JPH0787122A - ルータ形式ネットワーク間接続装置 - Google Patents
ルータ形式ネットワーク間接続装置Info
- Publication number
- JPH0787122A JPH0787122A JP5227124A JP22712493A JPH0787122A JP H0787122 A JPH0787122 A JP H0787122A JP 5227124 A JP5227124 A JP 5227124A JP 22712493 A JP22712493 A JP 22712493A JP H0787122 A JPH0787122 A JP H0787122A
- Authority
- JP
- Japan
- Prior art keywords
- network
- router
- port number
- information
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【構成】 IPルータ3は、LAN1とISDN2との
間をネットワーク層で中継するものであって、上位層ア
プリケーションに関する情報としてディスティネーショ
ンポート番号を記憶するポート番号テーブル5と、上記
ISDN2から受信したIPパケットにおける上位層ア
プリケーションをTCPヘッダもしくはUDPヘッダ中
のディスティネーションポート番号から判別し、上記ポ
ート番号テーブル5に記憶されている情報に基づいて、
受信IPパケットをLAN1へ送信するか否かを決定す
る上位層アプリケーション判別部6とを備えている。 【効果】 ある特定のアプリケーション通信のみを許可
し、それ以外の通信を不可能にするといったアプリケー
ションレベルの細かな制限を加えることが可能となり、
不用意な外部からの侵入を防ぐことができ、高いセキュ
リティを確保できる。
間をネットワーク層で中継するものであって、上位層ア
プリケーションに関する情報としてディスティネーショ
ンポート番号を記憶するポート番号テーブル5と、上記
ISDN2から受信したIPパケットにおける上位層ア
プリケーションをTCPヘッダもしくはUDPヘッダ中
のディスティネーションポート番号から判別し、上記ポ
ート番号テーブル5に記憶されている情報に基づいて、
受信IPパケットをLAN1へ送信するか否かを決定す
る上位層アプリケーション判別部6とを備えている。 【効果】 ある特定のアプリケーション通信のみを許可
し、それ以外の通信を不可能にするといったアプリケー
ションレベルの細かな制限を加えることが可能となり、
不用意な外部からの侵入を防ぐことができ、高いセキュ
リティを確保できる。
Description
【0001】
【産業上の利用分野】本発明は、複数のローカルエリア
ネットワークを広域情報通信網を利用して中継するネッ
トワーク間接続装置に関し、特に、ネットワーク層で動
作するルータ形式ネットワーク間接続装置に関するもの
である。
ネットワークを広域情報通信網を利用して中継するネッ
トワーク間接続装置に関し、特に、ネットワーク層で動
作するルータ形式ネットワーク間接続装置に関するもの
である。
【0002】
【従来の技術】近年、複数のネットワークを相互に接続
するインターネット環境が整備されており、例えば高速
ディジタル回線、パケット交換網、サービス総合ディジ
タル網(ISDN:Integrated Services Digital Netw
ork)等の広域情報通信網に、ローカルエリアネットワー
ク(LAN:Local Area Network)を接続することによ
り、遠く離れたLAN同士間のスムーズなデータ通信が
可能となっている。
するインターネット環境が整備されており、例えば高速
ディジタル回線、パケット交換網、サービス総合ディジ
タル網(ISDN:Integrated Services Digital Netw
ork)等の広域情報通信網に、ローカルエリアネットワー
ク(LAN:Local Area Network)を接続することによ
り、遠く離れたLAN同士間のスムーズなデータ通信が
可能となっている。
【0003】上記LANを公衆情報通信網に接続する場
合、ネットワーク間接続装置が用いられる。このネット
ワーク間接続装置は、LANと公衆情報通信網とのイン
ターフェースを有し、異なった種類のネットワーク(L
AN、広域情報通信網)がそれぞれ有するプロトコルの
相互変換を行うことによって、両ネットワーク間の通信
を可能にする。このネットワーク間接続装置には、OS
I(Open Systems Interconnection:開放型システム間
相互接続)参照モデルのネットワーク層(レイヤ3)で
動作するルータ形式ネットワーク間接続装置がある。
合、ネットワーク間接続装置が用いられる。このネット
ワーク間接続装置は、LANと公衆情報通信網とのイン
ターフェースを有し、異なった種類のネットワーク(L
AN、広域情報通信網)がそれぞれ有するプロトコルの
相互変換を行うことによって、両ネットワーク間の通信
を可能にする。このネットワーク間接続装置には、OS
I(Open Systems Interconnection:開放型システム間
相互接続)参照モデルのネットワーク層(レイヤ3)で
動作するルータ形式ネットワーク間接続装置がある。
【0004】上記ルータ形式ネットワーク間接続装置
は、ネットワーク層レベルでLANと公衆情報通信網と
の間の情報通信を中継し、トランスポート層(レイヤ
4)以上は透過的に転送するようになっている。以下、
このルータ形式ネットワーク間接続装置を単にルータと
称する。
は、ネットワーク層レベルでLANと公衆情報通信網と
の間の情報通信を中継し、トランスポート層(レイヤ
4)以上は透過的に転送するようになっている。以下、
このルータ形式ネットワーク間接続装置を単にルータと
称する。
【0005】次に、従来のルータを、図2を参照して説
明する。同図に示すルータ53は、情報データ信号の通
信をTCP/IP(Transmission Control Protocol/In
ternet Protocol)通信によって行うLAN51とISD
N52との間に設けられ、ISDN52に接続されてい
る他のLAN(図示せず)との通信を中継するISDN
対応リモートIPルータである。このIPルータ53
は、ISDNデータ受信部54、ルーティング処理部5
5、ルーティング情報テーブル56、およびLAN出力
部57を備えている。
明する。同図に示すルータ53は、情報データ信号の通
信をTCP/IP(Transmission Control Protocol/In
ternet Protocol)通信によって行うLAN51とISD
N52との間に設けられ、ISDN52に接続されてい
る他のLAN(図示せず)との通信を中継するISDN
対応リモートIPルータである。このIPルータ53
は、ISDNデータ受信部54、ルーティング処理部5
5、ルーティング情報テーブル56、およびLAN出力
部57を備えている。
【0006】このIPルータ53では、ISDN52か
らのデータをISDNデータ受信部54で受信処理し、
IPパケットとしてルーティング処理部55にわたす。
上記ルーティング処理部55は、パケットの送信元や転
送先をネットワーク番号とサブネットワーク番号とロー
カル番号(ホスト番号)とからなるネットワークアドレ
ス(IPアドレス)から判断し、ルーティング情報テー
ブル56に予め登録されているルーティング情報(転送
経路情報)に基づいてルーティングを行う。尚、もし、
送信元や転送先のネットワークアドレスが上記ルーティ
ング情報テーブル56に登録されていなかった場合、ル
ーティング処理部55は、上記パケットを破棄する。ル
ーティング処理部55においてルーティングが行われた
場合、LAN出力部57がLAN51へデータを出力す
る。
らのデータをISDNデータ受信部54で受信処理し、
IPパケットとしてルーティング処理部55にわたす。
上記ルーティング処理部55は、パケットの送信元や転
送先をネットワーク番号とサブネットワーク番号とロー
カル番号(ホスト番号)とからなるネットワークアドレ
ス(IPアドレス)から判断し、ルーティング情報テー
ブル56に予め登録されているルーティング情報(転送
経路情報)に基づいてルーティングを行う。尚、もし、
送信元や転送先のネットワークアドレスが上記ルーティ
ング情報テーブル56に登録されていなかった場合、ル
ーティング処理部55は、上記パケットを破棄する。ル
ーティング処理部55においてルーティングが行われた
場合、LAN出力部57がLAN51へデータを出力す
る。
【0007】以上のように、従来のIPルータ53は、
ネットワーク層において各ノードに割り当てられている
ネットワークアドレス(IPアドレス)と、ルーティン
グ情報テーブル56に予め登録されているルーティング
情報とによって、ISDN52またはLAN51から受
信したデータを中継するか否かを判別し、そのデータの
送信元と転送先との間のルーティング情報が、ルーティ
ング情報テーブル56に登録されているときだけ、その
データをそれぞれのインターフェースへ中継するように
なっている。
ネットワーク層において各ノードに割り当てられている
ネットワークアドレス(IPアドレス)と、ルーティン
グ情報テーブル56に予め登録されているルーティング
情報とによって、ISDN52またはLAN51から受
信したデータを中継するか否かを判別し、そのデータの
送信元と転送先との間のルーティング情報が、ルーティ
ング情報テーブル56に登録されているときだけ、その
データをそれぞれのインターフェースへ中継するように
なっている。
【0008】
【発明が解決しようとする課題】しかしながら、上記従
来のIPルータ53では、ネットワーク層で処理される
IPパケットのヘッダに含まれるIPアドレスだけで中
継の有無を判断し、上位層アプリケーションに関しては
一切関知しない構成となっているため、予めルーティン
グ情報により設定されているLAN同士もしくはホスト
同士であれば、全てのアプリケーションで通信可能とな
ってしまい、高いセキュリティを確保できないという問
題がある。
来のIPルータ53では、ネットワーク層で処理される
IPパケットのヘッダに含まれるIPアドレスだけで中
継の有無を判断し、上位層アプリケーションに関しては
一切関知しない構成となっているため、予めルーティン
グ情報により設定されているLAN同士もしくはホスト
同士であれば、全てのアプリケーションで通信可能とな
ってしまい、高いセキュリティを確保できないという問
題がある。
【0009】例えば、FTP(File Transfer Protoco
l)によるファイル転送だけを行いたいという取り引き
先があった場合、その取り引き先に関するルーティング
情報をルーティング情報テーブル56に登録することに
なる。しかしながら、一旦ルーティング情報テーブル5
6に登録した相手であれば、FTP(File Transfer Pr
otocol)によるファイル転送だけを許可するが、TEL
NETやrloginによる侵入を認めたくないといったよう
なアプリケーションレベルの制限を行うことはできない
ので、FTPによるファイル転送だけでなく、TELN
ETによるログインも可能となり、不用意な外部からの
侵入を防御できないのである。
l)によるファイル転送だけを行いたいという取り引き
先があった場合、その取り引き先に関するルーティング
情報をルーティング情報テーブル56に登録することに
なる。しかしながら、一旦ルーティング情報テーブル5
6に登録した相手であれば、FTP(File Transfer Pr
otocol)によるファイル転送だけを許可するが、TEL
NETやrloginによる侵入を認めたくないといったよう
なアプリケーションレベルの制限を行うことはできない
ので、FTPによるファイル転送だけでなく、TELN
ETによるログインも可能となり、不用意な外部からの
侵入を防御できないのである。
【0010】本発明は、上記に鑑みなされたものであ
り、その目的は、アプリケーションレベルで不用意な外
部からの侵入を防ぐことができ、高いセキュリティを確
保できるルータ形式ネットワーク間接続装置を提供する
ことにある。
り、その目的は、アプリケーションレベルで不用意な外
部からの侵入を防ぐことができ、高いセキュリティを確
保できるルータ形式ネットワーク間接続装置を提供する
ことにある。
【0011】
【課題を解決するための手段】本発明のルータ形式ネッ
トワーク間接続装置は、ローカルエリアネットワークと
広域情報通信網とのインターフェースを有し、上記ロー
カルエリアネットワークと広域情報通信網との間の情報
通信をネットワーク層で中継するものであって、上記の
課題を解決するために、以下の手段が講じられているこ
とを特徴としている。
トワーク間接続装置は、ローカルエリアネットワークと
広域情報通信網とのインターフェースを有し、上記ロー
カルエリアネットワークと広域情報通信網との間の情報
通信をネットワーク層で中継するものであって、上記の
課題を解決するために、以下の手段が講じられているこ
とを特徴としている。
【0012】即ち、上位層アプリケーションに関する情
報を記憶する記憶手段と、上記広域情報通信網から受信
したパケットにおける上位層アプリケーションを判別
し、上記記憶手段に記憶されている情報に基づいて、受
信パケットをローカルエリアネットワークへ送信するか
否かを決定する上位層アプリケーション判別手段とを備
えている。
報を記憶する記憶手段と、上記広域情報通信網から受信
したパケットにおける上位層アプリケーションを判別
し、上記記憶手段に記憶されている情報に基づいて、受
信パケットをローカルエリアネットワークへ送信するか
否かを決定する上位層アプリケーション判別手段とを備
えている。
【0013】
【作用】上記の構成によれば、ルータ形式ネットワーク
間接続装置は、上位層アプリケーションに関する情報を
記憶する記憶手段を備えており、この記憶手段に、接続
相手毎に、許可したくない上位層アプリケーションの情
報、或いは、許可する上位層アプリケーションの情報を
予め登録しておくことができる。
間接続装置は、上位層アプリケーションに関する情報を
記憶する記憶手段を備えており、この記憶手段に、接続
相手毎に、許可したくない上位層アプリケーションの情
報、或いは、許可する上位層アプリケーションの情報を
予め登録しておくことができる。
【0014】また、上記ルータ形式ネットワーク間接続
装置は、上位層アプリケーション判別手段を備えてお
り、広域情報通信網から受信したパケットにおける上位
層アプリケーションを判別し、判別した上位層アプリケ
ーションと上記記憶手段に予め登録されている上位層ア
プリケーションの情報と比較して、受信パケットをロー
カルエリアネットワークへ送信するか否かを決定するフ
ィルタリング機能を具備している。
装置は、上位層アプリケーション判別手段を備えてお
り、広域情報通信網から受信したパケットにおける上位
層アプリケーションを判別し、判別した上位層アプリケ
ーションと上記記憶手段に予め登録されている上位層ア
プリケーションの情報と比較して、受信パケットをロー
カルエリアネットワークへ送信するか否かを決定するフ
ィルタリング機能を具備している。
【0015】このように、上記ルータ形式ネットワーク
間接続装置は、広域情報通信網からパケットを受信した
とき、従来では何ら考慮されていなかったネットワーク
層より上位層であるアプリケーションを判別してフィル
タリングを行うようになっており、これにより、ある特
定のアプリケーション通信のみを許可し、それ以外の通
信を不可能にするといったアプリケーションレベルの細
かな制限を加えることが可能となり、不用意な外部から
の侵入を防ぐことができ、高いセキュリティを確保でき
る。
間接続装置は、広域情報通信網からパケットを受信した
とき、従来では何ら考慮されていなかったネットワーク
層より上位層であるアプリケーションを判別してフィル
タリングを行うようになっており、これにより、ある特
定のアプリケーション通信のみを許可し、それ以外の通
信を不可能にするといったアプリケーションレベルの細
かな制限を加えることが可能となり、不用意な外部から
の侵入を防ぐことができ、高いセキュリティを確保でき
る。
【0016】
【実施例】本発明の一実施例について図1に基づいて説
明すれば、以下の通りである。
明すれば、以下の通りである。
【0017】本実施例に係るルータ形式ネットワーク間
接続装置は、図1に示すように、OSI参照モデルの物
理層およびデータリンク層に位置するイーサネット(登
録商標、ゼロックス社)方式の通信規約を有して情報デ
ータ信号の通信をTCP/IP通信によって行うLAN
1と広域情報通信網としてのISDN2との間に設けら
れ、上記LAN1とISDN2との間をネットワーク層
で中継することによって、上記LAN1とISDN2に
接続されている他のLANやホストマシン(図示せず)
との間の情報通信を中継するISDN対応リモートIP
ルータ3である。
接続装置は、図1に示すように、OSI参照モデルの物
理層およびデータリンク層に位置するイーサネット(登
録商標、ゼロックス社)方式の通信規約を有して情報デ
ータ信号の通信をTCP/IP通信によって行うLAN
1と広域情報通信網としてのISDN2との間に設けら
れ、上記LAN1とISDN2との間をネットワーク層
で中継することによって、上記LAN1とISDN2に
接続されている他のLANやホストマシン(図示せず)
との間の情報通信を中継するISDN対応リモートIP
ルータ3である。
【0018】上記IPルータ3は、LAN1およびIS
DN2の両インターフェース、即ち、イーサネットイン
ターフェースと、Iインターフェース(国際電信電話諮
問委員会(CCITT)において勧告されているI.4
30に基づいたISDN基本インターフェース、または
CCITTのI.431に基づいたISDN一次群速度
インターフェース)とを有しており、これらのインター
フェースによってLAN1およびISDN2と接続され
ている。
DN2の両インターフェース、即ち、イーサネットイン
ターフェースと、Iインターフェース(国際電信電話諮
問委員会(CCITT)において勧告されているI.4
30に基づいたISDN基本インターフェース、または
CCITTのI.431に基づいたISDN一次群速度
インターフェース)とを有しており、これらのインター
フェースによってLAN1およびISDN2と接続され
ている。
【0019】ところで、OSI参照モデルのネットワー
ク層に位置するIPパケットには、パケットの送信元お
よび転送先のネットワークアドレス(IPアドレス)を
含むIPヘッダが含まれると共に、ネットワーク層より
上位層のトランスポート層(レイヤ4)に関する情報も
含まれている。このトランスポート層に関する情報とし
ては、TCPヘッダもしくはUDP(User Datagram Pr
otocol)ヘッダがあり、上記TCPヘッダやUDPヘッ
ダには、例えば、ポート番号21はFTP、ポート番号
23はTELNETというように、上位層アプリケーシ
ョンを一意に識別するためのディスティネーション(宛
先)ポート番号が含まれている。最終的にIPパケット
を受信したホストでは、TCPまたはUDPの処理プロ
グラムが、処理データを、上記ディスティネーションポ
ート番号で指定された上位層アプリケーションを処理す
るためのプログラムへ送るようになっている。
ク層に位置するIPパケットには、パケットの送信元お
よび転送先のネットワークアドレス(IPアドレス)を
含むIPヘッダが含まれると共に、ネットワーク層より
上位層のトランスポート層(レイヤ4)に関する情報も
含まれている。このトランスポート層に関する情報とし
ては、TCPヘッダもしくはUDP(User Datagram Pr
otocol)ヘッダがあり、上記TCPヘッダやUDPヘッ
ダには、例えば、ポート番号21はFTP、ポート番号
23はTELNETというように、上位層アプリケーシ
ョンを一意に識別するためのディスティネーション(宛
先)ポート番号が含まれている。最終的にIPパケット
を受信したホストでは、TCPまたはUDPの処理プロ
グラムが、処理データを、上記ディスティネーションポ
ート番号で指定された上位層アプリケーションを処理す
るためのプログラムへ送るようになっている。
【0020】したがって、IPパケットに含まれている
TCPヘッダもしくはUDPヘッダ中のディスティネー
ションポート番号をチェックすることによって、上位層
アプリケーションを判別することができる。そこで、本
実施例のIPルータ3は、以下に説明するように、上記
ディスティネーションポート番号をチェックして上位層
アプリケーションを判別する機能を備えている。
TCPヘッダもしくはUDPヘッダ中のディスティネー
ションポート番号をチェックすることによって、上位層
アプリケーションを判別することができる。そこで、本
実施例のIPルータ3は、以下に説明するように、上記
ディスティネーションポート番号をチェックして上位層
アプリケーションを判別する機能を備えている。
【0021】上記IPルータ3は、ISDN2からのデ
ータの受信処理を行うISDNデータ受信部4と、接続
相手毎にディスティネーションポート番号に関する情報
(上位層アプリケーションに関する情報)が登録されて
いるポート番号テーブル(記憶手段)5と、受信データ
のIPパケットに含まれているTCPもしくはUDPヘ
ッダ中のディスティネーションポート番号をチェック
し、上記ポート番号テーブル5に予め登録されているデ
ィスティネーションポート番号に関する情報に基づいて
情報通信を中継するか否かを決定する上位層アプリケー
ション判別部(上位層アプリケーション判別手段)6
と、ルーティング情報(転送経路情報)が登録されてい
るルーティング情報テーブル7と、IPパケットに含ま
れているネットワークアドレス(IPアドレス)をチェ
ックし、上記ルーティング情報テーブル56に予め登録
されているルーティング情報に基づいてルーティングを
行うルーティング処理部8と、ISDN2から受信した
データをLAN1で用いられているプロトコルのフォー
マットに対応するように変換してLAN1上へ出力する
LAN出力部9とを有している。
ータの受信処理を行うISDNデータ受信部4と、接続
相手毎にディスティネーションポート番号に関する情報
(上位層アプリケーションに関する情報)が登録されて
いるポート番号テーブル(記憶手段)5と、受信データ
のIPパケットに含まれているTCPもしくはUDPヘ
ッダ中のディスティネーションポート番号をチェック
し、上記ポート番号テーブル5に予め登録されているデ
ィスティネーションポート番号に関する情報に基づいて
情報通信を中継するか否かを決定する上位層アプリケー
ション判別部(上位層アプリケーション判別手段)6
と、ルーティング情報(転送経路情報)が登録されてい
るルーティング情報テーブル7と、IPパケットに含ま
れているネットワークアドレス(IPアドレス)をチェ
ックし、上記ルーティング情報テーブル56に予め登録
されているルーティング情報に基づいてルーティングを
行うルーティング処理部8と、ISDN2から受信した
データをLAN1で用いられているプロトコルのフォー
マットに対応するように変換してLAN1上へ出力する
LAN出力部9とを有している。
【0022】上記IPルータ3は、装置全体の動作を制
御するCPU(Central ProcessingUnit)と、このCP
Uの実行するプログラムや制御用データ、さらには、通
信対象のデータの一時記憶やパラメータ記憶に用いられ
るメモリを備えており、上記のISDNデータ受信部
4、上位層アプリケーション判別部6、ルーティング処
理部8、およびLAN出力部9は、上記メモリに格納さ
れた所定のプログラムを実行するCPUから構成される
ものである。また、上記メモリは、ディスティネーショ
ンポート番号に関する情報を格納する領域(上記ポート
番号テーブル5)を有すると共に、ルーティング情報を
格納する領域(上記ルーティング情報テーブル7)を有
している。
御するCPU(Central ProcessingUnit)と、このCP
Uの実行するプログラムや制御用データ、さらには、通
信対象のデータの一時記憶やパラメータ記憶に用いられ
るメモリを備えており、上記のISDNデータ受信部
4、上位層アプリケーション判別部6、ルーティング処
理部8、およびLAN出力部9は、上記メモリに格納さ
れた所定のプログラムを実行するCPUから構成される
ものである。また、上記メモリは、ディスティネーショ
ンポート番号に関する情報を格納する領域(上記ポート
番号テーブル5)を有すると共に、ルーティング情報を
格納する領域(上記ルーティング情報テーブル7)を有
している。
【0023】上記の構成において、IPルータ3の動作
を以下に説明する。
を以下に説明する。
【0024】先ず、ルーティング情報を、予め、IPル
ータ3のルーティング情報テーブル7へ登録すると共
に、接続相手毎にディスティネーションポート番号に関
する情報を、予め、ポート番号テーブル5へ登録するこ
とになる。本実施例では、許可したくない上位層アプリ
ケーションのディスティネーションポート番号を、接続
相手毎に、ポート番号テーブル5へ登録するようになっ
ている。
ータ3のルーティング情報テーブル7へ登録すると共
に、接続相手毎にディスティネーションポート番号に関
する情報を、予め、ポート番号テーブル5へ登録するこ
とになる。本実施例では、許可したくない上位層アプリ
ケーションのディスティネーションポート番号を、接続
相手毎に、ポート番号テーブル5へ登録するようになっ
ている。
【0025】上記の登録が行われたIPルータ53で
は、ISDN52からのデータをISDNデータ受信部
4で受信処理し、IPパケットとして上位層アプリケー
ション判別部6へわたすことになる。
は、ISDN52からのデータをISDNデータ受信部
4で受信処理し、IPパケットとして上位層アプリケー
ション判別部6へわたすことになる。
【0026】このとき、上位層アプリケーション判別部
6は、IPヘッダ中の送信元ネットワークアドレス(L
AN1との接続相手のネットワークアドレス)と、TC
PヘッダもしくはUDPヘッダ中のディスティネーショ
ンポート番号とをチェックし、そのディスティネーショ
ンポート番号と上記ポート番号テーブル5に予め登録さ
れている接続相手毎のディスティネーションポート番号
とを比較し、そのディスティネーションポート番号がポ
ート番号テーブル5に登録されていれば、上記パケット
を破棄する。一方、そのディスティネーションポート番
号がポート番号テーブル5に登録されていなければ、上
記パケットをルーティング処理部8へわたす。
6は、IPヘッダ中の送信元ネットワークアドレス(L
AN1との接続相手のネットワークアドレス)と、TC
PヘッダもしくはUDPヘッダ中のディスティネーショ
ンポート番号とをチェックし、そのディスティネーショ
ンポート番号と上記ポート番号テーブル5に予め登録さ
れている接続相手毎のディスティネーションポート番号
とを比較し、そのディスティネーションポート番号がポ
ート番号テーブル5に登録されていれば、上記パケット
を破棄する。一方、そのディスティネーションポート番
号がポート番号テーブル5に登録されていなければ、上
記パケットをルーティング処理部8へわたす。
【0027】上記ルーティング処理部8は、パケットの
送信元や転送先をネットワークアドレスから判断し、ル
ーティング情報テーブル7に予め登録されているルーテ
ィング情報に基づいてルーティングを行う。尚、もし、
送信元や転送先のネットワークアドレスが上記ルーティ
ング情報テーブル7に登録されていなかった場合、ルー
ティング処理部8は、上記パケットを破棄する。ルーテ
ィング処理部8においてルーティングが行われた場合、
LAN出力部9がデータをLAN1で用いられているプ
ロトコルのフォーマットに対応するように変換してLA
N1上へ出力する。
送信元や転送先をネットワークアドレスから判断し、ル
ーティング情報テーブル7に予め登録されているルーテ
ィング情報に基づいてルーティングを行う。尚、もし、
送信元や転送先のネットワークアドレスが上記ルーティ
ング情報テーブル7に登録されていなかった場合、ルー
ティング処理部8は、上記パケットを破棄する。ルーテ
ィング処理部8においてルーティングが行われた場合、
LAN出力部9がデータをLAN1で用いられているプ
ロトコルのフォーマットに対応するように変換してLA
N1上へ出力する。
【0028】以上のように、本実施例のIPルータ3
は、LAN1とISDN2とのインターフェースを有
し、上記LAN1とISDN2との間をネットワーク層
で中継するものであって、上位層アプリケーションに関
する情報としてディスティネーションポート番号を記憶
するポート番号テーブル5と、上記ISDN2から受信
したIPパケットにおける上位層アプリケーションをT
CPもしくはUDPヘッダ中のディスティネーションポ
ート番号から判別し、上記ポート番号テーブル5に記憶
されている情報に基づいて、受信IPパケットをLAN
1へ送信するか否かを決定する上位層アプリケーション
判別部6とを備えている構成である。
は、LAN1とISDN2とのインターフェースを有
し、上記LAN1とISDN2との間をネットワーク層
で中継するものであって、上位層アプリケーションに関
する情報としてディスティネーションポート番号を記憶
するポート番号テーブル5と、上記ISDN2から受信
したIPパケットにおける上位層アプリケーションをT
CPもしくはUDPヘッダ中のディスティネーションポ
ート番号から判別し、上記ポート番号テーブル5に記憶
されている情報に基づいて、受信IPパケットをLAN
1へ送信するか否かを決定する上位層アプリケーション
判別部6とを備えている構成である。
【0029】このように、本実施例のIPルータ3は、
従来では何ら考慮されていなかったネットワーク層より
上位層のアプリケーションを判別してLAN1への中継
を行うか否かを決定(フィルタリング)するようになっ
ているので、アプリケーションレベルで不用意な外部か
らの侵入を防ぐことができ、高いセキュリティを確保で
きる。
従来では何ら考慮されていなかったネットワーク層より
上位層のアプリケーションを判別してLAN1への中継
を行うか否かを決定(フィルタリング)するようになっ
ているので、アプリケーションレベルで不用意な外部か
らの侵入を防ぐことができ、高いセキュリティを確保で
きる。
【0030】例えば、FTPによるファイル転送は許可
するが、TELNETやrloginによる侵入を認めたくな
いという取り引き先(LAN1との接続相手)があった
場合、ポート番号テーブル5に、TELNETのポート
番号23およびrloginのポート番号513をその取り引
き先に対応するネットワーク番号(ISDN番号)と共
に登録しておけば、その取り引き先に対してはTELN
ETやrloginによる侵入を回避でき、許可したアプリケ
ーション通信(FTPによるファイル転送)に対しては
何ら影響を与えることはない。
するが、TELNETやrloginによる侵入を認めたくな
いという取り引き先(LAN1との接続相手)があった
場合、ポート番号テーブル5に、TELNETのポート
番号23およびrloginのポート番号513をその取り引
き先に対応するネットワーク番号(ISDN番号)と共
に登録しておけば、その取り引き先に対してはTELN
ETやrloginによる侵入を回避でき、許可したアプリケ
ーション通信(FTPによるファイル転送)に対しては
何ら影響を与えることはない。
【0031】尚、上記実施例では、許可したくない上位
層アプリケーションのディスティネーションポート番号
をポート番号テーブル5へ登録するようになっている
が、逆に、許可する上位層アプリケーションのディステ
ィネーションポート番号のみを登録するようにし、IS
DN2から受信したIPパケットのディスティネーショ
ンポート番号がポート番号テーブル5に登録されている
ポート番号と一致したときのみ、LAN1への中継を行
うような構成にしてもよい。
層アプリケーションのディスティネーションポート番号
をポート番号テーブル5へ登録するようになっている
が、逆に、許可する上位層アプリケーションのディステ
ィネーションポート番号のみを登録するようにし、IS
DN2から受信したIPパケットのディスティネーショ
ンポート番号がポート番号テーブル5に登録されている
ポート番号と一致したときのみ、LAN1への中継を行
うような構成にしてもよい。
【0032】また、上記実施例では、イーサネット方式
でTCP/IP通信を行うLAN1とISDN2とを例
に挙げて説明したが、これらに限定されるものではな
く、それぞれ他のプロトコルを有するLANや広域情報
通信網であってもよい。上記実施例は、あくまでも、本
発明の技術内容を明らかにするものであって、そのよう
な具体例にのみ限定して狭義に解釈されるべきものでは
なく、本発明の精神と特許請求の範囲内で、いろいろと
変更して実施することができるものである。
でTCP/IP通信を行うLAN1とISDN2とを例
に挙げて説明したが、これらに限定されるものではな
く、それぞれ他のプロトコルを有するLANや広域情報
通信網であってもよい。上記実施例は、あくまでも、本
発明の技術内容を明らかにするものであって、そのよう
な具体例にのみ限定して狭義に解釈されるべきものでは
なく、本発明の精神と特許請求の範囲内で、いろいろと
変更して実施することができるものである。
【0033】
【発明の効果】本発明のルータ形式ネットワーク間接続
装置は、以上のように、ローカルエリアネットワークと
広域情報通信網とのインターフェースを有し、上記ロー
カルエリアネットワークと広域情報通信網との間の情報
通信をネットワーク層で中継するものであって、上位層
アプリケーションに関する情報を記憶する記憶手段と、
上記広域情報通信網から受信したパケットにおける上位
層アプリケーションを判別し、上記記憶手段に記憶され
ている情報に基づいて、受信パケットをローカルエリア
ネットワークへ送信するか否かを決定する上位層アプリ
ケーション判別手段とを備えている構成であり、広域情
報通信網からパケットを受信したとき、従来では何ら考
慮されていなかったネットワーク層より上位層であるア
プリケーションを判別してフィルタリングを行うように
なっている。
装置は、以上のように、ローカルエリアネットワークと
広域情報通信網とのインターフェースを有し、上記ロー
カルエリアネットワークと広域情報通信網との間の情報
通信をネットワーク層で中継するものであって、上位層
アプリケーションに関する情報を記憶する記憶手段と、
上記広域情報通信網から受信したパケットにおける上位
層アプリケーションを判別し、上記記憶手段に記憶され
ている情報に基づいて、受信パケットをローカルエリア
ネットワークへ送信するか否かを決定する上位層アプリ
ケーション判別手段とを備えている構成であり、広域情
報通信網からパケットを受信したとき、従来では何ら考
慮されていなかったネットワーク層より上位層であるア
プリケーションを判別してフィルタリングを行うように
なっている。
【0034】それゆえ、ある特定のアプリケーション通
信のみを許可し、それ以外の通信を不可能にするといっ
たアプリケーションレベルの細かな制限を加えることが
可能となり、不用意な外部からの侵入を防ぐことがで
き、高いセキュリティを確保できるという効果を奏す
る。
信のみを許可し、それ以外の通信を不可能にするといっ
たアプリケーションレベルの細かな制限を加えることが
可能となり、不用意な外部からの侵入を防ぐことがで
き、高いセキュリティを確保できるという効果を奏す
る。
【図1】本発明の一実施例を示すものであり、ルータ形
式ネットワーク間接続装置の要部の構成を示すブロック
図である。
式ネットワーク間接続装置の要部の構成を示すブロック
図である。
【図2】従来のルータ形式ネットワーク間接続装置の要
部の構成を示すブロック図である。
部の構成を示すブロック図である。
1 LAN(ローカルエリアネットワーク) 2 ISDN(広域情報通信網) 3 IPルータ(ルータ形式ネットワーク間接続装
置) 4 ISDNデータ受信部 5 ポート番号テーブル(記憶手段) 6 上位層アプリケーション判別部(上位層アプリケ
ーション判別手段) 7 ルーティング情報テーブル 8 ルーティング処理部 9 LAN出力部
置) 4 ISDNデータ受信部 5 ポート番号テーブル(記憶手段) 6 上位層アプリケーション判別部(上位層アプリケ
ーション判別手段) 7 ルーティング情報テーブル 8 ルーティング処理部 9 LAN出力部
Claims (1)
- 【請求項1】ローカルエリアネットワークと広域情報通
信網とのインターフェースを有し、上記ローカルエリア
ネットワークと広域情報通信網との間の情報通信をネッ
トワーク層で中継するルータ形式ネットワーク間接続装
置において、 上位層アプリケーションに関する情報を記憶する記憶手
段と、 上記広域情報通信網から受信したパケットにおける上位
層アプリケーションを判別し、上記記憶手段に記憶され
ている情報に基づいて、受信パケットをローカルエリア
ネットワークへ送信するか否かを決定する上位層アプリ
ケーション判別手段とを備えていることを特徴とするル
ータ形式ネットワーク間接続装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5227124A JPH0787122A (ja) | 1993-09-13 | 1993-09-13 | ルータ形式ネットワーク間接続装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5227124A JPH0787122A (ja) | 1993-09-13 | 1993-09-13 | ルータ形式ネットワーク間接続装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0787122A true JPH0787122A (ja) | 1995-03-31 |
Family
ID=16855861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5227124A Pending JPH0787122A (ja) | 1993-09-13 | 1993-09-13 | ルータ形式ネットワーク間接続装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0787122A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6785819B1 (en) | 1998-11-06 | 2004-08-31 | Mitsubishi Denki Kabushki Kaisha | Agent method and computer system |
| WO2006095438A1 (ja) * | 2005-03-11 | 2006-09-14 | Fujitsu Limited | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
| KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
-
1993
- 1993-09-13 JP JP5227124A patent/JPH0787122A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6785819B1 (en) | 1998-11-06 | 2004-08-31 | Mitsubishi Denki Kabushki Kaisha | Agent method and computer system |
| WO2006095438A1 (ja) * | 2005-03-11 | 2006-09-14 | Fujitsu Limited | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
| JPWO2006095438A1 (ja) * | 2005-03-11 | 2008-08-14 | 富士通株式会社 | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
| US7856016B2 (en) | 2005-03-11 | 2010-12-21 | Fujitsu Limited | Access control method, access control system, and packet communication apparatus |
| JP4630896B2 (ja) * | 2005-03-11 | 2011-02-09 | 富士通株式会社 | アクセス制御方法、アクセス制御システムおよびパケット通信装置 |
| KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5845091A (en) | Forwarding of internetwork packets to a destination network via a selected one of a plurality of paths | |
| US8699500B2 (en) | Method and apparatus to perform network routing | |
| US6456632B1 (en) | Protocol separation in packet communication | |
| US5134610A (en) | Network transit prevention | |
| JP2001326693A (ja) | 通信装置及び通信制御方法並びに制御プログラム記録媒体 | |
| US20040246971A1 (en) | Apparatus for enabling multi-tuple TCP sockets within a computer network | |
| JP2003087290A (ja) | スイッチ及びブリッジド・ネットワーク | |
| JPH0787122A (ja) | ルータ形式ネットワーク間接続装置 | |
| Cisco | Bridging and IBM Networking Configuration Guide Cisco IOS Release 11.3 | |
| Cisco | Internetworking Background | |
| Cisco | Internetworking Background | |
| Cisco | Internetworking Background | |
| Cisco | Internetworking Background | |
| Cisco | Internetworking Technology Overview | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Source-Route Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Cisco IOS Bridging and IBM Networking Configuration Guide Release 12.1 | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Source-Route Bridging |