JPH09233113A - フィルタリング装置に対するフィルタリング条件設定方法 - Google Patents
フィルタリング装置に対するフィルタリング条件設定方法Info
- Publication number
- JPH09233113A JPH09233113A JP3953196A JP3953196A JPH09233113A JP H09233113 A JPH09233113 A JP H09233113A JP 3953196 A JP3953196 A JP 3953196A JP 3953196 A JP3953196 A JP 3953196A JP H09233113 A JPH09233113 A JP H09233113A
- Authority
- JP
- Japan
- Prior art keywords
- filtering
- application gateway
- address
- filtering device
- condition setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 フィルタリング装置に対するフィルタリング
条件設定項目の始点アドレス、終点アドレスは、通信の
制限を行いたいホストやネットワークのIPアドレスと
必ずしも一致しない。このため、条件設定にはネットワ
ークセキュリティに関する詳細な知識が必要となる。ま
た、アプリケーションゲートウェイのインストール位置
が変更された場合、その都度、すべてのフィルタリング
条件を書き換えなければならないという問題点があっ
た。 【解決手段】 始点アドレス、終点アドレス、プロトコ
ル、始点ポート、終点ポート、処理方法(通過/非通
過)の設定項目を持つフィルタリング条件設定ファイル
と、アプリケーションゲートウェイが中継するサービス
情報(プロトコル、ポート)やインストール位置(フィ
ルタリング装置との相対位置、IPアドレス)の設定情
報を持つアプリケーションゲートウェイ定義ファイルと
を使用してフィルタリング条件設定を行う。
条件設定項目の始点アドレス、終点アドレスは、通信の
制限を行いたいホストやネットワークのIPアドレスと
必ずしも一致しない。このため、条件設定にはネットワ
ークセキュリティに関する詳細な知識が必要となる。ま
た、アプリケーションゲートウェイのインストール位置
が変更された場合、その都度、すべてのフィルタリング
条件を書き換えなければならないという問題点があっ
た。 【解決手段】 始点アドレス、終点アドレス、プロトコ
ル、始点ポート、終点ポート、処理方法(通過/非通
過)の設定項目を持つフィルタリング条件設定ファイル
と、アプリケーションゲートウェイが中継するサービス
情報(プロトコル、ポート)やインストール位置(フィ
ルタリング装置との相対位置、IPアドレス)の設定情
報を持つアプリケーションゲートウェイ定義ファイルと
を使用してフィルタリング条件設定を行う。
Description
【0001】
【発明の属する技術分野】この発明は、フィルタリング
装置に対するフィルタリング条件設定方法に関するもの
であり、特に、フィルタリング装置とアプリケーション
ゲートウェイを併用した場合の条件設定の困難さを解消
するフィルタリング条件設定方法を提供する。
装置に対するフィルタリング条件設定方法に関するもの
であり、特に、フィルタリング装置とアプリケーション
ゲートウェイを併用した場合の条件設定の困難さを解消
するフィルタリング条件設定方法を提供する。
【0002】
【従来の技術】最近、インターネットに接続する企業は
急増しており、また、大学や研究所ではLANの整備が
進み、インターネットに接続するホスト数は増加の一途
である。これに伴って、日本国内のホストおよびネット
ワークが外部からの侵入者のターゲットにされるケース
も次第に増え始めている。このような外部からの不正ア
クセスを防ぐ手段の一つがファイアウォールの構築であ
る。
急増しており、また、大学や研究所ではLANの整備が
進み、インターネットに接続するホスト数は増加の一途
である。これに伴って、日本国内のホストおよびネット
ワークが外部からの侵入者のターゲットにされるケース
も次第に増え始めている。このような外部からの不正ア
クセスを防ぐ手段の一つがファイアウォールの構築であ
る。
【0003】ファイアウォールは、外部と接続している
ルータやゲートウェイマシンで不要なデータパケットを
通過させないように設定するものであり、ファイアウォ
ールの構成要素としては、フィルタリング装置、アプリ
ケーションゲートウェイがある。
ルータやゲートウェイマシンで不要なデータパケットを
通過させないように設定するものであり、ファイアウォ
ールの構成要素としては、フィルタリング装置、アプリ
ケーションゲートウェイがある。
【0004】フィルタリング装置は、特定のホストやネ
ットワークとの通信を制御するために、一般にネットワ
ーク層におけるパケットの制御を行う。そして、フィル
タリング装置に対してフィルタリング条件を設定する場
合、その通信制限範囲に応じて、始点アドレス、終点ア
ドレス、プロトコル、始点ポート、終点ポート及び通過
または非通過の処理方法を設定する。なお、始点アドレ
ス、終点アドレス、プロトコル、始点ポート、終点ポー
トの5つの設定は単独でも、組み合わせても指定可能で
ある。これにより、フィルタリング装置の内部と外部の
パケットの通過/非通過を制御する。
ットワークとの通信を制御するために、一般にネットワ
ーク層におけるパケットの制御を行う。そして、フィル
タリング装置に対してフィルタリング条件を設定する場
合、その通信制限範囲に応じて、始点アドレス、終点ア
ドレス、プロトコル、始点ポート、終点ポート及び通過
または非通過の処理方法を設定する。なお、始点アドレ
ス、終点アドレス、プロトコル、始点ポート、終点ポー
トの5つの設定は単独でも、組み合わせても指定可能で
ある。これにより、フィルタリング装置の内部と外部の
パケットの通過/非通過を制御する。
【0005】アプリケーションゲートウェイは、アプリ
ケーション層またはトランスポート層でパケットの制御
を行う。そして、アプリケーションゲートウェイは、パ
ケットのIPアドレスの変換(付け替え)機能を持つ場
合もある。これにより、内部から外部へのパケットのI
Pアドレスを付け替えることにより、内部のネットワー
ク情報の漏洩を防ぐことができる。
ケーション層またはトランスポート層でパケットの制御
を行う。そして、アプリケーションゲートウェイは、パ
ケットのIPアドレスの変換(付け替え)機能を持つ場
合もある。これにより、内部から外部へのパケットのI
Pアドレスを付け替えることにより、内部のネットワー
ク情報の漏洩を防ぐことができる。
【0006】図11は、一般のファイアウォールの構成
図である。図中、1はフィルタリング装置、2はアプリ
ケーションゲートウェイ、3はサーバ、4はクライアン
トである。フィルタリング装置に対してフィルタリング
条件設定をする際、ファイアウォールの構成をフィルタ
リング装置のみで構成する場合は通信制限範囲に対応し
た始点アドレス、終点アドレスを条件として設定する。
しかし、パケットのIPアドレス変換(付け替え)機能
を持つアプリケーションゲートウェイと併用する場合
は、アプリケーションゲートウェイの設定位置を含めた
システム構成とアプリケーションゲートウェイが行う変
換処理を考慮してフィルタリング条件を設定する必要が
ある。図12は、図11のネットワーク構成でクライア
ント4からサーバ3に対してTelnet(プロトコル
TCP、ポート番号23を使用するサービス)を許可す
る場合のフィルタリング装置1のフィルタリング条件設
定である。
図である。図中、1はフィルタリング装置、2はアプリ
ケーションゲートウェイ、3はサーバ、4はクライアン
トである。フィルタリング装置に対してフィルタリング
条件設定をする際、ファイアウォールの構成をフィルタ
リング装置のみで構成する場合は通信制限範囲に対応し
た始点アドレス、終点アドレスを条件として設定する。
しかし、パケットのIPアドレス変換(付け替え)機能
を持つアプリケーションゲートウェイと併用する場合
は、アプリケーションゲートウェイの設定位置を含めた
システム構成とアプリケーションゲートウェイが行う変
換処理を考慮してフィルタリング条件を設定する必要が
ある。図12は、図11のネットワーク構成でクライア
ント4からサーバ3に対してTelnet(プロトコル
TCP、ポート番号23を使用するサービス)を許可す
る場合のフィルタリング装置1のフィルタリング条件設
定である。
【0007】
【発明が解決しようとする課題】このように、フィルタ
リング装置に対するフィルタリング条件設定項目の始点
アドレス、終点アドレスは、通信の制限を行いたいホス
トやネットワークのIPアドレスと必ずしも一致しな
い。このため、条件設定にはネットワークセキュリティ
に関する詳細な知識を必要とする。また、アプリケーシ
ョンゲートウェイのインストール位置が変更された場
合、その都度、すべてのフィルタリング条件を書き換え
る必要があるという問題点があった。すなわち、フィル
タリング装置とアプリケーションゲートウェイを併用し
た場合のフィルタリングの条件設定は、容易にできない
という問題点があった。
リング装置に対するフィルタリング条件設定項目の始点
アドレス、終点アドレスは、通信の制限を行いたいホス
トやネットワークのIPアドレスと必ずしも一致しな
い。このため、条件設定にはネットワークセキュリティ
に関する詳細な知識を必要とする。また、アプリケーシ
ョンゲートウェイのインストール位置が変更された場
合、その都度、すべてのフィルタリング条件を書き換え
る必要があるという問題点があった。すなわち、フィル
タリング装置とアプリケーションゲートウェイを併用し
た場合のフィルタリングの条件設定は、容易にできない
という問題点があった。
【0008】
【課題を解決するための手段】この発明は上記のような
問題点を考慮してなされたもので、フィルタリング装置
とアプリケーションゲートウェイを併用した場合のフィ
ルタリングの条件設定の困難さを解消し、アプリケーシ
ョンゲートウェイのインストール位置を意識せずにフィ
ルタリング条件設定が行える方法を提供する。
問題点を考慮してなされたもので、フィルタリング装置
とアプリケーションゲートウェイを併用した場合のフィ
ルタリングの条件設定の困難さを解消し、アプリケーシ
ョンゲートウェイのインストール位置を意識せずにフィ
ルタリング条件設定が行える方法を提供する。
【0009】
【発明の実施の形態】送信元IPアドレスと送信元ネッ
トマスクを有する始点アドレス、着信先IPアドレスと
着信先ネットマスクを有する終点アドレス、プロトコ
ル、始点ポート、終点ポート、通過または非通過の処理
方法の設定項目を持つフィルタリング条件設定ファイル
と、アプリケーションゲートウェイが中継するプロトコ
ルとポートからなるサービス情報、アプリケーションゲ
ートウェイのフィルタリング装置との相対位置とIPア
ドレスからなるインストール位置の設定情報を持つアプ
リケーションゲートウェイ定義ファイルとを使用してフ
ィルタリング装置にフィルタリング条件設定を行う。こ
れにより、ネットワークセキュリティに関する詳細な知
識がなくてもフィルタリング条件を設定することが可能
となる。
トマスクを有する始点アドレス、着信先IPアドレスと
着信先ネットマスクを有する終点アドレス、プロトコ
ル、始点ポート、終点ポート、通過または非通過の処理
方法の設定項目を持つフィルタリング条件設定ファイル
と、アプリケーションゲートウェイが中継するプロトコ
ルとポートからなるサービス情報、アプリケーションゲ
ートウェイのフィルタリング装置との相対位置とIPア
ドレスからなるインストール位置の設定情報を持つアプ
リケーションゲートウェイ定義ファイルとを使用してフ
ィルタリング装置にフィルタリング条件設定を行う。こ
れにより、ネットワークセキュリティに関する詳細な知
識がなくてもフィルタリング条件を設定することが可能
となる。
【0010】
【実施例】図1から図10に、この発明のフィルタリン
グ装置に対するフィルタリング条件設定方法の一実施例
を示す。
グ装置に対するフィルタリング条件設定方法の一実施例
を示す。
【0011】図1は、この発明の構成図であり、10は
フィルタリング装置、11はフィルタリング条件設定フ
ァイル、12はアプリケーションゲートウェイ定義ファ
イルである。フィルタリング装置10に対するフィルタ
リング条件設定は、フィルタリング条件設定ファイル1
1とアプリケーションゲートウェイ定義ファイル12を
使用して行う。フィルタリング条件設定ファイル11に
は、始点アドレス、終点アドレス、プロトコル、始点ポ
ート、終点ポート、処理の項目が設定されている。アプ
リケーションゲートウェイ定義ファイル12には、サー
ビス情報、インストール位置(フィルタリング装置との
相対位置、IPアドレス)の項目が設定されている。な
お、「フィルタリング装置との相対位置」は、これ以降
「相対位置」と記している。
フィルタリング装置、11はフィルタリング条件設定フ
ァイル、12はアプリケーションゲートウェイ定義ファ
イルである。フィルタリング装置10に対するフィルタ
リング条件設定は、フィルタリング条件設定ファイル1
1とアプリケーションゲートウェイ定義ファイル12を
使用して行う。フィルタリング条件設定ファイル11に
は、始点アドレス、終点アドレス、プロトコル、始点ポ
ート、終点ポート、処理の項目が設定されている。アプ
リケーションゲートウェイ定義ファイル12には、サー
ビス情報、インストール位置(フィルタリング装置との
相対位置、IPアドレス)の項目が設定されている。な
お、「フィルタリング装置との相対位置」は、これ以降
「相対位置」と記している。
【0012】図2は、フィルタリング条件設定の処理フ
ローチャートであり、フローチャートに沿って説明す
る。まず、フィルタリング条件が記述されているフィル
タリング条件設定ファイルを読み込む(ステップS20
1)。アプリケーションゲートウェイ定義ファイルが有
るかを判定する(ステップS202)。定義ファイルが
あれば、ステップS203に進む。定義ファイルがなけ
れば、ステップS205に進む。アプリケーションゲー
トウェイ定義ファイルを読み込む(ステップS20
3)。アプリケーションゲートウェイ定義ファイルの内
容によりフィルタリング条件設定ファイルの内容を変換
する(ステップS204)。なお、フィルタリング条件
設定ファイルの内容の変換処理の詳細は、後の図3で説
明する。フィルタリング条件設定ファイルの内容にした
がって、フィルタリング装置へのフィルタリング条件設
定を行う(ステップS205)。
ローチャートであり、フローチャートに沿って説明す
る。まず、フィルタリング条件が記述されているフィル
タリング条件設定ファイルを読み込む(ステップS20
1)。アプリケーションゲートウェイ定義ファイルが有
るかを判定する(ステップS202)。定義ファイルが
あれば、ステップS203に進む。定義ファイルがなけ
れば、ステップS205に進む。アプリケーションゲー
トウェイ定義ファイルを読み込む(ステップS20
3)。アプリケーションゲートウェイ定義ファイルの内
容によりフィルタリング条件設定ファイルの内容を変換
する(ステップS204)。なお、フィルタリング条件
設定ファイルの内容の変換処理の詳細は、後の図3で説
明する。フィルタリング条件設定ファイルの内容にした
がって、フィルタリング装置へのフィルタリング条件設
定を行う(ステップS205)。
【0013】図3は、フィルタリング条件の変換処理フ
ローチャートであり、フローチャートに沿って説明す
る。変換対象のフィルタリング条件を設定する(ステッ
プS301)。フィルタリング条件設定ファイルのすべ
ての条件に対して、以下の処理を実行したか判定する
(ステップS302)。すべての条件に対して処理を実
行したならば、この処理を終了する。すべての条件に対
して処理を実行してなければ、ステップS303へ進
む。フィルタリング条件のプロトコルと終点ポートがア
プリケーションゲートウェイ定義ファイルのサービス情
報(プロトコル/ポート番号)と一致するか判定する
(ステップS303)。一致するならば、ステップS3
04に進む、一致しないならば、ステップS305ヘ進
む。アプリケーションゲートウェイのインストール位置
に応じたフィルタリング条件の内容を変換する(ステッ
プS304)。なお、アプリケーションゲートウェイの
インストールの位置に応じたフィルタリング条件の内容
の変換処理の詳細は、後の図4で説明する。変更対象を
次のフィルタリング条件に設定する(ステップS30
5)。そして、ステップS302に戻る。
ローチャートであり、フローチャートに沿って説明す
る。変換対象のフィルタリング条件を設定する(ステッ
プS301)。フィルタリング条件設定ファイルのすべ
ての条件に対して、以下の処理を実行したか判定する
(ステップS302)。すべての条件に対して処理を実
行したならば、この処理を終了する。すべての条件に対
して処理を実行してなければ、ステップS303へ進
む。フィルタリング条件のプロトコルと終点ポートがア
プリケーションゲートウェイ定義ファイルのサービス情
報(プロトコル/ポート番号)と一致するか判定する
(ステップS303)。一致するならば、ステップS3
04に進む、一致しないならば、ステップS305ヘ進
む。アプリケーションゲートウェイのインストール位置
に応じたフィルタリング条件の内容を変換する(ステッ
プS304)。なお、アプリケーションゲートウェイの
インストールの位置に応じたフィルタリング条件の内容
の変換処理の詳細は、後の図4で説明する。変更対象を
次のフィルタリング条件に設定する(ステップS30
5)。そして、ステップS302に戻る。
【0014】図4は、アプリケーションゲートウェイの
インストール位置に応じたフィルタリング条件の変換処
理フローチャートであり、フローチャートに沿って説明
する。アプリケーションゲートウェイの相対位置が0
(アプリケーションゲートウェイがフィルタリング装置
と同一マシンに位置する場合)であるか判定する(ステ
プS401)。相対位置が0ならばステップS402に
進む。相対位置が0でなければステップS404ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスまたは終点アドレスがアプリケーションゲートウ
ェイのIPアドレスと一致しないか判定する(ステップ
S402)。一致しないならばステップS403に進
む。一致するならば処理を終了する。クライアントから
見た始点アドレス(サーバから見た終点アドレス)をフ
ィルタリング装置の外側IPアドレスに、クライアント
から見た終点アドレス(サーバから見た始点アドレス)
をフィルタリング装置の内側IPアドレスに変更した2
つの条件に分解する(ステップS403)。そして、処
理を終了する。
インストール位置に応じたフィルタリング条件の変換処
理フローチャートであり、フローチャートに沿って説明
する。アプリケーションゲートウェイの相対位置が0
(アプリケーションゲートウェイがフィルタリング装置
と同一マシンに位置する場合)であるか判定する(ステ
プS401)。相対位置が0ならばステップS402に
進む。相対位置が0でなければステップS404ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスまたは終点アドレスがアプリケーションゲートウ
ェイのIPアドレスと一致しないか判定する(ステップ
S402)。一致しないならばステップS403に進
む。一致するならば処理を終了する。クライアントから
見た始点アドレス(サーバから見た終点アドレス)をフ
ィルタリング装置の外側IPアドレスに、クライアント
から見た終点アドレス(サーバから見た始点アドレス)
をフィルタリング装置の内側IPアドレスに変更した2
つの条件に分解する(ステップS403)。そして、処
理を終了する。
【0015】アプリケーションゲートウェイの相対位置
が1(アプリケーションゲートウェイがフィルタリング
装置より内側に位置する場合)であるか判定する(ステ
ップS404)。相対位置が1ならばステップS405
に進む。相対位置が1でなければステップS407ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS405)。一致し
ないならばステップS406に進む。一致するならば処
理を終了する。クライアントから見た始点アドレス(サ
ーバから見た終点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
6)。そして、処理を終了する。
が1(アプリケーションゲートウェイがフィルタリング
装置より内側に位置する場合)であるか判定する(ステ
ップS404)。相対位置が1ならばステップS405
に進む。相対位置が1でなければステップS407ヘ進
む。フィルタリング条件のクライアントから見た始点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS405)。一致し
ないならばステップS406に進む。一致するならば処
理を終了する。クライアントから見た始点アドレス(サ
ーバから見た終点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
6)。そして、処理を終了する。
【0016】アプリケーションゲートウェイの相対位置
が−1(アプリケーションゲートウェイがフィルタリン
グ装置より外側に位置する場合)であるか判定する(ス
テップS407)。相対位置が−1ならばステップS4
08に進む。相対位置が−1でなければ処理を終了す
る。フィルタリング条件のクライアントから見た終点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS408)。一致し
ないならばステップS409に進む。一致するならば処
理を終了する。クライアントから見た終点アドレス(サ
ーバから見た始点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
9)。そして、処理を終了する。
が−1(アプリケーションゲートウェイがフィルタリン
グ装置より外側に位置する場合)であるか判定する(ス
テップS407)。相対位置が−1ならばステップS4
08に進む。相対位置が−1でなければ処理を終了す
る。フィルタリング条件のクライアントから見た終点ア
ドレスがアプリケーションゲートウェイのIPアドレス
と一致しないか判定する(ステップS408)。一致し
ないならばステップS409に進む。一致するならば処
理を終了する。クライアントから見た終点アドレス(サ
ーバから見た始点アドレス)をアプリケーションゲート
ウェイのIPアドレスに変更する(ステップS40
9)。そして、処理を終了する。
【0017】図5から図10に、一般に用いられている
ネットワーク構成と、それに対応するアプリケーション
ゲートウェイ定義ファイル、フィルタリング条件ファイ
ルと上記のフィルタリング条件設定の処理によるフィル
タリング装置のフィルタリング条件設定の具体例を示
す。
ネットワーク構成と、それに対応するアプリケーション
ゲートウェイ定義ファイル、フィルタリング条件ファイ
ルと上記のフィルタリング条件設定の処理によるフィル
タリング装置のフィルタリング条件設定の具体例を示
す。
【0018】図5は、アプリケーションゲートウェイを
使用しない場合のネットワーク構成図である。クライア
ント4(IPアドレス=123.1.1.1)はLAN
−1経由でフィルタリング装置1(内側IPアドレス=
123.3.3.3)と接続されている。フィルタリン
グ装置1(外側IPアドレス=123.4.4.4)は
LAN−2、ルータ、インターネット経由でサーバ3
(IPアドレス=255.6.6.6)と接続されてい
る。
使用しない場合のネットワーク構成図である。クライア
ント4(IPアドレス=123.1.1.1)はLAN
−1経由でフィルタリング装置1(内側IPアドレス=
123.3.3.3)と接続されている。フィルタリン
グ装置1(外側IPアドレス=123.4.4.4)は
LAN−2、ルータ、インターネット経由でサーバ3
(IPアドレス=255.6.6.6)と接続されてい
る。
【0019】図6は、図5のネットワーク構成でクライ
アント4からサーバ3に対してTelnet(プロトコ
ルTCP、ポート番号23を使用するサービス)を許可
する場合のフィルタリング装置1のフィルタリング条件
設定である。この場合は、アプリケーションゲートウェ
イ定義ファイル61がないので、図2のフィルタリング
条件設定の処理フローチャートのステップS203とス
テップS204は行われず、フィルタリング条件設定フ
ァイル62の内容がそのままフィルタリング装置1のフ
ィルタリング条件設定63となる。
アント4からサーバ3に対してTelnet(プロトコ
ルTCP、ポート番号23を使用するサービス)を許可
する場合のフィルタリング装置1のフィルタリング条件
設定である。この場合は、アプリケーションゲートウェ
イ定義ファイル61がないので、図2のフィルタリング
条件設定の処理フローチャートのステップS203とス
テップS204は行われず、フィルタリング条件設定フ
ァイル62の内容がそのままフィルタリング装置1のフ
ィルタリング条件設定63となる。
【0020】図7は、アプリケーションゲートウェイが
フィルタリング装置より外側に位置する場合のネットワ
ーク構成図である。クライアント4(IPアドレス=1
23.1.1.1)はLAN−1経由でフィルタリング
装置1(内側IPアドレス=123.3.3.3)と接
続されている。フィルタリング装置1(外側IPアドレ
ス=123.4.4.4)はLAN−2、ルータ、イン
ターネット経由でサーバ3(IPアドレス=255.
6.6.6)と接続されており、また、フィルタリング
装置1(外側IPアドレス=123.4.4.4)はL
AN−2経由でアプリケーションゲートウェイ2(IP
アドレス=123.5.5.5)と接続されている。
フィルタリング装置より外側に位置する場合のネットワ
ーク構成図である。クライアント4(IPアドレス=1
23.1.1.1)はLAN−1経由でフィルタリング
装置1(内側IPアドレス=123.3.3.3)と接
続されている。フィルタリング装置1(外側IPアドレ
ス=123.4.4.4)はLAN−2、ルータ、イン
ターネット経由でサーバ3(IPアドレス=255.
6.6.6)と接続されており、また、フィルタリング
装置1(外側IPアドレス=123.4.4.4)はL
AN−2経由でアプリケーションゲートウェイ2(IP
アドレス=123.5.5.5)と接続されている。
【0021】図8は、図7のネットワーク構成でクライ
アント4からアプリケーションゲートウェイ2に対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
1のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル81があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理で、フ
ィルタリング条件設定ファイル82の内容が変更され
(クライアントから見た終点アドレスがアプリケーショ
ンゲートウェイのIPアドレスに変更される)、フィル
タリング装置1のフィルタリング条件設定83となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件の終点アドレ
スが255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ、サーバからクライアン
トへのパケットを通過させるための条件の始点アドレス
が255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ変更される。
アント4からアプリケーションゲートウェイ2に対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
1のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル81があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理で、フ
ィルタリング条件設定ファイル82の内容が変更され
(クライアントから見た終点アドレスがアプリケーショ
ンゲートウェイのIPアドレスに変更される)、フィル
タリング装置1のフィルタリング条件設定83となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件の終点アドレ
スが255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ、サーバからクライアン
トへのパケットを通過させるための条件の始点アドレス
が255.6.6.6 0.0.0.0から123.
5.5.5 0.0.0.0へ変更される。
【0022】図9は、アプリケーションゲートウェイが
フィルタリング装置と同一マシンに位置する場合のネッ
トワーク構成図である。クライアント4(IPアドレス
=123.1.1.1)はLAN−1経由でフィルタリ
ング装置1(内側IPアドレス=123.3.3.3)
と接続されている。フィルタリング装置1(外側IPア
ドレス=123.4.4.4)はLAN−2、ルータ、
インターネット経由でサーバ3(IPアドレス=25
5.6.6.6)と接続されており、また、アプリケー
ションゲートウェイはフィルタリング装置5の中にあ
る。
フィルタリング装置と同一マシンに位置する場合のネッ
トワーク構成図である。クライアント4(IPアドレス
=123.1.1.1)はLAN−1経由でフィルタリ
ング装置1(内側IPアドレス=123.3.3.3)
と接続されている。フィルタリング装置1(外側IPア
ドレス=123.4.4.4)はLAN−2、ルータ、
インターネット経由でサーバ3(IPアドレス=25
5.6.6.6)と接続されており、また、アプリケー
ションゲートウェイはフィルタリング装置5の中にあ
る。
【0023】図10は、図9のネットワーク構成でクラ
イアント4からアプリケーションゲートウェイに対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
5のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル101があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理でフィ
ルタリング条件設定ファイル102の内容が変更され
(クライアントから見た始点アドレスをフィルタリング
装置の外側のIPアドレスに、また、クライアントから
見た終点アドレスをフィルタリング装置の内側のIPア
ドレスに変更した2つの条件に分解される)、フィルタ
リング装置5のフィルタリング条件設定103となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件は、クライア
ントから見た終点アドレスを255.6.6.6 0.
0.0.0から123.3.3.3 0.0.0.0へ
変更した条件と、クライアントから見た始点アドレスを
123.1.1.1 0.0.0.0から123.4.
4.4 0.0.0.0へ変更した条件となる。
イアント4からアプリケーションゲートウェイに対して
Telnet(プロトコルTCP、ポート番号23を使
用するサービス)を許可する場合のフィルタリング装置
5のフィルタリング条件設定である。この場合は、アプ
リケーションゲートウェイ定義ファイル101があるの
で、図2のフィルタリング条件設定の処理フローチャー
トのステップS203とステップS204の処理でフィ
ルタリング条件設定ファイル102の内容が変更され
(クライアントから見た始点アドレスをフィルタリング
装置の外側のIPアドレスに、また、クライアントから
見た終点アドレスをフィルタリング装置の内側のIPア
ドレスに変更した2つの条件に分解される)、フィルタ
リング装置5のフィルタリング条件設定103となる。
変更された部分は下線部分であり、クライアントからサ
ーバへのパケットを通過させるための条件は、クライア
ントから見た終点アドレスを255.6.6.6 0.
0.0.0から123.3.3.3 0.0.0.0へ
変更した条件と、クライアントから見た始点アドレスを
123.1.1.1 0.0.0.0から123.4.
4.4 0.0.0.0へ変更した条件となる。
【0024】この3つの例からでもわかるように、フィ
ルタリング条件設定ファイルの内容を変更しなくても、
アプリケーションゲートウェイ定義ファイルの内容を変
更するだけで、いろいろなネットワーク構成のフィルタ
リング装置に対するフィルタリング条件設定が可能であ
る。
ルタリング条件設定ファイルの内容を変更しなくても、
アプリケーションゲートウェイ定義ファイルの内容を変
更するだけで、いろいろなネットワーク構成のフィルタ
リング装置に対するフィルタリング条件設定が可能であ
る。
【0025】
【発明の効果】この発明は、上記に説明したような形態
で実施され、以下の効果がある。フィルタリング装置と
アプリケーションゲートウェイを併用した場合のフィル
タリングの条件設定の困難さを解消し、また、アプリケ
ションゲートウェイのインストール位置を意識せずにフ
ィルタリング条件設定を容易に行うことが可能であり、
フィルタリング条件設定作業を大幅に短縮できる。
で実施され、以下の効果がある。フィルタリング装置と
アプリケーションゲートウェイを併用した場合のフィル
タリングの条件設定の困難さを解消し、また、アプリケ
ションゲートウェイのインストール位置を意識せずにフ
ィルタリング条件設定を容易に行うことが可能であり、
フィルタリング条件設定作業を大幅に短縮できる。
【図1】 この発明の構成図である。
【図2】 フィルタリング条件設定の処理フローチャー
トである。
トである。
【図3】 フィルタリング条件の変換処理フローチャー
トである。
トである。
【図4】 アプリケーションゲートウェイのインストー
ル位置に応じたフィルタリング条件の変換処理フローチ
ャートである。
ル位置に応じたフィルタリング条件の変換処理フローチ
ャートである。
【図5】 アプリケーションゲートウェイを使用しない
場合のネットワーク構成図である。
場合のネットワーク構成図である。
【図6】 図5のネットワーク構成でクライアントから
サーバに対してTelnet(プロトコルTCP、ポー
ト番号23を使用するサービス)を許可する場合のフィ
ルタリング装置のフィルタリング条件設定である。
サーバに対してTelnet(プロトコルTCP、ポー
ト番号23を使用するサービス)を許可する場合のフィ
ルタリング装置のフィルタリング条件設定である。
【図7】 アプリケーションゲートウェイがフィルタリ
ング装置より外側に位置する場合のネットワーク構成図
である。
ング装置より外側に位置する場合のネットワーク構成図
である。
【図8】 図7のネットワーク構成でクライアントから
アプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。
アプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。
【図9】 アプリケーションゲートウェイがフィルタリ
ング装置と同一マシンに位置する場合のネットワーク構
成図である。
ング装置と同一マシンに位置する場合のネットワーク構
成図である。
【図10】 図9のネットワーク構成でクライアントか
らアプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。
らアプリケーションゲートウェイに対してTelnet
(プロトコルTCP、ポート番号23を使用するサービ
ス)を許可する場合のフィルタリング装置のフィルタリ
ング条件設定である。
【図11】 一般のファイアウォールの構成図である。
【図12】 図11のネットワーク構成でクライアント
からアプリケーションゲートウェイに対してTelne
t(プロトコルTCP、ポート番号23を使用するサー
ビス)を許可する場合のフィルタリング装置のフィルタ
リング条件設定である。
からアプリケーションゲートウェイに対してTelne
t(プロトコルTCP、ポート番号23を使用するサー
ビス)を許可する場合のフィルタリング装置のフィルタ
リング条件設定である。
10 フィルタリング装置 11 フィルタリング条件設定ファイル 12 アプリケーションゲートウェイ定義ファイル
Claims (1)
- 【請求項1】送信元IPアドレスと送信元ネットマスク
を有する始点アドレス、着信先IPアドレスと着信先ネ
ットマスクを有する終点アドレス、プロトコル、始点ポ
ート、終点ポート、通過または非通過の処理方法の設定
項目を持つフィルタリング条件設定ファイル(11)
と、アプリケーションゲートウェイが中継するプロトコ
ルとポートからなるサービス情報、アプリケーションゲ
ートウェイのフィルタリング装置との相対位置とIPア
ドレスからなるインストール位置の設定情報を持つアプ
リケーションゲートウェイ定義ファイル(12)とを使
用することでフィルタリング条件設定を行うことを特徴
とするフィルタリング装置に対するフィルタリング条件
設定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3953196A JP3310851B2 (ja) | 1996-02-27 | 1996-02-27 | フィルタリング装置に対するフィルタリング条件設定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3953196A JP3310851B2 (ja) | 1996-02-27 | 1996-02-27 | フィルタリング装置に対するフィルタリング条件設定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09233113A true JPH09233113A (ja) | 1997-09-05 |
| JP3310851B2 JP3310851B2 (ja) | 2002-08-05 |
Family
ID=12555636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3953196A Expired - Fee Related JP3310851B2 (ja) | 1996-02-27 | 1996-02-27 | フィルタリング装置に対するフィルタリング条件設定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3310851B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| WO2003053017A1 (fr) * | 2001-12-19 | 2003-06-26 | Kazuhiro Yamamoto | Systeme de transmission de courrier electronique avec adresse de serveur de courrier mandataire |
| JP2007259457A (ja) * | 2006-03-24 | 2007-10-04 | Kofukin Seimitsu Kogyo (Shenzhen) Yugenkoshi | テルネット安全システム及び方法 |
| US7581001B2 (en) | 1998-08-26 | 2009-08-25 | Sts Systems Ltd. | Communication management system for computer network-based telephones |
| JP2013009406A (ja) * | 1998-12-03 | 2013-01-10 | Nortel Networks Ltd | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 |
-
1996
- 1996-02-27 JP JP3953196A patent/JP3310851B2/ja not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7581001B2 (en) | 1998-08-26 | 2009-08-25 | Sts Systems Ltd. | Communication management system for computer network-based telephones |
| JP2013009406A (ja) * | 1998-12-03 | 2013-01-10 | Nortel Networks Ltd | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 |
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| WO2003053017A1 (fr) * | 2001-12-19 | 2003-06-26 | Kazuhiro Yamamoto | Systeme de transmission de courrier electronique avec adresse de serveur de courrier mandataire |
| JP2007259457A (ja) * | 2006-03-24 | 2007-10-04 | Kofukin Seimitsu Kogyo (Shenzhen) Yugenkoshi | テルネット安全システム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3310851B2 (ja) | 2002-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1690403B1 (en) | Dual mode firewall | |
| US7107614B1 (en) | System and method for network address translation integration with IP security | |
| US7558862B1 (en) | Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer | |
| EP1255395B1 (en) | External access to protected device on private network | |
| US7782902B2 (en) | Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols | |
| EP1062784B1 (en) | Providing secure access to network services | |
| US20100284399A1 (en) | Media path optimization for multimedia over internet protocol | |
| WO2002050680A9 (en) | Integrated intelligent inter/intra-networking device | |
| JP2001292163A (ja) | 通信データ中継装置 | |
| EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
| JP4873960B2 (ja) | アプリケーションサーバ機能を促進するための方法およびアプリケーションサーバ機能を含むアクセスノード | |
| US20060268863A1 (en) | Transparent address translation methods | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| JP2005142702A (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| US9509659B2 (en) | Connectivity platform | |
| JP3310851B2 (ja) | フィルタリング装置に対するフィルタリング条件設定方法 | |
| JP4746978B2 (ja) | ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ | |
| RU2310994C2 (ru) | Фильтр для разделения трафика | |
| Pawar et al. | Segmented proactive flow rule injection for service chaining using SDN | |
| US8074270B1 (en) | Automatic configuration of network tunnels | |
| US7373423B2 (en) | Network infrastructure management and data routing framework and method thereof | |
| Cisco | Configuring AppleTalk Routing | |
| Cisco | Configuring AppleTalk | |
| Cisco | Configuring AppleTalk | |
| EP1709766A1 (en) | Remotely controlled gateway management with security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313532 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |