JPH05260052A - ネットワーク構成方式 - Google Patents
ネットワーク構成方式Info
- Publication number
- JPH05260052A JPH05260052A JP4050976A JP5097692A JPH05260052A JP H05260052 A JPH05260052 A JP H05260052A JP 4050976 A JP4050976 A JP 4050976A JP 5097692 A JP5097692 A JP 5097692A JP H05260052 A JPH05260052 A JP H05260052A
- Authority
- JP
- Japan
- Prior art keywords
- network
- internal
- external
- access
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】 (修正有)
【目的】外部と内部との各ネットワークのユーザとの共
用ネットワーク上での共同作業を可能とし、外部ネット
ワークから内部ネットワークへの不正な侵入の阻止と、
その間のトラフィックを共用ネットワークに流さない。 【構成】ネットワークを外部、内部、共用の三つのネッ
トワーク構成要素に分け、外部と共用のネットワークを
第1の経路制御装置(10)で接続し、共用と内部のネ
ットワークを第2の経路制御装置(20)で接続する。
第1の経路制御装置(10)と第2の経路制御装置(2
0)はホスト単位にパケット通過の制御機能を有し、ネ
ットワーク相互のアクセスを制御して外部ネットワーク
のユーザと内部ネットワークのユーザとの共用ネットワ
ーク上での共同作業を可能にし、外部ネットワークから
内部ネットワークへの不正な侵入を阻止するネットワー
ク構成で、外部ネットワークと内部ネットワークとの間
を第3の経路制御装置(30)で接続する。
用ネットワーク上での共同作業を可能とし、外部ネット
ワークから内部ネットワークへの不正な侵入の阻止と、
その間のトラフィックを共用ネットワークに流さない。 【構成】ネットワークを外部、内部、共用の三つのネッ
トワーク構成要素に分け、外部と共用のネットワークを
第1の経路制御装置(10)で接続し、共用と内部のネ
ットワークを第2の経路制御装置(20)で接続する。
第1の経路制御装置(10)と第2の経路制御装置(2
0)はホスト単位にパケット通過の制御機能を有し、ネ
ットワーク相互のアクセスを制御して外部ネットワーク
のユーザと内部ネットワークのユーザとの共用ネットワ
ーク上での共同作業を可能にし、外部ネットワークから
内部ネットワークへの不正な侵入を阻止するネットワー
ク構成で、外部ネットワークと内部ネットワークとの間
を第3の経路制御装置(30)で接続する。
Description
【0001】
【産業上の利用分野】本発明は、コンピュータネットワ
ークの構築に係わり、特に外部ネットワークとの密接な
コミュニケーションを可能にし、かつ内部ネットワーク
の安全な運用を可能にするネットワーク構成方式に関す
る。
ークの構築に係わり、特に外部ネットワークとの密接な
コミュニケーションを可能にし、かつ内部ネットワーク
の安全な運用を可能にするネットワーク構成方式に関す
る。
【0002】
【従来の技術】研究活動のグローバル化に伴い、広く外
部の研究機関と共同研究を行なうケースが増えてきてい
る。また一方で、コンピュータネットワークの普及によ
って、このコンピュータネットワークを使って、世界中
の研究機関のネットワークにアクセス出来る環境も整っ
てきた。このとき、外部の者が企業などの内部ネットワ
ークの中にある共同研究のための環境に自由にアクセス
できれば共同研究活動の助けになるが、同時に内部ネッ
トワーク上にある共同研究とは関係のない重要機密にも
アクセスできる可能性が高まり、セキュリティ上好まし
くない。反対に、外部から内部ネットワークへのアクセ
スを禁止すればセキュリティは高まるが、同時に共同研
究のための環境へのアクセスもできなくなり、活発な共
同研究の妨げとなってしまう。
部の研究機関と共同研究を行なうケースが増えてきてい
る。また一方で、コンピュータネットワークの普及によ
って、このコンピュータネットワークを使って、世界中
の研究機関のネットワークにアクセス出来る環境も整っ
てきた。このとき、外部の者が企業などの内部ネットワ
ークの中にある共同研究のための環境に自由にアクセス
できれば共同研究活動の助けになるが、同時に内部ネッ
トワーク上にある共同研究とは関係のない重要機密にも
アクセスできる可能性が高まり、セキュリティ上好まし
くない。反対に、外部から内部ネットワークへのアクセ
スを禁止すればセキュリティは高まるが、同時に共同研
究のための環境へのアクセスもできなくなり、活発な共
同研究の妨げとなってしまう。
【0003】このような状況で、ネットワークを通じて
共同研究環境への自由なアクセス手段を提供しつつ、同
時に内部ネットワークのセキュリティを保つようなネッ
トワークを構築する技術が強く望まれていた。これらの
問題に対して、従来は、内部ネットワークを、純粋に内
部の者だけがアクセスする部分と、外部の者と内部の者
が共同でアクセスする共用ネットワーク部分に分け、外
部ネットワーク、共用ネットワーク、内部ネットワーク
の3段構成とし、それぞれの間にゲートウェイ装置など
を入れて少なくともホスト単位にアクセスを制御するこ
とによって、実現していた。
共同研究環境への自由なアクセス手段を提供しつつ、同
時に内部ネットワークのセキュリティを保つようなネッ
トワークを構築する技術が強く望まれていた。これらの
問題に対して、従来は、内部ネットワークを、純粋に内
部の者だけがアクセスする部分と、外部の者と内部の者
が共同でアクセスする共用ネットワーク部分に分け、外
部ネットワーク、共用ネットワーク、内部ネットワーク
の3段構成とし、それぞれの間にゲートウェイ装置など
を入れて少なくともホスト単位にアクセスを制御するこ
とによって、実現していた。
【0004】
【発明が解決しようとする課題】しかしこの方法では、
内部ネットワークと外部ネットワークとの間の全ての通
信情報が共用ネットワークを経由する。一般的に共用ネ
ットワークを使用するユーザは特定の者に限られている
ので、共用ネットワーク内のトラフィックは少ないもの
の、内部ネットワークと外部ネットワークとの間の通信
は、内部ネットワークの全ユーザが利用する可能性があ
るのでトラフィックが高くなる。
内部ネットワークと外部ネットワークとの間の全ての通
信情報が共用ネットワークを経由する。一般的に共用ネ
ットワークを使用するユーザは特定の者に限られている
ので、共用ネットワーク内のトラフィックは少ないもの
の、内部ネットワークと外部ネットワークとの間の通信
は、内部ネットワークの全ユーザが利用する可能性があ
るのでトラフィックが高くなる。
【0005】従って、共用ネットワーク内のトラフィッ
クが、内部ネットワークと外部ネットワークとの間のト
ラフィックによって圧迫されるという問題が生じる。
又、一つの共用ネットワークを作るたびに、外部ネット
ワークと内部ネットワークにそれぞれ経路制御装置を用
いて接続するため、共用ネットワーク毎に2台の経路制
御装置が必要となる。
クが、内部ネットワークと外部ネットワークとの間のト
ラフィックによって圧迫されるという問題が生じる。
又、一つの共用ネットワークを作るたびに、外部ネット
ワークと内部ネットワークにそれぞれ経路制御装置を用
いて接続するため、共用ネットワーク毎に2台の経路制
御装置が必要となる。
【0006】更に、共用ネットワークをトポロジー的に
外部ネットワークと内部ネットワークの中間に位置さ
せ、外部ネッワークと内部ネットワークの両方とリンク
を持たなければならないため、共用ネットワークの管理
や運用を行い易いようにこれをその運用管理部隊の近く
に構築するには、(内部ネットワークは共用ネットワー
クのすぐ近くまで延びているとしても)外部ネットワー
クと共用ネットワークとの接続の為の回線を長距離引き
回す必要があるが、通信回線は距離が長くなるほど使用
料金が高くなるため、共用ネットワークを内部の任意の
場所に自由に構築しにくい。
外部ネットワークと内部ネットワークの中間に位置さ
せ、外部ネッワークと内部ネットワークの両方とリンク
を持たなければならないため、共用ネットワークの管理
や運用を行い易いようにこれをその運用管理部隊の近く
に構築するには、(内部ネットワークは共用ネットワー
クのすぐ近くまで延びているとしても)外部ネットワー
クと共用ネットワークとの接続の為の回線を長距離引き
回す必要があるが、通信回線は距離が長くなるほど使用
料金が高くなるため、共用ネットワークを内部の任意の
場所に自由に構築しにくい。
【0007】従来の構成では,以上の3つの欠点があっ
た。
た。
【0008】
【課題を解決する為の手段】図1〜3は本発明の原理図
である。図中10、20、30は経路制御装置である。
図1において、ネットワークを外部ネットワーク、共用
ネットワーク、内部ネットワークに分け、外部ネットワ
ークと共用ネットワークの間、共用ネットワークと内部
ネットワークの間はそれぞれ経路制御装置10と20で接続
されており、さらに、外部ネットワークと内部ネットワ
ークとの間を経路制御装置30を用いて直接接続する。図
2では、図1の構成のうち共用ネットワークと内部ネッ
トワークの間を接続していた経路制御装置20を取り除
く。
である。図中10、20、30は経路制御装置である。
図1において、ネットワークを外部ネットワーク、共用
ネットワーク、内部ネットワークに分け、外部ネットワ
ークと共用ネットワークの間、共用ネットワークと内部
ネットワークの間はそれぞれ経路制御装置10と20で接続
されており、さらに、外部ネットワークと内部ネットワ
ークとの間を経路制御装置30を用いて直接接続する。図
2では、図1の構成のうち共用ネットワークと内部ネッ
トワークの間を接続していた経路制御装置20を取り除
く。
【0009】図3では、図1の構成のうち外部ネットワ
ークと共用ネットワークの間を接続していた経路制御装
置10を取り除く。
ークと共用ネットワークの間を接続していた経路制御装
置10を取り除く。
【0010】
【作用】本発明の請求項1(図1)について説明する。
経路制御装置20は内部ネットワークの共同研究者の使
っているホストから共用ネットワークへのアクセスのみ
を、経路制御装置10は外部ネットワークの共同研究者の
使っているホストから共用ネットワークへのアクセスの
みを、また、経路制御装置30は内部ネットワークから外
部ネットワークへのアクセスのみを、それぞれ許可する
ように動作する。
経路制御装置20は内部ネットワークの共同研究者の使
っているホストから共用ネットワークへのアクセスのみ
を、経路制御装置10は外部ネットワークの共同研究者の
使っているホストから共用ネットワークへのアクセスの
みを、また、経路制御装置30は内部ネットワークから外
部ネットワークへのアクセスのみを、それぞれ許可する
ように動作する。
【0011】次に、本発明の請求項2(図2)について
説明する。経路制御装置10は内部ネットワークの共同
研究者の使っているホストから共用ネットワークへのア
クセスと外部ネットワークの共同研究者の使っているホ
ストから共用ネットワークへのアクセスのみを、また、
経路制御装置30は内部ネットワークから外部ネットワー
クへのアクセスと、内部ネットワークから共用ネットワ
ークへのアクセスのみを、それぞれ許可するように動作
する。
説明する。経路制御装置10は内部ネットワークの共同
研究者の使っているホストから共用ネットワークへのア
クセスと外部ネットワークの共同研究者の使っているホ
ストから共用ネットワークへのアクセスのみを、また、
経路制御装置30は内部ネットワークから外部ネットワー
クへのアクセスと、内部ネットワークから共用ネットワ
ークへのアクセスのみを、それぞれ許可するように動作
する。
【0012】次に、本発明の請求項3(図3)について
説明する。経路制御装置20は内部ネットワークの共同
研究者の使っているホストから共用ネットワークへのア
クセスと、外部ネットワークの共同研究者の使っている
ホストから共用ネットワークへのアクセスのみを、ま
た、経路制御装置30は内部ネットワークから外部ネッ
トワークへのアクセスと、外部ネットワークから共用ネ
ットワークへのアクセスのみを、それぞれ許可するよう
に動作する。
説明する。経路制御装置20は内部ネットワークの共同
研究者の使っているホストから共用ネットワークへのア
クセスと、外部ネットワークの共同研究者の使っている
ホストから共用ネットワークへのアクセスのみを、ま
た、経路制御装置30は内部ネットワークから外部ネッ
トワークへのアクセスと、外部ネットワークから共用ネ
ットワークへのアクセスのみを、それぞれ許可するよう
に動作する。
【0013】
【実施例】以下は、TCP/IPプロトコルを用いたネ
ットワークで、アクセス制御機構としてIPルータを用
いた場合の実施例である。IPルータについては、ci
sco System社のルータであるAGS/2を使
用することが出来る。前記AGS/2は、”Gatew
ay System Manual ciscoSys
tems,Inc Software Release
8.2 November 1990”に詳述されて
いる。
ットワークで、アクセス制御機構としてIPルータを用
いた場合の実施例である。IPルータについては、ci
sco System社のルータであるAGS/2を使
用することが出来る。前記AGS/2は、”Gatew
ay System Manual ciscoSys
tems,Inc Software Release
8.2 November 1990”に詳述されて
いる。
【0014】IPパケットの通信では、ソースとデステ
ィネーションをそれぞれでIPアドレスで指定する。さ
らに、リモートログインやリモートファイル転送などの
サービスはTCPにより通信が行なわれ、このとき各サ
ービス毎に特定のポートというものを使う。ポートは番
号で識別され、あるサービス(通信)を利用する場合、
ユーザがそのサービスを起動した(クライアント)側で
使われるポート番号とサービスの受付(サーバ)側で使
われるポート番号は異なっており、さらにサービス毎に
サーバ側のポート番号は異なっている。クライアント側
で使われるポート番号は通常1023より大きい番号の
うち、その瞬間に使われていない番号が使われる。ま
た、サーバ側のポート番号はリモートログイン(tel
net)の場合は23番が使われる。
ィネーションをそれぞれでIPアドレスで指定する。さ
らに、リモートログインやリモートファイル転送などの
サービスはTCPにより通信が行なわれ、このとき各サ
ービス毎に特定のポートというものを使う。ポートは番
号で識別され、あるサービス(通信)を利用する場合、
ユーザがそのサービスを起動した(クライアント)側で
使われるポート番号とサービスの受付(サーバ)側で使
われるポート番号は異なっており、さらにサービス毎に
サーバ側のポート番号は異なっている。クライアント側
で使われるポート番号は通常1023より大きい番号の
うち、その瞬間に使われていない番号が使われる。ま
た、サーバ側のポート番号はリモートログイン(tel
net)の場合は23番が使われる。
【0015】従って、このポート番号がクライアント側
とサーバ側、及びサーバ間でそれぞれ異なっていること
を利用して、任意の2ホスト間で特定のポート番号間で
のみ通信を許すことにより、一方向からだけ特定のサー
ビスの利用を可能にすることができる。以下、図4〜図
6で実施例を説明する。図4〜図6はそれぞれ、請求項
1〜3に相当する。
とサーバ側、及びサーバ間でそれぞれ異なっていること
を利用して、任意の2ホスト間で特定のポート番号間で
のみ通信を許すことにより、一方向からだけ特定のサー
ビスの利用を可能にすることができる。以下、図4〜図
6で実施例を説明する。図4〜図6はそれぞれ、請求項
1〜3に相当する。
【0016】IPルータのアクセス制御の登録に必要な
各ネットワークやホストのIPアドレスを以下のように
仮定する。また、共同研究ネットワークへ入るにはte
lnetを用いるものとする。 (a)社外の共同研究者のホストのアドレス 共同研究者1 192.51.40.1 ・・・(図4〜図6の
101) 共同研究者2 192.51.41.124 ・・・(図4〜図6の
102) (b)社内の共同研究者のホストのアドレス 共同研究者3 133.160.39.5 ・・・(図4〜図6の
201) 共同研究者4 133.160.64.1 ・・・(図4〜図6の
202) (c)共同研究ネットワークのアドレス 192.51.42 ・・・(図4〜図6の301) (d)社内ネットワークのアドレス 133.160 ・・・(図4〜図6の203) 以下、図4の実施例を説明する。図4の例では、各IP
ルータのアクセス制御の設定は以下のようになる。
各ネットワークやホストのIPアドレスを以下のように
仮定する。また、共同研究ネットワークへ入るにはte
lnetを用いるものとする。 (a)社外の共同研究者のホストのアドレス 共同研究者1 192.51.40.1 ・・・(図4〜図6の
101) 共同研究者2 192.51.41.124 ・・・(図4〜図6の
102) (b)社内の共同研究者のホストのアドレス 共同研究者3 133.160.39.5 ・・・(図4〜図6の
201) 共同研究者4 133.160.64.1 ・・・(図4〜図6の
202) (c)共同研究ネットワークのアドレス 192.51.42 ・・・(図4〜図6の301) (d)社内ネットワークのアドレス 133.160 ・・・(図4〜図6の203) 以下、図4の実施例を説明する。図4の例では、各IP
ルータのアクセス制御の設定は以下のようになる。
【0017】(1) ルータ10の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信を許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (124)のホストの1023番より大
きいポートへの通信を許可する。 (c)それ以外の通信は全て禁止 (2) ルータ20の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信を許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(202)のホストの1023番より大き
いポートへの通信を許可する。 (c)それ以外の通信は全て禁止 (3) ルータ30の設定 (a)XX.XX.XX.XX のホストの23番ポートと、133.160.
XX.XX (203)のホストの1023番より大きいポートへ
の通信を許可する。 (b)それ以外の通信は全て禁止 以上の設定により、アクセス制御機構30は社外ネット
ワークから社内ネットワークへのアクセスを一切禁止し
ているが、反対に社内ネットワークから社外ネットワー
クへのアクセスは必要に応じて許可している。アクセス
制御機構20は社内ネットワークから共同研究ネットワ
ークへの社内の共同研究者のみのアクセスを許している
が、反対に共同研究ネットワークから社内ネットワーク
へのアクセスは一切禁止している。またアクセス制御機
構10は、社外ネットワークから共同研究ネットワーク
への社外の共同研究者のみのアクセスを許可しており、
共同研究ネットワークから社外ネットワークへのアクセ
スは特に禁止していない。社外の共同研究者でない者が
社内ネットワークや共同研究ネットワークにアクセスし
ようとすると、アクセス制御機構10やアクセス制御機
構30の設定によりアクセスが禁止されているので、ア
クセスできない。社外の共同研究者が社内ネットワーク
にアクセスしようとすると、アクセス制御機構30によ
りアクセスが禁止されているのでアクセスできないが、
共同研究ネットワークにアクセスした場合には、アクセ
ス制御機構10によりアクセスが許可されておりアクセ
スすることができる。共同研究ネットワークに一旦入っ
たあとでは、アクセス制御機構20によりアクセスが禁
止されているため社内ネットワークにアクセスすること
はできない。また、社内の共同研究者以外の者が共同研
究ネットワークにアクセスしようとした場合には、アク
セス制御機構20でアクセスが禁止されているのでアク
セスできないが、社内の共同研究者は共同研究ネットワ
ークにアクセスすることができる。
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信を許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (124)のホストの1023番より大
きいポートへの通信を許可する。 (c)それ以外の通信は全て禁止 (2) ルータ20の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信を許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(202)のホストの1023番より大き
いポートへの通信を許可する。 (c)それ以外の通信は全て禁止 (3) ルータ30の設定 (a)XX.XX.XX.XX のホストの23番ポートと、133.160.
XX.XX (203)のホストの1023番より大きいポートへ
の通信を許可する。 (b)それ以外の通信は全て禁止 以上の設定により、アクセス制御機構30は社外ネット
ワークから社内ネットワークへのアクセスを一切禁止し
ているが、反対に社内ネットワークから社外ネットワー
クへのアクセスは必要に応じて許可している。アクセス
制御機構20は社内ネットワークから共同研究ネットワ
ークへの社内の共同研究者のみのアクセスを許している
が、反対に共同研究ネットワークから社内ネットワーク
へのアクセスは一切禁止している。またアクセス制御機
構10は、社外ネットワークから共同研究ネットワーク
への社外の共同研究者のみのアクセスを許可しており、
共同研究ネットワークから社外ネットワークへのアクセ
スは特に禁止していない。社外の共同研究者でない者が
社内ネットワークや共同研究ネットワークにアクセスし
ようとすると、アクセス制御機構10やアクセス制御機
構30の設定によりアクセスが禁止されているので、ア
クセスできない。社外の共同研究者が社内ネットワーク
にアクセスしようとすると、アクセス制御機構30によ
りアクセスが禁止されているのでアクセスできないが、
共同研究ネットワークにアクセスした場合には、アクセ
ス制御機構10によりアクセスが許可されておりアクセ
スすることができる。共同研究ネットワークに一旦入っ
たあとでは、アクセス制御機構20によりアクセスが禁
止されているため社内ネットワークにアクセスすること
はできない。また、社内の共同研究者以外の者が共同研
究ネットワークにアクセスしようとした場合には、アク
セス制御機構20でアクセスが禁止されているのでアク
セスできないが、社内の共同研究者は共同研究ネットワ
ークにアクセスすることができる。
【0018】以下、図5の実施例を説明する。図5の例
では、各IPルータのアクセス制御の設定は以下のよう
になる。(1) ルータ10の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信を許可する。 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(201)のホストの1023番より大き
いポートへの通信を許可する。 (c)192.51.42.XX(301)のホストの23番ポート
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信を許可する。 (d)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (102)のホストの1023番より大
きいポートへの通信を許可する。 (f)それ以外の通信は全て禁止 (2) ルータ30の設定 (a)XX.XX.XX.XX のホストの23番ポートと、133.160.
XX.XX (203)のホストの1023番より大きいポートへ
の通信を許可する。 (b)それ以外の通信は全て禁止する。
では、各IPルータのアクセス制御の設定は以下のよう
になる。(1) ルータ10の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信を許可する。 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(201)のホストの1023番より大き
いポートへの通信を許可する。 (c)192.51.42.XX(301)のホストの23番ポート
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信を許可する。 (d)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (102)のホストの1023番より大
きいポートへの通信を許可する。 (f)それ以外の通信は全て禁止 (2) ルータ30の設定 (a)XX.XX.XX.XX のホストの23番ポートと、133.160.
XX.XX (203)のホストの1023番より大きいポートへ
の通信を許可する。 (b)それ以外の通信は全て禁止する。
【0019】上記の設定により、アクセス制御機構30
は社外ネットワークから社内ネットワークへのアクセス
を一切禁止しているが、反対に社内ネットワークから社
外ネットワークへのアクセスは必要に応じて、また、社
内の共同研究者の社内ネットワークから共同研究ネット
ワークへのアクセスを、それぞれ許可している。アクセ
ス制御機構10は、社外ネットワークから共同研究ネッ
トワークへの社外の共同研究者のアクセスと、社内ネッ
トワークから共同研究ネットワークへの社内の共同研究
者のアクセスを、それぞれ許可しており、共同研究ネッ
トワークから社内ネットワークへのと、共同研究ネット
ワークから社外ネットワークへのアクセスは特に禁止し
ていない。
は社外ネットワークから社内ネットワークへのアクセス
を一切禁止しているが、反対に社内ネットワークから社
外ネットワークへのアクセスは必要に応じて、また、社
内の共同研究者の社内ネットワークから共同研究ネット
ワークへのアクセスを、それぞれ許可している。アクセ
ス制御機構10は、社外ネットワークから共同研究ネッ
トワークへの社外の共同研究者のアクセスと、社内ネッ
トワークから共同研究ネットワークへの社内の共同研究
者のアクセスを、それぞれ許可しており、共同研究ネッ
トワークから社内ネットワークへのと、共同研究ネット
ワークから社外ネットワークへのアクセスは特に禁止し
ていない。
【0020】社外の共同研究者でない者が社内ネットワ
ークや共同研究ネットワークにアクセスしようとする
と、アクセス制御機構10やアクセス制御機構30の設
定によりアクセスが禁止されているので、アクセスでき
ない。社外の共同研究者が社内ネットワークにアクセス
しようとすると、アクセス制御機構30によりアクセス
が禁止されているのでアクセスできないが、共同研究ネ
ットワークにアクセスした場合には、アクセス制御機構
10によりアクセスが許可されておりアクセスすること
ができる。共同研究ネットワークに一旦入ったあとで
は、アクセス制御機構30によりアクセスが禁止されて
いるため社内ネットワークにアクセスすることはできな
い。また、社内の共同研究者以外の者が共同研究ネット
ワークにアクセスしようとした場合には、アクセス制御
機構10でアクセスが禁止されているのでアクセスでき
ないが、社内の共同研究者は共同研究ネットワークにア
クセスすることができる。
ークや共同研究ネットワークにアクセスしようとする
と、アクセス制御機構10やアクセス制御機構30の設
定によりアクセスが禁止されているので、アクセスでき
ない。社外の共同研究者が社内ネットワークにアクセス
しようとすると、アクセス制御機構30によりアクセス
が禁止されているのでアクセスできないが、共同研究ネ
ットワークにアクセスした場合には、アクセス制御機構
10によりアクセスが許可されておりアクセスすること
ができる。共同研究ネットワークに一旦入ったあとで
は、アクセス制御機構30によりアクセスが禁止されて
いるため社内ネットワークにアクセスすることはできな
い。また、社内の共同研究者以外の者が共同研究ネット
ワークにアクセスしようとした場合には、アクセス制御
機構10でアクセスが禁止されているのでアクセスでき
ないが、社内の共同研究者は共同研究ネットワークにア
クセスすることができる。
【0021】以下、図6の実施例を説明する。図6の例
では、各IPルータのアクセス制御の設定は以下のよう
になる。 (1) ルータ20の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信は許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(202)のホストの1023番より大き
いポートへの通信は許可する。 (c)192.51.42.XX(301)のホストの23番ポート
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信は許可する。 (d)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (102)のホストの1023番より大
きいポートへの通信は許可 (e)それ以外の通信は全て禁止する。
では、各IPルータのアクセス制御の設定は以下のよう
になる。 (1) ルータ20の設定 (a)192.51.42.XX(301)のホストの23番ポート
と、133.160.39.5(201)のホストの1023番より大き
いポートへの通信は許可する。 (b)192.51.42.XX(301)のホストの23番ポート
と、133.160.64.1(202)のホストの1023番より大き
いポートへの通信は許可する。 (c)192.51.42.XX(301)のホストの23番ポート
と、192.51.40.1 (101)のホストの1023番より大き
いポートへの通信は許可する。 (d)192.51.42.XX(301)のホストの23番ポート
と、192.51.41.124 (102)のホストの1023番より大
きいポートへの通信は許可 (e)それ以外の通信は全て禁止する。
【0022】(2) ルータ30の設定 (a)XX.XX.XX.XX のホストの23番ポートと、133.160.
XX.XX (203)のホストの1023番より大きいポートへ
の通信は許可する。 (b)192.51.42.XX(301)のホストの23番のポート
と、XX.XX.XX.XX (103)のホストの1023番より大き
いポートへの通信は許可する。 (c)それ以外の通信は全て禁止 以上の設定により、アクセス制御機構30は社外ネット
ワークから社内ネットワークへのアクセスを一切禁止し
ているが、但し、社外ネットワークから共同研究ネット
ワークへの社外の共同研究者のアクセスは許している。
反対に社内ネットワークから社外ネットワークへのアク
セスは必要に応じて許可している。アクセス制御機構2
0は、社外ネットワークから共同研究ネットワークへの
社外の共同研究者のアクセスと、社内ネットワークから
共同研究ネットワークへの社内の共同研究者のアクセス
を、それぞれ許可しており、共同研究ネットワークから
社内ネットワークへのアクセスは一切禁止し、共同研究
ネットワークから社外ネットワークへのアクセスは特に
禁止していない。
XX.XX (203)のホストの1023番より大きいポートへ
の通信は許可する。 (b)192.51.42.XX(301)のホストの23番のポート
と、XX.XX.XX.XX (103)のホストの1023番より大き
いポートへの通信は許可する。 (c)それ以外の通信は全て禁止 以上の設定により、アクセス制御機構30は社外ネット
ワークから社内ネットワークへのアクセスを一切禁止し
ているが、但し、社外ネットワークから共同研究ネット
ワークへの社外の共同研究者のアクセスは許している。
反対に社内ネットワークから社外ネットワークへのアク
セスは必要に応じて許可している。アクセス制御機構2
0は、社外ネットワークから共同研究ネットワークへの
社外の共同研究者のアクセスと、社内ネットワークから
共同研究ネットワークへの社内の共同研究者のアクセス
を、それぞれ許可しており、共同研究ネットワークから
社内ネットワークへのアクセスは一切禁止し、共同研究
ネットワークから社外ネットワークへのアクセスは特に
禁止していない。
【0023】社外の共同研究者でない者が社内ネットワ
ークや共同研究ネットワークにアクセスしようとする
と、アクセス制御機構30(やアクセス制御機構20)
の設定によりアクセスが禁止されているので、アクセス
できない。社外の共同研究者が社内ネットワークにアク
セスしようとすると、アクセ制御機構30によりアクセ
スが禁止されているのでアクセスできないが、共同研究
ネットワークにアクセスした場合には、アクセス制御機
構30とアクセス制御機構20によりアクセスが許可さ
れておりアクセスすることができる。共同研究ネットワ
ークに一旦入ったあとでは、アクセス制御機構20によ
りアクセスが禁止されているため社内ネットワークにア
クセスすることはできない。また、社内の共同研究者以
外の者が共同研究ネットワークにアクセスしようとした
場合には、アクセス制御機構20でアクセスが禁止され
ているのでアクセスできないが、社内の共同研究者は共
同研究ネットワークにアクセスすることができる。
ークや共同研究ネットワークにアクセスしようとする
と、アクセス制御機構30(やアクセス制御機構20)
の設定によりアクセスが禁止されているので、アクセス
できない。社外の共同研究者が社内ネットワークにアク
セスしようとすると、アクセ制御機構30によりアクセ
スが禁止されているのでアクセスできないが、共同研究
ネットワークにアクセスした場合には、アクセス制御機
構30とアクセス制御機構20によりアクセスが許可さ
れておりアクセスすることができる。共同研究ネットワ
ークに一旦入ったあとでは、アクセス制御機構20によ
りアクセスが禁止されているため社内ネットワークにア
クセスすることはできない。また、社内の共同研究者以
外の者が共同研究ネットワークにアクセスしようとした
場合には、アクセス制御機構20でアクセスが禁止され
ているのでアクセスできないが、社内の共同研究者は共
同研究ネットワークにアクセスすることができる。
【0024】
【発明の効果】本発明により、社内ネットワークへの社
外の者のアクセスを制限しつつ共同研究ネットワークへ
の社外/社内の者のアクセスを可能とする環境を構築す
ることができる。
外の者のアクセスを制限しつつ共同研究ネットワークへ
の社外/社内の者のアクセスを可能とする環境を構築す
ることができる。
【図1】本発明の原理図である。
【図2】本発明の原理図である。
【図3】本発明の原理図である。
【図4】本発明の第1の実施例である。
【図5】本発明の第2の実施例である。
【図6】本発明の第3の実施例である。
10 ルータ 20 ルータ 30 ルータ
Claims (3)
- 【請求項1】ネットワークを外部ネットワーク、内部ネ
ットワーク、共用ネットワークの三つのネットワーク構
成要素に分け、外部ネットワークと共用ネットワークと
を第1の経路制御装置(10)を介して接続し、さらに
共用ネットワークと内部ネットワークを第2の経路制御
装置(20)を介して接続するネットワークの構成をと
り、 第1の経路制御装置(10)と第2の経路制御装置(2
0)には少なくともホスト単位にパケットの通過を制御
できる機能を有し、前記機能によりネットワーク相互の
アクセスを制御することにより、外部ネットワークのユ
ーザと内部ネットワークのユーザとの共用ネットワーク
上での共同作業を可能にするとともに、外部ネットワー
クから内部ネットワークへの不正な侵入を阻止するよう
にしたネットワーク構成において、 外部ネットワークと内部ネットワークとの間を第3の経
路制御装置(30)により接続し、第3の前記経路制御
装置(30)は、内部ネットワークと外部ネットワーク
の間のトラフィックを共用ネットワークに流さないよう
にしたことを特徴とするネットワーク構成方式。 - 【請求項2】ネットワークを外部ネットワーク、内部ネ
ットワーク、共用ネットワークの三つのネットワーク構
成要素に分け、外部ネットワークと共用ネットワークと
を第1の経路制御装置(10)を介して接続し、 外部ネットワークと内部ネットワークを第2の経路制御
装置(30)を介して接続し、 第1の経路制御装置(10)は、外部ネットワークから
のパケットと、内部ネットワークからのパケットを通過
させ、 第2の経路制御装置(30)は、内部ネットワークから
のパケットを通過せさ、他のネットワークからのパケッ
トの通過を禁止することを特徴としたネットワーク構成
方式。 - 【請求項3】ネットワークを外部ネットワーク、内部ネ
ットワーク、共用ネットワークの三つのネットワーク構
成要素に分け、内部ネットワークと共用ネットワークと
を第1の経路制御装置(20)を介して接続し、 外部ネットワークと内部ネットワークを第2の経路制御
装置(30)を介して接続し、 第1の経路制御装置(20)は、共用ネットワークから
のパケットの通過を禁止し、他のパケットは通過させ、 第2の経路制御装置(30)は、内部ネットワークから
のパケットと外部ネットワークから共用ネットワークへ
のパケットを通過させ、外部ネットワークから内部ネッ
トワークへのパケットの通過を禁止することを特徴とし
たネットワーク構成方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP05097692A JP3235165B2 (ja) | 1992-03-09 | 1992-03-09 | ネットワーク構成方式 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP05097692A JP3235165B2 (ja) | 1992-03-09 | 1992-03-09 | ネットワーク構成方式 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH05260052A true JPH05260052A (ja) | 1993-10-08 |
JP3235165B2 JP3235165B2 (ja) | 2001-12-04 |
Family
ID=12873847
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP05097692A Expired - Fee Related JP3235165B2 (ja) | 1992-03-09 | 1992-03-09 | ネットワーク構成方式 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3235165B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000089995A (ja) * | 1998-09-04 | 2000-03-31 | Visto Corp | ネットワークにおけるワークスペースエレメントの多数のコピーを安全に同期させる方法およびシステム |
JP2004531782A (ja) * | 2000-09-29 | 2004-10-14 | イレクトラニク、デイタ、システィムズ、コーパレイシャン | リアルタイムなビジネス・コラボレーションの方法 |
-
1992
- 1992-03-09 JP JP05097692A patent/JP3235165B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000089995A (ja) * | 1998-09-04 | 2000-03-31 | Visto Corp | ネットワークにおけるワークスペースエレメントの多数のコピーを安全に同期させる方法およびシステム |
JP2004531782A (ja) * | 2000-09-29 | 2004-10-14 | イレクトラニク、デイタ、システィムズ、コーパレイシャン | リアルタイムなビジネス・コラボレーションの方法 |
JP4903979B2 (ja) * | 2000-09-29 | 2012-03-28 | シーメンス、プラダクツ、ライフサイクル、マニジマント、ソフトウエア、インク | リアルタイムなビジネス・コラボレーションの方法 |
Also Published As
Publication number | Publication date |
---|---|
JP3235165B2 (ja) | 2001-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7735114B2 (en) | Multiple tiered network security system, method and apparatus using dynamic user policy assignment | |
US7296291B2 (en) | Controlled information flow between communities via a firewall | |
US6854063B1 (en) | Method and apparatus for optimizing firewall processing | |
US7536715B2 (en) | Distributed firewall system and method | |
JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
JP4327575B2 (ja) | 動的ファイアウォールシステム | |
US6760330B2 (en) | Community separation control in a multi-community node | |
CN100438427C (zh) | 网络控制方法和设备 | |
US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
EP1563664A1 (en) | Management of network security domains | |
US7194767B1 (en) | Screened subnet having a secured utility VLAN | |
US7047564B2 (en) | Reverse firewall packet transmission control system | |
JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
US7447782B2 (en) | Community access control in a multi-community node | |
Estrin et al. | VISA scheme for inter-organization network security | |
US6915351B2 (en) | Community separation control in a closed multi-community node | |
JPH05260052A (ja) | ネットワーク構成方式 | |
Cisco | Configuring Network Security | |
Cisco | Evolution of the Firewall Industry | |
Cisco | Evolution of the Firewall Industry | |
US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
Cisco | Evolution of the Firewall Industry | |
Cisco | Evolution of the Firewall Industry | |
Cisco | Evolution of the Firewall Industry | |
Cisco | Evolution of the Firewall Industry |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20010828 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080928 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |