JP6623917B2 - Integrated threat management system, integrated threat management device, and integrated threat management method - Google Patents
Integrated threat management system, integrated threat management device, and integrated threat management method Download PDFInfo
- Publication number
- JP6623917B2 JP6623917B2 JP2016088318A JP2016088318A JP6623917B2 JP 6623917 B2 JP6623917 B2 JP 6623917B2 JP 2016088318 A JP2016088318 A JP 2016088318A JP 2016088318 A JP2016088318 A JP 2016088318A JP 6623917 B2 JP6623917 B2 JP 6623917B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- switching hub
- connection configuration
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims 25
- 238000004891 communication Methods 0.000 claims description 498
- 238000012546 transfer Methods 0.000 claims description 131
- 230000006870 function Effects 0.000 claims description 35
- 230000005540 biological transmission Effects 0.000 claims description 21
- 238000012790 confirmation Methods 0.000 claims description 19
- 238000000034 method Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 21
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 20
- 238000010586 diagram Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Description
本発明は、通信端末のセキュリティを管理する統合脅威管理技術に関する。 The present invention relates to an integrated threat management technique for managing security of a communication terminal.
特許文献1には、通信端末のセキュリティを管理する統合脅威管理システムが開示されている。この統合脅威管理システムは、配下のネットワークと外部ネットワークとの間に設置された統合脅威管理装置(UTM設定ネットワーク装置)を有する。統合脅威管理装置は、通信トラヒックを受け入れまたは拒否する条件を定義する1つ以上のルールを含むルールセットを備えており、このルールセットに従い、配下のネットワークを介して外部ネットワークと通信トラヒックをやり取りする通信端末のセキュリティを管理する。
特許文献1に記載の統合脅威管理システムは、配下のネットワークを介して外部ネットワークと通信トラヒックをやり取りする通信端末のセキュリティを管理することができるが、配下のネットワーク内で通信トラヒックをやり取りする通信端末のセキュリティを管理することはできない。
The integrated threat management system described in
なお、配下のネットワークを構成するハブ各々に、このハブが中継する通信トラヒックを統合脅威管理装置にミラーリングする機能を持たせることにより、配下のネットワーク内で通信トラヒックをやり取りする通信端末のセキュリティを管理することもできる。しかしながら、この方法では、配下のネットワーク内でやり取りされる通信トラヒックにセキュリティ上の問題が検出された場合に、この通信トラヒックを遮断することはできない。 In addition, each hub that configures the subordinate network has a function of mirroring the communication traffic relayed by the hub to the integrated threat management device, thereby managing the security of communication terminals that exchange communication traffic within the subordinate network. You can also. However, according to this method, when a security problem is detected in communication traffic exchanged in a subordinate network, the communication traffic cannot be blocked.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、配下のネットワークのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる技術を提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a technique capable of managing the security of a subordinate network and reliably blocking communication traffic having a security problem. It is in.
上記課題を解決するために、本発明では、統合脅威管理装置にスイッチングハブ機能を持たせるともに、仮想プライベートネットワーク機能を有する1以上のスイッチングハブで配下のネットワークを構成する。そして、配下のネットワークに接続された通信端末毎に、通信端末と統合脅威管理装置との間に仮想プライベートネットワークが形成されるように各スイッチングハブを設定することにより、通信端末と相手端末との間の通信ルートに統合脅威管理装置を介在させて、相手端末と通信トラヒックをやり取りする通信端末のセキュリティを統合脅威管理装置に管理させる。 In order to solve the above-described problems, in the present invention, the integrated threat management device has a switching hub function, and a subordinate network is configured by one or more switching hubs having a virtual private network function. Then, for each communication terminal connected to the subordinate network, each switching hub is set such that a virtual private network is formed between the communication terminal and the integrated threat management device, so that the communication terminal and the partner terminal can communicate with each other. An integrated threat management device is interposed in a communication route between the terminals, and the security of the communication terminal that exchanges communication traffic with the partner terminal is managed by the integrated threat management device.
例えば、本発明は、複数の異なるセキュリティ機能を統合して、配下のネットワークに接続された複数の通信端末のセキュリティを管理する統合脅威管理システムであって、
前記配下のネットワークおよび外部ネットワークに接続された統合脅威管理装置と、
前記配下のネットワークを構成する1以上のスイッチングハブと、を備え、
前記統合脅威管理装置は、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、
前記配下のネットワークに接続構成確認要求を同報送信する接続構成確認要求手段と、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信する転送パラメータ受信手段と、
前記転送パラメータ受信手段により受信された転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶する接続構成情報記憶手段と、
前記通信端末から帰属要求を受信する帰属要求受信手段と、
前記帰属要求受信手段により受信された帰属要求に従い、前記接続構成情報記憶手段を参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索する通信ルート探索手段と、
前記通信ルート探索手段により探索された通信ルート上に位置する前記スイッチングハブに対して、前記統合脅威管理装置と前記帰属要求の発信元である前記通信端末との間に仮想プライベートネットワークを形成するための、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信する仮想プライベートネットワーク設定要求手段と、を有し、
前記スイッチングハブは、
複数の通信ポートと、
いずれかの前記通信ポートに入力された通信パケットを当該通信パケットの宛先アドレスに従っていずれかの前記通信ポートに中継する中継手段と、
前記統合脅威管理装置側に接続されている前記通信ポートおよび前記通信端末側に接続されている前記通信ポートの一方に入力された通信パケットを他方へ中継するよう前記中継手段を制御する仮想プライベートネットワーク設定手段と、
前記通信ポートのポート番号および当該通信ポートに入力された通信パケットの送信元のアドレスを含む転送パラメータを記憶する転送パラメータ記憶手段と、
いずれかの前記通信ポートに通信パケットが入力された場合に、前記転送パラメータ記憶手段に記憶されている当該通信ポートの転送パラメータに含まれている送信元のアドレスが当該通信パケットの送信元のアドレスと異なるならば、あるいは、当該通信ポートの転送パラメータが前記転送パラメータ記憶手段に記憶されていないならば、当該通信ポートの転送パラメータを登録する転送パラメータ更新手段と、
前記転送パラメータ更新手段により登録された転送パラメータを前記統合脅威管理装置に送信する転送パラメータ送信手段と、を有し、
前記スイッチングハブの前記仮想プライベートネットワーク設定手段は、
前記統合脅威管理装置より受信した仮想プライベートネットワーク設定要求で指定されている前記通信端末を発信元あるいは宛先とする通信パケットが、当該仮想プライベートネットワーク設定要求で指定されている2つの通信ポート間を中継されるように前記中継手段を制御して、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークを形成する。
For example, the present invention is an integrated threat management system that integrates a plurality of different security functions and manages the security of a plurality of communication terminals connected to a subordinate network,
An integrated threat management device connected to the subordinate network and an external network,
And one or more switching hubs constituting the subordinate network,
The integrated threat management device,
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet,
Security check means for checking the security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying the communication packet;
Connection configuration confirmation request means for broadcasting a connection configuration confirmation request to the subordinate network;
Transfer parameter receiving means for receiving, from the switching hub, transfer parameters including a source address of a communication packet and a port number of the communication port to which the communication packet has been input,
Connection configuration information storage means for storing the transfer parameters received by the transfer parameter receiving means in association with the switching hub of the transmission source of the transfer parameters,
Belonging request receiving means for receiving a belonging request from the communication terminal,
Communication for searching for a communication route connecting the communication terminal that is the source of the belonging request and the integrated threat management device with reference to the connection configuration information storage unit according to the belonging request received by the belonging request receiving unit. Route search means;
For forming a virtual private network between the integrated threat management device and the communication terminal that is the source of the belonging request for the switching hub located on the communication route searched by the communication route searching means. Virtual private network setting request means for transmitting a virtual private network setting request including designation of the two communication ports of the switching hub located on the communication route and the communication terminal that is the source of the belonging request; Has,
The switching hub,
Multiple communication ports,
Relay means for relaying a communication packet input to any of the communication ports to any of the communication ports according to a destination address of the communication packet;
A virtual private network that controls the relay unit to relay a communication packet input to one of the communication port connected to the integrated threat management device and the communication port connected to the communication terminal to the other Setting means;
Transfer parameter storage means for storing transfer parameters including a port number of the communication port and a source address of a communication packet input to the communication port,
When a communication packet is input to any of the communication ports, the source address included in the transfer parameter of the communication port stored in the transfer parameter storage unit is the source address of the communication packet. Transfer parameter updating means for registering the transfer parameter of the communication port, if the transfer parameter of the communication port is not stored in the transfer parameter storage means,
Transfer parameter transmitting means for transmitting the transfer parameter registered by the transfer parameter updating means to the integrated threat management device ,
The virtual private network setting means of the switching hub,
A communication packet destined to or from the communication terminal specified in the virtual private network setting request received from the integrated threat management device relays between the two communication ports specified in the virtual private network setting request Controlling the relay means so as to form a virtual private network between the communication terminal and the integrated threat management device.
本発明によれば、配下のネットワークに接続された通信端末毎に、通信端末と統合脅威管理装置との間に仮想プライベートネットワークが形成されるように各スイッチングハブを設定し、通信端末と相手端末との間の通信ルートに統合脅威管理装置を介在させているので、配下のネットワークおよび外部ネットワーク間の通信トラヒックのみならず、配下のネットワーク内の通信端末間の通信トラヒックについても、そのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる。 According to the present invention, for each communication terminal connected to a subordinate network, each switching hub is set such that a virtual private network is formed between the communication terminal and the integrated threat management device, and the communication terminal and the partner terminal Since the integrated threat management device is interposed in the communication route between the network and the network, the security of not only the communication traffic between the subordinate network and the external network but also the communication traffic between the communication terminals in the subordinate network is managed. As a result, communication traffic having a security problem can be reliably blocked.
以下に、本発明の一実施の形態について説明する。 Hereinafter, an embodiment of the present invention will be described.
図1は、本実施の形態に係るUTM(統合脅威管理)システムの概略構成図である。 FIG. 1 is a schematic configuration diagram of a UTM (Integrated Threat Management) system according to the present embodiment.
図示するように、本実施の形態に係るUTMシステムは、1以上のスイッチングハブ1−1、1−2(以下、単にスイッチングハブ1とも呼ぶ)で構成されたLAN2と、LAN2およびWAN4に接続されたUTM装置3と、LAN2に接続された複数の通信端末5−1、5−2(以下、単に通信端末5とも呼ぶ)と、を備えている。
As shown in the figure, the UTM system according to the present embodiment is connected to a
UTM装置3は、複数の異なるセキュリティ機能を統合して、通信端末5のセキュリティを管理する。また、UTM装置3は、スイッチングハブ機能およびDHCP(Dynamic Host Configuration Protocol)サーバ機能を備えている。
The UTM
スイッチングハブ1は、複数の通信ポート10を備え、いずれかの通信ポート10に入力された通信パケットを、その宛先アドレスに従って他の通信ポート10に中継する。ここでは、スイッチングハブ1−1のポート番号「1」の通信ポート10およびポート番号「3」の通信ポート10に、それぞれUTM装置3およびスイッチングハブ1−2が接続され、スイッチングハブ1−2のポート番号「1」の通信ポート10、ポート番号「2」の通信ポート10、およびポート番号「3」の通信ポート10に、それぞれスイッチングハブ1−1、通信端末5−1、および通信端末5−2が接続されているものとする。また、スイッチングハブ1は、VPN(仮想プライベートネットワーク)機能を備えている。
The
上記構成のUTMシステムにおいて、各スイッチングハブ1は、通信端末5毎に通信端末5とUTM装置3との間に仮想プライベートネットワークが形成されるように設定されている。これにより、UTM装置3は、各通信端末5の通信ルート上に配置され、各通信端末5が相手端末と送受する通信パケットをスイッチングハブ機能により中継する。
In the UTM system having the above configuration, each
図2ないし図4は、本実施の形態に係るUTMシステムのVPN構成動作の一例を説明するためのシーケンス図である。このシーケンスでは、初期状態において、UTM装置3および通信端末5の電源が切断されているものとする。また、LAN2におけるUTM装置3およびスイッチングハブ1のIPアドレス(ローカルIPアドレス)が予め設定されているものとする。
2 to 4 are sequence diagrams illustrating an example of a VPN configuration operation of the UTM system according to the present embodiment. In this sequence, it is assumed that the power of the
まず、UTM装置3は、電源が投入されると(S100)、LAN2の接続構成を確認するための接続構成確認要求をLAN2側に同報送信する(S101)。この接続構成確認要求は、スイッチングハブ1−1およびスイッチングハブ1−2を経由して通信端末5−1、5−2へ送られるが、通信端末5−1、5−2は、いずれも電源が投入されていないため、接続構成確認要求を受信しない。
First, when the power is turned on (S100), the
ここで、UTM装置3から送信された接続構成確認要求は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、接続構成要求が入力されたポート番号「1」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「1」および接続構成確認要求の送信元であるUTM装置3のMAC(Media Access Control)アドレスを含む転送パラメータを登録する(S102)。それから、この転送パラメータを含む接続構成通知を、例えばSNMP(Simple Network Management Protocol)トラップを利用してUTM装置3に送信する(S104)。
Here, the connection configuration confirmation request transmitted from the
また、スイッチングハブ1−1から送信された接続構成確認要求は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、接続構成要求が入力されたポート番号「1」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「1」および接続構成確認要求の送信元であるUTM装置3のMACアドレスを含む転送パラメータを登録する(S103)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S105)。この接続構成通知は、スイッチングハブ1−1を経由してUTM装置3へ送られる。
The connection configuration confirmation request transmitted from the switching hub 1-1 is input to the
UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、これらの接続構成通知に含まれている転送パラメータに基づいて、接続構成情報を生成して登録する(S106)。
Upon receiving the connection configuration notifications from the switching hubs 1-1 and 1-2, the
具体的には、図5(A)に示すように、接続構成通知の発信元であるスイッチングハブ1−1、1−2のIPアドレス毎に接続構成情報テーブル6−1、6−2(以下、接続構成情報テーブル6とも呼ぶ)を生成する。そして、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1に、ポート番号を登録するフィールド61および送信元のMACアドレスを登録するフィールド62を有するレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「1」およびUTM装置3のMACアドレスを登録する。同様に、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「1」およびUTM装置3のMACアドレスを登録する。
Specifically, as shown in FIG. 5A, the connection configuration information tables 6-1 and 6-2 (hereinafter, referred to as connection configuration information tables 6-1 and 6-2 for each of the IP addresses of the switching hubs 1-1 and 1-2, which are the sources of the connection configuration notification. , Connection configuration information table 6). Then, a
また、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−1は、接続構成通知が入力されたポート番号「3」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「3」および接続構成通知の送信元であるスイッチングハブ1−2のMACアドレスを含む転送パラメータを登録する(S107)。それから、この接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S108)。
The connection configuration notification transmitted from the switching hub 1-2 is input to the
UTM装置3は、スイッチングハブ1−1から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S109)。
Upon receiving the connection configuration notification from the switching hub 1-1, the
具体的には、図5(B)に示すように、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」およびスイッチングハブ1−2のMACアドレスを登録する。
Specifically, as shown in FIG. 5B, a
その後、通信端末5−1の電源が投入されたものとする(S110)。 Thereafter, it is assumed that the power of the communication terminal 5-1 is turned on (S110).
まず、通信端末5−1は、DHCPクライアントとして、DHCPサーバであるUTM装置3にIPアドレス設定要求を送信する(S111)。このIPアドレス設定要求は、UTM装置3への帰属要求として機能し、スイッチングハブ1−2およびスイッチングハブ1−1を経由してUTM装置3へ送られる。
First, the communication terminal 5-1 transmits an IP address setting request to the
UTM装置3は、通信端末5−1からIPアドレス設定要求を受信すると、接続構成情報テーブル6を用いてUTM装置3と通信端末5−1との間の通信ルートを探索可能か否か判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているが、通信端末5−1のMACアドレスがフィールド62に登録されたレコード60はいずれの接続構成情報テーブル6−1、6−2にも登録されていないため、UTM装置3と通信端末5−1との間の通信ルートを探索できない。そこで、UTM装置3は、UTM装置3と通信端末5−1との間の通信ルートが確立されていないと判断し、この通信ルートが確立されるのを待つ(S112)。
When receiving the IP address setting request from the communication terminal 5-1, the
ここで、通信端末5−1から送信されたIPアドレス設定要求は、スイッチングハブ1−2のポート番号「2」の通信ポート10に入力される。スイッチングハブ1−2は、IPアドレス設定要求が入力されたポート番号「2」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「2」およびIPアドレス設定要求の送信元である通信端末5−1のMACアドレスを含む転送パラメータを登録する(S113)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S114)。この接続構成通知は、スイッチングハブ1−1を介してUTM装置3に送られる。
Here, the IP address setting request transmitted from the communication terminal 5-1 is input to the
また、スイッチングハブ1−2から送信されたIPアドレス設定要求は、スイッチングハブ1−1のポート「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータに含まれているMACアドレスがIPアドレス設定要求の送信元の通信端末5−1のMACアドレスと一致しないことを確認し、通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元である通信端末5−1のMACアドレスを含む転送パラメータを登録する(S115)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S116)。
The IP address setting request transmitted from the switching hub 1-2 is input to the
なお、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。ポート番号「3」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスが接続構成通知の送信元のスイッチングハブ1−2のMACアドレスと一致するため、つまり転送パラメータに変更がないため、スイッチングハブ1−1は、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。
The connection configuration notification transmitted from the switching hub 1-2 is input to the
UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S117)。
Upon receiving the connection configuration notification from the switching hubs 1-1 and 1-2, the
具体的には、図5(C)に示すように、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「2」および通信端末5−1のMACアドレスを登録する。同様に、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−1のMACアドレスを登録する。
More specifically, as shown in FIG. 5C, a
さて、UTM装置3は、接続構成情報テーブル6が更新されると、更新された接続構成情報テーブル6を用いてUTM装置3と通信端末5−1との間の通信ルートを探索可能か否か再度判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されており、かつ通信端末5−1のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているため、UTM装置3と通信端末5−1との間の通信ルートを探索できる。そこで、UTM装置3は、UTM装置3と通信端末5−1との間の通信ルートが確立されたと判断し(S118)、後述の通信ルート探索処理を実施して、この通信ルートを探索する。そして、探索した通信ルート上にVPNを構築するべく、例えばSNMPセットを利用してVPN設定要求をスイッチングハブ1−1、1−2に送信する(S119、S122)。
Now, when the connection configuration information table 6 is updated, the
ここでは、スイッチングハブ1−1のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−1にUTM装置3とスイッチングハブ1−2との間を中継させ、かつスイッチングハブ1−2のポート番号「1」およびポート番号「2」の通信ポート10間を接続して、スイッチングハブ1−2にスイッチングハブ1−1と通信端末5−1との間を中継させることにより、UTM装置3と通信端末5−1との間に通信ルートを確立できる。UTM装置3は、スイッチングハブ1−1に対して、通信端末5−1のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求を送信し(S119)、スイッチングハブ1−2に対して、通信端末5−1のMACアドレスおよび通信ポート10のポート番号「1」、「2」の指定を含むVPN設定要求を送信する(S122)。
Here, the
スイッチングハブ1−1、1−2は、UTM装置3からVPN設定要求を受信すると、このVPN設定要求で指定されているMACアドレスにより特定される通信端末5−1を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの通信ポート10間を中継されるようにVPNを設定する(S120、S123)。ここで、スイッチングハブ1−1は、通信端末5−1を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間を中継されるようにVPNを設定し(S120)、スイッチングハブ1−2は、通信端末5−1を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「2」の通信ポート10間を中継されるようにVPNを設定する(S123)。これにより、UTM装置3と通信端末5−1との間にVPNが構築される。それから、スイッチングハブ1−1、1−2は、例えばSNMPレスポンスを利用してVPN設定完了通知をUTM装置3に送信する(S121、S124)。
Upon receiving the VPN setting request from the
つぎに、UTM装置3は、スイッチングハブ1−1、1−2からVPN設定完了通知を受信すると、IPアドレスを発行して、このIPアドレスを通信端末5−1に付与する(S125)。それから、UTM装置3は、このIPアドレスを含むIPアドレス付与通知を通信端末5−1に送信する(S126)。このIPアドレス付与通知は、スイッチングハブ1−1およびスイッチングハブ1−2を介して通信端末5−1に送られる。
Next, upon receiving the VPN setting completion notification from the switching hubs 1-1 and 1-2, the
ここで、UTM装置3から送信されたIPアドレス付与通知は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。同様に、スイッチングハブ1−1から送信されたIPアドレス付与通知は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。
Here, the IP address assignment notification transmitted from the
通信端末5−1は、スイッチングハブ1−1、1−2を介してUTM装置3からIPアドレス付与通知を受信すると、自身のIPアドレスを、このIPアドレス付与通知に含まれているIPアドレスに設定する(S127)。
Upon receiving the IP address assignment notification from the
つぎに、通信端末5−2の電源が投入されたものとする(S128)。 Next, it is assumed that the power of the communication terminal 5-2 is turned on (S128).
まず、通信端末5−2は、DHCPクライアントとして、DHCPサーバであるUTM装置3にIPアドレス設定要求を送信する(S129)。このIPアドレス設定要求は、UTM装置3への帰属要求として機能し、スイッチングハブ1−2およびスイッチングハブ1−1を経由してUTM装置3へ送られる。
First, the communication terminal 5-2 transmits an IP address setting request to the
UTM装置3は、通信端末5−2からIPアドレス設定要求を受信すると、接続構成情報テーブル6を用いてUTM装置3と通信端末5−2との間の通信ルートを探索可能か否か判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているが、通信端末5−2のMACアドレスがフィールド62に登録されたレコード60はいずれの接続構成情報テーブル6−1、6−2にも登録されていないため、UTM装置3と通信端末5−2との間の通信ルートを探索できない。そこで、UTM装置3は、UTM装置3と通信端末5−2との間の通信ルートが確立されていないと判断し、この通信ルートが確立されるのを待つ(S130)。
When receiving the IP address setting request from the communication terminal 5-2, the
ここで、通信端末5−2から送信されたIPアドレス設定要求は、スイッチングハブ1−2のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−2は、IPアドレス設定要求が入力されたポート番号「3」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元の通信端末5−2のMACアドレスを含む転送パラメータを登録する(S131)。それから、この転送パラメータを含む接続構成通知を例えばSNMPトラップを利用してUTM装置3に送信する(S132)。この接続構成通知は、スイッチングハブ1−1を介してUTM装置3に送られる。
Here, the IP address setting request transmitted from the communication terminal 5-2 is input to the
また、スイッチングハブ1−2から送信されたIPアドレス設定要求は、スイッチングハブ1−1のポート「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータに含まれているMACアドレスがIPアドレス設定要求の送信元の通信端末5−2のMACアドレスと一致しないことを確認し、通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元である通信端末5−2のMACアドレスを含む転送パラメータを登録する(S133)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S134)。
The IP address setting request transmitted from the switching hub 1-2 is input to the
なお、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスが接続構成通知の送信元のスイッチングハブ1−2のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。
The connection configuration notification transmitted from the switching hub 1-2 is input to the
UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S135)。
Upon receiving the connection configuration notification from the switching hubs 1-1 and 1-2, the
具体的には、図5(D)に示すように、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−2のMACアドレスを登録する。同様に、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−2のMACアドレスを登録する。
Specifically, as shown in FIG. 5D, a
さて、UTM装置3は、接続構成情報テーブル6が更新されると、更新された接続構成情報テーブル6を用いてUTM装置3と通信端末5−2との間の通信ルートを探索可能か否か再度判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されており、かつ通信端末5−2のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているため、UTM装置3と通信端末5−2との間の通信ルートを探索できる。そこで、UTM装置3は、UTM装置3と通信端末5−2との間の通信ルートが確立されたと判断し(S136)、後述の通信ルート探索処理を実施して、この通信ルートを探索する。そして、探索した通信ルート上にVPNを構築するべく、例えばSNMPセットを利用してVPN設定要求をスイッチングハブ1−1、1−2に送信する(S137、S140)。
Now, when the connection configuration information table 6 is updated, the
ここでは、スイッチングハブ1−1のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−1にUTM装置3とスイッチングハブ1−2との間を中継させるとともに、スイッチングハブ1−2のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−2にスイッチングハブ1−1と通信端末5−2との間を中継させることにより、UTM装置3と通信端末5−2との間に通信ルートを確立できる。UTM装置3は、通信端末5−2のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求をスイッチングハブ1−1に送信し(S137)、通信端末5−2のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求をスイッチングハブ1−2に送信する(S140)。
Here, the
スイッチングハブ1−1、1−2は、UTM装置3からVPN設定要求を受信すると、このVPN設定要求で指定されているMACアドレスにより特定される通信端末5−2を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの通信ポート10間を中継されるようにVPNを設定する(S138、S141)。ここで、スイッチングハブ1−1は、通信端末5−2を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間を中継されるようにVPNを設定し(S138)、スイッチングハブ1−2は、通信端末5−2を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間が中継されるようにVPNを設定する(S141)。これにより、UTM装置3と通信端末5−2との間にVPNが構築される。それから、スイッチングハブ1−1、1−2は、例えばSNMPレスポンスを利用してVPN設定完了通知をUTM装置3に送信する(S139、S142)。
Upon receiving the VPN setting request from the
つぎに、UTM装置3は、スイッチングハブ1−1、1−2からVPN設定完了通知を受信すると、IPアドレスを発行して、このIPアドレスを通信端末5−2に付与する(S143)。それから、UTM装置3は、このIPアドレスを含むIPアドレス付与通知を通信端末5−2に送信する(S144)。このIPアドレス付与通知は、スイッチングハブ1−1およびスイッチングハブ1−2を介して通信端末5−2に送られる。
Next, upon receiving the VPN setting completion notification from the switching hubs 1-1 and 1-2, the
ここで、UTM装置3から送信されたIPアドレス付与通知は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。同様に、スイッチングハブ1−1から送信されたIPアドレス付与通知は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。
Here, the IP address assignment notification transmitted from the
通信端末5−2は、スイッチングハブ1−1、1−2を介してUTM装置3からIPアドレス付与通知を受信すると、自身のIPアドレスを、このIPアドレス付与通知に含まれているIPアドレスに設定する(S145)。
Upon receiving the IP address assignment notification from the
つぎに、本実施の形態に係るUTMシステムを構成するUTM装置3およびスイッチングハブ1の詳細を説明する。なお、通信端末5には既存の通信端末を利用できるので、その詳細な説明を省略している。
Next, details of the
まず、UTM装置3について説明する。
First, the
図6は、UTM装置3の概略機能構成図である。
FIG. 6 is a schematic functional configuration diagram of the
図示するように、UTM装置3は、LANインターフェース部30と、WANインターフェース部31と、スイッチングハブ機能部32と、セキュリティチェック部33と、DHCPサーバ機能部34と、接続構成情報記憶部35と、接続構成確認要求部36と、接続構成通知受信部37と、接続構成情報登録部38と、通信ルート探索部39と、VPN設定要求部40と、を備えている。
As illustrated, the
LANインターフェース部30はLAN2と通信するためのインターフェースであり、WANインターフェース部31はWAN4と通信するためのインターフェースである。
The
スイッチングハブ機能部32は、スイッチングハブとして機能し、セキュリティチェック部33を介してLANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットを、その宛先アドレスに基づいてLANインターフェース部30あるいはWANインターフェース部31に中継する。
The switching
セキュリティチェック部33は、予め定められたルールに従い、LANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットのセキュリティをチェックする。
The
DHCPサーバ機能部34は、DHCPサーバとして機能し、DHCPクライアントである通信端末5に対してIPアドレスを発行し付与する。
The DHCP
接続構成情報記憶部35には、LAN2を構成するスイッチングハブ1毎に、図5(A)ないし図5(D)に示す接続構成情報テーブル6が記憶される。
The connection configuration
接続構成確認要求部36は、UTM装置3の起動を含む所定のイベント発生時に、LAN2の接続構成を確認するための接続構成確認要求を、LANインターフェース部30からLAN2へ同報送信する。
The connection configuration
接続構成通知受信部37は、LANインターフェース部30を介してスイッチングハブ1から接続構成通知を受信する。
The connection configuration
接続構成情報登録部38は、接続構成通知受信部37により受信された接続構成通知に含まれている転送パラメータに従って接続構成情報記憶部35の登録内容を更新する。
The connection configuration
通信ルート探索部39は、接続構成情報記憶部35を用いて、DHCPサーバ機能部34にIPアドレス設定要求を送信した通信端末5とUTM装置3との間の通信ルートを探索する。
The communication
VPN設定要求部40は、通信ルート探索部39により探索された通信端末5とUTM装置3との間の通信ルートにVPNを構築するため、この通信ルート上に位置するスイッチングハブ1に、例えばSNMPセットを利用してVPN設定要求を送信する。
The VPN setting request unit 40 establishes a VPN on a communication route between the communication terminal 5 and the
図7は、UTM装置3の動作を説明するためのフロー図である。このフローは、UTM装置3が起動あるいは再起動することにより開始される。
FIG. 7 is a flowchart for explaining the operation of the
まず、接続構成確認要求部36は、接続構成確認要求をLANインターフェース部30から同報送信する(S300)。
First, the connection configuration
つぎに、LANインターフェース部30あるいはWANインターフェース部31は、通信パケットを受信すると(S301でYES)、この通信パケットを解析する(S302)。ここで、LANインターフェース部30は、LAN2から受信した通信パケットが、自UTM装置3を宛先とするIPアドレス設定要求であるならば(S302で「IPアドレス設定要求」)、このIPアドレス設定要求をDHCPサーバ機能部34に渡して処理をS303に進め、自UTM装置3を宛先とする接続構成通知であるならば(S302で「接続構成通知」)、この接続構成通知を接続構成通知受信部37に渡して処理をS305に進め、そして、自UTM装置3以外を宛先とする中継対象の通信パケットであるならば(S302で「中継パケット」)、この通信パケットをセキュリティチェック部33に渡して処理をS314に進める。また、WANインターフェース部31は、WAN4から受信した通信パケットが、自UTM装置3以外を宛先とする中継対象の通信パケットであるならば(S302で「中継パケット」)、この通信パケットをセキュリティチェック部33に渡して処理をS314に進める。
Next, upon receiving the communication packet (YES in S301), the
S303において、DHCPサーバ機能部34は、通信ルート探索部39に、IPアドレス設定要求発信元の通信端末5のMACアドレスを渡して、この通信端末5および自UTM装置3間の通信ルートの探索を依頼する。これを受けて、通信ルート探索部39は、接続構成情報記憶部35を用いて通信ルートの探索可否を判断する。
In S303, the DHCP
具体的には、接続構成情報記憶部35内のいずれかの接続構成情報テーブル6に、自UTM装置3のMACアドレスが登録されたレコード60が登録され、かつ接続構成情報記憶部35内の自UTM装置3のMACアドレスが登録されたレコード60が登録されたすべての接続構成情報テーブル6に、IPアドレス設定要求発信元の通信端末5のMACアドレスが登録されたレコード60が登録されている場合には、通信ルートを探索可能と判断し、それ以外の場合には、通信ルートを探索不可能と判断する。そして、通信ルートを探索可能と判断したならば(S303でYES)、S308に進む。一方、通信ルートを探索不可能と判断したならば(S303でNO)、IPアドレス設定要求発信元の通信端末5のMACアドレスに対応付けられた通信ルート確立待ちフラグを登録し(S304)、DHCPサーバ機能部34に、IPアドレスの発行を待つように指示する。それから、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
Specifically, a
また、S305において、接続構成通知受信部37は、LANインターフェース部30から受け取った接続構成通知を接続構成情報登録部38に渡す。そして、接続構成情報登録部38は、この接続構成通知に基づいて接続構成情報記憶部35に接続構成情報を登録または接続構成情報記憶部35の接続構成情報を更新する。
In S305, the connection configuration
具体的には、接続構成情報登録部38は、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6が接続構成情報記憶部35に記憶されているか否かを判断する。記憶されていないならば、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6を接続構成情報記憶部35に追加して、この接続構成情報テーブル6にレコード60を追加する。そして、追加したレコード60に、接続構成通知に含まれている転送パラメータ(通信ポート10のポート番号およびこの通信ポート10に入力された通信パケットの送信元のMACアドレス)を登録する。一方、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6が接続構成情報記憶部35に記憶されているならば、この接続構成情報テーブル6から、接続構成通知に含まれている転送パラメータのポート番号およびMACアドレスを含むレコード60を検索する。そして、レコード60を検索できなかったならば、この接続構成情報テーブル6にレコード60を追加し、このレコード60に、接続構成通知に含まれている転送パラメータを登録する。
Specifically, the connection configuration
接続構成情報登録部38によって接続構成情報記憶部35が更新されると、通信ルート探索部39は、通信ルート確立待ちフラグが登録されているか否かを判断する(S306)。通信ルート確立待ちフラグが登録されていないならば(S306でNO)、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
When the connection configuration
一方、通信ルート確立待ちフラグが登録されているならば(S306でYES)、通信ルート探索部39は、S303と同様の要領により、接続構成情報記憶部35を用いて通信ルートの探索可否を判断する(S307)。通信ルートを探索不可能と判断したならば(S307でNO)、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
On the other hand, if the communication route establishment waiting flag is registered (YES in S306), communication
一方、通信ルートを探索可能と判断したならば(S307でYES)、接続構成情報記憶部35を用いて後述の通信ルート探索処理を実施して、自UTM装置3とIPアドレス設定要求発信元の通信端末5との間の中継ルートを探索する(S308)。つぎに、通信ルート探索部39は、探索した中継ルートを、IPアドレス設定要求発信元の通信端末5のMACアドレスとともにVPN設定要求部40に渡してVPNの構築を指示する。これを受けて、VPN設定要求部40は、中継ルート上に位置するスイッチングハブ1各々に対して、自UTM装置3とIPアドレス設定要求発信元の通信端末5との間にVPNを構築するためのVPN設定要求を、LANインターフェース部30から送信する(S309)。具体的には、中継ルートに含まれている後述の中継ポイント情報毎に、IPアドレス設定要求発信元の通信端末5のMACアドレスおよび中継ポイント情報に含まれている2つの中継ポートのポート番号を含むVPN設定要求を、中継ポイント情報に含まれている中継ハブに送信する。それから、通信ルート探索部39は、LANインターフェース部30を介して、通信ルート上に位置するスイッチングハブ1各々からVPN設定完了通知を受信して(S310)、VPNの構築完了を通信ルート探索部39に通知する。
On the other hand, if it is determined that the communication route can be searched (YES in S307), a communication route search process described later is performed using the connection configuration
通信ルート探索部39は、VPN設定要求部40からVPNの構築完了の通知を受け取ったならば、通信ルート確立待ちフラグの登録を解除する(S311)。その後、DHCPサーバ機能部34にIPアドレスの発行を許可する。これを受けて、DHCPサーバ機能部34は、IPアドレス設定要求発信元の通信端末5に対して、IPアドレスを発行し(S312)、このIPアドレスを含むIPアドレス付与通知をLANインターフェース部30から送信する(S313)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
Upon receiving the notification of the completion of the VPN construction from the VPN setting request unit 40, the communication
また、S314において、セキュリティチェック部33は、予め定められたルールに従い、LANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットのセキュリティをチェックする(S314)。そして、既知のウィルスに感染している等の所定の条件に該当せず、セキュリティに問題がない場合は(S315でYES)、この通信パケットをスイッチングハブ機能部32に渡す。スイッチングハブ機能部32は、セキュリティチェック部33から受け取った通信パケットを、その宛先アドレスに従いLANインターフェース部30からLAN2あるいはWANインターフェース部31からWAN4に中継する(S316)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
Further, in S314, the
一方、所定の条件に該当し、セキュリティに問題がある場合(S315でNO)、セキュリティチェック部33は、この通信パケットを、スイッチングハブ機能部32に渡すことなく破棄する(S317)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。
On the other hand, if the predetermined condition is satisfied and there is a security problem (NO in S315), the
図8は、図7に示す通信ルート探索処理S308を説明するためのフロー図である。 FIG. 8 is a flowchart for explaining the communication route search processing S308 shown in FIG.
まず、通信ルート探索部39は、接続構成情報記憶部35から注目テーブルとして未設定の接続構成情報テーブル6を選択し、これを注目テーブルに設定する(S320)。
First, the communication
つぎに、通信ルート探索部39は、注目テーブルから自UTM装置3のMACアドレスがフィールド62に登録されているレコード60を検索する(S321)。そして、注目テーブルに、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60が登録されていないならば(S321でNO)、S324に進む。
Next, the communication
一方、注目テーブルに、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60が登録されているならば(S321でYES)、通信ルート探索部39は、注目テーブルからIPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60をさらに検索する(S322)。そして、注目テーブルに、IPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60が登録されていないならば(S322でNO)、S324に進む。
On the other hand, if the
一方、注目テーブルに、IPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60が登録されているならば(S322でNO)、通信ルート探索部39は、中継ポイント情報を作成する(S323)。具体的には、注目テーブルに対応付けられているスイッチングハブ1を中継ハブに設定する。また、注目テーブルにおいて、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60のフィールド61に登録されている通信ポート10のポート番号、およびIPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60のフィールド61に登録されている通信ポート10のポート番号を、この中継ハブにおける中継ポートに設定する。そして、中継ハブおよび中継ポートを含む中継ポイント情報を作成する。それから、S324に進む。
On the other hand, if the
S824において、通信ルート探索部39は、接続構成情報記憶部35内のすべての接続構成情報テーブル6を注目テーブルとして設定済みか否かを判断する。接続構成情報記憶部35内に注目テーブルとして未設定の接続構成情報テーブル6があるならば(S324でNO)、S320に戻る。
In S824, the communication
一方、接続構成情報記憶部35内のすべての接続構成情報テーブル6を注目テーブルとして設定済みならば(S324でYES)、これまでに作成した中継ポイント情報により特定される通信ルートを、自UTM装置3およびIPアドレス設定要求発信元の通信端末5間の中継ルートに決定する(S325)。
On the other hand, if all the connection configuration information tables 6 in the connection configuration
つぎに、スイッチングハブ1について説明する。
Next, the switching
図9は、スイッチングハブ1の概略機能構成図である。
FIG. 9 is a schematic functional configuration diagram of the
図示するように、スイッチングハブ1は、LANインターフェース部11と、スイッチング部12と、転送パラメータ記憶部13と、転送パラメータ更新部14と、接続構成通知送信部15と、VPN設定部16と、を備えている。
As illustrated, the switching
LANインターフェース部11はLAN2と通信するためのインターフェースであり、複数の通信ポート10を有する。
The LAN interface unit 11 is an interface for communicating with the
スイッチング部12は、LANインターフェース部11のいずれかの通信ポート10に入力された通信パケットを、その宛先アドレスに基づいてLANインターフェース部11のいずれかの通信ポート10に中継する。
The switching unit 12 relays a communication packet input to any of the
転送パラメータ記憶部13には、LANインターフェース部11の通信ポート10の転送パラメータが記憶される。図10は、転送パラメータ記憶部13の登録内容例を模式的に表した図である。図示するように、転送パラメータ記憶部13には、通信ポート10およびMACアドレスの組合せ毎に転送パラメータのレコード130が記憶される。レコード130は、通信ポート10のポート番号が登録されたフィールド131と、この通信ポート10に入力された通信パケットの送信元MACアドレスを登録するためのフィールド132と、を有する。
The transfer parameters of the
転送パラメータ更新部14は、LANインターフェース部11の通信ポート10に入力された通信パケットに基づいて転送パラメータ記憶部13の登録内容を更新する。
The transfer parameter update unit 14 updates the registered contents of the transfer
接続構成通知送信部15は、転送パラメータ記憶部13を監視し、転送パラメータ更新部14により追加された転送パラメータのレコード130を含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する。
The connection configuration notification transmission unit 15 monitors the transfer
VPN設定部16は、LANインターフェース部11を介してUTM装置3から受信したVPN設定要求に従い、通信端末5を宛先あるいは発信元とする通信パケットがLANインターフェース部11内の2つの通信ポート10間を中継されるようにVPNを設定する。そして、例えばSNMPレスポンスを利用してUTM装置3にVPN設定完了通知を送信する。
According to the VPN setting request received from the
図11は、スイッチングハブ1の動作を説明するためのフロー図である。
FIG. 11 is a flowchart for explaining the operation of the
LANインターフェース部11は、いずれかの通信ポート10に通信パケットが入力されると(S400でYES)、この通信パケットが、UTM装置3から自スイッチングハブ1に送られたVPN設定要求ならば(S401でYES)、このVPN設定要求をVPN設定部16に渡す。これを受けて、VPN設定部16は、このVPN設定要求で指定されている通信端末5を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの中継ポート10間を中継されるようにVPNを設定する(S402)。それから、VPN設定部16は、LANインターフェース部11(具体的にはVPN設定要求が入力された通信ポート10)からUTM装置3にVPN設定完了通知を送信する(S403)。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。
When a communication packet is input to any of the communication ports 10 (YES in S400), the LAN interface unit 11 is a VPN setting request sent from the
一方、LANインターフェース部11は、LANインターフェース部11のいずれかの通信ポート10に入力された通信パケットが、自スイッチングハブ1以外を宛先とする中継対象の通信パケットならば(S401でNO)、この通信パケットをスイッチング部12に渡す。これを受けて、スイッチング部12は、LANインターフェース部11から受け取った通信パケットの宛先あるいは発信元の通信端末5に対してVPNが設定されているか否かを判断する(S404)。
On the other hand, if the communication packet input to any one of the
そして、VPNが設定されているならば(S404でYES)、このVPNに従って通信パケットを中継する(S405)。具体的には、VPNが設定されている2つの中継ポート10のうち、通信パケットが入力された中継ポート10以外の中継ポート10に、この通信パケットを中継する。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。
If a VPN has been set (YES in S404), the communication packet is relayed in accordance with the VPN (S405). Specifically, the communication packet is relayed to a
一方、LANインターフェース部11から受け取った通信パケットの宛先あるいは発信元の通信端末5に対してVPNが設定されていない場合(S404でNO)、スイッチング部12は、この通信パケットを、その宛先アドレスに従いLANインターフェース部11のいずれかの通信ポート10に中継する(S406)。
On the other hand, when the VPN is not set for the destination of the communication packet received from the LAN interface unit 11 or the communication terminal 5 of the transmission source (NO in S404), the switching unit 12 converts the communication packet according to the destination address. The data is relayed to one of the
また、転送パラメータ更新部14は、通信パケットが入力された通信ポート10のポート番号がフィールド131に登録されている転送パラメータのレコード130を転送パラメータ記憶部13から検索する。そして、この検索したレコード130のフィールド132に登録されているMACアドレスが通信パケットの送信元MACアドレスと一致するか否かを判断する(S407)。そして、一致するならば(S407でYES)、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。一方、検索したレコード130のフィールド132に登録されているMACアドレスが通信パケットの送信元のMACアドレスと一致しない場合、あるいは、通信パケットが入力された通信ポート10のポート番号がフィールド131に登録されている転送パラメータのレコード130が存在しない場合(S407でNO)、転送パラメータ更新部14は、転送パラメータ記憶部13にレコード60を追加し、このレコード60のフィールド61およびフィールド62に、通信パケットが入力された通信ポート10のポート番号および通信パケットの送信元MACアドレスを登録する(S408)。そして、接続構成通知送信部15は、更新あるいは新規登録された転送パラメータのレコード130を含む接続構成通知をLANインターフェース部11からUTM装置3に送信する(S409)。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。
Further, the transfer parameter updating unit 14 searches the transfer
以上、本発明の一実施の形態を説明した。 The embodiment of the present invention has been described above.
本実施の形態では、UTM装置3にスイッチングハブ機能を持たせるともに、VPN機能を有する1以上のスイッチングハブ1でLAN2を構成する。そして、LAN2に接続された通信端末5毎に、通信端末5とUTM装置3との間にVPNが形成されるように各スイッチングハブ1を設定することにより、通信端末5と相手端末との間の通信ルートにUTM装置3を介在させて、相手端末と通信トラヒックをやり取りする通信端末5のセキュリティをUTM装置3に管理させる。したがって、本実施の形態によれば、LAN2およびWAN4間の通信トラヒックのみならず、LAN2内の通信端末5間の通信トラヒックについても、そのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる。
In the present embodiment, the
また、本実施の形態において、UTM装置3は、LAN2に接続構成確認要求の通信パケットを同報送信して、LAN2を構成する各スイッチングハブ1から、通信パケットの送信元のアドレスおよびこの通信パケットが入力された通信ポート10のポート番号を含む転送パラメータ(接続構成通知)を受信し、受信した転送パラメータを、この転送パラメータの発信元であるスイッチングハブ1に対応付けて記憶する。また、UTM装置3は、帰属要求(IPアドレス設定要求)を受信すると、各スイッチングハブ1から受信した転送パラメータに基づいて、帰属要求発信元の通信端末5とUTM装置3とを繋ぐ通信ルートを探索する。そして、探索された通信ルート上に位置するスイッチングハブ1に対して、この通信ルート上に位置する2つの通信ポート10および帰属要求発信元の通信端末5の指定を含むVPN設定要求を送信する。
Further, in the present embodiment, the
また、スイッチングハブ1は、通信ポート10のポート番号およびこの通信ポート10に入力された通信パケットの送信元のアドレスを含む転送パラメータを記憶しており、いずれかの通信ポート10に通信パケットが入力された場合に、この通信ポートの転送パラメータに含まれている送信元のアドレスがこの通信パケットの送信元のアドレスと異なるならば、あるいはこの通信ポートの転送パラメータが記憶されていないならば、この通信ポートの転送パラメータを登録するとともに、登録された転送パラメータを含む接続構成通知をUTM装置3に送信する。また、スイッチングハブ1は、UTM装置3より受信したVPN設定要求で指定されている通信端末5を発信元あるいは宛先とする通信パケットが、VPN設定要求で指定されている2つの通信ポート間を中継されるようにVPNを設定する。
The
したがって、本実施の形態によれば、UTM装置3は、LAN2の接続構成を自動的に認識して、通信端末5毎に、通信端末5とUTM装置3との間にVPNを構築することができる。このため、操作者は、通信端末5毎に、通信端末5およびUTM装置3間の通信ルートを調べて、この通信ルート上にVPNが構築されるように各スイッチングハブ1を設定する必要がない。したがって、操作者の作業負担を低減することができる。
Therefore, according to the present embodiment, the
なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 It should be noted that the present invention is not limited to the above embodiment, and various modifications can be made within the scope of the gist.
例えば、上記の実施の形態では、UTM装置3において、通信端末5およびUTM装置3間の通信ルートを探索するトリガとして、この通信端末5から送信されたIPアドレス設定要求を用いているが、通信端末5から送信されたIPアドレス設定要求以外の通信パケット(帰属要求)を用いることができる。
For example, in the above embodiment, the
また、上記の実施の形態において、図6に示すUTM装置3の機能構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実現されるものでもよいし、あるいはDSP(Digital Signal Processor)などの計算機によりソフトウエア的に実現されるものでもよい。または、CPU、メモリ、HDD、DVD−ROM等の補助記憶装置、およびNIC(Network Interface Card)等の通信機を備えたPC(Personal Computer)等のコンピュータシステムにおいて、CPUが所定のプログラムを補助記憶装置からメモリ上にロードして実行することで実現されるものでもよい。また、図9に示すスイッチングハブ1の機能構成も、ASIC、FPGAなどの集積ロジックICによりハード的に実現されるものでもよいし、あるいはDSPなどの計算機によりソフトウエア的に実現されるものでもよい。
In the above-described embodiment, the functional configuration of the
1、1−1、1−2:スイッチングハブ、 2:LAN、 3:UTM装置、 4:WAN、 5、5−1、5−2:通信端末、 10:通信ポート、 11:LANインターフェース部、 12:スイッチング部、 13:転送パラメータ記憶部、 14:転送パラメータ更新部、 15:接続構成通知送信部、 16:VPN設定部、 30:LANインターフェース部、 31:WANインターフェース部、 32:スイッチングハブ機能部、 33:セキュリティチェック部、 34:DHCPサーバ機能部、 35:接続構成情報記憶部、 36:接続構成確認要求部、 37:接続構成通知受信部、 38:接続構成情報登録部、 39:通信ルート探索部、 40:VPN設定要求部
1, 1-1, 1-2: switching hub, 2: LAN, 3: UTM device, 4: WAN, 5, 5-1 and 5-2: communication terminal, 10: communication port, 11: LAN interface unit, 12: switching section, 13: transfer parameter storage section, 14: transfer parameter update section, 15: connection configuration notification transmission section, 16: VPN setting section, 30: LAN interface section, 31: WAN interface section, 32: switching hub function Unit, 33: security check unit, 34: DHCP server function unit, 35: connection configuration information storage unit, 36: connection configuration confirmation request unit, 37: connection configuration notification receiving unit, 38: connection configuration information registration unit, 39: communication Route search unit, 40: VPN setting request unit
Claims (3)
前記配下のネットワークおよび外部ネットワークに接続された統合脅威管理装置と、
前記配下のネットワークを構成する1以上のスイッチングハブと、を備え、
前記統合脅威管理装置は、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、
前記配下のネットワークに接続構成確認要求を同報送信する接続構成確認要求手段と、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信する転送パラメータ受信手段と、
前記転送パラメータ受信手段により受信された転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶する接続構成情報記憶手段と、
前記通信端末から帰属要求を受信する帰属要求受信手段と、
前記帰属要求受信手段により受信された帰属要求に従い、前記接続構成情報記憶手段を参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索する通信ルート探索手段と、
前記通信ルート探索手段により探索された通信ルート上に位置する前記スイッチングハブに対して、前記統合脅威管理装置と前記帰属要求の発信元である前記通信端末との間に仮想プライベートネットワークを形成するための、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信する仮想プライベートネットワーク設定要求手段と、を有し、
前記通信端末毎に、当該通信端末と間に形成された仮想プライベートネットワークを介して、当該通信端末と前記外部ネットワークおよび他の前記通信端末との間でやり取りされる通信パケットを中継し、
前記スイッチングハブは、
複数の通信ポートと、
いずれかの前記通信ポートに入力された通信パケットを当該通信パケットの宛先アドレスに従っていずれかの前記通信ポートに中継する中継手段と、
前記統合脅威管理装置側に接続されている前記通信ポートおよび前記通信端末側に接続されている前記通信ポートの一方に入力された通信パケットを他方へ中継するよう前記中継手段を制御する仮想プライベートネットワーク設定手段と、
前記通信ポートのポート番号および当該通信ポートに入力された通信パケットの送信元のアドレスを含む転送パラメータを記憶する転送パラメータ記憶手段と、
いずれかの前記通信ポートに通信パケットが入力された場合に、前記転送パラメータ記憶手段に記憶されている当該通信ポートの転送パラメータに含まれている送信元のアドレスが当該通信パケットの送信元のアドレスと異なるならば、あるいは、当該通信ポートの転送パラメータが前記転送パラメータ記憶手段に記憶されていないならば、当該通信ポートの転送パラメータを登録する転送パラメータ更新手段と、
前記転送パラメータ更新手段により登録された転送パラメータを前記統合脅威管理装置に送信する転送パラメータ送信手段と、を有し、
前記スイッチングハブの前記仮想プライベートネットワーク設定手段は、
前記統合脅威管理装置より受信した仮想プライベートネットワーク設定要求で指定されている前記通信端末を発信元あるいは宛先とする通信パケットが、当該仮想プライベートネットワーク設定要求で指定されている2つの通信ポート間を中継されるように前記中継手段を制御して、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークを形成する
ことを特徴とする統合脅威管理システム。 An integrated threat management system that integrates a plurality of different security functions and manages security of a plurality of communication terminals connected to a subordinate network ,
An integrated threat management device connected to the subordinate network and an external network,
And one or more switching hubs constituting the subordinate network,
The integrated threat management device,
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet,
Security check means for checking security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying the communication packet;
Connection configuration confirmation request means for broadcasting a connection configuration confirmation request to the subordinate network;
Transfer parameter receiving means for receiving, from the switching hub, transfer parameters including a source address of a communication packet and a port number of the communication port to which the communication packet has been input,
Connection configuration information storage means for storing the transfer parameters received by the transfer parameter receiving means in association with the switching hub of the transmission source of the transfer parameters,
Belonging request receiving means for receiving a belonging request from the communication terminal,
Communication for searching for a communication route connecting the communication terminal that is the source of the belonging request and the integrated threat management device with reference to the connection configuration information storage unit according to the belonging request received by the belonging request receiving unit. Route search means;
For forming a virtual private network between the integrated threat management device and the communication terminal that is the source of the belonging request for the switching hub located on the communication route searched by the communication route searching means. of a virtual private network setup request means for transmitting a virtual private network configuration request including designation of said communication terminal is the source of two of the communication ports and the belonging request of the switching hub located on the communication route, Has,
For each communication terminal, via a virtual private network formed between the communication terminal, relay communication packets exchanged between the communication terminal and the external network and the other communication terminal,
The switching hub,
Multiple communication ports,
Relay means for relaying a communication packet input to any of the communication ports to any of the communication ports according to a destination address of the communication packet;
A virtual private network that controls the relay unit to relay a communication packet input to one of the communication port connected to the integrated threat management device and the communication port connected to the communication terminal to the other Setting means;
Transfer parameter storage means for storing transfer parameters including a port number of the communication port and a source address of a communication packet input to the communication port,
When a communication packet is input to any of the communication ports, the source address included in the transfer parameter of the communication port stored in the transfer parameter storage means is the source address of the communication packet. Transfer parameter updating means for registering the transfer parameter of the communication port, if the transfer parameter of the communication port is not stored in the transfer parameter storage means,
Transfer parameter transmitting means for transmitting the transfer parameter registered by the transfer parameter updating means to the integrated threat management device,
The virtual private network setting means of the switching hub,
A communication packet destined to or from the communication terminal specified in the virtual private network setting request received from the integrated threat management device relays between the two communication ports specified in the virtual private network setting request A virtual private network between the communication terminal and the integrated threat management device by controlling the relay means so as to be controlled.
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、
前記配下のネットワークに接続構成確認要求を同報送信する接続構成確認要求手段と、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信する転送パラメータ受信手段と、
前記転送パラメータ受信手段により受信された転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶する接続構成情報記憶手段と、
前記通信端末から帰属要求を受信する帰属要求受信手段と、
前記帰属要求受信手段により受信された帰属要求に従い、前記接続構成情報記憶手段を参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索する通信ルート探索手段と、
前記通信ルート探索手段により探索された通信ルート上に位置する前記スイッチングハブに対して、前記統合脅威管理装置と前記帰属要求の発信元である前記通信端末との間に仮想プライベートネットワークを形成するための、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信する仮想プライベートネットワーク設定要求手段と、を備え、
前記通信端末毎に、当該通信端末と間に形成された仮想プライベートネットワークを介して、当該通信端末と前記外部ネットワークおよび他の前記通信端末との間でやり取りされる通信パケットを中継する
ことを特徴とする統合脅威管理装置。 Integrating a plurality of different security functions, connecting to a subordinate network constituted by an external network and one or more switching hubs having a plurality of communication ports, and connecting a plurality of communication terminals connected to the subordinate network An integrated threat management device for managing security,
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet,
Security check means for checking security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying the communication packet;
Connection configuration confirmation request means for broadcasting a connection configuration confirmation request to the subordinate network;
Transfer parameter receiving means for receiving, from the switching hub, transfer parameters including a source address of a communication packet and a port number of the communication port to which the communication packet has been input,
Connection configuration information storage means for storing the transfer parameters received by the transfer parameter receiving means in association with the switching hub of the transmission source of the transfer parameters,
Belonging request receiving means for receiving a belonging request from the communication terminal,
Communication for searching for a communication route connecting the communication terminal that is the source of the belonging request and the integrated threat management device with reference to the connection configuration information storage unit according to the belonging request received by the belonging request receiving unit. Route search means;
For forming a virtual private network between the integrated threat management device and the communication terminal that is the source of the belonging request for the switching hub located on the communication route searched by the communication route searching means. of a virtual private network setup request means for transmitting a virtual private network configuration request including designation of said communication terminal is the source of two of the communication ports and the belonging request of the switching hub located on the communication route, equipped with a,
Relaying a communication packet exchanged between the communication terminal, the external network, and another communication terminal via a virtual private network formed between the communication terminal and the communication terminal; Integrated threat management device.
仮想プライベートネットワーク機能を有する1以上のスイッチングハブで前記配下のネットワークを構成し、
スイッチングハブ機能を有する統合脅威管理装置を前記配下のネットワークおよび外部ネットワークに接続し、
前記通信端末毎に、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークが形成されるように前記スイッチングハブを設定することにより、当該通信端末と相手端末との間に前記統合脅威管理装置を介在させて、前記統合脅威管理装置に当該通信端末のセキュリティを管理させ、
前記統合脅威管理装置は、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを破棄するとともに、所定の条件に該当しない通信パケットを当該通信パケットの宛先アドレスに従って中継し、
前記配下のネットワークに接続構成確認要求を同報送信し、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信して、当該転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶し、
前記通信端末から帰属要求を受信して、当該帰属要求に従い、前記スイッチングハブに対応付けて記憶された前記転送パラメータを参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索し、
前記探索された通信ルート上に位置する前記スイッチングハブに対して、前記統合脅威管理装置と前記帰属要求の発信元である前記通信端末との間に仮想プライベートネットワークを形成するための、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信し、
前記通信端末毎に、当該通信端末と間に形成された仮想プライベートネットワークを介して、当該通信端末と前記外部ネットワークおよび他の前記通信端末との間でやり取りされる通信パケットを中継する
ことを特徴とする統合脅威管理方法。 An integrated threat management method for integrating a plurality of different security functions and managing security of a plurality of communication terminals connected to a subordinate network,
Configuring the subordinate network with one or more switching hubs having a virtual private network function,
Connect an integrated threat management device having a switching hub function to the subordinate network and an external network,
By setting the switching hub such that a virtual private network is formed between the communication terminal and the integrated threat management device for each of the communication terminals, the integrated threat is set between the communication terminal and the partner terminal. With a management device interposed, the integrated threat management device manages the security of the communication terminal ,
The integrated threat management device,
Checks the security of communication packets received from the subordinate network or the external network, discards communication packets that meet predetermined conditions, and relays communication packets that do not meet predetermined conditions according to the destination address of the communication packets. And
Broadcasting a connection configuration confirmation request to the subordinate network,
A transfer parameter including a source address of a communication packet and a port number of the communication port to which the communication packet is input is received from the switching hub, and the transfer parameter corresponds to the switching hub of the transmission source of the transfer parameter. Attach and remember,
Upon receiving the belonging request from the communication terminal, and referring to the transfer parameter stored in association with the switching hub according to the belonging request, the communication terminal that is the source of the belonging request and the integrated threat management Search for a communication route connecting the device,
For the switching hub located on the searched communication route, the communication route for forming a virtual private network between the integrated threat management device and the communication terminal that is the source of the belonging request. Transmitting a virtual private network setting request including designation of the two communication ports of the switching hub located above and the communication terminal that is the source of the belonging request;
Relaying a communication packet exchanged between the communication terminal and the external network and another communication terminal via a virtual private network formed between the communication terminal and each communication terminal; Integrated threat management method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016088318A JP6623917B2 (en) | 2016-04-26 | 2016-04-26 | Integrated threat management system, integrated threat management device, and integrated threat management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016088318A JP6623917B2 (en) | 2016-04-26 | 2016-04-26 | Integrated threat management system, integrated threat management device, and integrated threat management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017200012A JP2017200012A (en) | 2017-11-02 |
| JP6623917B2 true JP6623917B2 (en) | 2019-12-25 |
Family
ID=60239584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016088318A Active JP6623917B2 (en) | 2016-04-26 | 2016-04-26 | Integrated threat management system, integrated threat management device, and integrated threat management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6623917B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7225740B2 (en) | 2018-11-30 | 2023-02-21 | 株式会社デンソー | repeater |
| JP7425294B2 (en) | 2020-02-14 | 2024-01-31 | 富士通株式会社 | Communication device |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3804585B2 (en) * | 2002-07-03 | 2006-08-02 | 株式会社日立製作所 | Network construction system and construction method |
| JP4290526B2 (en) * | 2003-10-29 | 2009-07-08 | 富士通株式会社 | Network system |
| JP4773387B2 (en) * | 2007-03-19 | 2011-09-14 | 株式会社日立製作所 | Network system |
| JP5699799B2 (en) * | 2010-06-01 | 2015-04-15 | ヤマハ株式会社 | Topology detection system and relay device |
| JP5889813B2 (en) * | 2013-02-19 | 2016-03-22 | 日本電信電話株式会社 | Communication system and program |
-
2016
- 2016-04-26 JP JP2016088318A patent/JP6623917B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017200012A (en) | 2017-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9225641B2 (en) | Communication between hetrogenous networks | |
| US9215175B2 (en) | Computer system including controller and plurality of switches and communication method in computer system | |
| JP5874726B2 (en) | Communication control system, control server, transfer node, communication control method, and communication control program | |
| JP3797937B2 (en) | Network connection system, network connection method, and network connection device used therefor | |
| US9621516B2 (en) | Firewall configured with dynamic membership sets representing machine attributes | |
| US20140233569A1 (en) | Distributed Gateway in Virtual Overlay Networks | |
| KR20150113597A (en) | Method and apparatus for processing arp packet | |
| US10122654B2 (en) | Divided hierarchical network system based on software-defined networks | |
| EP3753232B1 (en) | Cloud access to local network addresses | |
| US11316739B2 (en) | Methods, controller manager and controller agent for enabling a connection between a switch of a communication network and a switch controller | |
| JP2006262193A (en) | Controller, packet transferring method, and packet processor | |
| JP6662136B2 (en) | Relay device, communication system, relay method, and relay program | |
| US9344399B2 (en) | Relay server and relay communication system | |
| CN105794158A (en) | Methods and systems for processing internet protocol packets | |
| JP6623917B2 (en) | Integrated threat management system, integrated threat management device, and integrated threat management method | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| WO2016019676A1 (en) | Method, apparatus and system for processing data packet in software defined network (sdn) | |
| US7796614B1 (en) | Systems and methods for message proxying | |
| JP6191191B2 (en) | Switch device and control method of switch device | |
| EP2600568B1 (en) | Relay server and relay communication system | |
| JP5350333B2 (en) | Packet relay apparatus and network system | |
| JP6360012B2 (en) | Network integration system and network integration method | |
| Cisco | IP Routing | |
| Cisco | IP Routing | |
| Cisco | IP Routing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181030 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190802 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191111 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6623917 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |