JP3797937B2 - ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 - Google Patents
ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 Download PDFInfo
- Publication number
- JP3797937B2 JP3797937B2 JP2002026826A JP2002026826A JP3797937B2 JP 3797937 B2 JP3797937 B2 JP 3797937B2 JP 2002026826 A JP2002026826 A JP 2002026826A JP 2002026826 A JP2002026826 A JP 2002026826A JP 3797937 B2 JP3797937 B2 JP 3797937B2
- Authority
- JP
- Japan
- Prior art keywords
- connection
- rule
- packet
- network connection
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
【発明の属する技術分野】
本発明は、ネットワーク接続システム、ネットワーク接続方法に係り、特に、ネットワーク間の通信をアクセス制御するための接続ルールを集中管理して、ネットワークセキュリティ確保するのに好適なネットワーク接続システム、ネットワーク接続方法に関する。
【0002】
【従来の技術】
従来、ネットワークを相互接続する技術に関しては、特開平9−204385号公報に記載の従来の技術のように、ネットワークの相互接続点にファイアウォールやパケットフィルタ装置などを設置し、事前に登録した接続ルールでこれらの装置で中継する通信の正当性を確認して、アクセス制御することでセキュリティを確保する手法がとられてきた。
【0003】
【発明が解決しようとする課題】
上記従来技術は、外部ネットワークと管理ネットワークの接点に、接続状態検出装置と接続状態検出装置を置き、受信したパケットを処理するルールを保持して、そのルールに基づきパケットを制御するものであった。
【0004】
しかしながら、上記従来技術は、設定や運用の容易性の点で考慮されていない。というのも、上記システムを運用するためには、システム管理者が各々の装置に対して接続ルールを設定しなければならず、そのために、接続ルールの仕様やネットワークプロトコルに関する知識を必要とするからである。
【0005】
また、広帯域ネットワークの普及に伴い、家庭でもネットワークに常時接続することが一般的になりつつあり、家庭内ネットワークのセキュリティを確保するために、外部ネットワークとの接続点にファイアウォールやパケットフィルタ装置を設置する必要があるが、家庭の利用者ではその設定や運用が難しいという問題があった。
【0006】
本発明は、上記問題点を解決するためになされもので、その目的は、ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムにおいて、ネットワーク接続装置内でパケットを制御する接続ルールにより、パケットを処理することにより、セキュリティを確保し、かつ、その接続ルールを管理センタで集中管理することにより、個々の利用者がファイアウォールなどの運用を意識することない使いやすいネットワーク接続システムを提供することにある。
【0007】
また、ネットワーク接続装置で受信したパケットに関する接続ルールを、管理センタから転送させることにして、一定時間、その接続ルールでパケットを処理することにより、ネットワークの負荷を軽減することのできるネットワーク接続システムを提供することにある。
【0008】
【課題を解決するための手段】
上記目的を達成するために、本発明に係るネットワーク接続システムの構成は、接続ルールを集中管理する管理センタを設け、保護対象ネットワークと他のネットワークとの接続点にネットワーク接続装置を置いて通信パケットを管理センタへ転送し、接続ルールで許可された通信パケットのみ接続先へ転送することで、集中管理できるようにしたものである。
【0009】
また、管理センタに集中する負荷を分散させるために、管理センタで通信パケットに対する接続ルールを判定した後に、その接続ルールを通信パケット転送元のネットワーク接続装置に転送して、その接続ルールに一致する通信パケットをネットワーク接続装置内で処理できる機能を備えたものである。
【0010】
さらに、ネットワーク接続装置の接続ルール格納領域を削減するために、一定時間経過した接続ルールを廃棄することを特徴としたものである。
【0011】
また、本発明に係るネットワーク接続システムの他の構成は、ネットワーク接続装置が、管理センタに接続ルールを問合せて、その応答により、保持しておいた通信パケットを処理するようにしたものである。
【0012】
【発明の実施の形態】
以下、本発明に係る各実施形態を、図1ないし図17を用いて説明する。
【0013】
〔実施形態1〕
以下、本発明に係る第一の実施形態を、図1ないし図11を用いて説明する。(I)ネットワーク接続システムのシステム構成
先ず、図1を用いて本発明の第一の実施形態に係るネットワーク接続システムのシステム構成を説明する。
【0014】
図1は、本発明の第一の実施形態に係るネットワーク接続システムのシステム構成図である。
【0015】
本実施形態のネットワーク構成は、家庭内ネットワーク51や企業内ネットワーク52などの保護対象ネットワーク5が、ネットワーク接続装置4を介してサービス提供ネットワーク3経由で相互に、あるいは外部ネットワーク2と接続されているものである。そして、サービス提供ネットワーク3、または、外部ネットワーク2に接続されている管理センタ1とネットワーク接続装置4とが連携して、保護対象ネットワーク5と他のネットワークのアクセスを制御してセキュリティを確保するものである。
【0016】
ネットワーク接続装置4は、送信パケット処理部41、受信パケットフィルタ処理部42、接続ルール管理部43、パケット中継制御部49から構成される。
【0017】
送信パケット処理部41は、送信パケットの転送先を制御する部分である。受信パケットフィルタ処理部42は、受信パケットの中継可否などを制御する部分である。接続ルール管理部43は、送信パケットの転送先や受信パケットの中継可否などの接続ルール情報を保持、管理する部分である。なお、接続ルールは、後に具体例を挙げて詳細に説明する。パケット中継制御部49は、保護対象ネットワーク5側との通信を管理する部分である。
【0018】
なお、本明細書中で、受信パケットというのは、ネットワーク接続装置4が、外部ネットワーク2またはサービス提供ネットワーク3から受信して、保護ネットワーク5に送信するパケットを意味しており、送信パケットというのは、逆に、ネットワーク接続装置4が、保護ネットワーク5から受信して、外部ネットワーク2またはサービス提供ネットワーク3に送信するパケットを意味している。
【0019】
管理センタ1は、接続先管理部11、接続フィルタ処理部12、ルール転送部13から構成される。接続先管理部11は、保護対象ネットワーク5ごとの送信パケット転送先や受信パケット中継可否などの接続ルールを保持し、管理する部分である。接続フィルタ処理部12は、ネットワーク接続装置4から転送されてくる送受信パケットを接続ルールに従って処理する部分である。ルール転送部13は、接続フィルタ処理部12で使用した接続ルールをネットワーク接続装置へ転送する部分である。
【0020】
本実施形態では、管理センタ1とネットワーク接続装置4がサービス提供ネットワーク3を介して接続されているが、管理センタ1とネットワーク接続装置4の間の通信にバーチャル・プライベート・ネットワーク(VPN)などのセキュアな通信手段を用いても良い。VPNを用いることにより、管理センタ1やネットワーク接続装置4が外部ネットワーク2に直接接続されるイメージになり、セキュリティが確保できる。
(II)ネットワーク接続装置の受信処理
次に、図2ないし図4を用いて本発明の第一の実施形態に係るネットワーク接続装置の受信処理について説明する。
【0021】
(II−1)受信処理に関わるネットワーク接続装置の構成とそのデータフロー
先ず、図2を用いて受信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する。
図2は、本発明の第一の実施形態に係る受信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【0022】
この図2では、外部ネットワーク2やサービス提供ネットワーク3から保護対象ネットワーク5宛にパケットが送られて、ネットワーク接続装置がそれを受信するときの受信パケットや接続ルール情報などの流れを示している。
【0023】
ネットワーク接続装置4の中の受信パケットフィルタ処理部42は、接続ルール比較処理部421、未確認受信パケット転送処理部422からなっている。接続ルール比較処理部421は、接続ルール管理部43で保持する接続ルールと受信パケットの内容を比較して中継可否を判断する部分である。未確認受信パケット転送処理部422は、ネットワーク接続装置内に接続ルールが定義されていない未確認の受信パケットを管理センタ1に転送して、管理センタ1が許可した返信パケットのみを中継する部分である。
【0024】
受信パケットフィルタ処理部42が、パケットを受信して、ネットワーク接続装置内に接続ルールが定義されていないときには、その受信パケットを管理センタ1に転送する。それを受けて、管理センタ1では、接続フィルタ処理部12で未確認受信パケットの内容と接続先管理部11が保持する接続ルールを検索して、一致した接続ルールをルール転送部13でファイル転送プロトコルなどを利用してネットワーク接続装置の接続ルール管理部43へ送信する。また、中継が許可されたその受信パケットは、受信パケットフィルタ処理部42へ返信することにする。
【0025】
また、接続ルール管理部43は、接続ルール受信処理部431、接続ルール格納テーブル432、接続ルール格納テーブル管理部433から構成されている。接続ルール受信処理部431は、ルール転送部13との通信処理をおこなう部分である。接続ルール格納テーブル432は、パケットをどのように処理するかを示す接続ルールを格納するためのテーブルであり、接続ルール格納テーブル管理部433は、この接続ルール管理テーブル432をアクセスし、管理する部分である。
【0026】
(II−2)接続ルール:受信用
次に、図3を用いて本発明のネットワーク接続システムに用いられる接続ルールについて説明する。
図3は、受信パケットに対する接続ルール格納テーブル432の模式図である。
【0027】
接続ルールは、ネットワーク接続装置4内で、受信したパケットをどのように処理するかを記述するものであり、図3に示されているのは、受信パケットに対するものであり、接続ルール格納テーブル432に対象となるパケットの条件、それに対応する処理、有効時間などが規定される。
【0028】
図3に示された接続ルールは、TCP/IP(Transmission Control Protocol/Internet Protocol)プロトコルの受信パケットに対する構成例を示しており、送信元アドレスの範囲、接続元アプリケーションを特定する送信元ポート番号の範囲、接続先アプリケーションを特定する送信先ポート番号の範囲、当該エントリに一致した場合の処理、当該エントリの有効時間を保持している。図2に示された接続ルール比較処理部421は、受信パケットの送信元アドレス、送信元ポート番号、送信先ポート番号の組み合わせが、接続ルール格納テーブル432の何れかの受信パケット用エントリと一致した場合、当該エントリの「処理」欄に記述された処理を実行する。ここで言うアドレスとは、IPアドレスであり、ポートとは、TCPのポートであり、パケットがテーブルに該当するアドレス、ポートを持つときに、「処理」欄に記述されているように、そのパケットを、「廃棄」したり、保護対象ネットワーク側に「転送」することを意味している。また、有効時間は、接続ルール格納テーブル432のエントリがどれくらい有効であるかを示す時間であり、有効時間が過ぎたエントリは、削除するようにする。これは、管理センタ1で接続ルールを更新したときに、新しい接続ルールを受け入れるようにするためである。
【0029】
なお、図3の実施形態では、送信元アドレス範囲とポート番号の情報を利用しているが、送信先アドレス情報などと組み合わせてもよいし、他のプロトコルや項目を比較対象としてもよい。
【0030】
例えば、インターネット上のリソースを名称で指定するURL(Uniform Resource Locator)、IPヘッダに含まれるTOS(Type of Service)やセキュリティ情報などをルール情報としても良い。また、接続ルールは、プロトコルがTCP/IP以外のものであっても、そのプロトコルに応じて定義することができる。
【0031】
また、本実施形態では、接続ルール格納テーブル432の各エントリに有効時間情報を保持して、それによって、古くなった接続ルールを廃棄して、最新の接続ルールを管理センタ1に問い合わせにいくこととしたが、管理センタ1で接続ルールを変更時に、古い接続ルールの削除指示をネットワーク接続装置4の接続ルール管理部43へ送信して、接続ルール格納テーブル管理部433で当該エントリを探して廃棄するようにしても良い。
【0032】
(II−3)ネットワーク接続装置4のパケット受信処理
次に、図4を用いてネットワーク接続装置4のパケット受信処理について説明する。
図4は、第一の実施形態のネットワーク接続装置4の受信パケットフィルタ処理部42による受信パケットの処理の流れを示すフローチャートである。
【0033】
先ず、接続先からパケットを受信すると、接続ルール比較処理部421は、図3に示した接続ルール格納テーブル432の中から受信パケットの送信元アドレスや送信元ポート番号が一致するエントリを検索する(S421)。
【0034】
そして、一致するエントリが見つからなかった場合には(S422)、未確認受信パケット転送処理部422へそのパケットを渡して管理センタ1へ転送する(S423)。なお、以下で、「未確認受信パケット」と言うのは、そのパケットの受信時に、ネットワーク接続装置内で接続ルールが定義されていなかったパケットである。
【0035】
一致するエントリが見つかった場合には(S422)、接続ルール格納テーブル432の当該エントリの「処理」指示を参照して(S425)、「処理」指示が接続を許可しないことを示す「廃棄」であれば受信パケットを廃棄し(S426)、接続を許可することを示す「転送」であればパケット中継制御部49に渡して保護対象ネットワーク5へ中継する(S427)。
【0036】
一方、管理センタ1へ転送した(S423)未確認受信パケットは、後述の図5で説明する管理センタ1の未確認受信パケット処理の流れに従って転送の可否が判定されて、接続を許可する場合のみ受信パケットフィルタ処理部42へ返信され(S424)、パケット中継制御部49へ渡されて保護対象ネットワークに中継されることになる(S427)。これにより、ネットワーク接続装置4に接続ルールが保持されていない通信であっても、管理センタ1へその処理を委ねることになりパケットの処理を集中制御することができる。
(III)管理センタ1の未確認受信パケット受付処理
次に、図5を用いて管理センタ1の未確認受信パケット受付処理について説明する。
図5は、管理センタ1の未確認受信パケット受付処理の流れを示すフローチャートである。
【0037】
上で述べたように、ネットワーク接続装置4に受信パケットの接続ルールが定義されていないときには、管理センタ1に未確認受信パケットとして転送されてくる。図2に示した管理センタ1の接続先管理部11は、転送元のネットワーク接続装置4ごとに図3の構成例で示した接続ルール格納テーブル432と同じ接続ルールを保持している。
【0038】
管理センタ1の接続フィルタ処理部12は、ネットワーク接続装置4から転送されてきた未確認受信パケットを受け付けると、接続先管理部11が保持する接続ルールの中から未確認受信パケットの送信元アドレスや送信元ポート番号などと一致するエントリを検索する(S121)。
【0039】
そして、一致するエントリが見つからなかった場合には(S122)、そのパケットを廃棄する接続ルールを作成してルール転送部13から未確認受信パケット転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S124)、その未確認受信パケットを廃棄する(S127)。すなわち、管理センタ1でそのパケットに関する接続ルールが定義されていないときには、デフォルトとして、そのパケットを廃棄するルールが作成される。なお、ネットワーク接続装置4が、接続ルールを受信したときの処理については、次で説明する。
【0040】
一致するエントリが見つかった場合には(S122)、当該接続ルールをルール転送部13から未確認受信パケット転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S123)、当該接続ルールの「処理」指示を参照して(S125)、接続を許可しないことを示す「廃棄」であれば受信パケットを廃棄し(S127)、接続を許可することを示す「転送」であれば受信パケットを送信元のネットワーク接続装置4の受信パケットフィルタ処理部42へ返信して(S126)保護対象ネットワークへ中継されるようにする。
【0041】
このように接続ルールは、管理センタ1で集中管理するというのが本発明の基本的な考え方である。そして、ネットワーク装置4にパケットが来たときで、そのパケットに関する接続ルールが定義されていないときには、管理センタ1から転送する。このようにすることにより、それ以降、同じパケットが来たときには、ネットワーク接続装置4に保持する接続ルールで処理することができるため、受信パケットの処理が高速化でき、管理センタ1への負荷集中を避けることができる。
(IV)ネットワーク接続装置4の接続ルール受信処理
次に、図6を用いてネットワーク接続装置4のパケット受信処理について説明する。
図6は、ネットワーク接続装置4の接続ルール管理部43による接続ルール受信処理の流れを示すフローチャートである。
【0042】
管理センタ1のルール転送部13から接続ルールが送られてくると、ネットワーク接続装置4では、接続ルール管理部43の接続ルール受信処理部431で接続ルールを受信することになる。そして、接続ルール管理部43の接続ルール格納テーブル管理部433は、接続ルール格納テーブル432の中から受信した接続ルールのアドレス範囲やポート番号範囲などが一致するエントリを検索する(S431)。
【0043】
このとき、一致するエントリが見つかった場合には(S432)、受信した接続ルールで接続ルール格納テーブル432の当該エントリの内容を更新し(S436)、当該エントリの有効時間監視タイマを再起動する(S437)。
【0044】
一致するエントリが見つからなかった場合には(S432)、新しい情報を格納するために接続ルール格納テーブル432に空き領域があるか否かを確認して(S433)、無い場合には最も古い情報として有効時間の残りが最も少ないエントリを探して削除して領域を空け(S434)、受信した接続ルールを接続ルール格納テーブル432へ格納し(S435)、有効時間監視タイマを起動する(S437)。
【0045】
すなわち、本発明の接続ルールは、有効時間を持っていて、有効時間の残り少ないエントリを削除するために、最も最新に受信した接続ルールが、接続ルール格納テーブル432に保持されることになる。これは、有効時間の残り少ないエントリの接続ルールは、有効時間の多いエントリの接続ルールよりも利用価値が減少しているという考え方による。このように削除して、その後、その接続ルールにより処理されるべきパケットが来た場合であって、必要になれば、管理センタ1から再度、接続ルールが転送されてくるため、機能を損なうことはない。
(V)接続ルールの有効時間タイムアウトによる削除処理
次に、図7を用いて接続ルールの有効時間タイムアウトによる削除処理について説明する。
図7は、接続ルールの有効時間タイムアウトによる削除処理の流れを示すフローチャートである。
【0046】
接続ルール格納テーブル管理部433は、タイマによる一定時間のトリガーにより、有効時間タイムアウトの通知を受けると、接続ルール格納テーブル432から、有効期間が満了したエントリを削除する(S439)。
【0047】
このように、一定時間経過した接続ルールは、削除されるので、一定時間たつと、その接続ルールに対応する受信パケットが来た場合には、管理センタ1の最新の接続ルールを受信することになる。したがって、接続ルールが管理センタ1で更新される場合であっても、ネットワーク接続装置4と、くい違いが生じるの防ぐことができる。
【0048】
本実施形態では、有効時間をタイマによる一定時間のトリガーにより計測して、残された有効時間により、接続ルールを削除していく例を示したが他の方法も考えられる。
【0049】
例えば、一日の内で時間を定めておき、午前0時になったときに、接続ルールを削除するようにしてもよい。また、ネットワーク接続装置4の電源のON・OFFをトリガーにして、接続ルールを削除するようにしてもよい。さらに、その接続ルールで、一定数以上のパケットを処理したときに、削除するようにしてもよい。
【0050】
本実施形態では、管理センタ1において、接続ルールに従って未確認パケットに対応する接続ルールを転送したり、作成したりする処理のみ示しているが、接続ルールの判定結果を記録することにより、接続状態を集中監視するようにしてもよい。
【0051】
本実施形態によれば、ネットワーク接続装置4に保持されている接続ルールが有効時間経過後に破棄されるため、接続ルールに適切な有効時間を設定すれば、管理センタ1で全てのネットワーク接続装置4における接続ルールを適切に集中管理することができる。
(VI)ネットワーク接続装置の送信処理
次に、図8ないし図10を用いて本発明の第一の実施形態に係るネットワーク続装置の送信処理について説明する。
【0052】
(VI−1)送信処理に関わるネットワーク接続装置の構成とそのデータフロー
先ず、図8を用いて送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する。
図8は、本発明の第一の実施形態に係る送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【0053】
この図8では、ネットワーク接続装置に保護対象ネットワーク5からパケットが送られて、外部ネットワーク2やサービス提供ネットワーク3に送信するときの送信パケットや接続ルール情報などの流れを示している。
【0054】
送信パケット転送処理部41は、送信経路選択処理部411、未確認送信パケット転送処理部412からなっている。送信経路選択処理部411は、接続ルール管理部43で保持する接続ルールと送信パケットの内容を比較して転送可否や転送先を判断する部分である。未確認送信パケット転送処理部412は、接続ルールが無い未確認の送信パケットを管理センタ1に転送して処理を依頼する部分である。
【0055】
未確認送信パケットがネットワーク接続装置4から送られてくると、管理センタ1では、接続フィルタ処理部12で未確認送信パケットの内容と接続先管理部11が保持する接続ルールを検索して、一致した接続ルールをルール転送部13でファイル転送プロトコルなどを利用してネットワーク接続装置の接続ルール管理部43へ送信し、かつ、接続ルールで中継が許可された送信パケットについては、指定された転送先に送信する。
【0056】
(VI−2)接続ルール:送信用
次に、図9を用いて本発明のネットワーク接続システムに用いられる送信パケットに対する接続ルールについて説明する。
図9は、送信パケットに対する接続ルール格納テーブル432の模式図である。
【0057】
既に、受信用パケットに対する接続ルールについて説明したが、ここで説明するのは、保護対象ネットワーク5から、外部ネットワーク2またはサービス提供ネットワーク3に送信するパケットをどのように処理するかを記述するものであり、接続ルール格納テーブル432に対象となるパケットの条件、それに対応する処理、有効時間、転送先などが規定される。
【0058】
図9に示した接続ルールは、TCP/IPプロトコルの送信パケットに対する構成例を示しており、送信先アドレスの範囲、接続先アプリケーションを特定する送信先ポート番号の範囲、接続元アプリケーションを特定する送信元ポート番号の範囲、転送先のアドレス、当該エントリに一致した場合の処理、当該エントリの有効時間を保持している。これらの意味については、受信パケットのときに説明したものと、おおむね同様であるが、送信パケット用のルール格納テーブルは、「転送先」欄を持っていることが異なっている。
【0059】
送信経路選択処理部411は、送信パケットの送信先アドレス、送信先ポート番号、送信元ポート番号の組み合わせが、接続ルール格納テーブル432の何れかの送信パケット用エントリと一致した場合、当該エントリの「処理」欄に記述された処理を実行する。すなわち、「処理」欄に「拒否」が記述されているときには、その送信パケットを外部ネットワーク2またはサービス提供ネットワークに送信することを拒否し、「転送」が記述されているときには、そのパケットの送信先アドレスか、または、「転送先」欄に記述されている転送先アドレスへ送信する。
【0060】
なお、図9の実施形態では、送信元アドレス範囲とポート番号の情報を利用しているが、送信先アドレス情報などと組み合わせてもよいし、他のプロトコルや項目を比較対象としてもよいのは、受信パケットのときと同様である。
【0061】
(VI−3)ネットワーク接続装置4のパケット送信処理
次に、図10を用いてネットワーク接続装置4のパケット送信処理について説明する。
図10は、本発明の第一の実施形態に係るネットワーク接続装置4の送信パケット転送処理部41による送信パケットの処理の流れを示すフローチャートである。
【0062】
先ず、保護対象ネットワーク5からパケット中継制御部49を介して、パケットを受信すると、送信経路選択処理部411は、接続ルール格納テーブル432の中から送信パケットの送信先アドレスや送信先ポート番号などと一致するエントリを検索する(S411)。そして、一致するエントリが見つからなかった場合には(S412)、未確認送信パケット転送処理部412に渡して管理センタ1へ転送する(S413)。一致するエントリが見つかった場合には(S412)、当該エントリの「処理」指示を参照して(S414)、接続を許可しないことを示す「拒否」であればパケット中継制御部49から送信元へ拒否を通知するか送信パケットを廃棄し(S415)、接続を許可することを示す「転送」であれば接続ルールの転送先指定に従って、転送先が指定されていればそのアドレスに送信し、指定されていなければ送信パケットの送信先アドレスに送信する(S416)。
【0063】
なお、管理センタ1へ転送された未確認送信パケットは、後述するように管理センタ1内で、接続ルールにしたがって、「廃棄」されるか「転送」されることになる。
(VII)管理センタ1の未確認送信パケット受付処理
次に、図11を用いて管理センタ1の未確認送信パケット受付処理について説明する。
図11は、管理センタ1の未確認送信パケット受付処理の流れを示すフローチャートである。
【0064】
(III)の項目で、管理センタ1の未確認受信パケット受付処理の流れを説明したが、未確認送信パケット受付処理の流れについても、おおむね同様である。
【0065】
ネットワーク接続装置4に送信パケットの接続ルールが定義されていないときには、管理センタ1に未確認送信パケットとして転送されてくる。図8に示した管理センタ1の接続先管理部11は、転送元のネットワーク接続装置4ごとに図9の構成例で示した接続ルール格納テーブル432と同じ接続ルールを保持している。
【0066】
管理センタ1の接続フィルタ処理部12は、ネットワーク接続装置4から転送されてきた未確認送信パケットを受け付けると、接続先管理部11が保持する接続ルールの中から未確認送信パケットの送信先アドレスや送信先ポート番号が一致するエントリを検索する(S111)。そして、一致するエントリが見つからなかった場合には(S112)、そのパケットの送信を拒否する接続ルールを作成してルール転送部13から未確認送信パケット転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S114)、それと同時に、送信を許可しないものとして未確認送信パケットを廃棄する(S117)。一致するエントリが見つかった場合には(S112)、当該接続ルールをルール転送部13から未確認送信パケット転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S113)、当該接続ルールの「処理」指示を参照して(S115)、パケットの送信を許可しないことを示す「拒否」であれば送信パケットを廃棄し(S117)、「転送」であれば、接続ルールの転送先指定に従って、転送先が指定されていればそのアドレスに送信し、指定されていなければ送信パケットの送信先アドレスに送信する(S116)。
【0067】
なお、未確認送信パケットを管理センタ1が受信して、接続ルールをネットワーク接続装置4に転送したときの接続ルール受信処理については、既に(IV)の項目で説明している。
【0068】
既に説明したように、本発明では、接続ルールを管理センタ1で集中管理している。これは、受信パケットに関する接続ルールも送信パケットに関する接続ルールでも同様であり、接続ルールをネットワーク接続装置4に転送することにより、接続ルールを集中管理しながら、以降の送信パケット転送処理41の高速化と管理センタ1への負荷集中を避けることができることについても同様である。(VIII)本実施形態の特徴
本実施形態では、ネットワーク装置4内で処理される受信パケット、送信パケットの接続ルールを管理センタ1で集中管理している。そのため、ネットワーク全体のパケットの管理、ネットワーク接続装置4の管理が容易になり、ネットワークのセキュリティを高めることができる。
【0069】
また、ネットワーク接続装置4が一端受信したパケットの接続ルールが、管理センタから転送され、一定時間は、その接続ルールにより、ネットワーク接続装置4内で処理の判断をおこなえるため、管理センタ1や特定のネットワークに負荷が集中するのを防止することができる。
【0070】
ネットワーク接続装置4内に、受信パケットや送信パケットの接続ルールが定義されていないときは、未確認のパケットとして管理センタ1に転送するようにしているため、ネットワーク接続装置内に、パケットを保持するメモリ機構などが不要になる。
【0071】
さらに、接続ルールに有効時間を設けてあるため、管理センタ1での接続ルールが更新される場合であっても、一定時間後には、ネットワーク接続装置4との齟齬が解消されるようになっている。
【0072】
〔実施形態2〕
以下、本発明に係る第二の実施形態を、図12ないし図17を用いて説明する。
【0073】
第一の実施形態では、ネットワーク接続装置4が受信パケット、送信パケットを受け取ったときに、そのパケットに関する接続ルールが定義されていない場合には、そのパケットを管理センタ1に転送して管理センタ1にそれ以降の処理を委ねるようにしていた。
【0074】
本実施形態では、ネットワーク接続装置4が受信パケット、送信パケットを受け取ったときに、そのパケットに関する接続ルールが定義されていない場合にはは、そのパケットをネットワーク接続装置4内に保持して、管理センタ1にその処理を問合せるようにして、その応答によりネットワーク接続装置4内でそれ以降の処理をおこなうようにするものである。
【0075】
以下では、第一の実施形態の違いに重点を置いて説明して行くものとする。
(I)ネットワーク接続システムのシステム構成
ネットワーク接続システムのシステム構成は、図1に示した第一の実施形態とほぼ同じであるが、管理センタ1の機能、ネットワーク接続装置4内の送信パケット転送処理部41、受信パケットフィルタ処理部42の機能が異なっている。
(II)ネットワーク接続装置の受信処理
次に、図12および図13を用いて本発明の第二の実施形態に係るネットワーク接続装置の受信処理について説明する。
【0076】
(II−1)受信処理に関わるネットワーク接続装置の構成とそのデータフロー
図12は、本発明の第二の実施形態に係る受信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【0077】
全体の構成としては、図2に示した第一の実施形態のものと、ほぼ同じであるが、受信バケットフィルタ処理部423が、問合せパケット処理部423、受信パケット保持部424を有していることが異なっている。
【0078】
問合せパケット処理部423は、ネットワーク接続装置内に接続ルールが定義されていない未確認の受信パケットが来た場合は、管理センタ1に問合せパケットを送り、そのパケットの処理に関する応答を受け取る部分である。
【0079】
受信パケット保持部424は、未確認の受信パケットが来た場合に、管理センタ1に問合せて、その応答が返ってくるまで、そのパケットを保持する部分である。
【0080】
(II−2)ネットワーク接続装置4のパケット受信処理
次に、図13を用いてネットワーク接続装置4のパケット受信処理について説明する。
図13は、第二の実施形態のネットワーク接続装置4の受信パケットフィルタ処理部42による受信パケットの処理の流れを示すフローチャートである。
【0081】
本実施形態では、接続先からパケットを受信し(S421)、接続ルール格納テーブル432の中から該当する接続ルールのエントリを検索し(S422)、見つからなかったときには、第一の実施形態のS423の処理の代わりに、問合せパケット処理部423により、問合せパケットを管理センタ1に転送する(S423a)。そして、未確認受信パケットを受信パケット保持部424に保持する。
【0082】
そして、問合せに対する応答を管理センタ1から受信して(S424a)、応答が、「廃棄」の場合には、受信パケット保持部424に保持された未確認受信パケットを廃棄し(S426)、「転送」の場合には、未確認受信パケットをパケット中継制御部49に渡して保護対象ネットワーク5へ中継する(S427)。
(III)未確認受信パケットに対する管理センタ1の問合せパケット受付処理
次に、図14を用いて管理センタ1の未確認受信パケット受付処理について説明する。
図14は、管理センタ1の未確認受信パケットに対する問合せパケット受付処理の流れを示すフローチャートである。
【0083】
上で述べたように、ネットワーク接続装置4に受信パケットの接続ルールが定義されていないときには、管理センタ1に問合せパケットが転送されてくる
管理センタ1の接続フィルタ処理部12は、ネットワーク接続装置4から転送されてきた問合せパケットを受け付けると、接続先管理部11が保持する接続ルールの中からその問い合わせられたパケットに該当するエントリを検索する(S121a)。
【0084】
そして、一致するエントリが見つからなかった場合には(S122)、そのパケットを廃棄する接続ルールを作成してルール転送部13から未確認受信パケット転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S124)、その未確認受信パケットを廃棄する旨の応答をネットワーク接続装置4におこなう(S127a)。
【0085】
一致するエントリが見つかった場合には(S112)、当該接続ルールをルール転送部13から問合せパケットの転送元のネットワーク接続装置4の接続ルール管理部43へ送信し(S123)、当該接続ルールの「処理」指示を参照して(S125)、接続を許可しないことを示す「廃棄」であれば、そのパケットを廃棄する旨をネットワーク接続装置4に応答し(S127a)、接続を許可することを示す「転送」であれば、そのパケットを転送する旨をネットワーク接続装置4に応答する(S126a)。
(IV)ネットワーク接続装置の送信処理
次に、図15ないし図17を用いて本発明の第二の実施形態に係るネットワーク続装置の送信処理について説明する。
【0086】
(IV−1)送信処理に関わるネットワーク接続装置の構成とそのデータフロー
先ず、図15を用いて送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する。
図15は、本発明の第二の実施形態に係る送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【0087】
全体の構成としては、図8に示した第一の実施形態のものと、ほぼ同じであるが、送信バケットフィルタ処理部423が、問合せパケット処理部413、送信パケット保持部424を有していることが異なっている。
【0088】
問合せパケット処理部423は、ネットワーク接続装置内に接続ルールが定義されていない未確認の送信パケットが来た場合は、管理センタ1に問合せパケットを送り、そのパケットの処理に関する応答を受け取る部分である。
【0089】
送信パケット保持部414は、未確認の送信パケットが来た場合に、管理センタ1に問合せて、その応答が返ってくるまで、そのパケットを保持する部分である。
【0090】
(IV−2)ネットワーク接続装置4のパケット送信処理
次に、図16を用いてネットワーク接続装置4のパケット送信処理について説明する。
図16は、本発明の第二の実施形態に係るネットワーク接続装置4の送信パケット転送処理部41による送信パケットの処理の流れを示すフローチャートである。
【0091】
本実施形態では、保護対象ネットワーク5からパケットを受信し、接続ルール格納テーブル432の中から該当する接続ルールのエントリを検索し(S412)、見つからなかったときには、第一の実施形態のS413の処理の代わりに、問合せパケット処理部413により、問合せパケットを管理センタ1に転送する(S413a)。そして、未確認送信パケットを送信パケット保持部414に保持する。
【0092】
そして、問合せに対する応答を管理センタ1から受信して(S414)、応答が、「廃棄」の場合には、送信パケット保持部414に保持された未確認送信パケットを廃棄し、保護対象ネットワーク4の送信元に拒否の応答をする(S415)、「転送」の場合には、未確認送信パケットをパケット中継制御部49に渡して保護対象ネットワーク5へ中継する(S416a)。
(V)未確認送信パケットに対する管理センタ1の問合せパケット受付処理
次に、図17を用いて管理センタ1の未確認送信パケット受付処理について説明する。
図17は、未確認送信パケットに対する管理センタ1の問合せパケット受付処理の流れを示すフローチャートである。
【0093】
(III)で受信パケットに関する管理センタの問合せパケット受付処理を示したが、ここでは、パケットが送信パケットに代わるだけで、処理内容は同じである。
(VI)本実施形態の特徴
本実施形態では、未確認受信パケット、未確認送信パケットがあったときには、管理センタ1に問合せパケットを送信することにした。そのため、管理センタ1とネットワーク装置4間のトラフィックの増加を押さえることができ、受信したパケットを転送時に紛失するおそれもない。
【0094】
【発明の効果】
本発明によれば、ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムにおいて、ネットワーク接続装置内でパケットを制御する接続ルールにより、パケットを処理することにより、セキュリティを確保し、かつ、その接続ルールを管理センタで集中管理することにより、個々の利用者がファイアウォールなどの運用を意識することない使いやすいネットワーク接続システムを提供することができる。
【0095】
また、本発明によれば、ネットワーク接続装置で受信したパケットに関する接続ルールを、管理センタから転送させることにして、一定時間、その接続ルールでパケットを処理することにより、ネットワークの負荷を軽減することのできるネットワーク接続システムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第一の実施形態に係るネットワーク接続システムのシステム構成図である。
【図2】本発明の第一の実施形態に係る受信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【図3】受信パケットに対する接続ルール格納テーブル432の模式図である。
【図4】第一の実施形態のネットワーク接続装置4の受信パケットフィルタ処理部42による受信パケットの処理の流れを示すフローチャートである。
【図5】管理センタ1の未確認受信パケット受付処理の流れを示すフローチャートである。
【図6】ネットワーク接続装置4の接続ルール管理部43による接続ルール受信処理の流れを示すフローチャートである。
【図7】接続ルールの有効時間タイムアウトによる削除処理の流れを示すフローチャートである。
【図8】本発明の第一の実施形態に係る送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【図9】送信パケットに対する接続ルール格納テーブル432の模式図である。
【図10】本発明の第一の実施形態に係るネットワーク接続装置4の送信パケット転送処理部41による送信パケットの処理の流れを示すフローチャートである。
【図11】管理センタ1の未確認送信パケット受付処理の流れを示すフローチャートである。
【図12】本発明の第二の実施形態に係る受信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【図13】第二の実施形態のネットワーク接続装置4の受信パケットフィルタ処理部42による受信パケットの処理の流れを示すフローチャートである。
【図14】管理センタ1の未確認受信パケットに対する問合せパケット受付処理の流れを示すフローチャートである。
【図15】本発明の第二の実施形態に係る送信処理に関わるネットワーク接続装置の構成とそのデータフローを説明する図である。
【図16】本発明の第二の実施形態に係るネットワーク接続装置4の送信パケット転送処理部41による送信パケットの処理の流れを示すフローチャートである。
【図17】未確認送信パケットに対する管理センタ1の問合せパケット受付処理の流れを示すフローチャートである。
【符号の説明】
1…管理センタ
11…接続先管理部
12…接続フィルタ処理部
13…ルール転送部
4…ネットワーク接続装置
41…送信パケット転送処理部
411…送信経路選択処理部
412…未確認送信パケット転送処理部
413…問合せパケット処理部
414…送信パケット処理部
42…受信パケットフィルタ処理部
421…接続ルール比較処理部
422…未確認受信パケット転送処理部
423…問合せパケット処理部
424…受信パケット処理部
43…接続ルール管理部
431…接続ルール受信処理部
432…接続ルール格納テーブル
433…接続ルール格納テーブル管理部
5…保護対象ネットワーク
Claims (20)
- ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムにおいて、
パケットを制御する接続ルールを保持・作成する管理センタを備え、
前記ネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがあるときには、その接続ルールに従って、その受信したパケットを処理し、
その受信したパケットに対応する接続ルールがないときには、前記管理センタに、その受信したパケットを転送し、
前記管理センタよりその対応する接続ルールを受信して、更新することを特徴とするネットワーク接続システム。 - 前記管理センタは、
前記ネットワーク接続装置より送られてくるパケットに対応する接続ルールを保持するときには、その接続ルールを送信し、
前記ネットワーク接続装置より送られてくるパケットに対応する接続ルールを保持しないときには、新規にそのパケットに対応する接続ルールを作成して、前記ネットワーク接続装置に送信し、
かつ、そのパケットを対応する接続ルールに従って処理することを特徴とする請求項1記載のネットワーク接続システム。 - 前記ネットワーク接続装置内で、前記接続ルールを保持する有効時間を定め、有効時間を経過した接続ルールは削除することを特徴とする請求項1および請求項2記載のいずれかのネットワーク接続システム。
- 前記ネットワーク接続装置は、前記接続ルールを保持するルール格納テーブルを有し、前記管理センタから前記接続ルールを受信した際に、前記ルール格納テーブルの空きエントリがない場合には、前記ルール格納テーブルのエントリに格納されている接続ルールの有効時間の少ない接続ルールのエントリから削除することを特徴とする請求項3記載のネットワーク接続システム。
- ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムにおいて、
パケットを制御する接続ルールを保持・作成する管理センタを備え、
前記ネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがあるときには、その接続ルールに従って、その受信したパケットを処理し、
その受信したパケットに対応する接続ルールがないときには、前記管理センタに、その受信したパケットに対応する接続ルールを問合せ、
前記管理センタよりその対応する接続ルールを受信して、更新し、その受信した接続ルールに従って、その受信したパケットを制御することを特徴とするネットワーク接続システム。 - 前記管理センタは、前記ネットワーク接続装置より問合せがあった場合に、
問合せがあったパケットに対応する接続ルールを保持するときには、その接続ルールを送信し、
問合せがあったパケットに対応する接続ルールを保持しないときには、新規にそのパケットに対応する接続ルールを作成して、前記ネットワーク接続装置に送信することを特徴とする請求項5記載のネットワーク接続システム。 - 前記ネットワーク接続装置内で、前記接続ルールを保持する有効時間を定め、有効時間を経過した接続ルールは削除することを特徴とする請求項5および請求項6記載のいずれかのネットワーク接続システム。
- 前記ネットワーク接続装置は、前記接続ルールを保持するルール格納テーブルを有し、前記管理センタから前記接続ルールを受信した際に、前記ルール格納テーブルの空きエントリがない場合には、前記ルール格納テーブルのエントリに格納されている接続ルールの有効時間の少ない接続ルールのエントリから削除することを特徴とする請求項7記載のネットワーク接続システム。
- ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムのネットワーク接続方法において、
このネットワーク接続システムは、
パケットを制御する接続ルールを保持・作成する管理センタを備え、
前記ネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがあるときには、その接続ルールに従って、その受信したパケットを処理する手順と、
その受信したパケットに対応する接続ルールがないときには、前記管理センタに、その受信したパケットを転送する手順と、
前記管理センタよりその対応する接続ルールを受信して、更新する手順とを有することを特徴とするネットワーク接続方法。 - 前記管理センタは、
前記ネットワーク接続装置より送られてくるパケットに対応する接続ルールを保持するときには、その接続ルールを送信する手順と、
前記ネットワーク接続装置より送られてくるパケットに対応する接続ルールを保持しないときには、新規にそのパケットに対応する接続ルールを作成して、前記ネットワーク接続装置に送信する手順と、
そのパケットを対応する接続ルールに従って処理する手順とを有することを特徴とする請求項9記載のネットワーク接続方法。 - 前記ネットワーク接続装置内で、前記接続ルールを保持する有効時間を定め、有効時間を経過した接続ルールは削除する手順を有することを特徴とする請求項9および請求項10記載のいずれかのネットワーク接続方法。
- 前記ネットワーク接続装置は、前記接続ルールを保持するルール格納テーブルを有し、前記管理センタから前記接続ルールを受信した際に、前記ルール格納テーブルの空きエントリがない場合には、前記ルール格納テーブルのエントリに格納されている接続ルールの有効時間の少ない接続ルールのエントリから削除する手順を有することを特徴とする請求項11記載のネットワーク接続方法。
- ネットワークを相互に接続するネットワーク接続装置を有するネットワーク接続システムのネットワーク接続方法において、
このネットワーク接続システムは、
パケットを制御する接続ルールを保持・作成する管理センタを備え、
前記ネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがあるときには、その接続ルールに従って、その受信したパケットを処理する手順と、
その受信したパケットに対応する接続ルールがないときには、前記管理センタに、その受信したパケットに対応する接続ルールを問合せる手順と、
前記管理センタよりその対応する接続ルールを受信して、更新し、その受信した接続ルールに従って、その受信したパケットを制御する手順とを有することを特徴とするネットワーク接続方法。 - 前記管理センタは、前記ネットワーク接続装置より問合せがあった場合に、
問合せがあったパケットに対応する接続ルールを保持するときには、その接続ルールを送信する手順と、
問合せがあったパケットに対応する接続ルールを保持しないときには、新規にそのパケットに対応する接続ルールを作成して、前記ネットワーク接続装置に送信する手順とを有することを特徴とする請求項13記載のネットワーク接続方法。 - 前記ネットワーク接続装置内で、前記接続ルールを保持する有効時間を定め、有効時間を経過した接続ルールは削除する手順を有することを特徴とする請求項13および請求項14記載のいずれかのネットワーク接続方法。
- 前記ネットワーク接続装置は、前記接続ルールを保持するルール格納テーブルを有し、前記管理センタから前記接続ルールを受信した際に、前記ルール格納テーブルの空きエントリがない場合には、前記ルール格納テーブルのエントリに格納されている接続ルールの有効時間の少ない接続ルールのエントリから削除する手順を有することを特徴とする請求項15記載のネットワーク接続方法。
- ネットワークを相互に接続するネットワーク接続装置において、
前記ネットワーク接続装置は、パケットを制御する接続ルールに従って、受信したパケットを処理する機能を有し、
このネットワーク接続装置が用いられるネットワークシステムには、前記接続ルールを保持・作成する管理センタを備え、
このネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがないときには、前記管理センタよりその対応する接続ルールを受信して、更新する機能を有し、
このネットワーク接続装置内で、前記接続ルールを保持する有効時間を定め、有効時間を経過した接続ルールは削除することを特徴とするネットワーク接続装置。 - 前記接続ルールを保持するルール格納テーブルを有し、前記管理センタから前記接続ルールを受信した際に、前記ルール格納テーブルの空きエントリがない場合には、前記ルール格納テーブルのエントリに格納されている接続ルールの有効時間の少ない接続ルールのエントリから削除することを特徴とする請求項17記載のネットワーク接続装置。
- その受信したパケットに対応する接続ルールがないときには、そのパケットをネットワーク接続装置内で保持することなく、前記管理センタに、その受信したパケットを転送することを特徴とする請求項17記載のネットワーク接続装置。
- ネットワークを相互に接続するネットワーク接続装置において、
前記ネットワーク接続装置は、パケットを制御する接続ルールに従って、受信したパケットを処理する機能を有し、
このネットワーク接続装置が用いられるネットワークシステムには、前記接続ルールを保持・作成する管理センタを備え、
このネットワーク接続装置は、前記接続ルールを保持し、パケットを受信したときに、
その受信したパケットに対応する接続ルールがないときには、前記管理センタよりその対応する接続ルールを受信して、更新する機能を有し、
前記接続ルールを削除する条件を、一定時間、一定の事象が発生すること、または、パケット処理数とすることを特徴とするネットワーク接続装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002026826A JP3797937B2 (ja) | 2002-02-04 | 2002-02-04 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
US10/435,250 US7225269B2 (en) | 2002-02-04 | 2003-05-12 | Network gateway system having rules for exchanging packet, network gateway method, and network gateway device therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002026826A JP3797937B2 (ja) | 2002-02-04 | 2002-02-04 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003229913A JP2003229913A (ja) | 2003-08-15 |
JP3797937B2 true JP3797937B2 (ja) | 2006-07-19 |
Family
ID=27748539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002026826A Expired - Fee Related JP3797937B2 (ja) | 2002-02-04 | 2002-02-04 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7225269B2 (ja) |
JP (1) | JP3797937B2 (ja) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7525956B2 (en) | 2001-01-11 | 2009-04-28 | Transnexus, Inc. | Architectures for clearing and settlement services between internet telephony clearinghouses |
US20050078668A1 (en) * | 2003-10-08 | 2005-04-14 | Wittenberg Joel L. | Network element having a redirect server |
JP2005277498A (ja) * | 2004-03-23 | 2005-10-06 | Fujitsu Ltd | 通信システム |
US7506369B2 (en) * | 2004-05-27 | 2009-03-17 | Microsoft Corporation | Secure federation of data communications networks |
US7296024B2 (en) | 2004-08-19 | 2007-11-13 | Storage Technology Corporation | Method, apparatus, and computer program product for automatically migrating and managing migrated data transparently to requesting applications |
US7801128B2 (en) | 2006-03-31 | 2010-09-21 | Amazon Technologies, Inc. | Managing communications between computing nodes |
JP3992067B1 (ja) * | 2006-05-11 | 2007-10-17 | 松下電工株式会社 | ネットワークシステム |
JP4985246B2 (ja) * | 2007-09-04 | 2012-07-25 | 富士通株式会社 | データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム |
JP4892469B2 (ja) * | 2007-12-20 | 2012-03-07 | キヤノン株式会社 | 通信装置及びその制御方法、プログラム |
JP5088162B2 (ja) * | 2008-02-15 | 2012-12-05 | 富士通株式会社 | フレーム伝送装置およびループ判定方法 |
JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
US9215175B2 (en) | 2010-09-09 | 2015-12-15 | Nec Corporation | Computer system including controller and plurality of switches and communication method in computer system |
JP2012065287A (ja) * | 2010-09-17 | 2012-03-29 | Toshiba Corp | セキュリティゲートウェイシステムとその方法 |
KR101206095B1 (ko) * | 2010-11-30 | 2012-11-28 | 엘에스산전 주식회사 | 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법 |
US10592262B1 (en) | 2011-06-27 | 2020-03-17 | Amazon Technologies, Inc. | Managing shared computing environments |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
CN103152289B (zh) * | 2013-01-28 | 2016-08-17 | 山东智慧生活数据***有限公司 | 一种层次化服务质量调度方法和装置 |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9621588B2 (en) * | 2014-09-24 | 2017-04-11 | Netflix, Inc. | Distributed traffic management system and techniques |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
JP6310874B2 (ja) | 2015-03-12 | 2018-04-11 | 株式会社日立製作所 | インシデント検知システム |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US6490620B1 (en) * | 1997-09-26 | 2002-12-03 | Worldcom, Inc. | Integrated proxy interface for web based broadband telecommunications management |
US6308216B1 (en) * | 1997-11-14 | 2001-10-23 | International Business Machines Corporation | Service request routing using quality-of-service data and network resource information |
US6779118B1 (en) * | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
US6611875B1 (en) * | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
US6754707B2 (en) * | 1999-10-28 | 2004-06-22 | Supportsoft, Inc. | Secure computer support system |
US6857018B2 (en) * | 2000-07-31 | 2005-02-15 | Dongyi Jiang | System, method and computer software products for network firewall fast policy look-up |
US6826698B1 (en) * | 2000-09-15 | 2004-11-30 | Networks Associates Technology, Inc. | System, method and computer program product for rule based network security policies |
US6848072B1 (en) * | 2000-09-19 | 2005-01-25 | Bbn Solutions Llc | Network processor having cyclic redundancy check implemented in hardware |
US6978301B2 (en) * | 2000-12-06 | 2005-12-20 | Intelliden | System and method for configuring a network device |
US7039721B1 (en) * | 2001-01-26 | 2006-05-02 | Mcafee, Inc. | System and method for protecting internet protocol addresses |
JP4593926B2 (ja) * | 2002-02-19 | 2010-12-08 | ポスティーニ インク | Eメール管理サービス |
US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
-
2002
- 2002-02-04 JP JP2002026826A patent/JP3797937B2/ja not_active Expired - Fee Related
-
2003
- 2003-05-12 US US10/435,250 patent/US7225269B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US7225269B2 (en) | 2007-05-29 |
US20040010572A1 (en) | 2004-01-15 |
JP2003229913A (ja) | 2003-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3797937B2 (ja) | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 | |
US6154776A (en) | Quality of service allocation on a network | |
US7325248B2 (en) | Personal firewall with location dependent functionality | |
EP1150530B1 (en) | Mobile network system and service control information changing method | |
US6128298A (en) | Internet protocol filter | |
US7933978B2 (en) | Method, device and system for implementing VPN configuration service | |
US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
EP1816812A1 (en) | Access control device, and access control method | |
US20030079144A1 (en) | Service control network, server, network device, service information distribution method, and service information distribution program | |
JP2000349851A (ja) | パケット転送装置 | |
JP4077351B2 (ja) | 名前/アドレス変換装置 | |
US20040158643A1 (en) | Network control method and equipment | |
JP2014155072A (ja) | 通信装置及びその制御方法、プログラム | |
JP4950589B2 (ja) | 接続管理システム、接続管理方法、および管理サーバ | |
US7796614B1 (en) | Systems and methods for message proxying | |
JP6330814B2 (ja) | 通信システム、制御指示装置、通信制御方法及びプログラム | |
KR20100086021A (ko) | 스위치 및 지향 방법 | |
JP6623917B2 (ja) | 統合脅威管理システム、統合脅威管理装置、および統合脅威管理方法 | |
JP3704134B2 (ja) | パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク | |
JP2004021623A (ja) | ディレクトリサーバを利用した電子メールフィルタシステム及びサーバプログラム | |
JP2004242161A (ja) | データ通信網システムおよびデータ通信網接続制御方法 | |
KR100451796B1 (ko) | 트래픽 제어를 위한 호 프로세싱 캐싱 제어장치 | |
JP2007228449A (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム | |
JP2003008662A (ja) | ネットワークアクセス制御方法、その装置およびその装置を用いたネットワークアクセス制御システム | |
JP6435002B2 (ja) | 通信装置及びその制御方法、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040722 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060223 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060411 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060418 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090428 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100428 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110428 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120428 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120428 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130428 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |