JPH09270813A - パケットフィルタ機能付きルータ装置 - Google Patents
パケットフィルタ機能付きルータ装置Info
- Publication number
- JPH09270813A JPH09270813A JP8078514A JP7851496A JPH09270813A JP H09270813 A JPH09270813 A JP H09270813A JP 8078514 A JP8078514 A JP 8078514A JP 7851496 A JP7851496 A JP 7851496A JP H09270813 A JPH09270813 A JP H09270813A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- filter
- router
- information
- station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】本発明の課題は、ローカルエリアネットワーク
に接続するルータ装置において、不正なパケットを破棄
しても、不正なパケットによる伝送媒体の占有を防止
し、快適なネットワーク環境を提供することを目的とす
る。 【解決手段】特定のフィルタの情報により入力したパケ
ットの中継を禁止し、破棄した場合には、該フィルタの
情報を該パケットを中継したルータ装置に送り、該パケ
ットを受け取ったルータ装置はデータベースに該フィル
タの情報を追加することにある。
に接続するルータ装置において、不正なパケットを破棄
しても、不正なパケットによる伝送媒体の占有を防止
し、快適なネットワーク環境を提供することを目的とす
る。 【解決手段】特定のフィルタの情報により入力したパケ
ットの中継を禁止し、破棄した場合には、該フィルタの
情報を該パケットを中継したルータ装置に送り、該パケ
ットを受け取ったルータ装置はデータベースに該フィル
タの情報を追加することにある。
Description
【0001】
【発明の属する技術分野】本発明は中継装置、特にロー
カルエリアネットワークにおける中継装置に関するもの
である。
カルエリアネットワークにおける中継装置に関するもの
である。
【0002】
【従来の技術】ローカルエリアネットワークにおける中
継装置として、ルータ装置が広く用いられている。ルー
タ装置は複数のネットワークに接続され、一方のネット
ワークからのパケットを他方のネットワークに、必要に
応じて中継する機能を持つ。特に、事前に送信元と宛先
のアドレス等の情報を基に、中継を許可あるいは禁止す
るパケットフィルタと呼ばれるフィルタを設定できるル
ータ装置が一般化している。
継装置として、ルータ装置が広く用いられている。ルー
タ装置は複数のネットワークに接続され、一方のネット
ワークからのパケットを他方のネットワークに、必要に
応じて中継する機能を持つ。特に、事前に送信元と宛先
のアドレス等の情報を基に、中継を許可あるいは禁止す
るパケットフィルタと呼ばれるフィルタを設定できるル
ータ装置が一般化している。
【0003】このルータ装置を使用し、組織外からの不
正なパケットを組織内へ中継しないというパケットフィ
ルタを設定することにより、セキュリティを確保するこ
とができる。以下、IAB RFC791 Internet Protocolで定
義されたInternet Pro- tocol パケット、略してIPパ
ケットを中継するパケットフィルタ機能付きルータ装置
について説明する。
正なパケットを組織内へ中継しないというパケットフィ
ルタを設定することにより、セキュリティを確保するこ
とができる。以下、IAB RFC791 Internet Protocolで定
義されたInternet Pro- tocol パケット、略してIPパ
ケットを中継するパケットフィルタ機能付きルータ装置
について説明する。
【0004】図2は、従来の技術に関わり、IPパケッ
トを中継するパケットフィルタ機能付きルータ装置の中
継処理の手順を説明するものである。100はIPルー
タ装置、110は経路制御用データベース手段、111
はパケットフィルタデータベース手段、120は中継判
定処理手段、130、131は媒体アクセス手段、14
0、141、142、143は伝送媒体、150、15
1、152、153、154はネットワークに接続した
局、160は局が送出したIPパケット、170、18
0は100と同様なIPルータ装置である。
トを中継するパケットフィルタ機能付きルータ装置の中
継処理の手順を説明するものである。100はIPルー
タ装置、110は経路制御用データベース手段、111
はパケットフィルタデータベース手段、120は中継判
定処理手段、130、131は媒体アクセス手段、14
0、141、142、143は伝送媒体、150、15
1、152、153、154はネットワークに接続した
局、160は局が送出したIPパケット、170、18
0は100と同様なIPルータ装置である。
【0005】IPルータ装置100は、局150より局
153宛にIPパケット160が送信されると、媒体ア
クセス手段130によって、このパケットを受信する。
中継判定処理手段120は、IPパケット160の送信
元および宛先のアドレスが、パケットデータベース手段
111に登録されているかを調べる。登録されていない
場合や、登録されていても中継が禁止されている場合
は、IPパケット160に対する処理をここで中断す
る。
153宛にIPパケット160が送信されると、媒体ア
クセス手段130によって、このパケットを受信する。
中継判定処理手段120は、IPパケット160の送信
元および宛先のアドレスが、パケットデータベース手段
111に登録されているかを調べる。登録されていない
場合や、登録されていても中継が禁止されている場合
は、IPパケット160に対する処理をここで中断す
る。
【0006】中継が許可されている場合、中継判定処理
手段120は次に、経路制御データベース手段110に
より、宛先アドレスである局153が、どのネットワー
クに属するかを調べる。ここで経路制御データベース手
段110は、事前に人手により情報設定を行うか、ある
いはIAB RFC1058 Routing Information Protocolにより
定義されている、RIP等の経路制御プロトコルを用
い、ルータ装置間で経路情報を交換することにより構築
されている。
手段120は次に、経路制御データベース手段110に
より、宛先アドレスである局153が、どのネットワー
クに属するかを調べる。ここで経路制御データベース手
段110は、事前に人手により情報設定を行うか、ある
いはIAB RFC1058 Routing Information Protocolにより
定義されている、RIP等の経路制御プロトコルを用
い、ルータ装置間で経路情報を交換することにより構築
されている。
【0007】中継判定処理手段120は、局153が属
するネットワークがルータ装置170の先にあることを
知ると、ルータ装置170が媒体アクセス手段131側
にあるため、中継の必要があると判断し、媒体アクセス
手段131によって、ルータ装置170に向けてIPパ
ケット160を送信する。ルータ装置170も上記と同
様な処理を行うことによりIPパケット160は局15
3に届く。
するネットワークがルータ装置170の先にあることを
知ると、ルータ装置170が媒体アクセス手段131側
にあるため、中継の必要があると判断し、媒体アクセス
手段131によって、ルータ装置170に向けてIPパ
ケット160を送信する。ルータ装置170も上記と同
様な処理を行うことによりIPパケット160は局15
3に届く。
【0008】次に、中継判定処理手段120が、パケッ
トフィルタデータベースによって、入力したパケットの
中継の可否の判断を行う手順を説明する。図3はパケッ
トフィルタデータベースの構成例である。200はパケ
ットフィルタデータベース手段、210から212は事
前に設定されたフィルタ、220は中継の可否の欄、2
21は送信元アドレスの欄、222は送信元アドレスマ
スクの欄、223は宛先アドレスの欄、224は宛先ア
ドレスマスクの欄、225は上位プロトコルの欄であ
る。
トフィルタデータベースによって、入力したパケットの
中継の可否の判断を行う手順を説明する。図3はパケッ
トフィルタデータベースの構成例である。200はパケ
ットフィルタデータベース手段、210から212は事
前に設定されたフィルタ、220は中継の可否の欄、2
21は送信元アドレスの欄、222は送信元アドレスマ
スクの欄、223は宛先アドレスの欄、224は宛先ア
ドレスマスクの欄、225は上位プロトコルの欄であ
る。
【0009】図4はIPパケットの構造を示す。300
はIPパケット、301は送信元アドレス、302は宛
先アドレス、303は上位プロトコルの種別である。中
継判定処理手段120は、入力IPパケットの送信元ア
ドレス301をパケットフィルタデータベース手段20
0の送信元アドレスマスクの欄222でマスクした値を
送信元アドレスの欄221と、そして宛先アドレス30
2を宛先アドレスマスクの欄224でマスクした値を宛
先アドレスの欄223と、そして上位プロトコルの種別
303を上位プロトコルの欄225と、上から順に比較
していき、そのすべてが一致したフィルタが見つかる
と、そのフィルタの中継の可否の欄220を参照する。
中継の可否の欄220が禁止であれば、そのパケットの
中継は禁止であり、中継の可否の欄が許可であれば、そ
のパケットの中継は許可であることがわかる。
はIPパケット、301は送信元アドレス、302は宛
先アドレス、303は上位プロトコルの種別である。中
継判定処理手段120は、入力IPパケットの送信元ア
ドレス301をパケットフィルタデータベース手段20
0の送信元アドレスマスクの欄222でマスクした値を
送信元アドレスの欄221と、そして宛先アドレス30
2を宛先アドレスマスクの欄224でマスクした値を宛
先アドレスの欄223と、そして上位プロトコルの種別
303を上位プロトコルの欄225と、上から順に比較
していき、そのすべてが一致したフィルタが見つかる
と、そのフィルタの中継の可否の欄220を参照する。
中継の可否の欄220が禁止であれば、そのパケットの
中継は禁止であり、中継の可否の欄が許可であれば、そ
のパケットの中継は許可であることがわかる。
【0010】ここでマスク値を使用する意味は、特定の
アドレスで表わされる一つの端末のみを指定するだけで
なく、ある範囲のアドレスを持つ端末を一まとめにして
扱うためである。図5に、マスクの演算方法を示す。4
00は端末のアドレス、401は端末のアドレスを二進
数で表わしたもの、402はマスク値、403はマスク
値を二進数で表わしたもの、404はマスクした値、4
05はマスクした値を二進数で表わしたもの、406は
比較値、407は比較値を二進数で表わしたものであ
る。
アドレスで表わされる一つの端末のみを指定するだけで
なく、ある範囲のアドレスを持つ端末を一まとめにして
扱うためである。図5に、マスクの演算方法を示す。4
00は端末のアドレス、401は端末のアドレスを二進
数で表わしたもの、402はマスク値、403はマスク
値を二進数で表わしたもの、404はマスクした値、4
05はマスクした値を二進数で表わしたもの、406は
比較値、407は比較値を二進数で表わしたものであ
る。
【0011】例えば、IPアドレスのクラスBネットワ
ーク150.88.0.0に存在する全端末を指定する場合は、マ
スク値402を255.255.0.0 とし、比較する値406は
150.88.0.0とする。このネットワーク内のある端末のア
ドレス400、すなわち150.88.128.50 をマスク値40
2、すなわち255.255.0.0 でマスクすると、マスクした
値404、すなわち150.88.0.0となり、このマスクした
値404が比較する値406と等しいことから、この端
末がネットワーク150.88.0.0の中の端末の一つであるこ
とが分かる。上記の説明から明らかなように、マスクす
るとは、端末のアドレスを二進数で表わしたもの401
と、マスク値を二進数で表わしたもの403をビット毎
にアンド演算を施すことであり、その結果がマスクした
値405になる。
ーク150.88.0.0に存在する全端末を指定する場合は、マ
スク値402を255.255.0.0 とし、比較する値406は
150.88.0.0とする。このネットワーク内のある端末のア
ドレス400、すなわち150.88.128.50 をマスク値40
2、すなわち255.255.0.0 でマスクすると、マスクした
値404、すなわち150.88.0.0となり、このマスクした
値404が比較する値406と等しいことから、この端
末がネットワーク150.88.0.0の中の端末の一つであるこ
とが分かる。上記の説明から明らかなように、マスクす
るとは、端末のアドレスを二進数で表わしたもの401
と、マスク値を二進数で表わしたもの403をビット毎
にアンド演算を施すことであり、その結果がマスクした
値405になる。
【0012】
【発明が解決しようとする課題】上記の従来技術におい
ては、ルータ装置上でパケットを破棄することにより、
不正なパケットの侵入を防ぐことができる。しかしなが
ら、不正なパケットが連続した場合、パケットを破棄し
たルータ装置までの、伝送媒体がその破棄したパケット
によって占められてしまい、他の重要な通信の遅延等を
引き起こす欠点があった。この現象は特に、伝送媒体が
広域網等で、回線容量の低い時は深刻な問題である。
ては、ルータ装置上でパケットを破棄することにより、
不正なパケットの侵入を防ぐことができる。しかしなが
ら、不正なパケットが連続した場合、パケットを破棄し
たルータ装置までの、伝送媒体がその破棄したパケット
によって占められてしまい、他の重要な通信の遅延等を
引き起こす欠点があった。この現象は特に、伝送媒体が
広域網等で、回線容量の低い時は深刻な問題である。
【0013】この問題を図2を用いて説明する。局15
4は局151を使用する権限が無いものとする。すなわ
ち、IPルータ装置100において、送信元アドレスを
局154のアドレス、宛先アドレスを局151のアドレ
ス、中継は禁止としたフィルタを設定したとする。この
時、局154が局151宛てのIPパケットを送信した
場合、既に述べた手順でルータ装置180、および17
0はこのパケットを中継する。ルータ装置170から中
継されたパケットを受け取ったルータ装置100は、フ
ィルタデータベースに設定したフィルタに基づき、この
パケットを破棄する。これにより、局151は局154
からの不正なアクセスを受けることが無くなる。しかし
ながら、局154が引き続いて不正なパケットを送信し
た場合、局154からルータ装置100に至る間の、伝
送媒体143、142、141が不正なパケットにより
占有されてしまう。
4は局151を使用する権限が無いものとする。すなわ
ち、IPルータ装置100において、送信元アドレスを
局154のアドレス、宛先アドレスを局151のアドレ
ス、中継は禁止としたフィルタを設定したとする。この
時、局154が局151宛てのIPパケットを送信した
場合、既に述べた手順でルータ装置180、および17
0はこのパケットを中継する。ルータ装置170から中
継されたパケットを受け取ったルータ装置100は、フ
ィルタデータベースに設定したフィルタに基づき、この
パケットを破棄する。これにより、局151は局154
からの不正なアクセスを受けることが無くなる。しかし
ながら、局154が引き続いて不正なパケットを送信し
た場合、局154からルータ装置100に至る間の、伝
送媒体143、142、141が不正なパケットにより
占有されてしまう。
【0014】従って、本発明は上記の問題点を解決すべ
く創案されたものであり、不正なパケットによる伝送媒
体の占有を防止し、快適なネットワーク環境を提供する
ことを目的とする。
く創案されたものであり、不正なパケットによる伝送媒
体の占有を防止し、快適なネットワーク環境を提供する
ことを目的とする。
【0015】
【課題を解決するための手段】本発明は上記の目的を実
現するため、事前に送信元と宛先のアドレス等の組をフ
ィルタとして、データベースに複数個登録することが可
能で、パケットが入力した場合、該入力パケットと前記
データベースに登録された前記フィルタの情報を基に、
中継の許可あるいは禁止を決定する機能を有し、さらに
ルータ装置間で前記フィルタの情報をやり取りする機能
を持ち、前記フィルタの情報を受け取ったルータ装置は
前記データベースに受け取った前記フィルタの情報を追
加する機能を有し、特定のフィルタの情報により入力し
たパケットの中継を禁止した場合には、該フィルタの情
報を該パケットを中継したルータ装置に送り、該パケッ
トを受け取ったルータ装置は前記データベースに該フィ
ルタの情報を追加することを特徴とするパケットフィル
タ機能付きルータ装置を用いた。
現するため、事前に送信元と宛先のアドレス等の組をフ
ィルタとして、データベースに複数個登録することが可
能で、パケットが入力した場合、該入力パケットと前記
データベースに登録された前記フィルタの情報を基に、
中継の許可あるいは禁止を決定する機能を有し、さらに
ルータ装置間で前記フィルタの情報をやり取りする機能
を持ち、前記フィルタの情報を受け取ったルータ装置は
前記データベースに受け取った前記フィルタの情報を追
加する機能を有し、特定のフィルタの情報により入力し
たパケットの中継を禁止した場合には、該フィルタの情
報を該パケットを中継したルータ装置に送り、該パケッ
トを受け取ったルータ装置は前記データベースに該フィ
ルタの情報を追加することを特徴とするパケットフィル
タ機能付きルータ装置を用いた。
【0016】
【発明の実施の形態】図1に本発明に係わるパケットフ
ィルタ機能付きルータ装置の実施例を示す。500は本
発明に関わるパケットフィルタ機能付きルータ装置、5
10は経路制御用データベース手段、511はパケット
フィルタデータベース手段、520は中継判定処理手
段、521はフィルタ情報交換手段、522はフィルタ
情報登録手段、530と531は媒体アクセス手段、5
40、541、542、543は伝送媒体、550、5
51、552、553、554はネットワークに接続し
た局、560は局が送出したIPパケット、570、5
80は500と同様、本発明に係わるパケットフィルタ
機能付きルータ装置、590はフィルタ情報パケットで
ある。
ィルタ機能付きルータ装置の実施例を示す。500は本
発明に関わるパケットフィルタ機能付きルータ装置、5
10は経路制御用データベース手段、511はパケット
フィルタデータベース手段、520は中継判定処理手
段、521はフィルタ情報交換手段、522はフィルタ
情報登録手段、530と531は媒体アクセス手段、5
40、541、542、543は伝送媒体、550、5
51、552、553、554はネットワークに接続し
た局、560は局が送出したIPパケット、570、5
80は500と同様、本発明に係わるパケットフィルタ
機能付きルータ装置、590はフィルタ情報パケットで
ある。
【0017】本発明に係わるパケットフィルタ機能付き
ルータ装置の中継処理の手順を説明する。局554は局
551を使用する権限が無いものとする。すなわち、本
発明のパケットフィルタ機能付きルータ装置500にお
いて、送信元アドレスを局554のアドレス、宛先アド
レスを局551のアドレス、中継は禁止としたフィルタ
を設定したとする。この時、局554が局551宛ての
IPパケットを送信した場合、既に述べた手順でルータ
装置580、および570はこのパケットを中継する。
ルータ装置の中継処理の手順を説明する。局554は局
551を使用する権限が無いものとする。すなわち、本
発明のパケットフィルタ機能付きルータ装置500にお
いて、送信元アドレスを局554のアドレス、宛先アド
レスを局551のアドレス、中継は禁止としたフィルタ
を設定したとする。この時、局554が局551宛ての
IPパケットを送信した場合、既に述べた手順でルータ
装置580、および570はこのパケットを中継する。
【0018】ルータ装置500は、媒体アクセス手段5
31によって、このパケットを受信する。中継判定処理
手段520は、IPパケット560の送信元および宛先
のアドレスが、パケットフィルタデータベース手段51
1に登録されているかを調べる。今、考慮しているケー
スでは、登録されてはいても、中継が禁止されているた
め、IPパケット560はここで破棄される。
31によって、このパケットを受信する。中継判定処理
手段520は、IPパケット560の送信元および宛先
のアドレスが、パケットフィルタデータベース手段51
1に登録されているかを調べる。今、考慮しているケー
スでは、登録されてはいても、中継が禁止されているた
め、IPパケット560はここで破棄される。
【0019】次に、ルータ装置500は、IPパケット
560がルータ装置570により中継されたものである
ので、ルータ装置570に対し、フィルタ情報交換手段
521を用いて、フィルタ情報パケット590を送信す
る。このフィルタ情報パケット590をフィルタ情報交
換手段521により受信したルータ装置570は、フィ
ルタ情報登録手段522により、パケットフィルタデー
タベース手段511に、フィルタ情報パケット590の
情報を登録する。
560がルータ装置570により中継されたものである
ので、ルータ装置570に対し、フィルタ情報交換手段
521を用いて、フィルタ情報パケット590を送信す
る。このフィルタ情報パケット590をフィルタ情報交
換手段521により受信したルータ装置570は、フィ
ルタ情報登録手段522により、パケットフィルタデー
タベース手段511に、フィルタ情報パケット590の
情報を登録する。
【0020】再び、局554より局551宛てにIPパ
ケット560が送信されると、ルータ装置580はこれ
を中継する。ルータ装置570はIPパケット560を
受信すると、上に述べたルータ装置500と同様の手順
により、フィルタ情報パケット590をルータ装置58
0に送信する。その後、ルータ装置570と同様に、フ
ィルタ情報データベース手段523に、フィルタ情報パ
ケット590の情報が登録され、これにより再び局55
4から局551宛てにIPパケット560が送信されて
も、ルータ装置580はIPパケット560を中継しな
くなる。この結果、伝送媒体543、542、541を
不正なパケットが占有することは無くなり、伝送媒体を
効率良く使用することができる。
ケット560が送信されると、ルータ装置580はこれ
を中継する。ルータ装置570はIPパケット560を
受信すると、上に述べたルータ装置500と同様の手順
により、フィルタ情報パケット590をルータ装置58
0に送信する。その後、ルータ装置570と同様に、フ
ィルタ情報データベース手段523に、フィルタ情報パ
ケット590の情報が登録され、これにより再び局55
4から局551宛てにIPパケット560が送信されて
も、ルータ装置580はIPパケット560を中継しな
くなる。この結果、伝送媒体543、542、541を
不正なパケットが占有することは無くなり、伝送媒体を
効率良く使用することができる。
【0021】
【発明の効果】本発明によれば、事前に送信元と宛先の
アドレス等の組をフィルタとして、データベースに複数
個登録することが可能で、パケットが入力した場合、該
入力パケットと前記データベースに登録された前記フィ
ルタの情報を基に、中継の許可あるいは禁止を決定する
機能を有し、さらにルータ装置間で前記フィルタの情報
をやり取りする機能を持ち、前記フィルタの情報を受け
取ったルータ装置は前記データベースに受け取った前記
フィルタの情報を追加する機能を有し、特定のフィルタ
の情報により入力したパケットの中継を禁止した場合に
は、該フィルタの情報を該パケットを中継したルータ装
置に送り、該パケットを受け取ったルータ装置は前記デ
ータベースに該フィルタの情報を追加することを特徴と
するパケットフィルタ機能付きルータ装置を用いたこと
で、不正なパケットが多発しても、伝送媒体が占有され
ることは無く、快適なネットワーク環境を提供すること
ができる。
アドレス等の組をフィルタとして、データベースに複数
個登録することが可能で、パケットが入力した場合、該
入力パケットと前記データベースに登録された前記フィ
ルタの情報を基に、中継の許可あるいは禁止を決定する
機能を有し、さらにルータ装置間で前記フィルタの情報
をやり取りする機能を持ち、前記フィルタの情報を受け
取ったルータ装置は前記データベースに受け取った前記
フィルタの情報を追加する機能を有し、特定のフィルタ
の情報により入力したパケットの中継を禁止した場合に
は、該フィルタの情報を該パケットを中継したルータ装
置に送り、該パケットを受け取ったルータ装置は前記デ
ータベースに該フィルタの情報を追加することを特徴と
するパケットフィルタ機能付きルータ装置を用いたこと
で、不正なパケットが多発しても、伝送媒体が占有され
ることは無く、快適なネットワーク環境を提供すること
ができる。
【図1】本発明に係わり、パケットフィルタ機能付きル
ータ装置の実施例を示す。
ータ装置の実施例を示す。
【図2】従来技術に係わり、ルータ装置の実施例を示
す。
す。
【図3】従来技術に係わり、パケットフィルタデータベ
ースの構成例を示す。
ースの構成例を示す。
【図4】従来技術に係わり、IPパケットの構造を示
す。
す。
【図5】従来技術に係わり、マスクの演算方法を示す。
100 IPルータ装置 110 経路制御用データベース手段 111 パケットフィルタデータベース手段 120 中継判定処理手段 130、131 媒体アクセス手段 140、141、142、143 伝送媒体 150、151、152、153、154 ネットワー
クに接続した局 160 局が送出したIPパケット 170、180 100と同様なIPルータ装置 200 パケットフィルタデータベースの構成例 210、211 212 事前に設定されたフィルタ 220 中継可否の欄 221 送信元アドレスの欄 222 送信元アドレスマスクの欄 223 宛先アドレスの欄 224 宛先アドレスマスクの欄 225 上位プロトコルの欄 300 IPパケット 301 送信元アドレス 302 宛先アドレス 303 上位プロトコルの種別 400 端末のアドレス 401 端末のアドレスを二進数で表わしたもの 402 マスク値 403 マスク値を二進数で表わしたもの 404 マスクした値 405 マスクした値を二進数で表わしたもの 406 比較値 407 比較値を二進数で表わしたもの 500 本発明のIPルータ装置 510 経路制御用データベース手段 511 パケットフィルタデータベース手段 520 中継判定処理手段 521 フィルタ情報交換手段 522 フィルタ情報登録手段 530、531 媒体アクセス手段 540、541、542、543 伝送媒体 550、551、552、553、554 ネットワー
クに接続した局 560 局が送出したIPパケット 570、580 500と同様な本発明のIPルータ装
置 590 フィルタ情報パケット
クに接続した局 160 局が送出したIPパケット 170、180 100と同様なIPルータ装置 200 パケットフィルタデータベースの構成例 210、211 212 事前に設定されたフィルタ 220 中継可否の欄 221 送信元アドレスの欄 222 送信元アドレスマスクの欄 223 宛先アドレスの欄 224 宛先アドレスマスクの欄 225 上位プロトコルの欄 300 IPパケット 301 送信元アドレス 302 宛先アドレス 303 上位プロトコルの種別 400 端末のアドレス 401 端末のアドレスを二進数で表わしたもの 402 マスク値 403 マスク値を二進数で表わしたもの 404 マスクした値 405 マスクした値を二進数で表わしたもの 406 比較値 407 比較値を二進数で表わしたもの 500 本発明のIPルータ装置 510 経路制御用データベース手段 511 パケットフィルタデータベース手段 520 中継判定処理手段 521 フィルタ情報交換手段 522 フィルタ情報登録手段 530、531 媒体アクセス手段 540、541、542、543 伝送媒体 550、551、552、553、554 ネットワー
クに接続した局 560 局が送出したIPパケット 570、580 500と同様な本発明のIPルータ装
置 590 フィルタ情報パケット
Claims (1)
- 【請求項1】ローカルエリアネットワークに接続する、
パケットフィルタと呼ばれるフィルタが設定可能なルー
タ装置において、事前に送信元と宛先のアドレス等の組
をフィルタとして、データベースに複数個登録すること
が可能で、パケットが入力した場合、該入力パケットと
前記データベースに登録された前記フィルタの情報を基
に、中継の許可あるいは禁止を決定する機能を有し、さ
らにルータ装置間で前記フィルタの情報をやり取りする
機能を持ち、前記フィルタの情報を受け取ったルータ装
置は前記データベースに受け取った前記フィルタの情報
を追加する機能を有し、特定のフィルタの情報により入
力したパケットの中継を禁止した場合には、該フィルタ
の情報を該パケットを中継したルータ装置に送り、該パ
ケットを受け取ったルータ装置は前記データベースに該
フィルタの情報を追加することを特徴とするパケットフ
ィルタ機能付きルータ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8078514A JPH09270813A (ja) | 1996-04-01 | 1996-04-01 | パケットフィルタ機能付きルータ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8078514A JPH09270813A (ja) | 1996-04-01 | 1996-04-01 | パケットフィルタ機能付きルータ装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09270813A true JPH09270813A (ja) | 1997-10-14 |
Family
ID=13664054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8078514A Pending JPH09270813A (ja) | 1996-04-01 | 1996-04-01 | パケットフィルタ機能付きルータ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09270813A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6584069B1 (en) | 1998-08-31 | 2003-06-24 | Matsushita Electric Industrial Co., Ltd | Packet filtering apparatus that applies a plurality of filtering conditions including different comparison criteria to a single packet |
| KR100422802B1 (ko) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 |
| KR100424457B1 (ko) * | 2001-08-29 | 2004-03-26 | 삼성전자주식회사 | 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법 |
| JP2006186877A (ja) * | 2004-12-28 | 2006-07-13 | Fujitsu Ltd | パケットフィルタ同期方法及びパケット中継システム |
| JP2008042506A (ja) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | ネットワーク装置およびフィルタリングプログラム |
| JP2009021957A (ja) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | 中継装置およびプログラム |
| WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
| JP2015008521A (ja) * | 2010-06-30 | 2015-01-15 | 沖電気工業株式会社 | 通信制御装置及びプログラム、並びに、通信システム |
-
1996
- 1996-04-01 JP JP8078514A patent/JPH09270813A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6584069B1 (en) | 1998-08-31 | 2003-06-24 | Matsushita Electric Industrial Co., Ltd | Packet filtering apparatus that applies a plurality of filtering conditions including different comparison criteria to a single packet |
| KR100424457B1 (ko) * | 2001-08-29 | 2004-03-26 | 삼성전자주식회사 | 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법 |
| KR100422802B1 (ko) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 |
| JP2006186877A (ja) * | 2004-12-28 | 2006-07-13 | Fujitsu Ltd | パケットフィルタ同期方法及びパケット中継システム |
| JP2008042506A (ja) * | 2006-08-04 | 2008-02-21 | Fujitsu Ltd | ネットワーク装置およびフィルタリングプログラム |
| US8223756B2 (en) | 2006-08-04 | 2012-07-17 | Fujitsu Limited | Network device and computer product |
| JP2009021957A (ja) * | 2007-07-13 | 2009-01-29 | Yamaha Corp | 中継装置およびプログラム |
| WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
| US8611220B2 (en) | 2010-01-04 | 2013-12-17 | Nec Corporation | Network system, controller, and network control method |
| JP2015008521A (ja) * | 2010-06-30 | 2015-01-15 | 沖電気工業株式会社 | 通信制御装置及びプログラム、並びに、通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1844613B1 (en) | Providing security in an unlicensed mobile access network | |
| JP4166942B2 (ja) | 移動無線網用インターネットプロトコルトラフィックフィルタ | |
| US20020110123A1 (en) | Network connection control apparatus and method | |
| EP2033111B1 (en) | Implementation of reflexive access control lists on distributed platforms | |
| US20080250496A1 (en) | Frame Relay Device | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| JPH10271154A (ja) | 不正アクセス防止方法およびシステム | |
| JPH09270813A (ja) | パケットフィルタ機能付きルータ装置 | |
| CN101146026A (zh) | 报文过滤方法及系统和装置 | |
| JP2003179647A (ja) | パケット転送装置およびパケット転送方法 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
| JPH10243021A (ja) | 相手選択型アドレス解決方法及びその装置 | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| Cisco | Using Access Control | |
| KR20020063314A (ko) | 데이터통신망의 보안시스템 및 그 방법 | |
| JPH09275404A (ja) | アドレス解決処理方法 | |
| JPH06104900A (ja) | Lan間接続方法 | |
| JP2008131466A (ja) | パケット中継装置 |