JP4137948B2 - パケット通過制御装置及びパケット通過制御方法 - Google Patents
パケット通過制御装置及びパケット通過制御方法 Download PDFInfo
- Publication number
- JP4137948B2 JP4137948B2 JP2006036773A JP2006036773A JP4137948B2 JP 4137948 B2 JP4137948 B2 JP 4137948B2 JP 2006036773 A JP2006036773 A JP 2006036773A JP 2006036773 A JP2006036773 A JP 2006036773A JP 4137948 B2 JP4137948 B2 JP 4137948B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- filtering
- information
- spi
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 82
- 238000001914 filtration Methods 0.000 claims description 321
- 238000012545 processing Methods 0.000 claims description 205
- 238000012546 transfer Methods 0.000 claims description 98
- 238000004891 communication Methods 0.000 claims description 50
- 238000012217 deletion Methods 0.000 claims description 29
- 230000037430 deletion Effects 0.000 claims description 29
- 238000010586 diagram Methods 0.000 description 38
- 230000005540 biological transmission Effects 0.000 description 17
- 239000012634 fragment Substances 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 230000002457 bidirectional effect Effects 0.000 description 6
- 238000005259 measurement Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000002592 echocardiography Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
"第2回:SPIと動的パケットフィルタリングの違い"、「online」、「平成17年08月03日検索」、インターネット<URL:http://www.itmedia.co.jp/broadband/0305/16/lp13.html>
また、パケット通過制御部を、1つのチップとしてまとめて回路構成した場合において、通過処理手段、にパケットフィルタリングの処理を行なわせた際に、フィルタリング記憶部の限られたデータ容量を、動的に生成された第2フィルタリング情報のデータ量が超えた場合の、中央演算処理部における処理との調整を行なうことができる。
図2はフィルタリング記憶部の構成を示す図である。
この図が示すように、フィルタリング記憶部14では、CPU転送候補エントリ、SPIエントリ、フィルタエントリからなる、3種類のフィルタリング情報が記録される。CPU転送候補エントリは、CPU16へ転送すると予め決められた特定のパケットについてのフィルタリング情報であり、例えばARPのパケットなどの、他の装置へ転送せずに、自装置で処理するパケットに関するフィルタリング情報である。またSPIエントリはCPU16が動的に生成したフィルタリング情報であり、例えば、内部ネットワークのA装置から外部ネットワークのB装置へのHTTP接続を許可している場合において、当該パケットを受信した際に、B装置からA装置に対する返答のパケットが通過できるように、動的に生成した、B装置→A装置の通信方向のHTTP接続の通過を示すフィルタリング情報などである。またフィルタエントリはユーザ登録作業によって予めテーブル記憶部17に記録されたものであり、パケット通過制御装置1の起動時などにCPU16によって自動的に書込まれる。またこのフィルタエントリにより1つセッションの最初に送信されたパケット(SYN)などを検出する。なお、図においてはCPU転送候補エントリ、SPIエントリ、フィルタエントリの順に優先度が与えられている。優先度とはSPI処理として受信したパケット一致するか否かを判定するための優先順位である。
次にフィルタリング情報の第1の登録処理について説明する。
パケット通過制御装置1が起動する際やCPU16の保持するフィルタリング情報登録状況テーブルの初期化の指示が合った場合には、まず、CPU16はテーブル記憶部17からフィルタリング情報を読み込む。このフィルタリング情報は、図2で示したCPU転送候補エントリ及びフィルタエントリの各フィルタリング情報である。またフィルタリング情報登録状況テーブルとはCPU16がフィルタリング記憶部14に登録したフィルタリング情報を記憶するためのテーブルである。そして、前記起動や初期化の際に、CPU16は、テーブル記憶部17から読み込んだフィルタリング情報(CPU転送候補エントリ、フィルタエントリ)をフィルタリング記憶部14に登録する。そして、この登録において、フィルタエントリのうち制御種別が“通過”となっている情報については、“CPU転送”と書き換えて登録する。
図5はパケット通過制御装置が受信するパケットとそのパケットの受信に基づいて動的に生成したSPIエントリとを示すテーブルである。
次に図4、5を用いてパケット通過制御装置の処理フローについて説明する。
まずCPU16は初期化の指示を受付けた場合や起動時において、パケット通過制御装置テーブル記憶部17からCPU転送候補エントリとフィルタエントリの各フィルタリング情報を読み取って、フィルタリング記憶部14にCPU/IF15を介して登録する。この時CPU転送候補エントリを優先度を高く、またフィルタエントリをCPU転送候補エントリよりもフィルタ規則適用の優先度を低く登録する。そしてCPU16はその優先度の順番をフィルタリング情報登録状況テーブルに記録する。またフィルタエントリについては制御種別が通過である場合にはCPU転送と書き換えて登録する。
図6は登録したフィルタリング情報の調整の概要を示す第1の図である。
図6においてはSPIエントリの生成および登録が増大することにより、SPIエントリよりも優先度の低いフィルタエントリが全て登録できなくなった場合の処理の概要を示している。このような場合には、CPU16は優先度の低い順にフィルタリング記憶部14からフィルタエントリを削除していく。またCPU16は削除したフィルタエントリの情報をフィルタリング情報登録状況テーブルで管理する。そしてCPU16はフィルタリング記憶部14の最も優先度の低い情報として、全パケットをCPU転送する旨を示すフィルタエントリを登録する。これにより、フィルタリング処理部13におけるSPI処理において、フィルタリング記憶部14に登録されているフィルタリング情報と一致しなかったパケットについては、全てCPU16に転送されて、CPU16においてSPI処理が行なわれる。
図7においてはSPIエントリの生成および登録が増大することにより、SPIエントリさえも全て登録ができなくなった場合の処理の概要を示している。このような場合には、CPU16はSPI処理におけるSPIエントリの最近一定時間内における利用回数をカウントして、その利用回数が多い順に優先度を決定し、優先度の高い順にSPIエントリをフィルタリング記憶部14に登録し、その他のSPIエントリとフィルタエントリについてはフィルタリング情報登録状況テーブルで記憶しておく。そしてCPU16はフィルタリング記憶部14の最も優先度の低い情報として、全パケットをCPU転送する旨を示すフィルタエントリを登録する。
上述の処理においてはフィルタリング処理において、受信パケットがTCPの場合を示したが、実際には、TCP、UDP、ICMPなどのサービスに応じた処理が行なわれる。
図8はCPUによるパケット処理のフローを示図である。
まず、電源投入時などにおいて、CPU16はフィルタリング記憶部14で記憶するSPIエントリを初期化する(ステップS81)。そしてパケットの受信があるか否かを判断して(ステップS82)待機する。ここで受信パケットがあった場合には、フィルタ・SPI検索前処理<受信論理I/F検索(ステップS83)、NAT/NAPT検索(ステップS84)、経路検索(ステップS85)>が行なわれる。受信論理I/F検索とは、受信パケット毎に受信した論理I/Fを決定する処理であり、またNAT/NAPT検索とは、グローバルIPアドレス・ポート番号をローカルIPアドレス・ポート番号に変換する処理であり、また経路検索とは、転送先の論理I/Fを決定する(さらに宛先MACアドレスやMTUなどもあわせて決定する)処理である。なお、IPフラグメントによって分割されたパケットを受信した場合には、再構成(分割前のパケットに戻す)することによって、IPフラグメントによって分割されたパケットに対してNAPTを実施することも可能である。
図9より、CPU16は、ステップS87のSPIエントリ管理の処理において、受信パケットが、SPIエントリとしてフィルタリング情報を登録する対象のパケットか否かを判定する(ステップS90)。そして、SPIエントリ登録対象のパケットでない場合には、SPIエントリ削除パケットか否かを判定し(ステップS91)、そうであれば、SPIエントリ削除処理を行なう(ステップS92)。ステップS91でNoの場合には、処理を終了する。
上述のステップS90のSPI登録パケットか否かの判定においては、まず、CPU16は、SPIありか否かを判定する(ステップS901)。このSPIありか否かの情報は予め外部から設定されることにより記憶している。次に、SPIエントリに不適合かつフィルタエントリに適合か否かの判定(ステップS902)、フィルタエントリの結果が通過か否かの判定(ステップS903)、TCP以外またはTCPのSYNパケットか否かの判定(ステップS904)が行なわれ、全ての判定においてYesである場合には、SPIフィルタを登録するパケットであると判定される(つまり、SPI登録パケット判定がYes)。またそれ以外はSPIフィルタを登録しないパケットであると判定される(つまり、SPI登録パケット判定がNo)。
上述のステップS91のSPIエントリ削除対象のパケットであるか否かの判定においては、まず、CPU16は、受信した当該パケットがTCPのFINパケットかまたはRSTパケットかを当該パケットのフラグにより判定する(ステップS911a)。そしてYesの場合には、次にフィルタ・SPI検索のテーブルに適合エントリがあり、かつ、結果が通過か否かを判定する(ステップS912a)。この判定においてYesの場合には、受信パケットで特定されるSPIエントリが削除対象のSPIエントリであると決定する(ステップS913a)。そして、削除対象SPIエントリについてのFIN/RSTパケットの受信側と送信側の双方向転送が完了したか否かを判定し(ステップS914a)、Noであれば、FIN/RSTパケット転送履歴の記録を行なう(ステップS915a)。そしてステップS914aにおいてYesであればSPIエントリの削除処理(Yes)に移行し、またステップS911a、912aにおいてNoの場合や、ステップS915aの後に、SPIエントリの削除処理をせずに終了する。
上述のSPIエントリ削除パケットの判定処理でなく、次の方法の処理により行なってもよい。
上述のステップS91のSPIエントリを削除する対象のパケットであるか否かの判定において、まず、CPU16は、受信した当該パケットがTCPのFINパケットかまたはRSTパケットかをフラグにより判定する(ステップS911b)。そしてYesの場合には、次にフィルタ・SPI検索のテーブルに適合エントリがあり、かつ、結果が通過か否かを判定する(ステップS912b)。この判定においてYesの場合には、受信パケットで特定されるSPIエントリが削除対象のSPIエントリであると決定する(ステップS913a)。そしてTCPのSPIエントリ削除パケットの転送保護タイマの起動を行なう(ステップS914b)。そしてステップS914bの後、SPIエントリの削除処理(Yes)に移行する。なお、ステップS911b、912bにおいてNoの場合には、SPIエントリの削除処理をせずに終了する。
受信パケットがICMPの場合には、次の処理によりSPIエントリ削除パケットの判定処理が行なわれる。
CPU16は、上記ステップS911a(またはステップS911b)の判定においてNoの場合には、受信パケットがICMPのパケットか否かを判定する(ステップS912c)。そして、ICMPパケットである場合には、フィルタ・SPI検索のテーブルに適合エントリがありかつ結果が通過か否かを判定する(ステップS913c)。この判定においてYesの場合には、受信パケットで特定されるSPIエントリが削除対象のSPIエントリであると決定し(ステップS914c)、SPIエントリの削除処理(Yes)に移行する。なおステップS912c、913cにおいてNoの場合には、SPIエントリの削除処理をせずに終了する。
SPIエントリ登録の対象となる受信したパケットPは、送信元IPアドレス(S−IP)、あて先IPアドレス(D−IP)、プロトコル(TCP)、送信元ポート番号(S−Port)、あて先ポート番号(D−Port)、のTCPのSYNパケットであるとする。この場合、まず、CPU16は、受信パケットのSPIエントリの登録を行なう(ステップS931a)。この登録は、受信パケットPのTCPセッションの双方向(パケット転送の流れが互いに逆向きで同一セッションに属するパケットの組)のパケットを通過させるためのエントリであり、当該エントリをCPU16で保持するフィルタ・SPI検索テーブルに登録する。図15はCPUで保持するフィルタ・SPI検索テーブルを示す図第1のである。
ステップS931a〜S933aで示した処理を、次の処理で行うようにしてもよい。
まず、CPU16は、受信パケットのSPIエントリの登録を行なう(ステップS931b)。この登録は、受信パケットPの属するTCPセッションの受信側と送信側の双方向(パケット転送の流れが互いに逆向きで同一セッションに属するパケットの組)のパケットを通過させるためのエントリをCPU16で保持するフィルタ・SPI検索テーブル(図15)に登録する処理である。
SPIエントリ登録の対象となる受信したパケットPは、送信元IPアドレス(S−IP)、あて先IPアドレス(D−IP)、プロトコル(UDP)、送信元ポート番号(S−Port)、あて先ポート番号(D−Port)、のパケットであるとする。この場合、まず、CPU16は、受信パケットのSPIエントリの登録を行なう(ステップS941)。この登録は、受信パケットPが属するUDPセッションの双方向(パケット転送の流れが互いに逆向きで同一セッションに属するパケットの組)のパケットを通過させるためのエントリであり、当該エントリをCPU16で保持するフィルタ・SPI検索テーブルに登録する。図20はCPUで保持するフィルタ・SPI検索テーブルを示す第2の図である。
SPIエントリ登録対象の受信パケットPが、送信元IPアドレス(S−IP)、あて先IPアドレス(D−IP)、プロトコル(ICMP)、ICMPタイプ=8、ICMPコード=0、のICMPのパケットであるとする。まず、CPU16は、受信パケットのSPIエントリの登録を行なう(ステップS951)。この登録は、受信パケットPのエコー要求メッセージに対する、エコー応答メッセージをCPU16に転送させる為のエントリであり、当該エントリを、CPU16のフィルタ・SPI検索テーブル(図23)に登録する。図23はCPUで保持するフィルタ・SPI検索テーブルを示す第3の図である。
SPIエントリ登録対象の受信パケットPが、送信元IPアドレス(S−IP)、あて先IPアドレス(D−IP)、プロトコル(PROT)のパケットであるとする。まず、CPU16は、受信パケットのSPIエントリの登録を行なう(ステップS991)。この登録は、受信パケットPの双方向(パケット転送の流れが互いに逆向きのパケットの組)のパケットを通過させるためのエントリをCPU16で保持するフィルタ・SPI検索テーブル(図26)に登録する処理である。図26はCPUで保持するフィルタ・SPI検索テーブルを示す第4の図である。
上述した各SPIエントリ登録処理において、CPUのフィルタ・SPI検索テーブルに登録したSPIエントリのエントリ番号と、パケット通過制御回路のフィルタ・SPI検索テーブルに登録したパケット通過制御回路用SPIエントリのエントリ番号の対応付けを、このエントリ番号対応管理テーブルにより行なう。そして、対応するエントリには、SPIエントリ有効タイマが対応付けられて登録される。このタイマはSPIエントリの有効期間を計測したタイマ値である。
Usedカウンタとは各SPIエントリおよび各パケット通過制御回路用のSPIエントリについて、エントリが通過させたパケットの個数を計測した値である。CPU16とパケット通過制御回路のフィルタ・SPI検索テーブルのエントリごとにカウンタを設けておくか、あるいは、SPI管理テーブルのエントリ別に設ける。
図29はSPIエントリ有効タイマの処理フローを示す図である。
まず、CPU16は、全SPIエントリ群[m]についてのSPIエントリ有効タイマの処理を実行完了すると(ステップS2901)、Usedカウンタ値を読み出す(ステップS2902)。これにより、SPIエントリ群[m]に属するSPIエントリが通過させたパケットの個数C[m]を取得する。次に、SPIエントリが使用されたか否かを判定する(ステップS2903)。つまり、SPIエントリ群[m]に属するSPIエントリが通過させたパケットの個数C[m]の値が前回読み出し時から変化していない場合は、SPIエントリ未使用と判定する。これ以外はSPIエントリが使用されたと判定する。
図30はパケット通過制御回路用のSPIエントリ登録の処理フローを示す図である。
まず、CPU16はパケット通過制御回路用のSPIエントリ登録の最初に、パケット通過制御回路のフィルタリング記憶部14のデータ容量に空きがあり、パケット通過制御回路用のSPIエントリを登録できるか否かを判定する(ステップS3001)。そしてステップS3001においてNo(つまり空きがない場合には)、パケット通過制御回路用のSPIエントリが、パケット通過制御回路のフィルタ・SPI検索テーブルに登録されているか否かを確認する(ステップS3002)。そしてステップS3002でNoの場合には、削除可能SPIエントリの検索を行ない(ステップS3003)。そして削除可能SPIエントリがあるか否かを判定する(ステップS3004)。削除可能SPIエントリがなければ処理を終了、削除可能SPIエントリがあれば、削除可能SPIエントリを削除して(ステップS3005)、空きエントリに未登録のパケット通過制御回路用のSPIエントリを登録する(ステップS3006)。次に、パケット通過制御回路用のSPIエントリ全てを登録完了したか否かを判定し(ステップS3007)、登録完了していれば処理を終了、全てを登録していない場合には、ステップS3001からの処理を繰り返す。
図31はパケット通過制御装置における処理フローを示す第1の図である。
この図では受信パケットがTCPである場合の第1の例についての処理フローを示している。
まず、LAN側のI/F12でTCPセッション開始パケット(TCPのSYNパケット)を受信すると(ステップS3101)、TCPセッション開始パケットがパケット通過制御回路に転送される。パケット通過制御回路では、フィルタリング処理部13がフィルタリング記憶部14に格納されているフィルタ・SPI検索テーブルのエントリに適合すると判定し、またCPU転送すると判定する(ステップS3102)。そして、TCPセッション開始パケットをCPU16に転送する。CPU16では受信パケットの転送先がWAN側のI/F11であると判定し、またフィルタエントリにより通過と判定し、またこれによりSPIエントリ登録パケットであると判定する(ステップS3103)。そしてCPU16は、回路用SPIエントリをフィルタリング記憶部14の回路用のフィルタ・SPI検索テーブルに登録し(ステップS3104)、またWAN側のI/F11への転送の指示し、パケット通過制御回路にTCPセッション開始パケットを転送する(ステップS3105)。パケット通過制御回路においてはフィルタリング処理部13が、CPU16の指示に従い、WAN側のI/F11にパケットを転送し(ステップS3106)、パケットの宛先アドレスに送信する。
この図では受信パケットがTCPである場合の第2の例についての処理フローを示している。この第2の例は、タイマによりSPIエントリを削除する方法である。
まず、LAN側のI/F12でTCPセッション開始パケット(TCPのSYNパケット)を受信すると(ステップS3201)、TCPセッション開始パケットがパケット通過制御回路に転送される。パケット通過制御回路では、フィルタリング処理部13がフィルタリング記憶部14に格納されているフィルタ・SPI検索テーブルのエントリに適合するという判定と、CPU転送すると判定する(ステップS3202)。そして、TCPセッション開始パケットをCPU16に転送する。CPU16では受信パケットの転送先がWAN側のI/F11であると判定し、またフィルタエントリにより通過と判定し、またこれによりSPIエントリ登録パケットであると判定する(ステップS3203)。そしてCPU16は、回路用SPIエントリをフィルタリング記憶部14の回路用のフィルタ・SPI検索テーブルに登録し(ステップS3204)、またWAN側のI/F11への転送の指示し、パケット通過制御回路にTCPセッション開始パケットを転送する(ステップS3205)。パケット通過制御回路においてはフィルタリング処理部13が、CPU16の指示に従い、WAN側のI/F11にパケットを転送し(ステップS3206)、パケットの宛先アドレスに送信する。
この図では受信パケットがUDPである場合の例についての処理フローを示している。
まず、LAN側のI/F12でUDPのパケットPを受信すると(ステップS3301)、当該パケットPがパケット通過制御回路に転送される。パケット通過制御回路では、フィルタリング処理部13がフィルタリング記憶部14に格納されているフィルタ・SPI検索テーブルのエントリに適合するという判定と、CPU転送すると判定する(ステップS3302)。そして、パケットPをCPU16に転送する。CPU16では受信パケットPの転送先がWAN側のI/F11であると判定し、またフィルタエントリにより通過と判定し、またこれによりSPIエントリ登録パケットであると判定する(ステップS3303)。そしてCPU16は、回路用SPIエントリをフィルタリング記憶部14の回路用のフィルタ・SPI検索テーブルに登録し(ステップS3304)、またWAN側のI/F11への転送の指示し、パケット通過制御回路にパケットPを転送する(ステップS3305)。またこの時CPU16は、SIエントリ有効タイマの初期化を行なう(ステップS3306)。パケット通過制御回路においてはフィルタリング処理部13が、CPU16の指示に従い、WAN側のI/F11にパケットPを転送し(ステップS3307)、パケットのあて先へ送出する。
この図では受信パケットがICMPである場合の例についての処理フローを示している。
まず、LAN側のI/F12でICMPのパケット(エコー要求メッセージ、タイプ=8、コード=0)を受信すると(ステップS3401)、当該パケットのエコー要求メッセージがパケット通過制御回路に転送される。パケット通過制御回路では、フィルタリング処理部13がフィルタリング記憶部14に格納されているフィルタ・SPI検索テーブルのエントリに適合するという判定を行い、CPU転送すると判定する(ステップS3402)。そして、エコー要求メッセージをCPU16に転送する。CPU16ではエコー要求メッセージの転送先がWAN側のI/F11であると判定し、またフィルタエントリにより通過と判定し、またこれによりSPIエントリ登録パケットであると判定する(ステップS3403)。そしてCPU16は、回路用SPIエントリをフィルタリング記憶部14の回路用のフィルタ・SPI検索テーブルに登録し(ステップS3404)、またWAN側のI/F11への転送の指示し、パケット通過制御回路にエコー要求メッセージを転送する(ステップS3405)。パケット通過制御回路においてはフィルタリング処理部13が、CPU16の指示に従い、WAN側のI/F11にエコー要求メッセージを転送し(ステップS3406)、パケットのあて先へ送出する。
11・・・I/F(WAN)
12・・・I/F(LAN)
13・・・フィルタリング処理部
14・・・フィルタリング記憶部
15・・・CPU/IF
16・・・CPU
17・・・テーブル記憶部
Claims (10)
- 中央演算処理部とパケット通過制御部とを備え、一方の通信ネットワーク経路から受信したパケットを他方の通信ネットワーク経路へ通過させるか否かを制御するパケット通過制御装置であって、
前記パケットの通過許可、廃棄の何れかの制御種別と、前記パケットのフィルタ規則適合判定条件を示す通信種別と、を示す第1フィルタリング情報を保持するフィルタリングテーブルから、該第1フィルタリングを読み取って、当該第1フィルタリングが前記通過許可を示す場合には中央演算処理転送の情報に書き換えて、前記パケット通過制御部のフィルタリング記憶部へ登録する、前記中央演算処理部の第1フィルタリング登録手段と、
パケットを受信した際に、当該パケットの通信種別と制御種別が、前記フィルタリング記憶部に登録されている前記第1フィルタリングに一致する場合に、その受信したパケットの少なくとも通信種別を前記中央演算処理部へ転送する、前記パケット通過制御部の中央演算処理部転送手段と、
前記受信したパケットの、前記一方の通信ネットワーク経路から前記他方の通信ネットワーク経路への通過、および前記他方の通信ネットワーク経路から前記一方の通信ネットワーク経路への通過、の両方の通過許可を示す第2フィルタリング情報それぞれを、前記第1フィルタリング情報よりフィルタ規則の優先度の高い情報として優先的に前記フィルタリング記憶部に登録する、前記中央演算処理部の第2フィルタリング情報登録手段と、
前記受信したパケットに関連する一連のパケット処理について、前記フィルタリング記憶部に登録された前記第2フィルタリング情報に一致するか否かを前記優先度順に判定し、一致している場合には前記中央演算処理部を介さずに通過処理を行なう、前記パケット通過制御部の通過処理手段と、
を備えることを特徴とするパケット通過制御装置。 - 前記中央演算処理部転送手段が、
前記受信したパケットに関連する一連のパケット処理で受信した最終パケットを、前記中央演算処理部へ転送し、
前記中央演算処理部が、
前記最終パケットを受付けることにより、前記第2フィルタリング情報を前記フィルタリング記憶部より削除する第2フィルタリング削除手段を備える
ことを特徴とする請求項1に記載のパケット通過制御装置。 - 前記フィルタリング記憶部に登録した第2フィルタリング情報に一致した最後のパケットの受信時刻からの経過時間を計測する時間計測手段と、
前記経過時間が所定時間となった場合に、前記第2フィルタリング情報を前記フィルタリング記憶部より削除する第2フィルタリング削除手段と、
を備えることを特徴とする請求項1に記載のパケット通過制御装置。 - 前記フィルタリング記憶部への前記第2フィルタリング情報の登録が増加することにより、当該第2フィルタリング情報と前記第1フィルタリング情報とからなる情報量が、前記フィルタリング記憶部で記憶できる情報量を超えた場合に、最も優先度の低いフィルタリング情報として、全ての通信種別のパケットについて中央演算処理転送の制御種別を示す第3フィルタリング情報を前記フィルタリング記憶部に登録する第3フィルタリング登録手段と、
前記フィルタリング記憶部で記憶している前記第1のフィルタリング情報のうち優先度の低い情報から順に削除するフィルタリング調整手段と、
を備えることを特徴とする請求項1から請求項3の何れかに記載のパケット通過制御装置。 - 前記フィルタリング調整手段が、
前記フィルタリング記憶部への前記第2フィルタリング情報の登録が増加することにより、当該第2フィルタリング情報の情報量が、前記フィルタリング記憶部で記憶できる情報量を超えた場合に、前記フィルタリング記憶部で記憶している前記第2のフィルタリング情報のうち優先度の低い情報から順に削除する
ことを特徴とする請求項4に記載のパケット通過制御装置。 - 中央演算処理部とパケット通過制御部とを備え、一方の通信ネットワーク経路から受信したパケットを他方の通信ネットワーク経路へ通過させるか否かを制御するパケット通過制御装置におけるパケット通過制御方法であって、
前記中央演算処理部の第1フィルタリング登録手段が、前記パケットの通過許可、廃棄、中央演算処理転送の何れかの制御種別と、前記パケットの通信種別と、を示す第1フィルタリング情報を保持するフィルタリングテーブルから、該第1フィルタリングを読み取って、当該第1フィルタリングが前記通過許可を示す場合には中央演算処理転送の情報に書き換えて、前記パケット通過制御部のフィルタリング記憶部へ登録し、
前記パケット通過制御部の中央演算処理部転送手段が、パケットを受信した際に、当該パケットの通信種別と制御種別が、前記フィルタリング記憶部に登録されている前記第1フィルタリングに一致する場合に、その受信したパケットの少なくとも通信種別を前記中央演算処理部へ転送し、
前記中央演算処理部の第2フィルタリング情報登録手段が、前記受信したパケットの、前記一方の通信ネットワーク経路から前記他方の通信ネットワーク経路への通過、および前記他方の通信ネットワーク経路から前記一方の通信ネットワーク経路への通過、の両方の通過許可を示す第2フィルタリング情報それぞれを、前記第1フィルタリング情報より優先度の高い情報として優先的に前記フィルタリング記憶部に登録し、
前記パケット通過制御部の通過処理手段が、前記受信したパケットに関連する一連のパケット処理について、前記フィルタリング記憶部に登録された前記第2フィルタリング情報に一致するか否かを前記優先度順に判定し、一致している場合には前記中央演算処理部を介さずに通過処理を行なう
ことを特徴とするパケット通過制御方法。 - 前記パケット通過制御部の前記中央演算処理部転送手段が、
前記受信したパケットに関連する一連のパケット処理で受信した最終パケットを、前記中央演算処理部へ転送し、
前記中央演算処理部の第2フィルタリング削除手段が、
前記最終パケットを受付けることにより、前記第2フィルタリング情報を前記フィルタリング記憶部より削除する
ことを特徴とする請求項6に記載のパケット通過制御方法。 - 時間計測手段が、前記フィルタリング記憶部に登録した第2フィルタリング情報に一致した最後のパケットの受信時刻からの経過時間を計測し、
前記中央演算処理部の第2フィルタリング削除手段が、前記経過時間が所定時間となった場合に、前記第2フィルタリング情報を前記フィルタリング記憶部より削除する
ことを特徴とする請求項6に記載のパケット通過制御方法。 - 第3フィルタリング登録手段が、前記フィルタリング記憶部への前記第2フィルタリング情報の登録が増加することにより、当該第2フィルタリング情報と前記第1フィルタリング情報とからなる情報量が、前記フィルタリング記憶部で記憶できる情報量を超えた場合に、最も優先度の低いフィルタリング情報として、全ての通信種別のパケットについて中央演算処理転送の制御種別を示す第3フィルタリング情報を前記フィルタリング記憶部に登録し、
フィルタリング調整手段が、前記フィルタリング記憶部で記憶している前記第1のフィルタリング情報のうち優先度の低い情報から順に削除する
ことを特徴とする請求項6から請求項8の何れかに記載のパケット通過制御方法。 - 前記フィルタリング調整手段が、
前記フィルタリング記憶部への前記第2フィルタリング情報の登録が増加することにより、当該第2フィルタリング情報の情報量が、前記フィルタリング記憶部で記憶できる情報量を超えた場合に、前記フィルタリング記憶部で記憶している前記第2のフィルタリング情報のうち優先度の低い情報から順に削除する
ことを特徴とする請求項9に記載のパケット通過制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006036773A JP4137948B2 (ja) | 2006-02-14 | 2006-02-14 | パケット通過制御装置及びパケット通過制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006036773A JP4137948B2 (ja) | 2006-02-14 | 2006-02-14 | パケット通過制御装置及びパケット通過制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007221240A JP2007221240A (ja) | 2007-08-30 |
JP4137948B2 true JP4137948B2 (ja) | 2008-08-20 |
Family
ID=38498076
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006036773A Active JP4137948B2 (ja) | 2006-02-14 | 2006-02-14 | パケット通過制御装置及びパケット通過制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4137948B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
JP5088830B2 (ja) * | 2008-10-30 | 2012-12-05 | 岩崎通信機株式会社 | パケット通過制御方法 |
CN102812675B (zh) | 2010-02-04 | 2015-05-13 | 日本电信电话株式会社 | 分组转送处理装置、方法 |
CN103220225B (zh) | 2012-05-21 | 2015-07-08 | 华为技术有限公司 | 报文处理方法及设备、*** |
US20150261721A1 (en) * | 2014-03-13 | 2015-09-17 | Lantiq Deutschland Gmbh | Flow control between processing devices |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3593762B2 (ja) * | 1995-11-08 | 2004-11-24 | 富士通株式会社 | 中継装置 |
JP2001045061A (ja) * | 1999-08-02 | 2001-02-16 | Hitachi Ltd | 通信ノード装置 |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
JP2003333084A (ja) * | 2002-05-09 | 2003-11-21 | Matsushita Electric Ind Co Ltd | パケットフィルタリングルール設定方法 |
JP2004297775A (ja) * | 2003-03-12 | 2004-10-21 | Matsushita Electric Ind Co Ltd | パケット中継装置 |
JP4099124B2 (ja) * | 2003-08-28 | 2008-06-11 | 松下電器産業株式会社 | パケット転送装置およびパケット転送方法 |
CN101351995B (zh) * | 2004-01-14 | 2011-02-02 | 利福斯通网络公司 | 管理网络节点中的处理利用 |
-
2006
- 2006-02-14 JP JP2006036773A patent/JP4137948B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007221240A (ja) | 2007-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4137948B2 (ja) | パケット通過制御装置及びパケット通過制御方法 | |
US8095683B2 (en) | Method and system for mirroring dropped packets | |
US6772347B1 (en) | Method, apparatus and computer program product for a network firewall | |
US7073196B1 (en) | Firewall for processing a connectionless network packet | |
US20110004932A1 (en) | Firewall for tunneled IPv6 traffic | |
US10038671B2 (en) | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows | |
CA2464784A1 (en) | Multi-layered firewall architecture | |
US7519004B1 (en) | Loopback testing of a network interface device from a user-space software layer | |
US10798059B1 (en) | Apparatus, system, and method for applying firewall rules at dynamic offsets within packets in kernel space | |
CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
CN1823496A (zh) | 交换机端口分析仪 | |
JP2007533172A (ja) | 偽サーバを備えた仮想プライベートネットワーク | |
JP2009510815A (ja) | サーチ前のパケットのリアセンブル方法及びシステム | |
JP2006261873A (ja) | パケット転送装置およびその転送制御方式 | |
TW200531500A (en) | Method and apparatus for datastream analysis and blocking | |
WO2015070755A1 (zh) | 网络安全方法和设备 | |
CN111131539B (zh) | 报文转发方法及装置 | |
KR100818307B1 (ko) | IPv6 공격 패킷 탐지장치 및 방법 | |
JP2007166514A (ja) | 通信処理装置及び通信処理方法 | |
US20160277293A1 (en) | Application-based network packet forwarding | |
JP3581345B2 (ja) | パケット転送装置およびパケット転送方法 | |
CN115834091A (zh) | 网络流量控制方法以及相关*** | |
JP4472651B2 (ja) | ネットワークアクセスシステムおよびネットワークアクセス方法 | |
JP5764511B2 (ja) | Urlフィルタリング装置 | |
JP6184381B2 (ja) | 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080527 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080604 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4137948 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130613 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140613 Year of fee payment: 6 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |