JP6419035B2 - ファイアウォール管理装置およびファイアウォール管理プログラム - Google Patents

ファイアウォール管理装置およびファイアウォール管理プログラム Download PDF

Info

Publication number
JP6419035B2
JP6419035B2 JP2015143260A JP2015143260A JP6419035B2 JP 6419035 B2 JP6419035 B2 JP 6419035B2 JP 2015143260 A JP2015143260 A JP 2015143260A JP 2015143260 A JP2015143260 A JP 2015143260A JP 6419035 B2 JP6419035 B2 JP 6419035B2
Authority
JP
Japan
Prior art keywords
firewall
address
entry
conversion
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015143260A
Other languages
English (en)
Other versions
JP2017028403A (ja
Inventor
河内 清人
清人 河内
鐘治 桜井
鐘治 桜井
北澤 繁樹
繁樹 北澤
竜也 山村
竜也 山村
玲 矢崎
玲 矢崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Information Network Corp
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Information Network Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Information Network Corp filed Critical Mitsubishi Electric Corp
Priority to JP2015143260A priority Critical patent/JP6419035B2/ja
Publication of JP2017028403A publication Critical patent/JP2017028403A/ja
Application granted granted Critical
Publication of JP6419035B2 publication Critical patent/JP6419035B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ファイアウォール装置を管理する技術に関するものである。
ネットワークセキュリティ機器であるファイアウォールは、アクセス制御リスト(ACL)と呼ばれるリストに基づき、ファイアウォールを経由する通信パケットを通過させるか、または、遮断するかを判断する。
ACLは、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、通信プロトコルといった情報に対応付けて、アクションが定義される。アクションは、通信パケットの通過の許可もしくは拒否を示す。
ACLが誤っていると、通過させるべき通信パケットがファイアウォールで遮断されて通信障害が発生し、また、遮断すべき通信パケットがファイアウォールを通過してセキュリティ上の脅威が発生する。
そのため、ACLは十分に検証した後に導入しなければならない。
ACLは通信の要件を基に作成されるが、通信の要件を作成するユーザが対象システムのネットワーク構成を十分に理解しているとは限らない。そのため、誤った要件が作成されてしまい、誤った要件を基に誤ったACLが作成されてしまう可能性がある。
例えば、複数のポートが使用されるシステムについて、使用されるポートのうちの1つまたは複数が通信の要件から漏れてしまう可能性がある。この場合、誤ったACLが作成されて、通信障害が発生する。
特許文献1は、ホスティングサービスにおける共用ファイアウォールの設定方法に関する技術を開示している。
その技術は、ホスティングサービスを利用するユーザから要件変更要求を受けて、ユーザに割り振られたIPアドレスを要件変更要求に付加し、ACLを自動で生成し、生成したACLを共用ファイアウォールに設定する、というものである。
しかし、複数のファイアウォールを経由する通信パケットに関する要件変更要求があった場合、各ファイアウォールに設定されているルーティング情報を基に、ACLの設定が必要なファイアウォールを適切に設定することができない。そのため、最適なACLを生成することができない。
特開2005−217757号公報
本発明は、パケットを中継するファイアウォールが複数あっても、それぞれのファイアウォールのアクセス制御リストに追加するエントリを、通信要件に従って生成できるようにすることを目的とする。
本発明のファイアウォール管理装置は、
送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付部と、
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部とを備える。
本発明によれば、パケットを中継するファイアウォールが複数あっても、各ファイアウォールを特定することができる。そのため、それぞれのファイアウォールのアクセス制御リストに追加するエントリを、通信要件に従って生成することができる。
実施の形態1におけるファイアウォール管理装置100の機能構成図。 実施の形態1における要件データ101の構成図。 実施の形態1における要件受付部110の機能構成図。 実施の形態1における通信要件102の分割を示す概要図。 実施の形態1におけるファイアウォール設定ファイル180の構成図。 実施の形態1におけるファイアウォール特定部120の機能構成図。 実施の形態1におけるアドレス変換一覧122および特定情報124の構成図。 実施の形態1における特定情報126の生成を示す概要図。 実施の形態1における特定情報124と特定情報126と特定情報103との関係図。 実施の形態1におけるエントリ生成部130の機能構成図。 実施の形態1における通信要件102と特定情報103とアクセス制御エントリ104との関係図。 実施の形態1におけるアクセス制御エントリ104の集約を示す概要図。 実施の形態1におけるファイアウォール管理ファイル191の構成図。 実施の形態1におけるファイアウォール管理方法のフローチャート。 実施の形態1における要件分割処理(S120)のフローチャート。 実施の形態1におけるファイアウォール特定処理(S140)のフローチャート。 実施の形態1における変換特定処理(S141)のフローチャート。 実施の形態1における送信元アドレス処理(S1411)のフローチャート。 実施の形態1における宛先アドレス処理(S1412)のフローチャート。 実施の形態1における中継特定処理(S142)のフローチャート。 実施の形態1におけるエントリ集約処理(S170)のフローチャート。 実施の形態2におけるファイアウォール管理装置100の機能構成図。 実施の形態2におけるアクセス制御エントリ104の分割を示す概要図。 実施の形態2におけるエントリ分割処理のフローチャート。 実施の形態2におけるエントリ分割処理のフローチャート。 実施の形態3における通信検証システム200の構成図。 実施の形態3におけるファイアウォール管理装置100の機能構成図。 実施の形態3における過去要件ファイル170の構成図。 実施の形態3における類似度テーブル192の構成図。 実施の形態におけるファイアウォール管理装置100のハードウェア構成図。
実施の形態1.
ファイアウォール装置に設定されるアクセス制御リストに登録するエントリを通信要件に従って生成する形態について、図1から図21に基づいて説明する。
***構成の説明***
図1に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、要件受付部110と、ファイアウォール特定部120と、エントリ生成部130と、設定ファイル取得部140と、記憶部190とを備える。
要件受付部110は、1つ以上の通信要件102を示す要件データ101を受け付ける。
図2において、要件データ101は、送信元アドレスと送信元ポートと宛先アドレスと宛先ポートとプロトコルとアクションとのそれぞれの情報を互いに対応付けている。これらの情報は1つ以上の通信要件102を示す情報である。
送信元アドレスの情報は、送信元アドレスまたは送信元グループを示す。送信元グループは、連続する複数の送信元アドレスを含むアドレスグループである。IPアドレスは送信元アドレスの一例である。図中の1.1.1.1−3は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループである。
送信元ポートの情報は、送信ポートを示す。図中のanyは全ての送信ポートを意味している。
宛先アドレスの情報は、宛先アドレスまたは宛先グループを示す。宛先グループは、連続する複数の宛先アドレスを含むアドレスグループである。IPアドレスは宛先アドレスの一例である。図中の2.2.2.1−2は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループである。
宛先ポートの情報は、宛先ポートを示す。
プロトコルの情報は、tcpまたはudpなどのプロトコルを示す。
アクションの情報は、通信の可否を示す。
図3に基づいて、要件受付部110の機能構成について説明する。
要件受付部110は、要件データ受付部111と、ファイアウォール特定部120とを備える。
要件データ受付部111は、要件データ101を受け付ける。
要件分割部112は、要件データ101が複数の通信要件102を示す場合、要件データ101を複数の通信要件102に分割する。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
図4において、要件データ101は3つの送信元アドレスを含んだ送信元グループと2つの宛先アドレスを含んだ宛先グループとを示している。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
図1に戻り、ファイアウォール特定部120の機能について説明する。
ファイアウォール特定部120は、ファイアウォール装置別のファイアウォール設定ファイル180を用いて、通信要件102毎に変換ファイアウォールと中継ファイアウォールとの少なくともいずれかを特定する。
変換ファイアウォールは、通信要件102に示される送信元アドレスと通信要件102に示される宛先アドレスとが設定されたパケットが送信された場合に、パケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である。アドレスの変換は、NATまたはNAPTと呼ばれる。NATはNetwork Address Translationの略称であり、NAPTはNetwork Address Port Translationの略称である。
中継ファイアウォールは、上記のパケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとのいずれのアドレスも変換しないファイアウォール装置である。
図5に基づいて、ファイアウォール設定ファイル180の構成について説明する。
ファイアウォール設定ファイル180は、変換ファイアウォールを特定するために用いられるアドレス変換テーブル181と、中継ファイアウォールを特定するために用いられるルーティングテーブル182と、アクセス制御リスト183とを含んでいる。アクセス制御リスト183はACLという略称で呼ばれる。
アドレス変換テーブル181は、内側インタフェースと内側アドレスと外側インタフェースと外側アドレスとのそれぞれの情報を互いに対応付けている。
内側インタフェースの情報は、内側ネットワークに接続するインタフェースを識別するインタフェース名を示す。内側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの一方のネットワークである。
内側アドレスの情報は、変換前の送信元アドレスに相当する変換前アドレスと変換後の宛先アドレスに相当する変換後アドレスとを示す。
外側インタフェースの情報は、外側ネットワークに接続するインタフェースを識別するインタフェース名を示す。外側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの他方のネットワークである。
外側アドレスの情報は、変換後の送信元アドレスに相当する変換後アドレスと変換前の宛先アドレスに相当する変換前アドレスとを示す。
ルーティングテーブル182は、宛先と出力インタフェースと次ホップとのそれぞれの情報を互いに対応付けている。
宛先の情報は、ルートアドレスを示す。ルートアドレスは、ファイアウォール装置が接続するいずれかのネットワークで使用されるアドレスである。図中のdefaultはy’とZとを除いたアドレスを意味する。
出力インタフェースの情報は、ルートアドレスが使用されるネットワークに接続するインタフェースを識別するインタフェース名を示す。
次ホップの情報は、パケットを次に中継する中継装置を示す。
アクセス制御リスト183は、要件データ101および通信要件102と同じく、送信元アドレスと送信元ポートと宛先アドレスと宛先ポートとプロトコルとアクションとのそれぞれの情報を互いに対応付けている。
アクセス制御リスト183に登録されるエントリをアクセス制御エントリという。
図6に基づいて、ファイアウォール特定部120の機能構成について説明する。
ファイアウォール特定部120は、一覧生成部121と、変換特定部123と、中継特定部125と、特定制御部127とを備える。
一覧生成部121は、ファイアウォール装置別のアドレス変換テーブル181を用いて、アドレス変換一覧122を生成する。
図7に基づいて、アドレス変換一覧122の構成について説明する。
アドレス変換一覧122は、ファイアウォール名と内側アドレスと外側アドレスとを互いに対応付けている。
内側アドレスおよび外側アドレスは、ファイアウォール別のアドレス変換テーブル181から抽出されたアドレスを示す。
ファイアウォール名は、アドレス変換テーブル181に対応するファイアウォール装置を識別する名称を示す。
図6に戻り、変換特定部123の機能について説明する。
変換特定部123は、アドレス変換一覧122を用いて、通信要件102毎に変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
変換ファイアウォールの一例は、第1の送信元ファイアウォール、第2の送信元ファイアウォールおよび宛先ファイアウォールである。
第1の送信元ファイアウォールは、通信要件102に示される送信元アドレスと同じ変換前アドレスと変換前アドレスに対応付いた変換後アドレスを含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、通信要件102に示される送信元アドレスがxである場合、第1の送信元ファイアウォールは、内側アドレスがxであるFW1である。
ここで、通信要件102に示される送信元アドレスと同じ変換前アドレスを第1の変換前アドレスといい、第1の変換前アドレスに対応付いた変換後アドレスを第1の変換後アドレスという。
第2の送信元ファイアウォールは、第1の変換前アドレスに対応付いた第1の変換後アドレスと同じアドレスを変換前アドレスとして含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、第1の変換後アドレスがx’である場合、第2の送信元ファイアウォールは、内側アドレスがx’であるFW5である。
宛先ファイアウォールは、通信要件102に示される宛先アドレスと同じ変換前アドレスを含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、通信要件102に示される宛先アドレスがyである場合、宛先ファイアウォールは、外側アドレスがyであるFW3である。
図7に示すように、特定情報124は、変換ファイアウォール(送信元ファイアウォール、宛先ファイアウォール)のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
図6に戻り、中継特定部125の機能について説明する。
中継特定部125は、ルーティングテーブル182を用いて、通信要件102毎に中継ファイアウォールを特定する。ここで、変換ファイアウォールは、中継ファイアウォールを特定する対象のファイアウォール装置から除外される。
そして、中継特定部125は、特定した中継ファイアウォールの情報である特定情報126を生成する。
中継ファイアウォールは、以下の条件(1)または条件(2)を満たすルーティングテーブル182に対応するファイアウォール装置である。
条件(1)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
条件(2)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
上記の条件は、通常のルーティング設定では送信元アドレスに対応するインタフェースと宛先アドレスに対応するインタフェースとが互いに異なることを根拠としている。パケットは、ファイアウォール装置のインタフェースから同じインタフェースにルーティングされることはない。
図8において、特定情報124が示すように、変換ファイアウォールはFW1、FW5およびFW3である。
これらの変換ファイアウォールによる変換前の(送信元アドレス、宛先アドレス)および変換後の(送信元アドレス、宛先アドレス)は、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)である。
FW2のルーティングテーブル182において、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)の各アドレスに対応付いた出力インタフェースは、いずれもif1である。つまり、いずれの場合も、送信元アドレスに対応付いた出力インタフェースは、宛先アドレスに対応付いた出力インタフェースと同じである。したがって、FW2は中継ファイアウォールではない。
FW4のルーティングテーブル182において、(x,y)の送信元アドレス(x)に対応付いた出力インタフェースはif1である。一方、この(x,y)の宛先アドレス(y)に対応付いた出力インタフェースはif2である。つまり、送信元アドレス(x)に対応付いた出力インタフェースは、宛先アドレス(y)に対応付いた出力インタフェースと異なっている。したがって、FW4は中継ファイアウォールである。
図8に示すように、特定情報126は、中継ファイアウォールのファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
図6に戻り、特定制御部127の機能について説明する。
特定制御部127は、一覧生成部121、変換特定部123および中継特定部125を制御する。
また、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。つまり、特定情報103は、変換ファイアウォールと中継ファイアウォールとのそれぞれのファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
図1に戻り、エントリ生成部130の機能について説明する。
エントリ生成部130は、特定情報103に示される変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
また、エントリ生成部130は、特定情報103に示される中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
例えば、エントリ生成部130は、以下のようなエントリを生成する。
エントリ生成部130は、第1の送信元ファイアウォールのためのエントリとして、通信要件102に示される送信元アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、第2の送信元ファイアウォールのためのエントリとして、第1の変換前アドレスに対応付いた第1の変換後アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、宛先ファイアウォールのためのエントリとして、通信要件102に示される宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、中継ファイアウォールのためのエントリとして、変換ファイアウォールによる変換前の送信元アドレスと変換ファイアウォールによる変換前の宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
連続する複数の送信元アドレスのそれぞれを変換するファイアウォール装置が変換ファイアウォールとして特定された場合、エントリ生成部130は、変換ファイアウォールのためのエントリとして、複数の送信元アドレスを含んだ送信元グループと受け付けられたアクションとを設定したエントリを生成する。
連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が変換ファイアウォールとして特定された場合、エントリ生成部130は、変換ファイアウォールのためのエントリとして、複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する。
図10に基づいて、エントリ生成部130の機能構成について説明する。
エントリ生成部130は、アドレス置換部131とエントリ集約部132とを備える。
アドレス置換部131は、通信要件102毎に、特定情報103に示されるファイアウォール装置のそれぞれのアクセス制御エントリ104を生成する。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
図10に戻り、エントリ集約部132の機能について説明する。
エントリ集約部132は、1つのファイアウォール装置のためのエントリとして、送信元アドレスと宛先アドレスとの少なくともいずれかが連続する複数のアクセス制御エントリ104が生成された場合、複数のアクセス制御エントリ104を1つまたは複数のアクセス制御エントリ104に集約する。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
さらに、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
図1に戻り、設定ファイル取得部140の機能について説明する。
設定ファイル取得部140は、ファイアウォール装置別のファイアウォール設定ファイル180を取得する。
例えば、設定ファイル取得部140は、それぞれのファイアウォール装置と通信を行って、それぞれのファイアウォール装置からファイアウォール設定ファイル180を取得する。
また、利用者がファイアウォール装置別のファイアウォール設定ファイル180をファイアウォール管理装置100に入力し、設定ファイル取得部140は入力されたファイアウォール装置別のファイアウォール設定ファイル180を取得してもよい。
記憶部190は、ファイアウォール管理装置100で使用、生成または入出力されるデータを記憶する。
記憶部190に記憶されるデータの一例は、ファイアウォール装置別のファイアウォール設定ファイル180、ファイアウォール装置別のアクセス制御ファイル105、および、ファイアウォール管理ファイル191である。
ファイアウォール装置別のアクセス制御ファイル105は、ファイアウォール装置別に生成された1つまたは複数のアクセス制御エントリ104を含んだファイルである。
ファイアウォール管理ファイル191は、ファイアウォール装置別のファイアウォール設定ファイル180およびアクセス制御ファイル105を管理するためのファイルである。
図13に示すように、ファイアウォール管理ファイル191は、ファイアウォール名と設定ファイル名と制御ファイル名とを互いに対応付けている。
設定ファイル名は、ファイアウォール設定ファイル180を識別する名称である。
制御ファイル名は、アクセス制御ファイル105を識別する名称である。
***動作の説明***
ファイアウォール管理装置100の動作はファイアウォール管理方法に相当する。また、ファイアウォール管理方法はファイアウォール管理プログラムの処理手順に相当する。
図14に基づいて、ファイアウォール管理方法について説明する。
S110は要件受付処理である。
S110において、要件データ受付部111は、図4に示すような要件データ101を受け付ける。
S120は要件分割処理である。
S120において、要件分割部112は、要件データ101が複数の通信要件102を示す場合、要件データ101を複数の通信要件102に分割する。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
図4において、要件データ101は3つの送信元アドレスを含んだ送信元グループと2つの宛先アドレスを含んだ宛先グループとを示している。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
図15に基づいて、要件分割処理(S120)について説明する。
S121において、要件分割部112は、送信元アドレスの情報が送信元グループを示す通信要件102が要件データ101に含まれるか判定する。S121において、送信元アドレスの情報が送信元グループを示す通信要件102を対象の通信要件という。
対象の通信要件がある場合、処理はS122に進む。
対象の通信要件がない場合、処理はS123に進む。
S122において、要件分割部112は、送信元グループを示す通信要件102を送信元グループに含まれる送信元アドレス別の通信要件102に分割する。
S123において、要件分割部112は、宛先アドレスの情報が宛先グループを示す通信要件102が要件データ101に含まれるか判定する。S123において、宛先アドレスの情報が宛先グループを示す通信要件102を対象の通信要件という。
対象の通信要件がある場合、処理はS124に進む。
対象の通信要件がない場合、要件分割処理(S120)は終了する。
S124において、要件分割部112は、宛先グループを示す通信要件102を宛先グループに含まれる宛先アドレス別の通信要件102に分割する。
S124の後、要件分割処理(S120)は終了する。
図14に戻り、S130から説明を続ける。
S130は通信要件選択処理である。
S130において、特定制御部127は、要件データ101から未選択の通信要件102を1つ選択する。
S140はファイアウォール特定処理である。
S140において、ファイアウォール特定部120は、選択された通信要件102とファイアウォール別のファイアウォール設定ファイル180とを用いて、変換ファイアウォールと中継ファイアウォールとを特定する。
図16に基づいて、ファイアウォール特定処理(S140)について説明する。
S141は変換特定処理である。
S141において、変換特定部123は、通信要件102とアドレス変換一覧122とを用いて、変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
アドレス変換一覧122は、一覧生成部121によって予め生成されている。
図17に基づいて、変換特定処理(S141)について説明する。
S1411は送信元アドレス処理である。
S1411において、変換特定部123は、通信要件102に示される送信元アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは送信元ファイアウォールである。
図18に基づいて、送信元アドレス処理(S1411)について説明する。
S14111において、変換特定部123は、通信要件102に示される送信元アドレスと同じ内側アドレスをアドレス変換一覧122から検索する。S14111〜S14113において、通信要件102に示される送信元アドレスと同じ内側アドレスを対象の内側アドレスという。
対象の内側アドレスがある場合、処理はS14112に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
S14112において、変換特定部123は、対象の内側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される送信元アドレスはxである。そして、対象の内側アドレスxに対応付いたファイアウォール名はFW1である。したがって、FW1で識別されるファイアウォール装置は変換ファイアウォールである。
S14113において、変換特定部123は、対象の内側アドレスに対応付いた外側アドレスをアドレス変換一覧122から選択する。
図7において、対象の内側アドレスxに対応付いた外側アドレスはx’である。
S14114において、変換特定部123は、選択した外側アドレスと同じ内側アドレスをアドレス変換一覧122から検索する。S14114〜S14116において、選択した外側アドレスと同じ内側アドレスを対象の内側アドレスという。
対象の内側アドレスがある場合、処理はS14115に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
S14115において、変換特定部123は、対象の内側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、選択された外側アドレスがx’である場合、対象の内側アドレスx’に対応付いたファイアウォール名はFW5である。したがって、FW5で識別されるファイアウォール装置は変換ファイアウォールである。
S14116において、変換特定部123は、対象の内側アドレスに対応付いた外側アドレスをアドレス変換一覧122から選択する。
図7において、対象の内側アドレスx’に対応付いた外側アドレスはx’’である。
S14116の後、処理はS14114に戻る。
図17に戻り、S1412から説明を続ける。
S1412は宛先アドレス処理である。
S1412において、変換特定部123は、通信要件102に示される宛先アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは宛先ファイアウォールである。
図19に基づいて、宛先アドレス処理(S1412)について説明する。
S14121において、変換特定部123は、通信要件102に示される宛先アドレスと同じ外側アドレスをアドレス変換一覧122から検索する。S14121〜S14123において、通信要件102に示される宛先アドレスと同じ外側アドレスを対象の外側アドレスという。
対象の外側アドレスがある場合、処理はS14122に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
S14122において、変換特定部123は、対象の外側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される宛先アドレスはyである。そして、対象の外側アドレスyに対応付いたファイアウォール名はFW3である。したがって、FW3で識別されるファイアウォール装置は変換ファイアウォールである。
S14123において、変換特定部123は、対象の外側アドレスに対応付いた内側アドレスをアドレス変換一覧122から選択する。
図7において、対象の外側アドレスyに対応付いた内側アドレスはy’である。
S14124において、変換特定部123は、選択した内側アドレスと同じ外側アドレスをアドレス変換一覧122から検索する。S14124〜S14126において、選択した内側アドレスと同じ外側アドレスを対象の外側アドレスという。
対象の外側アドレスがある場合、処理はS14125に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
S14125において、変換特定部123は、対象の外側アドレスに対応付いたファイアウォール名をアドレス変換一覧122から選択する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
S14126において、変換特定部123は、対象の外側アドレスに対応付いた内側アドレスをアドレス変換一覧122から選択する。
S14126の後、処理はS14124に戻る。
図17に戻り、S1413から説明を続ける。
S1413は特定情報生成処理である。
S1413において、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
図7に示すように、特定情報124は、変換ファイアウォールFW1、FW5およびFW3のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
図16に戻り、S142から説明を続ける。
S142は中継特定処理である。
S142において、中継特定部125は、通信要件102と特定情報124とファイアウォール別のルーティングテーブル182とを用いて、中継ファイアウォールを特定する。
そして、変換特定部123は、特定した中継ファイアウォールの情報である特定情報126を生成する。
図20に基づいて、中継特定処理(S142)について説明する。
S1421において、中継特定部125は、送信元アドレスと宛先アドレスとのアドレス組を特定情報124から抽出する。
図8において、4つのアドレス組(x,y)、(x’,y)、(x’’,y)および(x’’,y’’)が特定情報124から抽出される。
S1422において、中継特定部125は、中継ファイアウォールの候補を特定する。
中継ファイアウォールの候補は、変換ファイアウォール以外のファイアウォール装置である。
FW1〜FW5の5つのファイアウォール装置のうち、FW1、FW3およびFW5が変換ファイアウォールである場合、中継ファイアウォールの候補はFW2およびFW4である。
S1423において、中継特定部125は、中継ファイアウォールの候補から未選択の候補を1つ選択する。
S1424において、中継特定部125は、選択した候補に対して未選択のアドレス組を1つ選択する。
S1425において、中継特定部125は、選択した候補のルーティングテーブル182から、選択したアドレス組に含まれる送信元アドレスに対応付いたインタフェース名を取得する。
また、中継特定部125は、選択した候補のルーティングテーブル182から、選択したアドレス組に含まれる宛先アドレスに対応付いたインタフェース名を取得する。
図8において、選択した候補がFW4であり、選択したアドレス組が(x,y)である場合、取得されるインタフェース名はif1およびif2である。
S1426において、中継特定部125は、取得した2つのインタフェース名が異なるか判定する。
取得した2つのインタフェース名が異なる場合、処理はS1427に進む。
取得した2つのインタフェース名が同じである場合、処理はS1428に進む。
S1427において、中継特定部125は、選択した候補の情報を中継ファイアウォールの情報として特定情報126に登録する。
図8に示すように、特定情報126は、中継ファイアウォールFW4のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
S1427の後、処理はS1429に進む。
S1428において、中継特定部125は、選択した候補に対して選択していない未選択のアドレス組があるか判定する。
未選択のアドレス組がある場合、処理はS1424に戻る。
未選択のアドレス組がない場合、処理はS1429に進む。
S1429において、中継特定部125は、未選択の候補があるか判定する。
未選択の候補がある場合、処理はS1423に戻る。
未選択の候補がない場合、中継特定処理(S142)は終了する。
図16に戻り、S143から説明を続ける。
S143は特定情報生成処理である。
S143において、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。
図14に戻り、S150から説明を続ける。
S150はエントリ生成処理である。
S150において、アドレス置換部131は、特定情報103に示されるファイアウォール装置のそれぞれのアクセス制御エントリ104を生成する。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
そして、アドレス置換部131は、生成したアクセス制御エントリ104をファイアウォール装置別のアクセス制御ファイル105に登録する。
S160において、特定制御部127は、未選択の通信要件102があるか判定する。
未選択の通信要件102がある場合、処理はS130に戻る。
未選択の通信要件102がない場合、処理はS170に進む。
S170において、エントリ集約部132は、ファイアウォール装置別のアクセス制御ファイル105に送信元アドレスと宛先アドレスとの少なくともいずれかが連続する複数のアクセス制御エントリ104が含まれる場合、複数のアクセス制御エントリ104を1つまたは複数のアクセス制御エントリ104に集約する。
S170の後、ファイアウォール管理方法の処理は終了する。
図21に基づいて、エントリ集約処理(S170)について説明する。
S171において、エントリ集約部132は、未選択のアクセス制御ファイル105を1つ選択する。
S172において、エントリ集約部132は、送信元アドレスが連続し、送信元アドレス以外の情報が一致する複数のアクセス制御エントリ104があるか判定する。S172およびS173において、送信元アドレスが連続し、送信元アドレス以外の情報が一致する複数のアクセス制御エントリ104を対象のエントリ群という。
対象のエントリ群がある場合、処理はS173に進む。
対象のエントリ群がない場合、処理はS174に進む。
S173において、エントリ集約部132は、対象のエントリ群毎に、対象のエントリ群を1つのアクセス制御エントリ104に集約する。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
S174において、エントリ集約部132は、宛先アドレスが連続し、宛先アドレス以外の情報が一致する複数のアクセス制御エントリ104があるか判定する。S174およびS175において、宛先アドレスが連続し、宛先アドレス以外の情報が一致する複数のアクセス制御エントリ104を対象のエントリ群という。
対象のエントリ群がある場合、処理はS175に進む。
対象のエントリ群がない場合、処理はS176に進む。
S175において、エントリ集約部132は、対象のエントリ群毎に、対象のエントリ群を1つのアクセス制御エントリ104に集約する。
図12において、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
S176において、エントリ集約部132は、未選択のアクセス制御ファイル105があるか判定する。
未選択のアクセス制御ファイル105がある場合、処理はS171に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ集約処理(S170)は終了する。
***効果の説明***
ファイアウォール管理装置100は、要件データ101の通信要件102が示すアドレスがパケットを通信する端末装置に設定されたアドレスではなくて、ファイアウォール装置によって変換される前のアドレスであっても、パケットを中継するファイアウォール装置を特定することができる。
そのため、ファイアウォール管理装置100は、パケットを中継するファイアウォール装置が複数であっても、要件データ101の通信要件102に応じて、それぞれのファイアウォール装置に必要なアクセス制御リスト183のエントリを生成することができる。
実施の形態2.
集約後のアクセス制御エントリ104を過去のアクセス制御リスト183に基づいて分割する形態について、図22から図25に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
***構成の説明***
図22に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、エントリ分割部150を備える。
記憶部190は、ファイアウォール装置別の過去設定ファイル189を記憶する。
過去設定ファイル189は、過去のファイアウォール設定ファイル180である。
エントリ分割部150は、変換ファイアウォールまたは中継ファイアウォールのためのエントリとして送信元グループと宛先グループとの少なくともいずれかのアドレスグループが設定されたエントリが生成された場合、以下のように動作する。
エントリ分割部150は、変換ファイアウォールに設定されていたアクセス制御リスト183である過去のアクセス制御リスト183を用いて、生成されたエントリを複数のエントリに分割する。
エントリ分割部150は、以下のように、生成されたエントリを複数のエントリに分割される。
エントリ分割部150は、過去のアクセス制御リスト183に示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出する。
エントリ分割部150は、生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する。
図23において、FWxのアクセス制御ファイル105は、1つのアクセス制御エントリ104を含んでいる。このアクセス制御エントリ104には、送信元グループ(1.1.1.1−100)が設定されている。
また、FWxの過去のアクセス制御リスト183は、2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)を含んでいる。これら2つのアドレスグループは、いずれも、アクセス制御ファイル105のアクセス制御エントリ104に設定された送信元グループに含まれる。
そのため、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、アクセス制御リスト183のアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
***動作の説明***
図24および図25に基づいて、エントリ分割部150によるエントリ分割処理について説明する。
S181において、エントリ分割部150は、未選択のアクセス制御ファイル105を1つ選択する。S182以降の処理において、選択したアクセス制御ファイル105に対応するファイアウォール装置を対象のファイアウォール装置という。
S182において、エントリ分割部150は、選択したアクセス制御ファイル105に対して選択していない未選択のアクセス制御エントリ104を1つ選択する。
S183−1において、エントリ分割部150は、選択したアクセス制御エントリ104に送信元グループが設定されているか判定する。
選択したアクセス制御エントリ104に送信元グループが設定されている場合、処理はS183−2に進む。S183−2およびS183−3において、選択したアクセス制御エントリ104に設定されている送信元グループをエントリの送信元グループという。
選択したアクセス制御エントリ104に送信元グループが設定されていない場合、処理はS184−1に進む。
S183−2において、エントリ分割部150は、対象のファイアウォール装置の過去のアクセス制御リスト183から、エントリの送信元グループに含まれるアドレスグループを抽出する。
図23において、エントリの送信元グループが1.1.1.1−100である場合、過去のアクセス制御リスト183から2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)が抽出される。
S183−3において、エントリ分割部150は、選択したアクセス制御エントリ104を、抽出したアドレスグループを設定したエントリと、エントリの送信元グループのうちの残りの送信元グループを設定したエントリと、に分割する。
図23において、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、抽出したアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
S184−1において、エントリ分割部150は、選択したアクセス制御エントリ104に宛先グループが設定されているか判定する。
選択したアクセス制御エントリ104に宛先グループが設定されている場合、処理はS184−2に進む。S184−2およびS184−3において、選択したアクセス制御エントリ104に設定されている宛先グループをエントリの宛先グループという。
選択したアクセス制御エントリ104に宛先グループが設定されていない場合、処理はS185に進む。
S184−2において、エントリ分割部150は、対象のファイアウォール装置の過去のアクセス制御リスト183から、エントリの宛先グループに含まれるアドレスグループを抽出する。
S184−3において、エントリ分割部150は、選択したアクセス制御エントリ104を、抽出したアドレスグループを設定したエントリと、エントリの宛先グループのうちの残りの宛先グループを設定したエントリと、に分割する。
S185において、エントリ分割部150は、選択したアクセス制御ファイル105に対して選択していない未選択のアクセス制御エントリ104があるか判定する。
未選択のアクセス制御エントリ104がある場合、処理はS182に戻る。
未選択のアクセス制御エントリ104がない場合、処理はS186に進む。
S186において、エントリ分割部150は、未選択のアクセス制御ファイル105があるか判定する。
未選択のアクセス制御ファイル105がある場合、処理はS181に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ分割処理は終了する。
***効果の説明***
ファイアウォール管理装置100は、生成したアクセス制御エントリ104をアドレスグループ毎に分割することができる。アクセス制御エントリ104をアドレスグループ毎に分割することは、アクセス制御エントリ104をサーバ群または端末群の役割毎に分割することを意味する。一般的に、同じ役割を持つサーバ群には連番のアドレス(アドレスグループ)が割り当てられ、また、同じ役割を持つ端末群にも連番のアドレスが割り当てられるためである。役割別のサーバ群の一例は、データベースサーバ群、Webサーバ群、認証サーバ群、メールサーバ群、DNSサーバ群、NTPサーバ群、ドメイン管理サーバ群、ログ管理サーバ群である。役割別の端末群の一例は、管理端末群、事務端末群である。DNSはDomain Name Serviceの略称であり、NTPはNetwork Time Protocolの略称である。
これにより、ファイアウォール装置の運用が効率化され、かつ、アクセス制御エントリ104の設定ミスの発見および不要なアクセス制御エントリ104の発見が容易になる。
実施の形態3.
生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する形態について、図26から図29に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
***構成の説明***
図26に基づいて、通信検証システム200の構成について説明する。
通信検証システム200は、ファイアウォール管理装置100と、試験環境210と、通信監視装置220とを備える。
試験環境210は、複数のパケット通信装置211と、複数のファイアウォール装置212とを備える。
パケット通信装置211は、ファイアウォール管理装置100によって生成された試験データ106に従ってパケット213を生成し、生成したパケット213を複数のファイアウォール装置212を介して他のパケット通信装置211に送信する。
ファイアウォール装置212は、生成されたアクセス制御エントリ104を含んだアクセス制御リスト183が設定され、アクセス制御リスト183に従ってパケット213の通信の許否を判定し、通信を許可するパケット213を中継する。
通信監視装置220は、試験環境210のネットワーク219に流れるパケット213をキャプチャし、キャプチャしたパケット213の情報を示す試験結果データ221を生成する。
つまり、試験結果データ221は、試験データ106を使用して試験環境210で行われた通信の情報を示す。
ファイアウォール管理装置100は、ファイアウォール装置212別のアクセス制御エントリ104と試験データ106とを生成する。
また、ファイアウォール管理装置100は、試験結果データ221を用いて、生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する。
図27に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、過去要件選択部161と、試験データ生成部162と、エントリ検証部163とを備える。
記憶部190は、複数の過去要件ファイル170、試験データ106および検証結果データ107を記憶する。
図28に基づいて、過去要件ファイル170の構成について説明する。
過去要件ファイル170は、過去要件データ171と、過去試験データ172と、過去結果データ173とを備える。
過去要件データ171は、過去の要件データ101である。
過去試験データ172は、過去の試験データ106である。
過去結果データ173は、過去の検証結果データ107である。
図27に戻り、過去要件選択部161と試験データ生成部162とエントリ検証部163とのそれぞれの機能について説明する。
過去要件選択部161は、要件データ101に示される送信元アドレスと宛先アドレスとを用いて、複数の過去要件ファイル170から過去要件ファイル170を選択する。
試験データ生成部162は、選択された過去要件ファイル170に含まれる過去試験データ172を用いて、試験環境210で使用する試験データ106を生成する。
エントリ検証部163は、試験結果データ221と選択された過去要件ファイル170に含まれる過去結果データ173とを用いて、生成されたアクセス制御エントリ104を検証する。
そして、エントリ検証部163は、検証した結果を示す検証結果データ107を生成する。
***動作の説明***
まず、過去要件選択部161による過去要件選択処理について説明する。
過去要件選択部161は、過去要件ファイル170毎に、受け付けられた要件データ101と過去要件ファイル170に含まれる過去要件データ171との類似度を算出する。
例えば、過去要件選択部161は、図29に示すような類似度テーブル192を用いて、要件データ101と過去要件データ171との類似度を算出する。
つまり、過去要件選択部161は、要件データ101に示される送信元グループと過去要件データ171に示される送信元グループとを比較する。送信元グループの比較は、送信元アドレスの情報の比較を意味する。
さらに、過去要件選択部161は、要件データ101に示される宛先グループと過去要件データ171に示される宛先グループとを比較する。宛先グループの比較は、宛先アドレスの情報の比較を意味する。
そして、過去要件選択部161は、比較結果に対応する類似度を類似度テーブル192から取得する。
過去要件選択部161は、過去要件ファイル170毎の類似度に基づいて、過去要件ファイル170を選択する。
例えば、過去要件選択部161は、類似度が最も高い過去要件ファイル170を選択する。
次に、試験データ生成部162による試験データ生成処理について説明する。
試験データ生成部162は、選択された過去要件ファイル170に含まれる過去試験データ172を表示装置に表示する。
試験データ生成部162は、表示した過去試験データ172に対する修正指示が入力された場合、修正指示に従って過去試験データ172を修正することによって、試験データ106を生成する。
最後に、エントリ検証部163によるエントリ検証処理について説明する。
エントリ検証部163は、試験結果データ221と選択された過去要件ファイル170に含まれる過去結果データ173とを比較する。
そして、エントリ検証部163は、比較結果を示すデータを検証結果データ107として生成する。
試験結果データ221に示される試験結果が過去結果データ173に示される試験結果と同じである場合または類似する場合、過去の試験後の実環境で問題が生じていなければ、今回の試験後の実環境でも問題は生じないことが期待される。
この場合、ファイアウォール装置212別のアクセス制御ファイル105に含まれるアクセス制御エントリ104は、要件データ101の通信要件102を満たす正しいエントリであると考えられる。
***効果の説明***
実施の形態3により、ファイアウォール管理装置100が生成したアクセス制御エントリ104が通信要件102を満たすか検証することができる。
これにより、ファイアウォール製品またはファイアウォールプログラムのバージョンが変更になってファイアウォール装置に暗黙のアクセス制御ルールが加わっても、通信障害が発生しないように、通信要件102を満たすアクセス制御エントリ104を生成することができる。
暗黙のアクセス制御ルールの一例は、以下のようなものである。
PING要求を送信後、一定時間は、逆向き通信となるPING応答の通信が許可される。
アイドル状態が一定時間に達したコネクションは切断される。
図30に基づいて、ファイアウォール管理装置100のハードウェア構成例について説明する。
ファイアウォール管理装置100は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、出力インタフェース906といったハードウェアを備えるコンピュータである。
プロセッサ901は信号線910を介して他のハードウェアと接続されている。入力インタフェース905はケーブル911を介して入力装置907に接続されている。出力インタフェース906はケーブル912を介して出力装置908に接続されている。
プロセッサ901は、プロセッシングを行うICであり、他のハードウェアを制御する。プロセッサ901の一例は、CPU、DSP、GPUである。ICはIntegrated Circuitの略称である。CPUはCentral Processing Unitの略称であり、DSPはDigital Signal Processorの略称であり、GPUはGraphics Processing Unitの略称である。
補助記憶装置902はデータを記憶する。補助記憶装置902の一例は、ROM、フラッシュメモリ、HDDである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
メモリ903はデータを記憶する。メモリ903の一例はRAMである。RAMはRandom Access Memoryの略称である。
通信装置904は、データを受信するレシーバ9041と、データを送信するトランスミッタ9042とを備える。通信装置904の一例は、通信チップ、NICである。NICはNetwork Interface Cardの略称である。
入力インタフェース905はケーブル911が接続されるポートであり、ポートの一例はUSB端子である。USBはUniversal Serial Busの略称である。
出力インタフェース906はケーブル912が接続されるポートであり、USB端子およびHDMI端子はポートの一例である。HDMI(登録商標)はHigh Definition Multimedia Interfaceの略称である。
入力装置907はデータ、命令および要求を入力する。入力装置907の一例は、マウス、キーボード、タッチパネルである。
出力装置908はデータ、結果および応答を出力する。出力装置908の一例は、ディスプレイ、プリンタである。ディスプレイの一例はLCDである。LCDはLiquid
Crystal Displayの略称である。
補助記憶装置902にはOSが記憶されている。OSはOperating Systemの略称である。
また、補助記憶装置902には、要件受付部110、ファイアウォール特定部120、エントリ生成部130、設定ファイル取得部140、エントリ分割部150、過去要件選択部161、試験データ生成部162、エントリ検証部163といった「部」の機能を実現するプログラムが記憶されている。
OSの少なくとも一部はメモリ903にロードされ、プロセッサ901はOSを実行しながら「部」の機能を実現するプログラムを実行する。「部」の機能を実現するプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
なお、ファイアウォール管理装置100が複数のプロセッサ901を備えて、複数のプロセッサ901が「部」の機能を実現するプログラムを連携して実行してもよい。
「部」の処理の結果を示すデータ、情報、信号値および変数値などは、メモリ903、補助記憶装置902、プロセッサ901内のレジスタ、または、プロセッサ901内のキャッシュメモリに記憶される。
「部」は「サーキットリ」で実装してもよい。「部」は「回路」、「工程」、「手順」または「処理」に読み替えてもよい。
「回路」及び「サーキットリ」は、プロセッサ901、ロジックIC、GA、ASIC、FPGAといった処理回路を包含する概念である。GAはGate Arrayの略称であり、ASICはApplication Specific Integrated
Circuitの略称であり、FPGAはField−Programmable Gate Arrayの略称である。
各実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。
フローチャート等を用いて説明した処理手順は、ファイアウォール管理装置、ファイアウォール管理方法およびファイアウォール管理プログラムの処理手順の一例である。
100 ファイアウォール管理装置、101 要件データ、102 通信要件、103
特定情報、104 アクセス制御エントリ、105 アクセス制御ファイル、106 試験データ、107 検証結果データ、110 要件受付部、111 要件データ受付部、112 要件分割部、120 ファイアウォール特定部、121 一覧生成部、122
アドレス変換一覧、123 変換特定部、124 特定情報、125 中継特定部、126 特定情報、127 特定制御部、130 エントリ生成部、131 アドレス置換部、132 エントリ集約部、140 設定ファイル取得部、150 エントリ分割部、161 過去要件選択部、162 試験データ生成部、163 エントリ検証部、170
過去要件ファイル、171 過去要件データ、172 過去試験データ、173 過去結果データ、180 ファイアウォール設定ファイル、181 アドレス変換テーブル、182 ルーティングテーブル、183 アクセス制御リスト、189 過去設定ファイル、190 記憶部、191 ファイアウォール管理ファイル、192 類似度テーブル、200 通信検証システム、210 試験環境、211 パケット通信装置、212 ファイアウォール装置、213 パケット、219 ネットワーク、220 通信監視装置、221 試験結果データ、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバ、9042 トランスミッタ、905 入力インタフェース、906 出力インタフェース、907 入力装置、908 出力装置、910 信号線、911 ケーブル、912 ケーブル。

Claims (14)

  1. 送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付部と、
    受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
    特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部と
    を備えるファイアウォール管理装置。
  2. 前記ファイアウォール特定部は、受け付けられた送信元アドレスと同じ変換前アドレスと前記変換前アドレスに対応付いた変換後アドレスとを含んだアドレス変換テーブルに対応するファイアウォール装置である第1の送信元ファイアウォールと、前記変換前アドレスに対応付いた前記変換後アドレスと同じアドレスを変換前アドレスとして含んだアドレス変換テーブルに対応するファイアウォール装置である第2の送信元ファイアウォールとのそれぞれを、前記変換ファイアウォールとして特定する
    請求項1に記載のファイアウォール管理装置。
  3. 前記エントリ生成部は、前記第1の送信元ファイアウォールのためのエントリとして、受け付けられた送信元アドレスと受け付けられたアクションとを設定したエントリを生成し、前記第2の送信元ファイアウォールのためのエントリとして、前記変換前アドレスに対応付いた前記変換後アドレスと受け付けられたアクションとを設定したエントリを生成する
    請求項2に記載のファイアウォール管理装置。
  4. 前記ファイアウォール特定部は、さらに、受け付けられた宛先アドレスと同じ変換前アドレスを含んだアドレス変換テーブルに対応するファイアウォール装置である宛先ファイアウォールを、前記変換ファイアウォールとして特定する
    請求項2に記載のファイアウォール管理装置。
  5. 前記エントリ生成部は、前記宛先ファイアウォールのためのエントリとして、受け付けられた宛先アドレスと受け付けられたアクションとを設定したエントリを生成する
    請求項4に記載のファイアウォール管理装置。
  6. 前記ファイアウォール特定部は、前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとのいずれのアドレスも変換しないファイアウォール装置である中継ファイアウォールを、ファイアウォール装置別のテーブルであってルートアドレスとインタフェース名とを互いに対応付けるテーブルであるルーティングテーブルを用いて特定し、
    前記エントリ生成部は、特定された中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成する
    請求項1に記載のファイアウォール管理装置。
  7. 前記ファイアウォール特定部は、
    前記変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
    前記変換ファイアウォールによる変換後の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換後の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
    を前記中継ファイアウォールとして特定する
    請求項6に記載のファイアウォール管理装置。
  8. 前記エントリ生成部は、前記中継ファイアウォールのためのエントリとして、前記変換ファイアウォールによる変換前の送信元アドレスと前記変換ファイアウォールによる変換前の宛先アドレスと受け付けられたアクションとを設定したエントリを生成する
    請求項7に記載のファイアウォール管理装置。
  9. 前記要件受付部は、連続する複数の送信元アドレスを含んだ送信元グループと、連続する複数の宛先アドレスを含んだ宛先グループと、前記アクションとを受け付け、
    前記ファイアウォール特定部は、受け付けられた送信元グループに含まれる送信元アドレスと受け付けられた宛先グループに含まれる宛先アドレスとの組み合わせ毎に、前記変換ファイアウォールを特定する
    請求項1に記載のファイアウォール管理装置。
  10. 前記エントリ生成部は、
    連続する複数の送信元アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の送信元アドレスを含んだ送信元グループと受け付けられたアクションとを設定したエントリを生成し、
    連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する
    請求項1に記載のファイアウォール管理装置。
  11. 前記変換ファイアウォールのためのエントリとして前記送信元グループと前記宛先グループとの少なくともいずれかのアドレスグループが設定されたエントリが生成された場合、前記変換ファイアウォールに設定されていたアクセス制御リストである過去のアクセス制御リストを用いて、生成されたエントリを複数のエントリに分割するエントリ分割部を備える
    請求項10に記載のファイアウォール管理装置。
  12. 前記エントリ分割部は、
    前記過去のアクセス制御リストに示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出し、
    生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する
    請求項11に記載のファイアウォール管理装置。
  13. 送信元アドレスと宛先アドレスと過去の試験データと過去の試験結果データとを含んだ複数の過去要件ファイルから、受け付けられた送信元アドレスと受け付けられた宛先アドレスとを用いて、過去要件ファイルを選択する過去要件選択部と、
    選択された過去要件ファイルに含まれる過去の試験データを用いて、生成されたエントリを含んだアクセス制御リストが設定されたファイアウォール装置を備える試験環境で使用する試験データを生成する試験データ生成部と
    生成された試験データを使用して前記試験環境で行われた通信の情報を示す試験結果データと、選択された過去要件ファイルに含まれる過去の試験結果データとを用いて、生成されたエントリを検証するエントリ検証部と
    を備える請求項1から請求項12のいずれか1項に記載のファイアウォール管理装置。
  14. 送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付処理と、
    受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定処理と、
    特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成処理と
    をコンピュータに実行させるためのファイアウォール管理プログラム。
JP2015143260A 2015-07-17 2015-07-17 ファイアウォール管理装置およびファイアウォール管理プログラム Expired - Fee Related JP6419035B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015143260A JP6419035B2 (ja) 2015-07-17 2015-07-17 ファイアウォール管理装置およびファイアウォール管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015143260A JP6419035B2 (ja) 2015-07-17 2015-07-17 ファイアウォール管理装置およびファイアウォール管理プログラム

Publications (2)

Publication Number Publication Date
JP2017028403A JP2017028403A (ja) 2017-02-02
JP6419035B2 true JP6419035B2 (ja) 2018-11-07

Family

ID=57949968

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015143260A Expired - Fee Related JP6419035B2 (ja) 2015-07-17 2015-07-17 ファイアウォール管理装置およびファイアウォール管理プログラム

Country Status (1)

Country Link
JP (1) JP6419035B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2296989C (en) * 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
JP2005217757A (ja) * 2004-01-29 2005-08-11 Oki Techno Creation:Kk ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
JP2006067314A (ja) * 2004-08-27 2006-03-09 Ntt Docomo Inc アクセス制御リスト生成装置およびアクセス制御リスト生成方法
JP5478546B2 (ja) * 2011-04-12 2014-04-23 日本電信電話株式会社 アクセス制御システム、およびアクセス制御方法

Also Published As

Publication number Publication date
JP2017028403A (ja) 2017-02-02

Similar Documents

Publication Publication Date Title
US11799831B2 (en) Intelligent service layer for separating application from physical networks and extending service layer intelligence over IP across the internet, cloud, and edge networks
US10135702B2 (en) Methods, systems, and computer readable media for testing network function virtualization (NFV)
EP3424178B1 (en) Deterministic reproduction of client/server computer state or output sent to one or more client computers
US9407600B2 (en) Service access method and device for conducting the same
CN110049022B (zh) 一种域名访问控制方法、装置和计算机可读存储介质
US11647079B2 (en) Emulation of cloud computing service regions
EP3788755B1 (en) Accessing cloud resources using private network addresses
CN113315744A (zh) 可编程交换机、流量统计方法、防御方法和报文处理方法
US20180189084A1 (en) Data flow affinity for heterogenous virtual machines
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
US20210044523A1 (en) Communication device, communication control system, communication control method, and communication control program
JP2017130963A (ja) ネットワーク装置、及び、通信方法
JP6114214B2 (ja) ネットワーク装置、及び、通信方法
JP6419035B2 (ja) ファイアウォール管理装置およびファイアウォール管理プログラム
Bernardo et al. Multi-layer security analysis and experimentation of high speed protocol data transfer for GRID
US10057291B1 (en) Comparing networking access control lists
US9547613B2 (en) Dynamic universal port mode assignment
CN108141704B (zh) 先前网络消息处理器的位置标识
US11038915B1 (en) Dynamic generation of courses of action for incident response in an information technology environment
JP2015156593A (ja) 通信中継装置、および通信システム
US20160043899A1 (en) Management computer, management method, and non-transitory recording medium
US20200287789A1 (en) Relay device and non-transitory computer readable medium
CN107959939A (zh) 一种无线访问接入点ap的连接性识别方法及装置
CN116192485A (zh) 一种数据包校验方法、系统、装置、设备及介质
JP2016181849A (ja) アクセス制御リスト確認装置およびアクセス制御リスト確認プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181009

R150 Certificate of patent or registration of utility model

Ref document number: 6419035

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees