JP6419035B2 - ファイアウォール管理装置およびファイアウォール管理プログラム - Google Patents
ファイアウォール管理装置およびファイアウォール管理プログラム Download PDFInfo
- Publication number
- JP6419035B2 JP6419035B2 JP2015143260A JP2015143260A JP6419035B2 JP 6419035 B2 JP6419035 B2 JP 6419035B2 JP 2015143260 A JP2015143260 A JP 2015143260A JP 2015143260 A JP2015143260 A JP 2015143260A JP 6419035 B2 JP6419035 B2 JP 6419035B2
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- address
- entry
- conversion
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
ACLは、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、通信プロトコルといった情報に対応付けて、アクションが定義される。アクションは、通信パケットの通過の許可もしくは拒否を示す。
そのため、ACLは十分に検証した後に導入しなければならない。
例えば、複数のポートが使用されるシステムについて、使用されるポートのうちの1つまたは複数が通信の要件から漏れてしまう可能性がある。この場合、誤ったACLが作成されて、通信障害が発生する。
その技術は、ホスティングサービスを利用するユーザから要件変更要求を受けて、ユーザに割り振られたIPアドレスを要件変更要求に付加し、ACLを自動で生成し、生成したACLを共用ファイアウォールに設定する、というものである。
しかし、複数のファイアウォールを経由する通信パケットに関する要件変更要求があった場合、各ファイアウォールに設定されているルーティング情報を基に、ACLの設定が必要なファイアウォールを適切に設定することができない。そのため、最適なACLを生成することができない。
送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付部と、
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部とを備える。
ファイアウォール装置に設定されるアクセス制御リストに登録するエントリを通信要件に従って生成する形態について、図1から図21に基づいて説明する。
図1に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、要件受付部110と、ファイアウォール特定部120と、エントリ生成部130と、設定ファイル取得部140と、記憶部190とを備える。
図2において、要件データ101は、送信元アドレスと送信元ポートと宛先アドレスと宛先ポートとプロトコルとアクションとのそれぞれの情報を互いに対応付けている。これらの情報は1つ以上の通信要件102を示す情報である。
送信元アドレスの情報は、送信元アドレスまたは送信元グループを示す。送信元グループは、連続する複数の送信元アドレスを含むアドレスグループである。IPアドレスは送信元アドレスの一例である。図中の1.1.1.1−3は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループである。
送信元ポートの情報は、送信ポートを示す。図中のanyは全ての送信ポートを意味している。
宛先アドレスの情報は、宛先アドレスまたは宛先グループを示す。宛先グループは、連続する複数の宛先アドレスを含むアドレスグループである。IPアドレスは宛先アドレスの一例である。図中の2.2.2.1−2は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループである。
宛先ポートの情報は、宛先ポートを示す。
プロトコルの情報は、tcpまたはudpなどのプロトコルを示す。
アクションの情報は、通信の可否を示す。
要件受付部110は、要件データ受付部111と、ファイアウォール特定部120とを備える。
要件データ受付部111は、要件データ101を受け付ける。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
ファイアウォール特定部120は、ファイアウォール装置別のファイアウォール設定ファイル180を用いて、通信要件102毎に変換ファイアウォールと中継ファイアウォールとの少なくともいずれかを特定する。
変換ファイアウォールは、通信要件102に示される送信元アドレスと通信要件102に示される宛先アドレスとが設定されたパケットが送信された場合に、パケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である。アドレスの変換は、NATまたはNAPTと呼ばれる。NATはNetwork Address Translationの略称であり、NAPTはNetwork Address Port Translationの略称である。
中継ファイアウォールは、上記のパケットを中継するために、パケットに設定されている送信元アドレスと宛先アドレスとのいずれのアドレスも変換しないファイアウォール装置である。
ファイアウォール設定ファイル180は、変換ファイアウォールを特定するために用いられるアドレス変換テーブル181と、中継ファイアウォールを特定するために用いられるルーティングテーブル182と、アクセス制御リスト183とを含んでいる。アクセス制御リスト183はACLという略称で呼ばれる。
内側インタフェースの情報は、内側ネットワークに接続するインタフェースを識別するインタフェース名を示す。内側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの一方のネットワークである。
内側アドレスの情報は、変換前の送信元アドレスに相当する変換前アドレスと変換後の宛先アドレスに相当する変換後アドレスとを示す。
外側インタフェースの情報は、外側ネットワークに接続するインタフェースを識別するインタフェース名を示す。外側ネットワークは、ファイアウォール装置が接続する2つのネットワークのうちの他方のネットワークである。
外側アドレスの情報は、変換後の送信元アドレスに相当する変換後アドレスと変換前の宛先アドレスに相当する変換前アドレスとを示す。
宛先の情報は、ルートアドレスを示す。ルートアドレスは、ファイアウォール装置が接続するいずれかのネットワークで使用されるアドレスである。図中のdefaultはy’とZとを除いたアドレスを意味する。
出力インタフェースの情報は、ルートアドレスが使用されるネットワークに接続するインタフェースを識別するインタフェース名を示す。
次ホップの情報は、パケットを次に中継する中継装置を示す。
アクセス制御リスト183に登録されるエントリをアクセス制御エントリという。
ファイアウォール特定部120は、一覧生成部121と、変換特定部123と、中継特定部125と、特定制御部127とを備える。
図7に基づいて、アドレス変換一覧122の構成について説明する。
アドレス変換一覧122は、ファイアウォール名と内側アドレスと外側アドレスとを互いに対応付けている。
内側アドレスおよび外側アドレスは、ファイアウォール別のアドレス変換テーブル181から抽出されたアドレスを示す。
ファイアウォール名は、アドレス変換テーブル181に対応するファイアウォール装置を識別する名称を示す。
変換特定部123は、アドレス変換一覧122を用いて、通信要件102毎に変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
第1の送信元ファイアウォールは、通信要件102に示される送信元アドレスと同じ変換前アドレスと変換前アドレスに対応付いた変換後アドレスを含んだアドレス変換テーブル181に対応するファイアウォール装置である。
図7において、通信要件102に示される送信元アドレスがxである場合、第1の送信元ファイアウォールは、内側アドレスがxであるFW1である。
ここで、通信要件102に示される送信元アドレスと同じ変換前アドレスを第1の変換前アドレスといい、第1の変換前アドレスに対応付いた変換後アドレスを第1の変換後アドレスという。
図7において、第1の変換後アドレスがx’である場合、第2の送信元ファイアウォールは、内側アドレスがx’であるFW5である。
図7において、通信要件102に示される宛先アドレスがyである場合、宛先ファイアウォールは、外側アドレスがyであるFW3である。
中継特定部125は、ルーティングテーブル182を用いて、通信要件102毎に中継ファイアウォールを特定する。ここで、変換ファイアウォールは、中継ファイアウォールを特定する対象のファイアウォール装置から除外される。
そして、中継特定部125は、特定した中継ファイアウォールの情報である特定情報126を生成する。
条件(1)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
条件(2)において、ルーティングテーブル182は、変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と異なっている。
上記の条件は、通常のルーティング設定では送信元アドレスに対応するインタフェースと宛先アドレスに対応するインタフェースとが互いに異なることを根拠としている。パケットは、ファイアウォール装置のインタフェースから同じインタフェースにルーティングされることはない。
これらの変換ファイアウォールによる変換前の(送信元アドレス、宛先アドレス)および変換後の(送信元アドレス、宛先アドレス)は、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)である。
FW2のルーティングテーブル182において、(x,y)、(x’,y)、(x’’,y)および(x’’,y’)の各アドレスに対応付いた出力インタフェースは、いずれもif1である。つまり、いずれの場合も、送信元アドレスに対応付いた出力インタフェースは、宛先アドレスに対応付いた出力インタフェースと同じである。したがって、FW2は中継ファイアウォールではない。
FW4のルーティングテーブル182において、(x,y)の送信元アドレス(x)に対応付いた出力インタフェースはif1である。一方、この(x,y)の宛先アドレス(y)に対応付いた出力インタフェースはif2である。つまり、送信元アドレス(x)に対応付いた出力インタフェースは、宛先アドレス(y)に対応付いた出力インタフェースと異なっている。したがって、FW4は中継ファイアウォールである。
特定制御部127は、一覧生成部121、変換特定部123および中継特定部125を制御する。
また、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。つまり、特定情報103は、変換ファイアウォールと中継ファイアウォールとのそれぞれのファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
エントリ生成部130は、特定情報103に示される変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
また、エントリ生成部130は、特定情報103に示される中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、通信要件102に示されるアクションを設定したエントリを生成する。
エントリ生成部130は、第1の送信元ファイアウォールのためのエントリとして、通信要件102に示される送信元アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、第2の送信元ファイアウォールのためのエントリとして、第1の変換前アドレスに対応付いた第1の変換後アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、宛先ファイアウォールのためのエントリとして、通信要件102に示される宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
エントリ生成部130は、中継ファイアウォールのためのエントリとして、変換ファイアウォールによる変換前の送信元アドレスと変換ファイアウォールによる変換前の宛先アドレスと通信要件102に示されるアクションとを設定したエントリを生成する。
連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が変換ファイアウォールとして特定された場合、エントリ生成部130は、変換ファイアウォールのためのエントリとして、複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する。
エントリ生成部130は、アドレス置換部131とエントリ集約部132とを備える。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
エントリ集約部132は、1つのファイアウォール装置のためのエントリとして、送信元アドレスと宛先アドレスとの少なくともいずれかが連続する複数のアクセス制御エントリ104が生成された場合、複数のアクセス制御エントリ104を1つまたは複数のアクセス制御エントリ104に集約する。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
さらに、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
設定ファイル取得部140は、ファイアウォール装置別のファイアウォール設定ファイル180を取得する。
例えば、設定ファイル取得部140は、それぞれのファイアウォール装置と通信を行って、それぞれのファイアウォール装置からファイアウォール設定ファイル180を取得する。
また、利用者がファイアウォール装置別のファイアウォール設定ファイル180をファイアウォール管理装置100に入力し、設定ファイル取得部140は入力されたファイアウォール装置別のファイアウォール設定ファイル180を取得してもよい。
記憶部190に記憶されるデータの一例は、ファイアウォール装置別のファイアウォール設定ファイル180、ファイアウォール装置別のアクセス制御ファイル105、および、ファイアウォール管理ファイル191である。
ファイアウォール装置別のアクセス制御ファイル105は、ファイアウォール装置別に生成された1つまたは複数のアクセス制御エントリ104を含んだファイルである。
ファイアウォール管理ファイル191は、ファイアウォール装置別のファイアウォール設定ファイル180およびアクセス制御ファイル105を管理するためのファイルである。
設定ファイル名は、ファイアウォール設定ファイル180を識別する名称である。
制御ファイル名は、アクセス制御ファイル105を識別する名称である。
ファイアウォール管理装置100の動作はファイアウォール管理方法に相当する。また、ファイアウォール管理方法はファイアウォール管理プログラムの処理手順に相当する。
S110は要件受付処理である。
S110において、要件データ受付部111は、図4に示すような要件データ101を受け付ける。
S120において、要件分割部112は、要件データ101が複数の通信要件102を示す場合、要件データ101を複数の通信要件102に分割する。
つまり、要件分割部112は、要件データ101が示す送信元グループに含まれる送信元アドレスと要件データ101が示す宛先グループに含まれる宛先アドレスとの組み合わせ毎に通信要件102を生成する。
図4において、要件データ101は3つの送信元アドレスを含んだ送信元グループと2つの宛先アドレスを含んだ宛先グループとを示している。
したがって、要件分割部112は、3つの送信元アドレスと2つの宛先アドレスとを組み合わせて、6つの通信要件102を生成する。
S121において、要件分割部112は、送信元アドレスの情報が送信元グループを示す通信要件102が要件データ101に含まれるか判定する。S121において、送信元アドレスの情報が送信元グループを示す通信要件102を対象の通信要件という。
対象の通信要件がある場合、処理はS122に進む。
対象の通信要件がない場合、処理はS123に進む。
対象の通信要件がある場合、処理はS124に進む。
対象の通信要件がない場合、要件分割処理(S120)は終了する。
S124の後、要件分割処理(S120)は終了する。
S130は通信要件選択処理である。
S130において、特定制御部127は、要件データ101から未選択の通信要件102を1つ選択する。
S140において、ファイアウォール特定部120は、選択された通信要件102とファイアウォール別のファイアウォール設定ファイル180とを用いて、変換ファイアウォールと中継ファイアウォールとを特定する。
S141は変換特定処理である。
S141において、変換特定部123は、通信要件102とアドレス変換一覧122とを用いて、変換ファイアウォールを特定する。
そして、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
アドレス変換一覧122は、一覧生成部121によって予め生成されている。
S1411は送信元アドレス処理である。
S1411において、変換特定部123は、通信要件102に示される送信元アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは送信元ファイアウォールである。
S14111において、変換特定部123は、通信要件102に示される送信元アドレスと同じ内側アドレスをアドレス変換一覧122から検索する。S14111〜S14113において、通信要件102に示される送信元アドレスと同じ内側アドレスを対象の内側アドレスという。
対象の内側アドレスがある場合、処理はS14112に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される送信元アドレスはxである。そして、対象の内側アドレスxに対応付いたファイアウォール名はFW1である。したがって、FW1で識別されるファイアウォール装置は変換ファイアウォールである。
図7において、対象の内側アドレスxに対応付いた外側アドレスはx’である。
対象の内側アドレスがある場合、処理はS14115に進む。
対象の内側アドレスがない場合、送信元アドレス処理(S1411)は終了する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、選択された外側アドレスがx’である場合、対象の内側アドレスx’に対応付いたファイアウォール名はFW5である。したがって、FW5で識別されるファイアウォール装置は変換ファイアウォールである。
図7において、対象の内側アドレスx’に対応付いた外側アドレスはx’’である。
S14116の後、処理はS14114に戻る。
S1412は宛先アドレス処理である。
S1412において、変換特定部123は、通信要件102に示される宛先アドレスについて、変換ファイアウォールを特定する。特定される変換ファイアウォールは宛先ファイアウォールである。
S14121において、変換特定部123は、通信要件102に示される宛先アドレスと同じ外側アドレスをアドレス変換一覧122から検索する。S14121〜S14123において、通信要件102に示される宛先アドレスと同じ外側アドレスを対象の外側アドレスという。
対象の外側アドレスがある場合、処理はS14122に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
図7において、通信要件102に示される宛先アドレスはyである。そして、対象の外側アドレスyに対応付いたファイアウォール名はFW3である。したがって、FW3で識別されるファイアウォール装置は変換ファイアウォールである。
図7において、対象の外側アドレスyに対応付いた内側アドレスはy’である。
対象の外側アドレスがある場合、処理はS14125に進む。
対象の外側アドレスがない場合、宛先アドレス処理(S1412)は終了する。
選択されたファイアウォール名で識別されるファイアウォール装置は、変換ファイアウォールである。
S14126の後、処理はS14124に戻る。
S1413は特定情報生成処理である。
S1413において、変換特定部123は、特定した変換ファイアウォールの情報である特定情報124を生成する。
図7に示すように、特定情報124は、変換ファイアウォールFW1、FW5およびFW3のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
S142は中継特定処理である。
S142において、中継特定部125は、通信要件102と特定情報124とファイアウォール別のルーティングテーブル182とを用いて、中継ファイアウォールを特定する。
そして、変換特定部123は、特定した中継ファイアウォールの情報である特定情報126を生成する。
S1421において、中継特定部125は、送信元アドレスと宛先アドレスとのアドレス組を特定情報124から抽出する。
図8において、4つのアドレス組(x,y)、(x’,y)、(x’’,y)および(x’’,y’’)が特定情報124から抽出される。
中継ファイアウォールの候補は、変換ファイアウォール以外のファイアウォール装置である。
FW1〜FW5の5つのファイアウォール装置のうち、FW1、FW3およびFW5が変換ファイアウォールである場合、中継ファイアウォールの候補はFW2およびFW4である。
また、中継特定部125は、選択した候補のルーティングテーブル182から、選択したアドレス組に含まれる宛先アドレスに対応付いたインタフェース名を取得する。
図8において、選択した候補がFW4であり、選択したアドレス組が(x,y)である場合、取得されるインタフェース名はif1およびif2である。
取得した2つのインタフェース名が異なる場合、処理はS1427に進む。
取得した2つのインタフェース名が同じである場合、処理はS1428に進む。
図8に示すように、特定情報126は、中継ファイアウォールFW4のファイアウォール名と変換前の(送信元アドレス、宛先アドレス)と変換後の(送信元アドレス、宛先アドレス)とを示す。
S1427の後、処理はS1429に進む。
未選択のアドレス組がある場合、処理はS1424に戻る。
未選択のアドレス組がない場合、処理はS1429に進む。
未選択の候補がある場合、処理はS1423に戻る。
未選択の候補がない場合、中継特定処理(S142)は終了する。
S143は特定情報生成処理である。
S143において、特定制御部127は、特定情報124と特定情報126とを用いて、特定情報103を生成する。
図9に示すように、特定情報103は、特定情報124と特定情報126とを含んだ情報である。
S150はエントリ生成処理である。
S150において、アドレス置換部131は、特定情報103に示されるファイアウォール装置のそれぞれのアクセス制御エントリ104を生成する。
図11に示すように、アクセス制御エントリ104は、通信要件102に示される(送信元アドレス、宛先アドレス)を特定情報103に示される変換前の(送信元アドレス、宛先アドレス)に置換することによって生成される。
未選択の通信要件102がある場合、処理はS130に戻る。
未選択の通信要件102がない場合、処理はS170に進む。
S170の後、ファイアウォール管理方法の処理は終了する。
S171において、エントリ集約部132は、未選択のアクセス制御ファイル105を1つ選択する。
対象のエントリ群がある場合、処理はS173に進む。
対象のエントリ群がない場合、処理はS174に進む。
図12において、FWxのアクセス制御ファイル105は、6つのアクセス制御エントリ104を含んでいる。
上3つのアクセス制御エントリ104は、送信元アドレス(1.1.1.1〜1.1.1.3)が連続し、送信元アドレス以外の情報が一致している。同じく、下3つのアクセス制御エントリ104は、送信元アドレスが連続し、送信元アドレス以外の情報が一致している。
そのため、6つのアクセス制御エントリ104は、2つのアクセス制御エントリ104に集約される。集約後の2つのアクセス制御エントリ104において、送信元アドレスの情報は、1.1.1.1から1.1.1.3までの3つの送信元アドレスを含んだ送信元グループを示している。
対象のエントリ群がある場合、処理はS175に進む。
対象のエントリ群がない場合、処理はS176に進む。
図12において、集約後の2つのアクセス制御エントリ104は、宛先アドレス(2.2.2.1〜2.2.2.2)が連続し、宛先アドレス以外の情報が一致している。
そのため、集約後の2つのアクセス制御エントリ104は、1つのアクセス制御エントリ104に集約される。集約後の1つのアクセス制御エントリ104において、宛先アドレスの情報は、2.2.2.1から2.2.2.2までの2つの宛先アドレスを含んだ宛先グループを示している。
未選択のアクセス制御ファイル105がある場合、処理はS171に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ集約処理(S170)は終了する。
ファイアウォール管理装置100は、要件データ101の通信要件102が示すアドレスがパケットを通信する端末装置に設定されたアドレスではなくて、ファイアウォール装置によって変換される前のアドレスであっても、パケットを中継するファイアウォール装置を特定することができる。
そのため、ファイアウォール管理装置100は、パケットを中継するファイアウォール装置が複数であっても、要件データ101の通信要件102に応じて、それぞれのファイアウォール装置に必要なアクセス制御リスト183のエントリを生成することができる。
集約後のアクセス制御エントリ104を過去のアクセス制御リスト183に基づいて分割する形態について、図22から図25に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
図22に基づいて、ファイアウォール管理装置100の機能構成について説明する。
ファイアウォール管理装置100は、エントリ分割部150を備える。
記憶部190は、ファイアウォール装置別の過去設定ファイル189を記憶する。
過去設定ファイル189は、過去のファイアウォール設定ファイル180である。
エントリ分割部150は、変換ファイアウォールに設定されていたアクセス制御リスト183である過去のアクセス制御リスト183を用いて、生成されたエントリを複数のエントリに分割する。
エントリ分割部150は、過去のアクセス制御リスト183に示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出する。
エントリ分割部150は、生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する。
また、FWxの過去のアクセス制御リスト183は、2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)を含んでいる。これら2つのアドレスグループは、いずれも、アクセス制御ファイル105のアクセス制御エントリ104に設定された送信元グループに含まれる。
そのため、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、アクセス制御リスト183のアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
図24および図25に基づいて、エントリ分割部150によるエントリ分割処理について説明する。
S181において、エントリ分割部150は、未選択のアクセス制御ファイル105を1つ選択する。S182以降の処理において、選択したアクセス制御ファイル105に対応するファイアウォール装置を対象のファイアウォール装置という。
選択したアクセス制御エントリ104に送信元グループが設定されている場合、処理はS183−2に進む。S183−2およびS183−3において、選択したアクセス制御エントリ104に設定されている送信元グループをエントリの送信元グループという。
選択したアクセス制御エントリ104に送信元グループが設定されていない場合、処理はS184−1に進む。
図23において、エントリの送信元グループが1.1.1.1−100である場合、過去のアクセス制御リスト183から2つのアドレスグループ(1.1.1.1−10、1.1.1.20−30)が抽出される。
図23において、アクセス制御ファイル105のアクセス制御エントリ104は、4つのアクセス制御エントリ104に分割される。
1つ目および3つ目のアクセス制御エントリ104は、抽出したアドレスグループ(1.1.1.1−10、1.1.1.20−30)が送信元アドレスの情報として設定されたエントリである。
2つ目および4つ目のアクセス制御エントリ104は、アクセス制御ファイル105の送信元グループのうちの残りのアドレスグループ(1.1.1.11−19、1.1.1.31−100)が送信元アドレスの情報として設定されたエントリである。
選択したアクセス制御エントリ104に宛先グループが設定されている場合、処理はS184−2に進む。S184−2およびS184−3において、選択したアクセス制御エントリ104に設定されている宛先グループをエントリの宛先グループという。
選択したアクセス制御エントリ104に宛先グループが設定されていない場合、処理はS185に進む。
未選択のアクセス制御エントリ104がある場合、処理はS182に戻る。
未選択のアクセス制御エントリ104がない場合、処理はS186に進む。
未選択のアクセス制御ファイル105がある場合、処理はS181に戻る。
未選択のアクセス制御ファイル105がない場合、エントリ分割処理は終了する。
ファイアウォール管理装置100は、生成したアクセス制御エントリ104をアドレスグループ毎に分割することができる。アクセス制御エントリ104をアドレスグループ毎に分割することは、アクセス制御エントリ104をサーバ群または端末群の役割毎に分割することを意味する。一般的に、同じ役割を持つサーバ群には連番のアドレス(アドレスグループ)が割り当てられ、また、同じ役割を持つ端末群にも連番のアドレスが割り当てられるためである。役割別のサーバ群の一例は、データベースサーバ群、Webサーバ群、認証サーバ群、メールサーバ群、DNSサーバ群、NTPサーバ群、ドメイン管理サーバ群、ログ管理サーバ群である。役割別の端末群の一例は、管理端末群、事務端末群である。DNSはDomain Name Serviceの略称であり、NTPはNetwork Time Protocolの略称である。
これにより、ファイアウォール装置の運用が効率化され、かつ、アクセス制御エントリ104の設定ミスの発見および不要なアクセス制御エントリ104の発見が容易になる。
生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する形態について、図26から図29に基づいて説明する。但し、実施の形態1と重複する説明は省略する。
図26に基づいて、通信検証システム200の構成について説明する。
通信検証システム200は、ファイアウォール管理装置100と、試験環境210と、通信監視装置220とを備える。
パケット通信装置211は、ファイアウォール管理装置100によって生成された試験データ106に従ってパケット213を生成し、生成したパケット213を複数のファイアウォール装置212を介して他のパケット通信装置211に送信する。
ファイアウォール装置212は、生成されたアクセス制御エントリ104を含んだアクセス制御リスト183が設定され、アクセス制御リスト183に従ってパケット213の通信の許否を判定し、通信を許可するパケット213を中継する。
つまり、試験結果データ221は、試験データ106を使用して試験環境210で行われた通信の情報を示す。
また、ファイアウォール管理装置100は、試験結果データ221を用いて、生成したアクセス制御エントリ104が要件データ101の通信要件102を満たすか検証する。
ファイアウォール管理装置100は、過去要件選択部161と、試験データ生成部162と、エントリ検証部163とを備える。
記憶部190は、複数の過去要件ファイル170、試験データ106および検証結果データ107を記憶する。
過去要件ファイル170は、過去要件データ171と、過去試験データ172と、過去結果データ173とを備える。
過去要件データ171は、過去の要件データ101である。
過去試験データ172は、過去の試験データ106である。
過去結果データ173は、過去の検証結果データ107である。
過去要件選択部161は、要件データ101に示される送信元アドレスと宛先アドレスとを用いて、複数の過去要件ファイル170から過去要件ファイル170を選択する。
そして、エントリ検証部163は、検証した結果を示す検証結果データ107を生成する。
まず、過去要件選択部161による過去要件選択処理について説明する。
過去要件選択部161は、過去要件ファイル170毎に、受け付けられた要件データ101と過去要件ファイル170に含まれる過去要件データ171との類似度を算出する。
つまり、過去要件選択部161は、要件データ101に示される送信元グループと過去要件データ171に示される送信元グループとを比較する。送信元グループの比較は、送信元アドレスの情報の比較を意味する。
さらに、過去要件選択部161は、要件データ101に示される宛先グループと過去要件データ171に示される宛先グループとを比較する。宛先グループの比較は、宛先アドレスの情報の比較を意味する。
そして、過去要件選択部161は、比較結果に対応する類似度を類似度テーブル192から取得する。
例えば、過去要件選択部161は、類似度が最も高い過去要件ファイル170を選択する。
試験データ生成部162は、選択された過去要件ファイル170に含まれる過去試験データ172を表示装置に表示する。
試験データ生成部162は、表示した過去試験データ172に対する修正指示が入力された場合、修正指示に従って過去試験データ172を修正することによって、試験データ106を生成する。
エントリ検証部163は、試験結果データ221と選択された過去要件ファイル170に含まれる過去結果データ173とを比較する。
そして、エントリ検証部163は、比較結果を示すデータを検証結果データ107として生成する。
試験結果データ221に示される試験結果が過去結果データ173に示される試験結果と同じである場合または類似する場合、過去の試験後の実環境で問題が生じていなければ、今回の試験後の実環境でも問題は生じないことが期待される。
この場合、ファイアウォール装置212別のアクセス制御ファイル105に含まれるアクセス制御エントリ104は、要件データ101の通信要件102を満たす正しいエントリであると考えられる。
実施の形態3により、ファイアウォール管理装置100が生成したアクセス制御エントリ104が通信要件102を満たすか検証することができる。
これにより、ファイアウォール製品またはファイアウォールプログラムのバージョンが変更になってファイアウォール装置に暗黙のアクセス制御ルールが加わっても、通信障害が発生しないように、通信要件102を満たすアクセス制御エントリ104を生成することができる。
暗黙のアクセス制御ルールの一例は、以下のようなものである。
PING要求を送信後、一定時間は、逆向き通信となるPING応答の通信が許可される。
アイドル状態が一定時間に達したコネクションは切断される。
ファイアウォール管理装置100は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、出力インタフェース906といったハードウェアを備えるコンピュータである。
プロセッサ901は信号線910を介して他のハードウェアと接続されている。入力インタフェース905はケーブル911を介して入力装置907に接続されている。出力インタフェース906はケーブル912を介して出力装置908に接続されている。
補助記憶装置902はデータを記憶する。補助記憶装置902の一例は、ROM、フラッシュメモリ、HDDである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
メモリ903はデータを記憶する。メモリ903の一例はRAMである。RAMはRandom Access Memoryの略称である。
通信装置904は、データを受信するレシーバ9041と、データを送信するトランスミッタ9042とを備える。通信装置904の一例は、通信チップ、NICである。NICはNetwork Interface Cardの略称である。
入力インタフェース905はケーブル911が接続されるポートであり、ポートの一例はUSB端子である。USBはUniversal Serial Busの略称である。
出力インタフェース906はケーブル912が接続されるポートであり、USB端子およびHDMI端子はポートの一例である。HDMI(登録商標)はHigh Definition Multimedia Interfaceの略称である。
入力装置907はデータ、命令および要求を入力する。入力装置907の一例は、マウス、キーボード、タッチパネルである。
出力装置908はデータ、結果および応答を出力する。出力装置908の一例は、ディスプレイ、プリンタである。ディスプレイの一例はLCDである。LCDはLiquid
Crystal Displayの略称である。
また、補助記憶装置902には、要件受付部110、ファイアウォール特定部120、エントリ生成部130、設定ファイル取得部140、エントリ分割部150、過去要件選択部161、試験データ生成部162、エントリ検証部163といった「部」の機能を実現するプログラムが記憶されている。
OSの少なくとも一部はメモリ903にロードされ、プロセッサ901はOSを実行しながら「部」の機能を実現するプログラムを実行する。「部」の機能を実現するプログラムは、メモリ903にロードされ、プロセッサ901に読み込まれ、プロセッサ901によって実行される。
なお、ファイアウォール管理装置100が複数のプロセッサ901を備えて、複数のプロセッサ901が「部」の機能を実現するプログラムを連携して実行してもよい。
「回路」及び「サーキットリ」は、プロセッサ901、ロジックIC、GA、ASIC、FPGAといった処理回路を包含する概念である。GAはGate Arrayの略称であり、ASICはApplication Specific Integrated
Circuitの略称であり、FPGAはField−Programmable Gate Arrayの略称である。
フローチャート等を用いて説明した処理手順は、ファイアウォール管理装置、ファイアウォール管理方法およびファイアウォール管理プログラムの処理手順の一例である。
特定情報、104 アクセス制御エントリ、105 アクセス制御ファイル、106 試験データ、107 検証結果データ、110 要件受付部、111 要件データ受付部、112 要件分割部、120 ファイアウォール特定部、121 一覧生成部、122
アドレス変換一覧、123 変換特定部、124 特定情報、125 中継特定部、126 特定情報、127 特定制御部、130 エントリ生成部、131 アドレス置換部、132 エントリ集約部、140 設定ファイル取得部、150 エントリ分割部、161 過去要件選択部、162 試験データ生成部、163 エントリ検証部、170
過去要件ファイル、171 過去要件データ、172 過去試験データ、173 過去結果データ、180 ファイアウォール設定ファイル、181 アドレス変換テーブル、182 ルーティングテーブル、183 アクセス制御リスト、189 過去設定ファイル、190 記憶部、191 ファイアウォール管理ファイル、192 類似度テーブル、200 通信検証システム、210 試験環境、211 パケット通信装置、212 ファイアウォール装置、213 パケット、219 ネットワーク、220 通信監視装置、221 試験結果データ、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバ、9042 トランスミッタ、905 入力インタフェース、906 出力インタフェース、907 入力装置、908 出力装置、910 信号線、911 ケーブル、912 ケーブル。
Claims (14)
- 送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付部と、
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定部と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成部と
を備えるファイアウォール管理装置。 - 前記ファイアウォール特定部は、受け付けられた送信元アドレスと同じ変換前アドレスと前記変換前アドレスに対応付いた変換後アドレスとを含んだアドレス変換テーブルに対応するファイアウォール装置である第1の送信元ファイアウォールと、前記変換前アドレスに対応付いた前記変換後アドレスと同じアドレスを変換前アドレスとして含んだアドレス変換テーブルに対応するファイアウォール装置である第2の送信元ファイアウォールとのそれぞれを、前記変換ファイアウォールとして特定する
請求項1に記載のファイアウォール管理装置。 - 前記エントリ生成部は、前記第1の送信元ファイアウォールのためのエントリとして、受け付けられた送信元アドレスと受け付けられたアクションとを設定したエントリを生成し、前記第2の送信元ファイアウォールのためのエントリとして、前記変換前アドレスに対応付いた前記変換後アドレスと受け付けられたアクションとを設定したエントリを生成する
請求項2に記載のファイアウォール管理装置。 - 前記ファイアウォール特定部は、さらに、受け付けられた宛先アドレスと同じ変換前アドレスを含んだアドレス変換テーブルに対応するファイアウォール装置である宛先ファイアウォールを、前記変換ファイアウォールとして特定する
請求項2に記載のファイアウォール管理装置。 - 前記エントリ生成部は、前記宛先ファイアウォールのためのエントリとして、受け付けられた宛先アドレスと受け付けられたアクションとを設定したエントリを生成する
請求項4に記載のファイアウォール管理装置。 - 前記ファイアウォール特定部は、前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとのいずれのアドレスも変換しないファイアウォール装置である中継ファイアウォールを、ファイアウォール装置別のテーブルであってルートアドレスとインタフェース名とを互いに対応付けるテーブルであるルーティングテーブルを用いて特定し、
前記エントリ生成部は、特定された中継ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成する
請求項1に記載のファイアウォール管理装置。 - 前記ファイアウォール特定部は、
前記変換ファイアウォールによる変換前の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換前の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
前記変換ファイアウォールによる変換後の送信元アドレスと同じルートアドレスに対応付いたインタフェース名が、前記変換ファイアウォールによる変換後の宛先アドレスと同じルートアドレスに対応付いたインタフェース名と、異なっているルーティングテーブルに対応するファイアウォール装置と、
を前記中継ファイアウォールとして特定する
請求項6に記載のファイアウォール管理装置。 - 前記エントリ生成部は、前記中継ファイアウォールのためのエントリとして、前記変換ファイアウォールによる変換前の送信元アドレスと前記変換ファイアウォールによる変換前の宛先アドレスと受け付けられたアクションとを設定したエントリを生成する
請求項7に記載のファイアウォール管理装置。 - 前記要件受付部は、連続する複数の送信元アドレスを含んだ送信元グループと、連続する複数の宛先アドレスを含んだ宛先グループと、前記アクションとを受け付け、
前記ファイアウォール特定部は、受け付けられた送信元グループに含まれる送信元アドレスと受け付けられた宛先グループに含まれる宛先アドレスとの組み合わせ毎に、前記変換ファイアウォールを特定する
請求項1に記載のファイアウォール管理装置。 - 前記エントリ生成部は、
連続する複数の送信元アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の送信元アドレスを含んだ送信元グループと受け付けられたアクションとを設定したエントリを生成し、
連続する複数の宛先アドレスのそれぞれを変換するファイアウォール装置が前記変換ファイアウォールとして特定された場合、前記変換ファイアウォールのためのエントリとして、前記複数の宛先アドレスを含んだ宛先グループと受け付けられたアクションとを設定したエントリを生成する
請求項1に記載のファイアウォール管理装置。 - 前記変換ファイアウォールのためのエントリとして前記送信元グループと前記宛先グループとの少なくともいずれかのアドレスグループが設定されたエントリが生成された場合、前記変換ファイアウォールに設定されていたアクセス制御リストである過去のアクセス制御リストを用いて、生成されたエントリを複数のエントリに分割するエントリ分割部を備える
請求項10に記載のファイアウォール管理装置。 - 前記エントリ分割部は、
前記過去のアクセス制御リストに示される送信元グループと宛先グループとのそれぞれのアドレスグループから、生成されたエントリに設定されたアドレスグループに含まれるアドレスグループを抽出し、
生成されたエントリを、抽出したアドレスグループを設定したエントリと、生成されたエントリに設定されたアドレスグループのうちの残りのアドレスグループを設定したエントリと、に分割する
請求項11に記載のファイアウォール管理装置。 - 送信元アドレスと宛先アドレスと過去の試験データと過去の試験結果データとを含んだ複数の過去要件ファイルから、受け付けられた送信元アドレスと受け付けられた宛先アドレスとを用いて、過去要件ファイルを選択する過去要件選択部と、
選択された過去要件ファイルに含まれる過去の試験データを用いて、生成されたエントリを含んだアクセス制御リストが設定されたファイアウォール装置を備える試験環境で使用する試験データを生成する試験データ生成部と
生成された試験データを使用して前記試験環境で行われた通信の情報を示す試験結果データと、選択された過去要件ファイルに含まれる過去の試験結果データとを用いて、生成されたエントリを検証するエントリ検証部と
を備える請求項1から請求項12のいずれか1項に記載のファイアウォール管理装置。 - 送信元アドレスと、宛先アドレスと、通信の可否を示すアクションと、を受け付ける要件受付処理と、
受け付けられた送信元アドレスと受け付けられた宛先アドレスとが設定されたパケットが送信された場合に前記パケットを中継するために前記パケットに設定されている送信元アドレスと宛先アドレスとの少なくともいずれかのアドレスを変換するファイアウォール装置である変換ファイアウォールを、ファイアウォール装置別のテーブルであって変換前アドレスと変換後アドレスとを互いに対応付けるテーブルであるアドレス変換テーブルを用いて特定するファイアウォール特定処理と、
特定された変換ファイアウォールに設定されるアクセス制御リストに登録するエントリとして、受け付けられたアクションを設定したエントリを生成するエントリ生成処理と
をコンピュータに実行させるためのファイアウォール管理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015143260A JP6419035B2 (ja) | 2015-07-17 | 2015-07-17 | ファイアウォール管理装置およびファイアウォール管理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015143260A JP6419035B2 (ja) | 2015-07-17 | 2015-07-17 | ファイアウォール管理装置およびファイアウォール管理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017028403A JP2017028403A (ja) | 2017-02-02 |
JP6419035B2 true JP6419035B2 (ja) | 2018-11-07 |
Family
ID=57949968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015143260A Expired - Fee Related JP6419035B2 (ja) | 2015-07-17 | 2015-07-17 | ファイアウォール管理装置およびファイアウォール管理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6419035B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2296989C (en) * | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
JP2005217757A (ja) * | 2004-01-29 | 2005-08-11 | Oki Techno Creation:Kk | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
JP5478546B2 (ja) * | 2011-04-12 | 2014-04-23 | 日本電信電話株式会社 | アクセス制御システム、およびアクセス制御方法 |
-
2015
- 2015-07-17 JP JP2015143260A patent/JP6419035B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2017028403A (ja) | 2017-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11799831B2 (en) | Intelligent service layer for separating application from physical networks and extending service layer intelligence over IP across the internet, cloud, and edge networks | |
US10135702B2 (en) | Methods, systems, and computer readable media for testing network function virtualization (NFV) | |
EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
US9407600B2 (en) | Service access method and device for conducting the same | |
CN110049022B (zh) | 一种域名访问控制方法、装置和计算机可读存储介质 | |
US11647079B2 (en) | Emulation of cloud computing service regions | |
EP3788755B1 (en) | Accessing cloud resources using private network addresses | |
CN113315744A (zh) | 可编程交换机、流量统计方法、防御方法和报文处理方法 | |
US20180189084A1 (en) | Data flow affinity for heterogenous virtual machines | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
US20210044523A1 (en) | Communication device, communication control system, communication control method, and communication control program | |
JP2017130963A (ja) | ネットワーク装置、及び、通信方法 | |
JP6114214B2 (ja) | ネットワーク装置、及び、通信方法 | |
JP6419035B2 (ja) | ファイアウォール管理装置およびファイアウォール管理プログラム | |
Bernardo et al. | Multi-layer security analysis and experimentation of high speed protocol data transfer for GRID | |
US10057291B1 (en) | Comparing networking access control lists | |
US9547613B2 (en) | Dynamic universal port mode assignment | |
CN108141704B (zh) | 先前网络消息处理器的位置标识 | |
US11038915B1 (en) | Dynamic generation of courses of action for incident response in an information technology environment | |
JP2015156593A (ja) | 通信中継装置、および通信システム | |
US20160043899A1 (en) | Management computer, management method, and non-transitory recording medium | |
US20200287789A1 (en) | Relay device and non-transitory computer readable medium | |
CN107959939A (zh) | 一种无线访问接入点ap的连接性识别方法及装置 | |
CN116192485A (zh) | 一种数据包校验方法、系统、装置、设备及介质 | |
JP2016181849A (ja) | アクセス制御リスト確認装置およびアクセス制御リスト確認プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170907 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6419035 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |