と同様に、プロキシサーバ5がWebサーバ7と代理通信する。
センサー装置1は、実施形態1と同様に、レスポンスメッセージを、リクエストメッセージの送信元の対象装置2に転送する(ステップS610)。
<センサー装置の処理の流れ>
以上の通信の例は、センサー装置1の受信データの処理によって実現される。図7及び図8のフローチャートを用いて、実施形態2に係るセンサー装置1の受信データの処理の流れを説明する。なお、フローチャートに示された処理の具体的な内容及び順序は一例であり、処理内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
以上の通信の例は、センサー装置1の受信データの処理によって実現される。図7及び図8のフローチャートを用いて、実施形態2に係るセンサー装置1の受信データの処理の流れを説明する。なお、フローチャートに示された処理の具体的な内容及び順序は一例であり、処理内容及び順序には、実施の形態に適したものが適宜採用されることが好ましい。
図7は、実施形態2に係るセンサー装置1における対象装置2からの受信データ処理の流れを示すフローチャートである。対象装置2からの受信データ処理は、センサー装置1が、対象装置2の送信したデータを受信したことを契機に開始される。
ステップS701及びS702では、実施形態1の図4のステップ401及び402と同様に、対象装置2からのARP要求の処理がされる。
ステップS703〜S705では、対象装置2にDNS問い合わせについての処理がされる。まず、論理アドレス返答部28は、受信データがDNS問い合わせを構成するか否かを判定する(ステップS703)。ステップS703において、受信データがDNS問い合わせを構成すると判断された場合は、論理アドレス返答部28は、問い合わせられた名前がHTTP通信の許可されるWebサーバ7を示すか否かを判定する(ステップS7
04)。ステップS704において、問い合わせられた名前がHTTP通信の許可されるWebサーバ7を示すと判定された場合は、論理アドレス返答部28は、センサー装置1
のIPアドレスを返答する(ステップS705)。ステップS703において、受信データがDNS問い合わせを構成しないと判定された場合は、ステップS706へ処理が進む。ステップS704において、問い合わせられた名前がHTTP通信の許可されるWebサーバ7を示さないと判定された場合は、ステップS707へ処理が進む。
04)。ステップS704において、問い合わせられた名前がHTTP通信の許可されるWebサーバ7を示すと判定された場合は、論理アドレス返答部28は、センサー装置1
のIPアドレスを返答する(ステップS705)。ステップS703において、受信データがDNS問い合わせを構成しないと判定された場合は、ステップS706へ処理が進む。ステップS704において、問い合わせられた名前がHTTP通信の許可されるWebサーバ7を示さないと判定された場合は、ステップS707へ処理が進む。
ステップS706及びS707では、実施形態1の図4のステップS403及びS404と同様に、対象装置2からの受信データの転送についての処理がされる。
ステップS708〜S710では、実施形態1の図4のステップS405、S406、及びS408と同様に、受信データが破棄される。
ステップS711〜S714では、リクエストメッセージが転送される。まず、通信許可部25は、受信データの宛先IPアドレスがセンサー装置1のIPアドレスであり、かつリクエストメッセージがプロキシサーバ5向けのメッセージであるか否かを判定する(ステップS711)。リクエストメッセージにホスト名を基準とした相対的な情報が含まれている場合は、プロキシサーバ5向けのメッセージでないと判定される。また、リクエストメッセージにホスト名を基準とした相対的な情報が含まれてない場合は、プロキシサーバ5向けのメッセージであると判定される。
実施形態2では、リクエストメッセージにホスト名を基準とした相対的な情報が含まれている否かは、リクエスト行のURIが相対的な形式のURIであるか否かによる。図9は、Webサーバ7向けのHTTPリクエストメッセージのリクエストヘッダの例(一部)である。図10は、プロキシサーバ5向けのHTTPリクエストメッセージのリクエストヘッダの例(一部)である。図9及び図10のいずれも、"http://www.pfu.co.jp"が示すリソースを取得するためのリクエストヘッダである。図9のURIは、"/"であり、ホ
スト名"www.pfu.co.jp"を基準とした相対的な形式のURIである。図10のURIは、"
http://www.pfu.co.jp"であり、絶対的な形式のURIである。
スト名"www.pfu.co.jp"を基準とした相対的な形式のURIである。図10のURIは、"
http://www.pfu.co.jp"であり、絶対的な形式のURIである。
ステップS711において、受信データの宛先IPアドレスがセンサー装置1のIPアドレスであり、かつリクエストメッセージがプロキシサーバ5向けのメッセージでないと判定された場合は、通信許可部25は、リクエストメッセージを、リクエスト行のURIを上述した絶対的な形式に書き換えることで、プロキシサーバ5向けに変更する(ステップS712)。次に、通信許可部25は、プロキシサーバ通信部29を介して、ステップS712で変更したリクエストメッセージをプロキシサーバ5に転送する(ステップS713)。ステップS711において、受信データの宛先IPアドレスがセンサー装置1の
IPアドレスであり、かつリクエストメッセージがプロキシサーバ5向けのメッセージであると判定された場合は、通信許可部25は、実施形態1の図4のステップS407と同様に、リクエストメッセージを受信データ中の宛先IPアドレス及びポート番号が示す装置に転送する(ステップS714)。ステップS714では、リクエストメッセージはプロキシサーバ5向けに変更されずに転送される。
IPアドレスであり、かつリクエストメッセージがプロキシサーバ5向けのメッセージであると判定された場合は、通信許可部25は、実施形態1の図4のステップS407と同様に、リクエストメッセージを受信データ中の宛先IPアドレス及びポート番号が示す装置に転送する(ステップS714)。ステップS714では、リクエストメッセージはプロキシサーバ5向けに変更されずに転送される。
図8は、実施形態2に係るセンサー装置1におけるプロキシサーバ5からの受信データ処理の流れを示すフローチャートである。プロキシサーバ5からの受信データ処理は、センサー装置1が、図7のSステップ713における通信許可部25のリクエストメッセージ転送の際に確立したTCPのコネクションから、データを受信したことを契機に開始される。なお、図7のステップS714における通信許可部25のリクエストメッセージ転送の際に確立したTCPのコネクションから、データを受信した場合の処理は、図5を用いて説明した、実施形態1と同様の処理であり、ここでは説明を省略する。
まず、センサー装置1は、受信データがレスポンスメッセージであるか否かを判定する(ステップS801)。ステップS801において、受信データがレスポンスメッセージであると判定された場合には、リクエストメッセージを対象装置2向けに変更し(ステップS802)、変更したレスポンスメッセージを、リクエストメッセージの転送元である対象装置2に転送する(ステップS803)。ステップS801において、受信データがレスポンスメッセージでないと判定された場合には、受信データは破棄される(ステップS804)。
携帯端末等にはプロキシサーバ5への通信設定が行えないものがある。従来、このようなプロキシサーバ5への通信設定が行えない情報処理装置やプロキシサーバ5への通信設定を行っていない情報処理装置は、プロキシサーバ5を介した通信を行うことができないという問題があった。このため、特に、企業が新たにクラウドサービスを導入しようとする際、クラウドサービスを利用するための全ての情報処理装置にプロキシサーバ5への通信設定を行う作業が必要とされる不都合や、プロキシサーバ5への通信設定が行えない携帯端末等をクラウドサービスのために利用できないという不都合が生じていた。
実施形態2に係るセンサー装置1によれば、プロキシサーバ5の設定がされていない、あるいはプロキシサーバ5の設定をすることができない対象装置2は、プロキシサーバ5を介したWebサーバ7との通信を行うことが可能となる。また、実施形態2に係るセン
サー装置1によれば、Webサーバ7との通信のためにプロキシサーバ5を介す必要のあるネットワーク環境において、プロキシサーバ5の設定がされていない、あるいはプロキシサーバ5の設定をすることができない対象装置2によるHTTP通信のうち、その通信先に応じて、一部のWebサーバ7への通信を許可し、その他のWebサーバ7への通信を遮断することが可能となる。更に、プロキシサーバ5の設定がされている対象装置2とプロキシサーバ5の設定がされていない、あるいはプロキシサーバ5の設定をすることができない対象装置2とが、混在してネットワークセグメント3に接続される場合であっても、HTTP通信の許可及び遮断を一つの設定で一元的に管理することができる。
サー装置1によれば、Webサーバ7との通信のためにプロキシサーバ5を介す必要のあるネットワーク環境において、プロキシサーバ5の設定がされていない、あるいはプロキシサーバ5の設定をすることができない対象装置2によるHTTP通信のうち、その通信先に応じて、一部のWebサーバ7への通信を許可し、その他のWebサーバ7への通信を遮断することが可能となる。更に、プロキシサーバ5の設定がされている対象装置2とプロキシサーバ5の設定がされていない、あるいはプロキシサーバ5の設定をすることができない対象装置2とが、混在してネットワークセグメント3に接続される場合であっても、HTTP通信の許可及び遮断を一つの設定で一元的に管理することができる。
1 センサー装置(通信遮断装置)
2 対象装置(情報処理装置)
3 ネットワークセグメント
4 ルータ
5 プロキシサーバ
6 インターネット
7 Webサーバ
8 DNSサーバ
21 誘導部
22 通信遮断部
23 識別情報取得部
24 許可決定部
25 通信許可部
26 誘導情報転送部
27 設定部
28 論理アドレス返答部
29 プロキシサーバ通信部
2 対象装置(情報処理装置)
3 ネットワークセグメント
4 ルータ
5 プロキシサーバ
6 インターネット
7 Webサーバ
8 DNSサーバ
21 誘導部
22 通信遮断部
23 識別情報取得部
24 許可決定部
25 通信許可部
26 誘導情報転送部
27 設定部
28 論理アドレス返答部
29 プロキシサーバ通信部
Claims (13)
- ネットワークに接続された情報処理装置による通信を遮断する通信遮断装置であって、
前記情報処理装置に対して、他の装置の物理アドレスとして、前記通信遮断装置の物理アドレスを通知することで、前記情報処理装置から送信される情報を前記通信遮断装置に誘導する誘導手段と、
所定の条件を満たす場合に、前記誘導手段によって誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断手段と、
前記誘導手段により誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得手段と、
少なくとも前記識別情報取得手段によって取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定手段と、
前記所定の条件を満たす場合において、前記許可決定手段によって許可する決定がされたときに、前記通信遮断手段による通信の遮断にかかわらず、前記誘導手段によって誘導された前記メッセージを、前記他の装置に転送することで、前記情報処理装置による通信を許可する通信許可手段と、
を備える通信遮断装置。 - 前記所定の条件を満たさない場合に、前記誘導手段により誘導された情報を前記他の装置に転送する誘導情報転送手段を更に備える、
請求項1に記載の通信遮断装置。 - 前記メッセージによる通信の許可される通知先又は前記メッセージによる通信の許可されない通知先の前記識別情報の全部又は一部を設定する設定手段を更に備え、
前記許可決定手段は、前記識別情報取得手段によって取得された前記識別情報が、
前記設定手段によって設定された前記識別情報の全部又は一部を含んでいるか否かに基づいて、前記メッセージによる通信を許可するか否かを決定する、
請求項1または2に記載の通信遮断装置。 - 前記誘導手段により誘導された情報が、前記識別情報に対応する論理アドレスの問い合わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論
理アドレスを、前記問い合わせに対して返答する論理アドレス返答手段を更に備える、
請求項1から3までの何れか一項に記載の通信遮断装置。 - 前記論理アドレス返答手段による前記返答には、前記所定の論理アドレスの有効期間が付加されており、
前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間とは異なる有効期間である、
請求項4に記載の通信遮断装置。 - 前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間よりも短い有効期間である、
請求項5に記載の通信遮断装置。 - 前記所定プロトコルの通信の代理をするプロキシサーバと通信するプロキシサーバ通信手段を更に備え、
前記通信許可手段は、前記誘導手段により誘導された情報が前記所定の論理アドレスを宛先の論理アドレスとする場合において、前記メッセージに前記識別情報を基準とした相対的な情報が含まれるときは、前記メッセージ内の前記相対的な情報を、前記識別情報を基準としない絶対的な情報に変更し、変更したメッセージを、前記プロキシサーバ通信手段を用いて前記プロキシサーバに転送することで、前記情報処理装置による通信を許可する、
請求項4から6までの何れか一項に記載の通信遮断装置。 - ネットワークに接続された情報処理装置による通信を遮断する通信遮断方法であって、
コンピュータによって、
前記情報処理装置に対して、他の装置の物理アドレスとして、前記コンピュータの物理アドレスを通知することで、前記情報処理装置から送信される情報を前記コンピュータに誘導する誘導ステップと、
所定の条件を満たす場合に、前記誘導ステップにおいて誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断ステップと、
前記誘導ステップにおいて誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得ステップと、
少なくとも前記識別情報取得ステップにおいて取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定ステップと、
前記所定の条件を満たす場合において、前記許可決定ステップにおいて許可する決定がされたときに、前記通信遮断ステップにおける通信の遮断にかかわらず、前記誘導ステップで誘導された前記メッセージを、前記他の装置に転送することで、前記情報処理装置による通信を許可する通信許可ステップと、
が実行される、通信遮断方法。 - 前記コンピュータによって、
前記誘導ステップで誘導された情報が、前記識別情報に対応する論理アドレスの問い合わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論理アドレスを、前記問い合わせに対して返答する論理アドレス返答ステップが更に実行され、
前記論理アドレス返答ステップにおける前記返答には、前記所定の論理アドレスの有効期間が付加されており、
前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間とは異なる有効期間である、
請求項8に記載の通信遮断方法。 - 前記コンピュータによって、
前記誘導ステップで誘導された情報が、前記識別情報に対応する論理アドレスの問い合わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論理アドレスを、前記問い合わせに対して返答する論理アドレス返答ステップと、
前記所定プロトコルの通信の代理をするプロキシサーバと通信するプロキシサーバ通信ステップと、が更に実行され、
前記通信許可ステップでは、前記誘導ステップで誘導された情報が前記所定の論理アドレスを宛先の論理アドレスとする場合において、前記メッセージに前記識別情報を基準とした相対的な情報が含まれるときは、前記メッセージ内の前記相対的な情報を、前記識別情報を基準としない絶対的な情報に変更し、変更したメッセージを、前記プロキシサーバ通信ステップで前記プロキシサーバに転送することで、前記情報処理装置による通信を許可する、
請求項8に記載の通信遮断方法。 - コンピュータを、
ネットワークに接続された情報処理装置に対して、他の装置の物理アドレスとして、前記通信遮断装置の物理アドレスを通知することで、前記情報処理装置から送信される情報を前記コンピュータに誘導する誘導手段と、
所定の条件を満たす場合に、前記誘導手段によって誘導された情報を転送しないことで、前記情報処理装置による通信を遮断する通信遮断手段と、
前記誘導手段により誘導された情報で構成される、トランスポート層より上位の所定プロトコルのメッセージから、前記メッセージの通知先を識別する識別情報を取得する識別情報取得手段と、
少なくとも前記識別情報取得手段によって取得された前記識別情報に基づいて、前記メッセージによる通信を許可するか否かを決定する許可決定手段と、
前記所定の条件を満たす場合において、前記許可決定手段によって許可する決定がされたときに、前記通信遮断手段による通信の遮断にかかわらず、前記誘導手段によって誘導された前記メッセージを、前記他の装置に転送することで、前記情報処理装置による通信を許可する通信許可手段と、
として機能させる、プログラム。 - 前記コンピュータを、
前記誘導手段により誘導された情報が、前記識別情報に対応する論理アドレスの問い合わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論理アドレスを、前記問い合わせに対して返答する論理アドレス返答手段として更に機能させ、
前記論理アドレス返答手段による前記返答には、前記所定の論理アドレスの有効期間が付加されており、
前記所定の論理アドレスの有効期間は、前記問い合わせに対して前記識別情報が識別する通知先の論理アドレスを返答するサーバによって該返答に付加される、該論理アドレスの有効期間とは異なる有効期間である、
請求項11に記載のプログラム。 - 前記コンピュータを、
前記誘導手段により誘導された情報が、前記識別情報に対応する論理アドレスの問い合
わせを構成する場合に、前記識別情報が識別する通知先の論理アドレスではない所定の論理アドレスを、前記問い合わせに対して返答する論理アドレス返答手段と、
前記所定プロトコルの通信の代理をするプロキシサーバと通信するプロキシサーバ通信手段と、として更に機能させ、
前記通信許可手段は、前記誘導手段により誘導された情報が前記所定の論理アドレスを宛先の論理アドレスとする場合において、前記メッセージに前記識別情報を基準とした相対的な情報が含まれるときは、前記メッセージ内の前記相対的な情報を、前記識別情報を基準としない絶対的な情報に変更し、変更したメッセージを、前記プロキシサーバ通信手段を用いて前記プロキシサーバに転送することで、前記情報処理装置による通信を許可する、
請求項11に記載のプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012182654A JP5876788B2 (ja) | 2012-08-21 | 2012-08-21 | 通信遮断装置、通信遮断方法、及びプログラム |
| US13/940,297 US9832119B2 (en) | 2012-08-21 | 2013-07-12 | Communication block apparatus and communication block method |
| CN201310368170.0A CN103634289B (zh) | 2012-08-21 | 2013-08-21 | 通信屏蔽装置及通信屏蔽方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012182654A JP5876788B2 (ja) | 2012-08-21 | 2012-08-21 | 通信遮断装置、通信遮断方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014042121A JP2014042121A (ja) | 2014-03-06 |
| JP5876788B2 true JP5876788B2 (ja) | 2016-03-02 |
Family
ID=50149041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012182654A Active JP5876788B2 (ja) | 2012-08-21 | 2012-08-21 | 通信遮断装置、通信遮断方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9832119B2 (ja) |
| JP (1) | JP5876788B2 (ja) |
| CN (1) | CN103634289B (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10069787B2 (en) * | 2014-04-01 | 2018-09-04 | Cloudflare, Inc. | Domain name system CNAME record management |
| CN107493178A (zh) * | 2016-06-12 | 2017-12-19 | 富士通株式会社 | 信息聚合方法、装置和系统 |
| US10110721B2 (en) * | 2016-12-30 | 2018-10-23 | GM Global Technology Operations LLC | Wireless-enabled consumer port apparatus for accommodating after-market devices flexibly in vehicles |
| US11888814B2 (en) * | 2018-12-05 | 2024-01-30 | Juniper Networks, Inc. | Managing address spaces across network elements |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026096A (en) * | 1995-07-12 | 2000-02-15 | Nortel Networks Corporation | Automatic speed sensing in a token ring local area network |
| US7346057B2 (en) * | 2002-07-31 | 2008-03-18 | Cisco Technology, Inc. | Method and apparatus for inter-layer binding inspection to prevent spoofing |
| US7248563B2 (en) * | 2002-07-31 | 2007-07-24 | International Business Machines Corporation | Method, system, and computer program product for restricting access to a network using a network communications device |
| JP2004145583A (ja) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリングシステム |
| US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| US7440434B2 (en) * | 2004-02-11 | 2008-10-21 | Airtight Networks, Inc. | Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods |
| JP2007013263A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
| WO2007138663A1 (ja) | 2006-05-26 | 2007-12-06 | Fujitsu Limited | ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 |
| JP4921864B2 (ja) | 2006-06-16 | 2012-04-25 | 株式会社東芝 | 通信制御装置、認証システムおよび通信制御プログラム |
| US8862735B1 (en) * | 2006-12-05 | 2014-10-14 | Aol Inc. | IP address management of multiple DHCP and DNS servers |
| WO2008088923A1 (en) * | 2007-01-19 | 2008-07-24 | Taproot Systems, Inc. | Point of presence on a mobile network |
| JP4820796B2 (ja) * | 2007-10-16 | 2011-11-24 | 株式会社東芝 | 通信誘導装置、通信制御サーバ装置及びプログラム |
| US8606940B2 (en) * | 2008-02-06 | 2013-12-10 | Alcatel Lucent | DHCP address conflict detection/enforcement |
| US8799309B2 (en) * | 2009-12-16 | 2014-08-05 | Verizon Patent And Licensing Inc. | Verifying network delivery of information to a device based on physical characteristics |
| US8391240B2 (en) * | 2009-12-29 | 2013-03-05 | Symbol Technologies, Inc. | Updating an IGMP membership report when a wireless client device roams across IP subnets |
| CN101883180A (zh) | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
| US20120197856A1 (en) * | 2011-01-28 | 2012-08-02 | Cisco Technology, Inc. | Hierarchical Network for Collecting, Aggregating, Indexing, and Searching Sensor Data |
| US9275093B2 (en) * | 2011-01-28 | 2016-03-01 | Cisco Technology, Inc. | Indexing sensor data |
| US9171079B2 (en) * | 2011-01-28 | 2015-10-27 | Cisco Technology, Inc. | Searching sensor data |
| US9225793B2 (en) * | 2011-01-28 | 2015-12-29 | Cisco Technology, Inc. | Aggregating sensor data |
| KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
-
2012
- 2012-08-21 JP JP2012182654A patent/JP5876788B2/ja active Active
-
2013
- 2013-07-12 US US13/940,297 patent/US9832119B2/en active Active
- 2013-08-21 CN CN201310368170.0A patent/CN103634289B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN103634289B (zh) | 2017-03-01 |
| JP2014042121A (ja) | 2014-03-06 |
| US9832119B2 (en) | 2017-11-28 |
| US20140059214A1 (en) | 2014-02-27 |
| CN103634289A (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210176079A1 (en) | Supporting secure sessions in a cloud-based proxy service | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US10958725B2 (en) | Systems and methods for distributing partial data to subnetworks | |
| EP2380309B1 (en) | Remote access to private network resources from outside the network | |
| US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
| JP5624973B2 (ja) | フィルタリング装置 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| JP5976232B2 (ja) | ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法 | |
| CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
| US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
| JP5876788B2 (ja) | 通信遮断装置、通信遮断方法、及びプログラム | |
| CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
| CN105791458B (zh) | 地址配置方法和装置 | |
| JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
| JP7008451B2 (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
| CN108696506B (zh) | 在客户端和终端设备之间建立连接的方法、介质和系统 | |
| CN111600969A (zh) | 域名寻址方法、系统、域名服务器、电子设备及存储介质 | |
| AU2023203129B2 (en) | Systems and methods for distributing partial data to subnetworks | |
| JP5846652B2 (ja) | キャッシュ機能を有するプロキシdnsサーバ及びdnsクエリ応答方法 | |
| JP4666986B2 (ja) | 通信方法、通信許可サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141017 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150804 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151005 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151027 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160112 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5876788 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |