WO2006067831A1

WO2006067831A1 - 中継処理プログラム及び通信処理プログラム、並びにファイアウォールシステム

Info

Publication number: WO2006067831A1
Application number: PCT/JP2004/019035
Authority: WO
Inventors: Taro Saiki; Satoshi Iyoda; Yoshimasa Koyama
Original assignee: Fujitsu Limited
Priority date: 2004-12-20
Filing date: 2004-12-20
Publication date: 2006-06-29
Also published as: EP1840748A1; US7644164B2; JPWO2006067831A1; US20080028078A1; JP4570628B2; EP1840748A4

Abstract

　ファイアウォールにおけるセキュリティ管理を容易にする。　ファイアウォール（１）には、通過を許容する１または複数のポートを集約した集約ポートのみが許可設定されている。通信元クライアント（４）は、内部ネットワークに接続する目的の接続要求先と接続する場合、目的の接続要求先が設定された接続要求情報を、集約ポートを宛先として発行する。中継機サーバ（２）では、接続要求情報取得手段（２１）は、ファイアウォール（１）を通過し、集約ポートより入力された接続要求情報を読み出す。中継手段（２２）は、接続要求情報に基づいて宛先を目的の接続要求先に変更し、その接続要求情報を目的の接続要求先に送信して接続要求を行うとともに、目的の接続要求先から取得した接続結果情報を通信元クライアント（４）に送信する。

Description

明細書

中継処理プログラム及び通信処理プログラム、並びにファイアウォールシステム

技術分野

[0001] 本発明は中継処理プログラム及び通信処理プログラム並びにファイアウォールシステムに関し、特に外部ネットワークと内部ネットワークとの接続点に設置されて通信管理を行うファイアウォールを経由するデータ通信を中継する中継処理プログラム及び通信処理プログラム並びにファイアウォールシステムに関する。

背景技術

[0002] 近年、コンピュータネットワークの拡大に伴って、ネットワーク環境での不正侵入の防御、機密保護などのネットワークセキュリティの重要性が増して、る。

従来、コンピュータ間で通信を行なう場合の一般的なプロトコルとして TCP/IP ( Transmission Control Protocol/Internet Protocol)が普及しており、その TCPZlPでは、対象のコンピュータ機器を特定するために、 IPアドレスと TCPポートを使用する。以下、 IPアドレスと TCPポートで特定される対象のコンピュータ機器の通信ポートをポートまたはソケットとする。この際、情報管理におけるセキュリティをふまえ、コンビュータ機器間で使用する通信にはファイアウォールと呼ばれる制御機構を設け、特定のポートでの通信しか行うことができな、ようにして、る。

[0003] ファイアウォールは、外部ネットワークと内部ネットワークとの接続点に設置され、外部ネットワーク力ファイアウォールを超えるアクセス要求を受信すると、予め設定された規制条件に基づき、アクセス要求を許容する力否かを判断して内部ネットワークへの不正アクセスを防いでいる。この際、アクセス要求を許容するか否かを判断した後で、かつ許容する場合のみアクセス要求元のコンピュータ機器とコネクションを確立することによって、ネットワーク資源の有効利用を図るファイアウォール方式がある（たとえば、特許文献 1参照)。

[0004] 図 12は、ファイアウォールによる通信制御機能の一例を示した図である。

ファイアウォール 901は、通信元クライアント 902が接続される外部ネットワークと、通信先サーバ 1 (903)、通信先サーバ 2 (904)が接続される内部ネットワークの接続点に配置され、予め設定された規制条件に基づき通信元クライアント 902からのァクセス要求を許容するかどうかを判断する。通信元クライアント 902からは、アプリケーシヨンごとに特定の TCPポートを利用してファイアウォールを越えた先にある通信先サーバ 1 (903)もしくは通信先サーバ 2 (904)にアクセス要求を行う。

[0005] たとえば、、ファイアウォーノレ 901に、 IPアドレス「111. 123. 1. 50」、 TCPポート「8 0」と、 IPアドレス「111. 123. 1. 51」、 TCPポート「81」のアクセス要求を許容するように設定がされていたとする。この場合、通信元クライアント 902から受信したアクセス要求力規制条件である IPアドレス「111. 123. 1. 50」、 TCPポート「80」、もしくは I Pアドレス「111. 123. 1. 51」、 TCPポート「81」に合致していた場合のみファイアゥオール 901を通過させる。

特許文献 1：特開平 10— 215248号公報 (段落番号〔0013〕一〔0020〕、図 1) 発明の開示

発明が解決しょうとする課題

[0006] 上記の説明のように、特定のポートを利用してファイアウォールを越えた通信を行なうためには、通過を許可するポートをファイアウォールに登録する必要がある。たとえば、図 12では、ポート 80と 81をファイアウォールに対して設定する必要がある。

[0007] し力しながら、従来のファイアウォールの設定では、アプリケーションごとに使用するポートを許可設定しなければならな、ため、アプリケーションが複数存在する場合には管理対象のポートも多数となり、そのためのセキュリティ管理に大幅な手間を必要としてしまうという問題点がある。また、外部ネットワークの通信元クライアントが、内部ネットワークの通信先サーバからイベント結果など取得するような双方向通信を行うァプリケーシヨンでは、外部ネットワークからのアクセス要求のためのポートのほ力、内部ネットワークからのイベント結果送信のためのポートを別個にファイアウォールに設定しなければならない。

[0008] このように、ファイアウォールに設定して管理しなければならな!/、ポート数は、システム規模に応じて増大する傾向がある。管理対象のポートが多い場合、新たにアプリケーシヨンをインストールする際、正しく行わなければならな、ファイアウォールの設定にミスが生じる可能性が高くなる。また、アプリケーションの削除や変更に応じてフアイァウォールの設定を変更する必要がある力登録が多数であると、設定ミスば力りでなぐ変更の必要性を見逃されてしまうもしくは放置されてしまうケースも発生する。そして、このような設定ミスやバージョンアップ忘れなどによってセキュリティホールが発生し、セキュリティが大幅に低下してしまう可能性がある。実際、セキュリティホールは人為的なミスで発生することが多、ことが知られて、る。

[0009] 本発明はこのような点に鑑みてなされたものであり、ファイアウォールにおけるセキユリティ管理を容易にし、人為的なミスによるセキュリティの低下を防止することが可能なファイアウォールを介した中継処理プログラム及びファイアウォールシステムを提供することを目的とする。

課題を解決するための手段

[0010] 本発明では上記課題を解決するために、図 1に示すような処理をコンピュータに実行させるための中継処理プログラムが提供される。本発明にかかる中継処理プロダラムは、通信元クライアント 4が接続する外部ネットワークと、通信先サーバ A(3a)、通信先サーバ B (3b)及び通信先サーバ C (3c)が接続する内部ネットワークとの接続点に設置されるファイアウォール 1を通過する通信を中継する中継機サーバ 2に適用される。

[0011] ファイアウォール 1には、アクセスを許可する 1または複数のポートを集約した集約ポートが許可設定されており、外部ネットワークを介して入力されるアクセスを監視し、集約ポートへのアクセスのみを通過させる。中継機サーバ 2は、集約ポートを備え、集約ポートを介してファイアウォール 1を通過したアクセスが入力される。また、通信元クライアント 4は、所定のアプリケーションに応じてアクセスが必要となったときに、集約ポートを宛先として接続要求情報を発行して接続要求を行う。接続要求情報には、予め、通信元クライアント 4が本来接続を要求する内部ネットワークの目的の接続先が設定されている。

[0012] 中継機サーバ 2は、ファイアウォール 1が通過させた接続要求情報を取得する接続要求情報取得手段 21と、接続要求情報に基づき目的の接続要求先へ接続要求情報を中継する中継手段 22を具備する。接続要求情報取得手段 21は、通信元クライアント 4によって発行され、集約ポート経由で入力された接続要求情報を取得し、中継手段 22へ伝達する。中継手段 22は、接続要求先を接続要求情報に設定された目的の接続要求先に変更し、目的の接続要求先に対し接続要求情報を送信して接続要求を行うとともに、目的の接続要求先から接続結果情報を取得し、これを通信元クライアント 4に送信する。

[0013] このようなファイアウォール 1、中継機サーノ 2及び通信元クライアント 4によれば、通信元クライアント 4は、内部ネットワーク内の目的の接続要求先と接続を行う場合、目的の接続要求先が記述された接続要求情報を集約ポートを宛先として発行する。ファイアウォール 1は、許可設定された集約ポートを宛先とするその接続要求情報を通過させる。中継機サーバ 2では、接続要求情報取得手段 21が集約ポートを介して入力される接続要求情報を取得して中継手段 22に伝達する。中継手段 22は、接続要求情報に基づき、宛先を目的の接続要求先に変更して接続要求情報を送信する。そして、目的の接続先より接続結果情報を取得すると、宛先を通信元クライアント 4 として、これを送信する。このようにして、中継機サーバ 2は、通信元クライアント 4と、目的の接続要求先である通信先サーバ A (3a)、通信先サーバ B (3b)、通信先サーノ C (3c)のいずれかとの間の接続処理を中継する。そして、接続要求が許可された後は、通信元クライアント 4と目的の接続要求先のサーバとの通信を中継処理する。

[0014] また、上記課題を解決するために、外部ネットワークと内部ネットワークとの接続点に設置されて通信管理を行うファイアウォールを越えて内部ネットワークに接続するサーバとの通信処理を行う通信処理プログラムが提供される。本発明にカゝかる通信処理プログラムは、通信元クライアントに適用される。通信元クライアントは、通信処理プログラムを実行することにより、通信処理手段を実現する。通信処理手段では、ァクセスを許可する 1または複数のポートを集約した中継機サーバの集約ポートが許可設定されるファイアウォールを超えて内部ネットワークに接続する目的の接続要求先にアクセスする場合に、目的の接続要求先を含む接続要求情報を作成し、集約ポートを宛先として接続要求情報を発行して接続要求を行うとともに、集約ポートを具備する中継機サーバによって目的の接続要求先に中継された接続要求情報に対して目的の接続要求先が作成した接続結果情報を中継機サーバ経由で受信する。 [0015] このような通信元クライアントによれば、通信処理手段は、アクセスを許可するポートが集約された集約ポートが許可設定されるファイアウォールを越えなければならない接続要求先に対してアクセスを行う場合、目的の接続要求先を含む接続要求情報を作成し、集約ポートを宛先としてこの接続要求情報を発行して接続要求を行う。これにより、接続要求情報は、ファイアウォールを通過して集約ポートを有する中継機サーバに伝達される。そして、中継機サーバが目的の接続要求先に中継した接続要求情報に対し、目的の接続要求先が応答として作成した接続結果情報が中継機サーバを経由して通信元クライアントに送信されるので、これを受信する。

[0016] また、上記課題を解決するために、中継機サーバと通信元クライアント及びファイアウォールを有するファイアウォールシステムが提供される。ファイアウォールは、ァクセスを許可する 1または複数のポートを集約した集約ポートが許可設定され、外部ネットワークに接続する通信元クライアントからのアクセスを捕捉し、集約ポートを宛先とするアクセスのみを通過させる。通信元クライアントは、ファイアウォールを越えて内部ネットワークに接続する目的の接続要求先にアクセスする場合に、目的の接続要求先を含む接続要求情報を作成し、集約ポートを宛先として接続要求情報を発行して接続要求を行うとともに、目的の接続要求先の作成した接続要求情報に対する接続結果情報を受信する。中継機サーバには集約ポートが設定されており、ファイアウォールが通過させた通信元クライアントからの接続要求情報を取得する接続要求情報取得手段と、取得した接続要求情報に基づき、宛先を目的の接続要求先に変更して接続要求情報を送信するとともに、目的の接続要求先から接続結果情報を受信して通信元クライアントに送信する中継手段と、を具備する。

[0017] このようなファイアウォールシステムによれば、通信元クライアントは、ファイアウォールを越えて内部ネットワークの通信先サーバにアクセスする場合、本来接続を要求する目的の接続要求先に関する情報を含む接続要求情報を作成し、宛先を中継機サーバの集約ポートとして発行する。接続要求情報は、ファイアウォールを通過して中継機サーバに入力される。中継機サーバは、接続要求情報を取得し、接続要求情報に基づき宛先を目的の接続要求先に変更してこの接続要求情報を目的の接続要求先に送信する。そして、目的の接続要求先が作成した接続結果情報を受信すると、宛先を通信元クライアントにしてこれを送信する。こうして、外部ネットワークに接続する通信元クライアントがファイアウォールの内側の内部ネットワークに接続する目的の接続要求先に発行する接続要求は、中継機サーバが集約して取得して目的の接続要求先に振り分けるとともに、目的の接続要求先の作成した接続結果情報が中継機サーバを経由して通信元クライアントに返る。

発明の効果

[0018] 本発明では、中継機サーバが外部ネットワークに接続する通信元クライアントから受信したリクエストを一旦集約し、そこ力内部ネットワークに接続する通信先サーバにリクエストを配布するので、ファイアウォールに設定するポートを最小で 1つに集約することができる。これにより、ファイアウォールに設定するポートの管理を容易にすることが可能となり、この結果、設定ミスや、バージョンアップ忘れなどの人為的なミスによるセキュリティホールの発生を回避し、セキュリティレベルを保持することができる。

[0019] 本発明の上記および他の目的、特徴および利点は本発明の例として好ま U、実施の形態を表す添付の図面と関連した以下の説明により明らかになるであろう。

図面の簡単な説明

[0020] [図 1]実施の形態に適用される発明の概念図である。

[図 2]第 1の実施の形態の構成を示す概略図である。

[図 3]本実施の形態の通信元クライアントのハードウェア構成例を示すブロック図である。

[図 4]実施の形態の中継機サーバのソフトウェアモジュール構成例を示した図である

[図 5]実施の形態の HTTPの中継処理の流れを示した図である。

[図 6]実施の形態の通信元クライアントの接続要求情報 (HTTPヘッダ)の変換例を示す図である。

[図 7]実施の形態の中継機サーバの接続要求情報 (HTTPヘッダ)の変換例を示す図である。

[図 8]本実施の形態における SSL通信手順について示した図である。

[図 9]本実施の形態の SSLトンネリング通信の流れを示した図である。 [図 10]本実施の形態の SSLトンネリング通信の通信例を示した図である。

[図 11]本実施の形態のイベント通知手順を示した図である。

[図 12]ファイアウォールによる通信制御機能の一例を示した図である。

発明を実施するための最良の形態

[0021] 以下、本発明の実施の形態を図面を参照して説明する。まず、実施の形態に適用される発明の概念について説明し、その後、実施の形態の具体的な内容を説明する図 1は、実施の形態に適用される発明の概念図である。

[0022] 本発明に係るファイアウォールシステムは、外部ネットワークに接続する通信元クライアント 4と、内部ネットワークに接続する中 «機サーバ 2、通信先サーバ A (3a)、通信先サーバ B (3b)及び通信先サーバ C (3c)と、外部ネットワークと内部ネットワークとの接続点に設置されるファイアウォール 1を有し、通信元クライアント 4と通信先サーバ（3a、 3b、 3c)との間でパケット通信が行なわれている（以下、特に特定する必要がない場合は、通信先サーバ（3a、 3b、 3c)と表記する。 ) ₀

[0023] ここで、外部ネットワークは、ファイアウォール 1によって内部ネットワークへのァクセスが制限されるネットワークで、内部ネットワークは、ファイアウォール 1によって外部力の攻撃や不正アクセス力守られるセキュリティレベルが高位なネットワークを指す。なお、ファイアウォール 1と中継機サーバ 2は、別装置もしくは 1台の装置のいずれで構成されてもよい。また、図では、通信元クライアント 4力もファイアウォール 1、中継機サーバ 2を経由して通信先サーバ（3a、 3b、 3c)へ続くパケットの流れを示しているが、通信の際には、さらに応答として通信先サーバ（3a、 3b、 3c)から中継機サーバ 2、ファイアウォール 1を経由して通信元クライアント 4へ応答パケットが流れる。

[0024] ファイアウォール 1は、外部ネットワークと内部ネットワークを介して行われる通信を監視し、予め設定された規制条件に基づ!ヽて接続要求を許容するカゝ否かを判断し、許容するもののみ通過させる。ここでは、 1または複数のポート^^約した 1つの集約ポートに対するアクセス要求のみを許容するように規制条件が設定される。ここで、集約ポートには、中 ϋ機サーバ 2のポート（図 1の例では、ポート 8080)が最小で 1っ設定される。このため、外部ネットワークに接続する通信元クライアント 4から内部ネットワーク内の通信先サーバ（3a、 3b、 3c)にアクセスする場合、必ず中 «I機サーバ 2を経由しなければならない。

[0025] 中継機サーバ 2は、接続要求情報を取得する接続要求情報取得手段 (以下、へッダ取得手段とする） 21、中継処理を行う中継手段 22及びトンネリング処理を行うトンネリング手段 23を具備する。

[0026] ヘッダ取得手段 21は、接続要求情報が含まれる通信パケットのヘッダ部を取得し、ヘッダ部の内容を解析し、トンネリング処理が必要である場合は、トンネリング手段 23 を起動する。それ以外の場合は、そのまま中継手段 22を起動する。

[0027] 中継手段 22は、通信元クライアント 4が送信したパケットの宛先を目的の接続要求先に変換して、通信先サーバ（3a、 3b、 3c)に送信する中継処理を行う。また、通信先サーバ（3a、 3b、 3c)から取得した応答パケットの宛先を通信元クライアント 4に送信する中継処理を行う。パケット及び応答パケットを中継する場合に、ヘッダ部の内容に変更する必要があれば、ヘッダ部を更新した後、送信処理を行う。たとえば、接続要求情報に目的の接続要求先までに経由するサーバに関する経由情報が含まれており、経由情報に自装置（中継機サーバ 2)に関する情報が含まれているときには、経由情報力も中継機サーバ 2に関する情報を削除する。また、これに対する通信先サーバ（3a、 3b、 3c)からの応答パケットには、経由情報を付加して通信元クライアント 4に送信させる。

[0028] トンネリング手段 23は、通信元クライアント 4との間及び通信先サーバ（3a、 3b、 3c) との間の接続を確保し、接続が確保された後は、通信元クライアント 4から受信したパケットの宛先を通信先サーバ（3a、 3b、 3c)としただけでパケットの内容を操作せずに送信し、同様に、通信先サーバ（3a、 3b、 3c)から受信した応答パケットも宛先を通信元クライアントとしただけでパケットの内容を操作せずに送信する。このように、中継機サーバ 2がパケットの内容を関知せずに、宛先を付け替えて中継する処理をトンネリング処理とする。双方との接続を確保するネゴシエーション手順を含むトンネリング処理の詳細については後述する。

[0029] 通信先サーバ A (3a)、通信先サーバ B (3b)及び通信先サーバ C (3c)は、通信元クライアント 4がデータ通信を行う目的の接続先であって、中継機サーバ 2を経由して通信元クライアント 4との間のデータ通信が行なわれる。

[0030] 通信元クライアント 4は、複数のアプリケーション、アプリケーション A (41a)、アプリケーシヨン B (41b)及びアプリケーション C (41c)を具備し、通信処理を行う通信処理手段 42を具備する。なお、特に限定する必要がない場合は、アプリケーション (41a、 41b, 41c)と表記する。

[0031] アプリケーション（41a、 41b、 41c)は、それぞれ所定のアプリケーション処理を実行し、必要に応じて通信先サーバ（3a、 3b、 3c)にアクセスするため、通信処理手段 42に対して目的の接続要求先の指定や接続要求先への要求などを記述した接続要求情報を含むヘッダ部を作成し、通信処理手段 42に通信を依頼する。ヘッダ部はアプリケーションに応じて内容が異なる。また、使用する通信プロトコルも異なる場合もある。たとえば、 WEBサーバに対して HTTPを用いて通信する場合や、さらに SSL を用いてセキュリティを確保して通信を行なう場合などがある。また、通信先サーバ（3 a、 3b、 3c)で発生するイベント情報を必要とする場合がある。

[0032] 通信処理手段 42は、アプリケーション（41a、 41b、 41c)からのリクエストによって、ファイアウォール 1を超えて内部ネットワークに接続する通信先サーバ（3a、 3b、 3c) にアクセスする。アプリケーション（41a、 41b、 41c)力もヘッダ部を取得すると、必要であれば、ヘッダ部の内容を変更し、集約ポートを宛先として接続要求情報を発行して接続要求を行う。たとえば、ヘッダ部にパケットを中継する中継機サーバに関する情報を設定する必要がある場合には、ヘッダ部に経由情報を付加した後、集約ポートに向けてパケットを送信する。そして、応答として目的の接続要求先が作成した接続結果情報を中継機サーバ 2経由で受信する。また、通信先サーバ（3a、 3b、 3c)の任意のタイミングで発生するイベント情報が必要な場合、イベント情報が取得されるまで、イベント情報を要求するパケットを上記のような手順で繰り返し送信する。

[0033] なお、上記の説明の中継機サーノ 2の各処理手段は、コンピュータが中継処理プログラムを実行することによりその処理機能を実現する。また、上記の説明の通信元クライアント 4の各処理手段及びアプリケーションは、コンピュータが通信処理プロダラム及びアプリケーションプログラムを実行することにより、その処理機能を実現する。

[0034] このような構成のファイアウォールシステムの動作につ!、て説明する。ファイアウォール 1には、予め中継機サーバ 2の所定のポートが割り当てられる集約ポート（8080)のみが許可設定されて、る。

[0035] 通信元クライアント 4は、アプリケーション (41a、 41b、 41c)から接続要求情報を取得すると、必要に応じて、中継を行う中継機サーバ 2に関する経由情報を付加するなどのヘッダ変換処理を行い、宛先を中継機サーバ 2の集約ポート（8080)に設定してパケットを送信する。

[0036] パケットを監視するファイアウォール 1は、宛先が集約ポート (8080)であるこのパケットの通過を許可し、パケットが中継機サーバ 2に受信される。

中継機サーバ 2では、ヘッダ取得手段 21が、ヘッダ部を読み出してその内容を解祈し、トンネリング処理が必要であれば、トンネリング手段 23を起動する。

[0037] トンネリング処理が必要のない場合、中継手段 22がそのまま起動される。中継手段 22では、通信元クライアント 4から取得したパケットの接続要求情報に付加された経由情報を削除するなどのヘッダ変換処理をした後、宛先を目的の接続要求先の通信先サーバ（3a、 3b、 3c)に設定してパケットを送信する。そして、通信先サーバ（3a、 3b、 3c)から接続結果情報を含む応答パケットを受信すると、経由情報を付加するなどのヘッダ変換処理をした後、宛先を通信元クライアント 4に設定して送信する。

[0038] 一方、トンネリング処理を行う場合は、トンネリング手段 23が起動され、まず、通信元クライアント 4との間及び目的の接続要求先である通信先サーバ（3a、 3b、 3c)との間の双方の接続が確保される。双方との接続が確保された後は、通信元クライアント 4と通信先サーバ（3a、 3b、 3c)との間で交換されるパケットの宛先の付け替えを行い、通信元クライアント 4から受信したパケットは通信先サーバ（3a、 3b、 3c)へ、通信先サーバ（3a、 3b、 3c)から受信したパケットは通信元クライアント 4に送信する。

[0039] このように、中継機サーバは、接続要求情報に基づいて本来の接続要求先に対してパケットを中継する中継処理を行うので、外部ネットワークに接続する通信元クライアントからのリクエストを中継機サーバに一旦集約し、そこから本来の接続要求先である通信先サーバに配布させることができる。従って、所定のアプリケーションを実現するために、ファイアウォールに許可設定しなければならないポート数を、最小で 1に集約することができる。この結果、ファイアウォールにおけるポート管理を容易できるば力りでなぐポート設定時のミスなどによるセキュリティホールの発生を回避することができる。システム規模にもよる力従来、ファイアウォールに設定しなければならないポート数は、数万個に及ぶ場合があり、これを最小で 1つに集約することができれば、セキュリティレベルの保持に多大な効果が期待できる。

[0040] 以下、第 1の実施の形態として、 HTTPに適用した場合を例に図面を参照して説明する。 HTTPは、情報の転送を依頼するリクエストとそれに対するサーバのレスポンス力構成される。通信元クライアントは、 URLのパス名、 Webブラウザの種類、使用言語などの情報を GETリクエストでサーバに送信し、応答としてサーノからデータやエラーコードなどを取得する。

[0041] 図 2は、第 1の実施の形態の構成を示す概略図である。図 1と同じものには同じ番号を付し、説明は省略する。

中継機サーバ 2は、通信元クライアント 4a、 4b、 4cとの間で HTTPサーバ処理を行う HTTPサーバ部 201と、通信先サーバ 3a、 3bとの間でリクエスト配信サービスを行うリクエスト配信サービス部 202を有する。 HTTPサーバ処理部 201は、ファイアゥォール 1に許可設定されている集約ポートを介して通信元クライアント 4a、 4b、 4cから入力されるパケットに応じて要求元の通信元クライアント 4a、 4b、 4cと接続し、バケツトをリクエスト配信サービス部 202へ引き渡す。そして、リクエスト配信サービス部 202 力も受け取った応答パケットを要求先の通信元クライアント 4a、 4b、 4cへ送信する。リタエスト配信サービス部 202は、本来の接続要求先である通信先サーバ 3a、 3bに対し、 HTTPクライアントとして機能する。 HTTPサーバ部 201から引き渡された HTTP パケットの接続要求情報に従って宛先を目的の接続要求先 (通信先サーバ 3a、 3b) に変更して送信する。そして、応答として取得した応答パケットを HTTPサーバ部 20 1へ引き渡す。

[0042] 通信先サーバ 3a、 3bは、同様の構成をとり、 HTTPサーバ処理を行う HTTPサーバ部 301、リソース管理を行うリソースマネージャ一部 302を有する。 HTTPサーバ 3 01は、中継機サーバ 2を経由して取得した HTTPパケットを解析し、パケットが正常であると認められれば、処理をリソースマネージャ一部 302へ引き渡し、得られたデータなどで応答パケットを作成して中継機サーノ 2へ送信する。リソースマネージャー部 302は、データの読み出しなどのリクエスト処理を行って結果を HTTPサーバ部 3 01へ返す。

[0043] 通信元クライアント 4a、 4b、 4cは、同様の構成をとり、アプリケーション処理を行うァプリケーシヨン部 401と、 HTTPクライアント処理を行う HTTPクライアント部 402を有する。アプリケーション部 401は、所定のアプリケーション処理を行い、必要に応じて、 HTTPクライアント部 402に対して通信先サーバ 3a、 3bへのアクセス要求を行う。 HTTPクライアント部 402は、アプリケーション部 401からアクセス要求を受けると、 H TTPのプロトコルに従って、通信先サーバ 3a、 3bに向けたリクエストパケットを作成する。このとき、接続要求情報に目的の通信先サーバ（3a、 3b)を設定し、中継機サーバ 2の集約ポートを宛先にしてパケットを送信する。受信したパケットは、アプリケーシヨン部 401に引き渡す。

[0044] このようなファイアウォールシステムでは、たとえば、通信元クライアント 4aのアプリケーシヨン部 401で通信先サーバ 3aへのデータ要求が発生した場合、アプリケーション部 401からリクエストによって HTTPクライアント 402でリクエストのパケットが作成される。このパケットには、接続要求情報に目的の接続要求先 (通信先サーバ 3a)が設定され、宛先を中継機サーバ 2の集約ポートとして送信される。このパケットは、集約ポートが許可設定されるファイアウォール 1を通過し、中継機サーバ 2の HTTPサーバ部 201で受信され、リクエスト配信サービス部 202によって目的の接続要求先 (通信先サーバ 3a)に宛先が変換されて送信される。通信先サーバ 3aは、 HTTPサーバ部 301でこのパケットを受信し、リソースマネージャ一部 302がリクエスト処理を行った結果の応答パケットが HTTPサーバ 301で作成され、中継機サーバ 2へ送信される。中継機サーバ 2では、リクエスト配信サービス部 202は、宛先を通信元クライアント 4a に変換し、 HTTPサーバ 201より通信元クライアント 4aに送信される。そして、通信元クライアント 4aでは、 HTTPクライアント 402が応答パケットを受信し、要求データがァプリケーシヨン部 401に引き渡される。

[0045] ところで、ファイアウォール 1、中継機サーバ 2、通信先サーバ 3a、 3b、通信元クライアント 4a、 4b、 4cは、コンピュータがプログラムを実行することにより処理機能を実現する。各装置のハードウェア構成を通信元クライアントを例に説明する。図 3は、本実施の形態の通信元クライアントのハードウェア構成例を示すブロック図である。

[0046] 通信元クライアント 4は、 CPU (Central Processing Unit) 101によって装置全体が制御されている。 CPU101には、バス 107を介して RAM (Random Access Memory) 102、ハードディスクドライブ（HDD : Hard Disk Drive) 103、グラフィック処理装置 10 4、入力インタフェース 105、通信インタフェース 106が接続されている。

[0047] RAM102には、 CPU101に実行させる OS (Operating System)のプログラムゃァプリケーシヨンプログラムの少なくとも一部が一時的に格納される。また、 RAM102には、 CPU101による処理に必要な各種データが格納される。 HDD103には、 OSやアプリケーションのプログラムが格納される。グラフィック処理装置 104には、モニタ 1 08が接続されており、 CPU101からの命令に従って画像をモニタ 108の画面に表示させる。入力インタフェース 105には、キーボード 109aやマウス 109bが接続されており、キーボード 109aやマウス 109bから送られてくる信号を、バス 107を介して CP U101に送信する。通信インタフェース 106は、ネットワーク 5に接続されており、ネットワーク 5を介して中継機サーバ 2との間でデータの送受信を行う。

[0048] このようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図 3には、通信元クライアントのハードウェア構成を示した力ファイアゥォール、中継機サーバ、通信先サーバのハードウェア構成も同様である。

[0049] 次に、中継機サーバのソフトウェアモジュール構成について説明する。図 4は、実施の形態の中継機サーバのソフトウェアモジュール構成例を示した図である。

中継機サーバ 2の中継機機能を実現するため、 HTTPセッション 210は、 HTTPS トンネリング 211、リクエスト 212、レスポンス 213、チャンク入力ストリーム 214、チャンク出カストリーム 215、 HTTPヘッダ 216、サイズ管理入力ストリーム 217、サイズ管理出カストリーム 218及び GZIPレスポンス 219などのモジュール群を有する。

[0050] HTTPセッション 210では、通信を確立するための情報を生成するなど、 HTTP通信全般を管理する。 HTTPSトンネリング 211は、 SSLが適用された場合に、トンネリング処理を制御する。リクエスト 212は、通信元クライアントから通信先サーバへ流れるデータ通信を管理するモジュールで、要求側のクライアントから送られるデータの流れを管理するチャンク入力ストリーム 214と、処理側の通信先サーバから送られるデータの流れを管理するチャンク出力ストリーム 215と、 HTTPヘッダ操作を行う HT TPヘッダ 216によりデータ制御を行う。レスポンス 213は、通信先サーバから通信元クライアントへ流れるデータ通信を管理するモジュールで、通信先サーバへ送られるデータストリームの制御を行うサイズ管理入力ストリーム 217と、通信先サーバから送られるデータストリームの制御を行うサイズ管理出力ストリーム 218と、 HTTPヘッダ 2 16によりデータ制御を行う。また、必要に応じて、 GZIPレスポンス 219により圧縮デ一タが復号される。

[0051] 以上の構成の中継機サーバにおける HTTPの中継処理の動作について説明する。図 5は、実施の形態の HTTPの中継処理の流れを示した図である。

(1)通信元クライアント 4から通信先サーバ 3に対する接続要求が、中継機サーバ 2 を宛先として発行される。接続要求の際には、接続要求情報として、目的の接続要求先が設定されている。

[0052] (2)中継機サーバ 2が、通信元クライアント 4が発行した接続要求を受信し、その内容の確認を行う。

(3)中継機サーバ 2は、接続要求が確認されたら、接続要求情報の内容を目的の接続要求先に合わせて更新する。たとえば、接続要求情報に中継機サーバ 2に関する経由情報が含まれていた場合、これを削除する。

[0053] (4)中継機サーバ 2は、更新した接続要求情報を、目的の接続要求先の通信先サーバ 3を宛先として送信する。

(5)通信先サーバ 3は、中継機サーバ 2により中継された通信元クライアント 4からの接続要求を受信し、所定の処理実行後、接続結果を中継機サーバ 2に向けて送信する。

[0054] (6)中継機サーバ 2は、通信先サーバ 3の接続結果を受信し、取得した接続結果情報の内容を通信元クライアントに合わせて更新する。たとえば、中継機サーバ 2に関する経由情報を削除していた場合、中継情報を追加する。

[0055] (7)中継機サーバ 2は、更新した接続結果情報を通信元クライアント 4に送信する。

以上の手順により、一連の通信処理が実行される。

ここで、接続要求情報 (HTTPヘッダ)の変換にっ、て例をあげて説明する。 [0056] まず、通信元クライアント 4におけるヘッダ変換処理について説明する。図 6は、実施の形態の通信元クライアントの接続要求情報 (HTTPヘッダ）の変換例を示す図である。

[0057] 通信元クライアント 4では、アプリケーションに応じて作成されるオリジナルの HTTP ヘッダ 501と、目的の接続要求先を示す要求アドレスと中継機サーバを示す中継機アドレスのアドレス情報 502とを用いて、 HTTPヘッダに経由情報が付加されたクライアント変換 HTTPヘッダ 503を作成する。

[0058] 第 1に、オリジナルの GET命令に目的の接続要求先を付加して変換する。図の例では、オリジナル HTTPヘッダ 501に示す GET命令 [GETZindex. htmlHTTP/ 1. 0]に目的の接続先の [www. def. co. jp]を付カ卩し、クライアント変換 HTTPへッダ 503に示す [GETZhttp : ZZwww. def. co. jp/index. htmlHTTP/1. 0] に変換する。

[0059] また、接続要求先を目的の接続要求先力も中継機サーバに変換する。図の例では

、オリジナル HTTPヘッダ 501に示す目的の接続要求先を表す [Host: www. def. co. jp]から、クライアント変換 HTTPヘッダ 503に示す中 ϋ機サーバを表す [Host: proxy, abc. co. jp]に変換する。

[0060] 以上の手順が通信元クライアント 4で実行されることにより、宛先を中継機サーバ 2とし、目的の接続要求先が設定される HTTPヘッダが作成され、中継機サーバ 2に送信される。

[0061] 中継機サーバ 2は、通信元クライアント 4力もクライアント変換 HTTPヘッダ 503を受信し、ヘッダの変換を行う。図 7は、実施の形態の中継機サーバの接続要求情報 (H TTPヘッダ）の変換例を示す図である。

[0062] 中継機サーバ 2では、まず、 GET命令に付加された目的の接続要求先を削除する。図の例では、クライアント変換 HTTPヘッダ 503の [GETZhttp : ZZwww. def. co. jp/index. htmlHTTP/1. 0]力ら [www. def. co. jp]を削除し、サーバ変換 HTTPヘッダ 504に示す [GETZindex. htmlHTTP/1. 0]に変換する。

[0063] さらに、接続要求先を変換する。図の例では、クライアント変換 HTTPヘッダ 503に示す中継機サーバを表す [Host: proxy, abc. co. jp]からサーバ変換 HTTPへッダ 504に示す目的の接続要求先を示す目的の接続要求先を表す [Host: www. de f. co. jp]に変換する。

[0064] 以上の手順が中継機サーバ 2で実行されることにより、中継処理のため通信元クライアント 4で付加された情報が削除され、本来のオリジナル HTTPヘッダと同じものが作成される。

[0065] こうして、オリジナル HTTPヘッダが目的の接続要求先に送信される。また、目的の接続要求先カゝら送信される応答パケットの HTTPヘッダにも同様の操作が行われ、中継機サーバ 2を経由して通信元クライアント 4に送信される。

[0066] ところで、 HTTPでは、セキュリティ機能として、 SSL通信プロトコルが用いられる場合がある。 SSLは、 TCP層とアプリケーション層間に位置し、上位の HTTPなどのデータを暗号化して送信する。 SSLを用いたデータ通信では、盗聴した場合には内容を解釈することが非常に困難であり、改ざんすることも難しぐ安全にデータを転送するために広く用いられている。このため、接続情報とその通信内容は対象となる接続元と接続先しか所有することができず、上記の説明のように HTTPヘッダを解析し変更することができない。そこで、 SSL通信の内容に触れることなぐ通信の接続元と接続先を中継するトンネリング通信機能を実現する。

[0067] まず、 SSL通信手順について説明する。図 8は、本実施の形態における SSL通信手順にっ、て示した図である。

最初に、 SSL通信処理を行うため、通信元クライアント 4、中継機サーバ 2及び通信先サーバ 3間の接続を確立するトンネリング初期化手順が行われ、続いてトンネリング初期化が完了した後の SSL通信手順が行われる。

[0068] トンネリング初期化手順は、通信元クライアント 4から中継機サーバ 2に向けて通信先サーバ 3との間の SSLトンネリング通信を要求するトンネリング要求 601が送信されて、開始される。中継機サーバ 2は、通信元クライアント 4との接続を確保するとともに、通信先サーバ 3の SSLサーバソケットに対する接続要求 602を行い、通信先サーノ 3との接続を確立する。通信先サーバ 3との接続が確立された後、トンネリング初期化完了 603を通信元クライアント 4に送信する。

[0069] 以上の手順により、通信元クライアント 4と中継機サーバ 2間の接続及び中継機サーバ 2と通信先サーバ 3間の接続が確保される。すなわち、中継機サーバ 2を介して通信元クライアント 4と通信先サーバ 3間の SSL通信の接続が確立される。

[0070] SSL通信手順は、中 «機サーバ 2を介して通信元クライアント 4と通信先サーノ 3の SSL通信の接続が確立されると開始される。通信元クライアント 4から SSLハンドシェーク開始 604が送信されると、中継機サーバ 2経由で通信先サーノ 3が受信し、ハンドシェークが行われる。ハンドシェークが終了すると、 SSL通信が開始され (605)、その結果が返る（606)。この間、中継機サーバ 2は、通信元クライアント 4から中継機サーバ 2のソケットに向けて送信されたパケットを通信先サーバ 3の SSLサーバソケットに変換して送るとともに、通信先サーバ 3から送信された結果を通信元クライアント 4 に送信するソケット変換処理が行われる。このとき、中継機サーバ 2では、ソケット変換を行うのみで、データ操作は行わない。

[0071] 以上の手順が実行されることにより、 SSL通信内容に触れることなぐ通信の接続元と接続先を中継することができる。

ここで、 SSLトンネリング初期化手順について詳細に説明する。図 9は、本実施の形態の SSLトンネリング通信の流れを示した図である。

[0072] SSL通信を行なう際、通信内容は接続元と接続先により暗号化されており、中継機サーバで通信内容を把握することは非常に困難である。しかしながら、 SSL通信が開始される際には、接続要求として HTTPヘッダの最初の 1行に「CONNECT」という文字が記述される。そこで、「CONNECT」の文字列に基づき、 SSL通信であるかどうかを判断することができる。

[0073] (1)通信元クライアント 4から中継機サーノ 2を経由して、 SSL通信のための接続要求が発行される。このときの HTTPヘッダの最初の 1行には、接続を要求する「CON NECTJが記述されて!、る。

[0074] (2)中継機サーバ 2は、接続要求を受信し、その接続要求内容を確認する。

(3)中継機サーバ 2は、「CONNECT」の検出により、 SSLトンネリング通信であると判断し、 SSLトンネリング処理を開始する。このとき、既に接続元の通信元クライアント 4からの接続要求を所有して、るため、通信先サーバ 3の SSLサーバソケットに対して接続要求を発行する。 [0075] (4)通信先サーバ 3から接続結果が返る。

(5)中継機サーバ 2は、トンネリング通信を行うために、その接続を確保する。

(6)中継機サーバ 2は、トンネリング通信を行うために、通信元クライアント 4からの接続要求（1)に応じて、通信元クライアント 4との接続を確立し、その接続状態を確保しておく。

[0076] (7)中継機サーバ 2は、通信先サーバ 3から受信した接続結果 (4)を途中で取得してしまったので、接続元である通信元クライアント 4に対して接続要求が通ったことを接続先の通信先サーバ 3に代わって代行通知する。

[0077] (8)以上の手順により、中 «I機サーバ 2と通信先サーバ 3との間で、 SSL通信のための接続が確立され、 SSL通信処理が開始される。

(9)以上の手順により、中 «機サーバ 2と通信元クライアント 4との間で、 SSL通信のための接続が確立され、 SSL通信処理が開始される。

[0078] その後、中継機サーバ 2は、接続が確保されている接続元 (通信元クライアント 4)からの接続に対して接続先 (通信先サーバ 3)の結果を返し、接続先 (通信先サーバ 3) 力の接続に対しては接続元 (通信元クライアント 4)の結果を渡す。

[0079] 具体例を用いて説明する。図 10は、本実施の形態の SSLトンネリング通信の通信例を示した図である。

通信元クライアント 4からは、通信先サーバ 3を要求アドレス、中継機サーバ 2を中継機アドレスに設定して、オリジナルの HTTPSヘッダ 510が作成され、中継機サーバ 2を宛先として送信される。なお、 SSL通信プロトコルに従った HTTPヘッダを以下では、 HTTPSヘッダと表記する。 1^?3へッダ510は、最初の 1行を除いて暗号化され、中継機サーバ 2では解読できないので、ヘッダ変換は行われない。こうして、オリジナルの HTTPSヘッダ 510力中継機サーバ 2に受信される。

[0080] 中継機サーバ 2では、 HTTPSヘッダ 510の最初の 1行を解読し、 SSL通信であることを判定し、接続要求先 HYPERLINK "http://www.xyz.com" (www. xyz. com) を取得する。そこで、要求アドレスを HTTPSヘッダ 510から取得した通信先サーバ 3 (www. xyz. com)として、受信した HTTPSヘッダ 510をそのまま送信する。

[0081] また、通信先サーバ 3からの接続承認も、中継機サーノ 2を経由して通信元クライアント 4に転送されるが、中継機サーバ 2では、宛先のみを通信元クライアントとし、内容はそのまま転送する。

[0082] 以上のように、中継機サーバ 2は、中継する通信元クライアント 4及び通信先サーバ 3から受信したパケットについて、互いの転送先の接続以外の内容に変更を加えることなぐ転送先に転送する。従って、転送先の接続以外には暗号ィ匕通信名内容に変更をカ卩えることはない。このように、 SSLトンネリング機能により、 SSLを使用した安全性の高い通信を確保しつつ、通信の中継を行なうことが可能となり、ファイアウォールに許可設定するポートを最小とすることができる。

[0083] ところで、データ通信には、通信元クライアント側力も接続要求が発生して実行される通信とともに、サーバ側に発生したイベントによって開始される通信がある。以下、このようなサーバ側のイベントによって開始される通信をイベント通知とする。従来、フアイァウォールを介してイベント通知を行う場合には、イベント通知のためのポートをファイアウォールに設定しなければならな力つた力本発明の実施の形態では、通信元クライアントからのデータ通信に使用する集約ポートを用いてイベント通知を行う。

[0084] 以下、集約ポートを用いたイベント通知について説明する。

図 11は、本実施の形態のイベント通知手順を示した図である。

通信先サーバ 3では、イベント監視機能を開始し、イベントの発生を監視している。そして、イベント通知 703を受けると、その内容を装置内に一時格納しておく。

[0085] イベント通知を受ける通信元クライアント 4は、イベント取得処理を開始し、イベント取得通知 701を、中継機サーバ 2を経由して通信先サーバ 3に対して発行する。中継機サーバ 2は、中継処理を行ってイベント取得通知 701を通信先サーバ 3に転送する。図の例では、イベント取得通知 701が発行された時点では、通信先サーバ 3はイベント通知を受けていないので、イベント取得通知 701に対する応答として、「ィべント無」の結果通知 702が発行される。「イベント無」の結果通知 702は、中継機サーノ 2により中継処理され通信元クライアント 4に受信される。

[0086] 通信元クライアント 4は、イベント結果が得られな力つたので、適当なタイミングで再びポーリングをかけ、イベント取得通知 704を発行する。中継機サーバ 2は、中継処理を行ってイベント取得通知 704を通信先サーバ 3に転送する。図の例では、ィベント取得通知 704が発行された時点では、通信先サーバ 3はイベント通知 703を取得し、その情報を一時保存しているので、イベント取得通知 704に対する応答として、「ィベント発生」の結果通知 705が発行される。「イベント発生」の結果通知 705は、中継機サーバ 2により中継処理され通信元クライアント 4に受信される。こうして、通信元クライアント 4は、イベントの通知を取得する。

[0087] このように通信元クライアント側からのポーリング処理によってイベント通知を取得することで、集約ポートを介してイベント通知を行うことができる。

ファイアウォールに許可設定するポートが少な、ほど、セキュリティを確保することができるので、このように、通信元クライアント 4から所定のタイミングでイベント取得要求を行うことによって、集約ポートを介してイベント通知を行うことができる。この結果、フアイァウォールに許可設定するポート^^約することが可能となり、ファイアウォールのセキュリティホールの発生を防止することができる。

[0088] なお、上記の処理機能は、サーバコンピュータとクライアントコンピュータとによって実現することができる。その場合、中継機サーバが有すべき機能の処理内容を記述したサーバプログラム、及び通信元クライアントが有すべき機能の処理内容を記述したクライアントプログラムが提供される。サーバプログラムをサーバコンピュータで実行することにより、中継機サーバの処理機能がサーバコンピュータ上で実現される。また、通信処理プログラムをクライアントコンピュータで実行することにより、通信元クライアントの処理機能がクライアントコンピュータ上で実現される。

[0089] 処理内容を記述したサーバプログラムやクライアントプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置 (HDD)、フレキシブルディスク（FD )、磁気テープなどがある。光ディスクには、 DVD (Digital Versatile Disc)、 DVD-R AM (Random Access Memory;、 CD— ROM (Compact Disc Read Only Memory)、 C D— R (Recordable) ZRW (Rewritable)などがある。光磁気記録媒体には、 MO ( Magneto-Optical disk)などがある。

[0090] サーバプログラムやクライアントプログラムを流通させる場合には、たとえば、各プログラムが記録された DVD、 CD— ROMなどの可搬型記録媒体が販売される。また、クライアントプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータからクライアントコンピュータにクライアントプログラムを転送することちでさる。

[0091] サーバプログラムを実行するサーバコンピュータは、たとえば、可搬型記録媒体に記録されたサーバプログラムを、自己の記憶装置に格納する。そして、サーバコンビユータは、自己の記憶装置力サーバプログラムを読み取り、サーバプログラムに従つた処理を実行する。なお、サーバコンピュータは、可搬型記録媒体から直接サーバプログラムを読み取り、そのサーバプログラムに従った処理を実行することもできる。

[0092] クライアントプログラムを実行するクライアントコンピュータは、たとえば、可搬型記録媒体に記録されたクライアントプログラムもしくはサーバコンピュータ力も転送されたクライアントプログラムを、自己の記憶装置に格納する。そして、クライアントコンビユータは、自己の記憶装置力クライアントプログラムを読み取り、クライアントプログラムに従った処理を実行する。なお、クライアントコンピュータは、可搬型記録媒体から直接クライアントプログラムを読み取り、そのクライアントプログラムに従った処理を実行することもできる。また、クライアントコンピュータは、サーバコンピュータ力クライアントプログラムが転送される毎に、逐次、受け取ったクライアントプログラムに従った処理を実行することちできる。

[0093] 上記については単に本発明の原理を示すものである。さらに、多数の変形、変更が当業者にとって可能であり、本発明は上記に示し、説明した正確な構成および応用例に限定されるものではなぐ対応するすべての変形例および均等物は、添付の請求項およびその均等物による本発明の範囲とみなされる。

符号の説明

[0094] 1 ファイアウォール

2 中継機サーバ

3a 通信先サーバ A

3b 通信先サーバ B

2c 通信先サーバ C 通信元クライアント

接続要求情報 (ヘッダ)取得手段中継手段

トンネリング手段

a アプリケーション A

b アプリケーション B

c アプリケーション C

通信処理手段

Claims

請求の範囲

[1] 外部ネットワークと内部ネットワークとの接続点に設置されて通信管理を行うファイアウォールを経由するデータ通信を中継する中継処理プログラムにおいて、

コンピュータを、

アクセスを許可する 1または複数のポートを集約した集約ポートが許可設定される前記ファイアウォールが、前記外部ネットワークに接続する通信元クライアントが前記内部ネットワーク内の目的の接続要求先との接続要求時に前記集約ポートを宛先として発行する接続要求情報を通過させると、前記集約ポートを介して入力される前記目的の接続要求先を含む前記接続要求情報を取得する接続要求情報取得手段、前記接続要求情報から前記目的の接続要求先を抽出し、前記目的の接続要求先を宛先として前記接続要求情報を送信して接続要求を行うとともに、前記目的の接続要求先力接続結果情報を受信して前記通信元クライアントに送信する中継手段として機能させることを特徴とする中継処理プログラム。

[2] 前記コンピュータを、

前記通信元クライアントから取得した前記接続要求情報に基づき、一旦前記通信元クライアントとの間の接続を確保してから、前記通信元クライアントの前記接続要求情報を前記目的の接続要求先に送信して前記目的の接続要求先との間の接続を行い、前記通信元クライアントとの間及び前記目的の接続要求先との間の接続を確立した後、それぞれの接続を確保した状態で、前記通信元クライアントから受信したパケットを前記中継手段によって前記目的の接続要求先に送信するとともに、前記目的の接続要求先力受信した応答パケットを前記通信元クライアントに送信させるトンネリング手段、

として機能させることを特徴とする請求の範囲第 1項記載の中継処理プログラム。

[3] 前記トンネリング手段に、

前記通信元クライアントとの間の接続及び前記目的の接続要求先との間の接続が確保された後の通信では、中継するパケットの転送先のみを変換させ、パケット内容は変更させない、ことを特徴とする請求の範囲第 2項記載の中継処理プログラム。

[4] 前記接続要求情報取得手段に、

前記通信元クライアントから取得した前記接続要求情報を解析し、 SSL (Secure Sockets Layer)通信による接続要求である場合に、前記トンネリング手段を起動させる、

ことを特徴とする請求の範囲第 2項記載の中継処理プログラム。

[5] 前記中継手段に、

前記目的の接続要求先に前記接続要求情報を送信する場合及び前記通信元クライアントに前記接続結果情報を送信する場合に、宛先の前記目的の接続要求先または前記通信元クライアントが必要な情報を付加、もしくは不必要な情報を削除して前記接続要求情報の内容を更新して力送信させる、

ことを特徴とする請求の範囲第 1項記載の中継処理プログラム。

[6] 前記中継手段に、

前記接続要求情報取得手段が取得した前記接続要求情報に HTTP (Hypert_eXt Transfer Protocol)に従って前記集約ポートを備える中継装置に関する経由情報が含まれている場合には、前記接続要求情報から前記経由情報を削除した後、前記中継手段によって前記目的の接続要求先に送信させるとともに、前記目的の接続要求先からの前記接続結果情報に前記経由情報を付加した後、前記通信元クライアントに送信させる、

ことを特徴とする請求の範囲第 5項記載の中継処理プログラム。

[7] 外部ネットワークと内部ネットワークとの接続点に設置されて通信管理を行うファイアウォールを越えて前記内部ネットワークに接続するサーバとの通信処理を行う通信処理プログラムにおいて、

コンピュータを、

アクセスを許可する 1または複数のポートを集約した中継機サーバの集約ポートが許可設定される前記ファイアウォールを超えて前記内部ネットワークに接続する目的の接続要求先にアクセスする場合に、前記目的の接続要求先を含む接続要求情報を作成し、前記集約ポートを宛先として前記接続要求情報を発行して接続要求を行うとともに、前記集約ポートを具備する中継機サーバによって前記目的の接続要求先に中継された前記接続要求情報に対して前記目的の接続要求先が作成した接続結果情報を前記中継機サーバ経由で受信する通信処理手段、

として機能させることを特徴とする通信処理プログラム。

[8] 前記通信処理手段に、

所定のアプリケーション力前記目的の接続要求先に関する情報と前記目的の接続要求先で発生する所定のイベント情報の取得要求を含む接続要求情報を取得すると、前記イベント情報の取得要求を含む接続要求情報に前記目的の接続要求先を設定して前記集約ポートを宛先として送信して応答を取得する手順を、前記イベント情報が取得されるまで、所定のタイミングで繰り返し実行させる、

ことを特徴とする請求の範囲第 7項記載の通信処理プログラム。

[9] 前記通信処理手段に、

所定のアプリケーション力前記目的の接続要求先に関する情報と前記目的の接続要求先に対する接続要求情報を取得すると、前記接続要求情報に前記中継機サーバに関する経由情報を付加して前記接続要求情報を変換した後、前記集約ポートを宛先として変換した前記接続要求情報を送信させる、

[10] 外部ネットワークと内部ネットワークとの接続点に設置され、予め許可設定がされたポートのパケットのみを通過させるファイアウォールを有するファイアウォールシステムにおいて、

アクセスを許可する 1または複数のポートを集約した集約ポートが許可設定され、前記外部ネットワークに接続する通信元クライアントからのアクセスを捕捉し、前記集約ポートを宛先とするアクセスのみを通過させるファイアウォールと、

前記ファイアウォールを越えて前記内部ネットワークに接続する目的の接続要求先にアクセスする場合に、前記目的の接続要求先を含む接続要求情報を作成し、前記集約ポートを宛先として前記接続要求情報を発行して接続要求を行うとともに、前記目的の接続要求先の作成した前記接続要求情報に対する接続結果情報を受信する通信元クライアントと、前記集約ポートが設定され、前記ファイアウォールが通過させた前記通信元クライアントからの前記接続要求情報を取得する接続要求情報取得手段と、取得した前記接続要求情報に基づき、宛先を前記目的の接続要求先に変更して前記接続要求情報を送信するとともに、前記目的の接続要求先から前記接続結果情報を受信して前記通信元クライアントに送信する中継手段と、を具備する中継機サーバと、

を有し、

前記通信元クライアントが発行した前記接続要求情報を前記中継機サーバが集約して取得して前記目的の接続要求先に振り分けるとともに、それぞれの前記目的の接続要求先の作成した前記接続結果情報が前記中継機サーバによって接続要求を行った前記通信元クライアントに中継されることを特徴とするファイアウォールシステム。