JP5955811B2 - 管理装置、管理システム、管理方法及び管理プログラム - Google Patents

管理装置、管理システム、管理方法及び管理プログラム Download PDF

Info

Publication number
JP5955811B2
JP5955811B2 JP2013109248A JP2013109248A JP5955811B2 JP 5955811 B2 JP5955811 B2 JP 5955811B2 JP 2013109248 A JP2013109248 A JP 2013109248A JP 2013109248 A JP2013109248 A JP 2013109248A JP 5955811 B2 JP5955811 B2 JP 5955811B2
Authority
JP
Japan
Prior art keywords
server
address
terminal
management
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013109248A
Other languages
English (en)
Other versions
JP2014230157A (ja
Inventor
五十嵐 弓将
弓将 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013109248A priority Critical patent/JP5955811B2/ja
Publication of JP2014230157A publication Critical patent/JP2014230157A/ja
Application granted granted Critical
Publication of JP5955811B2 publication Critical patent/JP5955811B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、管理装置、管理システム、管理方法及び管理プログラムに関する。
従来、インターネットを用いて通信を行う場合、通信を行う装置には、動的アドレス又は固定アドレスが割り当てられる。ここで、動的アドレスとは、例えば、インターネットに接続するごとに、装置に割り当てられるIPアドレスである。また、固定アドレスとは、例えば、動的アドレスに対して、長期間変更されないIPアドレスである。
ここで、サービスを提供するサーバにクライアントが通信を行う場合には、クライアントは、サーバに割り当てられたアドレスを指定することとなる。このため、サーバには、一般的に、固定アドレスが割り当てられる。これに対して、サーバは、クライアントのアドレスが通信を行う度に異なっていても、クライアント側から通信が開始されるため、全てのクライアントのアドレスを記憶しておく必要は無い。このため、クライアントには、一般的に、動的アドレスが割り当てられる。
ところで、サーバ側では、提供するサービスに対する通信とは異なる不要な通信を排除するために、ファイアウォール(防火壁)と呼ばれる機能をサーバとクライアントとの間に設置することがある。ファイアウォールは、通信パケットに記載される宛先や送信元のアドレス、ポート番号等を監視し、予め設定されたルールと比較することにより、ルールに適合する通信(或いは、適合しない通信)に対して、許可(ACCEPT)、廃棄(DROP)、拒否(REJECT)等の制御を行う。例えば、サーバを外部攻撃から防御するためのファイアウォールにおいては、通信を許可する宛先となるサーバのアドレス及びポート番号をルールに指定して、指定したルールに適合する通信のみを許可し、適合しない通信に対しては、廃棄又は拒否する。このとき、ルールにおいて送信元のアドレスを指定する方法としては、次の2つの方法が考えられる。
第1の方法としては、サーバとの通信を許可するクライアントのアドレスを予め決めておく方法である。すなわち、サーバ側のファイアウォールに、予め決めたアドレスを送信元とする通信のみを許可し、他のアドレスからの通信を拒否するというルールを設定する方法である。
第2の方法としては、任意のアドレスを送信元とする通信を許可する方法である。すなわち、サーバ側のファイアウォールには、アドレスとして設定可能な全てのアドレスを送信元とする通信を許可しておくことで、実質的には、クライアントのアドレスによる通信の許可/拒否の制御を行わない方法である。この方法では、ファイアウォールとは別に、サーバへの通信を許可するクライアントを認証する装置を設置し、その装置によって特定のクライアントからの通信の可否を判断する。なお、この方法は、例えば、公開サーバ用のファイアウォールを設置する場合に用いられる。
中満英生、「決定版!Linux(登録商標)ファイアウォール徹底運用 iptables 自由自在」、Software Design、技術評論社、2003年10月、第222号、p.26−35 山本真里子、猪俣敦夫、岡本栄司、「侵入検知システムを用いた動的ファイアウォールの提案と実装」、SCIS2006、2006年6月、3B4−3
しかしながら、従来技術では、不特定のアドレスからの通信を防ぎつつ、動的アドレスからの通信を確保することができないという問題があった。
例えば、上記の第1の方法により、ファイアウォールにルールが設定された場合には、予め決められたクライアントのアドレスを送信元とする通信のみが許可される。このため、クライアントに割り当てられた動的アドレスを送信元とする通信が許可されていたとしても、動的アドレスが更新されると、更新後のアドレスからの通信を確保することができなかった。具体的には、動的アドレスが更新された契機や更新後のアドレスをファイアウォール側で取得できず、更新後のアドレスからの通信を確保することができなかった。
また、上記の第2の方法により、ファイアウォールにルールが設定された場合には、アドレスとして設定可能な全てのアドレスを送信元とする通信を許可してしまう。このため、サーバが提供するサービスに対する通信とは異なる不要な通信を排除することができず、不特定のアドレスからの通信が許可されていた。
開示の実施形態は、上記に鑑みてなされたものであって、不特定のアドレスからの通信を防ぐとともに、動的アドレスからの通信を確保することができる管理装置、管理システム、管理方法及び管理プログラムを提供することを目的とする。
実施形態に係る管理装置は、取得部と、通信制御部とを備える。取得部は、サービスを利用する端末を識別するための識別情報と、前記端末に割り当てられたアドレスとを対応付けて記憶する記憶部から、前記端末に割り当てられたアドレスが登録又は更新されるごとに、当該端末の識別情報に対応するアドレスを取得する。通信制御部は、前記取得部によって取得されたアドレスを送信元とし、前記サービスを提供するサーバのアドレスを宛先とする通信を許可する。
図1は、第1の実施形態に係る管理装置を含むネットワークシステムの構成例を示す図である。 図2は、DBサーバに記憶されるMGRID記憶部の一例を示す図である。 図3は、DBサーバに記憶されるアドレス記憶部の一例を示す図である。 図4は、第1の実施形態に係るMGRの構成例を示すブロック図である。 図5は、第1の実施形態に係るネットワークシステムにおける処理の流れを示すシーケンス図である。 図6Aは、ネットワークシステムにおいて送受信される情報の一例を示す図である。 図6Bは、ネットワークシステムにおいて送受信される情報の一例を示す図である。 図6Cは、ネットワークシステムにおいて送受信される情報の一例を示す図である。 図6Dは、ネットワークシステムにおいて送受信される情報の一例を示す図である。 図6Eは、ネットワークシステムにおいて送受信される情報の一例を示す図である。 図7は、第1の実施形態に係るMGRの適用例について説明するための図である。 図8は、管理プログラムを実行するコンピュータを示す図である。
以下、図面を参照して、実施形態に係る管理装置、管理システム、管理方法及び管理プログラムを説明する。なお、この実施形態によりこの発明が限定されるものではない。
(第1の実施形態)
図1を用いて、第1の実施形態に係る管理装置を含むネットワークシステムの構成例について説明する。図1は、第1の実施形態に係る管理装置を含むネットワークシステムの構成例を示す図である。図1に示すように、第1の実施形態に係るネットワークシステムは、クライアント10と、ゲートウェイ20と、ファイアウォール30と、サーバ40と、DHCPv6サーバ50と、DBサーバ60と、MGR100とを含む。なお、第1の実施形態においては、ネットワークシステムがインターネットプロトコル・バージョン6(IPv6)を用いて通信を行う場合を説明するが、これに限定されるものではない。本実施形態は、例えば、インターネットプロトコル・バージョン4(IPv4)を用いて通信を行う場合にも適用可能である。
ここで、従来技術について説明する。従来のファイアウォール30においては、送信元のアドレスを指定する方法としては、次の2つの方法が考えられる。
第1の方法としては、サーバとの通信を許可するクライアントのアドレスを予め決めておく方法である。具体的に、Linuxにおいてip6tablesというファイアウォール機能を利用する場合には、ファイアウォール30に設定されるルールは、「ip6tables −A INPUT −s <送信元アドレス> −d <宛先アドレス> −p tcp −dport 22 −j ACCEPT」と記述される。このルールは、送信元となるクライアント10のアドレスと,宛先となるサーバ40のアドレス及びサーバ40の宛先ポート番号(ここでは22)の組を指定し、これらの組が全て一致する通信を許可する設定である。
第2の方法としては、任意のアドレスを送信元とする通信を許可する方法である。具体的に、ip6tablesを利用する場合には、ファイアウォール30に設定されるルールは、「ip6tables −A INPUT −s $ANY −d <宛先アドレス> −p tcp −dport 22 −j ACCEPT」と記述される。このルールは、送信元となるクライアント10のアドレスに「$ANY」を指定する。この「$ANY」には、IPv6においては「::0」が設定され、IPv4においては「0.0.0.0/0」が設定される。
しかしながら、上記の2つの方法では、不特定のアドレスからの通信を防ぎつつ、動的アドレスからの通信を確保することができなかった。
具体的には、上記の第1の方法により、ファイアウォールにルールが設定された場合には、予め決められたクライアントのアドレスを送信元とする通信のみが許可される。このため、クライアントに割り当てられた動的アドレスを送信元とする通信が許可されていたとしても、動的アドレスが更新されると、更新後のアドレスからの通信を確保することができなかった。
また、上記の第2の方法により、ファイアウォールにルールが設定された場合には、アドレスとして設定可能な全てのアドレスを送信元とする通信を許可してしまう。このため、サーバが提供するサービスに対する通信とは異なる不要な通信を排除することができず、不特定のアドレスからの通信が許可されていた。
そこで、第1の実施形態に係るMGR100は、不特定のアドレスからの通信を防ぐとともに、動的アドレスからの通信を確保することができるように、構成されている。以下、図1を用いて、第1の実施形態に係るMGR100を含むネットワークシステムについて、説明する。
図1に示す例では、クライアント10及びゲートウェイ20は、サービス利用者のネットワークに含まれる。また、ファイアウォール30、サーバ40及びMGR100は、サーバ提供業者のネットワークに含まれる。また、DHCPv6サーバ50及びDBサーバ60は、ネットワーク接続業者のネットワークに含まれる。サービス利用者のネットワーク、サーバ提供業者のネットワーク及びネットワーク接続業者のネットワークは、インターネット5を介して接続される。また、MGR100及びDBサーバ60は、任意の通信方式によって接続される。ここで、任意の通信方式とは、例えば、MGR100及びDBサーバ60の間を専用線で結ぶ方式や、インターネット上で情報を暗号化して送受信する方式等である。
クライアント10は、後述のサーバ40によって提供されるサービスを利用するサービス利用者(以下、単に利用者と表記する場合がある)によって利用される端末である。クライアント10は、ゲートウェイ20を介して他の装置との間で各種データ(パケット)の送受信を行う。
第1の実施形態において、クライアント10には、DHCPv6(Dynamic Host Configuration Protocol version 6)で用いられるDUID(DHCP Unique Identifier)が付与される。ここで、DUIDは、DHCPにおいてサーバ及びクライアントをそれぞれ識別するための識別情報であり、IETF(Internet Engineering Task Force)のRFC(Request For Comment)3315によって定義される。一例としては、クライアント10には、DUID「01−23−45−67−89−AB−・・・01」が付与される。
なお、DUIDは、「XX−XX−XX−XX−XX−XX−・・・XX」の様式で表される。ここで、「X」には、4ビットの16進数表示である「0〜9,A〜F」のいずれかが記載される。また、連結される「XX」の数は、1つのDUIDあたり最大128個である。
また、第1の実施形態において、クライアント10は、後述のDHCPv6サーバ50によって割り当てられた動的アドレスを用いて、インターネット5を介した通信を行う。
ここで、動的アドレスとは、クライアント10がインターネット5に接続するごとに、クライアント10に割り当てられるIPアドレスである。つまり、クライアント10は、インターネット5に接続するごとに、ゲートウェイ20を介してDHCPv6サーバ50に対してアドレス割り当て要求を行う。このアドレス割り当て要求には、クライアント10のDUIDが含まれる。そして、クライアント10は、例えば、DHCPv6サーバ50によって割り当てられたアドレス「9999:4567:89AB:0123:4567:89AB:0123:4567/24」を用いて、サーバ40と通信を行う。
なお、アドレスは、「YYYY:YYYY:YYYY:YYYY:YYYY:YYYY:YYYY:YYYY/MM」の様式で表される。ここで、「Y」には、4ビットの16進数表示である「0〜9,A〜F」のいずれかが記載される。また、「MM」には、アドレスプレフィックスのプレフィックス長を示すビット数の数字が記載される。
ゲートウェイ(Gateway)20は、クライアント10とインターネット5上の他の装置との間で各種データ(パケット)を中継する中継装置である。
ファイアウォール30は、サーバ提供業者のネットワーク内の装置と、インターネット5上の他の装置との間で行われる通信におけるパケットを監視する。具体的には、ファイアウォール30は、後述のMGR100によって予め設定されたルールに基づいて、サービスを提供するサーバ40と、インターネット5上の他の装置との間のパケットの転送を制御する。
ここで、ファイアウォール30に設定されるルールは、例えば、ip6tablesによって設定される。具体例を挙げると、このルールは、「ip6tables −A INPUT −s <送信元アドレス> −d <宛先アドレス> −p tcp −dport 22 −j ACCEPT」と記述される。なお、ファイアウォール30に設定されるルールは、後述のMGR100によって登録及び変更される。
サーバ40は、インターネット5上でサービスを提供するサーバ装置である。サーバ40は、ファイアウォール30を介して他の装置との間で各種データ(パケット)の送受信を行う。
第1の実施形態において、サーバ40は、固定アドレスを用いて通信を行う。例えば、サーバ40は、固定アドレス「1111:2222:3333:4444:5555:6666:7777:8888」を用いて、クライアント10と通信を行う。
DHCPv6サーバ50は、インターネット5を利用する利用者に、インターネット5への接続サービスを提供する装置である。例えば、DHCPv6サーバ50は、ゲートウェイ20からのアドレス割り当て要求に応じて、インターネット標準のRFC3315で規定されるDHCPv6機能を用いて利用者にアドレス(動的アドレス)を割り当てる。
具体的には、DHCPv6サーバ50は、ゲートウェイ20からアドレス割り当て要求を受信する。このアドレス割り当て要求には、アドレスを割り当てるクライアント10のDUIDが含まれる。DHCPv6サーバ50は、アドレス割り当て要求に含まれるDUIDを用いて、ゲートウェイ20を識別し、動的アドレスを利用者のクライアント10に割り当てる。DHCPv6サーバ50は、割り当てたアドレスをゲートウェイ20に送信する。ゲートウェイ20は、クライアント10に割り当てられたアドレスをクライアント10に付与する。
また、DHCPv6サーバ50は、動的アドレスを利用者のクライアント10に割り当てた場合、クライアント10のDUIDと、割り当てたアドレスとを対応付けて、DBサーバ60のアドレス記憶部62に登録する。これにより、DHCPv6サーバ50は、クライアント10に割り当てられたアドレスを、DHCPv6サーバ50とは異なる装置から参照できるようにする。なお、アドレス記憶部62については、後述する。
DBサーバ60は、DHCPv6サーバ50によってクライアント10に割り当てられたアドレスを管理する。例えば、DBサーバ60は、MGRID記憶部61と、アドレス記憶部62とを有する。
図2は、DBサーバ60に記憶されるMGRID記憶部61の一例を示す図である。図2に示すように、MGRID記憶部61は、DUIDと、MGRIDとを対応付けて記憶する。このうち、DUIDは、サーバ40への通信が許可されたクライアント10のDUIDを示す。また、MGRIDは、該当のDUIDによって識別されるクライアント10とサーバ40との間に介在するファイアウォール30を管理するMGR100のIDを示す。
図3は、DBサーバ60に記憶されるアドレス記憶部62の一例を示す図である。図3に示すように、アドレス記憶部62は、DUIDと、割り当てIPv6アドレスとを対応付けて記憶する。このうち、DUIDは、DHCPv6サーバ50によってクライアント10に割り当てられたDUIDを示す。また、割り当てIPv6アドレスは、DHCPv6サーバ50によってクライアント10に現在割り当てられているIPv6アドレスを示す。図3に示す例では、アドレス記憶部62は、DUID「01−23−45−67−89−AB−・・・01」のクライアント10に、現在、アドレス「9999:4567:89AB:0123:4567:89AB:0123:4567/24」が割り当てられていることを記憶する。
また、DBサーバ60は、DHCPv6サーバ50によってアドレス記憶部62が登録又は更新されると、クライアント10のアドレスが変更されたことをMGR100へ通知する。例えば、DBサーバ60は、クライアント10のアドレスがアドレス記憶部62に登録又は更新されると、アドレスが登録又は変更されたクライアント10のDUID「01−23−45−67−89−AB−・・・01」をアドレス記憶部62から取得する。続いて、DBサーバ60は、図2のMGRID記憶部61を参照し、取得したDUIDに対応するMGRID「1」及び「2」を取得する。そして、DBサーバ60は、取得したMGRID「1」及び「2」によってそれぞれ識別される2つのMGR100に対して、クライアント10のアドレス(動的アドレス)が登録又は更新された旨を示す変更通知を送信する。
MGR100は、ファイアウォール30を管理する。例えば、MGR100は、サーバ40と他の装置との間の通信を制御するルールをファイアウォール30に設定することで、ファイアウォール30におけるパケットの転送を制御する。なお、MGR100は、サーバ提供業者内のサーバ40に対して通信を許可するクライアント10のDUIDを記憶する。
図4は、第1の実施形態に係るMGR100の構成例を示すブロック図である。図4に示すように、MGR100は、取得部110と、設定部120とを有する。
取得部110は、アドレス記憶部62から、クライアント10に割り当てられたアドレスが登録又は更新されるごとに、クライアント10のDUIDに対応するアドレスを取得する。
例えば、取得部110は、DBサーバ60から送信されたアドレスの変更通知を受信する。この変更通知を受信すると、取得部110は、クライアントアドレスのクエリをDBサーバ60に対して送信する。具体的には、取得部110は、受信した変更通知に含まれるDUIDを用いて、登録又は更新されたアドレスを要求するためのクエリを生成する。取得部110は、生成したクエリをDBサーバ60に対して送信する。
設定部120は、取得部110によって取得されたアドレスを送信元とし、サーバ40のアドレスを宛先とする通信を許可する設定を行う。なお、設定部120は、通信制御部の一例である。
例えば、設定部120は、DBサーバ60からクエリに対する応答を受信する。設定部120は、クエリに対する応答を受信すると、ファイアウォール30の設定変更を行う。具体的には、設定部120は、受信した応答から、応答に書き込まれたアドレス「0123:4567:89AB:0123:4567:89AB:0123:4567/24」を取得する。そして、設定部120は、取得したアドレスを送信元とし、サーバ40のアドレスを宛先とする通信を許可する設定を、ファイアウォール30に対して行う。より具体的には、設定部120は、取得したアドレスを送信元とし、サーバ40のアドレスを宛先アドレス、サーバ40のポート番号を宛先ポート番号(例えば、22)として指定し、これらが全て一致する通信のみを許可する設定をファイアウォール30に対して行う。この結果、ファイアウォール30に設定されるルールは、例えば、「ip6tables −A INPUT −s 0123:4567:89AB:0123:4567:89AB:0123:4567/24 −d 1111:2222:3333:4444:5555:6666:7777:8888 −p tcp −dport 22 −j ACCEPT」となる。
図5及び図6A〜図6Eを用いて、第1の実施形態に係るネットワークシステムにおける処理の流れを説明する。図5は、第1の実施形態に係るネットワークシステムにおける処理の流れを示すシーケンス図である。図6A〜図6Eは、ネットワークシステムにおいて送受信される情報の一例を示す図である。
図5に示すように、MGR100は、サーバ40への通信を許可するクライアント10のDUIDをDBサーバ60に登録する(ステップS101)。例えば、MGR100は、クライアント10からサーバ40のサービスを利用する旨の要求を受け付けた場合に、クライアント10のDUIDを受信する。そして、MGR100は、図6Aに示すように、受信したDUID「01−23−45−67−89−AB−・・・01」と、MGR100のMGRID「1」とが対応付けられた情報を含むメッセージを、DBサーバ60へ送信する。DBサーバ60は、このメッセージを受信すると、メッセージに含まれるDUID「01−23−45−67−89−AB−・・・01」及びMGRID「1」を、MGRID記憶部61に登録する。なお、クライアント10のDUIDは、例えば、サーバ40のサービスを利用する旨の要求を利用者が入力する際に、当該要求とともに利用者によって入力される。また、クライアント10からサーバ40のサービスを利用する旨の要求が行われると、サーバ40は、予め設定されたサーバ40自身の固定アドレスと、ポート番号とを用いて、クライアント10からの通信の待ち受けを開始する。
続いて、ゲートウェイ20は、クライアント10がインターネット5に接続する場合に、DHCPv6サーバ50に対してアドレス割り当て要求を送信する(ステップS102)。DHCPv6サーバ50は、ゲートウェイ20からアドレス割り当て要求を受信すると、DHCPv6機能を用いてクライアント10にアドレスを割り当てる(ステップS103)。そして、ゲートウェイ20は、割り当てられたアドレスをクライアント10に付与する。
続いて、DHCPv6サーバ50は、クライアント10に対して割り当てたアドレスを、DBサーバ60のアドレス記憶部62に登録する(ステップS104)。例えば、DHCPv6サーバ50は、図6Bに示すように、アドレスを割り当てたクライアント10のDUID「01−23−45−67−89−AB−・・・01」と、割り当てたアドレス(IPv6アドレス)「0123:4567:89AB:0123:4567:89AB:0123:4567/24」とが対応付けられた情報を含むメッセージを、DBサーバ60へ送信する。DBサーバ60は、このメッセージを受信すると、メッセージに含まれる情報を用いて、アドレス記憶部62にアドレスを登録又は更新する。
ここで、アドレス記憶部62に既にDUID「01−23−45−67−89−AB−・・・01」が登録済みである場合には、DBサーバ60は、このDUIDに対応する登録済みのアドレスを、メッセージに含まれるアドレスに更新する。具体例を挙げると、DBサーバ60は、アドレス記憶部62に登録済みのアドレス「9999:4567:89AB:0123:4567:89AB:0123:4567/24」を、メッセージに含まれるアドレス「0123:4567:89AB:0123:4567:89AB:0123:4567/24」に更新する。
一方、アドレス記憶部62にDUID「01−23−45−67−89−AB−・・・01」が未登録である場合には、DBサーバ60は、メッセージに含まれるDUID及びアドレスを、DBサーバ60のアドレス記憶部62に新規に登録する。具体例を挙げると、DBサーバ60は、受信したメッセージに含まれるDUID「01−23−45−67−89−AB−・・・01」及びアドレス「0123:4567:89AB:0123:4567:89AB:0123:4567/24」を、DBサーバ60のアドレス記憶部62に登録する。
続いて、DBサーバ60は、DHCPv6サーバ50によってアドレス記憶部62が登録又は更新されると、これを契機として、クライアントアドレスの変更通知をMGR100へ送信する(ステップS105)。例えば、DBサーバ60は、クライアント10のアドレスがアドレス記憶部62に登録又は更新されると、アドレスが登録又は変更されたクライアント10のDUID「01−23−45−67−89−AB−・・・01」をアドレス記憶部62から取得する。続いて、DBサーバ60は、図2のMGRID記憶部61を参照し、取得したDUIDに対応するMGRID「1」及び「2」を取得する。そして、DBサーバ60は、取得したMGRID「1」及び「2」によってそれぞれ識別される2つのMGR100に対して、クライアント10のアドレス(動的アドレス)が登録又は更新された旨を示す変更通知を送信する。この変更通知は、図6Cに示すように、アドレスに変更のあったDUID「01−23−45−67−89−AB−・・・01」を含む。
MGR100は、アドレスの変更通知を受信すると、クライアントアドレスのクエリをDBサーバ60に対して送信する(ステップS106)。例えば、MGR100は、受信した変更通知に含まれるDUIDを用いて、登録又は更新されたアドレスを要求するためのクエリを生成する。このクエリは、例えば、図6Dに示すように、アドレスを問い合わせるDUID「01−23−45−67−89−AB−・・・01」と、応答が書き込むアドレスとが対応付けられた情報を含む。なお、ここでは、応答が書き込むアドレスは、空欄である。MGR100は、生成したクエリをDBサーバ60に対して送信する。
DBサーバ60は、アドレスのクエリを受信すると、受信したクエリに対する応答を行う(ステップS107)。例えば、DBサーバ60は、受信したクエリから、アドレスを問い合わせるDUID「01−23−45−67−89−AB−・・・01」を取得する。そして、DBサーバ60は、図3のアドレス記憶部62を参照し、取得したDUIDに対応する割り当てIPv6アドレス「0123:4567:89AB:0123:4567:89AB:0123:4567/24」を取得する。そして、DBサーバ60は、取得した割り当てIPv6アドレスを、図6Eに示すように、受信したクエリに書き込む。そして、DBサーバ60は、図6Eに示す応答をMGR100へ送信する。
MGR100は、クエリに対する応答を受信すると、ファイアウォール30の設定変更を行う(ステップS108)。例えば、MGR100は、受信した応答から、応答が書き込むアドレス「0123:4567:89AB:0123:4567:89AB:0123:4567/24」を取得する。そして、MGR100は、取得したアドレスを送信元とし、サーバ40のアドレスを宛先とする通信を許可する設定を、ファイアウォール30に対して行う。具体的には、MGR100は、取得したアドレスを送信元とし、サーバ40のアドレスを宛先アドレス、サーバ40のポート番号を宛先ポート番号(例えば、22)として指定し、これらが全て一致する通信のみを許可する設定をファイアウォール30に対して行う。より具体的には、ファイアウォール30に設定されるルールは、例えば、「ip6tables −A INPUT −s 0123:4567:89AB:0123:4567:89AB:0123:4567/24 −d 1111:2222:3333:4444:5555:6666:7777:8888 −p tcp −dport 22 −j ACCEPT」と記述される。
これ以降、クライアント10のインターネット接続が切断され、ゲートウェイ20がクライアント10のアドレス割り当て要求を再度行う場合には、上述したステップS102からステップS108までの処理を繰り返し実行する。
上述してきたように、第1の実施形態に係るMGR100は、DBサーバ60のアドレス記憶部62から、クライアント10に割り当てられたアドレスが登録又は更新されるごとに、クライアント10のDUIDに対応するアドレスを取得する。そして、MGR100は、取得したアドレスを送信元とし、サーバ40のアドレスを宛先とする通信を許可する設定を行う。このため、MGR100は、不特定のアドレスからの通信を防ぐとともに、動的アドレスからの通信を確保することができる。
例えば、MGR100は、不特定のアドレスからの通信を許可しないので、不特定のアドレスからの通信を防ぐことができる。また、例えば、MGR100は、クライアント10に割り当てられたアドレスが登録又は更新されたことを契機として、登録又は更新された旨の変更通知をDBサーバ60から受信する。このため、MGR100は、登録又は更新されたクライアント10のアドレスを取得することができるので、クライアント10の動的アドレスが登録又は更新された場合にも、ファイアウォール30のルールを変更することができる。
ここで、第1の実施形態に係るMGR100の適用例について説明する。図7は、第1の実施形態に係るMGR100の適用例について説明するための図である。図7に示す例では、サーバが提供するサービスの一例として、VPN(Virtual Private Network)サービスが提供される場合を示す。すなわち、サーバ提供業者は、図1のサーバ40に代えて、VPNサービスを提供するVPNサーバ41を備え、サービス利用者は、図1のクライアント10に代えて、VPNサービスを利用するVPNクライアント11を備える。また、VPNクライアント11とVPNサーバ41との間は、トンネル等の仮想専用回線7で接続される。図7に示す例では、利用者は、VPNクライアント11を用いてVPNサーバ41と通信を行うことで、VPNサーバ41によって提供される仮想的なプライベート網を利用することができる。
(第2の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では第4の実施形態として本発明に含まれる他の実施形態を説明する。
例えば、上記の実施形態では、サーバ提供業者とネットワーク接続業者とが、それぞれ別々の事業主体である場合を説明したが、これに限らず、サーバ提供業者とネットワーク接続業者とが同一の事業主体であっても良い。この場合、この事業主体のネットワークには、ファイアウォール30と、サーバ40と、DHCPv6サーバ50と、DBサーバ60と、MGR100とが含まれる。
また、例えば、各装置の分散・統合の具体的形態(例えば、図1の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、MGR100にDBサーバ60の機能を統合しても良い。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、上記実施形態において説明したMGR100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第1の実施形態に係るMGR100が実行する処理をコンピュータが実行可能な言語で記述した管理プログラムを作成することもできる。この場合、コンピュータが管理プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる管理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された管理プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図1に示したMGR100と同様の機能を実現する管理プログラムを実行するコンピュータの一例を説明する。
図8は、管理プログラムを実行するコンピュータ1000を示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図8に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図8に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図8に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。
ここで、図8に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各手順を実行する。
なお、管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
100 MGR
110 取得部
120 設定部

Claims (6)

  1. サービスを利用する端末に割り当てられたアドレスの登録又は更新を示す変更通知を、異なるネットワークに設けられたDBサーバから専用回線或いは暗号化通信を用いて受信するごとに、前記端末を識別するための識別情報と、前記端末に割り当てられたアドレスとを対応付けて記憶する前記DBサーバの記憶部から、受信した前記変更通知に示された前記端末の識別情報に対応するアドレスを、前記専用回線或いは暗号化通信を用いて取得する取得部と、
    前記取得部によって取得されたアドレスを送信元とし、前記サービスを提供するサーバのアドレスを宛先とする通信を許可する通信制御部と
    を備えたことを特徴とする管理装置。
  2. サーバ側ネットワークに設けられたサービスを提供するサーバと、当該サービスを利用する端末との間に介在されるファイアウォールと、当該ファイアウォールを管理する管理装置と、前記サーバ側ネットワークとは異なるネットワークに含まれるDBサーバと、を備えた管理システムであって、
    前記DBサーバは、
    前記端末を識別するための識別情報と、前記端末に割り当てられたアドレスとを対応付けて記憶する記憶部を備え、
    前記端末に割り当てられたアドレスが登録又は更新されたことを契機として、前記端末に割り当てられたアドレスの登録又は更新を示す変更通知を、専用回線或いは暗号化通信を用いて前記管理装置に送信し、
    前記管理装置は、
    前記変更通知を受信するごとに、前記DBサーバの記憶部から、前記専用回線或いは暗号化通信を用いて、受信した前記変更通知に示された前記端末の識別情報に対応するアドレスを取得する取得部と、
    前記ファイアウォールに対して、前記取得部によって取得されたアドレスを送信元とし、前記サービスを提供するサーバのアドレスを宛先とする通信を許可する設定を行う設定部と
    を備えたことを特徴とする管理システム。
  3. 前記DBサーバは、
    前記管理装置の識別情報と、前記管理装置によって通信を許可された端末の識別情報とを記憶する第2の記憶部
    をさらに有し、前記端末に対応する前記管理装置に、前記変更通知を送信することを特徴とする請求項2に記載の管理システム。
  4. 前記端末と、前記サーバとは、仮想専用回線で接続されることを特徴とする請求項2または3に記載の管理システム。
  5. サーバ側ネットワークに設けられたサービスを提供するサーバと、当該サービスを利用する端末との間に介在されるファイアウォールと、当該ファイアウォールを管理する管理装置と、前記サーバ側ネットワークとは異なるネットワークに設けられたDBサーバと、を備えた管理システムで実行される管理方法であって、
    前記DBサーバは、前記端末を識別するための識別情報と、前記端末に割り当てられたアドレスとを対応付けて記憶する記憶部を有し、
    前記DBサーバが、前記端末に割り当てられたアドレスが登録又は更新されたことを契機として、前記端末に割り当てられたアドレスの登録又は更新を示す変更通知を、専用回線或いは暗号化通信を用いて前記管理装置に送信する送信ステップと、
    前記管理装置が、前記変更通知を受信するごとに、前記DBサーバの記憶部から、前記専用回線或いは暗号化通信を用いて、受信した前記変更通知に示された前記端末の識別情報に対応するアドレスを取得する取得ステップと、
    前記管理装置が、前記ファイアウォールに対して、前記取得ステップによって取得されたアドレスを送信元とし、前記サービスを提供するサーバのアドレスを宛先とする通信を許可する設定を行う設定ステップと
    を含むことを特徴とする管理方法。
  6. サービスを利用する端末に割り当てられたアドレスの登録又は更新を示す変更通知を、異なるネットワークに設けられたDBサーバから専用回線或いは暗号化通信を用いて受信するごとに、前記端末を識別するための識別情報と、前記端末に割り当てられたアドレスとを対応付けて記憶する前記DBサーバの記憶部から、受信した前記変更通知に示された前記端末の識別情報に対応するアドレスを、前記専用回線或いは暗号化通信を用いて取得する取得手順と、
    前記サービスを提供するサーバと前記端末との間に介在されるファイアウォールに対して、前記取得手順によって取得されたアドレスを送信元とし、前記サーバのアドレスを宛先とする通信を許可する設定を行う設定手順と
    をコンピュータに実行させることを特徴とする管理プログラム。
JP2013109248A 2013-05-23 2013-05-23 管理装置、管理システム、管理方法及び管理プログラム Expired - Fee Related JP5955811B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013109248A JP5955811B2 (ja) 2013-05-23 2013-05-23 管理装置、管理システム、管理方法及び管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013109248A JP5955811B2 (ja) 2013-05-23 2013-05-23 管理装置、管理システム、管理方法及び管理プログラム

Publications (2)

Publication Number Publication Date
JP2014230157A JP2014230157A (ja) 2014-12-08
JP5955811B2 true JP5955811B2 (ja) 2016-07-20

Family

ID=52129615

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013109248A Expired - Fee Related JP5955811B2 (ja) 2013-05-23 2013-05-23 管理装置、管理システム、管理方法及び管理プログラム

Country Status (1)

Country Link
JP (1) JP5955811B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6520612B2 (ja) 2015-09-28 2019-05-29 富士通株式会社 ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法
JP6666863B2 (ja) * 2017-01-31 2020-03-18 日本電信電話株式会社 仮想閉域網の形成システム及び方法並びにプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326696A (ja) * 2000-05-18 2001-11-22 Nec Corp アクセス制御方法
JP3775378B2 (ja) * 2002-11-20 2006-05-17 日本電気株式会社 動的ipアドレス割り当てに対応したファイアウォールシステム
JP2005217595A (ja) * 2004-01-28 2005-08-11 Oki Electric Ind Co Ltd Ip電話機等の通信装置のためのアドレス管理方法及び装置

Also Published As

Publication number Publication date
JP2014230157A (ja) 2014-12-08

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
US20080209071A1 (en) Network relay method, network relay apparatus, and network relay program
JP3831364B2 (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
EP3163833B1 (en) Virtual private network realization method and client device
US10785196B2 (en) Encryption key management of client devices and endpoints within a protected network
US20200036682A1 (en) Communication apparatus and communication system
US10033734B2 (en) Apparatus management system, apparatus management method, and program
JP2008276686A (ja) サーバ装置、情報処理装置、プログラムおよび記録媒体
US8887237B2 (en) Multimode authentication
US20160345170A1 (en) Wireless network segmentation for internet connected devices using disposable and limited security keys and disposable proxies for management
JP2017175462A (ja) 通信制御装置、通信制御方法、及びプログラム
WO2014206152A1 (zh) 一种网络安全监控方法和系统
JP5955811B2 (ja) 管理装置、管理システム、管理方法及び管理プログラム
WO2018039901A1 (zh) 用于ip地址分配的方法、装置、系统和计算机程序产品
WO2021002180A1 (ja) 中継方法、中継システム、及び中継用プログラム
US20110276673A1 (en) Virtually extending the functionality of a network device
JP2011045050A (ja) 中継装置
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
JP2015154322A (ja) ファイアウォール装置の制御装置及びプログラム
JP2015095698A (ja) 通信制御サーバーおよびサービス提供システム
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP6871108B2 (ja) ファイアウォール装置の制御装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150805

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160615

R150 Certificate of patent or registration of utility model

Ref document number: 5955811

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees