JP2006262141A - Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム - Google Patents
Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム Download PDFInfo
- Publication number
- JP2006262141A JP2006262141A JP2005077369A JP2005077369A JP2006262141A JP 2006262141 A JP2006262141 A JP 2006262141A JP 2005077369 A JP2005077369 A JP 2005077369A JP 2005077369 A JP2005077369 A JP 2005077369A JP 2006262141 A JP2006262141 A JP 2006262141A
- Authority
- JP
- Japan
- Prior art keywords
- address
- computer
- vlan
- terminal device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2525—Translation at a client
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】IPアドレスが固定的に与えられているコンピュータに対して他のIPアドレスを適用する。
【解決手段】
固定IPアドレスが予め与えられている端末装置TRに対して仮IPアドレスを適用する場合に、1つの仮IPアドレスと端末装置TRの固定IPアドレスとを対応付けて記憶し(#153)、端末装置TRがレイヤ3による通信を開始するまでに、その仮IPアドレスを端末装置TRに通知して与えることによって、その仮IPアドレスが端末装置TR自身のIPアドレスであるものとしてレイヤ3による通信を開始するように端末装置TRを制御する(#154)。
【選択図】図17
【解決手段】
固定IPアドレスが予め与えられている端末装置TRに対して仮IPアドレスを適用する場合に、1つの仮IPアドレスと端末装置TRの固定IPアドレスとを対応付けて記憶し(#153)、端末装置TRがレイヤ3による通信を開始するまでに、その仮IPアドレスを端末装置TRに通知して与えることによって、その仮IPアドレスが端末装置TR自身のIPアドレスであるものとしてレイヤ3による通信を開始するように端末装置TRを制御する(#154)。
【選択図】図17
Description
本発明は、コンピュータの所属するVLANを変更するためのシステムおよび方法などに関する。
近年、コンピュータウィルス(以下、「ウィルス」と記載する。)の問題が深刻化している。多くのコンピュータがネットワークを介して簡単に他のコンピュータからデータを取得できるようになりウィルスの感染経路が拡大したことが、係る問題の大きな原因である。そのほか、「セキュリティホール」と呼ばれるオペレーティングシステムやWebブラウザなどのセキュリティ上の欠陥が原因となることもある。
そこで、ウィルス対策用のソフトウェアが広く用いられている。このソフトウェアによると、ウィルスをコンピュータにダウンロードしてしまった場合にそれを駆除し、感染を防止することができる。また、ソフトウェア会社は、新たに発見されたウィルスに対処するためのウィルス定義ファイルを、ソフトウェアの購入者に配布している。
オペレーティングシステムやWebブラウザなどの提供会社は、セキュリティホールが見つかり次第、速やかにこれを修正するためのパッチファイルをユーザに配布するように努めている。
ところで、役所や企業などのオフィスで使用されるコンピュータの場合は、市民や顧客などに対する信頼を損なわないようにするために、より十分なセキュリティ対策を講じる必要がある。オフィスで使用されるコンピュータの台数は多いので、そのうちの1台にでもセキュリティ上の問題があると、他のコンピュータに悪影響を及ぼしかねない。
そこで、非特許文献1に記載されるような「検疫ネットワーク」というネットワークシステムが提案されている。この検疫ネットワークによると、例えばオフィス内の各コンピュータに最新版のウィルス定義ファイルやパッチファイルなどが正しく適用されているか否かの検査を行う。そして、適用されていないコンピュータに必要なファイルなどを配付するなどしてセキュリティ上の問題を除去する。
問題のあるコンピュータが見つかった場合は、上に述べたように他のコンピュータに悪影響を及ぼすおそれがあるので、速やかに隔離するのが望ましい。
そこで、非特許文献2に記載されるように、DHCP方式による隔離方法が提案されている。この方式によると、既存のネットワーク環境をそのまま利用して、問題のあるコンピュータを、通常の業務用のVLANから隔離用のVLANに隔離することができる。そして、隔離用のVLANにおいて、そのコンピュータに最新版のウィルス定義ファイルを適用するなどして問題を除去することができる。
"検疫ネットワークとは何か",N+I NETWORK Guide 2004年9月号第26頁〜第35頁,ソフトバンクパブリッシング株式会社 2004年9月1日 発行,正木淳雄 著 "検疫ネットワークの4方式と形態",N+I NETWORK Guide 2004年9月号第36頁〜第45頁",ソフトバンクパブリッシング株式会社 2004年9月1日 発行,佐藤隆哉 高橋謙 西村耕二 黒田由次 著
"検疫ネットワークとは何か",N+I NETWORK Guide 2004年9月号第26頁〜第35頁,ソフトバンクパブリッシング株式会社 2004年9月1日 発行,正木淳雄 著 "検疫ネットワークの4方式と形態",N+I NETWORK Guide 2004年9月号第36頁〜第45頁",ソフトバンクパブリッシング株式会社 2004年9月1日 発行,佐藤隆哉 高橋謙 西村耕二 黒田由次 著
非特許文献2に記載されるDHCP方式を用いる場合はもとより、認証スイッチ方式あるいはIEEE802.1X方式を用いる場合であっても、コンピュータを通常のVLANから他のVLANへ隔離する方式を採用する限りにおいては、DHCPから貸与されたIPアドレスを受け入れるための設定をコンピュータに対して行っておく必要がある。したがって、DHCP方式では、IPアドレスが固定的に与えられているコンピュータを隔離することはできない。
しかし、IPアドレスを固定的に与えて各コンピュータを運用管理する方法は、非常によく用いられている。また、ホストおよびサーバなどのように他のコンピュータに対して情報またはサービスを提供するコンピュータの場合は、IPアドレスが固定されていなければならないので、DHCP方式は通常用いられない。
本発明は、このような問題点に鑑み、IPアドレスが固定的に与えられているコンピュータを通常のVLANから他のVLANに隔離できるようにすることを目的とする。
本発明に係るIPアドレス適用方法は、第一のIPアドレスが予め固定的に与えられているコンピュータに対して当該第一のIPアドレスの代わりに第二のIPアドレスを適用するIPアドレス適用方法であって、前記コンピュータに前記第二のIPアドレスを適用する場合は、当該コンピュータがレイヤ3による通信を開始するまでに、当該第二のIPアドレスを当該コンピュータに通知することによって与え、当該第二のIPアドレスと当該コンピュータの前記第一のIPアドレスとを対応付けて記憶手段に記憶させ、当該コンピュータを、当該第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御し、前記コンピュータのIPアドレスを元に戻す場合は、ネットワーク接続をリセットするように当該コンピュータを制御し、当該コンピュータがレイヤ3による通信を開始するまでに、当該コンピュータに与えた前記第二のIPアドレスに対応する前記第一のIPアドレスを当該コンピュータに通知し、当該コンピュータを、通知した前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御する、ことを特徴とする。
前記IPアドレス適用方法によると、IPアドレスが予め固定的に与えられているコンピュータに別のIPアドレスを適用することができるので、当該コンピュータが所属しているVLANを変更するのに好適に用いられる。
または、VLANを変更するために、次のような装置を用いてもよい。第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するための処理を行うVLAN変更装置であって、前記コンピュータが他のコンピュータに宛てて送信した第一のデータを受信する第一の受信手段と、受信された前記第一のデータに付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該第一のデータの送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、書き換えられた前記送信元情報が付加された前記第一のデータを宛先のコンピュータに届くように転送する第一の転送手段と、前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、他のコンピュータが送信した第二のデータを受信する第二の受信手段と、受信された前記第二のデータに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該第二のIPアドレスに対応する前記第一のIPアドレスが当該第二のデータの宛先である旨を示すように書き換える、宛先書換手段と、書き換えられた前記宛先情報が付加された前記第二のデータを宛先の装置に届くように転送する第二の転送手段と、を有することを特徴とするVLAN変更装置。
本発明によると、IPアドレスが固定的に与えられているコンピュータを通常のVLANから他のVLANに隔離することができる。
請求項5に記載する発明によると、IPアドレスが固定的に与えられていたとしても、問題のあるコンピュータを隔離用のVLANに隔離し、安全にそのコンピュータをセキュリティポリシーに適合させることができる。
〔第一の実施形態〕
図1は検疫ネットワークシステムKNSの全体的な構成の例を示す図、図2は認証機能付スイッチ2の機能的構成の例を示す図、図3はルーティング許容情報RTJの例を示す図、図4はポリシー管理サーバ10の機能的構成の例を示す図である。
図1は検疫ネットワークシステムKNSの全体的な構成の例を示す図、図2は認証機能付スイッチ2の機能的構成の例を示す図、図3はルーティング許容情報RTJの例を示す図、図4はポリシー管理サーバ10の機能的構成の例を示す図である。
図1に示すように、検疫ネットワークシステムKNSは、TCP/IP(Transmission Control Protocol/Internet Protocol)ベースのネットワークシステムであって、ポリシー管理サーバ10、ウィルス管理サーバ11、パッチ管理サーバ12、資産管理サーバ13、業務サーバ15、RADIUS(Remote Authentication Dial-in User Service)サーバ17、LDAP(Lightweight Directory Access Protocol)サーバ18、およびDHCP(Dynamic Host Configuration Protocol)サーバ19などのサーバ、端末装置TR、およびこれらの装置を互いに接続するための無線LANアクセスポイント21、スイッチ22、23、およびルータ30などによって構成される。
無線LANアクセスポイント21およびスイッチ22は、レイヤ2(データリンク層)のMACアドレスによるスイッチングを行うLANスイッチである。ただし、無線LANアクセスポイント21は、無線LANカードを備えた端末装置TRと無線により通信を行い、スイッチ22は、ケーブルを介して端末装置TRと通信を行う。
無線LANアクセスポイント21およびスイッチ22には、公知のネットワークアクセス認証機能が備えられている。係る機能によると、検疫ネットワークシステムKNSの中に複数の仮想的なLAN(以下、「バーチャルLAN」または「VLAN」と記載する。)を形成し、各サーバおよび端末装置TRをいずれかのVLANに所属させることができる。以下、このような機能を持った無線LANアクセスポイント21およびスイッチ22を「認証機能付スイッチ2」と総称する。
スイッチ23は、スイッチ22と同様に、レイヤ2のMACアドレスによるスイッチングを行うLANスイッチであるが、ネットワークアクセス認証機能は備わっていなくてもよい。
本実施形態では、検疫に関する処理を実行する装置が主に所属するVLAN−A、端末装置TRのアクセス開始時における認証処理などを実行する装置が主に所属するVLAN−B、業務用のサーバなどの装置が主に所属するVLAN−C、業務用の端末装置などが主に所属するVLAN−D、および後に説明するポリシーに適合していない装置を隔離するためのVLAN−Eの5つのVLANが形成されているものとする。
ポリシー管理サーバ10、ウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13はVLAN−Aに所属し、RADIUSサーバ17、LDAPサーバ18、およびDHCPサーバ19はVLAN−Bに所属し、業務サーバ15はVLAN−Cに所属し、端末装置TRはVLAN−Dに所属する。各無線LANアクセスポイント21、スイッチ22、23、サーバ、および端末装置TRには、そのような所属になるために必要な設定がなされている。例えば、端末装置TRには、VLAN−Dに割り当てられたIPアドレスのうちのいずれか1つ、サブネットマスク、およびデフォルトゲートウェイなどが設定されている。本実施形態では、端末装置TRには、DHCP方式のように空いているIPアドレスのうちのいずれか1つが毎回貸与されるのではなく、決められたIPアドレスが固定的に付与されているものとする。以下、端末装置TRに固定的に付与されているIPアドレスを「固定IPアドレス」と記載する。
そのほか、認証機能付スイッチ2には、図2に示すようなテーブル管理部201、IPアドレス変換処理部202、ARP処理部203、およびIP変換テーブルTL1などが備えられている。これらの一部または全部を、回路によってハード的に実現してもよいし、プログラムをCPUで実行することによってソフト的に実現してもよい。
ルータ30は、レイヤ3(ネットワーク層)のIPアドレスによるルーティングを行う装置(ルータ、スイッチ)である。本実施形態のルータ30には、図3に示すような、接続可能なバーチャルLANの関係を示すルーティング許容情報RTJが設定されている。これに基づいて複数のLANまたはWAN同士が接続される。このルーティング許容情報RTJから分かるように、VLAN−Eに所属する装置は、VLAN−Aに所属する装置とIP通信を行うことはできるが、それ以外のバーチャルLANに所属する装置とIP通信を行うことは禁止されている。
ポリシー管理サーバ10ないし資産管理サーバ13は、検疫ネットワークシステムKNSに設けられている各端末装置TRおよびサーバなどの装置の検疫のための処理を実行する。以下、検疫の対象が端末装置TRである場合を例に説明する。
すなわち、ポリシー管理サーバ10は、端末装置TRにおけるコンピュータウィルス(以下、単に「ウィルス」と記載する。)対策用のアプリケーションのウィルス定義ファイルなどの適用状況、オペレーティングシステム(OS)のバグの修正、セキュリティホールの除去、または機能の向上のためのパッチファイルなどの適用状況、および業務用のアプリケーションなどの適用状況に関する管理のための処理を行う。つまり、端末装置TRが本検疫ネットワークシステムKNSで規定されるセキュリティの要件(セキュリティポリシー)を満たしているか否かおよび業務に必要なアプリケーションがインストールされているか否かなどのチェックを行う。そして、これらの要件(以下、「ポリシー」と記載する。)を満たしていない場合は、その端末装置TRに対して、必要なファイルまたはアプリケーションを適用するように指令する。そのほか、ポリシー管理サーバ10は、端末装置TRをVLAN−Eに隔離するための処理も実行する。
ウィルス管理サーバ11は、ウィルス対策に関するポリシーを満たすために必要なウィルス定義ファイルなどを有し、要求に応じて端末装置TRに配付する。パッチ管理サーバ12は、OSに関するポリシーを満たすために必要なパッチファイルなどを有し、要求に応じて端末装置TRに配付する。資産管理サーバ13は、業務に関するポリシーを満たすために必要なアプリケーションなどを有し、要求に応じて端末装置TRに配付する。
業務サーバ15は、端末装置TRのユーザが通常の業務を行うために使用するサーバである。例えば、ファイルサーバ、WWWサーバ、メールサーバ、およびデータベースサーバなどが業務サーバ15に該当する。
RADIUSサーバ17は、RADIUSプロトコルによるユーザ認証用のサーバである。LDAPサーバ18は、LDAPプロトコルによるアクセス管理用のサーバである。DHCPサーバ19は、DHCPプロトコルによって、端末装置TRに対してIPアドレスなどを自動設定するサーバである。本実施形態では、前に述べたように、各端末装置TRにはそれぞれ固有のIPアドレス(固定IPアドレス)が与えられている。したがって、DHCPサーバ19は、これらの端末装置TRのためには使用されない。
端末装置TRは、TCP/IPによるネットワーク機能を有するパーソナルコンピュータまたはワークステーションなどであって、オペレーティングシステム、業務用のアプリケーション、およびウィルス対策用のアプリケーションなどがインストールされている。また、上述の通り、VLAN−Dに所属するための固定的なIPアドレスが割り振られている。
ポリシー管理サーバ10のハードディスクには、図4に示すようなポリシー情報取得部101、端末検査処理部102、IP情報取得部103、仮IPアドレス管理部104、アドレス貸与情報送信部105、VLAN設定指示部106、ポリシー管理テーブルTL2、およびIP管理テーブルTL3などの機能を実現するためのプログラムおよびデータがインストールされている。これらのプログラムおよびデータは必要に応じてRAMにロードされ、CPUによってプログラムが実行される。ポリシー管理サーバ10以外のサーバは、既存のものを用いればよい。
図5はIP管理テーブルTL3の例を示す図、図6はIP変換テーブルTL1の例を示す図、図7はテーブル管理部201の構成の例を示す図、図8はIPアドレス変換処理部202の構成の例を示す図、図9はARP処理部203の構成の例を示す図である。
次に、図4のポリシー管理サーバ10および図2の認証機能付スイッチ2の各部の処理内容などについて説明する。
図4において、ポリシー管理サーバ10のポリシー管理テーブルTL2には、どのような種類およびバージョンのウィルス定義ファイル、パッチファイル、および業務用のアプリケーションなどを端末装置TRに適用しておかなければならないのかを示す情報が格納されている。つまり、検疫ネットワークシステムKNSにおける端末装置TRのポリシーに関する情報が格納されている。係る情報は、新しいウィルス定義ファイル、パッチファイル、またはアプリケーションなどが提供されるごとに、必要に応じて更新される。
IP管理テーブルTL3には、図5に示すように、仮IP情報、固定IP情報、およびNAS情報を含むレコードが複数格納されている。仮IP情報は、仮IPアドレスおよびその使用状況を示している。
「仮IPアドレス」とは、端末装置TRをVLAN−Eに隔離する際にその端末装置TRに対して一時的に貸与するためのIPアドレスであって、予め用意されている。「使用状況」は、その仮IPアドレスが現在いずれかの端末装置TRに貸与されているか否かを示す。貸与されている場合(つまり、使用中である場合)には「塞」という値が格納され、貸与されていない場合(つまり、未使用の場合)は、「空」という値が格納される。DHCP方式の場合と同様に、1つの仮IPアドレスを複数台の端末装置TRに対して同時に貸与することはできない。
固定IP情報は、その仮IPアドレスが現在貸与されている端末装置TRの固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイを示している。NAS情報は、その端末装置TRが接続されている認証機能付スイッチ2に関する情報である。「ポート番号」は、その端末装置TRが認証機能付スイッチ2のいずれのポート(コネクタまたは無線のチャンネル)に接続されているかを示している。「NAS−IPアドレス」は、その認証機能付スイッチ2に与えられているIPアドレスである。
図4に戻って、ポリシー情報取得部101は、認証機能付スイッチ2などの装置を介して端末装置TRからポリシー情報71を取得する。ポリシー情報71は、その端末装置TRに現在適用されているウィルス定義ファイル、パッチファイル、および業務用のアプリケーションなどの種類およびバージョンを示している。
端末検査処理部102は、端末装置TRから取得されたポリシー情報71をポリシー管理テーブルTL2と照合することによって、その端末装置TRが検疫ネットワークシステムKNSのポリシーに適合しているか否かを検査する。この際に、適合していない個所を判別する。例えば、ポリシー情報71に示されるウィルス定義ファイルのバージョンとポリシー管理テーブルTL2に示されるそれとが一致しない場合は、ウィルス定義ファイルがポリシーに適合していないと判別する。
IP情報取得部103は、認証機能付スイッチ2などの装置を介して端末装置TRからIP情報72を取得する。IP情報72は、その端末装置TRに現在設定されているIPアドレス、サブネットマスク、およびデフォルトゲートウェイなどを示している。
仮IPアドレス管理部104は、IP管理テーブルTL3に登録されている仮IPアドレスを端末装置TRに貸与する処理および貸与する必要がなくなった仮IPアドレスを開放する処理など、仮IPアドレスの管理のための処理を行う。
アドレス貸与情報送信部105は、仮IPアドレスの貸与に関する情報を認証機能付スイッチ2に送信する。VLAN設定指示部106は、端末装置TRのVLANの所属を設定する旨の指示を認証機能付スイッチ2に対して与える。
図2において、認証機能付スイッチ2のIP変換テーブルTL1には、図6に示すように、その認証機能付スイッチ2のポートに接続されている端末装置TRのうち仮IPアドレスが適用されている端末装置TRに関する情報が格納されている。つまり、端末装置TRが接続されているポートのポート番号、その端末装置TRに現在貸与されている仮IPアドレス、その端末装置TRの固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイに関する情報が格納されている。
テーブル管理部201は、図7に示すように、アドレス貸与情報受信部241、レコード追加処理部242、およびレコード削除処理部243などによって構成されており、IP変換テーブルTL1の管理のための処理を行う。
IPアドレス変換処理部202は、図8に示すように、上りデータ受信部251、発側IP変換処理部252、上りデータ転送部253、下りデータ受信部254、宛先IP変換処理部255、および下りデータ転送部256などによって構成されており、仮IPアドレスが貸与されている端末装置TRから発信されたパケットの発側IPアドレスを変更する処理および仮IPアドレスに宛てて発信されたパケットの宛先IPアドレスを変更する処理を行う。
ARP処理部203は、図9に示すように、ARP要求受信部261、ARP応答設定部262、およびARP応答送信部263などによって構成されており、デフォルトゲートウェイのMACアドレスに関する問合せに回答するための処理を行う。テーブル管理部201、IPアドレス変換処理部202、およびARP処理部203を構成する各部の処理内容については、後に順次説明する。
図10は端末装置TRのネットワーク機能が起動してから検査処理を実行するまでの間における検疫ネットワークシステムKNSの各装置の処理の流れの例を説明するフローチャート、図11は治療のための処理を実行する際の検疫ネットワークシステムKNSの各装置の処理の流れの例を説明するフローチャート、図12はARP応答情報の例を示す図、図13はIPアドレスの変換処理の例を示す図、図14は仮IPアドレスを開放する際の検疫ネットワークシステムKNSの各装置の処理の流れの例を説明するフローチャートである。
次に、端末装置TRの検疫を行う際の検疫ネットワークシステムKNSの各装置の処理の手順を、フローチャートを参照して説明する。
端末装置TRに電源が投入され、端末装置TRが認証機能付スイッチ2に接続されると(図10の#101)、従来と同様にステップ#102〜#105の処理を実行する。すなわち、リンク確立の処理(有線LANの場合はIEEE802.3で規定されるリンク確立シーケンス、無線LANの場合はIEEE802.11で規定されるリンク確立シーケンス)を実行することによって、レイヤ2レベルでの端末装置TRと認証機能付スイッチ2との通信を確立する(#102)。
RADIUSサーバ17は、例えばIEEE802.1XのEAP(Extensible Authentication Protocol)認証におけるTLS(Transport Layer Security)によるトンネル確立シーケンスを実行する(#103)。これにより、後に端末装置TRにEAPサクセスが送信されるまで、端末装置TR、認証機能付スイッチ2、ポリシー管理サーバ10、およびRADIUSサーバ17の各装置の間の通信は、暗号化通信となる。
ユーザIDおよびパスワードなどの認証用の情報が、端末装置TRから認証機能付スイッチ2を経由してポリシー管理サーバ10に送信され、さらにRADIUSサーバ17およびLDAPサーバ18などに転送される(#104)。認証用の情報は、上に述べたように、暗号化通信によってRADIUSサーバ17およびLDAPサーバ18に届けられる。
認証用の情報を受信した各サーバは、端末装置TRの認証処理を行い、認証結果およびユーザIDに対応する端末装置TRのVLANの識別情報をポリシー管理サーバ10に回答する(#105)。
認証がOKである旨の結果が得られた場合は、ポリシー管理サーバ10のポリシー情報取得部101(図4参照)は、端末装置TRからポリシー情報71を取得する。つまり、認証機能付スイッチ2を介して端末装置TRに対してポリシー情報71を要求する(#106)。すると、端末装置TRは、この要求に従って、現在の端末装置TR自身のポリシーの適用状況を示すポリシー情報71をポリシー管理サーバ10に送信する(#107)。
これと並行してまたは前後して、ポリシー管理サーバ10のIP情報取得部103は、端末装置TRからIP情報72を取得する。つまり、認証機能付スイッチ2を介して端末装置TRに対してIP情報72を要求する(#108)。すると、端末装置TRは、端末装置TR自身の固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイなどを示すIP情報72をポリシー管理サーバ10に送信する(#109)。
端末検査処理部102は、最新のポリシー管理テーブルTL2および端末装置TRから取得したポリシー情報71に基づいて、端末装置TRにおけるポリシーの適合状況を検査する(#110)。
検査の結果に応じて、検疫ネットワークシステムKNSの各装置は、次のような処理を行う。端末装置TRがポリシーに適合している旨の検査結果が得られた場合は、ポリシー管理サーバ10のVLAN設定指示部106は、その端末装置TRを通常通りにVLAN−Dのメンバーに加えることを許可し、そのための設定を行うように認証機能付スイッチ2に対して指示する。すると、認証機能付スイッチ2は、その端末装置TRが接続されているポートにVLAN−Dの設定を行い、EAPサクセスを送信する。そして、従来と同様に種々の必要な処理が実行された後、端末装置TRは、レイヤ3レベルでの通信が可能となり、VLAN−Dに所属する装置となる。これにより、ユーザは、端末装置TRを通常通りに業務などのために使用することができるようになる。
なお、ステップ#101〜#105の処理の結果、認証が得られなかった場合は、端末装置TRのユーザに対して警告を行い、ユーザIDおよびパスワードの再入力を求め、再認証のための処理を行う。認証がOKである旨の結果が得られるまで、VLAN−Dへの接続は認められない。
一方、端末装置TRがポリシーに適合していない旨の検査結果が得られた場合は、ユーザにその旨を警告した後、検疫ネットワークシステムKNSの各装置は、図11に示すような手順で、その端末装置TRをポリシーに適合させるための処理を行う。
図11において、ポリシー管理サーバ10は、IP管理テーブルTL3(図5参照)の中から現在使用されていない(使用状況が「空」である)仮IPアドレスを検索し(#121)、そのうちのいずれか1つの仮IPアドレスをその端末装置TRに貸与する。貸与の処理は、次のようにして行われる。
仮IPアドレス管理部104は、その使用されていない仮IPアドレスのレコードの固定IPアドレス、サブネットマスク、デフォルトゲートウェイの項目に、図10のステップ#109で取得したその端末装置TRのIP情報72を書き込んで登録する(#122)。この際に、その端末装置TRが接続されている認証機能付スイッチ2に対して、その端末装置TRのポート番号およびその認証機能付スイッチ2自身のIPアドレスを問い合わせ、そのレコードのNAS情報に書き込んでおく。さらに、使用状況を「空」から「塞」に更新しておく。登録の処理と並行してまたは前後して、アドレス貸与情報送信部105は、その端末装置TRに仮IPアドレスが貸与された旨を、その仮IPアドレス、その端末装置TRの固定IPアドレス、サブネットマスク、デフォルトゲートウェイ、およびポート番号を示す仮IP貸与情報73を送信することによって、認証機能付スイッチ2に通知する。このとき、その端末装置TRに対してその仮IPアドレスを登録するように要求する(#123)。
認証機能付スイッチ2において、テーブル管理部201のアドレス貸与情報受信部241(図7参照)が仮IP貸与情報73を受信すると、レコード追加処理部242は、IP変換テーブルTL1(図6参照)に新たなレコードを生成し、受信した仮IP貸与情報73の内容をそのレコードに書き込むことによって、端末装置TRに貸与された仮IPアドレスを登録する(#124)。そして、登録が完了した旨をポリシー管理サーバ10に通知する(#125)。
ポリシー管理サーバ10のVLAN設定指示部106は、認証機能付スイッチ2に対して指示を与え、その端末装置TRがVLAN−Eに所属するようにポートの設定を行わせる(#126、#127)。設定後、認証機能付スイッチ2は、その端末装置TRに対してEAPサクセスを送信する(#128)。
ところで、端末装置TRは、必要なファイルおよびアプリケーションをダウンロードしてポリシーに適合させるために、ウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13とIP通信を行う必要がある。よって、これらのサーバが所属するバーチャルLANへ抜けるためのデフォルトゲートウェイのMACアドレスを知る必要がある。しかし、端末装置TRが通常時に認識しているデフォルトゲートウェイのIPアドレスは業務用のネットワークすなわちVLAN−DにおけるIPアドレスである。したがって、このままでは、端末装置TRは、これらのサーバとIP通信を行うことができない。そこで、認証機能付スイッチ2は、次のように、デフォルトゲートウェイを代理するための処理を行う。
端末装置TRは、デフォルトゲートウェイのMACアドレスの情報を得るために、認証機能付スイッチ2に対してARP(Address Resolution Protocol)要求を行う(#129)。認証機能付スイッチ2において、ARP処理部203のARP要求受信部261(図9参照)が係るARP要求を受信すると(#129)、ARP応答設定部262は、図6のIP変換テーブルTL1を参照し、要求元の端末装置TRに対して仮IPアドレスが貸与されているか否かをチェックする。そして、今回の端末装置TRのように仮IPアドレスが貸与されている場合は、図12(a)に示すような、デフォルトゲートウェイのIPアドレスには認証機能付スイッチ2のMACアドレスが対応している旨を示すARP応答情報を設定する(#130)。ARP応答送信部263は、そのARP応答情報を端末装置TRに送信する(#131)。
端末装置TRは、受信したARP応答情報に基づいて、デフォルトゲートウェイのMACアドレスが認証機能付スイッチ2のMACアドレスであると認識する。そして、端末装置TRは、レイヤ3の通信を開始する。
なお、端末装置TRに仮IPアドレスが貸与されていない場合は、図12(b)に示すように、本来のデフォルトゲートウェイのMACアドレスがARP応答情報に設定され、端末装置TRに送信される。
端末装置TRは、ポリシーを適用するための処理(以下、「治療」と記載することがある。)を開始する(#132)。治療は、例えば、次のようにして実行される。
端末装置TRは、ウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13に対して、最新のウィルス定義ファイル、バッチファイル、および業務用のアプリケーションなどを要求する。すると、これらのサーバは、端末装置TRに不足しているファイルおよびアプリケーションなどを送信する。
ただし、このとき、端末装置TRと各サーバとの間でやり取りされるパケットに対して、認証機能付スイッチ2のIPアドレス変換処理部202によって次のような処理が施される。
図8において、上りデータ受信部251が端末装置TRからのパケット(例えば、ウィルス定義ファイルの要求情報のパケット)を受信すると、発側IP変換処理部252は、図6のIP変換テーブルTL1に基づいて発信側のIPアドレス(発側IPアドレス)を端末装置TRの固定IPアドレスから仮IPアドレスに書き換える。例えば、ポート番号が「01」のポートに接続されている端末装置TRからのパケットの場合は、図13(a)のように書き換える。
上りデータ転送部253は、発側IPアドレスが変換されたパケットを、そのパケット上の宛先IPアドレスに基づいて認証機能付スイッチ2自身のデフォルトゲートウェイ(L3−SW/Router)に向けて転送する。そして、そのパケットは、そのデフォルトゲートウェイおよびその他のノードを経由して宛先のサーバに届けられる。
パケットを受信したサーバは、そのパケットがVLAN−Eに所属する装置から送信されてきたと認識する。そして、従来と同様に、治療のために必要なファイルおよびアプリケーションなどを、受信したパケットの発側IPアドレスに向けて送信する。ここでは、受信したパケットの発側IPアドレスとして仮IPアドレスが用いられているため、ファイルおよびアプリケーションは、認証機能付スイッチ2を中継することになる。
下りデータ受信部254がサーバから送信されたファイルまたはアプリケーションのパケットを受信すると、宛先IP変換処理部255は、IP変換テーブルTL1に基づいて宛先のIPアドレス(宛先IPアドレス)を端末装置TRの仮IPアドレスから固定IPアドレスに書き換える。例えば、サーバから送信されてきた宛先IPアドレスが「192.168.11.11」である場合は、図13(b)に示すように、「192.168.10.21」に書き換える。そして、下りデータ転送部256は、宛先IPアドレスが変換されたパケットを端末装置TRに転送する。
このように、IPアドレス変換処理部202のIPアドレスの変換処理によると、ウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13などの装置は、端末装置TRのIPアドレスとして仮IPアドレスが設定されているように見える。
図11に戻って、端末装置TRは、ウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13から必要なファイルおよびアプリケーションなどを受信し、これを適用する(#133)。また、端末装置TRの中からウィルスが発見された場合は、これを駆除する。これにより、治療の処理が完了する。
治療の処理の完了後、端末装置TRを必要に応じて再起動し、ウィルス定義ファイルなどが正しく適用されているか否かをもう一度検査する。検査の処理の流れは、前に図10で説明した通りである。
再検査の結果、端末装置TRにポリシーが正しく適用されたと判別された場合は、ポリシー管理サーバ10および認証機能付スイッチ2は、図14に示すような手順で端末装置TRを通常所属するバーチャルLANすなわちVLAN−Dに再び所属させるための処理を実行する。
ポリシー管理サーバ10は、端末装置TRにポリシーが正しく適用されている旨の通知を受けると、IP管理テーブルTL3(図5参照)に基づいて、その端末装置TRに貸与されている仮IPアドレスを検索する(図14の#141)。検索された仮IPアドレスを認証機能付スイッチ2に通知することによって、その仮IPアドレスを削除するように要求する(#142)。
認証機能付スイッチ2において、レコード削除処理部243(図7参照)は、ポリシー管理サーバ10から通知された仮IPアドレスのレコードをIP変換テーブルTL1(図6参照)の中から検索し、そのレコードを削除する(#143)。削除が完了した後、その旨をポリシー管理サーバ10に通知する(#144)。
ポリシー管理サーバ10は、認証機能付スイッチ2からの通知を受けると、IP管理テーブルTL3に格納されている、その仮IPアドレスに対応付けられている固定IP情報およびNAS情報を削除するとともに、使用状況を「塞」から「空」に更新する(#145)。
ポリシー管理サーバ10は、認証機能付スイッチ2に対して指示を与え、その端末装置TRがVLAN−Dに所属するようにポートの設定を行わせる(#146、#147)。設定後、認証機能付スイッチ2は、その端末装置TRに対してEAPサクセスを送信する(#148)。
そして、端末装置TRは、EAPサクセスを受信し、従来と同様に種々の必要な処理を実行した後、レイヤ3レベルでの通信を開始する。これにより、端末装置TRはVLAN−Dに所属する装置となり、ユーザは、その端末装置TRを業務サーバ15などと接続させて業務のために使用することができる(#149)。
なお、ステップ#143、#147の処理後、その端末装置TRは仮IPアドレスが貸与されていない状態になる。よって、認証機能付スイッチ2は、ここでは、図9および図12で説明したMACアドレスの変更処理および図8および図13で説明したパケット上のIPアドレスの変換処理を実行しない。
本実施形態によると、端末装置TRにおいてIPアドレスなどに関する設定を変更することなく、ポリシーに適合しない端末装置TRをVLAN−Eに隔離し、治療を行うことができる。
〔第二の実施形態〕
図15はポリシー管理サーバ10Bの機能的構成の例を示す図、図16はIP管理テーブルTL4の例を示す図である。
図15はポリシー管理サーバ10Bの機能的構成の例を示す図、図16はIP管理テーブルTL4の例を示す図である。
第一の実施形態では、図8および図13で説明したように、認証機能付スイッチ2においてパケット上のIPアドレスの変換処理を行うことによって、仮IPアドレスを間接的に端末装置TRに適用した。第二の実施形態では、仮IPアドレスを端末装置TRに直接設定することによって適用する。
第一の実施形態における検疫ネットワークシステムKNSの全体的な構成は、基本的に図1に示す第一の実施形態の場合と同じである。ただし、ポリシー管理サーバ10、認証機能付スイッチ2、および端末装置TRの機能的構成および処理内容に相違点がある。以下、係る相違点を中心に説明する。第一の実施形態と重複する個所の説明は省略する。なお、第二の実施形態のポリシー管理サーバ、認証機能付スイッチ、および端末装置を、第一の実施形態のそれらと区別するために、それぞれ、「ポリシー管理サーバ10B」、「認証機能付スイッチ2B」、および「端末装置TRB」と記載する。
認証機能付スイッチ2Bには、ポリシー管理サーバ10Bからの指令に従って、端末装置TRBがVLAN−AないしVLAN−Eのいずれかに所属するようにポートの設定を行う機能が設けられている。第一の実施形態のテーブル管理部201、IPアドレス変換処理部202、ARP処理部203、およびIP変換テーブルTL1のような機能は不要である。
ポリシー管理サーバ10Bのハードディスクには、図15に示すようなポリシー情報取得部1B1、端末検査処理部1B2、IP情報取得部1B3、仮IPアドレス管理部1B4、仮IPアドレス貸与部1B5、VLAN設定指示部1B6、ポリシー管理テーブルTL2’、およびIP管理テーブルTL4をなどの機能を実現するためのプログラムおよびデータがインストールされている。
ポリシー情報取得部1B1、端末検査処理部1B2、IP情報取得部1B3、仮IPアドレス管理部1B4、VLAN設定指示部1B6、およびポリシー管理テーブルTL2’は、それぞれ、第一の実施形態のポリシー情報取得部101、端末検査処理部102、IP情報取得部103、仮IPアドレス管理部104、VLAN設定指示部106、およびポリシー管理テーブルTL2(図4参照)と同様の処理を行う。
仮IPアドレス貸与部1B5は、検査によってポリシーに適合していないと判別された端末装置TRBに対して、VLAN−Eに隔離するための仮IPアドレスを貸与する処理を実行する。
IP管理テーブルTL4は、図16に示すように、VLAN−Eに隔離するために端末装置TRBに対して貸与する仮IPアドレスなどに関する情報が格納されている。「仮IP情報」は、貸与対象の仮IPアドレスのほか、その仮IPアドレスとともに端末装置TRBに設定するサブネットマスクおよびデフォルトゲートウェイを示している。「使用状況」は、その仮IPアドレスが現在使用(貸与)されているか否かを示す。「固定IP情報」は、現在その仮IPアドレスが貸与されている端末装置TRBの固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイを示す。
図17は治療のための処理を実行する際の検疫ネットワークシステムKNSの各装置の処理の流れの例を説明するフローチャート、図18は仮IPアドレスを開放する際の検疫ネットワークシステムKNSの各装置の処理の流れの例を説明するフローチャートである。
次に、第二の実施形態における、端末装置TRBの検疫を行う際の検疫ネットワークシステムKNSの各装置の処理の手順を、フローチャートを参照して説明する。
端末装置TRBの検査までの処理の流れは、第一の実施形態の場合と同様であり、図10で説明した通りである。
なお、図10の処理において、ポリシー管理サーバ10Bは、端末装置TRBのウィルス定義ファイルなどの適用状況を示すポリシー情報71およびIPアドレスなどを示すIP情報72を取得する。また、端末装置TRBと認証機能付スイッチ2Bとの間の通信は、図10の処理が終わった時点では、未だレイヤ2レベルである。
検査の結果、ポリシーに適合していないと判別された場合は、端末装置TRBをVLAN−Eに隔離して治療を行う。第二の実施形態では、検疫ネットワークシステムKNSの各装置は、図17に示すような手順でこれらの処理を行う。
ポリシー管理サーバ10Bは、端末装置TRBのIP情報72に基づいて、端末装置TRBに現在設定されているIPアドレスが固定IPアドレスであるか仮IPアドレスであるかをチェックする(図17の#151)。固定IPアドレスが設定されている場合は、端末装置TRBは、VLAN−Eに所属してIP通信を行うことができない。
そこで、ポリシー管理サーバ10Bは、図16のIP管理テーブルTL4の中から現在貸与されていない(つまり、使用状況が「空」である)仮IPアドレスを1つ検索し(#152)、その仮IPアドレスをその端末装置TRBに貸与する(#153)。このとき、IP管理テーブルTL4において、その仮IPアドレスにその端末装置TRBの固定IPアドレスなどを対応付けるとともに、使用状況を「空」から「塞」に更新する。
ステップ#153の処理と並行してまたは前後して、ポリシー管理サーバ10Bは、貸与した仮IPアドレスとともにそれに対応するサブネットマスクおよびデフォルトゲートウェイを、認証機能付スイッチ2Bを介して通知することによって、その仮IPアドレスなどを適用するようにその端末装置TRBに対して要求する(#154)。
端末装置TRBは、ポリシー管理サーバ10Bから通知された仮IPアドレス、サブネットマスク、およびデフォルトゲートウェイを、端末装置TRB自身のネットワークの設定として適用する(#155)。すなわち、例えば端末装置TRBのOSがWindows(登録商標)である場合は、レジストリ上のIPアドレス情報に、これらの仮IPアドレス、サブネットマスク、およびデフォルトゲートウェイを書き込む。これにより、その端末装置TRBのIPアドレスが固定IPアドレスから仮IPアドレスに変更される。そして、端末装置TRBは、仮IPアドレスの適用を完了した旨を、認証機能付スイッチ2Bを介してポリシー管理サーバ10Bに通知する(#156)。
ポリシー管理サーバ10Bは、認証機能付スイッチ2Bに対して指示を与え、その端末装置TRBがVLAN−Eに所属するようにポートの設定を行わせる(#157、#158)。認証機能付スイッチ2Bは、その端末装置TRBに対してEAPサクセスを送信する(#159)。
端末装置TRBは、EAPサクセスを受信し、従来と同様に種々の必要な処理を実行した後、レイヤ3レベルでの通信を開始する。これにより、端末装置TRBは、VLAN−Eに所属する装置となる。そして、必要に応じてウィルス管理サーバ11、パッチ管理サーバ12、および資産管理サーバ13からファイルおよびアプリケーションなどをダウンロードし、これを適用することによって治療を行う(#160)。治療後、現在の通信のリセットなどを行うために端末装置TRを再起動させる(#161)。
端末装置TRBの再起動後、第一の実施形態の場合と同様に、図10で説明したような手順で、ウィルス定義ファイルなどがその端末装置TRBに正しく適用されているか否かをもう一度検査する。
再検査の結果、ポリシーが正しく適用されたと判別された場合は、ポリシー管理サーバ10Bおよび認証機能付スイッチ2Bは、図18に示すような手順で、端末装置TRBの所属を通常のバーチャルLANすなわちVLAN−Dに戻すための処理を実行する。
ポリシー管理サーバ10Bは、端末装置TRBのIP情報72に基づいて、端末装置TRBに現在設定されているIPアドレスが固定IPアドレスであるか仮IPアドレスであるかをチェックする(図18の#171)。ここでは、仮IPアドレスが設定されたままであることが分かる。そこで、ポリシー管理サーバ10Bは、端末装置TRBのIPアドレスを固定IPアドレスに戻すための処理を開始する。
その端末装置TRBに現在設定されている仮IPアドレスを図16のIP管理テーブルTL4の中から検索する(#172)。その仮IPアドレスに対応付けられている固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイを、認証機能付スイッチ2Bを介して端末装置TRBに通知することによって、その固定IPアドレスなどを適用するようにその端末装置TRBに対して要求する(#173)。
端末装置TRBは、ポリシー管理サーバ10Bから通知された固定IPアドレス、サブネットマスク、およびデフォルトゲートウェイを、端末装置TRB自身のネットワークの設定として適用する(#174)。すなわち、例えば端末装置TRBのOSがWindowsである場合は、前に述べたように、レジストリ上のIPアドレス情報に、これらの仮IPアドレスなどを書き込む。これにより、その端末装置TRBのIPアドレスが固定IPアドレスに変更される。そして、端末装置TRBは、固定IPアドレスの適用を完了した旨を、認証機能付スイッチ2Bを介してポリシー管理サーバ10Bに通知する(#175)。
ポリシー管理サーバ10Bは、係る通知を受信すると、その端末装置TRBに貸与していた仮IPアドレスのレコード(図16参照)から固定IP情報を削除するとともに、その使用状況を「塞」から「空」に更新する(#176)。これにより、その仮IPアドレスが開放される。認証機能付スイッチ2Bに対して指示を与え、その端末装置TRBがVLAN−Dに所属するようにポートの設定を行わせる(#177、#178)。認証機能付スイッチ2Bは、その端末装置TRBに対してEAPサクセスを送信する(#179)。
そして、端末装置TRBは、EAPサクセスを受信し、従来と同様に種々の必要な処理を実行した後、レイヤ3レベルでの通信を開始する。これにより、端末装置TRBは、VLAN−Dに所属する装置となる。ユーザは、端末装置TRBを業務サーバ15などと接続させ、業務のために使用することができる(#180)。
第二の実施形態によると、VLAN−DのIPアドレスが固定的に与えられている端末装置TRに対して、VLAN−EのIPアドレスを適用することができる。
第一および第二の実施形態では、端末装置TRを検疫する場合を例に説明したが、本発明を業務サーバ15などのサーバおよびその他の通信機器の検疫のために適用することも可能である。
その他、検疫ネットワークシステムKNS、ポリシー管理サーバ10、認証機能付スイッチ2の全体または各部の構成、処理内容、処理順序、テーブルの内容などは、本発明の趣旨に沿って適宜変更することができる。
以上説明した実施形態に関し、さらに以下の付記を開示する。
(付記1)
第一のIPアドレスが予め固定的に与えられているコンピュータに対して当該第一のIPアドレスの代わりに第二のIPアドレスを適用するIPアドレス適用方法であって、
前記コンピュータに前記第二のIPアドレスを適用する場合は、
当該コンピュータがレイヤ3による通信を開始するまでに、当該第二のIPアドレスを当該コンピュータに通知することによって与え、
当該第二のIPアドレスと当該コンピュータの前記第一のIPアドレスとを対応付けて記憶手段に記憶させ、
当該コンピュータを、当該第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御し、
前記コンピュータのIPアドレスを元に戻す場合は、
ネットワーク接続をリセットするように当該コンピュータを制御し、
当該コンピュータがレイヤ3による通信を開始するまでに、当該コンピュータに与えた前記第二のIPアドレスに対応する前記第一のIPアドレスを当該コンピュータに通知し、
当該コンピュータを、通知した前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御する、
ことを特徴とするIPアドレス適用方法。
(付記2)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するための処理を行うVLAN変更装置であって、
前記コンピュータが他のコンピュータに宛てて送信した第一のデータを受信する第一の受信手段と、
受信された前記第一のデータに付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該第一のデータの送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記第一のデータを宛先のコンピュータに届くように転送する第一の転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
他のコンピュータが送信した第二のデータを受信する第二の受信手段と、
受信された前記第二のデータに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該第二のIPアドレスに対応する前記第一のIPアドレスが当該第二のデータの宛先である旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記第二のデータを宛先の装置に届くように転送する第二の転送手段と、
を有することを特徴とするVLAN変更装置。
(付記3)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを管理するサーバが設けられており、前記コンピュータと当該コンピュータの通信相手の装置との間に両者間でやり取りされるデータを中継する中継装置が設けられており、
前記サーバは、
1つまたは複数の前記第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを前記中継装置に通知することによって、所属を前記第二のVLANに変更する前記コンピュータに対して当該第二のIPアドレスを貸与する、IPアドレス貸与手段と、を有し、
前記中継装置は、
前記サーバから前記コンピュータに対して前記第二のIPアドレスが貸与された場合に、当該コンピュータから前記通信相手の装置に宛てて送信された中継対象のデータに付加されている送信元情報を、当該データの送信元のIPアドレスが当該第二のIPアドレスである旨を示すように書き換える、送信元書換手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記通信相手の装置から送信された中継対象のデータに付加されている宛先情報に前記第二のIPアドレスが示されている場合に、当該宛先情報を、当該データの宛先のIPアドレスが当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、を有する、
ことを特徴とするVLAN変更システム。
(付記4)
前記コンピュータが所属するVLANを前記第二のVLANから前記第一のVLANに戻す場合は、
前記送信元書換手段は、当該コンピュータが送信した中継対象のデータに付加されている前記宛先情報を書き換える処理を中止し、
当該コンピュータに貸与した前記第二のIPアドレスに対応付けていた前記第一のIPアドレスを前記貸与IPアドレス記憶手段および前記IPアドレス対応記憶手段から削除する、
付記3記載のVLAN変更システム。
(付記5)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
所属を前記第二のVLANに変更する前記コンピュータに対して、現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを、当該コンピュータがレイヤ3による通信を開始するまでに通知することによって貸与する、IPアドレス貸与手段と、
前記コンピュータに、貸与した前記第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、制御手段と、
を有することを特徴とするVLAN変更システム。
(付記6)
前記コンピュータが所属するVLANを前記第二のVLANから前記第一のVLANに戻す場合は、
前記貸与IPアドレス記憶手段は、当該コンピュータに貸与した前記第二のIPアドレスに対応付けていた前記第一のIPアドレスを削除し、
前記制御手段は、当該コンピュータに、通信をリセットさせ、当該コンピュータの前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、
付記5記載のVLAN変更システム。
(付記7)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータの検疫処理を実行する検疫処理システムであって、
前記コンピュータがセキュリティポリシーに適合しているか否かの検査を行う検査手段と、前記セキュリティポリシーに適合させるために必要なデータであるポリシー用データを第二のVLANに所属する装置に対して送信するポリシー用データ配付サーバと、が設けられており、前記コンピュータと前記ポリシー用データ配付サーバとの間に中継装置が設けられており、
前記中継装置は、
前記コンピュータが前記ポリシー用データ配付サーバに対して送信した、必要な前記ポリシー用データを要求する要求情報を受信する、要求情報受信手段と、
受信された前記要求情報に付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該要求情報の送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記要求情報を前記ポリシー用データ配付サーバに転送する要求情報転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記ポリシー用データ配付サーバが送信した前記ポリシー用データを受信するポリシー用データ受信手段と、
受信された前記ポリシー用データに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該ポリシー用データの宛先が当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記ポリシー用データを宛先の装置に転送するポリシー用データ転送手段と、を有する、
ことを特徴とする検疫処理システム。
(付記8)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータの検疫処理を実行する検疫処理システムであって、
前記コンピュータがセキュリティポリシーに適合しているか否かの検査を行う検査手段と、前記セキュリティポリシーに適合させるために必要なデータであるポリシー用データを第二のVLANに所属する装置に対して送信するポリシー用データ配付サーバと、前記コンピュータが所属するVLANを前記第一のVLANから前記第二のVLANに変更するVLAN変更システムと、が設けられており、
前記第一のVLANに所属する装置と前記ポリシー用データ配付サーバとの間の通信を禁止するように設定されたネットワーク接続装置が前記コンピュータと前記ポリシー用データ配付サーバとの間に設けられており、
前記VLAN変更システムは、
前記第二のVLANのIPアドレスである第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、IPアドレス記憶手段と、
前記セキュリティポリシーに適合していないと前記検査手段によって判別された前記コンピュータに対して、現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを、当該コンピュータがレイヤ3による通信を開始するまでに通知することによって貸与する、IPアドレス貸与手段と、
前記コンピュータに、貸与した前記第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、制御手段と、を有し、
前記ポリシー用データ配付サーバは、要求された前記ポリシー用データを要求元の装置に送信する、
ことを特徴とする検疫処理システム。
(付記1)
第一のIPアドレスが予め固定的に与えられているコンピュータに対して当該第一のIPアドレスの代わりに第二のIPアドレスを適用するIPアドレス適用方法であって、
前記コンピュータに前記第二のIPアドレスを適用する場合は、
当該コンピュータがレイヤ3による通信を開始するまでに、当該第二のIPアドレスを当該コンピュータに通知することによって与え、
当該第二のIPアドレスと当該コンピュータの前記第一のIPアドレスとを対応付けて記憶手段に記憶させ、
当該コンピュータを、当該第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御し、
前記コンピュータのIPアドレスを元に戻す場合は、
ネットワーク接続をリセットするように当該コンピュータを制御し、
当該コンピュータがレイヤ3による通信を開始するまでに、当該コンピュータに与えた前記第二のIPアドレスに対応する前記第一のIPアドレスを当該コンピュータに通知し、
当該コンピュータを、通知した前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御する、
ことを特徴とするIPアドレス適用方法。
(付記2)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するための処理を行うVLAN変更装置であって、
前記コンピュータが他のコンピュータに宛てて送信した第一のデータを受信する第一の受信手段と、
受信された前記第一のデータに付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該第一のデータの送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記第一のデータを宛先のコンピュータに届くように転送する第一の転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
他のコンピュータが送信した第二のデータを受信する第二の受信手段と、
受信された前記第二のデータに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該第二のIPアドレスに対応する前記第一のIPアドレスが当該第二のデータの宛先である旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記第二のデータを宛先の装置に届くように転送する第二の転送手段と、
を有することを特徴とするVLAN変更装置。
(付記3)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを管理するサーバが設けられており、前記コンピュータと当該コンピュータの通信相手の装置との間に両者間でやり取りされるデータを中継する中継装置が設けられており、
前記サーバは、
1つまたは複数の前記第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを前記中継装置に通知することによって、所属を前記第二のVLANに変更する前記コンピュータに対して当該第二のIPアドレスを貸与する、IPアドレス貸与手段と、を有し、
前記中継装置は、
前記サーバから前記コンピュータに対して前記第二のIPアドレスが貸与された場合に、当該コンピュータから前記通信相手の装置に宛てて送信された中継対象のデータに付加されている送信元情報を、当該データの送信元のIPアドレスが当該第二のIPアドレスである旨を示すように書き換える、送信元書換手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記通信相手の装置から送信された中継対象のデータに付加されている宛先情報に前記第二のIPアドレスが示されている場合に、当該宛先情報を、当該データの宛先のIPアドレスが当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、を有する、
ことを特徴とするVLAN変更システム。
(付記4)
前記コンピュータが所属するVLANを前記第二のVLANから前記第一のVLANに戻す場合は、
前記送信元書換手段は、当該コンピュータが送信した中継対象のデータに付加されている前記宛先情報を書き換える処理を中止し、
当該コンピュータに貸与した前記第二のIPアドレスに対応付けていた前記第一のIPアドレスを前記貸与IPアドレス記憶手段および前記IPアドレス対応記憶手段から削除する、
付記3記載のVLAN変更システム。
(付記5)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
所属を前記第二のVLANに変更する前記コンピュータに対して、現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを、当該コンピュータがレイヤ3による通信を開始するまでに通知することによって貸与する、IPアドレス貸与手段と、
前記コンピュータに、貸与した前記第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、制御手段と、
を有することを特徴とするVLAN変更システム。
(付記6)
前記コンピュータが所属するVLANを前記第二のVLANから前記第一のVLANに戻す場合は、
前記貸与IPアドレス記憶手段は、当該コンピュータに貸与した前記第二のIPアドレスに対応付けていた前記第一のIPアドレスを削除し、
前記制御手段は、当該コンピュータに、通信をリセットさせ、当該コンピュータの前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、
付記5記載のVLAN変更システム。
(付記7)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータの検疫処理を実行する検疫処理システムであって、
前記コンピュータがセキュリティポリシーに適合しているか否かの検査を行う検査手段と、前記セキュリティポリシーに適合させるために必要なデータであるポリシー用データを第二のVLANに所属する装置に対して送信するポリシー用データ配付サーバと、が設けられており、前記コンピュータと前記ポリシー用データ配付サーバとの間に中継装置が設けられており、
前記中継装置は、
前記コンピュータが前記ポリシー用データ配付サーバに対して送信した、必要な前記ポリシー用データを要求する要求情報を受信する、要求情報受信手段と、
受信された前記要求情報に付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該要求情報の送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記要求情報を前記ポリシー用データ配付サーバに転送する要求情報転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記ポリシー用データ配付サーバが送信した前記ポリシー用データを受信するポリシー用データ受信手段と、
受信された前記ポリシー用データに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該ポリシー用データの宛先が当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記ポリシー用データを宛先の装置に転送するポリシー用データ転送手段と、を有する、
ことを特徴とする検疫処理システム。
(付記8)
第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータの検疫処理を実行する検疫処理システムであって、
前記コンピュータがセキュリティポリシーに適合しているか否かの検査を行う検査手段と、前記セキュリティポリシーに適合させるために必要なデータであるポリシー用データを第二のVLANに所属する装置に対して送信するポリシー用データ配付サーバと、前記コンピュータが所属するVLANを前記第一のVLANから前記第二のVLANに変更するVLAN変更システムと、が設けられており、
前記第一のVLANに所属する装置と前記ポリシー用データ配付サーバとの間の通信を禁止するように設定されたネットワーク接続装置が前記コンピュータと前記ポリシー用データ配付サーバとの間に設けられており、
前記VLAN変更システムは、
前記第二のVLANのIPアドレスである第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、IPアドレス記憶手段と、
前記セキュリティポリシーに適合していないと前記検査手段によって判別された前記コンピュータに対して、現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを、当該コンピュータがレイヤ3による通信を開始するまでに通知することによって貸与する、IPアドレス貸与手段と、
前記コンピュータに、貸与した前記第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、制御手段と、を有し、
前記ポリシー用データ配付サーバは、要求された前記ポリシー用データを要求元の装置に送信する、
ことを特徴とする検疫処理システム。
本発明は、特に、DHCPが使用できないネットワークシステム内の端末装置およびサーバを隔離するために好適に用いられる。
KNS 検疫ネットワークシステム(検疫処理システム)
2 認証機能付スイッチ(VLAN変更装置、中継装置)
10 ポリシー管理サーバ(検査手段)
11 ウィルス管理サーバ(ポリシー用データ配付サーバ)
12 パッチ管理サーバ(ポリシー用データ配付サーバ)
13 資産管理サーバ(ポリシー用データ配付サーバ)
104 仮IPアドレス管理部(IPアドレス貸与手段)
105 アドレス貸与情報送信部(IPアドレス貸与手段)
1B4 仮IPアドレス管理部(IPアドレス貸与手段)
1B5 仮IPアドレス貸与部(IPアドレス貸与手段)
251 上りデータ受信部(第一の受信手段、要求情報受信手段)
252 発側IP変換処理部(送信元書換手段)
253 上りデータ転送部(第一の転送手段、要求情報転送手段)
254 下りデータ受信部(第二の受信手段、ポリシー用データ受信手段)
255 宛先IP変換処理部(宛先書換手段)
256 下りデータ転送部(第二の転送手段、ポリシー用データ転送手段)
TL1 IP変換テーブル(IPアドレス対応記憶手段)
TL3 IP管理テーブル(貸与IPアドレス記憶手段)
TL4 IP管理テーブル(貸与IPアドレス記憶手段)
TR 端末装置(コンピュータ)
2 認証機能付スイッチ(VLAN変更装置、中継装置)
10 ポリシー管理サーバ(検査手段)
11 ウィルス管理サーバ(ポリシー用データ配付サーバ)
12 パッチ管理サーバ(ポリシー用データ配付サーバ)
13 資産管理サーバ(ポリシー用データ配付サーバ)
104 仮IPアドレス管理部(IPアドレス貸与手段)
105 アドレス貸与情報送信部(IPアドレス貸与手段)
1B4 仮IPアドレス管理部(IPアドレス貸与手段)
1B5 仮IPアドレス貸与部(IPアドレス貸与手段)
251 上りデータ受信部(第一の受信手段、要求情報受信手段)
252 発側IP変換処理部(送信元書換手段)
253 上りデータ転送部(第一の転送手段、要求情報転送手段)
254 下りデータ受信部(第二の受信手段、ポリシー用データ受信手段)
255 宛先IP変換処理部(宛先書換手段)
256 下りデータ転送部(第二の転送手段、ポリシー用データ転送手段)
TL1 IP変換テーブル(IPアドレス対応記憶手段)
TL3 IP管理テーブル(貸与IPアドレス記憶手段)
TL4 IP管理テーブル(貸与IPアドレス記憶手段)
TR 端末装置(コンピュータ)
Claims (5)
- 第一のIPアドレスが予め固定的に与えられているコンピュータに対して当該第一のIPアドレスの代わりに第二のIPアドレスを適用するIPアドレス適用方法であって、
前記コンピュータに前記第二のIPアドレスを適用する場合は、
当該コンピュータがレイヤ3による通信を開始するまでに、当該第二のIPアドレスを当該コンピュータに通知することによって与え、
当該第二のIPアドレスと当該コンピュータの前記第一のIPアドレスとを対応付けて記憶手段に記憶させ、
当該コンピュータを、当該第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御し、
前記コンピュータのIPアドレスを元に戻す場合は、
ネットワーク接続をリセットするように当該コンピュータを制御し、
当該コンピュータがレイヤ3による通信を開始するまでに、当該コンピュータに与えた前記第二のIPアドレスに対応する前記第一のIPアドレスを当該コンピュータに通知し、
当該コンピュータを、通知した前記第一のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始するように制御する、
ことを特徴とするIPアドレス適用方法。 - 第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するための処理を行うVLAN変更装置であって、
前記コンピュータが他のコンピュータに宛てて送信した第一のデータを受信する第一の受信手段と、
受信された前記第一のデータに付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該第一のデータの送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記第一のデータを宛先のコンピュータに届くように転送する第一の転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
他のコンピュータが送信した第二のデータを受信する第二の受信手段と、
受信された前記第二のデータに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該第二のIPアドレスに対応する前記第一のIPアドレスが当該第二のデータの宛先である旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記第二のデータを宛先の装置に届くように転送する第二の転送手段と、
を有することを特徴とするVLAN変更装置。 - 第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを管理するサーバが設けられており、前記コンピュータと当該コンピュータの通信相手の装置との間に両者間でやり取りされるデータを中継する中継装置が設けられており、
前記サーバは、
1つまたは複数の前記第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを前記中継装置に通知することによって、所属を前記第二のVLANに変更する前記コンピュータに対して当該第二のIPアドレスを貸与する、IPアドレス貸与手段と、を有し、
前記中継装置は、
前記サーバから前記コンピュータに対して前記第二のIPアドレスが貸与された場合に、当該コンピュータから前記通信相手の装置に宛てて送信された中継対象のデータに付加されている送信元情報を、当該データの送信元のIPアドレスが当該第二のIPアドレスである旨を示すように書き換える、送信元書換手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記通信相手の装置から送信された中継対象のデータに付加されている宛先情報に前記第二のIPアドレスが示されている場合に、当該宛先情報を、当該データの宛先のIPアドレスが当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、を有する、
ことを特徴とするVLAN変更システム。 - 第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータが所属するVLANを前記第一のVLANから第二のVLANに変更するVLAN変更システムであって、
前記第二のVLANのIPアドレスである第二のIPアドレスを、当該第二のIPアドレスの貸与先の前記コンピュータの前記第一のIPアドレスと対応付けて記憶する、貸与IPアドレス記憶手段と、
所属を前記第二のVLANに変更する前記コンピュータに対して、現在貸与されていない前記第二のIPアドレスのうちのいずれか1つを、当該コンピュータがレイヤ3による通信を開始するまでに通知することによって貸与する、IPアドレス貸与手段と、
前記コンピュータに、貸与した前記第二のIPアドレスが当該コンピュータ自身のIPアドレスであるものとしてレイヤ3による通信を開始させる、制御手段と、
を有することを特徴とするVLAN変更システム。 - 第一のVLANのIPアドレスである第一のIPアドレスが予め固定的に与えられているコンピュータの検疫処理を実行する検疫処理システムであって、
前記コンピュータがセキュリティポリシーに適合しているか否かの検査を行う検査手段と、前記セキュリティポリシーに適合させるために必要なデータであるポリシー用データを第二のVLANに所属する装置に対して送信するポリシー用データ配付サーバと、が設けられており、前記コンピュータと前記ポリシー用データ配付サーバとの間に中継装置が設けられており、
前記中継装置は、
前記コンピュータが前記ポリシー用データ配付サーバに対して送信した、必要な前記ポリシー用データを要求する要求情報を受信する、要求情報受信手段と、
受信された前記要求情報に付加されている送信元情報を、前記第二のVLANのIPアドレスである第二のIPアドレスが当該要求情報の送信元のIPアドレスである旨を示すように書き換える、送信元書換手段と、
書き換えられた前記送信元情報が付加された前記要求情報を前記ポリシー用データ配付サーバに転送する要求情報転送手段と、
前記送信元情報の書換え前のIPアドレスと書換え後のIPアドレスとを対応付けて記憶するIPアドレス対応記憶手段と、
前記ポリシー用データ配付サーバが送信した前記ポリシー用データを受信するポリシー用データ受信手段と、
受信された前記ポリシー用データに付加されている宛先情報に前記第二のIPアドレスが示される場合は、当該宛先情報を、当該ポリシー用データの宛先が当該第二のIPアドレスに対応する前記第一のIPアドレスである旨を示すように書き換える、宛先書換手段と、
書き換えられた前記宛先情報が付加された前記ポリシー用データを宛先の装置に転送するポリシー用データ転送手段と、を有する、
ことを特徴とする検疫処理システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005077369A JP2006262141A (ja) | 2005-03-17 | 2005-03-17 | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム |
US11/166,274 US20060212549A1 (en) | 2005-03-17 | 2005-06-27 | IP address assigning method, VLAN changing device, VLAN changing system and quarantine process system |
US12/413,299 US20090187646A1 (en) | 2005-03-17 | 2009-03-27 | Ip address assigning method, vlan changing device, vlan changing system and quarantine process system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005077369A JP2006262141A (ja) | 2005-03-17 | 2005-03-17 | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006262141A true JP2006262141A (ja) | 2006-09-28 |
Family
ID=37011659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005077369A Pending JP2006262141A (ja) | 2005-03-17 | 2005-03-17 | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム |
Country Status (2)
Country | Link |
---|---|
US (2) | US20060212549A1 (ja) |
JP (1) | JP2006262141A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008311799A (ja) * | 2007-06-13 | 2008-12-25 | Nec Corp | サーバ装置、ネットワークシステム及びそれらに用いるネットワーク接続方法 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
JP4190521B2 (ja) * | 2005-07-14 | 2008-12-03 | 株式会社東芝 | マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末 |
US7546139B2 (en) * | 2005-12-27 | 2009-06-09 | F4W, Inc. | System and method for establishing and maintaining communications across disparate networks |
JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
KR100719118B1 (ko) * | 2005-10-27 | 2007-05-17 | 삼성전자주식회사 | 특정 영역에서의 디바이스 기능 제한 방법 및 시스템 |
US9189640B2 (en) * | 2005-10-31 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for re-provisioning a server of a data center |
US7580701B2 (en) * | 2005-12-27 | 2009-08-25 | Intel Corporation | Dynamic passing of wireless configuration parameters |
US7729359B1 (en) * | 2006-03-15 | 2010-06-01 | Manu Kumar | Methods and systems for providing address transparency |
ATE473586T1 (de) * | 2006-04-28 | 2010-07-15 | Koninkl Kpn Nv | Kaskadierung von out-of-box dienstleistungen |
DE102006026929B4 (de) * | 2006-06-09 | 2008-03-06 | Siemens Ag | Verfahren zur mehrfachen Registrierung eines multimodalen Kommunikationsendgerätes |
JP2008015880A (ja) * | 2006-07-07 | 2008-01-24 | Fuji Xerox Co Ltd | ネットワークシステム、画像処理装置、およびコンピュータプログラム |
JP4773987B2 (ja) * | 2007-02-01 | 2011-09-14 | アラクサラネットワークス株式会社 | 端末所属切換システム |
US20080208957A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Quarantine Over Remote Desktop Protocol |
KR101128152B1 (ko) * | 2007-05-31 | 2012-03-27 | 아이신세이끼가부시끼가이샤 | 이동체 탑재 통신 장치와 어드레스 관리 장치 |
US8966075B1 (en) * | 2007-07-02 | 2015-02-24 | Pulse Secure, Llc | Accessing a policy server from multiple layer two networks |
US8429739B2 (en) * | 2008-03-31 | 2013-04-23 | Amazon Technologies, Inc. | Authorizing communications between computing nodes |
TWI449373B (zh) * | 2008-06-11 | 2014-08-11 | Asustek Comp Inc | 區域網路的管理方法及其裝置 |
US8495190B2 (en) * | 2008-06-25 | 2013-07-23 | International Business Machines Corporation | Providing access by a client application program over an internet protocol (IP) network to a server application program instance |
CN101640943B (zh) * | 2008-07-31 | 2012-11-07 | 国际商业机器公司 | 用于无线局域网的网络层切换方法及相应无线接入点设备 |
JP5018969B2 (ja) * | 2008-10-22 | 2012-09-05 | 富士通株式会社 | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 |
US8479266B1 (en) * | 2008-11-13 | 2013-07-02 | Sprint Communications Company L.P. | Network assignment appeal architecture and process |
US8363658B1 (en) | 2008-11-13 | 2013-01-29 | Sprint Communications Company L.P. | Dynamic firewall and dynamic host configuration protocol configuration |
JP4811486B2 (ja) * | 2009-03-26 | 2011-11-09 | ブラザー工業株式会社 | プログラム、情報処理システムおよび情報処理装置 |
US8788707B1 (en) * | 2010-05-27 | 2014-07-22 | Crimson Corporation | Assigning a random static IP address in a quarantine network |
US8479290B2 (en) * | 2010-06-16 | 2013-07-02 | Alcatel Lucent | Treatment of malicious devices in a mobile-communications network |
US8990891B1 (en) | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
US8726338B2 (en) | 2012-02-02 | 2014-05-13 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
US9742636B2 (en) * | 2013-09-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Reliable address discovery cache |
US11063940B2 (en) | 2018-04-27 | 2021-07-13 | Hewlett Packard Enterprise Development Lp | Switch authentication |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0758771A (ja) * | 1993-08-12 | 1995-03-03 | Sharp Corp | アドレス管理装置 |
JP2004246444A (ja) * | 2003-02-12 | 2004-09-02 | Hitachi Ltd | セキュリティ基準検証方法及びその実施装置並びにその処理プログラム |
JP2004289260A (ja) * | 2003-03-19 | 2004-10-14 | Nec Corp | 動的アドレス付与サーバを利用したクライアントの安全性検診システム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5918016A (en) * | 1997-06-10 | 1999-06-29 | Texas Instruments Incorporated | System with program for automating protocol assignments when newly connected to varing computer network configurations |
US6434134B1 (en) * | 1998-12-11 | 2002-08-13 | Lucent Technologies, Inc. | Dynamic address assignment for wireless devices accessing packet-based wired networks |
US20030229809A1 (en) * | 1999-04-15 | 2003-12-11 | Asaf Wexler | Transparent proxy server |
DE10029645B4 (de) * | 2000-06-15 | 2005-02-24 | Daimlerchrysler Ag | Verfahren zur Adressierung von Netzwerkkomponenten |
US7039028B2 (en) * | 2001-04-04 | 2006-05-02 | Telcordia Technologies, Inc. | Packet distribution and selection in soft handoff for IP-based base stations among multiple subnets |
US20020186698A1 (en) * | 2001-06-12 | 2002-12-12 | Glen Ceniza | System to map remote lan hosts to local IP addresses |
JP3872368B2 (ja) * | 2002-03-27 | 2007-01-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、該情報処理装置を含むネットワーク構成方法、および該ネットワーク構成方法のためのプログラム |
US7191331B2 (en) * | 2002-06-13 | 2007-03-13 | Nvidia Corporation | Detection of support for security protocol and address translation integration |
US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
US7607021B2 (en) * | 2004-03-09 | 2009-10-20 | Cisco Technology, Inc. | Isolation approach for network users associated with elevated risk |
US7624445B2 (en) * | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
US7353390B2 (en) * | 2004-08-20 | 2008-04-01 | Microsoft Corporation | Enabling network devices within a virtual network to communicate while the networks's communications are restricted due to security threats |
US7793338B1 (en) * | 2004-10-21 | 2010-09-07 | Mcafee, Inc. | System and method of network endpoint security |
US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
-
2005
- 2005-03-17 JP JP2005077369A patent/JP2006262141A/ja active Pending
- 2005-06-27 US US11/166,274 patent/US20060212549A1/en not_active Abandoned
-
2009
- 2009-03-27 US US12/413,299 patent/US20090187646A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0758771A (ja) * | 1993-08-12 | 1995-03-03 | Sharp Corp | アドレス管理装置 |
JP2004246444A (ja) * | 2003-02-12 | 2004-09-02 | Hitachi Ltd | セキュリティ基準検証方法及びその実施装置並びにその処理プログラム |
JP2004289260A (ja) * | 2003-03-19 | 2004-10-14 | Nec Corp | 動的アドレス付与サーバを利用したクライアントの安全性検診システム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008311799A (ja) * | 2007-06-13 | 2008-12-25 | Nec Corp | サーバ装置、ネットワークシステム及びそれらに用いるネットワーク接続方法 |
Also Published As
Publication number | Publication date |
---|---|
US20090187646A1 (en) | 2009-07-23 |
US20060212549A1 (en) | 2006-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006262141A (ja) | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム | |
US7792990B2 (en) | Remote client remediation | |
US9363285B2 (en) | Communication system, network for qualification screening/setting, communication device, and network connection method | |
US7474655B2 (en) | Restricting communication service | |
JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
US9225684B2 (en) | Controlling network access | |
JP5660202B2 (ja) | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 | |
US20080209071A1 (en) | Network relay method, network relay apparatus, and network relay program | |
US8381281B2 (en) | Authenticating a remote host to a firewall | |
US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
JP4852379B2 (ja) | パケット通信装置 | |
US10708223B2 (en) | Dynamically defining encryption spaces across multiple data centers | |
JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
KR100893935B1 (ko) | Arp를 이용한 호스트의 네트워크 격리방법 | |
JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
JP4290526B2 (ja) | ネットワークシステム | |
JP2017085273A (ja) | 制御システム、制御装置、制御方法およびプログラム | |
US11683225B2 (en) | Relay device and non-transitory computer readable medium | |
JP2003324457A (ja) | アクセス制御装置、方法、プログラムおよび記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080117 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101005 |