JP2003273936A - ファイアウォールシステム - Google Patents

ファイアウォールシステム

Info

Publication number
JP2003273936A
JP2003273936A JP2002072754A JP2002072754A JP2003273936A JP 2003273936 A JP2003273936 A JP 2003273936A JP 2002072754 A JP2002072754 A JP 2002072754A JP 2002072754 A JP2002072754 A JP 2002072754A JP 2003273936 A JP2003273936 A JP 2003273936A
Authority
JP
Japan
Prior art keywords
packet
firewall device
information
firewall
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002072754A
Other languages
English (en)
Inventor
Shigeo Fukushiro
茂生 福城
Masayuki Araki
正之 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
First Trust Kk
Original Assignee
First Trust Kk
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by First Trust Kk filed Critical First Trust Kk
Priority to JP2002072754A priority Critical patent/JP2003273936A/ja
Publication of JP2003273936A publication Critical patent/JP2003273936A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 運用するのが容易なパケットフィルタリング
型のファイアウォールシステムを提供する。 【解決手段】 各ファイアウォール装置102は、所定の
フィルタリングルールに従ってパケットフィルタリング
を行い、更に、現在のフィルタリングルールでは通過可
能なパケットを監視し、当該パケットを拒否すべきと判
定した場合は、当該パケットのヘッダ部から送信元IP
アドレスを抽出し、抽出した情報に基づいてフィルタリ
ングルールの更新を行う。更に、その送信元IPアドレ
ス等を記録しておき、定期的に保守センターサーバー10
1に送信する。サーバー101は、各装置102から送られて
くる情報を定期的に統計処理し、複数の装置102で共有
すべきと判断される拒否IPアドレス等を、各装置102
へ送信する。各装置102は、サーバー101から送られてき
た情報に基づいて、自己のフィルタリングルール等を更
新する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、外部ネットワーク
と内部ネットワークの間で、パケットフィルタリングを
行うファイアウォールシステムに関する。
【0002】
【従来の技術】従来から、ネットワークセキュリティを
確保するための技術として、ファイアウォールが知られ
ている。ファイアウォールとは、インターネット等の外
部ネットワークと、企業内LAN等の内部ネットワーク
との間に置かれ、予め決められた基準に基づいて、各デ
ータについて通信を許可するか否かを制御することによ
り、外部ネットワークから内部ネットワークへの侵入等
を阻止するための技術である。
【0003】このようなファイアウォールには、様々な
方式のものがあるが、そのうちの一つに、パケットフィ
ルタリング型のファイアウォールがある。パケットフィ
ルタリング型のファイアウォールは、パケット毎に、外
部ネットワークから内部ネットワークへの(又は、内部
ネットワークから外部ネットワークへの)通過を許可す
るか否かの制御を行うものであり、このような制御は、
予め決められたフィルタリングルールに従って行われ
る。
【0004】通常、フィルタリングルールでは、送信元
IPアドレス、宛先IPアドレス、送信元ポート番号、
宛先ポート番号、プロトコルの種類等によってフィルタ
リングの対象にするパケットが特定され、当該パケット
に対する処置(通過、拒否等)が指定される。
【0005】
【発明が解決しようとする課題】このようなフィルタリ
ングルールは、管理者が予め設定する必要があるが、そ
の設定作業には、ある程度のネットワーク等に関する知
識が必要となり、一般ユーザには困難であった。また、
そのような知識を有する者にとっても煩雑であった。
【0006】本発明の目的は、運用するのが容易なパケ
ットフィルタリング型のファイアウォールシステムを提
供することにある。
【0007】
【課題を解決するための手段】本発明に係るファイアウ
ォールシステムは、保守センターサーバーと、複数のフ
ァイアウォール装置とが、ネットワークを介して接続さ
れたファイアウォールシステムである。
【0008】そして、第一のファイアウォールシステム
においては、各ファイアウォール装置は、自己が保持す
るフィルタリングルールに基づいて、パケットのフィル
タリングを行うとともに、自己が受信したパケットに基
づいて、当該パケットを拒否すべきか否かを判定し、拒
否すべきと判定した場合は、当該パケットを拒否できる
ように、前記フィルタリングルールを更新し、また、拒
否すべきと判定したパケットに関する拒否パケット情報
を保守センターサーバーへ送信する。保守センターサー
バーは、各ファイアウォール装置から送られてくる拒否
パケット情報を統計処理して、複数のファイアウォール
装置で共有すべき拒否パケット識別情報を決定し、複数
のファイアウォール装置で共有すべき拒否パケット識別
情報を、各ファイアウォール装置に送信する。そして、
各ファイアウォール装置は、保守センターサーバーから
送られてきた拒否パケット識別情報に基づいて、フィル
タリングルールを更新する。
【0009】また、第二のファイアウォールシステムに
おいては、各ファイアウォール装置は、自己の動作モー
ド情報を保守センターサーバーへ送信する。保守センタ
ーサーバーは、各ファイアウォール装置から送られてき
た動作モード情報に合致する拒否パケット識別情報を、
各ファイアウォール装置に送信する。そして、各ファイ
アウォール装置は、保守センターサーバーから送られて
きた拒否パケット識別情報に基づいて、フィルタリング
ルールを生成し、当該フィルタリングルールに基づい
て、パケットのフィルタリングを行う。
【0010】本発明に係るファイアウォール装置は、フ
ィルタリングルールに基づいて、パケットの通過を許可
するか否かを制御するパケットフィルタリング部と、パ
ケットを捕捉し、捕捉したパケットから必要な情報を抽
出するパケット捕捉部と、前記パケット捕捉部が抽出し
た情報に基づいて、捕捉したパケットが拒否すべきパケ
ットであるか否かを判定し、拒否すべきパケットである
と判定した場合、当該パケットから、フィルタリングル
ールを生成するのに必要な情報を抽出する判定部と、当
該判定部が抽出した情報に基づいて、前記フィルタリン
グルールを更新するルール更新部とを備えたことを特徴
とする。
【0011】この場合において、前記判定部は、パケッ
トのデータに、予め決められた文字列が含まれているか
否かによって、拒否すべきパケットであるか否かを判定
するようにしてもよい。また、所定の時間内に、同一の
送信元から所定数以上のメール・パケットを受信したか
否か、及び、当該パケットが転送メールに関連するパケ
ットであるか否かによって、拒否すべきパケットである
か否かを判定するようにしてもよい。また、所定の時間
内に、同一の送信元から所定の複数のポートに対するア
クセスがあったか否かによって、拒否すべきパケットで
あるか否かを判定するようにしてもよい。
【0012】また、前記ルール更新部は、フィルタリン
グルールを更新した場合、当該フィルタリングルールを
更新するのに必要な情報と、更新を行った原因と、更新
を行った時刻を記録するようにしてもよく、そして、前
記ファイアウォール装置が、当該記録を、外部ネットワ
ークを介して、保守センターサーバーへ送信するデータ
送信部を更に備えるようにしてもよい。
【0013】また、前記ルール更新部は、フィルタリン
グルールを追加した場合、追加を行った時刻を記録して
おき、その時刻から所定の時間が経過した後、追加した
フィルタリングルールを削除するようにしてもよい。
【0014】また、前記ファイアウォール装置が、保守
センターサーバーから送られてくる拒否パケット識別情
報を受信するデータ受信部を更に備え、前記ルール更新
部が、前記拒否パケット識別情報に基づいて、前記フィ
ルタリングルールを更新するようにしてもよい。
【0015】また、前記判定部が、パケットのデータ
に、予め決められた文字列が含まれているか否かによっ
て、拒否すべきパケットであるか否かを判定する場合
は、ファイアウォール装置が、保守センターサーバーか
ら送られてくる拒否パケット識別情報を受信するデータ
受信部を更に備え、前記ルール更新部は、前記拒否パケ
ット識別情報に基づいて、前記フィルタリングルールを
更新し、前記判定部は、前記拒否パケット識別情報に含
まれる拒否文字列に基づいて、拒否すべきパケットであ
るか否かを判定するようにしてもよい。
【0016】本発明に係るパケットフィルタリングのた
めのフィルタリングルールを生成するプログラムは、コ
ンピュータを、パケットを捕捉し、捕捉したパケットか
ら必要な情報を抽出するパケット捕捉手段、前記パケッ
ト捕捉手段が抽出した情報に基づいて、捕捉したパケッ
トが拒否すべきパケットであるか否かを判定し、拒否す
べきパケットであると判定した場合、当該パケットから
フィルタリングルールを生成するのに必要な情報を抽出
する判定手段、及び、当該判定手段が抽出した情報に基
づいて、前記フィルタリングルールを生成するフィルタ
リングルール生成手段として機能させるためのプログラ
ムである。
【0017】本発明に係る保守センターサーバーは、フ
ァイアウォール装置から送られてくる拒否パケット情報
を受信するデータ受信部と、受信した拒否パケット情報
を記録する記録部と、記録された拒否パケット情報の統
計処理を行う統計処理部と、前記統計処理された情報か
ら生成される拒否パケット識別情報を格納するデータベ
ースと、前記データベースに格納された拒否パケット識
別情報を、ファイアウォール装置に送信するデータ送信
部とを備えたことを特徴とする。
【0018】この場合において、前記ファイアウォール
装置から送られてくる情報には、当該ファイアウォール
装置の動作モード情報が含まれるようにしてもよく、そ
して、前記保守センターサーバーが、当該動作モード情
報に基づいて、前記データベースに格納された拒否パケ
ット識別情報を選択し、データ送信部に渡す選択部を更
に備えるようにしてもよい。
【0019】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図面を参照しつつ詳細に説明する。
【0020】図1は、本発明によるファイアウォールシ
ステムの全体構成を示す図である。
【0021】同図に示すように、本システムは、保守セ
ンターサーバー101と、複数のファイアウォール装置
102(102a〜102c)と、複数の制御用端末装
置103(103a〜103c)とを備える。
【0022】保守センターサーバー101及びファイア
ウォール装置102は、共に、インターネット104に
接続されている。また、各ファイアウォール装置102
は、それぞれ、内部ネットワーク105(105a〜1
05c)に接続されている。
【0023】更に、各ファイアウォール装置102は、
シリアルケーブルを介して、各制御用端末装置103と
接続されている。制御用端末装置103は、ファイアウ
ォール装置102の各種設定を行ったり、ファイアウォ
ール装置102の状態を確認したりするためのものであ
る。
【0024】各ファイアウォール装置102は、外部ネ
ットワークであるインターネット104と内部ネットワ
ーク105との間で、パケットフィルタリングを行う。
各ファイアウォール装置102は、予め決められたフィ
ルタリングルールに従って、パケットフィルタリングを
行うが、更に、現在のフィルタリングルールでは通過可
能なパケットを監視し、当該パケットを通過させるのが
望ましいか否かを判断する。そして、通過させるのが望
ましくないと判定した場合は、当該パケットから、フィ
ルタリングルールを生成するのに必要な情報(例えば、
送信元IPアドレス)を抽出し、抽出した情報に基づい
て、当該パケットを拒否(遮断)できるようにフィルタ
リングルールの更新を行う。
【0025】フィルタリングルールを生成するのに必要
な情報としては、送信元IPアドレス(又は、ドメイン
名)、送信元ポート番号、宛先IPアドレス(又は、ド
メイン名)、宛先ポート番号、プロトコル種類等がある
が、以下では簡単のため、送信元IPアドレスで、フィ
ルタリングルールを生成するのに必要な情報を代表させ
る。
【0026】本実施形態においては、各ファイアウォー
ル装置102は、現在は通過可能なパケットに対して、
3種類の判定を行う。
【0027】まず、第一に、各ファイアウォール装置1
02は、パケットのデータ(アプリケーション層のデー
タ)に、予め決められた文字列(拒否文字列)が含まれ
るか否かを判定する。そして、拒否文字列を含むパケッ
トは、拒否すべきパケットであると判定する。
【0028】このような判定を行うことにより、例え
ば、教育機関のLAN環境において、児童の目に触れさ
せたくない文字列(猥褻な言葉や差別用語等)を含むH
TMLファイル等が児童が使う端末装置に表示されるの
を防ぐことが可能になる。
【0029】第二に、各ファイアウォール装置102
は、パケットが、スパムメールに関連するパケットであ
るか否かを判定する。スパムメールとは、不特定多数の
ユーザーに、一方的に送りつけられる宣伝メール等の電
子メールのことをいい、多くの場合、電子メールの不正
中継が利用される。このようなスパムメールに関連する
パケットについては、拒否することが望ましいので、各
ファイアウォール装置102は、パケットが、スパムメ
ールに関連するパケットであるか否かを判定する。スパ
ムメールに関連するパケットであるか否かを判定する処
理の詳細については後述する。
【0030】第三に、各ファイアウォール装置102
は、パケットが、ポートスキャンに関連するパケットで
あるか否かを判定する。一般に、インターネットで利用
される多くのサービスは、TCP又はUDPのサービス
として、サーバー上で稼働しており、TCPやUDPに
はポート番号と呼ばれるサービス識別子が存在する。ポ
ートスキャンとは、例えば、1番ポートから順番に接続
を試みることで、スキャン対象のサーバーで稼働してい
るサービスが何なのかを調べるものである。このような
ポートスキャンに関連するパケットについても、拒否す
ることが望ましいので、各ファイアウォール装置102
は、パケットが、ポートスキャンに関連するパケットで
あるか否かを判定する。ポートスキャンに関連するパケ
ットであるか否かを判定する処理の詳細については後述
する。
【0031】各ファイアウォール装置102は、以上の
ような判定の結果、拒否すべきパケットと判定した場合
は、当該パケットの送信元IPアドレスを抽出して、抽
出した送信元IPアドレスに基づいて、当該送信元IP
アドレスからのパケットを拒否できるようにフィルタリ
ングルールを更新する。更に、その際、その送信元IP
アドレス、更新原因(拒否文字列検出/スパムメール検
出/ポートスキャン検出)、更新時刻等を記録してお
き、当該記録(拒否パケット情報)を定期的に、保守セ
ンターサーバー101に送信する。
【0032】保守センターサーバー101は、各ファイ
アウォール装置102から送られてくる情報を記録し、
記録した情報を定期的に統計処理する。そして、統計処
理の結果、複数のファイアウォール装置102で共有す
べきと判断される拒否パケット識別情報(例えば、拒否
すべき送信元IPアドレス)を、各ファイアウォール装
置102へ送信する。
【0033】各ファイアウォール装置102は、保守セ
ンターサーバー101から送られてくる拒否パケット識
別情報を受け取ると、当該情報に基づいて、自己のフィ
ルタリングルール等を更新する。
【0034】本ファイアウォールシステムでは、このよ
うな動作を行うので、各ファイアウォール装置102
は、現在のフィルタリングルールでは対処できないパケ
ットについても、ある程度、自律的に防御をすることが
可能になる。また、あるファイアウォール装置102a
において、拒否すべきパケットの送信元と判定された送
信元IPアドレスが、他のファイアウォール装置102
b、102cでも共用されることとなり、他のファイア
ウォール装置102b、102cでは、自分で検出しな
くても、望ましくないパケットを拒否するようにフィル
タリングルールを更新することができ、望ましくないパ
ケットの通過を未然に防ぐことが可能となる。
【0035】また、各ファイアウォール装置102は、
自己の動作モード情報の一つとして、カテゴリと呼ばれ
る情報を有している。カテゴリは、制御用端末装置10
3を使って、管理者が設定(変更)することができる。
【0036】カテゴリは、例えば、ファイアウォール装
置102が接続される内部ネットワーク105の種類
(例えば、「教育機関」、「企業」、「個人」)や、セ
キュリティレベル(例えば、「高」、「中」、「低」)
等に対応して予め定められる識別子(例えば、0000
〜9999のいずれか)である。
【0037】更に、各ファイアウォール装置102は、
自己の動作モード情報として、「スパムメールをチェッ
クするか否か」、「ポートスキャンをチェックするか否
か」の情報を有しており、これらも、制御用端末装置1
03を使って、設定(変更)することができる。
【0038】各ファイアウォール装置102は、これら
の動作モード情報が設定あるいは変更されると、当該動
作モード情報を保守センターサーバー101へ送信す
る。なお、このとき、前述した拒否パケット情報等が存
在すれば、これも同時に送信される。
【0039】保守センターサーバー101は、各ファイ
アウォール装置102から送られてくる動作モード情報
を受け取ると、送られてきた動作モード情報に基づい
て、当該動作モードに応じた拒否パケット識別情報(本
実施形態においては、拒否文字列及び拒否送信元IPア
ドレス)を選択し、各ファイアウォール装置102に送
り返す。
【0040】各ファイアウォール装置102は、保守セ
ンターサーバー101から送られてきた拒否パケット識
別情報に基づいて、フィルタリングルールを生成し、ま
た、拒否文字列の判定を行う。
【0041】本ファイアウォールシステムでは、このよ
うな動作を行うので、所望の動作モードを選択するだけ
で、自己のファイアウォール装置102に対して、適切
なフィルタリングルール及び拒否文字列を自動的に設定
することができ、各ファイアウォール装置102の管理
者の負担が軽減される。
【0042】次に、以上のような動作を行う本ファイア
ウォールシステムを構成する各構成要素の詳細について
説明する。
【0043】まず、ファイアウォール装置102の詳細
について説明する。
【0044】図2は、ファイアウォール装置102のハ
ードウェア構成例を示す図である。同図に示すように、
ファイアウォール装置102は、CPU201と、メイ
ンメモリ202と、ROM203と、PCカードインタ
フェース部204と、シリアルインタフェース部205
と、ネットワークインタフェース部206,207とを
備える。
【0045】CPU201、メインメモリ202、RO
M203、PCカードインタフェース部204、シリア
ルインタフェース部205、ネットワークインタフェー
ス部206,207は、それぞれ、バス208に接続さ
れている。また、PCカードインタフェース部204に
は、フラッシュATAカード209が接続される。シリ
アルインタフェース部205は、制御用端末装置103
に接続され、ネットワークインタフェース部206は、
外部ネットワーク(インターネット104)に接続さ
れ、ネットワークインタフェース部207は、内部ネッ
トワーク105に接続される。
【0046】CPU201は、ファイアウォール装置1
02が行う各種処理を実行・制御する中央処理装置であ
る。メインメモリ202は、CPU201が利用する各
種プログラムやデータを格納する主記憶装置である。R
OM203は、CPU201が利用するBIOS等を格
納する記憶装置である。
【0047】PCカードインタフェース部204は、フ
ラッシュATAカード209とバス208との間のデー
タのやり取りを制御するものである。シリアルインタフ
ェース部205は、制御用端末装置103と、バス20
8と間のデータのやり取りを制御するものである。ネッ
トワークインタフェース部206は、外部ネットワーク
とバス208との間のデータのやり取りを制御するもの
である。ネットワークインタフェース部207は、内部
ネットワークとバス208との間のデータのやり取りを
制御するものである。
【0048】フラッシュATAカード209は、CPU
201が利用するオペレーティングシステム(OS)そ
の他の各種プログラムやデータが記録された記録媒体で
ある。なお、本実施形態においては、フラッシュATA
カードの全記憶領域は、セクタ単位で暗号化が行われて
いる。すなわち、ファイアウォール装置102のOS又
はBIOSが、フラッシュATAカード209に対し
て、セクタ単位で読み書きを行う際、セクタデータに関
して所定の復号/符号化を行う。このような処理を行う
ことにより、例えば、ファイアウォール装置102を、
AT互換機等の一般的なパーソナルコンピュータ(P
C)をベースに実現した場合であっても、フラッシュA
TAカード209に記録された情報が、他の同種のPC
等で読み出されることを防止することが可能になる。
【0049】図3は、ファイアウォール装置102のソ
フトウェア構成例を示す図である。同図に示すように、
ファイアウォール装置102は、パケットフィルタリン
グ部301と、バケット捕捉部302と、判定部303
〜305と、フィルタリングルール制御部306と、デ
ータ送信部307と、データ受信部308とを備える。
各部301〜308は、基本的に、CPU201が、メ
インメモリ202にロードされたプログラムを実行する
ことで実現される。
【0050】パケットフィルタリング部301は、TC
P/IPプロトコルにおけるIPパケットを受け取り、
パケットのヘッダの内容に応じて、受け取ったパケット
を通過させるか否かの制御を行うものである。パケット
フィルタリング部301は、フィルタリングルールを保
持し、このフィルタリングルールに従って、受け取った
パケットを通過させるか否かを判断する。
【0051】フィルタリングルール制御部306は、パ
ケットフィルタリング部301が保持するフィルタリン
グルールに新たなルールを追加したり、フィルタリング
ルールからあるルールを削除したりして、フィルタリン
グルールの制御を行う。
【0052】パケット捕捉部302は、パケットフィル
タリング部301を通過したパケットを捕捉し、当該パ
ケットの解析を行い、必要なデータを抽出して判定部3
03〜305に渡す。パケット捕捉部302は、また、
捕捉したパケットに関する記録を残すため、捕捉パケッ
ト記録テーブルを保持している。
【0053】図4は、捕捉パケット記録テーブルの構成
例を示す図である。
【0054】同図に示すように、捕捉パケット記録テー
ブルは、「送信元」フィールド401と、「宛先」フィ
ールド402と、「プロトコル」フィールド403と、
「受信時刻」フィールド404とを備えている。
【0055】「送信元」フィールド401には、パケッ
トの送信元のIPアドレス(及び、必要に応じてポート
番号)が格納される。「宛先」フィールド402には、
パケットの宛先のIPアドレス(及び、必要に応じてポ
ート番号)が格納される。「プロトコル」フィールド4
03には、パケットのプロトコル種別を示す情報が格納
される。「受信時刻」フィールド404には、パケット
を受信した時刻が格納される。
【0056】パケット捕捉部302は、捕捉したパケッ
トのヘッダ部を順次解析し、当該パケットがどのような
種類のパケットかを判別する。そして、アプリケーショ
ン層のデータ(例えば、HTMLファイルの内容)を含
むパケットについては、そのデータ部分を、TCP/I
Pヘッダと共に、判定部303に送る。また、電子メー
ルに関連するパケットについては、そのメールヘッダを
抽出し、TCP/IPヘッダと共に、判定部304に送
る。また、ポートに対してアクセスを行うパケットにつ
いては、TCP/IPヘッダを判定部305に送る。各
判定部303〜305は、パケット捕捉部302から渡
された情報に基づいて、捕捉したパケットが拒否すべき
パケットであるか否かを判定する。
【0057】次に、捕捉したパケットが拒否すべきパケ
ットであるか否かを判定する判定部303〜305につ
いて説明する。本実施形態においては、3種類の判定部
303〜305が設けられている。
【0058】まず、判定部303について説明する。
【0059】判定部303は、パケットに含まれるアプ
リケーション層レベルのデータに、予め設定された文字
列が含まれているか否かによって、当該パケットが拒否
すべきパケットであるか否かを判定する。そのため、判
定部303は、拒否すべき文字列のリスト(拒否文字列
リスト)を保持している。
【0060】この拒否文字列リストは、ファイアウォー
ル装置102の運用開始時に、管理者によって設定され
たカテゴリに対応するものが、保守センターサーバー1
01からダウンロードされる。なお、運用開始時の拒否
文字列リストについては、予めフラッシュATAカード
209に格納しておき、それを利用するようにしてもよ
い。
【0061】また、拒否文字列リストには、各ファイア
ウォール装置102を導入したサイト毎に、管理者が所
望の文字列を追加等することもできる。そして、この拒
否文字列リストは、定期的に(例えば、3日に一回)、
他の情報と共に、保守センターサーバー101に送られ
る。更に、拒否文字列リストは、カテゴリ等、各ファイ
アウォール装置102の動作モード情報が変更された場
合も、他の情報と共に、保守センターサーバー101に
送られる。
【0062】図5は、判定部303の判定処理の流れを
示すフローチャートである。
【0063】同図に示すように、判定部303は、ま
ず、パケット捕捉部302から渡されるTCP/IPパ
ケットのデータに、拒否文字列リスト内の拒否文字列が
存在するか否かを順次、判定する(S501)。
【0064】その結果、拒否文字列が含まれていなかっ
た場合は(S501:NO)、そのまま処理を終了す
る。
【0065】一方、拒否文字列が含まれていた場合は
(S501:YES)、当該パケットを拒否すべきパケ
ットと判定し、当該パケットのヘッダ部から、送信元の
IPアドレスを抽出する(S502)。そして、判定部
303は、抽出した送信元IPアドレスと、当該パケッ
トに含まれていた拒否文字列と、判定部303を表す識
別子を、フィルタリングルール制御部306に渡して
(S503)、処理を終了する。
【0066】以上のようにして、判定部303における
判定処理が行われる。
【0067】次に、判定部304について説明する。
【0068】判定部304は、捕捉したパケットがスパ
ムメールに関連するパケットであるか否かを判定する。
具体的には、判定部304は、パケット捕捉部302か
ら順次渡されるメールヘッダ及びTCP/IPヘッダを
記録しておき、同一の送信元から、所定時間内に、所定
数以上のメール・パケットを受信した場合であって、当
該メールが転送メールである場合、当該メール・パケッ
トがスパムメールに関連するパケットであると判定す
る。
【0069】図6は、判定部304の判定処理の流れを
示すフローチャートである。
【0070】同図に示すように、判定部304は、ま
ず、パケット捕捉部302から渡されるTCP/IPヘ
ッダに基づいて、同一の送信元から、所定時間内に、所
定数以上のメール・パケットを受信しているか否かを判
定する(S601)。
【0071】その結果、同一の送信元から、所定時間内
に、所定数以上のメール・パケットを受信していない場
合は(S601:NO)、そのまま処理を終了する。
【0072】一方、同一の送信元から、所定時間内に、
所定数以上のメール・パケットを受信していた場合は
(S601:YES)、次に、メールヘッダに基づい
て、当該メールが転送メールであるか否かを判定する
(S602)。メールが転送メールであるか否かは、例
えば、メールヘッダに「Received:」行が所定数以上含
まれているか否かで判定する。
【0073】その結果、転送メールでなかった場合は
(S602:NO)、そのまま処理を終了する。
【0074】一方、転送メールである場合は(S60
2:YES)、捕捉したパケットを拒否すべきパケット
と判定し、当該パケットのヘッダ部から、送信元のIP
アドレスを抽出する(S603)。そして、判定部30
4は、抽出した送信元IPアドレスと、判定部304を
表す識別子を、フィルタリングルール制御部306に渡
して(S604)、処理を終了する。
【0075】以上のようにして、判定部304における
判定処理が行われる。
【0076】次に、判定部305について説明する。
【0077】判定部305は、捕捉したパケットがポー
トスキャンに関連するパケットであるか否かを判定す
る。具体的には、判定部305は、通常は使われること
がないポート番号のリスト(拒否ポート番号リスト)を
保持しており、更に、パケット捕捉部302から順次渡
されるTCP/IPヘッダを記録しておき、同一の送信
元から、拒否ポート番号リストに含まれる複数(所定数
以上)のポートに対するアクセスが、所定の時間内にあ
った場合、ポートスキャンに関連するパケットであると
判定する。
【0078】図7は、判定部305の判定処理の流れを
示すフローチャートである。
【0079】同図に示すように、パケット捕捉部302
からTCP/IPヘッダを受け取ると、判定部305
は、まず、当該パケットが、ポートスキャンに関連する
パケットであるか否かを判定する(S701)。
【0080】その結果、ポートスキャンに関連するパケ
ットでないと判定した場合は(S701:NO)、その
まま処理を終了する。
【0081】一方、ポートスキャンに関連するパケット
であると判定した場合は(S701:YES)、当該パ
ケットのヘッダ部から、送信元のIPアドレスを抽出す
る(S702)。そして、判定部305は、抽出した送
信元IPアドレスと、判定部305を表す識別子をフィ
ルタリングルール制御部306に渡して(S703)、
処理を終了する。
【0082】以上のようにして、判定部305における
判定処理が行われる。
【0083】各判定部303〜305から拒否すべき送
信元IPアドレス等が渡されると、フィルタリングルー
ル制御部306は、当該送信元IPアドレスからのパケ
ットを拒否できるように、パケットフィルタリング部3
01が保持するフィルタリングルールを更新する。
【0084】また、フィルタリングルール制御部306
は、保守センターサーバー101へ送るため、各判定部
303〜305から渡される情報(拒否すべき送信元I
Pアドレス等)を順次記録しておく。
【0085】本実施形態においては、フィルタリングル
ール制御部306が追加するフィルタリングルールにつ
いて、一時的なものとするか、永久的なものとするかが
設定可能である。例えば、スパムメールやポートスキャ
ンについては、一時的に、その送信元からのパケットを
拒否するだけで足りる場合があり、一度の不正アクセス
等で、永久的に、その送信元からのパケットを拒否する
ようにすると、不都合な場合がある。
【0086】このような場合に対応できるようにするた
め、本実施形態では、各判定部303〜305毎に、各
判定部303〜305が拒否すべきと判定した送信元I
Pアドレスからのパケットを、一時的に拒否するか、永
久的に拒否するかを設定できる。そして、一時的拒否に
設定された判定部から、拒否IPアドレス等が通知され
ると、当該拒否IPアドレスに基づいて、フィルタリン
グルールを追加した時刻を、当該拒否IPアドレスに対
応させて記録しておき、追加後、予め決められた時間が
経過したら、当該フィルタリングルールを削除する。こ
のような構成とすることで、例えば、基本的には通信を
確保したい送信元から、一時的にスパムメールやポート
スキャン等があった場合に、当該送信元からのパケット
を一時的に拒否して、必要な防御を達成しつつ、基本的
には通信を確保したい送信元からのパケットを永久的に
拒否する不都合を避けることが可能になる。
【0087】なお、フィルタリングルール制御部306
は、フィルタリングルールを削除した時刻も、拒否IP
アドレスに対応させて記録しておく。このようにフィル
タリングルールを削除した時刻も記録しておくことによ
り、頻繁に追加・削除が繰り返される場合には、一時的
な拒否とされていたものを、永久的な拒否に自動的に変
更するように制御することも可能となる。
【0088】最後に、データ送信部307及びデータ受
信部308について説明する。
【0089】データ送信部307は、必要な情報を保守
センターサーバー101へ送信するためのものである。
保守センターサーバー101へ送信される情報として
は、フィルタリングルール制御部306に保持されてい
る拒否IPアドレス、拒否文字列、フィルタリングルー
ル追加時刻及びフィルタリングルール削除時刻等や、判
定部303が保持する拒否文字列リストや、ファイアウ
ォール装置102の動作モード情報等がある。
【0090】データ受信部308は、保守センターサー
バー101から送信されてくる拒否パケット識別情報
(拒否文字列及び拒否IPアドレス)を受信し、拒否文
字列を判定部303に渡し、拒否IPアドレスをフィル
タリングルール制御部306に渡す。
【0091】ファイアウォール装置102は、以上のよ
うな構成を有しているので、望まないパケットを検出し
た場合に、自動的にフィルタリングルールを更新するこ
とで必要な防御を自律的に達成すること、及び、保守セ
ンターサーバー101との間で必要なデータのやり取り
を行うこと等が可能となる。
【0092】次に、保守センターサーバー101の詳細
について説明する。
【0093】図8は、保守センターサーバー101のハ
ードウェア構成例を示す図である。同図に示すように、
保守センターサーバー101は、CPU801と、メイ
ンメモリ802と、ハードディスクインタフェース部8
10と、ハードディスク装置811と、ネットワークイ
ンタフェース部806とを備える。
【0094】CPU801、メインメモリ802、ハー
ドディスクインタフェース部810、ネットワークイン
タフェース部806は、それぞれ、バス808に接続さ
れている。また、ハードディスクインタフェース部81
0には、ハードディスク装置811が接続されている。
ネットワークインタフェース部806は、外部ネットワ
ーク(インターネット104)に接続される。
【0095】CPU801は、保守センターサーバー1
01が行う各種処理を実行・制御する中央処理装置であ
る。メインメモリ802は、CPU801が利用する各
種プログラムやデータを格納する主記憶装置である。ハ
ードディスク装置811は、CPU801が利用するO
Sその他の各種プログラムやデータを格納する補助記録
装置である。
【0096】ハードディスクインタフェース部810
は、ハードディスク装置811とバス808との間のデ
ータのやり取りを制御するものである。ネットワークイ
ンタフェース部806は、外部ネットワークとバス80
8との間のデータのやり取りを制御するものである。
【0097】図9は、保守センターサーバー101のソ
フトウェア構成例を示す図である。
【0098】同図に示すように、保守センターサーバー
101は、データ受信部901と、記録部902と、統
計処理部903と、拒否パケット識別情報データベース
904と、送信データ選択部905と、データ送信部9
06とを備える。各部901〜906は、基本的に、C
PU801が、メインメモリ802にロードされたプロ
グラムを実行することで実現される。
【0099】データ受信部901は、各ファイアウォー
ル装置102から送られてくる情報を受信する。各ファ
イアウォール装置102から送られてくる情報には、各
ファイアウォール装置102の現在の動作モード情報
と、各ファイアウォール装置102で拒否すべきと判定
したパケットに関する拒否パケット情報(フィルタリン
グルール制御部306が保持する情報)、各ファイアウ
ォール装置102が現在使用している拒否文字列リスト
(判定部303が保持)等が含まれる。
【0100】各ファイアウォール装置102から送られ
てきた拒否パケット情報は、記録部902に記録され
る。記録部902には、複数のファイアウォール装置1
02から送られてくる拒否パケット情報が順次記録され
る。統計処理部903は、記録部902に記録された拒
否パケット情報を定期的に(例えば、一日一回)統計処
理して、複数のファイアウォール装置102で共有すべ
き拒否パケット識別情報を決定し、拒否パケット識別情
報データベース904に格納する。
【0101】図10は、拒否パケット識別情報データベ
ース904の構成例を示す図である。
【0102】同図に示すように、本データベース904
は、「カテゴリ」フィールド1001と、「データ種」
フィールド1002と、「データ」フィールド1003
と、「原因」フィールド1004とを備える。
【0103】「カテゴリ」フィールド1001には、カ
テゴリを識別する識別子(例えば、0000〜9999
のいずれか)が格納される。
【0104】「データ種」フィールド1002には、
「データ」フィールド1003に格納されているデータ
の種類を示す情報が格納される。具体的には、「拒否文
字列」であるか、「拒否IPアドレス」であるかを示す
情報が格納される。
【0105】「データ」フィールド1003には、「デ
ータ種」フィールド1002に示されたデータの種類に
対応して、拒否文字列又は拒否IPアドレスが格納され
る。
【0106】「原因」フィールド1004には、「デー
タ」フィールドに格納されているIPアドレスが、いか
なる原因で拒否すべきIPアドレスとされているのかを
示す情報が格納される。具体的には、「スパムメール」
に関連するものとして拒否すべきとされているのか、
「ポートスキャン」に関連するものとして拒否すべきと
されているのか等を示す情報が格納される。
【0107】送信データ選択部905は、「カテゴリ」
フィールド1001と「原因」フィールド1004を使
って、各ファイアウォール装置102から送られてきた
動作モード情報に合致する拒否パケット識別情報を、拒
否パケット識別情報データベース904から読み出す。
そして、必要に応じて、読み出した拒否パケット識別情
報と、各ファイアウォール装置102から送られてきた
拒否パケット情報及び拒否文字列リストとを比較し、両
者の差、すなわち、各ファイアウォール装置102が有
していない拒否パケット識別情報を選択して、データ送
信部906へ渡す。
【0108】データ送信部906は、送信データ選択部
905から渡された拒否パケット識別情報を、データ受
信部901から渡される送信元情報(送信元IPアドレ
ス等)を使って、今回、拒否パケット情報等を送ってき
たファイアウォール装置102へ返信する。
【0109】なお、保守センターサーバー101は、拒
否パケット識別情報データベース904の「データ」フ
ィールド1003に含まれているIPアドレスを有する
ホストが稼働(存在)しているか否かを、定期的に調べ
て、稼働(存在)していないと判断された場合は、拒否
パケット識別情報データベース904から適宜削除する
等、拒否パケット識別情報データベース904のメイン
テナンスも行う。
【0110】保守センターサーバー101は、以上のよ
うな構成を有しているので、各ファイアウォール装置1
02との間で必要なデータのやり取りを行うこと等が可
能となる。
【0111】
【発明の効果】以上詳細に説明したように、本発明によ
れば、運用するのが容易なパケットフィルタリング型の
ファイアウォールシステムを提供することができる。
【図面の簡単な説明】
【図1】 本発明によるファイアウォールシステムの全
体構成を示す図である。
【図2】 ファイアウォール装置102のハードウェア
構成例を示す図である。
【図3】 ファイアウォール装置102のソフトウェア
構成例を示す図である。
【図4】 捕捉パケット記録テーブルの構成例を示す図
である。
【図5】 判定部303の判定処理の流れを示すフロー
チャートである。
【図6】 判定部304の判定処理の流れを示すフロー
チャートである。
【図7】 判定部305の判定処理の流れを示すフロー
チャートである。
【図8】 保守センターサーバー101のハードウェア
構成例を示す図である。
【図9】 保守センターサーバー101のソフトウェア
構成例を示す図である。
【図10】 拒否パケット識別情報データベース904
の構成例を示す図である。
【符号の説明】 101 保守センターサーバー 102a〜102c ファイアウォール装置 103a〜103c 制御用端末装置 104 インターネット 105a〜105c 内部ネットワーク 201 CPU 202 メインメモリ 203 ROM 204 PCカードインタフェース部 205 シリアルインタフェース部 206,207 ネットワークインタフェース部 208 バス 209 フラッシュATAカード 301 パケットフィルタリング部 302 バケット捕捉部 303〜305 判定部 306 フィルタリングルール制御部 307 データ送信部 308 データ受信部 801 CPU 802 メインメモリ 806 ネットワークインタフェース部 808 バス 810 ハードディスクインタフェース部 811 ハードディスク装置 901 データ受信部 902 記録部 903 統計処理部 904 拒否パケット識別情報データベース 905 送信データ選択部 906 データ送信部
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA04 GA11 JB16 KA17 KB13 MC08 5K030 GA15 HA08 HD08 JA10 KX24 LC14 LC15 MC07

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】 保守センターサーバーと、複数のファイ
    アウォール装置とが、ネットワークを介して接続された
    ファイアウォールシステムであって、 各ファイアウォール装置は、 自己が保持するフィルタリングルールに基づいて、パケ
    ットのフィルタリングを行うとともに、自己が受信した
    パケットに基づいて、当該パケットを拒否すべきか否か
    を判定し、拒否すべきと判定した場合は、当該パケット
    を拒否できるように、前記フィルタリングルールを更新
    し、 また、拒否すべきと判定したパケットに関する拒否パケ
    ット情報を保守センターサーバーへ送信し、 保守センターサーバーは、 各ファイアウォール装置から送られてくる拒否パケット
    情報を統計処理して、複数のファイアウォール装置で共
    有すべき拒否パケット識別情報を決定し、 複数のファイアウォール装置で共有すべき拒否パケット
    識別情報を、各ファイアウォール装置に送信し、 各ファイアウォール装置は、保守センターサーバーから
    送られてきた拒否パケット識別情報に基づいて、フィル
    タリングルールを更新することを特徴とするファイアウ
    ォールシステム。
  2. 【請求項2】 保守センターサーバーと、複数のファイ
    アウォール装置とが、ネットワークを介して接続された
    ファイアウォールシステムであって、 各ファイアウォール装置は、自己の動作モード情報を保
    守センターサーバーへ送信し、 保守センターサーバーは、各ファイアウォール装置から
    送られてきた動作モード情報に合致する拒否パケット識
    別情報を、各ファイアウォール装置に送信し、 各ファイアウォール装置は、保守センターサーバーから
    送られてきた拒否パケット識別情報に基づいて、フィル
    タリングルールを生成し、当該フィルタリングルールに
    基づいて、パケットのフィルタリングを行うことを特徴
    とするファイアウォールシステム。
  3. 【請求項3】 フィルタリングルールに基づいて、パケ
    ットの通過を許可するか否かを制御するパケットフィル
    タリング部と、パケットを捕捉し、捕捉したパケットか
    ら必要な情報を抽出するパケット捕捉部と、 前記パケット捕捉部が抽出した情報に基づいて、捕捉し
    たパケットが拒否すべきパケットであるか否かを判定
    し、拒否すべきパケットであると判定した場合、当該パ
    ケットから、フィルタリングルールを生成するのに必要
    な情報を抽出する判定部と、 当該判定部が抽出した情報に基づいて、前記フィルタリ
    ングルールを更新するルール更新部とを備えたことを特
    徴とするファイアウォール装置。
  4. 【請求項4】 前記判定部は、 パケットのデータに、予め決められた文字列が含まれて
    いるか否かによって、拒否すべきパケットであるか否か
    を判定することを特徴とする請求項3に記載のファイア
    ウォール装置。
  5. 【請求項5】 前記判定部は、 所定の時間内に、同一の送信元から所定数以上のメール
    ・パケットを受信したか否か、及び、当該パケットが転
    送メールに関連するパケットであるか否かによって、拒
    否すべきパケットであるか否かを判定することを特徴と
    する請求項3に記載のファイアウォール装置。
  6. 【請求項6】 前記判定部は、 所定の時間内に、同一の送信元から所定の複数のポート
    に対するアクセスがあったか否かによって、拒否すべき
    パケットであるか否かを判定することを特徴とする請求
    項3に記載のファイアウォール装置。
  7. 【請求項7】 前記ルール更新部は、フィルタリングル
    ールを更新した場合、当該フィルタリングルールを更新
    するのに必要な情報と、更新を行った原因と、更新を行
    った時刻を記録し、 当該記録を、外部ネットワークを介して、保守センター
    サーバーへ送信するデータ送信部を更に備えることを特
    徴とする請求項3〜6のいずれか一項に記載のファイア
    ウォール装置。
  8. 【請求項8】 前記ルール更新部は、フィルタリングル
    ールを追加した場合、追加を行った時刻を記録してお
    き、その時刻から所定の時間が経過した後、追加したフ
    ィルタリングルールを削除することを特徴とする請求項
    3〜6のいずれか一項に記載のファイアウォール装置。
  9. 【請求項9】 保守センターサーバーから送られてくる
    拒否パケット識別情報を受信するデータ受信部を更に備
    え、 前記ルール更新部は、前記拒否パケット識別情報に基づ
    いて、前記フィルタリングルールを更新することを特徴
    とする請求項3〜8のいずれか一項に記載のファイアウ
    ォール装置。
  10. 【請求項10】 保守センターサーバーから送られてく
    る拒否パケット識別情報を受信するデータ受信部を更に
    備え、 前記ルール更新部は、前記拒否パケット識別情報に基づ
    いて、前記フィルタリングルールを更新し、 前記判定部は、前記拒否パケット識別情報に含まれる拒
    否文字列に基づいて、拒否すべきパケットであるか否か
    を判定することを特徴とする請求項4に記載のファイア
    ウォール装置。
  11. 【請求項11】 パケットフィルタリングのためのフィ
    ルタリングルールを生成するプログラムであって、コン
    ピュータをパケットを捕捉し、捕捉したパケットから必
    要な情報を抽出するパケット捕捉手段、 前記パケット捕捉手段が抽出した情報に基づいて、捕捉
    したパケットが拒否すべきパケットであるか否かを判定
    し、拒否すべきパケットであると判定した場合、当該パ
    ケットからフィルタリングルールを生成するのに必要な
    情報を抽出する判定手段、及び当該判定手段が抽出した
    情報に基づいて、前記フィルタリングルールを生成する
    フィルタリングルール生成手段として機能させるための
    プログラム。
  12. 【請求項12】 ファイアウォール装置から送られてく
    る拒否パケット情報を受信するデータ受信部と、 受信した拒否パケット情報を記録する記録部と、 記録された拒否パケット情報の統計処理を行う統計処理
    部と、 前記統計処理された情報から生成される拒否パケット識
    別情報を格納するデータベースと、 前記データベースに格納された拒否パケット識別情報
    を、ファイアウォール装置に送信するデータ送信部とを
    備えたことを特徴とする保守センターサーバー。
  13. 【請求項13】 前記ファイアウォール装置から送られ
    てくる情報には、当該ファイアウォール装置の動作モー
    ド情報が含まれ、 当該動作モード情報に基づいて、前記データベースに格
    納された拒否パケット識別情報を選択し、データ送信部
    に渡す選択部を更に備えることを特徴とする請求項12
    に記載の保守センターサーバー。
JP2002072754A 2002-03-15 2002-03-15 ファイアウォールシステム Pending JP2003273936A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002072754A JP2003273936A (ja) 2002-03-15 2002-03-15 ファイアウォールシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002072754A JP2003273936A (ja) 2002-03-15 2002-03-15 ファイアウォールシステム

Publications (1)

Publication Number Publication Date
JP2003273936A true JP2003273936A (ja) 2003-09-26

Family

ID=29202660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002072754A Pending JP2003273936A (ja) 2002-03-15 2002-03-15 ファイアウォールシステム

Country Status (1)

Country Link
JP (1) JP2003273936A (ja)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005251189A (ja) * 2004-02-13 2005-09-15 Microsoft Corp ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP2006012165A (ja) * 2004-06-29 2006-01-12 Microsoft Corp 増分アンチスパムのルックアップサービスおよびアップデートサービス
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
WO2007116605A1 (ja) * 2006-03-30 2007-10-18 Nec Corporation 通信端末装置、ルール配布装置およびプログラム
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
JP2009020811A (ja) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd 通信制御システム
JP2009048574A (ja) * 2007-08-22 2009-03-05 Panasonic Corp 通信端末装置、ファイアウォールシステム及びファイアウォール方法
JP2009065294A (ja) * 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP2009087163A (ja) * 2007-10-01 2009-04-23 Brother Ind Ltd ジョブ実行装置及びジョブ実行方法
JP2011113355A (ja) * 2009-11-27 2011-06-09 Ricoh Co Ltd 情報処理装置、画像形成装置、及び、情報処理方法
JP2011172030A (ja) * 2010-02-18 2011-09-01 Pc Depot Corp セキュリティシステム、管理サーバ、及びプログラム
JP2012231232A (ja) * 2011-04-25 2012-11-22 Hitachi Ltd 通信システムおよび装置
US8792117B2 (en) 2008-03-25 2014-07-29 Fuji Xerox Co., Ltd. Information processing device, information processing system, information processing method and computer readable medium storing program
JP2014528678A (ja) * 2011-10-05 2014-10-27 マカフィー, インコーポレイテッド 悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
JP2017017527A (ja) * 2015-07-01 2017-01-19 アラクサラネットワークス株式会社 ネットワークシステム及びスイッチ
JP2017069614A (ja) * 2015-09-28 2017-04-06 富士通株式会社 ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法
KR20170060092A (ko) * 2014-09-24 2017-05-31 넷플릭스, 인크. 분산형 트래픽 관리 시스템 및 기법들
CN114697072A (zh) * 2022-02-18 2022-07-01 广州理工学院 一种云桌面统一运维控制***及控制方法

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP2005251189A (ja) * 2004-02-13 2005-09-15 Microsoft Corp ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法
JP2006012165A (ja) * 2004-06-29 2006-01-12 Microsoft Corp 増分アンチスパムのルックアップサービスおよびアップデートサービス
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
US7474655B2 (en) 2004-09-06 2009-01-06 International Business Machines Corporation Restricting communication service
US7725932B2 (en) 2004-09-06 2010-05-25 International Business Machines Corporation Restricting communication service
JPWO2007116605A1 (ja) * 2006-03-30 2009-08-20 日本電気株式会社 通信端末装置、ルール配布装置およびプログラム
WO2007116605A1 (ja) * 2006-03-30 2007-10-18 Nec Corporation 通信端末装置、ルール配布装置およびプログラム
JP2009020811A (ja) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd 通信制御システム
JP2009048574A (ja) * 2007-08-22 2009-03-05 Panasonic Corp 通信端末装置、ファイアウォールシステム及びファイアウォール方法
JP2009065294A (ja) * 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
US8151340B2 (en) 2007-09-04 2012-04-03 Fujitsu Limited Data relay device and data relay method
JP2009087163A (ja) * 2007-10-01 2009-04-23 Brother Ind Ltd ジョブ実行装置及びジョブ実行方法
US8792117B2 (en) 2008-03-25 2014-07-29 Fuji Xerox Co., Ltd. Information processing device, information processing system, information processing method and computer readable medium storing program
US10469596B2 (en) 2009-07-22 2019-11-05 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US11165869B2 (en) 2009-07-22 2021-11-02 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US9160771B2 (en) 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
JP2011113355A (ja) * 2009-11-27 2011-06-09 Ricoh Co Ltd 情報処理装置、画像形成装置、及び、情報処理方法
JP2011172030A (ja) * 2010-02-18 2011-09-01 Pc Depot Corp セキュリティシステム、管理サーバ、及びプログラム
JP2012231232A (ja) * 2011-04-25 2012-11-22 Hitachi Ltd 通信システムおよび装置
US9385991B2 (en) 2011-10-05 2016-07-05 Mcafee, Inc. Distributed system and method for tracking and blocking malicious internet hosts
JP2014528678A (ja) * 2011-10-05 2014-10-27 マカフィー, インコーポレイテッド 悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法
US10033697B2 (en) 2011-10-05 2018-07-24 Mcafee, Llc Distributed system and method for tracking and blocking malicious internet hosts
US10701035B2 (en) 2014-09-24 2020-06-30 Netflix, Inc. Distributed traffic management system and techniques
JP2017534105A (ja) * 2014-09-24 2017-11-16 ネットフリックス・インコーポレイテッドNetflix, Inc. 分散型トラフィック管理システムおよび技術
KR102390765B1 (ko) 2014-09-24 2022-04-26 넷플릭스, 인크. 분산형 트래픽 관리 시스템 및 기법들
KR20170060092A (ko) * 2014-09-24 2017-05-31 넷플릭스, 인크. 분산형 트래픽 관리 시스템 및 기법들
JP2017017527A (ja) * 2015-07-01 2017-01-19 アラクサラネットワークス株式会社 ネットワークシステム及びスイッチ
JP2017069614A (ja) * 2015-09-28 2017-04-06 富士通株式会社 ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法
CN114697072B (zh) * 2022-02-18 2023-10-31 广州理工学院 一种云桌面统一运维控制***及控制方法
CN114697072A (zh) * 2022-02-18 2022-07-01 广州理工学院 一种云桌面统一运维控制***及控制方法

Similar Documents

Publication Publication Date Title
JP2003273936A (ja) ファイアウォールシステム
US7827605B2 (en) System and method for preventing detection of a selected process running on a computer
US7356844B2 (en) System and method for computer security
US7854005B2 (en) System and method for generating fictitious content for a computer
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US7424735B2 (en) System and method for computer security using multiple cages
US8306994B2 (en) Network attached device with dedicated firewall security
US7958556B2 (en) Intrusion and misuse deterrence system employing a virtual network
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US20020162017A1 (en) System and method for analyzing logfiles
US7584506B2 (en) Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network
US8191131B2 (en) Obscuring authentication data of remote user
JP2009295187A (ja) ファイアウォールサービス提供方法
CN108810008A (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN107360178A (zh) 一种使用白名单控制网络访问的方法
US7152239B1 (en) System and method for preventing detection of a computer connection to an external device
JPH09325927A (ja) ネットワーク遠隔管理システム
JP2000163283A (ja) リモートサイトコンピュータ監視システム
US8799644B2 (en) System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP2003271474A (ja) 外部ネットワークからの不正侵入防止方法、およびプログラム
JP2020031293A (ja) ネットワーク連携システム及びネットワーク連携方法
JP2002152281A (ja) 中継装置および通信システム
Moeller Securing the NET (and Other Issues)