WO2005101217A1

WO2005101217A1 - アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置

Info

Publication number: WO2005101217A1
Application number: PCT/JP2005/007254
Authority: WO
Inventors: Katsunori Matsuura
Original assignee: Nippon Telegraph And Telephone Corporation
Priority date: 2004-04-14
Filing date: 2005-04-14
Publication date: 2005-10-27
Also published as: JP4362132B2; US20060259583A1; EP1632862A1; EP1632862A4; EP1632862B1; US8667170B2; JPWO2005101217A1

Abstract

　従来のアドレス変換技術では、カプセル化に対応していない端末間では、１つのポート番号に１つの端末装置しか対応させることができず、同じポート番号で複数の端末装置へアクセスさせることができない。　本発明では、パケットの送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールに従って、グローバルネットワークからプライベートネットワークへのアクセスを制限する。また、送信元の装置ごとに定めたアドレス変換ルールに従って、アドレス変換を行って、グローバルネットワークとプライベートネットワークとの通信を行う。　また、グローバルネットワーク側からの接続要求があり、認証に合格した場合には、送信元の装置ごとまたは送信元のネットワークごとにアクセス制御ルールを定め、送信元の装置ごとにアドレス変換ルールを定めて記録する。通信が終了すると、追加したアクセス制御ルールとアドレス変換ルールとを削除する。

Description

アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置技術分野

[0001] グローバルネットワークでのアドレスを持たな!、プライベートネットワークの端末が、前記グローバルネットワークを介して通信を行うためのアドレス変換技術及びアクセス制御技術 (ファイアウォール技術）に関する。

背景技術

[0002] 従来より、グローバルネットワークとプライベートネットワークとの間、例えばインターネットなどの広域通信網（WAN: Wide Area Network)とイーサネット（登録商標）等のローカルエリアネットワーク（LAN)との間に配置され、 WAN力も LAN内の端末装置へのパケットの宛先アドレスをグローバル IPアドレスからプライベートアドレスに変換し、 LAN内の端末装置から WANへのパケットの送信元アドレスをプライベートアドレス力もグローバル IPアドレスに変換することにより、 LAN内のプライベートアドレスしか持たない複数の端末装置が 1つのグローバル IPアドレスを共有して WANにアクセスできるようにするアドレス変換技術（NAT (Network Address Translation)技術）がある。また、 LAN内の資源を保護するために、 WANからのパケットの宛先や送信元をチエックし、設定されたセキュリティポリシーに従って許可されたパケットのみ LAN内に通過させるアクセス制御技術 (ファイアウォール技術）がある。そして、アドレス変能とアクセス制御機能を備えた中継装置、アドレス変能のみを備えたアドレス変換装置、アクセス制御機能のみを備えたファイアウォール装置が知られて、る。

[0003] 従来のアドレス変換技術では、インターネット側からのアクセスを、 TCP (

Transmission Control Protocol)ま 7こ ίま UDP (User Datagram Protocol)のポ ~~ト番号により端末装置に振り分けることにより、インターネットから LAN内の端末装置へのァクセスを可能にするものがある（例えば、特許文献 1参照)。しかし、このようなインターネット側力ものアクセスを、 TCPまたは UDPのポート番号により端末装置に振り分けるアドレス変換装置では、インターネットから LAN内の端末装置へアクセスさせる時に TCPまたは UDPのポート番号を使っているので、 1つのポート番号に 1つの端末装置しか対応させることができず、同じポート番号で複数の端末装置へアクセスさせることができない。例えば http (Hyper Text Transport Protocol)のデフオノレトポート番号である 80番で複数のサーバを公開できないという問題があった。また、 TCPや UDPではな!/、プロトコルで、

、通信の場合 (iPsec (Security Architecture for Internet Protocol)や Iし MP (Internet Control Message Protocol)等の場合)も、複数の端末装置を公開することができない、例えば IPsecのパケットは 1 つの端末装置へという設定しかできないため、複数の端末装置で同時に IPsecを使うことができない。これは、 LAN内からインターネット側へ向けて通信する場合にも同じように起こるため、 LAN内の端末装置で IPsecを利用することは困難である。この問題を解決するため、 IPsecのパケットを UDPのパケットにカプセル化して送るようにしたものもある（例えば、特許文献 2参照)。しかし、このようなカプセルィ匕を用いたァドレス変換技術では、 IPsec通信を行う双方で UDPパケットへのカプセル化に対応して V、る必要があり、 UDPパケットへのカプセルィ匕に対応して、な、端末とは通信することができな力た。

[0004] 一方、アクセス制御技術では、認証により確認された利用者力のアクセスにより、インターネットからでもファイアウォール装置に設定されているセキュリティポリシーを変更可能にしたものもある（例えば特許文献 3参照)。この特許文献 3に示す技術を、図 1を参照して説明する。インターネット (WAN) 200に接続された利用者端末 220 の利用者力ファイアウォール装置 900内のアクセス制御テーブル 900a内のァクセス制御規則を変更したい場合は、利用者端末 220から、 LAN300に接続されている認証サーバ 390に認証依頼をする。認証サーバ 390のポート番号は、アクセス制御テーブル 900aにどのパケットでも通過させる条件として記録されて、る。認証依頼には利用者の ID (識別情報）と利用者の署名データ、実行したいアクセス内容として自己の IPアドレスやポート番号及びアクセスの相手先の IPアドレスやポート番号が含まれている。

[0005] 認証サーバ 900は受信した認証依頼に対する検証を行ヽ、検証に合格すれば、その認証依頼中の実行した、アクセス内容をアクセス制御テーブル 900aに設定するように、ファイアウォール装置 900に依頼する。従って、この依頼が例えば利用者端末 2 20から LAN300に接続されたウェブ (Web)サーバ 310に対するアクセスであれば、利用者は利用者端末 220から Webサーバ 310にアクセスして、例えばコンテンツをダウンロードすることが可能になる。このようにファイアウォール装置外力もアクセス制御テーブル 900aに設定されたアクセスの許可は、所定期間経過した場合又はァクセスが所定期間以上になると元に戻す。

特許文献 1 :特開 2002— 185517号公報

特許文献 2：特開 2002— 232450号公報

特許文献 3 :特開 2003— 132020号公報

発明の開示

発明が解決しょうとする課題

[0006] 従来のアドレス変換技術では、カプセルィ匕に対応して、な、端末間では、 1つのポート番号に 1つの端末装置しか対応させることができず、同じポート番号で複数の端末装置へアクセスさせることができな!/、。

また、従来のアクセス制御技術では、セキュリティポリシーを動的に変更できて便利である。しかし、その認証依頼を行った利用者装置またはその利用装置になりすました装置が、当初のアクセスの目的での通信が終了した後（例えば LAN内の Webサーバからのコンテンツダウンロードを終了した後）、所定期間通過可能に設定されていることを利用して、不正なアクセスをする恐れがある。この点で、セキュリティを確保することができな、と、う問題があった。

[0007] 本発明では、アドレス変換技術に関しては、カプセルィ匕に対応してヽな、端末間でも、同じポート番号で複数のサーバを公開したり、ポート番号の無いプロトコルでも複数の通信を行ったりすることができるアドレス変換技術を提供することを目的とする。また、アクセス制御技術に関しては、セキュリティポリシー、つまり通過条件を動的に変えてもセキュリティを確保することのできるアクセス制御技術を提供することを目的とする。

課題を解決するための手段

[0008] 本発明は、グローバルネットワーク側の送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールと、送信元の装置ごとに定めたアドレス変換ルールとをデータベース部に記録しておく。グローバルネットワーク側からのパケットを受信すると、送信元情報を含んだアクセス制御ルールに従って、グローバルネットワークからプライベートネットワークへのアクセスを制限する。また、送信元情報を含んだアドレス変換ルールに従って、宛先アドレスの変換を行って、グローバルネットワーク側からの情報をプライベートネットワーク側に伝える。プライベートネットワーク側力ものパケットを受信すると、送信元情報を含んだアドレス変換ルールに従って、送信元アドレスの変換を行って、プライベートネットワーク側からの情報をグローバルネットワーク側に伝える。

[0009] グローバルネットワーク側からのアクセス要求に対しては、データベース部に、通信を希望する宛先と送信元との間のアクセス制御ルールとアドレス変換ルールを追加' 削除する場合には、認証を行う。認証に合格した場合には、送信元の装置ごとまたは送信元のネットワークごとにアクセス制御ルールを定め、送信元の装置ごとにアドレス変換ルールを定めてデータベース部に記録する。通信が終了すると、追加したァクセス制御ルールとアドレス変換ルールとをデータベース部から削除する。

プライベートネットワーク側からのアクセス要求に対しては、データベース部に通信を希望する宛先と送信元との間のアクセス制御ルールとアドレス変換ルールがない場合には、送信元ごとのアクセス制御ルールとアドレス変換ルールとを定めてデータベース部に記録する。通信が終了すると追加したアクセス制御ルールとアドレス変換ルールとをデータベース部から削除する。

[0010] 前記の認証については、中継装置内部の認証処理部で行う方法と、認証サーバをグローバルネットワーク内に設置し、中継装置へのアクセス制御ルール（ファイアゥォール装置への通過条件設定)追加依頼は、認証サーバのみが行う方法とがある。また、前記の方法をアドレス変換ルールのみに適用してアドレス変換方法とし、ァクセス制御ルールのみに適用してファイアウォール方法とする。さらに、ファイアウォール技術に対しては、安全なセッションを確立中はそのセッションの通信状況をその安全なセッションにより要求元に通知する。

発明の効果

[0011] 本発明によれば、送信元アドレスが異なっているパケットには異なったアクセス制御ルールとアドレス変換ルールとを適用させることができる。したがって、同じポート番号で、プライベートネットワークの複数のサーバを公開すること、及び、ポート番号の無いプロトコルで、プライベートネットワークの複数の端末が同時に通信を行うことができる。

プライベートネットワークの端末力ものパケットを受信した場合は、該パケットに対するアクセス制御ルールとアドレス変換ルールとが登録されて、なければ、該パケットに対するアクセス制御ルールとアドレス変換ルールとを追加する。したがって、プライべートネットワークの端末から開始される通信のアクセス制御ルールとアドレス変換ルールとを自動的に登録することができ、事前のアクセス制御ルール及びアドレス変換ルールの登録無しに通信を行うことができる。

[0012] アクセス制御技術に関しては、ファイアウォール装置外力ファイアウォール装置の通過条件を動的に変更して、対応利用者端末力のパケットがファイアウォール装置を通過できるようにできる。し力もその安全なセッション切断時にはその通過許可 (ァクセス制御ルール）が解除される。したがって、そのセッション切断後の不正なバケツトはファイアウォール装置を通過できない。また、確立しているセッションでの通信状況を要求元に通知する場合は、要求元で不正な通信を監視させることができる。さらに、所定の認証サーノくからの要求のみを受け付け、ファイアウォール装置の設定ゃアドレス変換ルールを変更する場合は、ポートスキャンにより、装置の存在ゃサ一ビスの提供などを検知されることなぐグローバルなネットワーク力もアクセス制御やアドレス変換の設定を変更できる。

図面の簡単な説明

[0013] [図 1]従来のファイアウォール装置を説明するためのシステム構成を示す図。

[図 2]実施例 1の中継装置の機能構成例を示す図。

[図 3]実施例 1でのアクセス制御テーブルの初期状態を示す図。

[図 4]実施例 1でのアドレス変換テーブルの初期状態を示す図。

[図 5]実施例 1の処理フローを示す図。

[図 6]実施例 1でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。

[図 7]実施例 1でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。圆 8]実施例 2での、インターネットを介して通信可能な第 1の中継装置と第 2の中継装置、及びそれらに接続された LANと端末の構成を示す図。

[図 9]実施例 2の処理フローを示す図。

[図 10]実施例 2で、第 1の中継装置に追加するアクセス制御ルールを示す図。

[図 11]実施例 2で、第 1の中継装置に追加するアドレス変換ルールを示す図。

[図 12]実施例 2で、第 2の中継装置に追加するアドレス変換ルールを示す図。

[図 13]実施例 2で、第 2の中継装置に追加するアクセス制御ルールを示す図。

[図 14]実施例 3の WAN上の認証サーバを用いた場合の中継装置の機能構成例を示す図。

[図 15]実施例 3でのアクセス制御テーブルの初期状態を示す図。

[図 16]実施例 3でのアドレス変換テーブルの初期状態を示す図。

[図 17]実施例 3のインターネット上の認証サーバと端末及び LAN上の端末やサーバとの構成を示す図。

[図 18]実施例 3の処理フローを示す図。

[図 19]実施例 3の認証サーバが追カ卩を求めるアクセス制御ルールを示す図。

[図 20]実施例 3の認証サーバが追カ卩を求めるアドレス変換ルールを示す図。

[図 21]実施例 3でのアクセス制御ルール追加後のアクセス制御テーブルを示す図。

[図 22]実施例 3でのアドレス変換ルール追加後のアドレス変換テーブルを示す図。圆 23]実施例 4のアドレス変換装置の機能構成例を示す図。

[図 24]実施例 4のアドレス変換テーブルの初期状態を示す図。

[図 25]実施例 4のアドレス変換ルール追加後のアドレス変換テーブルを示す図。

[図 26]実施例 4のアドレス変換装置の通信開通までの処理フローを示す図。

[図 27]実施例 4のアドレス変換装置の通信開通後の処理フローを示す図。

圆 28]ファイアウォール装置の機能構成例を示す図。

[図 29]ファイアウォール装置の処理フローを示す図。

[図 30]実施例 5のアクセス制御テーブル (通過条件テーブル)の初期状態を示す図。

[図 31]実施例 5のアクセス制御ルール (通過条件）追加後のアクセス制御テーブル ( 通過条件テーブル)を示す図。 [図 32]実施例 6のアクセス制御ルール (通過条件）追加後のアクセス制御テーブル ( 通過条件テーブル)を示す図。

[図 33]実施例 7のアクセス制御ルール (通過条件）追加後のアクセス制御テーブル ( 通過条件テーブル)を示す図。

[図 34]実施例 8のファイアウォール装置の処理フローを示す図。

発明を実施するための最良の形態

[0014] 以下にこの発明の実施例を、図面を参照して説明するが、各図中の同一の構成要素には同一参照番号を付けて重複説明を省略する。

[実施例 1]

図 2は実施例 1の中継装置 10の機能構成例を示す図である。

図 2において、本実施例の中継装置 10は、インターネットなどの広域通信網 (WA N (Wide Area Network) ) 200とのパケットの送受信を行う WANインターフェース部 1 1と、 LAN300とのパケットの送受信を行う LANインターフェース部 12と、 WANインターフェース部 11及び LANインターフェース部 12が受信したパケットを分析してァクセス制御を行うアクセス制御部 13と、アクセス制御部 13で通過が許可されたパケット及び LAN内力 WAN側へ送信されるパケットを分析してアドレス変換を行うアドレス変換部 14と、アクセス制御部 13の要求によりユーザの認証処理を行う認証処理部 1 5と、アクセス制御のためのデータやアドレス変換のためのデータや認証のデータを蓄えて、るデータベース部 16とを備えて、る。

[0015] この中継装置 10は、アクセス制御機能 (ファイアウォール機能）を備えており、ァクセス制御部 13は、データベース部 16に記録されて、る図 3に示すようなアクセス制御テーブルに基づいて、 WANインターフェース部 11で受信したパケットを、 LANィンターフェース部 12を介して LAN側に送信するかを決定して！/、る。

図 3において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示し、「プロトコル、ソースポート番号」の列は、 WANィンターフェース部 11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の送信元ポート番号を示し、「ディスティネーション IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの宛先 IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、 WANインターフェース部 11で受信したパケットのプロトコル名、及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示してヽる。

[0016] なお、「プロトコル、ソースポート番号」及び「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名として、あらかじめ設定されたプロトコル名とポート番号に対応付けられたプロトコル名を使用することができる。

例えば、図 3の 1行目は、送信元 IPアドレス、ポート番号に関係なぐ宛先 IPアドレス力 S「l l l. 111. 111. 2」で力っプ Pト =fノレ名力 S「http (HyperText Transport Protocol 、例えば TCP (Transmission Control Protocol) 80)」であるパケットは、 LAN側に送信されることを示して、る（通過： accept)。

[0017] 同様に、図 3の 2行目では、送信元 IPアドレスが「123. 123. 123. 1」で、宛先 IP アドレスが「111. 111. 111. 2」でかつプロトコル名が「SSH (Secure Shell、例えば T CP22)」であるパケットは、 LAN側に送信され、 3行目では、全てのパケットが廃棄される（廃棄： drop)。

アクセス制御部 13は、このようなテーブルを上の行から、受信したパケットと一致する力検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図 3のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。

[0018] 中継装置 10は、データベース部 16に、図 4に示すようなアドレス変換テーブルを記録している。アドレス変換部 14は、 WANインターフェース部 11で受信し、アクセス制御部 13を通過したパケットのディスティネーション IPアドレスを、このアドレス変換テーブルに基づいて、 LANの内部の IPアドレスに変換して、 LANインターフェース部 12 を介して LAN側に送信する。

また、 LANインターフェース部 12で受信したパケットのソース IPアドレスを、 WAN の IPアドレス（グローバルアドレス）に変換してアクセス制御部 13に出力する。ァクセス制御部 13は、許可されたパケットを、 WANインターフェース部 11を介して WAN側に送信する。

[0019] 図 4において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示し、「ディスティネーション IPアドレス」の列は、 WAN インターフェース部 11で受信したパケットの宛先 IPアドレスを示し、「プロトコル、ディスティネーシヨンポート番号」の列は、 WANインターフェース部 11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部 IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先 IPアドレスに設定する LANのプライベートアドレスを示し、「プロトコル及びポート番号」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先力当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。ただし、「any」の場合は任意のアドレスで良い。

[0020] 例えば、図 4の 1行目は、送信元 IPアドレスに関係なぐ宛先 IPアドレスが「111. 1 11. 111. 2」でかつ宛先ポート番号が「TCP80 (http)」であるパケットは、宛先 IPァドレスを「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信されることを示して、る。

図 4の 2行目は、送信元 IPアドレスが「123. 123. 123. 1」で、宛先 IPアドレスが「1 11. 111. 111. 2」でかつ宛先ポート番号が「TCP22 (SSH)」であるパケットは、宛先 IPアドレスを「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信されることを示して！/、る。

[0021] このように設定することで、 WAN側からの特定ポートへのアクセス、またはポートを持たないプロトコルへのアクセスを、 LAN内の端末に振り分けることができる。

ここで、アドレス変換部 14は、図 4に示すようなアドレス変換テーブルを上の行から検索し、受信したパケットが一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図 4のアドレス変換テーブルでは、上の行に設定された条件が、より優先的に処理される。

図 4は、アドレス変換テーブルの初期状態 (通信中の端末が無、状態)を示して!/、る。中継装置 10は、 LAN内の端末からの通信要求または WAN側の端末力もの要求により、図 3のアクセス制御テーブルにアクセス制御ルールを追加し、図 4のァドレス変換テーブルにアドレス変換ルールを追加する。

[0022] 具体的には、図 5を用いて説明する。アクセス制御部 13は、自装置のグローバルァドレス宛の https (HyperText Transfer Protocol Security)のアクセス要求パケットを、 WANインターフェース部 11を介して受信すると (ステップ S1)、送信元の端末と SSL (Secure Socket Layer)セッションの確立を行う（ステップ S2)。セッションが正常に確立されれば、セッション確立時に取得した送信元端末の IPアドレスを記憶する (ステツプ S3)。次に、ユーザの認証を行うために、ユーザの識別情報とパスワードを入力させる HTMLファイルを暗号化して要求元の端末に、 WANインターフェース部 11を介して送信する (ステップ S4)。

[0023] アクセス制御部 13は、要求元の端末から、暗号ィ匕されたユーザの識別情報とパスワードを受信する (ステップ S5)。次に、アクセス制御部 13は、復号ィ匕を行い、ユーザの識別情報とパスワードを認証処理部 15に送信し、ユーザの認証を要求する。認証処理部 15は、ユーザの識別情報とパスワードを受信すると、データベース部 1 6に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したノスワードを比較する (ステップ S6)。認証処理部 15は、パスワードが一致していれば、認証が正常であることをアクセス制御部 13に送信する。一致するユーザが見つからな、場合またはパスワードがー致しな、場合は、認証異常をアクセス制御部 13に送信する (ステップ S7)。

[0024] アクセス制御部 13は、認証処理部 15から認証正常を受信すると、アクセスしたいサーバの LAN内部のプライベートアドレスやプロトコルやポート番号などを入力させる HTMLファイルを、暗号化して、要求元の端末に、 WANインターフェース部 11を介して送信する (ステップ S 9)。

アクセス制御部 13は、要求元の端末から、暗号ィ匕されたプライベートアドレスやプロトコルゃポート番号を受信する (ステップ S10)。次に、アクセス制御部 13は、復号ィ匕を行、、記憶して、る httpsのアクセス要求パケットの送信元 IPアドレスを「ソース IP アドレス」、受信したプロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアクセス制御ルールを、データベース部 16のアクセス制御テーブルに追加する（ステップ Sl l)。また、アクセス制御部 13は、アドレス変換部 14に、 httpsのァクセス要求パケットの送信元 IPアドレス、受信したプライベートアドレス、プロトコル、ポート番号を送り、アドレス変換ルールの追加を要求する。アドレス変換部 14は、ァドレス変換ルールの追加要求を受けると、 httpsのアクセス要求パケットの送信元 IPアドレスを「ソース IPアドレス」、受信したプライベートアドレスを「内部 IPアドレス」、プロトコル、ポート番号を「プロトコル、ディスティネーションポート番号」としたアドレス変換ルールを、データベース部 16のアドレス変換テーブルに追加する（ステップ S12)。

[0025] 例えば、送信元 IPアドレス「111. 222. 234. 123」の端末からの httpsのアクセス要求ノケット【こより、宛先 IPアドレス「111. 111. 111. 2」、宛先ポート番号「TCP22 」のパケットの宛先 IPアドレスを、内部 IPアドレス「192. 168. 100. 4」に書き替えるようにする場合、アクセス制御テーブルは、図 6に示すように、図 3のテーブルの一番上の行に、 httpsによりアクセスしてきた端末のアクセス制御ルールを追加する。また、アドレス変換テーブルは、図 7に示すように、図 4のテーブルの一番上の行に、 http sによりアクセスしてきた端末のアドレス変換ルールを追加する。

[0026] これにより、送信元 IPアドレス「111. 222. 234. 123」、宛先 IPアドレス「111. 11 1. 111. 2」、宛先ポート番号「TCP22」のパケットは、アクセス制御部 13を通過する。また、アドレス変換部 14で宛先 IPアドレスを 192. 168. 100. 4に書き替えられて L ANに送信される。それ以外の送信元 IPアドレスの宛先ポート番号が「TCP22」のパケットは、アクセス制御部 13で廃棄される。

その後、アクセス制御部 13は、認証が正常でアドレス変換が設定された旨と、変換先の LAN内部のプライベートアドレスとプロトコルとポート番号などを表示する HTM Lファイルを、暗号ィ匕して、端末に送信する（ステップ S 13)。なお、この HTMLフアイルには、端末があら力じめ定めた一定時間ごとに、中継装置 10にアクセスするためのプログラムが埋め込まれて、る。

[0027] 端末では、送信された HTMLファイルを復号ィ匕して表示することにより、設定されたアドレス変換の情報を確認することができる。また、 HTMLファイルに埋め込まれたプログラムにより、端末は一定時間ごとに、中継装置 10に信号を送りはじめる。このようにしてアクセス制御ルール及びアドレス変換ルールを設定し、 LAN内の端末との通信を行う。ユーザが通信を終了するときは、中継装置 10から受信した HTM Lファイルで表示された画面から、通信の終了のボタンを選択する力、 HTMLフアイルを表示しているブラウザを閉じる力 HTMLファイルを表示している端末を終了（電源オフ、ログオフ等)する。

[0028] 中継装置 10のアクセス制御部 13は、通信終了のパケットを受信した場合、端末からの信号が一定時間送信されてこないことによりブラウザが閉じられたことや端末が終了されたことを検出した場合 (ステップ S14)、図 6のように書き替えたテーブルを、図 3のような元の状態に戻し、アドレス変換部 14にソース IPアドレス、デイスティネーシヨン IPアドレス、プロトコルを送信し、この通信が終了したことを通知する（ステップ S 15)。アドレス変換部 14は、通信の終了の通知を受けると、図 7のように書き替えたテ一ブルを、図 4のような元の状態に戻す (ステップ S 16)。

[0029] 上記のように、本実施例では、ソース IPアドレスを使用したアクセス制御ルールとァドレス変換ルールを、アクセス制御テーブルとアドレス変換テーブルに設定する。したがって、宛先が同じポート番号の場合でも、ソース IPアドレスにより別々のサーバへ振り分けたり、ポート番号の無いプロトコルでもソース IPアドレスにより別々の端末と通信を行わせたりすることができる。

なお、本実施例では、 httpsのアクセスによりアドレス変換ルール、アクセス制御ルールの追加を受け付けるようにしたが、 httpや SIP (Session Initiation Protocol)や S SHや telnetなどを使ってもよ!ヽ。

[0030] [実施例 2]

実施例 1に示した中継装置 10は、 LAN (プライベートネットワーク）内の端末から IP sec通信の最初のパケットを受信したときに、宛先 IPアドレスと送信元 IPアドレス (ブラィペートネットワーク側が送信元となる。 )とのアドレス変換ルールをアドレス変換テーブルに追加することで、 LAN内の複数の端末が中継装置 10を通して IPsec通信を行うことができる。図 8にインターネットを介して通信可能な第 1の中継装置 10aと第 2 の中継装置 10b、及びそれらに接続された LANと端末の構成を示す。以下に、 LA N300の端末と LAN400の端末間での IPsec通信の場合につ!、て、図 9を用いて説明する。

[0031] まず、端末 410aは、 LAN300内の端末 310aとの IPsec通信に必要なアドレス変換ルールを、第 1の中継装置 10aに追加するため、第 1の中継装置 10aに httpsのァクセス要求パケットを送信する。

第 1の中継装置 10aは、 httpsのアクセス要求パケットを受信すると、送信元の端末と SSLセッションの確立を行ヽ（ステップ S21)、ユーザの認証を行ヽ（ステップ S22) 、認証されれば、アクセスしたいサーバの LAN内部のプライベートアドレスやプロトコルゃポート番号などを入力させる HTMLファイルを要求元の端末 410aに送信する。なお、この HTMLファイルには、端末があら力じめ定めた一定時間ごとに、中継装置 10aにアクセスするためのプログラムが埋め込まれている。

[0032] 端末 410aは、受信した HTMLファイルを表示して (ステップ S23)、利用者にァクセス先の情報を入力させる。この場合、接続したい端末 310aのプライベート IPァドレス 192. 168. 100. 2と、プロトコルとして IPsecが入力される。端末 410aは、入力されたプライベートアドレスとプロトコルを第 1の中継装置 10aに送信する。

第 1の中継装置 10aは、プライベートアドレスとプロトコルを受信すると、データべ一ス部 16に記録して、る httpsのアクセス要求パケットの送信元 IPアドレス（第 2の中継装置 10bの IPアドレス 111. 222. 234. 123)を「ソース IPアドレス」、 IPsecを「プロトコル、ソースポート番号」、自装置のグローバルアドレス 211. 250. 250. 100を「デイスティネーシヨン IPアドレス」、 IPsecを「プロトコル、ディスティネーションポート番号」とした図 10に示すアクセス制御ルールを追加する。また、 httpsのアクセス要求パケットの送信元 IPアドレスを「ソース IPアドレス」、自装置のグローバルアドレス 211. 25 0. 250. 100を「ディスティネーション IPアドレス」、 IPsecを「プロトコル、ディステイネーシヨンポート番号」、 192. 168. 100. 2を「内部 IPアドレス」とした図 11に示すアドレス変換ルールを追加する（ステップ S 24)。

[0033] 端末 410aが、最初の IPsecパケットを第 2の中継装置 10bに送信すると、第 2の中継装置 10bのアドレス変換部 14は、 IPsec通信に関するアドレス変換ルールがァドレス変換テーブルに登録されているかを調べる。具体的には、パケットの宛先 IPァドレスとアドレス変換テーブルのソース IPアドレス、パケットの送信元 IPアドレスとアドレス変換テーブルと内部 IPアドレスとが一致するアドレス変換ルールが有るかを検索する (ステップ S 26)。

この条件に合致するアドレス変換ルールがあれば、送信元 IPアドレスをそのアドレス変換ルールのディスティネーション IPアドレスのアドレスに書き換え（ステップ S27) 、書き換えたパケットを、アクセス制御部 13を通して送信する。

[0034] この条件に合致するアドレス変換ルールが無ければ、宛先 IPアドレスを「ソース IP アドレス」、自装置の IPアドレス（この場合、 111. 222. 234. 123)を「ディスティネーシヨン IPアドレス」、 IPsecを「プロトコル、ディスティネーションポート番号」、送信元 IP アドレス（この場合、 192. 168. 20. 2)を「内部 IPアドレス」とした図 12に示すアドレス変換ルールを追加する。また、アクセス制御部 13に、送信元 IPアドレスが 211. 25 0. 250. 100で、宛先 IPアドレス力 ^111. 222. 234. 123の IPsecノケットの通過を許可するアクセス制御ルールの追カ卩を要求する。アクセス制御部 13は、図 13に示すアクセス制御ルールを追加する。

[0035] アドレス変換部 14は、アクセス制御部 13のアクセス制御ルールの追加が終わると、受信したパケットの送信元 IPアドレスを自装置のグローバル IPアドレス（この場合、 11 1. 222. 234. 123)に書き換え、書き換えたパケットをアクセス制御部 13経由で送信する。以降、端末 310aと端末 410aとの間で IPsecによる通信が行われる。

IPsecによる通信が終了すると、端末 410aの利用者が、第 1の中継装置 10aから受信した HTMLファイルで表示された画面から、通信終了のボタンを選択する力 HT MLファイルを表示して!/、るブラウザを閉じる力、 HTMLファイルを表示して!/、る端末を終了する (ステップ S30)。

[0036] 第 1の中継装置 10aのアクセス制御部 13は、通信終了のパケットの受信、端末 410 aからの信号が一定時間送信されてこないことによりブラウザが閉じられたこと、もしくは端末が終了されたことを検出すると (ステップ S31)、図 10に示したアクセス制御ルールを削除する。また、アドレス変換部 14にソース IPアドレス 111. 222. 234. 123 、ディスティネーション IPアドレス 211. 250. 250. 100、プロトコル IPsecの通信力 S 終了したことを通知する。アドレス変換部 14は、通信の終了の通知を受けると、図 11 に示したアドレス変換ルールを削除する (ステップ S32)。 [0037] 第 2の中継装置 10bのアクセス制御部 13は、通信終了のパケットの受信、端末 410 aからの信号が一定時間送信されてこないことによりブラウザが閉じられたこと、もしくは端末が終了されたことを検出すると (ステップ S33)、図 13に示したアクセス制御ルールを削除する。また、アドレス変換部 14にソース IPアドレス 211. 250. 250. 100 、ディスティネーション IPアドレス 111. 222. 234. 123、プロトコル IPsecの通信力 S 終了したことを通知する。アドレス変換部 14は、通信の終了の通知を受けると、図 12 に示したアドレス変換ルールを削除する (ステップ S 34)。

[0038] 上記のように、本実施例では、ソース IPアドレスを使用したアクセス制御ルールとァドレス変換ルールを、アクセス制御テーブルとアドレス変換テーブルにそれぞれ設定する。したがって、宛先が同じポート番号の場合でもソース IPアドレスごとに別々のサーバへ振り分けたり、ポート番号の無いプロトコルの場合でもソース IPアドレスごとに別々の端末と通信を行わせたりすることができる。

また、 LAN側から受信した IPsecのパケットの宛先 IPアドレスと送信元 IPアドレスに対するアドレス変換ルールが登録されて、な、場合でも、 LAN内の端末から開始される IPsec通信のアドレス変換ルールは、自動的に登録できるので、事前にアドレス変換ルールを登録すること無く、 IPsec通信を行うことができる。

なお、本実施例では、 IPsec通信の最初のパケットによりアドレス変換ルール、ァクセス制御ルールを追加したが、 IKE (Internet Key Exchange)の最初のパケットなどによりアドレス変換ルール、アクセス制御ルールを追加してもよ！/、。

[0039] [実施例 3]

実施例 1と実施例 2では、 WAN側の端末の認証を中継装置 10内の認証処理部 1 5で行ったが、 WAN上の認証サーバを経由させ、該認証サーバで認証を行わせ、該認証サーノくからの要求によりアクセス制御ルール及びアドレス変換ルールを追カロ、削除してもよい。このようにすることにより、 WAN上力ステルス（アクセス可能なプロトコルやポート番号を隠蔽して)で運用することができる。

[0040] 図 14は WAN上の認証サーバを用いた場合の中継装置の機能構成例を示す図である。図 14の中継装置 20は、インターネットなどの広域通信網 (WAN)に接続され、 WANとのパケットの送受信を行う WANインターフェース部 11と、 LANとのパケットの送受信を行う LANインターフェース部 12と、 WANインターフェース部 11及び LA Nインターフェース部 12が受信したパケットを分析しアクセス制御を行うアクセス制御部 23と、 WAN側から LAN内へのパケットの宛先アドレス、及び LAN内から WAN側へのパケットの送信元アドレスを変換するアドレス変換部 24と、アクセス制御のためのデータやアドレス変換のためのデータを蓄えているデータベース部 26とを備えている。また、 WAN上には WAN側の端末の認証を行い、中継装置 20にアクセス制御ルールの追加などを要求する認証サーバ 100がある。認証サーバ 100は、 WAN側の端末及び中継装置 20と通信を行うインターフェース部 101、認証サーバ 100の制御を行う制御部 102、認証処理を行う認証処理部 105、認証情報や通信中の情報などを記録するデータベース部 106から構成されている。

[0041] 中継装置 20は、ファイアウォール機能を備えている。具体的には、アクセス制御部 23は、データベース部 26に記録されて!、る図 15に示すアクセス制御テーブルに基づ、て、 WAN側から受信したパケットを LAN内に送信するかを決定して、る。図 15において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示し、「ソースポート番号」の列は、 WANインターフエース部 11で受信したパケットの送信元ポート番号を示し、「ディスティネーション IP アドレス」の列は、 WANインターフェース部 11で受信したパケットの宛先 IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、 WANインターフエ一ス部 11で受信したパケットのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「動作」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットに対して行われる動作を示している。

[0042] なお、「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名として、あらかじめ設定されてたプロトコル名とポート番号に対応付けられたプロトコル名を使用することができる。

例えば、図 15の 1行目では、送信元 IPアドレス、ポート番号に関係なぐ宛先 IPアドレスが「123. 123. 123. 123」で、かつプロトコル名が「https (HyperText Transfer Protocol Security,例えば TCP443)」であるパケットは、 LAN側に送信される（通過： accept)。

[0043] 同様に、図 15の 2行目では、送信元 IPアドレスが「211. 250. 250. 100」で、宛先 IPアドレスが「123. 123. 123. 123」で、かつプロトコル名が「SSH (Secure Shell, 例えば TCP22)」であるパケットは、 LAN側に送信され、 3行目では、全てのパケットが廃棄される（drop)。

アクセス制御部 23は、このようなテーブルを上の行力受信したパケットが一致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図 15のテーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。

[0044] また、中継装置 20は、データベース部 26に、図 16に示すアドレス変換テーブルを記録しており、アドレス変換部 24は、このテーブルに基づいて、 WAN側力受信したパケットのディスティネーション IPアドレスを LANの内部の IPアドレスに変換して、 LAN内に送信する。また、 LAN側から受信したパケットのソース IPアドレスを WAN の IPアドレス（グローバルアドレス）に変換して、 WAN側に送信する。

図 16において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示し、「ディスティネーション IPアドレス」の列は、 WA Nインターフェース部 11で受信したパケットの宛先 IPアドレスを示し、「プロトコル、デイスティネーシヨンポート番号」の列は、 WANインターフェース部 11で受信したバケツトのプロトコル名及び該プロトコルでポート番号を使用する場合の宛先ポート番号を示し、「内部 IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先 IP アドレスに設定する LANのプライベートアドレスを示し、「プロトコル及びポート番号」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致したときに、そのパケットの宛先ポート番号に設定するポート番号を示している。

[0045] 例えば、図 16の 1行目では、送信元 IPアドレスに関係なぐ宛先 IPアドレスが「123 . 123. 123. 123」でかつ宛先ポート番号が「TCP443 (https)」であるパケットは、宛先 IPアドレスを「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信される。

同様に、図 16の 2行目で ίま、送信元 IPアドレス力 S「211. 250. 250. 100」で、宛先 IPアドレス力 S「123. 123. 123. 123」でカっ宛先ポート番号カ丁じ？22 (3311)」であるパケットは、宛先 IPアドレスを「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信される。

[0046] このように設定することで、 WAN側からの特定ポートへのアクセス、またはポートを持たないプロトコルへのアクセスを、 LAN内の端末に振り分けることができる。

また、アドレス変換部 24は、このようなテーブルを上の行力も受信したパケットがー致するか検証し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。すなわち、図 16のテーブルでは、上の行に設定された条件がより優先的に処理される条件となって、る。

また、図 16に示した状態は、初期状態 (通信中の端末が無い状態)である。 LAN 内の端末力の通信要求により、また後述する WAN側のサーバからの要求により、アドレス変換ルールが追加されて、 LAN内から WAN側へのパケット、 WAN側から L AN内へのパケットのそれぞれのアドレスが図 16のテーブルに従って変換され、送信される。

[0047] 図 17にインターネット上の認証サーバと端末及び LAN上の端末やサーバとの構成を示す。中継装置 20は、 LAN300に接続され、 LAN300には端末 310a, 310b及びサーバ 311a, 311bが接続されている。中継装置 20は、インターネット 200上の認証サーバ 100からの要求のみにより、図 15のアクセス制御テーブルにアクセス制御ルールを追力 []し、図 16のアドレス変換テーブルにアドレス変換ルールを追加できる。認証サーバ 100は、中継装置 20にアクセス可能なユーザを認証するための認証情報や、ユーザごとにアクセスが許可されている中継装置 20のアドレス、追加するァクセス制御ルール及びアドレス変換ルールなどのアクセス情報をデータベース部 106 に記録している。認証サーバ 100は、インターネット 200上の端末からの要求があると、データベース部 106に記録した認証情報に基づいてユーザの認証を行い、認証が正常ならば中継装置にアクセス制御ルール及びアドレス変換ルールの追加を要求する。 [0048] 例えば、インターネット 200上の端末 220aとサーバ 31 laとの間で通信したい場合について、図 18を用いて説明する。端末 220aを操作するユーザは、インターネット 2 00上の認証サーバ 100に接続し、認証を受ける。この認証は、識別情報 (ID)とパスワードの簡易なものから、ワンタイムパスワードや生体情報による高度なソフトウェア機能による認証でもよい。なお、このような認証に用いる情報は、インターネット上での情報漏洩を防ぐため、暗号ィ匕して送信することが好まし、。

認証サーバ 100は、認証要求を受けると、認証要求した端末 220aのアドレスを送信元アドレスとして記憶し (ステップ S41)、認証情報に基づいてユーザの認証を行う (ステップ S42)。

[0049] ユーザが認証されれば (ステップ S43)、認証サーバ 100は、記録して!/、る端末 220 aのアドレスを送信元アドレスとするアクセス制御ルールとアドレス変換ルールの追加を、中継装置 20に要求する。例えば、端末 220aからサーバ 311aへの httpアクセスのみ許可する場合、認証サーバ 100は、図 19に示す端末 220aのアドレス（111. 22 2. 234. 123)を送信元として httpアクセスを許可するアクセス制御ルールの追加と、図 20に示す端末 220aのアドレス（111. 222. 234. 123)力 ^送信元の httpのノケットの送信先を、サーバ 311aのアドレス（192. 168. 100. 4)に変更するアドレス変換ルールの追加とを、要求する。

[0050] 中継装置 20のアクセス制御部 23は、認証サーバ 100からのアクセス制御ルールの追加要求及びアドレス変換ルールの追加要求を受信すると、受信したアクセス制御ルールをデータベース部 26のアクセス制御テーブルに追加する。また、アクセス制御部 23は、認証サーバ 100から受信したアドレス変換ルールを追加するように、アドレス変換部 24に要求する。アドレス変換部 24は、アクセス制御部 23からアドレス変換ルールの追加要求を受けると、受信したアドレス変換ルールをデータベース部 26 のアドレス変換テーブルに追加する（ステップ S44)。例えば、上述の端末 220aからサーバ 311aへの httpアクセスを許可する場合、図 15のアクセス制御テーブルに図 19のアクセス制御ルールを追加し、アクセス制御テーブルを図 21のようにする。また、図 16のアドレス変換テーブルに図 20のアドレス変換ルールを追加し、アドレス変換テーブルを図 22のようにする。 [0051] アクセス制御ルール及びアドレス変換ルールの追加が終わると、アクセス制御部 23 は、認証サーバ 100に追加完了を返送する。

認証サーバ 100は、中継装置 20から追加完了を受信すると、記憶している端末 22 Oaのアドレス、中継装置 20のアドレス、追加したアクセス制御ルール及びアドレス変換ルールを関連付けて通信中情報として記憶する (ステップ S45)。また、認証サーノ 100は、端末 220aに対して、アクセスが可能になった旨と、アクセスが許可されたサービス名（例えば、 Webカメラなど、 IPアドレスとポート番号でもよい）などを、ァクセス可能情報として送信する。

[0052] 端末 220aでは、受信した情報を表示することにより（ステップ S46)、アクセスが可能になった旨とアクセス可能情報をユーザに知らせる。

このようにして、端末 220aからの httpアクセスは、サーノ 31 laに振り分けられ、その他の端末からの httpアクセスは拒否されることになる。アクセスが可能になったことを知ったユーザは、 LAN300内の端末やサーバと通信を開始する。

LAN300内の端末やサーバとの通信を行ったユーザ力通信を終了するときは、端末 220aから終了情報を入力し (ステップ S51)、認証サーバ 100に通信終了を通知する。

[0053] 認証サーバ 100は、通信終了通知を受信すると、通信終了通知の送信元のアドレスから、通信中情報の端末側のアドレスに一致するものがあるか検索する (ステップ S 52)。通信中情報に一致するものがあれば (ステップ S53)、関連付けられている中継装置 20に、関連付けられて、るアクセス制御ルールとアドレス変換ルールの削除を要求する。

中継装置 20のアクセス制御部 23は、アクセス制御ルールとアドレス変換ルールの削除要求を受信すると、受信したアクセス制御ルールをデータベース部 26のァクセス制御テーブルから削除する。また、アクセス制御部 23は、認証サーバ 100から受信したアドレス変換ルールを削除するように、アドレス変換部 24に要求する。アドレス変換部 24は、アクセス制御部 23からアドレス変換ルールの削除要求を受けると、該当するアドレス変換ルールをデータベース部 26のアドレス変換テーブルから削除する（ステップ S 54)。 [0054] このようにして、ユーザからの通信終了通知により、中継装置 20のアクセス制御テ一ブルが図 15のように戻され、アドレス変換テーブルが図 16のように戻される。したがって、追加されたアクセス制御ルール及びアドレス変換ルールを利用した不正なァクセスを防止することができる。

また、中継装置 20は、アクセス制御ルールとアドレス変換ルールの追加や削除の要求を認証サーバ 100からのみ受け付ければよぐポートスキャンによりポートを検知されること無くアクセス制御ルールとアドレス変換ルールを変更することができる。

[0055] さらに、認証サーバ 100で認証を行っているので、 IDとパスワードによる認証から、より高度な認証まで容易に行うことができる。

なお、端末 220aからの通信終了の通知により、アクセス制御ルールとアドレス変換ルールを削除したが、パケットの送受信が一定時間以上無くなったときや、通信開始時から一定時間経過したときに通信終了と判断して、アクセス制御ルールとアドレス変換ルールを削除するようにしてもょ、。

また、認証サーバ 100に httpサーバとしての機能を持たせ、認証の受付やアクセス可能情報の表示や通信終了の通知などを、ホームページ上で行えるようにしてもよい。また、認証サーバ 100として SIP (Session Initiation Protocol)サーバを用いてもよい。

また、アクセス制御ルールを、すべてのアクセスに対して通過と設定することで、アドレス変換装置として機能させることもできる。

[0056] [実施例 4]

実施例 1から 3では、アクセス制御技術とアドレス変換技術とを用いて、中継装置の機能構成と処理フローについて示した。本実施例では、アドレス変換技術のみを用いて、アドレス変換装置と処理フローについて示す。図 23は、アドレス変換装置の機能構成例を示すものである。アドレス変換装置 30は、 WANインターフェース部 11、 LANインターフェース部 12、データベース部 33、アドレス変換部 34、認証処理部 3 5から構成されている。

[0057] データベース部 33は、アドレス変換テーブルを含むアドレス変換のためのデータ、ユーザ認証のためのデータ等を蓄積して、る。図 24にアドレス変換テーブルの一例を示す。また、図 25は、図 24のアドレス変換テーブルに、後述する送信元 IPアドレスをソース IPアドレスとして含むアドレス変換ルールが追加された後のアドレス変換テーブルの一例を示すものである。

図 24、図 25において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示して、る（ただし、「any」の場合は任意のァドレスで良い。 ) oまた、「ディスティネーション IPアドレス」の列は、 WANインターフエース部 11で受信したパケットの宛先 IPアドレスを示している。また、「プロトコル、ディスティネーシヨンポート番号」の列は、 WANインターフェース部 11で受信したパケットのプロトコル及び宛先ポート番号を示している。また、「内部 IPアドレス」の列は、 WA Nインターフェース部 11で受信したパケットの送信元及び宛先力当該行のそれぞれの値に一致した時に、そのパケットの宛先 IPアドレスに設定する LAN内のプライべートアドレスを示している。また、「プロトコル及びポート番号」の列は、 WANインターフェース部 11で受信したパケットの送信元及び宛先が、当該行のそれぞれの値に一致した時に、そのパケットの宛先ポート番号に設定するポート番号を示している。ァドレス変換部 34は、アドレス変換テーブルに対するアドレス変換ルールの追加と削除を行うとともに、該アドレス変換テーブルに基づいて WANインターフェース部 11及び LANインターフェース部 12で受信したパケットのアドレス変換を行う。

[0058] すなわち、アドレス変換部 34は、 WANインターフェース部 11で受信したパケットについては、送信元 IPアドレスと宛先 IPアドレスにより前記アドレス変換テーブルを参照し、宛先 IPアドレスを LAN内の IPアドレス（内部 IPアドレス）に変換し、 LANインタ一フェース部 12を介して LAN側に送信する。

例えば、図 24の 1行目では、送信元 IPアドレスに関係なぐ宛先 IPアドレスが「123 . 123. 123. 123」でかつ宛先ポート番号が「TCP443 (https)」であるパケットは、宛先 IPアドレスが「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信される。

[0059] 同様に、図 24の 2行目では、送信元 IPアドレスに関係なぐ宛先 IPアドレスが「123 . 123. 123. 123」でかつ宛先ポート番号が「TCP22 (SSH)」であるパケットは、宛先 IPアドレスが「192. 168. 100. 5」に書き替えられ、宛先ポート番号はそのままで LAN側に送信される。

また、アドレス変換部 34は、 LANインターフェース部 12で受信したパケットについては、パケットの宛先 IPアドレスをソース IPアドレスと読み替えた上で、パケットの送信元 IPアドレスと同じ内部 IPアドレスをアドレス変換テーブル内で検索し、パケットの送信元 IPアドレスを WAN内のグローバル IPアドレスに変換し、 WANインターフェース部 11を介して WAN側に送信する。

[0060] アドレス変換部 34では、前述したアドレス変換テーブルを上の行力も受信したパケットの内容により参照し、一致すれば指定された動作を行い、そのパケットに対する処理は終了する。即ち、図 24、図 25のアドレス変換テーブルでは、上の行に設定された条件がより優先的に処理される条件となっている。

認証処理部 35は、アドレス変換部 34の要求により、ユーザの認証処理を行う。図 26、図 27はアドレス変換装置の処理フローを示すフローチャートであり、以下、これに従って本アドレス変換装置の動作を詳細に説明する。

[0061] アドレス変換部 34は、 WAN側の端末装置 220から WANインターフェース部 11を介して自装置のアドレス宛の httpのアクセス要求 (通信の開始要求)パケットを受信する (ステップ S61)と、アクセス要求パケットの送信元 IPアドレスを送信元の端末装置の IPアドレスとして記憶し (ステップ S62)、ユーザの認証に必要なユーザの識別情報及びパスワードを入力させるための HTML (Hyper Text Markup Language)フアイルを、アクセス要求元の端末装置 220に WANインターフェース部 11を介して送信する（ステップ S 63)。

[0062] アドレス変換部 34は、アクセス要求元の端末装置 220からユーザの識別情報及びパスワードを受信する (ステップ S64)と、受信したユーザの識別情報及びパスワードを認証処理部 35に転送し、ユーザの認証を要求する (ステップ S65)。

認証処理部 35は、ユーザの識別情報及びパスワードを受信すると、データベース部 33に蓄積しているユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、蓄積しているそのユーザのパスワードと受信したパスワードを比較し、一致していれば、認証正常をアドレス変換部 34に送信する (ステップ S66)。一致するユーザが見つ力もな力つた場合とパスワードが一致しなかった場合は、認証異常をアドレス変換部 34に送信する。なお、この際、ユーザに再度、ユーザの識別情報やパスワードの入力を求め、所定の回数繰り返しても一致しな、場合に認証異常とするようにしても良、。

[0063] アドレス変換部 34は、認証処理部 35から認証正常を受信すると、アクセスしたヽサーバの LAN内部におけるプライベートアドレスやプロトコル、ポート番号等を入力させるための HTMLファイルをアクセス要求元の端末装置 220に WANインターフエ一ス部 11を介して送信する (ステップ S67)。

アクセス要求元の端末装置 220からプライベートアドレスやプロトコル、ポート番号等を受信する (ステップ S68)と、アドレス変換部 34は、記録している httpのアクセス要求パケットの送信元 IPアドレスをソース IPアドレス、受信したプライベートアドレスを内部 IPアドレス、プロトコル及びポート番号をプロトコル及びディスティネーションポート番号としたアドレス変換ルールを、データベース部 33のアドレス変換テーブルに追加する（ステップ S 69)。

[0064] 例えば、 httpのアクセス要求パケットの送信元 IPアドレスが「111. 222. 234. 123 」、宛先 IPアドレスが「123. 123. 123. 123」、宛先ポート番号が「TCP22」のバケツトの宛先 IPアドレスを、内部 IPアドレス「192. 168. 100. 4」に書き替えるようにする場合、図 25に示すように、図 24のテーブルの一番上の行に、 httpによりアクセスしてきた端末のアドレス変換ルールを追加する。

これにより、送信元 IPアドレスが「111. 222. 234. 123」、宛先ポート番号が「TCP 22」のパケットは、宛先 IPアドレスが「192. 168. 100. 4」に書き替えられて LANに送信され、それ以外の送信元 IPアドレスの宛先ポート番号が「TCP22」のパケットは、宛先 IPアドレスが「192. 168. 100. 5」に書き替えられて LANに送信されるようになる。

[0065] その後、アドレス変換部 34は、アクセス要求元の端末装置 220に対して、認証が正常であったこと、アドレス変換ルールが設定されたこと、変換先の LAN内部のプライペートアドレス、プロトコルとポート番号等を表示する HTMLファイルを送信する（ステップ S70)。なお、この HTMLファイルには、端末があらかじめ定めた一定時間ごとに、中継装置 10aにアクセスするためのプログラムが埋め込まれて!/、る。アクセス要求元の端末装置 220では、送信された HTMLファイルを表示すること〖こより、設定されたアドレス変換の情報を確認することができる。また、この後、端末装置 220は、 HTMLファイル内に埋め込まれたスクリプトなどのプログラムにより、一定時間ごとに自動的に、アドレス変換装置 30へ http通信を行う。

[0066] アドレス変換ルールの設定後、アドレス変換部 34は、 WANインターフェース部 11 力もパケットを受信する（ステップ S72,ステップ S74)と、その送信元 IPアドレス及び宛先 IPアドレスにより前記アドレス変換テーブルを参照し (ステップ S75)、宛先 IPァドレスを LAN内の IPアドレス（内部 IPアドレス）に変換し（ステップ S76)、 LANインタ一フェース部 12を介して LANに送信する。

また、アドレス変換部 34は、 LANインターフェース部 12からパケットを受信する (ステツプ S72,ステップ S74)と、その内部 IPアドレスにより前記アドレス変換テーブルを参照する（ステップ S77)。次に、アドレス変換部 34は、パケットの送信元 IPアドレスを、内部 IPアドレスから WAN内のグローバル IPアドレスに変換し（ステップ S78)、 WA Nインターフェース部 11を介して WANに送信する。

[0067] このようにして LAN内のサーバ（端末装置）との通信を行う。また、端末装置 220のユーザが通信を終了する場合は、アドレス変換装置 30から受信した HTMLファイルの画面から、通信の終了のボタンを選択し、通信終了のパケットを送信する力、当該画面自体を閉じる。

アドレス変換装置 30のアドレス変換部 34は、アクセス要求元の端末装置 220の HT ML画面の終了により通信の切断を検出する (ステップ S71)か、通信終了のパケットを受信する (ステップ S73)と、図 25のように書き替えられていたアドレス変換テープルから、追加されていたアドレス変換ルールを削除し (ステップ S79)、図 24の初期状態に戻す。

[0068] このように、本実施例では、ソース IPアドレスを含んだ条件によりアドレス変換ルールを設定することができるので、同じポート番号へのパケットでもソース IPアドレスごとに別々のサーバへ振り分けたり、ポート番号の無いプロトコルでもソース IPアドレスごとに別々の端末と通信を行わせたりすることができる。

また、ユーザのリクエストにより、または通信の切断により、変更したアドレス変換ルールの設定を元に戻しているので、変更した設定による誤ったアクセスを防ぐことができる。

[0069] なお、本実施例では、端末力アドレス変換装置へのアクセスに httpを使った力 h ttpsや telnetや SIP (Session Initiation Protocol)等を使ってもかまわない。また、本実施例では、ユーザの認証を行ったが、あらかじめ設定された端末力もの要求に対しては認証要求を行わな、ようにしても良、。

[0070] [実施例 5]

本実施例では、本発明のアクセス制御技術のみを用いた技術を示す。ファイアゥォール装置の機能構成例とファイアウォール方法の手順例を、それぞれ図 28と図 29に示す。

この実施の形態のファイアウォール装置 40は、インターネットなどの広域通信網 (W AN: Wide Area Network) 200に接続され、 WAN200とのパケットの送受信を行う W ANインターフェース部 11と、 LAN300とのパケットの送受信を行う LANインターフエース部 12と、 WANインターフェース部 11及び LANインターフェース部 12が受信したパケットを分析してアクセス制御を行うアクセス制御部 46と、アクセス制御部 46の要求により利用者 (ユーザ)の認証処理を行う認証処理部 47と、アクセス制御のためのデータや認証のデータを蓄えて、るデータベース部 48とを備えて!/、る。

[0071] データベース部 48のアクセス制御テーブル（通過条件テーブル） 48aには、図 30 に示すようなテーブルが記憶されており、アクセス制御部 46は、このテーブルに基づいて、 WANインターフェース部 11で受信したパケットを、 LANインターフェース部 1 2を介して LAN300側に転送するかを決定して、る。

図 30において、「ソース IPアドレス」の列は、 WANインターフェース部 11で受信したパケットの送信元 IPアドレスを示し、「ソースポート番号」の列は、 WANインターフエース部 11で受信したパケットの送信元ポート番号を示し、「ディスティネーション IP アドレス」の列は、 WANインターフェース部 11で受信したパケットの宛先 IPアドレスを示し、「プロトコル、ディスティネーションポート番号」の列は、 WANインターフエ一ス部 11で受信したパケットの宛先ポート番号 (ここでは、ポート番号に対応したプロトコル名により示している）を示し、「動作」の列は、 WANインターフェース部 11で受信したパケットの送信元情報と宛先情報が、通過条件テーブル (アクセス制御テーブル ) 48a中のソース IPアドレス及びソースポート番号とディスティネーション IPアドレス及びプロトコル、ディスティネーションポート番号とそれぞれ一致した行に示される動作を、そのパケットに対して行うことを示している。

[0072] なお、「プロトコル、ディスティネーションポート番号」の列で使用されるプロトコル名とポート番号との対応はあら力じめ設定されている。また、「プロトコル、デイスティネーシヨンポート番号」の列には数値、つまりポート番号そのものを設定しても力まわない例えば、図 30の通過条件の 1行目では、ソース IPアドレス及びソースポート番号は「any (任意）」であるから、これら IPアドレス及びポート番号に関係なぐ宛先 IPァドレスが「111. 111. 111. 2」でかつ宛先ポート番号が「http (Hypertext Transport Protocol,例えば TCP (Transmission Control Protocol) 80)」であるパケットは、 LAN 12に転送される（通過： accept)。

[0073] 図 30の通過条件の 2行目では、送信元 IPアドレスが「123. 123. 123. 1」で、宛先 IPアドレスの上位が「111. 111. 111」でかつ宛先ポート番号が「https ( Hypertext Transfer Protocol Security,例えば TCP443)」であるパケットは、 LAN3 00に転送され、 3行目では、送信元及び宛先の欄は、ずれも「any」であり、「動作」の欄は「廃棄」であるから、全てのパケットが廃棄される（廃棄： drop)。

アクセス制御部 46中の検索部 46aは、このような通過条件テーブル 48aを上の行から、受信したパケットの送信元及び送信先情報と一致するか検証し、一致すれば指定された動作を転送制御部 46bで行い、そのパケットに対する処理は終了する。この例では、図 30の通過条件テーブル 48aに対し、上の行に設定された条件がより優先的に処理される条件となっている。

[0074] 図 29も参照してアクセス制御部 46の動作を具体的に説明する。ファイアウォール装置 40のアドレス宛の httpsの通過条件設定要求パケットを受信すると (ステップ S8 1)、 WAN200に接続された送信元の利用者端末 220と安全なセッション（SSL ( Secure Socket Layer)セッション）の確立をセッション確立.切断部 46cで行う（ステツプ S82)。セッションが正常に確立されれば、セッション確立時に取得した送信元利用者端末 220の IPアドレスを、例えばデータベース部 48に記憶する（ステップ S83) 。また、通信情報生成部 46dの要求部 46dlにより、認証情報要求を利用者端末 22 0へ送信する (ステップ S84)。例えばユーザの識別情報とパスワードを入力させる H TMLファイルを暗号化し、要求元の利用者端末 220に WANインターフェース部 11 を介して送信する。この例では要求元の利用者端末 220の IPアドレスの他に、その条件設定要求パケット中に含まれる他の条件もデータベース部の通過条件テーブル (アクセス制御テーブル) 48aに記憶する。

[0075] 要求元利用者端末 220から、暗号化されたユーザの識別情報とパスワードを受信すると (ステップ S85)、この暗号ィ匕された認証情報を復号ィ匕部 46eにより復号ィ匕を行い (ステップ S86)、復号ィ匕されたユーザの識別情報とパスワードを認証処理部 47に送信して、ユーザの認証を要求する (ステップ S87)。

認証処理部 47は、ユーザの識別情報とパスワードを受信すると、データベース部 4 8中の認証情報部 48bに蓄積してあるユーザの情報から、受信したユーザ識別情報と一致する識別情報を持つユーザを検索する。一致するユーザが見つかれば、認証情報部 48bに蓄積してあるそのユーザのノスワードと、受信したノスワードとを比較し、一致していれば、認証正常をアクセス制御部 46に送信する。一致するユーザがない場合、またはパスワードがー致しなカゝつた場合は、認証処理部 47は認証異常をァクセス制御部 46に送信する。

[0076] アクセス制御部 46は、認証処理部 47から認証正常 (合格)を受信すると (ステップ S 88)、認証正常となったユーザの通過条件設定要求の情報に基づき、パケットの通過を許可する行を通過条件テーブル (アクセス制御テーブル) 48aに追加する（ステップ S89)。

例えば、認証正常となった IPアドレス「123. 123. 111. 1」の要求元利用者端末 2 20【こ、 IPアドレス「111. 111. 111. 3」のサーノ（f列え i LAN300【こ接続された We bサーバ 310)の ftp (File Transfer Protocol)へのアクセスを許可する（通過させる）場合、図 31に示すように、図 30の通過条件テーブル 28aの一番上の行に、要求元利用者端末 220及び Webサーバ 310のアドレス情報と「動作」が「通過」のアクセス制御ルール (通過条件）を追加する。一般の通過条件としては、送信元アドレスは「any」でも良いが、この例では要求元利用者端末 220の IPアドレスも設定する。

[0077] 次に、アクセス制御部 46は、認証が正常であったこと、アクセスが許可されたこと、アクセス可能情報 (アクセスが許可されたサービス名（例えば、 Webカメラなど)あるいは IPアドレスとポート番号）、通信状況 (IPアドレス「123. 123. 111. 1」の利用者端末 220と、 IPアドレス「111. 111. 111. 3」、ポート番号「ftp」のサーノ 310と力 ^通信中であること）などを表示する HTMLファイルを、通知情報生成部 46dの許可部 46d 2及び状況部 46d3で生成し、暗号化部 46fで暗号化し、要求元利用者端末 220〖こ送信する (ステップ S 90)。

[0078] 利用者端末 220では、このファイアウォール装置 40から送信された HTMLファイルを復号化して表示することにより、アクセス可能情報や、アクセス状況を表示することができる。

このように確立した利用者端末 220と Webサーバ 310との SSLセッション中にお!ヽて、アクセス制御部 46は、利用者端末 220からのアクセスを監視部 46gで監視し (ステツプ S91)、利用者端末 220からのアクセスの異常を異常検出部 46glで検出すると (ステップ S92)、その異常通知を通知情報生成部 46dの異常部 46d4で生成し、その SSLセッションを通して利用者端末 220へ送信する (ステップ S93)。具体的には、例えば以下の通りである。

[0079] (1)利用者端末からのパケットの単位時間当たりのトラヒック（例えば、 MBZsなど）は、動画サービス、音声サービスなどのサービスごとにほぼ一定している。そこで、ァクセス制御部 46は、 SSLセッションが確立している端末からのパケットの単位時間当りのトラヒックを監視し、サービスごとにあら力じめ設定されたトラヒック量を超えたトラヒックが発生したときは、そのサービス名や発生したトラヒック量などを表示する HTMLフアイルを、暗号化してその利用者端末 220に送信する。利用者端末 220では、送信された HTMLファイルを復号ィ匕して表示することにより、異常と思われるアクセスの情報が表示され、その利用者端末 220の利用者は不正なアクセスがあることを知ることができる。

[0080] (2)利用者端末 220から、その利用者端末 220に許可されていないサービスに対するアクセス要求があると、その数をサービス毎に計数しておき、その計数の値があらかじめ設定された値、例えば 1を超えたときは、そのサービス名や計数値などを表示する HTMLファイルを暗号ィ匕してその利用者端末 220に送信する。これを受信した利用者端末 220では、送信された HTMLファイルを復号ィ匕して表示することにより、その利用者はその利用者端末 220とセッションを確立してヽな、サーバまたは端末に対し、不正なアクセスがあったことを知ることができる。

[0081] (3)同一の利用者端末 220からのファイアウォール装置 40への httpsのアクセス要求パケット (通過条件設定要求に基づくユーザ認証での異常の回数)を計数しておき、その計数の値があらかじめ設定された値を超えたときは、認証異常の回数が異常である旨とその計数値などを表示する HTMLファイルを暗号ィ匕してその利用者端末 220に送信する。このような異常通知を受信した利用者端末 220では、送信された H TMLファイルを復号ィ匕して表示する。この表示によって、正規の利用者になりすました不正なアクセスがあった場合には、正規の禾 IJ用者は不正なアクセスがあったことを知ることができる。

[0082] 以上のようにしてアクセスを許可され、 LAN300内のサーバ 310との通信を行った利用者が、通信を終了するときは、ファイアウォール装置 40から受信し、その利用者端末 220に HTMLファイルで表示された画面から、通信の終了のボタンを選択する力 SSLセッションを切断する。

ファイアウォール装置 40のアクセス制御部 46は、通信終了のパケットを受信した場合や、 SSLセッションの切断を検出した場合には (ステップ S94)、図 31に示したように書き替えた通過条件テーブル 48aを、図 30に示した元の状態に戻す (ステップ S9 5)。通信終了パケット受信の場合は、通過条件テーブル 48aを元の状態に戻すと共に、その SSLセッションを切断する。

[0083] ステップ S94で通信が終了またはセッションが切断になって!/、なければ、ステップ S 81に戻る。ステップ S81で通過条件設定要求がなければ、ステップ S91に飛びァクセス監視を行う。ステップ S88で認証が合格しなければ、ステップ S96でセッション確立'切断部 46cにより、その SSLセッションを切断してステップ S81に飛ぶ。

なおステップ S91, S92及び S93は通信状況監視ステップを構成している。また、図 28中において、制御部 49は各部を順次動作させることや、データベース部 48に対する読み出し書き込み、消去などを行う。

[0084] 以上述べたように、この実施例では、 httpsのセッション内でユーザ (利用者）の認証を行い、認証が正常であれば、そのユーザに対応したアクセス許可 (通過条件）をその httpsセッションを要求してきた IPアドレスに追加設定して!/、るので、ファイアゥォール装置 40の外側からファイアウォール装置 40のセキュリティポリシー（通過条件）をより安全に変更することができる。し力もセッションが切断されると、その追加設定した通過条件を直ちに削除するため、不正なアクセスを防止できる。

また、この実施例では追加設定の通過条件に認証された通過条件設定要求元の端末の IPアドレス情報が含まれて、るので、この点からも不正アクセスを防止できる。

[0085] さらに、その httpsセッションにアクセスを許可したサービス名や、アクセスを許可した IPアドレスとの通信状況をユーザに表示して、るので、これをユーザが確認することにより不正なアクセスを防ぐことができる。

また、ユーザの要求により、または httpsセッションの切断により、その httpsセッションを利用する通信が終了すれば直ちに変更したアクセス許可 (通過条件)の設定状態を元に戻して、るので、変更した通過条件設定を利用しての不正アクセスを防ぐことがでさる。

[0086] [実施例 6]

実施例 1から 5では利用者の端末単位で、アクセス制御ルール (通過条件）を定めた力ネットワーク単位でのアクセス制御ルールの追加要求（通過条件設定要求）に対しても、この発明を適用できる。

本実施例では、ネットワーク単位でのアクセス制御ルール (通過条件）の追加方法を、実施例 5で示した構成に適用した例を示す。例えば、図 28中に破線で示す家庭内のホームネットワーク 210が WAN200に接続され、このホームネットワーク 210に複数の利用者端末 220が接続されているとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ュ一ザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部 46は、 SSLセッション確立時に取得した IPアドレスのネットワークアドレスに対し、アクセスの許可 (「動作」を「通過」にした通過条件）を設定する [0087] 例えば、ネットワーク 210に接続された利用者端末 (IPアドレスが 123. 123. 111. 0/24 (上位 24ビット力 ^123. 123. 111、下位ビット力^), 1, 2, · ··, 254の!ヽずれ力 ) )【こ対して、 IPアドレス 111. 111. 111. 3のサーノ 310の ftp (File Transfer Protocol)へのアクセスを許可する場合、図 30に示した通過条件テーブル 48aの一番上の行に、ネットワーク 210のネットワークアドレス（IPアドレスの上位 24ビットが 12 3. 123. 111である IPアドレス）をソース IPアドレスとする通過条件を追加する。追カロ後には、図 32のようになる。

[0088] このようにすることにより、 SSLセッションが確立中はネットワーク 210内の利用者端末 220のいずれからのアクセスでも許可することができ、し力もネットワーク 210内のブラウザを持たな、利用者端末からも許可された宛先に対しアクセスできるようになる。なお、通信状況はその SSLセッション確立要求、つまり通過条件設定要求を行ったブラウザを持つ利用者端末へ送る。

[0089] [実施例 7]

実施例 6は、実施例 5のファイアウォール装置 40に対して、ネットワーク単位でのァクセス制御ルール (通過条件）の追加を行った力本実施例では、実施例 1の中継装置 10に対して、ネットワーク単位でのアクセス制御ルール（通過条件）の追加を行う場合を示す。

例えば、図 2中に破線で示す家庭内のホームネットワーク 210が WAN200に接続され、このホームネットワーク 210に複数の利用者端末 220が接続されて、るとする。この場合、認証時に、ユーザの識別情報とパスワードとともにネットワーク単位での通過条件設定要求が送信され、ユーザのアクセス情報に基づき、ネットワーク単位でのアクセスを許可する設定がされる。つまり、アクセス制御部 13は、 SSLセッション確立時に取得した IPアドレスのネットワークアドレスに対し、アクセスの許可 (「動作」を「通過」にした通過条件）を設定する。

[0090] 例えば、ネットワーク 210に接続された利用者端末 (IPアドレスが 123. 123. 111.

0/24 (上位 24ビット力 ^123. 123. 111、下位ビット力^), 1, 2, · ··, 254の!ヽずれ力 ) )【こ対して、 IPアドレス 111. 111. 111. 3のサーノ 310の ftp (File Transfer Protocol)へのアクセスを許可する場合、図 3に示したアクセス制御テーブルの一番上の行に、ネットワーク 210のネットワークアドレス（IPアドレスの上位 24ビットが 123. 123. 111である IPアドレス）をソース IPアドレスとする通過条件を追加する。追加後には、図 33のようになる。

[0091] このようなネットワーク単位でのアクセス制御ルールの追加をした上で、ネットワーク 210の個々の端末 220ごとにアドレス変換ルールを追加する方法もある。

このようにすることにより、 SSLセッションが確立中はネットワーク 210内の利用者端末 220のいずれからのアクセスでも許可することができ、し力もネットワーク 210内のブラウザを持たな、利用者端末からも許可された宛先に対しアクセスできるようになる

[0092] [実施例 8]

実施例 5または 6に対する追加の処理として、以下の処理がある。利用者端末 220 の IPアドレスまたネットワークアドレスに対する通過条件が追加され、利用者端末 22 0との SSLセッションが確立して!/、る時に、その利用者端末 220から異なる宛先への接続を要求するパケットを受信することも考えられる。具体的には、ファイアウォール装置 40との SSLセッションが確立している利用者端末の利用者力例えば現に受けているサービス以外のサービスを受けたい場合などである。このような場合には、すでに確立している SSLセッションにより、新しい接続要求を許可する力否かをその利用者端末に問、合わせるようにしてもょ、。

[0093] 具体的には、利用者端末 220は、確立中の SSLセッションを用いて新しい通過条件設定要求を、アクセス制御部 46に送信する。アクセス制御部 46は、図 29中のステップ S81の次に破線で示すように、追加設定処理 S97を行う。この追加設定処理手順 (ステップ S97)の例を図 34に示す。アクセス制御部 46は、受信した通過条件設定要求の要求元 IPアドレス力確立中の SSLセッションの利用者端末 220からの追加設定要求であるかを調べる（ステップ S97a)。確立中の SSLセッションの利用端末 22 0からの追加設定要求であれば、その利用者端末 220に対して、アクセス可能情報やアクセス状況などとともに追加設定要求のパケットを受信した旨と、その追加設定要求の宛先の IPアドレス及びポート番号と、この追加設定要求を許可するか否かを選択させるボタンを表示する HTMLファイルを通知情報生成部 46dで生成し、暗号化してその SSLセッションを用いて利用者端末 220へ送信する (ステップ S97b)。

[0094] これを受信した利用者端末 220では、その送信された HTMLファイルを復号ィ匕して表示することにより、追加設定要求が受信されたことが利用者端末 220の利用者に通知される。したがって、その追加設定要求が利用者の承知しているものであるかをその利用者に確認させることができる。

要求に対する回答が受信されると (ステップ S97c)、アクセス制御部 46でその回答をチェックする。その利用者端末 220からの回答が、「その追加設定を許可する。（追加通過条件設定を認める。；)」であれば (ステップ S97d)、アクセス制御部 46は、その追加設定要求の通過条件を通過条件テーブル 48aに追加設定する (ステップ S97e ) oその後は、追加された通過条件を満すパケットは、既に確立している SSLセッションにより、 LAN内の宛先のサーバに転送される。なお、ステップ S 97dで利用者端末からの回答が、「接続を拒否する。」であれば、アクセス制御部 46は、新たな接続要求（追加設定要求）のパケットを廃棄する (ステップ S97f)。

上記の方法では、異なるサービスを提供するサーバへの接続のために、確立済の S SLセッションを利用して、通過条件テーブル 48aに新しい通過条件を追カ卩した。別の方法として、以下のように処理することもできる。アクセス制御部 46が図 34に示したステップ S97a, S97b, S97c及び S97dの処理を行!ヽ、ステップ S97dの回答力 ^許可であれば、そのサービス要求パケットを対応するサーバへ転送する（ステップ S97eの括弧書)ようにしてもよい。つまり、確立した SSLセッションを用いて、要求元の利用者端末 220からの追加条件設定要求や他宛先へのアクセス要求などに対しては、認証処理を特に行うことなぐ既に確立済の SSLセッションを用いて宛先サーバへ転送させてもよい。

[0095] 上記の方法は、新、接続要求を許可する力否かを、 SSLセッションを用いてその利用者端末 220の利用者に問、合わせるので、不正なアクセスを防ぐことができる。なお、この実施例 5から 7では、利用者端末からの安全なセッションとして httpsを用いたが、 SSH (Secure Shell)などによる安全なセッションを使っても良い。また、フアイァウォール装置 40に、図 28に破線で示すようにサーバ 310が直接接続されていてもよい。また、通過条件設定要求があれば、その要求元端末と安全なセッションを先ず確立し、その後認証処理を行った力先ず認証処理を行ってもよい。つまりステップ S 81で通過条件設定要求が受信されると図 29中に破線で示すように直ちにステップ S 84に移り、認証処理を行い、その認証に合格すれば、ステップ S89でデータベース部 48にその通過条件を設定し、かつ要求元端末との間に安全なセッションを確立してもよい。また、認証処理部 47をファイアウォール装置 40内に設けた力外部に設けてもよいし、例えば LAN300に接続された認証サーバであってもよい。その場合はデータベース部 48から認証情報部 48bは省略される。さらに認証処理としてはユーザ識別情報及びパスワードを要求し、これが認証情報部 48b内に在るかないかで認証の合格カゝ否かを決定したが、認証サーバを用いることで、より安全度が高い認証方法を利用することも可能となる。

実施例 1から 8に示した中継装置、アドレス変換装置、ファイアウォール装置 (ァクセス制御装置）をコンピュータにより機能させてもょ、。この場合は各処理フローをコンピュータに実行させるプログラムを、コンピュータ内に CD— ROM、磁気ディスク、半導体記憶装置などの記録媒体力インストールし、または通信回線を介してダウン口ードして、そのコンピュータにそのプログラムを実行させればよい。

Claims

請求の範囲

[1] グローバルネットワークでのアドレスを持たな!、プライベートネットワークの端末またはサーバが、前記グローバルネットワークを介して通信を行うための中継装置であつて、

前記グローバルネットワークとの通信を行う WANインターフェース部と、前記プライベートネットワークとの通信を行う LANインターフェース部と、送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールに従つて、前記グローバルネットワークから前記プライベートネットワークへのアクセスを制御する手段を有するアクセス制御部と、

送信元の装置ごとに定めたアドレス変換ルールに従って、前記グロ一ノレネットヮーク側の端末からの情報を前記プライベートネットワーク側の端末に伝えるためにァドレスの変換を行う手段と、

送信元の装置ごとに定めたアドレス変換ルールに従って、前記プライベートネットヮーク側の端末からの情報を前記グローバルネットワーク側の端末に伝えるためにアドレスの変換を行う手段と

を有するアドレス変換部と、

前記アクセス制御ルールと前記アドレス変換ルールとを記録するデータベース部とを備える中継装置。

[2] 請求項 1記載の中継装置であって、

前記グローバルネットワーク側の端末からのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、

前記認証処理部が認証を行うために用いる利用者情報も記録する前記データべース部と、

前記認証が正常に終了した場合には、送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールを前記データベース部に追加する手段と、あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も有する前記アクセス制御部と、

前記認証が正常に終了した場合には、送信元の装置ごとに定めたアドレス変換ルールを前記データベース部に追加する手段と、

あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールを前記データベース部から削除する手段も

有する前記アドレス変換部と、

を備える中継装置。

[3] 請求項 1記載の中継装置であって、

グローバルネットワーク側の端末の認証を行う認証処理サーノくからの要求があると

、送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールを前記データベース部に追加する手段と、あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も

有する前記アクセス制御部と、

前記認証サーノくからの要求があると、送信元の装置ごとに定めたアドレス変換ルールを前記データベース部に追加する手段と、

有する前記アドレス変換部と、

を備える中継装置。

[4] 請求項 3記載の中継装置へのアクセスを許可する認証サーバであって、

前記グローバルネットワーク側の端末及び前記中継装置との通信を行うインターフエース部と、

前記グローバルネットワークの端末からの前記中継装置へのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、

前記認証処理部での認証が合格した場合に、前記グローバルネットワークの端末力ものパケットのアクセス制御ルールとアドレス変換ルールの追加を、前記中継装置へ要求する手段と、あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールとアドレス変換ルールの削除を、前記中継装置へ要求する手段と

を有する制御部と

前記認証処理部が認証を行うために用いる利用者情報と、追加を要求したアクセス制御ルールとアドレス変換ルールとを関連つける情報とを記録するデータベース部とを備える認証サーバ。

[5] 請求項 1から 3の、ずれかに記載の中継装置であって、

プライベートネットワーク側の端末力の通信開始要求があると、送信元の装置ごとに定めたアクセス制御ルールを前記データベース部に追加する手段と、

あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も

有する前記アクセス制御部と、

プライベートネットワーク側の端末力の通信開始要求があると、送信元の装置ごとに定めたアドレス変換ルールを前記データベース部に追加する手段と、

有する前記アドレス変換部と、

を備える中継装置。

[6] グローバルネットワークでのアドレスを持たな!、プライベートネットワークの端末またはサーノが、前記グローバルネットワークを介して通信を行うためのアドレス変換装置であって、

前記グローバルネットワークとの通信を行う WANインターフェース部と、前記プライベートネットワークとの通信を行う LANインターフェース部と、送信元の装置ごとに定めたアドレス変換ルールに従って、前記グロ一ノレネットヮーク側の端末からの情報を前記プライベートネットワーク側の端末に伝えるためにァドレスの変換を行う手段と、

を有するアドレス変換部と、

前記アドレス変換ルールを記録するデータベース部と、

を備えるアドレス変換装置。

[7] 請求項 6記載のアドレス変換装置であって、

グローバルネットワーク側の端末またはプライベートネットワーク側の端末からの通信開始要求があると、送信元の装置ごとに定めたアドレス変換ルールを前記データベース部に追加する手段と、

有する前記アドレス変換部と、

を備えるアドレス変換装置。

[8] 請求項 7記載のアドレス変換装置であって、

グローバルネットワーク側の端末からの通信開始要求があると、認証処理を行う認証処理部と、

グローバルネットワーク側の端末からの通信開始要求に対しては、前記認証が正常に終了した場合に限り、前記アドレス変換ルールを前記データベース部に追加する前記アドレス変換部と、

を備えるアドレス変換装置。

[9] 請求項 7記載のアドレス変換装置であって、

グローバルネットワーク側の端末からの通信開始要求に対しては、認証処理を行う認証処理サーノくからの要求がある場合に限り、前記アドレス変換ルールを前記データベース部に追加する前記アドレス変換部

を備えるアドレス変換装置。

[10] 請求項 9記載のアドレス変換装置へのアクセスを許可する認証サーバであって、前記グローバルネットワーク側の端末及び前記中継装置との通信を行うインターフエース部と、

前記認証処理部での認証が合格した場合に、前記グローバルネットワークの端末力ものパケットのアドレス変換ルールの追カ卩を、前記アドレス変換装置へ要求する手段と、

あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアドレス変換ルールの削除を、前記アドレス変換装置へ要求する手段と

を有する制御部と

前記認証処理部が認証を行うために用いる利用者情報を記録するデータベース部と

を備える認証サーバ。

[11] ファイアウォール装置外のグローバルネットワークからのパケットがデータベース部に設定されている通過条件を満すと、そのパケットをファイアウォール装置内のプライペートネットワークに通過させるファイアウォール装置であって、

前記グローバルネットワークからのアクセス許可の依頼を受けると、認証処理を行う認証処理部と、

前記アクセス制御ルールと前記認証処理部が認証を行うために用いる利用者情報とを記録するデータベース部と、

を備えるファイアウォール装置。

[12] 請求項 11記載のファイアウォール装置であって、

前記グローバルネットワークの装置からのアクセス許可の依頼に対応するアクセス制御ルールが、前記データベース部に記録されて!、な!/、場合に、前記認証処理部での認証が正常に終了すると、送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールを前記データベース部に追加する手段と、あら力じめ定めた通信終了の判断基準を満足すると、当該追加したアクセス制御ルールを前記データベース部から削除する手段も

有する前記アクセス制御部

を備えるファイアウォール装置。

[13] 請求項 12記載のファイアウォール装置であって、

安全なセッション確立中に、当該セッションを使用しているグローバルネットワークの装置からの新たなアクセス許可の依頼があった場合に、

前記安全なセッションを用いて、前記グローバルネットワークの装置に対して前記依頼の内容を確認する通知を送る手段と、

前記グローバルネットワークの装置からの拒否の回答を得た場合に、前記アクセス制御ルールに関わりなぐ新たなアクセスを拒否する手段も

有する前記アクセス制御部

を備えるファイアウォール装置。

[14] 請求項 11から 13のいずれかに記載のファイアウォール装置であって、

通信状況の監視を行う手段と、

あらかじめ定めた通信異常の基準を満足する場合に、通信の異常を前記グローバルネットワークの装置に通知する手段

も有する前記アクセス制御部

を備えるファイアウォール装置。

[15] グローバルネットワークでのアドレスを持たな!、プライベートネットワークの端末が、前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、あら力じめ送信元の装置ごとに定めたアドレス変換ルールをデータベース部に記録しておき、

前記グローバルネットワーク側からのパケットを WANインターフェース部が受信すると、

前記アドレス変換ルールに従って、アドレス変換部で宛先アドレスを変換し、 LANインターフェース部が、当該アドレス変換されたパケットを前記プライべ一トネットワーク側に伝え、

前記プライベートネットワーク側からのパケットを LANインターフェース部が受信すると、

前記アドレス変換ルールに従って、アドレス変換部で送信元アドレスを変換し、 WANインターフェース部力当該アドレス変換されたパケットを前記グロ一バルネットワーク側に伝える

ことを特徴とするアドレス変換方法。

グローバルネットワークでのアドレスを持たないプライベートネットワークの端末が、前記グローバルネットワークを介して通信を行うためのアドレス変換方法であって、あら力じめ送信元の装置ごとに定めたアドレス変換ルールをデータベース部に記録しておき、

前記グローバルネットワーク側からのパケットを WANインターフェース部が受信した場合に、

認証処理部で認証処理を行！ヽ、認証が合格すると、

前記アドレス変換部で前記パケットの送信元情報と宛先情報に一致するアドレス変換ルールがデータベース部に記録されて、ることを調べ、

一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットのアドレスを変換し、

一致するアドレス変換ルールが存在しな、場合は、アドレス変換ルールを前記データベース部に追カ卩して、当該追カ卩したアドレス変換ルールに従って前記パケットのァドレスを変換し、

LANインターフェース部が、当該アドレス変換されたパケットを前記プライべ一トネットワーク側に伝え、

前記プライベートネットワーク側からのパケットを LANインターフェース部が受信した場合に、

前記アドレス変換部で前記パケットの送信元情報と宛先情報に一致するアドレス変換ルールがデータベース部に記録されて、ることを調べ、一致するアドレス変換ルールが存在する場合は、当該アドレス変換ルールに従って前記パケットのアドレスを変換し、

WANインターフェース部力当該アドレス変換されたパケットを前記グロ一バルネットワーク側に伝え

あら力じめ定めた通信終了の判断基準を満足すると、

前記アドレス変換部で追加したアドレス変換ルールがある場合には、当該アドレス変換ルールを前記データベース部から削除する

ことを特徴とするアドレス変換方法。

[17] 請求項 16記載のアドレス変換方法であって、

認証処理部で認証処理を行う代わりに、前記グローバルネットワーク側の端末の認証を行う認証サーノくからの要求があると、認証が合格したと判断する

ことを特徴とするアドレス変換方法。

[18] ファイアウォール外のグローバルネットワークからのパケットがデータベース部に設定されて!/、るアクセス制御ルールを満すと、そのパケットをファイアウォール内のプラィペートネットワークに通過させるアクセス制御方法であって、

あら力じめ送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールをデータベース部に記録しておき、

前記グローバルネットワーク側からの接続要求を WANインターフェース部が受信すると、

アクセス制御部で、接続要求と一致するアクセス制御ルールが前記データベース部に記録されて、ることを調べ、

アクセス制御ルールが存在する場合には、通信を許可する

ことを特徴とするアクセス制御方法。

[19] ファイアウォール外のグローバルネットワークからのパケットがデータベース部に設定されて!/、るアクセス制御ルールを満すと、そのパケットをファイアウォール内のプラィペートネットワークに通過させるアクセス制御方法であって、

前記グローバルネットワーク側からの接続要求を WANインターフェース部が受信した場合に、

認証処理部で認証処理を行！ヽ、認証が合格すると、

一致するアクセス制御ルールが存在する場合は、通信を許可し、

一致するアクセス制御ルールが存在しな、場合は、送信元の装置または送信元のネットワークごとに定めたアクセス制御ルールを前記データベース部に追カ卩して、通信を許可し、

一致するアクセス制御ルールが存在しな、場合は、送信元の装置ごとに定めたァクセス制御ルールを前記データベース部に追カ卩して、通信を許可し、

あら力じめ定めた通信終了の判断基準を満足すると、

前記アクセス制御部で追加したアクセス制御ルールがある場合には、当該アクセス制御ルールを前記データベース部から削除する

ことを特徴とするアクセス制御方法。

[20] 請求項 19記載のアクセス制御方法であって、

ことを特徴とするアクセス制御方法。

[21] 請求項 18から 20のいずれかに記載のアクセス制御方法であって、安全なセッション確立中は、その通信状況を監視し、

あら力じめ定めた基準に該当する場合には、異常が生じたことを、当該安全なセッシヨンを確立しているグローバルネットワークの装置に通知する

ことを特徴とするアクセス制御方法。

請求項 18から 20のいずれかに記載のアクセス制御方法であって、

安全なセッション確立中に、当該安全なセッションを確立して、るグローバルネットワークの装置からの新たな接続要求を、 WANインターフェース部が受信した場合に当該接続要求の内容を、当該安全なセッションを確立して、るグローバルネットヮークの装置に通知し、

当該装置から、拒否の回答があった場合には、データベース部に記録されているアクセス制御ルールに関わらず、接続を拒否する

ことを特徴とするアクセス制御方法。