JP6191259B2 - ネットワーク分離方法及びネットワーク分離装置 - Google Patents
ネットワーク分離方法及びネットワーク分離装置 Download PDFInfo
- Publication number
- JP6191259B2 JP6191259B2 JP2013123168A JP2013123168A JP6191259B2 JP 6191259 B2 JP6191259 B2 JP 6191259B2 JP 2013123168 A JP2013123168 A JP 2013123168A JP 2013123168 A JP2013123168 A JP 2013123168A JP 6191259 B2 JP6191259 B2 JP 6191259B2
- Authority
- JP
- Japan
- Prior art keywords
- relay
- network
- packet
- unit
- selection unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Description
この発明は、ネットワーク間の通信を中継する中継装置に関する。
サービスゲートウェイは、異なるプロトコルを持つ通信網を接続する中継装置である。中継装置は、例えば、LAN(Local Area Network)とWAN(Wide Area Network)とを接続し、LAN側又はWAN側のネットワークから受信したパケットをパケットの宛先の装置が含まれるネットワークに中継する。LANは、例えば、企業のオフィスなどに設置されたネットワークである。一方、WAN側は、インターネット環境とすることができる。中継装置は、LAN中の装置がインターネットを介してデータ通信をするために用いられる。企業のネットワークでは、外部からの不正なアクセスを防止するためのファイヤーウォールなどのセキュリティが設定されている。ファイヤーウォールの設定をすることで、外部からの不正なアクセスを防止することができる。
関連する技術として、WAN側のネットワークから不正アクセスがあった場合に、中継装置がWAN側の回線を切断することで、セキュリティを高める技術が知られている(例えば特許文献1参照)。
上述した背景技術では以下のような問題がある。
外部からの不正なアクセスを防止するためのファイヤーウォールなどのセキュリティを設定する一方で、企業では、社員や企業の了承を得て企業のネットワークにアクセスが可能なユーザからのアクセスを、ファイヤーウォールでブロックしないように設定する。この設定において、企業側が、ファイヤーウォールでブロックしないユーザを間違えて設定した場合、予期せぬユーザが企業のネットワークにアクセスができる状態となってしまう。換言すると、中継装置は、企業のネットワークセキュリティで予期せぬ設定がされていると、意図しないパケットが入力された場合、パケットをそのまま流してしまうという問題がある。
外部からの不正なアクセスを防止するためのファイヤーウォールなどのセキュリティを設定する一方で、企業では、社員や企業の了承を得て企業のネットワークにアクセスが可能なユーザからのアクセスを、ファイヤーウォールでブロックしないように設定する。この設定において、企業側が、ファイヤーウォールでブロックしないユーザを間違えて設定した場合、予期せぬユーザが企業のネットワークにアクセスができる状態となってしまう。換言すると、中継装置は、企業のネットワークセキュリティで予期せぬ設定がされていると、意図しないパケットが入力された場合、パケットをそのまま流してしまうという問題がある。
1つの側面において、本発明の目的は、中継装置においてセキュリティポリシーに反したパケット通信を防止することである。
第1のネットワークと第2のネットワークの間の通信を中継する装置に、選択部と第1・第2の中継部を動作させる。第1の中継部は、第1のネットワークから第2のネットワーク中の装置宛のパケットを選択部に出力する。第2の中継部は、第2のネットワークから第1のネットワーク中の装置宛のパケットを選択部に出力する。選択部は、第1の中継部から入力されたパケットから選択した第1の中継パケットを、第2の中継部に出力する。第2の中継部は、第2のネットワーク中の装置に関する情報を示す第2のルーティング情報に登録されている装置に第1の中継パケットを中継する。選択部は、第2の中継部から入力されたパケットから選択した第2の中継パケットを、第1の中継部に出力する。第1の中継部は、第1のネットワーク中の装置に関する情報を示す第1のルーティング情報に登録されている装置に第2の中継パケットを中継する。
中継装置において、セキュリティポリシーに反したパケット通信を防止できる。
以下、本実施形態について、図面を参照しながら詳細に説明する。
図1は、第1の実施形態に係る中継装置の例を説明する図である。図1の中継装置100は、LAN側のネットワークとWAN側のネットワークとを中継する装置である。中継装置100は、選択部101、第1の仮想ルータ102、第2の仮想ルータ103を有する。選択部101は、アプリケーション層で動作するプログラムである。選択部101は、第1の仮想ルータ102と第2の仮想ルータ103に入力されたデータについて中継してもよいかを判定する。選択部は、中継の対象と判定したパケットを選択し、仮想ルータ間の中継処理を行う。第1・第2の仮想ルータは、中継装置100内に仮想的に作成されたルータであり、ネットワーク層の処理を用いてルーティング処理を行う。第1の仮想ルータ102は、LAN側とのインターフェースとしてパケットの送受信をする。第2の仮想ルータ103は、WAN側とのインターフェースとしてパケットの送受信をする。よって、LAN側のネットワークから入力されるデータは、第1の仮想ルータ102によって受信され、選択部101に転送され、その後、中継対象と判定されれば、第2の仮想ルータ103からWAN側のネットワークに送信される。逆に、WAN側のネットワークから入力されるデータは、第2の仮想ルータ103によって受信され、選択部101に転送され、その後、選択部で中継対象に選択されれば、第1の仮想ルータ102からLAN側のネットワークに送信される。中継装置100を通るデータは、第1及び第2の仮想ルータを有することにより、LAN側のネットワークとWAN側のネットワークとを分離している。なお、選択部101も、仮想的に動作する装置であってもよい。
図1は、第1の実施形態に係る中継装置の例を説明する図である。図1の中継装置100は、LAN側のネットワークとWAN側のネットワークとを中継する装置である。中継装置100は、選択部101、第1の仮想ルータ102、第2の仮想ルータ103を有する。選択部101は、アプリケーション層で動作するプログラムである。選択部101は、第1の仮想ルータ102と第2の仮想ルータ103に入力されたデータについて中継してもよいかを判定する。選択部は、中継の対象と判定したパケットを選択し、仮想ルータ間の中継処理を行う。第1・第2の仮想ルータは、中継装置100内に仮想的に作成されたルータであり、ネットワーク層の処理を用いてルーティング処理を行う。第1の仮想ルータ102は、LAN側とのインターフェースとしてパケットの送受信をする。第2の仮想ルータ103は、WAN側とのインターフェースとしてパケットの送受信をする。よって、LAN側のネットワークから入力されるデータは、第1の仮想ルータ102によって受信され、選択部101に転送され、その後、中継対象と判定されれば、第2の仮想ルータ103からWAN側のネットワークに送信される。逆に、WAN側のネットワークから入力されるデータは、第2の仮想ルータ103によって受信され、選択部101に転送され、その後、選択部で中継対象に選択されれば、第1の仮想ルータ102からLAN側のネットワークに送信される。中継装置100を通るデータは、第1及び第2の仮想ルータを有することにより、LAN側のネットワークとWAN側のネットワークとを分離している。なお、選択部101も、仮想的に動作する装置であってもよい。
中継装置100は、例えば、SGW(Service Gate Way)であり、選択部101では、データ通信のパケットのプロトコル変換などのアプリケーション層で用いられる処理が適宜行われる。選択部101は、データを中継する際に、データ通信の宛先及び送り元の情報を抽出する。選択部101は、データ通信に対して特定のパターンを持つ宛先や送り元を選択するためのルールである中継ルールを持つ。特定のパターンの宛先や送り元の情報は、中継装置100に予め登録された、信頼できるアドレスやIDなどである。選択部101は、信頼できる宛先や送り元を選択し、選択されたデータの中継を行う。一方、選択部101は、ルールに該当しないデータはブロックする。
LAN側のネットワークからのデータが中継装置100に入力されると、第1の仮想ルータ102がデータを受信する。第1の仮想ルータ102が受信したデータは、一旦、ネットワーク層での処理を中断される。第1の仮想ルータ102は、受信したデータを選択部101に送る。選択部101は、中継ルールを用いて、WAN側に中継するデータを選択して、選択したデータを第2の仮想ルータ103に送る。第2の仮想ルータ103は、ネットワーク層の処理を再開し、WAN側にデータを出力する。なお、選択部101は、ルールに該当しないデータはブロックして、第2の仮想ルータ103にデータを送らない。
WAN側のネットワークからのデータが中継装置100に入力されると、第2の仮想ルータ103がデータを受信する。第2の仮想ルータ103が受信したデータは、一旦、ネットワーク層での処理を中断される。第2の仮想ルータ103は、受信したデータを選択部101に送る。選択部101は、中継ルールを用いてLAN側に中継するデータを選択して、選択したデータを第1の仮想ルータ102に送る。第1の仮想ルータ102は、ネットワーク層の処理を再開し、LAN側にデータを出力する。なお、選択部101は、ルールに該当しないデータはブロックして、第1の仮想ルータ102にデータを送らない。このようにすることで、LAN,WAN側のネットワークが分離され、予期しないデータの流出を防止できる。また、ファイヤーウォールでブロックされていない宛先へのデータ通信であっても、中継装置100で不正な送信先へのデータ通信を防止できる。
選択部101がデータを選択する中継ルールは、宛先や送り元を用いて設定されたルールに限らない。例えば、中継ルールは、暗号化されたデータを選択するルールであってもよい。また、中継ルールは、受信したパケットに個人情報が含まれているかをチェックするものでもよい。中継ルールは、何らかのセキュリティに関する設定であればよい。更に、中継ルールは、複数のルールを併用してもよい。暗号化されたデータを選択するルールを有する選択部101は、入力されたデータが暗号化されている場合、中継先の仮想ルータにデータを送るようにする。一方、選択部101は、入力されたデータが暗号化されていない場合、中継先の仮想ルータにデータを送らない。次に、個人情報が含まれているかをチェックするルールを有する選択部101は、個人情報が含まれている場合、中継先の仮想ルータにデータを送らない。一方、選択部101は、個人情報が含まれていない場合に、中継先の仮想ルータにデータを送る。
図2は、中継装置のハードウェア構成の例を説明する図である。中継装置100は、プロセッサ11、メモリ12、バス13、外部記憶装置14、ネットワーク接続装置15を備える。さらにオプションとして、中継装置100は、入力装置16、出力装置17、媒体駆動装置18を備えても良い。中継装置100は、例えば、コンピュータなどで実現されることがある。
プロセッサ11は、Central Processing Unit(CPU)を含む任意の処理回路とすることができる。プロセッサ11は、選択部101、第1の仮想ルータ102、第2の仮想ルータ103として動作する。なお、プロセッサ11は、例えば、外部記憶装置14に記憶されたプログラムを実行することができる。メモリ12は、選択部101が受信したパケットを中継する際に、パケットを選択するために用いられる中継ルールを記憶する。メモリ12は、第1の仮想ルータ及び第2の仮想ルータが有するルーティング情報を保持する。さらに、メモリ12は、プロセッサ11の動作により得られたデータや、プロセッサ11の処理に用いられるデータも、適宜、記憶する。ネットワーク接続装置15は、他の装置との通信に使用される。
入力装置16は、例えば、ボタン、キーボード、マウス等として実現され、出力装置17は、ディスプレイなどとして実現される。バス13は、プロセッサ11、メモリ12、入力装置16、出力装置17、外部記憶装置14、媒体駆動装置18、ネットワーク接続装置15の間を相互にデータの受け渡しが行えるように接続する。外部記憶装置14は、プログラムやデータなどを格納し、格納している情報を、適宜、プロセッサ11などに提供する。媒体駆動装置18は、メモリ12や外部記憶装置14のデータを可搬記憶媒体19に出力することができ、また、可搬記憶媒体19からプログラムやデータ等を読み出すことができる。ここで、可搬記憶媒体19は、フロッピイディスク、Magneto-Optical(MO)ディスク、Compact Disc Recordable(CD−R)やDigital Versatile Disk Recordable(DVD−R)を含む、持ち運びが可能な任意の記憶媒体とすることができる。
図3は、中継装置がLAN側から受信したパケットを処理するときの動作の例を説明するフローチャートである。LAN側から中継装置100にデータが入力されると、第1の仮想ルータ102がデータを受信する(ステップS101)。第1の仮想ルータ102は、受信したデータを選択部101に送る(ステップS102)。選択部101は、第1の仮想ルータ102から送られてきたデータのうち、中継ルールに該当するデータを選択する(ステップS103)。図3の中継装置の例では、選択部101の中継ルールは、予め登録されたアドレスである。選択部101は、中継ルールで指定されたアドレス宛のデータを選択し、仮想ルータに送る。選択部101は、中継したデータを第2の仮想ルータ103に送る(ステップ104、ステップS103でYES)。第2の仮想ルータ103は、選択部101から送られてきたデータの宛先アドレスが、WAN側の機器に関する情報を記憶したルーティング情報に含まれているかを判定する(ステップS105)。第2の仮想ルータ103は、選択部101から送られてきたデータをWAN側に出力する(ステップS106)。ステップS106が終了すると、中継装置は処理を終了する(ステップS103でNO、ステップS105でNO)。
図4は、中継装置がWAN側から受信したパケットを処理するときの動作の例を説明するフローチャートである。WAN側から中継装置100にデータが入力されると、第2の仮想ルータ103がデータを受信する(ステップS201)。第2の仮想ルータ103は、受信したデータを選択部101に送る(ステップS202)。選択部101は、第2の仮想ルータ103から送られてきたデータのうち、設定されたルールに該当するデータを選択する(ステップS203)。図4の中継装置の例では、選択部101の中継ルールは、予め登録されたアドレスである。選択部101は、中継ルールで指定されたアドレス宛のデータを選択し、仮想ルータに送る。選択部101は、中継したデータを第1の仮想ルータ102に送る(ステップ204、ステップS203でYES)。第1の仮想ルータ102は、選択部101から送られてきたデータの宛先アドレスが、LAN側の機器に関する情報を記憶したルーティング情報に含まれているかを判定する(ステップS205)。第1の仮想ルータ102は、選択部101から送られてきたデータをLAN側に出力する(ステップS206)。ステップS206が終了すると、中継装置は処理を終了する(ステップS203でNO、ステップS205でNO)。
以上、説明したように、実施形態にかかる方法では、LAN,WAN側のネットワークが分離されているため、予期しないデータの流出を防止できる。また、ファイヤーウォールでブロックされていない宛先へのデータ通信であっても、中継装置100で不正な送信先へのデータ通信を防止できる。
<その他>
なお、実施形態は上記に限られるものではなく、様々に変形可能である。以下にその例を述べる。
なお、実施形態は上記に限られるものではなく、様々に変形可能である。以下にその例を述べる。
図5は、第2の実施形態に係る中継装置の例を説明する図である。図5の中継装置200は、LAN側のネットワークとWAN側のVPN(Virtual Private Network)ネットワークとを中継する装置である。中継装置200は、選択部201、第1の仮想ルータ202、第2の仮想ルータ203、VPN制御部205、物理IF(Inter Face)204を備える。選択部201は、第1の仮想ルータ202と第2の仮想ルータ203から入力されたデータについて中継してもよいかを判定する。選択部は、中継の対象と判定したパケットを選択し、仮想ルータ間の中継処理を行う。第1・第2の仮想ルータは、中継装置200内に仮想的に作成されたルータである。物理IF204は、LAN側及びWAN側のネットワークと通信する際に用いられるインターフェースである。第1の仮想ルータ202は、物理IF204を介してLAN側のネットワークとパケットの送受信をする。第1の仮想ルータは、第1のルーティング情報206を有する。第1のルーティング情報206は、LAN側のネットワークに接続されている装置に対応したアドレスや識別用のIDを関連付けた情報である。第2の仮想ルータ203は、物理IF204を介してWAN側のネットワークとパケットの送受信をする。WAN側のネットワークは、VPNトンネル220によって、トンネルの起点となる起点装置210と接続されている。第2の仮想ルータ203は、第2のルーティング情報208と、VPN処理部207を備える。第2のルーティング情報208は、WAN側のネットワークに接続されている装置に対応したアドレスや識別用のIDを関連付けた情報である。VPN処理部207は、VPNを用いて第2の仮想ルータに送信されてきたパケットを処理する。VPN制御部205は、VPNトンネル220を起点装置210と接続し、処理を制御する。
LAN側のネットワークから入力されるデータは、第1の仮想ルータ202に渡され、選択部201に転送され、その後、中継対象と判定されれば、第2の仮想ルータ203からWAN側のネットワークに送信される。逆に、WAN側のネットワークから入力されるデータは、第2の仮想ルータ203に渡され、選択部201に転送され、その後、選択部201で中継対象に選択されれば、第1の仮想ルータ202からLAN側のネットワークに送信される。中継装置200を通るデータは、第1及び第2の仮想ルータを有することにより、LAN側のネットワークとWAN側のネットワークとを分離している。なお、選択部201も、仮想的に動作する装置であってもよい。
VPN制御部205は、VPNトンネル220を起点装置210と中継装置200との間に設置する。VPN制御部205は、VPNトンネル220に用いる仮想NIC(Network Interface Card)を生成する。VPN制御部205は、VPNトンネル220の終端となる仮想NICにIPアドレスを割り当て、仮想NICに関連する情報を第2のルーティング情報に登録させる。なお、起点装置210が仮想NICにIPアドレスを割り当ててもよい。起点装置210がIPアドレスを割り当てると、VPN制御部205は、起点装置210から割り当てたIPアドレスの情報を受け取り、第2のルーティング情報に登録する。起点装置210がIPアドレスを割り当てるネットワークでは、起点装置210がVPNトンネルを接続したい旨の要求信号を送信し、要求信号の中にIPアドレスを含むようにすればよい。
LAN側のネットワークからのデータが中継装置200に入力されると、第1の仮想ルータ202がデータを受信する。第1の仮想ルータ202は、受信したデータを選択部201に送る。選択部201は、中継ルールを用いて、WAN側に中継するデータを選択して、選択したデータを第2の仮想ルータ203に送る。第2の仮想ルータ203では、VPN処理部207が、WAN側にデータを出力するための処理を行う。VPN処理部207は、仮想NICに割り当てられたIPアドレスに物理IF204のIPアドレスのヘッダを付与する。VPN処理部207は、仮想NICと物理IF204のIPアドレスとを選択部201で中継されたデータに付与する。その後、第2の仮想ルータ203は、起点装置210にデータを出力する。なお、選択部201は、ルールに該当しないデータはブロックして、第2の仮想ルータ203にデータを送らない。
起点装置210からVPNトンネル220を介して中継装置200に入力されたデータは、第2の仮想ルータ203によって受信される。第2の仮想ルータ203のVPN処理部207は、受信したデータの物理IF204のIPアドレスのヘッダを削除する。VPN処理部207は、受信したデータに含まれる仮想NICのIPアドレスが、第2のルーティング情報に含まれるかを判定する。受信したデータに含まれる仮想NICのIPアドレスが、第2のルーティング情報に含まれていた場合、第2の仮想ルータ203は、仮想NICからデータを受け取り、選択部201にそのデータを送る。選択部201は、中継ルールを用いてLAN側に中継するデータを選択して、選択したデータを第1の仮想ルータ202に送る。第1の仮想ルータ202は、LAN側にデータを出力する。なお、選択部201は、ルールに該当しないデータはブロックして、第1の仮想ルータ202にデータを送らない。このようにすることで、LAN,WAN側のネットワークが分離され、予期しないデータの流出を防止できる。また、ファイヤーウォールでブロックされていない宛先へのデータ通信であっても、中継装置200で不正な送信先へのデータ通信を防止できる。なお、選択部201がデータを選択する中継ルールは、選択部101の中継ルールと同じである。
中継装置200は、中継装置100と同じハードウェア構成である。プロセッサが選択部201、第1の仮想ルータ202、第2の仮想ルータ203、VPN制御部205として動作する。メモリ12は、中継ルール、第1・第2のルーティング情報を保持し、プロセッサ11の動作により得られたデータや、プロセッサ11の処理に用いられるデータも、適宜、記憶する。ネットワーク接続装置15は、物理IF204として動作し、他の装置との通信に使用される。
第2の実施形態に係る中継装置は、VPNの接続処理を行う。第2の実施形態に係る中継装置がVPNの接続処理を行う際の処理を以下に記載する。VPN制御部205は、VPNトンネル220に用いる仮想NICを生成する。VPN制御部205は、VPNトンネル220の終端となる仮想NICにIPアドレスを割り当て、仮想NICに関連する情報を第2のルーティング情報に登録させる。VPN制御部205は、起点装置210に、アクセスを許可する装置の情報を通知し、その情報を記憶させる。アクセスを許可する装置とは、運用者が、起点装置210を使用してアクセスができるLAN側のネットワークに属する機器である。これらの動作により、中継装置と起点装置はVPNで接続される。運用者は、起点装置を介してLAN側の機器にアクセスできる。
次に、第2の実施形態に係る中継装置における、アクセスを許可する装置の情報の通知方法を説明する。まず、LAN側のネットワークから機器に関する情報を、第1の仮想ルータ202が受信する。第1の仮想ルータ202は、受信した情報を選択部201に送る。選択部201は、中継ルールを用いて、WAN側に中継する情報を選択して、選択したデータを第2の仮想ルータ203に送る。VPN処理部207は、第2のルーティング情報にVPNトンネル220に対応した仮想NICの情報が含まれているかを判定する(ステップS404)。仮想NICに関する情報が第2のルーティングテーブルに含まれていた場合、VPN処理部207は、仮想NICに割り当てられたIPアドレスに物理IF204のIPアドレスのヘッダを付与する。VPN処理部207は、仮想NICと物理IF204のIPアドレスとを選択部201で中継された情報に付与する第2の仮想ルータ203は、起点装置210にアクセスを許可する装置の情報を通知する。なお、アクセスを許可する装置の情報の通知は、定期的に行われるように設定する。
第2の実施形態に係る中継装置における、LAN側のネットワークに属する機器へのデータ送信処理の例を説明する。運用者は、データを送信したいLAN側の機器を指定して入力する。起点装置210は、運用者が指定した機器がアクセスを許可された装置かを判定する。起点装置210は、指定された機器にアクセスするための中継装置が接続されているかを判定する。起点装置210は、指定された機器にアクセスするためのVPNトンネル220の終端となる仮想NICを特定する。起点装置210は、仮想NICに割り当てられたIPアドレスに物理IF204のIPアドレスのヘッダを付与する。起点装置210は、仮想NICと物理IF204のIPアドレスとを送信したいデータに付与する。起点装置210は、指定された機器のIPアドレスを特定し、送信したいデータに機器のIP情報を付与する。起点装置210は、送信したいデータと付与されたデータを中継装置200に送信する。ステップS504とS506での特定処理は、定期的に通知されるアクセスを許可する装置の情報に含まれている情報を用いる。
第2の仮想ルータ203は、起点装置210から送信されたデータを受信する。第2の仮想ルータ203のVPN処理部207は、受信したデータの物理IF204のIPアドレスのヘッダを削除する。VPN処理部207は、受信したデータに含まれる仮想NICのIPアドレスが、第2のルーティング情報に含まれるかを判定する。第2の仮想ルータ203は、仮想NICからデータを受け取り、選択部201にそのデータを送る。選択部201は、中継ルールを用いてLAN側に中継するデータを選択して、選択したデータを第1の仮想ルータ202に送る。第1の仮想ルータ202は、LAN側の指定された機器にデータを送信する。データ送信処理を終了する。なお、選択部201は、ルールに該当しないデータはブロックして、第1の仮想ルータ202にデータを送らない。このようにすることで、LAN,WAN側のネットワークが分離され、予期しないデータの流出を防止できる。また、ファイヤーウォールでブロックされていない宛先へのデータ通信であっても、中継装置200で不正な送信先へのデータ通信を防止できる。なお、選択部201がデータを選択する中継ルールは、選択部101の中継ルールと同じである。
11 プロセッサ
12 メモリ
13 バス
14 外部記憶装置
15 ネットワーク接続装置
16 入力装置
17 出力装置
18 媒体駆動装置
19 可搬記憶媒体
100 中継装置
101 選択部
102 第1の仮想ルータ
103 第2の仮想ルータ
200 中継装置
201 選択部
202 第1の仮想ルータ
203 第2の仮想ルータ
204 物理IF
205 VPN制御部
206 第1のルーティング情報
207 VPN処理部
208 第2のルーティング情報
210 起点装置
220 VPNトンネル
12 メモリ
13 バス
14 外部記憶装置
15 ネットワーク接続装置
16 入力装置
17 出力装置
18 媒体駆動装置
19 可搬記憶媒体
100 中継装置
101 選択部
102 第1の仮想ルータ
103 第2の仮想ルータ
200 中継装置
201 選択部
202 第1の仮想ルータ
203 第2の仮想ルータ
204 物理IF
205 VPN制御部
206 第1のルーティング情報
207 VPN処理部
208 第2のルーティング情報
210 起点装置
220 VPNトンネル
Claims (5)
- 第1のネットワークと第2のネットワークとの間の通信を中継する中継装置において使用されるネットワーク分離方法であって、
前記第1のネットワークに接続された装置に関する情報を示す第1のルーティング情報を有する第1の中継部は、ネットワーク層での処理を中断した後に、前記第1のネットワークから前記第2のネットワーク中の装置宛のパケットを選択部に出力し、
前記第2のネットワークに接続された装置に関する情報を示す第2のルーティング情報を有する第2の中継部は、ネットワーク層での処理を中断した後に、前記第2のネットワークから前記第1のネットワーク中の装置宛のパケットを前記選択部に出力し、
前記選択部は、前記第1の中継部から入力されたパケットから、予め作成されたアプリケーション層の中継ルールに該当する第1の中継パケットを選択して前記第2の中継部に出力し、
前記第2の中継部は、前記第1の中継パケットを前記第2のルーティング情報に登録されている装置に中継し、
前記選択部は、前記第2の中継部から入力されたパケットから、前記中継ルールに該当する第2の中継パケットを選択して前記第1の中継部に出力し、
前記第1の中継部は、前記第2の中継パケットを前記第1のルーティング情報に登録されている装置に中継する
ことを特徴とするネットワーク分離方法。 - 前記選択部は、前記中継ルールに従って、
予め登録されたアドレスを含むパケット、暗号化されたパケット、個人情報が含まれていないパケットのうち、少なくとも1つを通過させる
ことを特徴とする請求項1記載のネットワーク分離方法。 - 前記中継装置は、前記第2のネットワークに属し、かつVPN(Virtual Private Network)の起点となる起点装置と前記第2の中継部との間をVPNで接続し、
前記第2の中継部は、前記起点装置から前記第1のネットワーク宛のパケットを受信すると、受信パケットを前記選択部に出力する
ことを特徴とする請求項1記載のネットワーク分離方法。 - 第1のネットワークと第2のネットワークの間を中継するパケットを選択する選択部と、
前記第1のネットワークに接続された装置に関する情報を示す第1のルーティング情報を備え、ネットワーク層での処理を中断した後に、前記第1のネットワークから前記第2のネットワーク中の装置宛のパケットを前記選択部に出力する第1の中継部と、
前記第2のネットワークに接続された装置に関する情報を示す第2のルーティング情報を備え、ネットワーク層での処理を中断した後に、前記第2のネットワークから前記第1のネットワーク中の装置宛のパケットを前記選択部に出力する第2の中継部と、を備え、
前記選択部は、アプリケーション層の中継ルールを保持し、前記第1の中継部から入力されたパケットから前記中継ルールに該当する第1の中継パケットを選択し、前記第1の中継パケットを、前記第2の中継部に出力し、
前記第2の中継部は、前記第1の中継パケットを前記第2のルーティング情報に登録されている装置に中継し、
前記選択部は、前記第2の中継部から入力されたパケットから前記中継ルールに該当する第2の中継パケットを選択し、前記第2の中継パケットを、前記第1の中継部に出力し、
前記第1の中継部は、前記第2の中継パケットを前記第1のルーティング情報に登録されている装置に中継する
ことを特徴とするネットワーク分離装置。 - 前記選択部は、前記中継ルールに従って、
予め登録されたアドレスを含むパケット、暗号化されたパケット、個人情報が含まれていないパケットのうち、少なくとも1つを通過させる
ことを特徴とする請求項4記載のネットワーク分離装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013123168A JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
| US14/217,843 US9473401B2 (en) | 2013-06-11 | 2014-03-18 | Network separation method and network separation device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013123168A JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014241511A JP2014241511A (ja) | 2014-12-25 |
| JP6191259B2 true JP6191259B2 (ja) | 2017-09-06 |
Family
ID=52005435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013123168A Active JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9473401B2 (ja) |
| JP (1) | JP6191259B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10110643B2 (en) * | 2016-10-14 | 2018-10-23 | Genband Us Llc | Common media platform for various distributed telecommunication components |
| US20190116119A1 (en) * | 2017-10-17 | 2019-04-18 | Huawei Technologies Co., Ltd. | Inter-vrf routing using normal network operation model |
| EP3691207A1 (de) * | 2019-01-31 | 2020-08-05 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines kommunikationssystems mit redundanten routern und router |
| US11463312B2 (en) * | 2021-01-21 | 2022-10-04 | Cisco Technology, Inc. | Secure onboarding of network devices |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11225154A (ja) | 1998-02-09 | 1999-08-17 | Matsushita Electric Ind Co Ltd | 集線/変換装置のルーティング方式 |
| US7099957B2 (en) | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
| JP3714549B2 (ja) * | 2002-02-15 | 2005-11-09 | 日本電信電話株式会社 | ゲートウェイ装置及びそれによる通信方法 |
| KR100485769B1 (ko) | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
| US20040255037A1 (en) | 2002-11-27 | 2004-12-16 | Corvari Lawrence J. | System and method for authentication and security in a communication system |
| US7633909B1 (en) * | 2002-12-20 | 2009-12-15 | Sprint Spectrum L.P. | Method and system for providing multiple connections from a common wireless access point |
| US7260841B2 (en) | 2003-02-27 | 2007-08-21 | Nortel Networks Limited | System and method for maintaining access to content in an encrypted network environment |
| EP1635502B1 (en) | 2003-06-19 | 2019-05-22 | Nippon Telegraph And Telephone Corporation | Session control server and communication system |
| US7401355B2 (en) * | 2004-04-30 | 2008-07-15 | Sun Microsystems | Firewall load balancing using a single physical device |
| US8146145B2 (en) * | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
| JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
| CN101273337B (zh) * | 2005-10-06 | 2010-10-06 | 三菱电机株式会社 | 终端装置和服务器装置以及指令装置 |
| US20080076425A1 (en) | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
| US7660265B2 (en) * | 2006-10-27 | 2010-02-09 | International Business Machines Corporation | Network packet inspection and forwarding |
| US8112491B1 (en) * | 2009-01-16 | 2012-02-07 | F5 Networks, Inc. | Methods and systems for providing direct DMA |
| US8613072B2 (en) | 2009-02-26 | 2013-12-17 | Microsoft Corporation | Redirection of secure data connection requests |
| US20100272115A1 (en) | 2009-04-22 | 2010-10-28 | Rajesh Ramankutty | Gateway-based management in a communication network |
| KR101215191B1 (ko) | 2009-09-18 | 2012-12-24 | 엔이씨 유럽 리미티드 | 통신 시스템과 통신 제어 방법 |
| JP2011077769A (ja) * | 2009-09-30 | 2011-04-14 | Fujifilm Corp | Vpnシステムおよびその動作制御方法 |
| TWI543564B (zh) | 2011-02-15 | 2016-07-21 | Zte股份有限公司 | 固定式行動匯流網路中之網際網路協定映射解析 |
| EP2744298A4 (en) | 2011-09-30 | 2015-07-08 | Nec Corp | COMMUNICATION SYSTEM, COMMUNICATION PROCEDURE AND COMMUNICATION PROGRAM |
| US9143529B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Modifying pre-existing mobile applications to implement enterprise security policies |
| US9788188B2 (en) | 2012-12-14 | 2017-10-10 | Ibasis, Inc. | Method and system for hub breakout roaming |
-
2013
- 2013-06-11 JP JP2013123168A patent/JP6191259B2/ja active Active
-
2014
- 2014-03-18 US US14/217,843 patent/US9473401B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US9473401B2 (en) | 2016-10-18 |
| JP2014241511A (ja) | 2014-12-25 |
| US20140362866A1 (en) | 2014-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5161262B2 (ja) | トンネル情報に基づきアドレス指定衝突を解決する方法及びシステム | |
| US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
| JP5871063B2 (ja) | マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法 | |
| JP2012516112A (ja) | ネットワークの外部からのプライベートネットワークリソースへのリモートアクセス | |
| JP6191259B2 (ja) | ネットワーク分離方法及びネットワーク分離装置 | |
| CN108141409B (zh) | 通信系统、地址通知装置、通信控制装置、终端、通信方法以及程序 | |
| JP6162821B2 (ja) | リモートメンテナンスシステム | |
| CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| JP2015177430A (ja) | トンネルエンドポイント装置、通信装置、通信システム、通信方法及びプログラム | |
| CN107948104A (zh) | 一种网络地址转换环境中报文转发的方法及交换设备 | |
| JP2016143076A (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| JP5601067B2 (ja) | 中継装置 | |
| JP6229368B2 (ja) | アクセス制御方法、アクセス制御システム及びアクセス制御装置 | |
| KR101378313B1 (ko) | 오픈플로우(OpenFlow)를 이용하여 사용자 단말 장치와 로컬 호스트 사이의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| JP6200033B2 (ja) | 中継装置、中継方法及び中継プログラム | |
| JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| KR101363338B1 (ko) | 오픈플로우(OpenFlow)를 이용하여 사용자 단말 장치 사이의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| JP5893546B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| KR101382620B1 (ko) | 가상사설망을 구성하는 장치 및 방법 | |
| JP2016143911A (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| KR102039583B1 (ko) | 기지국장치 및 기지국장치의 동작 방법 | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| WO2016121881A1 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| WO2016013118A1 (ja) | 中継装置、ネットワークシステム、及びネットワークシステムの制御方法 | |
| JP5370013B2 (ja) | 通信中継装置、通信中継プログラム、及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170131 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170313 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170711 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170724 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6191259 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |