JP2006352719A - ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 - Google Patents
ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 Download PDFInfo
- Publication number
- JP2006352719A JP2006352719A JP2005178697A JP2005178697A JP2006352719A JP 2006352719 A JP2006352719 A JP 2006352719A JP 2005178697 A JP2005178697 A JP 2005178697A JP 2005178697 A JP2005178697 A JP 2005178697A JP 2006352719 A JP2006352719 A JP 2006352719A
- Authority
- JP
- Japan
- Prior art keywords
- network
- quarantine
- address
- frame
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】
従来、検疫ネットワークを実現するためには、これに応じた機能を有する専用のスイッチングハブなどのハードウェアを導入するか、あるいは、ネットワーク全体をDHCP環境とし、専用のDHCPサーバを導入するか、あるいは、LANへの接続が予想される装置すべてに専用のパーソナル・ファイアウォール・プログラムをインストールする必要があった。
【解決手段】
本発明では、イーサネットのブロードキャストドメインに監視装置を置き、この監視装置が、検疫対象装置からのARP要求を監視し、それに応じてARP応答を返信することで特定の装置との通信のみ許可した検疫ネットワークを実現する。
【効果】
監視装置をイーサネットの各ブロードキャストドメインに接続する監視装置で実現することができる。
【選択図】図2
従来、検疫ネットワークを実現するためには、これに応じた機能を有する専用のスイッチングハブなどのハードウェアを導入するか、あるいは、ネットワーク全体をDHCP環境とし、専用のDHCPサーバを導入するか、あるいは、LANへの接続が予想される装置すべてに専用のパーソナル・ファイアウォール・プログラムをインストールする必要があった。
【解決手段】
本発明では、イーサネットのブロードキャストドメインに監視装置を置き、この監視装置が、検疫対象装置からのARP要求を監視し、それに応じてARP応答を返信することで特定の装置との通信のみ許可した検疫ネットワークを実現する。
【効果】
監視装置をイーサネットの各ブロードキャストドメインに接続する監視装置で実現することができる。
【選択図】図2
Description
本発明は、ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法に関する。
社内LANなど保護されたネットワークを保護するため、ネットワークへの接続を制限する、いわゆる、ネットワーク監視装置が知られている。このような技術は、例えば、特開2003−303118号公報に記載されている。
このような検疫ネットワークで、特に、外部から持ち込まれたコンピュータなどを、保護されたネットワークへの接続を許可する前に、当該コンピュータのオペレーティングシステムやウィルス検出ソフトがアップデートされているか確認し、アップデートされていない場合、当該コンピュータのオペレーティングシステムやウィルス検出ソフトのバージョンアップソフトを供給する必要がある。
そのためには、認証スイッチを利用することが考えられる。すなわち、外部から持ち込まれたコンピュータを社内LANなどの保護されたネットワークに接続する際、検疫ネットワーク機能をサポートしたスイッチングハブがそのコンピュータが接続されたポートを、保護されたネットワークとは仮想的に切り離されたヴァーチャルLAN(VLAN)により構成された検疫ネットワークに接続した。そして、検疫ネットワーク上でオペレーティングシステム(OS)やウィルス検出ソフトのアップデートが完了すると、スイッチングハブが当該コンピュータが接続されたポートを保護されたネットワーク側に所属するようVLANの設定を変更する。
しかしながら、保護されたネットワークにおいて、端末が接続するスイッチングハブから、検疫サーバが接続するスイッチングハブまで、その経路上のすべてのスイッチングハブが検疫ネットワーク機能をサポートすることが必要である。
また、認証DHCP方式を利用することが考えられる。すなわち、外部から持ち込まれたコンピュータがDHCPを用いてIPアドレスを取得する際、DHCPサーバが検疫ネットワーク用のIPアドレスとデフォルトゲートウェイIPアドレスを当該コンピュータに割り当てる。検疫ネットワーク用のIPアドレスは保護されたネットワークとはIPアドレス体系が異なるため、当該コンピュータが保護されたネットワーク内の装置と通信することはできない。当該コンピュータは検疫ネットワーク上でOSやウィルス検出ソフトのアップデートが完了すると、保護されたネットワークと接続可能なIPアドレスやデフォルトゲートウェイIPアドレスが再び割り当てられ、保護されたネットワーク内の装置と通信することが可能となる。
また、保護されたネットワークがDHCPを用いる環境でなら適用できるが、IPアドレスを固定で割り振るネットワーク環境では適用することができず、また、DHCPを用いる環境であってもIPアドレスを固定で割り当てた装置に対しては効果がない。
さらに、パーソナル・ファイアウォールを利用することが考えれえる。すなわち、保護されたネットワークと接続するコンピュータにあらかじめファイアウォール機能を持つソフトウェアをインストールしておく。当該コンピュータが保護されたネットワークに接続しようとした際は、OSやウィルス検出ソフトのアップデートプログラムが保存された検疫サーバとのみ通信できるよう、パーソナル・ファイアウォールが通信を制限する。アップデートが完了するとパーソナル・ファイアウォールの制限が解除され、保護されたネットワーク内の装置と通信が可能になる。
しかしながら、保護されたネットワークに接続する可能性があるコンピュータにあらかじめパーソナル・ファイアウォールのソフトウェアをインストールする必要があり、これがインストールされていない装置に対しては効果がない。
本発明の目的は、上記した問題点の少なくとも1つを解決し、画可能なネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法を提供することにある。
上記目的を達成するために、本発明では、フレームを受信部で受信し、該受信が、検疫対象のノードから送信されたフレームである場合、検疫対象のノードと検疫情報を格納するノードとの通信を妨げず、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せが含まれないよう演算処理し、送信部からフレームを送信するように構成した。
具体的には、イーサネット上のイーサフレームを受信するフレーム受信処理部と、イーサフレームを送信するフレーム送信処理部と、検疫ネットワークに接続する装置に関する情報を蓄える接続可否情報テーブルと、受信したイーサフレームと接続可否情報テーブルからARPフレーム送信を判断する接続可否判断処理部と、接続可否判断処理部からの指示に従いARPフレームを送信するARP応答フレーム生成部と、検疫に必要となるソフトウェアを記憶するOS/ウィルス検出ソフトのアップデートデータ保存部を備える、イーサネットのブロードキャストドメインに接続する監視装置を用い、検疫対象装置からのARP要求に応じてARP応答を送信することで検疫ネットワークを実現したものである。
本発明によれば、外部から持ち込まれたコンピュータ等のノードに対して、ネットワークのノードへの通信を許可する前に、コンピュータのオペレーティングシステムやウィルス検出ソフト等を適切なバージョンに保つすることが可能となる。
以下、本発明の実施例を図面を用いて説明する。図1は本発明の検疫ネットワーク方式の実施例1である。本構成例では、イーサネットによる1つのブロードキャスト・ドメインからなるネットワーク104に、監視装置100と、いくつかの装置101a〜101b、検疫対象装置103が接続されている。本実施例では、OS/ウィルス検出ソフトのアップデートデータを保持する検疫サーバを監視装置100が兼ねる。
図2は本実施例における監視装置100の構成であり、ネットワーク104に接続するフレーム受信処理部201,フレーム送信処理部202,OS/ウィルス検出ソフトのアップデートデータ保存部203,接続可否判断処理部204,接続可否情報テーブル205,ARP応答フレーム生成部206からなる。なお、ARP (Address Resolution
Protocol) は、TCP/IPプロトコルにおいて、IPアドレスからMACアドレスを求めるためのプロトコルのことである。具体的には、自分のイーサーネットアドレスと自分のIPアドレス、そして通信先のIPアドレスの3つの組を、ARP要求として、LAN上へブロードキャストする。LAN上の各ノードはARP問い合わせのブロードキャストを監視しているので、自分のIPアドレスが指定されていれば、ARP応答として、パケットに自分のMACアドレスを入れて応答を返す。このARP要求と、ARP応答によって、IPアドレスからMACアドレスを得る。なお、MACアドレスとは、イーサーネットでフレームの送受信を行うための物理的なアドレスであり、世界中で同じ物理アドレスを持つことがないように、すべて異なる固有のアドレスが割り当てられている。また、
IPアドレスは、TCP/IPプロトコルを使用しているネットワーク等で、サーバやクライアント,ルータなどのノードごとに割り振られた固有のアドレスであり、通信先の機器を指定するために使われる。
Protocol) は、TCP/IPプロトコルにおいて、IPアドレスからMACアドレスを求めるためのプロトコルのことである。具体的には、自分のイーサーネットアドレスと自分のIPアドレス、そして通信先のIPアドレスの3つの組を、ARP要求として、LAN上へブロードキャストする。LAN上の各ノードはARP問い合わせのブロードキャストを監視しているので、自分のIPアドレスが指定されていれば、ARP応答として、パケットに自分のMACアドレスを入れて応答を返す。このARP要求と、ARP応答によって、IPアドレスからMACアドレスを得る。なお、MACアドレスとは、イーサーネットでフレームの送受信を行うための物理的なアドレスであり、世界中で同じ物理アドレスを持つことがないように、すべて異なる固有のアドレスが割り当てられている。また、
IPアドレスは、TCP/IPプロトコルを使用しているネットワーク等で、サーバやクライアント,ルータなどのノードごとに割り振られた固有のアドレスであり、通信先の機器を指定するために使われる。
図8に接続可否情報テーブル205の構成を示す。本テーブルはネットワーク104に接続するそれぞれの装置に関するMACアドレス810,IPアドレス811,ステータス812の組からなる。ステータス812が接続許可となっている装置間の通信については、監視装置100は一切干渉しない。ステータス812が検疫対象となっている装置については、当該装置と監視装置100との間の通信のみ可能となるよう監視装置100が処理を行う。本テーブルにエントリーのない装置は接続を許可しない装置である。検疫対象装置103は外部から持ち込まれたコンピュータで、ネットワークとの接続は許可されているが、OS/ウィルス検出ソフトのアップデートが必要であるものとする。検疫対象装置103は他装置との通信のため、ARP要求フレームをブロードキャストで送信する。
図3にARP要求フレームを示す。検疫対象装置103がARP要求フレームを送信する場合、送信元MACアドレス301には検疫対象装置103のMACアドレスが、送信元IPアドレス302には検疫対象装置103のIPアドレスが入る。宛て先MACアドレス303には0が入る。宛て先IPアドレスには検疫対象装置103が通信しようとする相手装置のIPアドレスが入る。
図4に監視装置100内の接続可否判断処理部204の処理フローを示す。処理401で受信したフレームのプロトコル種別を判断し、ARP以外なら処理を終了する。処理
402で受信したARPの種別を判定し、ARP応答なら処理を終了する。処理403で受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に接続許可装置として登録されているか判断する。登録済みならば処理を終了する。処理404で受信したARP要求の送信元IPアドレスを使用している接続許可装置はあるかを判断する。なければ処理405を、あれば処理406を実施する。処理405では不正装置排除用
ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。処理406では不正装置排除用ARP応答bをブロードキャスト送信する。これは検疫対象装置103がすでに他の装置に割り当てられているIPアドレスを使っているケースに対応するためである。すなわち検疫対象装置103がARP要求を送信することによって当該IPアドレス宛ての通信の宛て先が検疫対象装置103宛てに書き換えられてしまうが、不正装置排除用ARP応答bを送信することで、当該
IPアドレス宛ての通信を本来の装置宛てに修正する。処理407は不正装置排除用ARP応答cを検疫対象装置103宛てに送出することで、検疫対象装置103が通信相手としてARP要求を送信した装置のMACアドレスを監視装置100のMACアドレスで上書きすることにより、検疫対象装置からの通信を監視装置100宛てにするためである。
402で受信したARPの種別を判定し、ARP応答なら処理を終了する。処理403で受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に接続許可装置として登録されているか判断する。登録済みならば処理を終了する。処理404で受信したARP要求の送信元IPアドレスを使用している接続許可装置はあるかを判断する。なければ処理405を、あれば処理406を実施する。処理405では不正装置排除用
ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。処理406では不正装置排除用ARP応答bをブロードキャスト送信する。これは検疫対象装置103がすでに他の装置に割り当てられているIPアドレスを使っているケースに対応するためである。すなわち検疫対象装置103がARP要求を送信することによって当該IPアドレス宛ての通信の宛て先が検疫対象装置103宛てに書き換えられてしまうが、不正装置排除用ARP応答bを送信することで、当該
IPアドレス宛ての通信を本来の装置宛てに修正する。処理407は不正装置排除用ARP応答cを検疫対象装置103宛てに送出することで、検疫対象装置103が通信相手としてARP要求を送信した装置のMACアドレスを監視装置100のMACアドレスで上書きすることにより、検疫対象装置からの通信を監視装置100宛てにするためである。
図5に不正装置排除用ARP応答aを示す。送信元MACアドレス501には監視装置100のMACアドレスが、送信元IPアドレス502には検疫対象装置のIPアドレスが、宛て先MACアドレス503には検疫対象装置のMACアドレスが、宛て先IPアドレス504には検疫対象装置のIPアドレスが入る。
図6に不正装置排除用ARP応答bを示す。送信元MACアドレス601には通信相手のMACアドレスが、送信元IPアドレス602には通信相手のIPアドレスが、宛て先MACアドレス603には検疫対象装置のMACアドレスが、宛て先IPアドレス604には検疫対象装置のIPアドレスが入る。
図7に不正装置排除用ARP応答bを示す。送信元MACアドレス701には監視装置100のMACアドレスが、送信元IPアドレス702には通信相手のIPアドレスが、宛て先MACアドレス703には検疫対象装置のMACアドレスが、宛て先IPアドレス704には検疫対象装置のIPアドレスが入る。
ここで、検疫対象装置103が監視装置100以外の装置、たとえば装置101aと通信する場合の動作を図4に示すフローと図15に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。装置101aとの通信を開始する前に、検疫対象装置103はARP要求1501をブロードキャスト送信する。このとき、図3に示す通信相手のIPアドレス304には装置101aのIPアドレスが設定される。
このARP要求に対し、装置101aがARP応答1502を返す。また、ARP要求1501はブロードキャスト送信のため、監視装置100も受信する。監視装置100は図4に示すフローに従いこのフレームに対する処理を行う。すなわち、処理401はARPであるため処理402に進み、処理402は要求であるため処理403に進み、処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理404に進む。
処理404では検疫対象装置103のIPアドレスは他の装置では使われていないため処理405に進む。処理405にて、監視装置100は図15の1503に示す不正装置排除用ARP応答aをブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。
さらに、図4のフローに従い、監視装置100は処理407にて図15の1504に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出する。これにより、検疫対象装置103は装置101aのMACアドレスとして監視装置100のMACアドレスを記憶するため、装置101a宛ての通信は不可となる。
次に、検疫対象装置103が監視装置100との通信を試みる場合の動作を図4に示すフローと図16に示すチャートに従い詳細に説明する。処理405までの動作は上記で説明した動作と違いはない。続く処理407で、監視装置100は図16の1604に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出するが、この場合、検疫対象装置103は監視装置100のMACアドレスとして監視装置100のMACアドレスを記憶する。つまり、検疫対象装置103は正しく監視装置100のIPアドレスとMACアドレスの組合せを記憶するので、監視装置100への通信は可能となる。これにより、検疫対象装置103は監視装置100が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。本アップデートが完了したことを確認した上で、接続可否情報テーブル205上の検疫対象装置103のステータスを検疫対象から接続許可に書き換える。これにより、以後は検疫対象装置103も装置101a〜101bと同等に通信することが可能となる。
以下、実施例2について説明する。
図9は本発明の実施例2の構成である。本実施例では、実施例1と異なり、監視装置
100は内部にOS/ウィルス検出ソフトのアップデートデータ保存部203を持たず、替わりにこれらのデータを保持する検疫サーバ102を設置する。検疫サーバ102の役割は、検疫対象装置103からの要求により、OS/ウィルス検出ソフトのアップデートデータを検疫対象装置103へ転送することである。
100は内部にOS/ウィルス検出ソフトのアップデートデータ保存部203を持たず、替わりにこれらのデータを保持する検疫サーバ102を設置する。検疫サーバ102の役割は、検疫対象装置103からの要求により、OS/ウィルス検出ソフトのアップデートデータを検疫対象装置103へ転送することである。
図10に実施例2の場合の監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図4と異なる部分のみ記述してある。処理401〜処理403までは図4と同じである。処理403のあと処理1001にて受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に検疫対象として登録されているかどうかを判定する。登録されていなければ、図4の処理404へと進む。登録されている場合は処理1002へと進む。処理1002では受信したARP要求の宛て先IPアドレスが検疫サーバ102かどうかを判定する。検疫サーバ102以外ならば図4の処理404へと進む。検疫サーバ102宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままでは検疫サーバ102から検疫対象装置103への通信も不可となるため、続く処理1003にて検疫装置アドレス修復用ARP応答を検疫サーバ102宛てに送出する。
図11に検疫装置アドレス修復用ARP応答を示す。送信元MACアドレス1101には検疫対象装置103のMACアドレスを、送信元IPアドレス1102には検疫対象装置103のIPアドレスを、宛て先MACアドレス1103には修復相手のMACアドレスを、宛て先IPアドレス1104には修復相手のIPアドレスを設定し、修復相手宛てに送信する。
ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図10に示すフローと図17に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。
検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1701をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手のIPアドレス304には検疫サーバ102のIPアドレスが設定される。このARP要求により、検疫サーバ102はARP応答1702を送信する。また、ARP要求1701はブロードキャスト送信のため、監視装置100も受信し、図10に示すフローに従いこのフレームに対する処理を行う。ただし、処理401〜処理402は実施例1の処理と同じため説明は割愛する。
続く処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に接続許可としては登録されていないため処理1001に進む。処理1001では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理1002に進む。処理1002では受信したARP要求の宛て先IPアドレスは検疫サーバ102であるため処理405に進む。処理405にて、監視装置
100は不正装置排除用ARP応答a 1703をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1003で監視装置100は検疫装置アドレス修復用ARP応答1704を検疫サーバ102宛てに送出する。このとき、宛て先MACアドレス1103には検疫サーバ102のMACアドレスが、宛て先IPアドレス1104には検疫サーバ102のIPアドレスが設定される。これにより、検疫サーバ102は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、検疫サーバ102と検疫対象装置103間の通信が可能となる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例1と同様である。
100は不正装置排除用ARP応答a 1703をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1003で監視装置100は検疫装置アドレス修復用ARP応答1704を検疫サーバ102宛てに送出する。このとき、宛て先MACアドレス1103には検疫サーバ102のMACアドレスが、宛て先IPアドレス1104には検疫サーバ102のIPアドレスが設定される。これにより、検疫サーバ102は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、検疫サーバ102と検疫対象装置103間の通信が可能となる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例1と同様である。
以下、実施例3について説明する。
図12は本発明の実施例3の構成である。本実施例では、実施例2とは異なり、検疫サーバ102はルータ106を介した別ネットワーク105に接続される。ルータ106はこれを通過するIPパケットに対し条件によりフィルタリングする機能を有するものとする。フィルタリング機能そのものは従来から存在する一般的な技術である。
図13にルータ106のフィルタリング設定テーブルの例を示す。フィルタリング設定テーブル1301は、条件となる送信元IPアドレス1302、および、宛て先IPアドレス1303と、その条件を満たすIPパケットに対するアクション1304からなる。本実施例では、ネットワーク104から別ネットワーク105へ向けてルータ106を通過するIPパケットに対し本フィルタを適用する。その設定値は、送信元IPアドレスには検疫対象装置103のIPアドレスを設定する。検疫対象装置が複数ある場合は検疫対象装置103a〜103cのように複数のエントリを作成する。宛て先IPアドレスには検疫サーバ102以外を条件として設定する。アクションは廃棄を設定する。
また、本実施例では、検疫対象装置のデフォルト・ゲートウェイとしてルータ106のネットワーク104側IPアドレスを設定する。
図14に実施例3の監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図10と異なる部分のみ記述してある。処理401〜処理1001までは図10と同じである。処理1001のあと、処理1402では受信したARP要求の宛て先IPアドレスがルータ106かどうかを判定する。ルータ106以外ならば図4の処理404へと進む。ルータ106宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答をブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままではルータ106から検疫対象装置103への通信も不可となるため、続く処理1403にて検疫装置アドレス修復用ARP応答をルータ106宛てに送出する。
ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図14に示すフローと図18に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1801をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手のIPアドレス304には検疫対象装置のデフォルト・ゲートウェイとして設定されたルータ106のIPアドレスが設定される。このARP要求により、ルータ106はARP応答1802を送信する。また、ARP要求1801はブロードキャスト送信のため、監視装置100も受信し、図14に示すフローに従いこのフレームに対する処理を行う。ただし、処理401〜処理1001は実施例2の処理と同じため説明は割愛する。続く処理1402では受信したARP要求の宛て先IPアドレスはルータ106であるため処理405に進む。
処理405にて、監視装置100は示す不正装置排除用ARP応答a 1803をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1403で監視装置100は検疫装置アドレス修復用ARP応答1804をルータ106宛てに送信する。このとき、宛て先MACアドレス1103にはルータ106のMACアドレスが、宛て先IPアドレス1104にはルータ106のIPアドレスが設定される。これにより、ルータ106は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、ルータ106と検疫対象装置103間の通信が可能となる。検疫対象装置103から検疫サーバ102宛てのIPパケットがルータ106を通る際、フィルタリング設定テーブル1301と比較される。この例では、送信元IPアドレスが検疫対象装置103、宛て先IPアドレスが検疫サーバであるので、IPパケットはルータ106を通り、別ネットワーク105へ、さらに検疫サーバ102に到達することができる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例2と同様である。
次に、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置と通信する場合の動作を詳細に説明する。この場合も、前記の検疫対象装置103と検疫サーバ102間の通信同様、ネットワーク104内での検疫対象装置103の通信相手はルータ106のため、たとえ宛て先が検疫サーバ102以外の装置であったとしても、監視装置100は検疫対象装置103とルータ106間の通信を許可する。しかし、ルータ106のフィルタリングテーブル1301との比較において、宛て先IPアドレスが検疫サーバ102以外であるためIPパケットは破棄される。よって、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置との通信は不可となる。
本実施例によれば、検疫ネットワーク機能をサポートする専用のスイッチングハブは不要であり、また、一般的なリピータ・ハブを用いても検疫ネットワークを構成できるので、既存のネットワークのハードウェア構成を変更する必要がない。また、DHCP環境においても固定IPアドレス環境においても同様に動作するので、既存ネットワーク環境を変更する必要がない。さらに、すべての端末に対するパーソナル・ファイアウォールなどの専用ソフトウェアのインストールも不要であり、より簡便に検疫ネットワークを実現することができる。
100…監視装置、102…検疫サーバ、103…検疫対象装置、104…監視装置や検疫対象装置が接続するネットワーク、105…ルータを介した別ネットワーク、106…ルータ、201…フレーム受信処理部、202…フレーム送信処理部、203…OS/ウィルスソフトのアップデートデータ保存部、204…接続可否判断処理部、205…接続可否情報テーブル、206…ARP応答フレーム生成部。
Claims (13)
- フレームを受信する受信処理部と、フレームを送信する送信処理部と、検疫対象のノードから送信されたフレームを受信した場合、検疫対象のノードに対する検疫に関する情報の通信を妨げないよう、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せが含まれないようにフレームを送信する処理部を有することを特徴とするネットワーク監視装置。
- 請求項1において、検疫対象ノードのアドレスを記憶する可否情報テーブルを有し、前記フレームのアドレスを前記可否情報テーブルの記憶内容と比較することで検疫対象となるノードを特定することを特徴とするネットワーク監視装置。
- 請求項1において、前記検疫情報は検疫サーバに格納されることを特徴とするネットワーク監視装置。
- 請求項3において、前記検疫サーバのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せを含むフレームを送信することを特徴とするネットワーク監視装置。
- 請求項4において、ネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せを含む情報を要求するフレームが受信された場合に、前記フレームの送信処理がなされることを特徴とするネットワーク監視装置。
- 請求項5において、自装置のネットワークアドレスと前記ネットワークより高い層における前記検疫対象のノードに相応するアドレスの組合せを含む情報を送信することを特徴とするネットワーク監視装置。
- 請求項5において、自装置のネットワークアドレスと前記ネットワークより高い層における通信相手ノードに相応するアドレスの組合せを含む情報を送信することを特徴とするネットワーク監視装置。
- 請求項3において、前記検疫サーバは他のネットワークに設置され、前記検疫サーバと、IPパケットのフィルタリング機能を持つルータを介して接続されることを特徴とするネットワーク監視装置。
- 請求項1において、OS或いはウィルス検出ソフトのアップデートデータを保存する保存部から、前記検疫対象のノードに前記アップデートデータが送信されようになすことを特徴とするネットワーク監視装置。
- フレームを受信する受信処理部と、フレームを送信する送信処理部と、検疫対象のノードから送信されたフレームを受信した場合、検疫対象のノードが特定したノードにおけるネットワークアドレス或いは前記ネットワークより高い層におけるアドレスの少なくとも一方を該ノードに相応しないアドレスとしてフレームを送信する処理部を有することを特徴とするネットワーク監視装置。
- 検疫対象のノードからフレームが送信されると、監視ノードから、前記検疫対象のノードと検疫に関する情報を格納するノードとの通信を妨げないよう、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せが含まれないようにフレームを送信するネットワークシステム。
- フレームを受信部で受信し、該受信が、検疫対象のノードから送信されたフレームである場合、検疫対象のノードに対する検疫に関する情報の通信を妨げないように、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せが含まれないよう演算処理し、送信部からフレームを送信するネットワーク監視方法。
- 検疫対象のノードからフレームが送信されると、監視ノードから、前記検疫対象のノードと検疫に関する情報を格納するノードとの通信を妨げないよう、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せが含まれないようにフレームを送信するネットワーク通信方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005178697A JP2006352719A (ja) | 2005-06-20 | 2005-06-20 | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
| TW095118494A TW200705887A (en) | 2005-06-20 | 2006-05-24 | Apparatus, method for monitoring network, network system, network monitoring method and network communication method |
| CN200610094656XA CN1905495B (zh) | 2005-06-20 | 2006-06-20 | 网络监视装置、网络监视方法、网络***和网络通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005178697A JP2006352719A (ja) | 2005-06-20 | 2005-06-20 | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006352719A true JP2006352719A (ja) | 2006-12-28 |
Family
ID=37648040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005178697A Pending JP2006352719A (ja) | 2005-06-20 | 2005-06-20 | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP2006352719A (ja) |
| CN (1) | CN1905495B (ja) |
| TW (1) | TW200705887A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009059224A (ja) * | 2007-08-31 | 2009-03-19 | Toshiba Corp | サーバ装置およびサーバ装置の制御方法 |
| JP2009100226A (ja) * | 2007-10-16 | 2009-05-07 | Toshiba Corp | 通信誘導装置、通信制御サーバ装置及びプログラム |
| JP2011130016A (ja) * | 2009-12-15 | 2011-06-30 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
| JP2011205560A (ja) * | 2010-03-26 | 2011-10-13 | Nec Corp | 不正接続防止装置及びプログラム |
| JP2011217016A (ja) * | 2010-03-31 | 2011-10-27 | Nec Corp | 不正接続防止装置及びプログラム |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5245837B2 (ja) * | 2009-01-06 | 2013-07-24 | 富士ゼロックス株式会社 | 端末装置、中継装置及びプログラム |
| TWI474668B (zh) * | 2012-11-26 | 2015-02-21 | 網點之判斷與阻擋之方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001016260A (ja) * | 1999-06-30 | 2001-01-19 | Mitsubishi Electric Corp | データ通信システム |
| JP2002084306A (ja) * | 2000-06-29 | 2002-03-22 | Hitachi Ltd | パケット通信装置及びネットワークシステム |
| JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1232072C (zh) * | 2002-05-10 | 2005-12-14 | 华为技术有限公司 | 多个虚拟局域网共用一个网际协议子网网段时的通信方法 |
-
2005
- 2005-06-20 JP JP2005178697A patent/JP2006352719A/ja active Pending
-
2006
- 2006-05-24 TW TW095118494A patent/TW200705887A/zh not_active IP Right Cessation
- 2006-06-20 CN CN200610094656XA patent/CN1905495B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001016260A (ja) * | 1999-06-30 | 2001-01-19 | Mitsubishi Electric Corp | データ通信システム |
| JP2002084306A (ja) * | 2000-06-29 | 2002-03-22 | Hitachi Ltd | パケット通信装置及びネットワークシステム |
| JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
Non-Patent Citations (1)
| Title |
|---|
| CSND200401409004, 実森仁志・榊原康, ""内部崩壊"する社内ネット 5つのシステム化で食い止めろ", 日経システム構築 2004年3月号, 20040226, No.131, pp.98−109, JP, 日経BP社 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009059224A (ja) * | 2007-08-31 | 2009-03-19 | Toshiba Corp | サーバ装置およびサーバ装置の制御方法 |
| JP2009100226A (ja) * | 2007-10-16 | 2009-05-07 | Toshiba Corp | 通信誘導装置、通信制御サーバ装置及びプログラム |
| JP2011130016A (ja) * | 2009-12-15 | 2011-06-30 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
| JP2011205560A (ja) * | 2010-03-26 | 2011-10-13 | Nec Corp | 不正接続防止装置及びプログラム |
| JP2011217016A (ja) * | 2010-03-31 | 2011-10-27 | Nec Corp | 不正接続防止装置及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1905495B (zh) | 2011-12-21 |
| TW200705887A (en) | 2007-02-01 |
| TWI315139B (ja) | 2009-09-21 |
| CN1905495A (zh) | 2007-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| JP5662133B2 (ja) | Ipsecとipv6近隣要請の競合解消方法及びそのシステム | |
| JP2006262141A (ja) | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム | |
| JP4487150B2 (ja) | 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム | |
| US8646033B2 (en) | Packet relay apparatus | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| US9686279B2 (en) | Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery | |
| US20200036682A1 (en) | Communication apparatus and communication system | |
| JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
| JP2006033206A (ja) | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム | |
| US8601271B2 (en) | Method and system for power management using ICMPV6 options | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| WO2017219777A1 (zh) | 一种报文处理方法及装置 | |
| US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
| JP4290526B2 (ja) | ネットワークシステム | |
| JP3616571B2 (ja) | インターネット中継接続におけるアドレス解決方式 | |
| JP4408831B2 (ja) | ネットワークシステムおよびその通信制御方法 | |
| JP5413940B2 (ja) | シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 | |
| JP2011124774A (ja) | ネットワーク監視装置、ネットワーク監視方法 | |
| JP2006287704A (ja) | スイッチングハブ | |
| JP2012199758A (ja) | 検疫管理装置、検疫システム、検疫管理方法、およびプログラム | |
| JP2022054640A (ja) | ネットワーク制御装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100524 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100615 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100810 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100914 |