JP4302004B2 - Packet filter setting method and packet filter setting system - Google Patents

Packet filter setting method and packet filter setting system Download PDF

Info

Publication number
JP4302004B2
JP4302004B2 JP2004172993A JP2004172993A JP4302004B2 JP 4302004 B2 JP4302004 B2 JP 4302004B2 JP 2004172993 A JP2004172993 A JP 2004172993A JP 2004172993 A JP2004172993 A JP 2004172993A JP 4302004 B2 JP4302004 B2 JP 4302004B2
Authority
JP
Japan
Prior art keywords
packet
condition
setting
router
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004172993A
Other languages
Japanese (ja)
Other versions
JP2005354410A (en
Inventor
裕昭 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004172993A priority Critical patent/JP4302004B2/en
Publication of JP2005354410A publication Critical patent/JP2005354410A/en
Application granted granted Critical
Publication of JP4302004B2 publication Critical patent/JP4302004B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IPネットワークのルータにおいて、パケットの転送、あるいは遮断を実施するフィルタリング技術に関し、より具体的には、パケットフィルタ設定方法、並びにこれを具体化したパケットフィルタ設定システムに関するものである。   The present invention relates to a filtering technique for transferring or blocking a packet in a router of an IP network. More specifically, the present invention relates to a packet filter setting method and a packet filter setting system embodying the packet filter setting method.

周知のように、パケットフィルタリングは、パケットのあて先アドレス、あるいは送信元アドレスとあて先アドレスの組み合わせを調べて、通過させて良いパケットと、阻止すべきパケットとを区別することであり、これにより、余分なトラフィックが生じないように抑制するとともに、セキュリティ機能を実現するための簡便な方法である。   As is well known, packet filtering is to examine the destination address of a packet, or a combination of a source address and a destination address, and distinguish between packets that can be passed and packets that should be blocked. This is a simple method for realizing a security function as well as suppressing unnecessary traffic.

従来のパケットフィルタ設定方法としては、特許文献1に示されているように、COPS(Common Open Policy Service )プロトコルや、SNMP(Simple Network Management Protocol )を用いて、ネットワーク管理者の管理に基づき、ポリシーの1つとしてフィルタ条件を設定する方法が考えられている。   As a conventional packet filter setting method, as shown in Patent Document 1, the policy is based on the management of a network administrator using the COPS (Common Open Policy Service) protocol or SNMP (Simple Network Management Protocol). One of the methods is to set a filter condition.

特開2003−173301号公報Japanese Patent Laid-Open No. 2003-173301

しかしながら、上記の従来方法では、ネットワーク管理者がネットワークを制御するための手段であって、ホストが自身のセキュリティ制御のためにルータにリアルタイムにフィルタ条件を設定変更することはできないという問題がある。従って、ルータに接続しているホストが、フィルタ設定を行いたい場合には、自らのホストに設定するか、ネットワーク管理者に依頼してルータに設定してもらう必要があり、リアルタイムな変更は行うことができない。   However, the above-described conventional method is a means for the network administrator to control the network, and there is a problem that the host cannot set and change the filter condition in the router in real time for its own security control. Therefore, when the host connected to the router wants to set the filter, it is necessary to set it to its own host or ask the network administrator to set it in the router. I can't.

例えば、ファイル転送が必要な時のみftp(File Transfer Protocol )を使用可能とし、それ以外の場合は、セキュリティの観点からftpによる接続を遮断する場合や、ネットワークの導通確認が必要な時のみ、icmp(Internet Control Message Protocol )パケットを到達可能とする場合には、ホストにおいてフィルタ制御しなければならず、ルータ・ホスト間で無効なパケットが転送されるとともに、ホストのフィルタリング処理が行われCPU能力を消費する。   For example, ftp (File Transfer Protocol) can be used only when file transfer is necessary. Otherwise, icmp is used only when ftp connection is blocked from the security point of view or when network continuity is required. (Internet Control Message Protocol) In order to make a packet reachable, the host must perform filter control, and an invalid packet is transferred between the router and the host. Consume.

本発明の目的は、上記従来技術に基づく問題点を解消し、受信側が必要としないパケットが送信元に近いルータで遮断され、無効なパケット転送がなくなるようにして、回線を有効活用可能とするパケットフィルタ設定方法、並びにこれを実現するためのパケットフィルタ設定システムを提供することにある。   An object of the present invention is to solve the problems based on the above-described conventional technology, and to effectively use the circuit by blocking packets not required by the receiving side at a router close to the transmission source and eliminating invalid packet transfer. It is an object to provide a packet filter setting method and a packet filter setting system for realizing the method.

上記目的を達成するために、本発明の請求項1に記載のパケットフィルタ設定方法は、少なくとも1のルータとホストを有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信し、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定することを特徴とする。
本請求項に係るパケットフィルタ設定方法によれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。 To achieve the above object, a packet filter setting method according to claim 1 of the present invention is a packet filter setting method for setting a packet filter condition in a router in an IP network having at least one router and a host. A specific IP multicast address is defined as an address for a setting request packet for transferring packet filter condition information, and the host uses the setting request packet address as a destination IP address to describe a packet filtering condition. When the router receives the packet whose destination IP address is the address for the setting request packet, the router terminates the packet, analyzes the described contents, and sets the described packet filter condition of the received interface. Set on the output side
According to the packet filter setting method according to this claim, there is an effect that the host can set the packet filter in the host direction and can respond immediately when there is an attack against itself.

本発明の請求項2に記載のパケットフィルタ設定方法は、少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、認証手段には、設定変更を許可するホストを予め登録しておき、ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与し、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、設定要求を認証する手段に転送し、認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知し、ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定することを特徴とする。
本請求項に係るパケットフィルタ設定方法によれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。 The packet filter setting method according to claim 2 of the present invention is an IP network having an authentication unit that authenticates at least one router and a host and a packet filter condition setting request and stores a host that permits setting change. A packet filter setting method for setting packet filter conditions in a router, in which a host that permits setting change is registered in the authentication means in advance, and the host proves that it is a valid host in the setting request packet. When the router receives the setting request packet, the router transfers data certifying that the host is a valid host to a means for authenticating the setting request. If it is confirmed that the host is valid, it notifies the router of the setting permission, and the router Only when it is notified, the packet filter condition, and sets the interface that has received the setting request packet.
According to the packet filter setting method according to the present claim, there is an effect that it is possible to prevent a malicious user from setting a filter in the router.

一方、本発明の請求項3に記載のパケットフィルタ設定システムは、少なくとも1のルータとホストを有するIPネットワークにおけるパケットフィルタ設定システムであって、特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義しておき、ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信する機能部を有し、ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストがホスト方向のパケットフィルタを設定でき、自分に対する攻撃があった場合に、瞬時に対応することができるという効果がある。 On the other hand, the packet filter setting system according to claim 3 of the present invention is a packet filter setting system in an IP network having at least one router and a host, and transfers packet filter condition information to a specific IP multicast address. The host is defined as a setting request packet address, and the host has a function unit for transmitting a setting request packet, in which the setting request packet address is a destination IP address and packet filtering conditions are described. When receiving a packet whose destination IP address is the address for the setting request packet, terminate the packet, analyze the described content, and set the described packet filter condition on the output side of the received interface. It is characterized by having.
According to the packet filter setting system according to this claim, there is an effect that the host can set the packet filter in the host direction, and can respond immediately when there is an attack against itself.

本発明の請求項4に記載のパケットフィルタ設定システムは、請求項3に記載のパケットフィルタ設定システムであって、ルータは、前記機能部に加えて、フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、フィルタが設定できたか否かを確認できるという効果が得られる。 The packet filter setting system according to claim 4 of the present invention is the packet filter setting system according to claim 3, wherein the router notifies the host of the completion of the filter setting in addition to the function unit. It has the function part which transmits.
According to the packet filter setting system according to the present claim, the host can confirm whether or not the filter has been set.

本発明の請求項5に記載のパケットフィルタ設定システムは、請求項3または4に記載のパケットフィルタ設定システムであって、ホストは、前記機能部に加えて、設定要求パケットを周期的に送信する機能部を有し、ルータは、前記機能部に加えて、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるという効果が得られる。 The packet filter setting system according to claim 5 of the present invention is the packet filter setting system according to claim 3 or 4, wherein the host periodically transmits a setting request packet in addition to the function unit. In addition to the function unit, the router includes a function unit that deletes the filter setting when the setting request packet is not received for a predetermined period or longer.
According to the packet filter setting system according to the present claim, the router can confirm whether the filter is valid or already unnecessary.

本発明の請求項6に記載のパケットフィルタ設定システムは、請求項3または4に記載のパケットフィルタ設定システムであって、IPネットワークにおいて、特定のIPマルチキャストアドレスを、パケットフィルタの確認パケット用アドレスとして定義しておき、ルータは、予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部を有し、ホストは、宛先IPアドレスが確認パケット用アドレスのパケットを受信したら、設定要求パケットを送信する機能部を有し、また、ルータは、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、フィルタが有効なものか、既に不要なものかを確認することができるとともに、確認作業に対する処理負荷を調整することができるという効果が得られる。 A packet filter setting system according to a sixth aspect of the present invention is the packet filter setting system according to the third or fourth aspect, wherein in the IP network, a specific IP multicast address is used as an address for a confirmation packet of the packet filter. The router has a function unit that transmits a confirmation packet with the destination IP address as a confirmation packet address at a predetermined fixed period, and the host sends a packet whose confirmation IP address is the destination IP address. If received, the router has a function unit that transmits a setting request packet, and the router has a function unit that deletes the filter condition when the router does not receive the setting request packet for a predetermined period or longer. To do.
According to the packet filter setting system according to this claim, the router can confirm whether the filter is effective or already unnecessary, and can adjust the processing load for the confirmation work. can get.

本発明の請求項7に記載のパケットフィルタ設定システムは、少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するパケットフィルタ設定システムであって、認証手段には、設定変更を許可するホストを予め登録しておき、ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与して送信する機能部を有し、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部を有し、前記認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知する機能部を有し、ルータは、さらに、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、悪意のユーザがルータにフィルタを設定することを防止できるという効果が得られる。 The packet filter setting system according to claim 7 of the present invention has an authentication means for authenticating at least one router and host, and a host for permitting setting change while authenticating a setting request for packet filter conditions. In the authentication means, a host that is permitted to change the setting is registered in advance, and the host has a function unit that transmits the setting request packet with data proving that it is a legitimate host. The router has a function unit that, when receiving the setting request packet, transfers data certifying that the host is valid to the authenticating unit, and the authenticating unit is configured such that the host that has transmitted the setting request packet If it is confirmed that the host is a valid host, it has a function part that notifies the router of the setting permission, and the router further notifies the setting permission. Only when the packet filter condition, characterized by having a functional unit for setting the interface that has received the setting request packet.
According to the packet filter setting system according to the present claim, it is possible to prevent a malicious user from setting a filter in the router.

本発明の請求項8に記載のパケットフィルタ設定システムは、請求項7に記載のパケットフィルタ設定システムであって、前記認証手段は、前記機能部に加えて、各ホストに対して変更を許可するパケットフィルタ条件を記憶する機能部を有し、前記認証手段には、予め、各ホストに対して変更を許可するパケットフィルタ条件を登録しておき、ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有し、認証手段は、設定要求パケットを送信したホストが、正当なホストであり、かつ、パケットフィルタ条件が、各ホストに対して変更を許可するパケットフィルタ条件に該当することを確認した場合、設定許可をルータに通知する機能部を有し、ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。 The packet filter setting system according to claim 8 of the present invention is the packet filter setting system according to claim 7, wherein the authentication unit permits each host to change in addition to the function unit. A function unit for storing packet filter conditions; in the authentication unit, packet filter conditions for permitting modification to each host are registered in advance; In addition to the data that proves that the host is used, it has a function unit that forwards the packet filter condition to the authentication unit. The authentication unit is configured such that the host that transmitted the setting request packet is a valid host and the packet If it is confirmed that the filter condition matches the packet filter condition that allows each host to be changed, a function unit that notifies the router of the setting permission is added. And, the router, only when it is notified setting permission, the packet filter condition, characterized by having a functional unit for setting the interface that has received the setting request packet.
According to the packet filter setting system according to the present claim, the router can prevent the malicious filter condition from being set without permission.

本発明の請求項9に記載のパケットフィルタ設定システムは、請求項8に記載のパケットフィルタ設定システムであって、認証手段は、各ホストに対して変更を許可するパケットフィルタ条件を記憶する代わりに、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部を有し、認証手段は、設定要求が、各ホストに対して変更を許可しないパケットフィルタ条件に合致しない場合に、設定許可をルータに通知する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるという効果が得られる。 The packet filter setting system according to claim 9 of the present invention is the packet filter setting system according to claim 8, wherein the authentication unit stores the packet filter condition for permitting the change for each host. And a function unit that stores packet filter conditions that do not permit changes to each host, and the authentication unit permits setting if the setting request does not match the packet filter conditions that do not permit changes to each host. It has the function part which notifies a router to this.
According to the packet filter setting system according to the present claim, the router can prevent the malicious filter condition from being set without permission.

本発明の請求項10に記載のパケットフィルタ設定システムは、請求項8に記載のパケットフィルタ設定システムであって、認証手段は、各ホストの変更を許可するパケットフィルタ条件を記憶する機能部と、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部の両方を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータは、悪意のあるフィルタ条件を無断で設定することを防止することができるとともに、ホストが意図するフィルタ条件を作成しやすくなるという効果が得られる。 A packet filter setting system according to a tenth aspect of the present invention is the packet filter setting system according to the eighth aspect, wherein the authentication means stores a function for storing a packet filter condition for permitting modification of each host; It has both a function part which memorize | stores the packet filter condition which does not permit a change with respect to each host, It is characterized by the above-mentioned.
According to the packet filter setting system according to this claim, the router can prevent the malicious filter condition from being set without permission, and can easily create the filter condition intended by the host. It is done.

本発明の請求項11に記載のパケットフィルタ設定システムは、請求項7〜10のいずれか1項に記載のパケットフィルタ設定システムであって、ルータは、認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストは、認証が成功したか失敗したかを確認することができるという効果が得られる。 The packet filter setting system according to claim 11 of the present invention is the packet filter setting system according to any one of claims 7 to 10, wherein the router sets the authentication result notified from the authentication means. It has the function part which notifies the host which transmitted the request, It is characterized by the above-mentioned.
According to the packet filter setting system according to the present claim, there is an effect that the host can confirm whether the authentication has succeeded or failed.

本発明の請求項12に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成されており、動作識別子は、追加と削除との2種類定義しておき、ホストは、パケットフィルタ条件を追加する場合に、動作識別子が追加で、追加条件を記述した設定要求を送信する、あるいは、パケットフィルタ条件を削除する場合に、動作識別子が削除で、削除条件を記述した設定要求を送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。 A packet filter setting system according to a twelfth aspect of the present invention is the packet filter setting system according to any one of the third to eleventh aspects, wherein the contents described in the setting request packet are an operation identifier and a condition description. The operation identifier is defined as two types of addition and deletion. When the host adds a packet filter condition, the operation identifier is added and the additional condition is described. When the set request is transmitted or when the packet filter condition is deleted, the operation identifier is deleted, and a function unit for transmitting the set request describing the delete condition is provided.
According to the packet filter setting system according to the present claim, an effect that the processing in the router becomes easy is obtained.

本発明の請求項13に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は追加/削除識別子と転送/遮断識別子とから構成されており、ホストは、遮断条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを送信する、あるいは、転送条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを送信する、あるいは、遮断条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを送信する、あるいは、転送条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを送信する機能部を有することを特徴とする。
なお、本明細書中において記号「/」は、「または」を意味している。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。 A packet filter setting system according to a thirteenth aspect of the present invention is the packet filter setting system according to any one of the third to eleventh aspects, wherein the contents described in the setting request packet are an operation identifier and a condition description. The operation identifier is composed of an addition / deletion identifier and a transfer / blocking identifier. When the host adds a blocking condition, the addition / deletion identifier is added, and the transfer / blocking identifier is added. When the blocking identifier is blocking and the condition setting packet describing the blocking condition to be added is transmitted, or when the transfer condition is added, the addition / deletion identifier is added, the transfer / blocking identifier is transfer, and the transfer condition to be added When a condition setting packet in which is described is sent, or when the blocking condition is deleted, the addition / deletion identifier is deleted and the transfer / blocking identifier is blocking. When sending a condition setting packet describing the blocking condition to be transmitted or deleting the forwarding condition, the condition setting packet describing the forwarding condition to be deleted is added when the addition / deletion identifier is deletion and the forwarding / blocking identifier is forwarding. It has the function part which transmits.
In the present specification, the symbol “/” means “or”.
According to the packet filter setting system according to the present claim, an effect that the processing in the router becomes easy is obtained.

本発明の請求項14に記載のパケットフィルタ設定システムは、請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は、遮断条件追加,転送条件追加,遮断条件削除,転送条件削除の4種類を定義しておき、ホストは、遮断条件を追加する場合に、動作識別子が遮断条件追加で、追加する遮断条件を記載した条件設定パケットを送信する、あるいは、転送条件を追加する場合に、動作識別子が転送条件追加で、追加する転送条件を記載した条件設定パケットを送信する、あるいは、遮断条件を削除する場合に、動作識別子が遮断条件削除で、削除する遮断条件を記載した条件設定パケットを送信する、あるいは、転送条件を削除する場合に、動作識別子が転送条件削除で、削除する転送条件を記載した条件設定パケットを送信する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ルータにおける処理が容易になるという効果が得られる。 A packet filter setting system according to a fourteenth aspect of the present invention is the packet filter setting system according to any one of the third to eleventh aspects, wherein the contents described in the setting request packet are an operation identifier and a condition description. The action identifier defines four types of action identifiers: block condition addition, transfer condition addition, block condition deletion, and transfer condition deletion. The host operates when adding a block condition. When an identifier is added as a blocking condition and a condition setting packet describing the added blocking condition is transmitted, or when a transfer condition is added, an operation identifier is added as a forwarding condition and a condition setting packet describing the added transfer condition is sent. When sending or deleting a blocking condition, the action identifier is blocking condition deletion and a condition setting packet describing the blocking condition to be deleted is sent Alternatively, to delete the transfer condition, the operation identifier in the transfer condition deletion, and having a function unit for transmitting the condition setting packet describing a transfer condition to be deleted.
According to the packet filter setting system according to the present claim, an effect that the processing in the router becomes easy is obtained.

本発明の請求項15に記載のパケットフィルタ設定システムは、請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、ルータの出力インタフェースのパケットフィルタ条件の初期状態は、当該ルータ発パケットを除き全遮断としておき、ルータは、転送条件のみを追加および削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって安全側の制御を行うことができるという効果が得られる。 The packet filter setting system according to claim 15 of the present invention is the packet filter setting system according to any one of claims 3 to 14, wherein the initial state of the packet filter condition of the output interface of the router is All routers except for packets originating from the router are blocked, and the router has a function unit that adds and deletes only transfer conditions.
According to the packet filter setting system according to the present claim, it is possible to obtain an effect that the control on the safe side for the host can be performed.

本発明の請求項16に記載のパケットフィルタ設定システムは、請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースのパケットフィルタ条件の初期状態を、全て転送としておき、ルータは、遮断条件のみを追加および削除する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、ホストにとって通信ができないというトラブルを減少させることが可能になるという効果が得られる。 A packet filter setting system according to a sixteenth aspect of the present invention is the packet filter setting system according to any one of the third to fourteenth aspects, wherein all initial states of packet filter conditions of a router interface are transferred. The router is characterized by having a functional unit for adding and deleting only the blocking condition.
According to the packet filter setting system according to the present claim, it is possible to reduce the trouble that the host cannot communicate.

本発明の請求項17に記載のパケットフィルタ設定システムは、請求項3〜15のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースは、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、少なくとも1のホストが要求するパケットフィルタ条件が転送である場合に、ルータは、当該送信元アドレスのパケットを転送設定する機能部を有するものであることを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。 The packet filter setting system according to claim 17 of the present invention is the packet filter setting system according to any one of claims 3 to 15 , wherein the interface of the router is designated by a condition only for a source address, When a packet filter condition requested by at least one host is forwarding for a certain source address, the router has a function unit that forwards and sets a packet of the source address. .
According to the packet filter setting system according to the present claim, in the shared media, there is an effect that reception refusal of one host does not affect other hosts.

本発明の請求項18に記載のパケットフィルタ設定システムは、請求項3〜14,16のいずれか1項に記載のパケットフィルタ設定システムであって、ルータのインタフェースにおいて、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、全てのホストが要求するパケットフィルタ条件が、遮断である場合に限り、ルータは、当該送信元アドレスのパケットを遮断設定する機能部を有するものであることを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるホストの受信拒否が他のホストに影響を与えないという効果が得られる。 A packet filter setting system according to an eighteenth aspect of the present invention is the packet filter setting system according to any one of the third to fourteenth and sixteenth aspects, wherein a condition designation of only a source address is performed at a router interface. Thus, only when the packet filter condition requested by all hosts for a certain source address is blocking, the router has a function unit that sets blocking of the packet of the source address. Features.
According to the packet filter setting system according to the present claim, in the shared media, there is an effect that reception refusal of one host does not affect other hosts.

本発明の請求項19に記載のパケットフィルタ設定システムは、請求項16に記載のパケットフィルタ設定システムであって、ルータは、遮断を要求する設定要求を受信した場合に、全ノードマルチキャストアドレスに対して、当該遮断条件を記述した遮断確認パケットを送信する機能部を有し、遮断確認パケットを受信したホストは、転送を希望する場合は、当該条件に対して転送設定要求を送信する機能部を有し、ルータは、さらに、転送設定要求を受信した場合は、転送条件のまま変更せず、あるいは、予め定めた時間内に転送設定要求を受信しない場合には、遮断設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、シェアードメディアにおいて、あるパケットに対し必要なホストと不要なホストと不要なホストが混在する場合、両者の要望に合わせたフィルタ条件を作成できるという効果が得られる。 A packet filter setting system according to a nineteenth aspect of the present invention is the packet filter setting system according to the sixteenth aspect , wherein when the router receives a setting request for requesting blocking, the router applies to all the node multicast addresses. If the host that has received the block confirmation packet wishes to transfer, the function unit that transmits a transfer setting request for the condition is provided. The router further has a function unit for setting the blocking when the transfer setting request is received, the transfer condition is not changed, or the transfer setting request is not received within a predetermined time. It is characterized by that.
According to the packet filter setting system according to this claim, in a shared medium, when a necessary host, an unnecessary host, and an unnecessary host are mixed for a certain packet, an effect that a filter condition can be created to meet both requests. Is obtained.

本発明の請求項20に記載のパケットフィルタ設定システムは、請求項3〜15,17のいずれか1項に記載のパケットフィルタ設定システムであって、パケットフィルタ設定を行ったルータは、1以上のインタフェースにおいて、ある送信元アドレスに対し、フィルタ条件が送信元アドレス限定で、かつ転送であれば、当該送信元アドレスへの選択ルートであるインタフェースから、当該転送条件を記述した設定要求パケットを送信する機能部を有し、当該転送条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該条件を設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。 A packet filter setting system according to claim 20 of the present invention is the packet filter setting system according to any one of claims 3 to 15 and 17 , wherein one or more routers performing packet filter setting are provided. If the filter condition is limited to the source address and forwarding for a certain source address on the interface, a setting request packet describing the forwarding condition is transmitted from the interface that is the selected route to the source address. An adjacent router that has a function unit and receives the setting request packet describing the transfer condition has a function unit that sets the condition in the receiving interface.
According to the packet filter setting system according to the present claim, it is possible to obtain an effect that the packet can be blocked by a router close to the transmission source.

本発明の請求項21に記載のパケットフィルタ設定システムは、請求項3〜14,16,18,19のいずれか1項に記載のパケットフィルタ設定システムであって、パケットフィルタ設定を行ったルータは、ある送信元アドレスに対し、どのインタフェースにも転送設定がなければ、当該送信元アドレスへの選択ルートであるインタフェースから、当該送信元アドレスに対する遮断条件を記述した設定要求パケットを送信する機能部を有し、当該遮断条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該遮断条件を設定する機能部を有することを特徴とする。
本請求項に係るパケットフィルタ設定システムによれば、送信元に近いルータでパケット遮断を行うことが可能になるという効果が得られる。 The packet filter setting system according to claim 21 of the present invention is the packet filter setting system according to any one of claims 3 to 14 , 16 , 18 , and 19, wherein the router that performs the packet filter setting is If there is no forwarding setting for any interface for a certain source address, a function unit that transmits a setting request packet describing a blocking condition for the source address from the interface that is the selected route to the source address. The adjacent router that has received the setting request packet describing the blocking condition has a function unit that sets the blocking condition in the reception interface.
According to the packet filter setting system according to the present claim, it is possible to obtain an effect that the packet can be blocked by a router close to the transmission source.

また、本発明は、請求項22に記載の通り、上記各項に記載のパケットフィルタ設定システムを実現するためのルータまたはホストの機能部の機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラムをも提供するものである。   According to a twenty-second aspect of the present invention, there is provided a computer for executing a function of a functional unit of a router or a host for realizing the packet filter setting system described in each of the above items by program control of the computer. A control program is also provided.

特に、本発明は、請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムを構成するに好適に用い得るルータを提供することをも、その特徴とする。すなわち、請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムは、その特徴的機能を実現するルータによるところが大きい。   In particular, the present invention is characterized by providing a router that can be suitably used for configuring the packet filter setting system according to any one of claims 3 to 21. That is, the packet filter setting system according to any one of claims 3 to 21 is largely based on a router that realizes its characteristic function.

以上をまとめると、本発明においては、ホストがセキュリティ用にルータからホスト方向へのパケット転送に限定して、フィルタ条件を設定する。この場合、リアルタイムにフィルタ条件の変更を可能とするように、IPパケットにフィルタ条件を記述しネットワークレイヤで制御する。また、ルータがフィルタ条件の設定パケットかどうかを容易に判断することができるように、予め定めたIPマルチキャストアドレスを用いる。   In summary, according to the present invention, the host sets the filter condition only for packet transfer from the router to the host for security. In this case, the filter condition is described in the IP packet and controlled by the network layer so that the filter condition can be changed in real time. In addition, a predetermined IP multicast address is used so that the router can easily determine whether the packet is a filter condition setting packet.

また、本発明に係る技術においては、ホストは事前にルータに通知せず電源断や回線断が発生する可能性が大きいため、ルータが周期的に監視することにより、フィルタ条件の有効性を確認することは有効である。また、ネットワークセキュリティの観点から、ルータに不正なフィルタ条件を設定されないように、設定要求をネットワークで認証することも有効である。   In the technology according to the present invention, the host does not notify the router in advance, and there is a high possibility that the power cut or line cut will occur. Therefore, the effectiveness of the filter condition is confirmed by periodically monitoring the router. It is effective to do. From the viewpoint of network security, it is also effective to authenticate the setting request with the network so that an illegal filter condition is not set in the router.

また、上記の設定要求の認証においては、認証サーバにフィルタ条件のうちの変更可能な条件,変更不可能な条件あるいは条件範囲を記憶し、認証条件で参照することにより、セキュリティを向上させることができる。
また、認証結果をホストに通知することにより、ホストでネットワークの動作を確認することが可能になる。 In the authentication of the above setting request, it is possible to improve the security by storing the changeable condition, the unchangeable condition or the condition range of the filter conditions in the authentication server and referring to the authentication condition. it can.
In addition, by notifying the host of the authentication result, it becomes possible to confirm the network operation on the host.

ルータにおけるフィルタ条件設定においては、設定処理が追加であるか削除であるか、あるいは遮断条件であるか転送条件であるかをを識別子として明示的に指定することが、ルータにおける、条件記述解析の高速化や処理負荷の低減に有効である。
また、ルータの初期条件を、全て遮断か全て転送かに定めておけば、条件追加処理が簡略化される。 In the filter condition setting in the router, it is necessary to explicitly specify as an identifier whether the setting process is addition or deletion, or a blocking condition or a forwarding condition. Effective for speeding up and reducing processing load.
If the initial conditions of the router are determined to be all blocked or all transferred, the condition adding process is simplified.

また、通常、ルータのインタフェースには、一般的に複数のホストが接続されることが考えられ、その場合には、各ホストから要望されるフィルタ条件の論理和を取った条件を設定する必要がある。特に遮断の要求がある場合には、要求元以外に遮断しても良いかを問い合わせることにより、突然パケットを受信しなくなる故障が発生した場合との区別が容易になる。   In general, it is conceivable that a plurality of hosts are generally connected to the router interface. In this case, it is necessary to set a condition obtained by ORing the filter conditions desired by each host. is there. In particular, when there is a request for blocking, it is easy to distinguish from a case where a failure that suddenly stops receiving a packet occurs by inquiring whether or not to block other than the request source.

また、ルータのフィルタ条件を、上流ルータのフィルタ条件に反映させれば、上流ルータ間の回線に無効パケットが転送されることがなくなり、回線が有効活用できる。   If the filter conditions of the router are reflected in the filter conditions of the upstream router, invalid packets are not transferred to the line between the upstream routers, and the line can be used effectively.

本発明によれば、IPネットワークにおいて、受信側が必要としないパケットが送信元に近いルータで遮断され、無効なパケット転送がなくなるという効果が得られる。なお、本発明のより具体的な効果は、下記の実施例により詳細に示される。   According to the present invention, in the IP network, packets that are not required by the receiving side are blocked by the router close to the transmission source, and an effect is obtained that invalid packet transfer is eliminated. In addition, the more specific effect of this invention is shown in detail by the following Example.

以下に、添付の図面に示す好適実施形態に基づいて、を詳細に説明する。   DESCRIPTION OF EMBODIMENTS Hereinafter, the present invention will be described in detail based on preferred embodiments shown in the accompanying drawings.

〔実施例1〕
本発明の実施例1を、図1のネットワーク構成例を用いて説明する。
ルータ101とホスト102,ホスト103,ホスト104から構成される。
ルータ101には、ホスト102を接続するインタフェース(1)(以下、インタフェースをIFと、インタフェース(1)をIF(1)等と略記する)111と、ホスト103およびホスト104が接続されるIF(2)112が存在する。ホスト102のIPアドレスを2002::2とし、ホスト103のIPアドレスを3000::2とし、ホスト104のIPアドレスを4000::2とする。また、フィルタ条件設定パケット用のIPアドレスを、例えば、ff02::100と定めておく。
上記のネットワーク構成例やIPアドレスの値は、説明を明確化するための一例であって、本発明を制限するものではない。 [Example 1]
A first embodiment of the present invention will be described using a network configuration example of FIG.
It comprises a router 101, a host 102, a host 103, and a host 104.
The router 101 is connected to an interface (1) (hereinafter, the interface is abbreviated as IF, interface (1) is abbreviated as IF (1), etc.) 111 to which the host 102 is connected. 2) 112 is present. Assume that the IP address of the host 102 is 2002 :: 2, the IP address of the host 103 is 3000 :: 2, and the IP address of the host 104 is 4000 :: 2. Further, the IP address for the filter condition setting packet is set to, for example, ff02 :: 100.
The above network configuration examples and IP address values are examples for clarifying the explanation, and do not limit the present invention.

実施例1の動作を、図2の動作例を用いて説明する。
ホスト102は、ホスト103からのパケット受信を拒否する場合に、送信元3000::2のパケットを遮断と記述し、宛先IPアドレスをff02::100としたフィルタ設定要求パケットを送信する(S1,S2)。
ルータ101は、IF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し(S3)、送信元3000::2を遮断と記述されているので、当該パケットを受信したIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定する(S4)。 The operation of the first embodiment will be described using the operation example of FIG.
When the host 102 refuses to receive the packet from the host 103, it describes that the packet of the transmission source 3000 :: 2 is blocked and transmits a filter setting request packet with the destination IP address ff02 :: 100 (S1, S1). S2).
When the router 101 receives the filter setting request packet whose destination IP address is ff02 :: 100 at IF (1) 111, the router 101 analyzes the description (S3) and describes that the transmission source 3000 :: 2 is blocked. Therefore, a filter that blocks the packet from 3000 :: 2 is set in the output direction of the IF (1) 111 that has received the packet (S4).

あるいは、ホスト102はホスト103からのパケット受信を拒否する場合に、送信元3000::2、宛先2000::2のパケットを遮断と記述し、宛先IPアドレスをff02::100としたフィルタ設定要求パケットを送信する方法もある。
その場合、ルータ101はIF(1)111にて、宛先IPアドレスがff02::100であるフィルタ設定要求パケットを受信したら、記述内容を解析し、送信元3000::2,宛先2000::2のパケットを遮断と記述されているので、当該パケットを受信したIF(1)111の出力方法に、送信元3000::2,宛先2000::2のパケットを遮断するフィルタを設定する。 Alternatively, when the host 102 refuses to receive a packet from the host 103, it describes that the packet of the source 3000 :: 2 and the destination 2000 :: 2 is blocked, and sets the destination IP address as ff02 :: 100. There is also a method of transmitting a packet.
In this case, when the router 101 receives the filter setting request packet whose destination IP address is ff02 :: 100 at IF (1) 111, the router 101 analyzes the description contents and transmits the source 3000 :: 2 and the destination 2000 :: 2. Therefore, a filter that blocks the packet of the transmission source 3000 :: 2 and the destination 2000 :: 2 is set in the output method of the IF (1) 111 that has received the packet.

〔実施例2〕
本発明の実施例2のネットワーク構成は、図1と同様である。
本発明の実施例2の動作を、図3の動作例を用いて説明する。
実施例2では、ルータ101がIF(1)111の出力方向に、3000::2からのパケットを遮断するフィルタを設定後(S5〜S7)に、ホスト102にフィルタ設定完了通知を送信する(S8)ところが実施例1と異なる。 [Example 2]
The network configuration of the second embodiment of the present invention is the same as that shown in FIG.
The operation of the second embodiment of the present invention will be described using the operation example of FIG.
In the second embodiment, the router 101 sets a filter that blocks packets from 3000 :: 2 in the output direction of IF (1) 111 (S5 to S7), and then transmits a filter setting completion notification to the host 102 ( S8) However, this is different from the first embodiment.

〔実施例3〕
本発明の実施例3のネットワーク構成例は、図1と同様である。
本発明の実施例3の動作例は、図4に示すように、ホスト102が周期的にフィルタ設定通知を送信する(S10〜S12)ところ、およびルータ101がフィルタ設定時にタイマを起動する(S14)ところが異なる。
ルータ101は、タイマ動作中にフィルタ設定通知を受信したら、タイマを更新する(S15)。
あるいは、ルータ101はフィルタ設定通知を、ある一定時間以上受信せずタイムアウトしたら、設定したフィルタ条件を解除する(S16〜S17)。 Example 3
A network configuration example according to the third embodiment of the present invention is the same as that shown in FIG.
In the operation example of the third embodiment of the present invention, as shown in FIG. 4, when the host 102 periodically transmits a filter setting notification (S10 to S12), the router 101 starts a timer when setting the filter (S14). However, it is different.
When the router 101 receives the filter setting notification during the timer operation, the router 101 updates the timer (S15).
Alternatively, when the router 101 does not receive the filter setting notification for a certain fixed time or more and times out, the set filter condition is canceled (S16 to S17).

〔実施例4〕
本発明の実施例4の動作例を、図5に示す。図5に示すように、ルータがフィルタ設定を確認し、フィルタ設定通知はフィルタ設定確認の応答として送信されるところが、実施例3と異なる。
ルータ101は、確認送信タイマを用いて、フィルタ設定確認通知を周期的に送信する(S22〜S27)。フィルタ設定確認通知の宛先アドレスは、実施例1のフィルタ条件設定パケット用のIPアドレスと同一で、パケットの記述内容で識別してもよいし、異なるIPアドレスとし、IPアドレスにより識別してもよい。
フィルタ条件継続タイマの動作は、実施例3のタイマ動作と同様である。 Example 4
FIG. 5 shows an operation example of the fourth embodiment of the present invention. As shown in FIG. 5, the point that the router confirms the filter setting and the filter setting notification is transmitted as a response to the filter setting confirmation is different from the third embodiment.
The router 101 periodically transmits a filter setting confirmation notification using the confirmation transmission timer (S22 to S27). The destination address of the filter setting confirmation notification is the same as the IP address for the filter condition setting packet of the first embodiment, and may be identified by the description contents of the packet or may be identified by the IP address as a different IP address. .
The operation of the filter condition continuation timer is the same as the timer operation of the third embodiment.

〔実施例5〕
本発明の実施例5のネットワーク構成を、図6に示す。実施例5のネットワーク構成は、図1に示す実施例1のネットワーク構成に、認証サーバ205を追加した構成である。すなわち、ルータ201とホスト202,ホスト203,ホスト204および認証サーバ205から構成される。
ルータ201にはホスト202を接続するIF(1)211と、ホスト203および204が接続されるIF(2)212が存在する。また、ホスト202のIPアドレスを2000::2とし、ホスト203のIPアドレスを3000::2とし、ホスト204のIPアドレスを4000::2とする。 Example 5
FIG. 6 shows a network configuration according to the fifth embodiment of the present invention. The network configuration of the fifth embodiment is a configuration in which an authentication server 205 is added to the network configuration of the first embodiment shown in FIG. That is, the router 201, the host 202, the host 203, the host 204, and the authentication server 205 are configured.
The router 201 has an IF (1) 211 that connects the host 202 and an IF (2) 212 that connects the hosts 203 and 204. The IP address of the host 202 is set to 2000 :: 2, the IP address of the host 203 is set to 3000 :: 2, and the IP address of the host 204 is set to 4000 :: 2.

実施例5の動作を、図7の動作例を用いて説明する。
実施例5では、ホストはフィルタ設定要求にホスト認証情報を添付する。ホスト情報としては、ユーザIDとパスワードの組み合わせ,電子証明書などが考えられるが、本発明は、ルータにおいてホストから受信したフィルタ設定要求と、その認証結果を対応付けできることが重要であって、ホスト認証方法を限定するものではない。
ルータ201はフィルタ設定要求を受信したら、当該メッセージに添付されたホスト認証情報を認証サーバ205に転送し(S29〜S31)、その応答を受信した時に応答が認証成功であればフィルタ設定を実行する(S32〜S34)。
なお、図8に示すように、認証サーバ205からの応答が認証失敗であれば、ルータ201はフィルタ設定を実行しない(S35〜S38)。 The operation of the fifth embodiment will be described using the operation example of FIG.
In the fifth embodiment, the host attaches host authentication information to the filter setting request. As the host information, a combination of a user ID and a password, an electronic certificate, and the like can be considered. However, in the present invention, it is important that the filter setting request received from the host in the router can be associated with the authentication result. The authentication method is not limited.
Upon receiving the filter setting request, the router 201 transfers the host authentication information attached to the message to the authentication server 205 (S29 to S31), and executes filter setting if the response is successful when receiving the response. (S32-S34).
As shown in FIG. 8, if the response from the authentication server 205 is an authentication failure, the router 201 does not execute the filter setting (S35 to S38).

〔実施例6〕
本発明の実施例6のネットワーク構成および動作は、実施例5と同様である。
ただし、認証サーバ205にホストが変更してもよいフィルタ条件を登録しておく点と、ルータ201が認証サーバ205に送信する認証要求に、ホスト認証情報だけでなく、フィルタ条件をも添付する所が異なる。図9に、認証サーバの205のフィルタ条件管理テーブル構成例を示す。
フィルタ条件管理テーブルは、ホスト名と変更許可範囲とから構成される。ホスト名は、図9では、ホストのIPアドレスを例として示すが、ホストを識別できればよく、他にもMACアドレスでも、文字列からなるユーザIDでもよい。変更範囲は、図9では、IPアドレスの1つの範囲を例として示すが、IPアドレス,IPプロトコル番号,TCPポート番号,UDPポート番号,ICMPタイプ,コードの組み合わせを複数記述してもよい。 Example 6
The network configuration and operation of the sixth embodiment of the present invention are the same as those of the fifth embodiment.
However, the filter conditions that the host may change are registered in the authentication server 205, and not only the host authentication information but also the filter conditions are attached to the authentication request transmitted from the router 201 to the authentication server 205. Is different. FIG. 9 shows a configuration example of the filter condition management table 205 of the authentication server.
The filter condition management table includes a host name and a change permission range. In FIG. 9, the host name is shown by taking the IP address of the host as an example. However, the host name only needs to be able to identify the host, and may be a MAC address or a user ID consisting of a character string. In FIG. 9, one range of the IP address is shown as an example of the change range, but a plurality of combinations of IP address, IP protocol number, TCP port number, UDP port number, ICMP type, and code may be described.

各ホストが設定可能なフィルタ条件は、上記のように、認証サーバ205に予め登録しておき、認証サーバ205は、ルータ201から通知されたフィルタ条件が、登録してあるフィルタ条件の範囲内であれば、認証成功通知に、当該フィルタ条件を添付し、ルータ201は認証成功に添付されたフィルタ条件を設定する。
あるいは、認証サーバ205は、実施例5と異なり、ホストが認証されても、当該ホストからの設定変更要求条件が変更範囲になければ、認証失敗をルータに応答することも考えられる。図9のテーブル記述例でいえば、認証サーバ205は、ホスト2002::2から送信元IP=3000::2の遮断要求を許可されるが、同ホストの送信元IP=4000::2の遮断要求は拒否する。 The filter conditions that can be set by each host are registered in advance in the authentication server 205 as described above, and the authentication server 205 determines that the filter conditions notified from the router 201 are within the range of the registered filter conditions. If there is, the filter condition is attached to the authentication success notification, and the router 201 sets the filter condition attached to the authentication success.
Alternatively, unlike the fifth embodiment, the authentication server 205 may respond to the router with an authentication failure if the host is authenticated but the setting change request condition from the host is not within the change range. In the example of the table description in FIG. 9, the authentication server 205 is permitted to make a cutoff request for the source IP = 3000 :: 2 from the host 2002 :: 2, but the source IP of the same host is 4000 :: 2. Block request is rejected.

〔実施例7〕
本発明の実施例7のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更できないフィルタ条件を登録しておく点が実施例6と異なる。この場合、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲になければ、認証成功通知にホストから要求されたフィルタ条件を添付し、ルータ201は、認証成功に添付されたフィルタ条件を設定する。また、認証サーバ205は、ホストからの設定変更要求条件が変更不可範囲にあれば、認証失敗をルータ201に応答することも考えられる。 Example 7
The network configuration and operation of the seventh embodiment of the present invention are the same as those of the sixth embodiment.
However, the sixth embodiment is different from the sixth embodiment in that a filter condition that cannot be changed by the host is registered in the authentication server 205. In this case, if the setting change request condition from the host is not within the unchangeable range, the authentication server 205 attaches the filter condition requested from the host to the authentication success notification, and the router 201 attaches the filter condition attached to the authentication success. Set. Further, the authentication server 205 may respond to the router 201 with an authentication failure if the setting change request condition from the host is within the unchangeable range.

〔実施例8〕
本発明の実施例8のネットワーク構成および動作は、実施例6と同様である。
ただし、認証サーバ205に、ホストが変更してもよいフィルタ条件と、ホストが変更できないフィルタ条件の両方を登録しておく点が、実施例6と異なる。
この場合、認証サーバ205の動作としては、フィルタ条件管理テーブルに一括して変更してもよい条件と変更できない条件を記憶する方法でも、あるいは変更してもよい条件のテーブルと変更できない条件のテーブルをそれぞれ用意し、両方を参照する方法でもよい。
認証サーバ205のフィルタ条件管理テーブル検索動作例としては、予めフィルタ条件を登録順、あるいは優先度順に整列記憶させ、検索時には最初に合致した条件を適用する方法や、あるいは、フィルタ条件登録時に各フィルタ条件の優先度を明記してフィルタ条件管理テーブルに記憶し、フィルタ条件管理テーブル検索時には、合致した条件のうち優先度が最高の条件を適用する方法が考えられる。 Example 8
The network configuration and operation of the eighth embodiment of the present invention are the same as those of the sixth embodiment.
However, the sixth embodiment is different from the sixth embodiment in that both a filtering condition that the host may change and a filtering condition that the host cannot change are registered in the authentication server 205.
In this case, the operation of the authentication server 205 may be a method of storing conditions that can be changed collectively and conditions that cannot be changed in the filter condition management table, or a table of conditions that may be changed and a table of conditions that cannot be changed. It is also possible to prepare each and refer to both.
As an example of the filter condition management table search operation of the authentication server 205, filter conditions are stored in advance in the order of registration or priority, and the first matching condition is applied at the time of search, or each filter is registered at the time of filter condition registration. It is conceivable to specify the priority of the condition and store it in the filter condition management table, and apply the condition with the highest priority among the matched conditions when searching the filter condition management table.

〔実施例9〕
本発明の実施例9の動作を、図10と図11の動作例を用いて説明する。
図10の動作例1は、認証成功時の動作を示し、ルータ201は認証サーバ205から認証成功を通知された場合に、ホストに認証成功を通知する(S41〜S44)。認証成功は、実施例2の設定完了通知が兼ねてもよい。また、図11の動作例は、認証失敗時の動作を示し、ルータ201は認証サーバ205から認証失敗を通知された場合に、ホストに認証失敗を通知する(S47〜S49)。
また、予めルータ201に送信回数を設定し、ルータ201は認証成功通知および認証失敗通知を設定した回数送信することも考えられる。 Example 9
The operation of the ninth embodiment of the present invention will be described with reference to the operation examples of FIGS.
Operation example 1 in FIG. 10 shows an operation at the time of successful authentication. When the authentication is notified from the authentication server 205, the router 201 notifies the host of the authentication success (S41 to S44). The successful authentication may also serve as the setting completion notification in the second embodiment. The operation example of FIG. 11 shows an operation at the time of authentication failure. When the router 201 is notified of the authentication failure from the authentication server 205, the router 201 notifies the host of the authentication failure (S47 to S49).
It is also conceivable that the number of transmissions is set in advance in the router 201, and the router 201 transmits the number of times of setting the authentication success notification and the authentication failure notification.

〔実施例10〕
本発明の実施例10の設定要求パケットフォーマット例を、図12に示す。
設定要求パケットは、IPヘッダとデータとから構成される。IPヘッダには、図のようにIPオプションヘッダが追加される場合がある。データは条件毎に複数記述可能で、各データは、動作識別子とデータ長と条件内容とから構成される。動作識別子は、例えば追加が1で、削除は2とする。追加と削除が識別できれば、他の値でもよい。
転送か遮断かの識別は、条件内容に含まれる。 Example 10
An example of a setting request packet format according to the tenth embodiment of the present invention is shown in FIG.
The setting request packet includes an IP header and data. An IP option header may be added to the IP header as shown in the figure. A plurality of data can be described for each condition, and each data is composed of an action identifier, a data length, and condition contents. For example, the operation identifier is 1 for addition and 2 for deletion. Other values may be used as long as addition and deletion can be identified.
Identification of whether to transfer or block is included in the condition contents.

〔実施例11〕
本発明の実施例11の設定要求パケットフォーマット例を、図13に示す。
設定要求パケットは、実施例10の図12と基本部分は同様であるが、動作識別子が、追加/削除識別子と、転送/遮断識別子であるところが異なる。追加/削除識別子は、例えば、追加が1で削除は2とする。追加と削除が識別できれば他の値でもよい。転送/遮断識別子は、例えば転送が1で遮断が2とする。転送と遮断が識別できれば他の値でもよい。実施例11では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。 Example 11
An example of a setting request packet format according to the eleventh embodiment of the present invention is shown in FIG.
The configuration request packet is the same as that of FIG. 12 of the tenth embodiment, except that the operation identifier is an addition / deletion identifier and a transfer / blocking identifier. For example, the addition / deletion identifier is 1 for addition and 2 for deletion. Other values may be used as long as addition and deletion can be identified. For example, the transfer / blocking identifier is 1 for transfer and 2 for block. Other values may be used as long as transfer and blocking can be identified. In the eleventh embodiment, unlike the tenth embodiment, since transfer or blocking is explicitly indicated, the condition content does not include transfer or blocking.

〔実施例12〕
本発明の実施例12の設定要求パケットフォーマット例は、図12と同様である。
ただし、動作識別子の定義が異なる。動作識別子は、例えば遮断条件追加が1で、転送条件追加は2、遮断条件削除が3、転送条件削除が4とする。もちろん、上記4種類が識別できれば、他の値でもよい。
実施例12では、実施例10と異なり、転送か遮断が明示的に示されているため、条件内容に転送か遮断かは含まれない。 Example 12
An example of a setting request packet format according to the twelfth embodiment of the present invention is the same as that shown in FIG.
However, the definition of the operation identifier is different. The operation identifiers are, for example, 1 for adding blocking conditions, 2 for adding transfer conditions, 3 for deleting blocking conditions, and 4 for deleting transfer conditions. Of course, other values may be used as long as the above four types can be identified.
In the twelfth embodiment, unlike the tenth embodiment, since transfer or blocking is explicitly indicated, the condition content does not include transfer or blocking.

〔実施例13〕
本発明の実施例13の動作を、図14の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ発を除き、全ての出力を遮断している(S50)。
例えば、ホスト202は送信元IPアドレスが3000::2の遮断条件の設定要求を送信しても、元々遮断なので処理は実施されない(S51,S52)。次に、上記アドレスの転送条件を設定した場合、ルータ201において転送設定される(S53〜S55)。この時、ルータ201が設定完了通知,認証成功通知,認証失敗通知を送信する場合には、ルータ発のパケットは遮断の対象外なので、送信される。 Example 13
The operation of the thirteenth embodiment of the present invention will be described using the operation example of FIG.
In the initial state, the host 202 connection IF (1) 211 of the router 201 blocks all outputs except for the router (S50).
For example, even if the host 202 transmits a blocking condition setting request with a source IP address of 3000 :: 2, the processing is not performed because it is originally blocked (S51, S52). Next, when the transfer condition of the address is set, transfer is set in the router 201 (S53 to S55). At this time, when the router 201 transmits a setting completion notification, an authentication success notification, and an authentication failure notification, the packet originated from the router is not blocked and is transmitted.

〔実施例14〕
本発明の実施例14の動作を、図15の動作例を用いて説明する。
初期状態にて、ルータ201のホスト202接続IF(1)211では、ルータ201発を除き、全ての出力を転送設定している(S56)。
例えば、ホスト202は送信元IPアドレスが3000::2の転送条件の設定要求を送信しても、元々転送なので、処理は実施されない(S57,S58)。次に、上記アドレスの遮断条件を設定した場合、ルータ201において遮断設定される(S59〜S61)。 Example 14
The operation of Embodiment 14 of the present invention will be described using the operation example of FIG.
In the initial state, the host 202 connection IF (1) 211 of the router 201 sets transfer of all outputs except for the router 201 (S56).
For example, even if the host 202 transmits a transfer condition setting request with the transmission source IP address 3000 :: 2, since the transfer is originally performed, the processing is not performed (S57, S58). Next, when the address blocking condition is set, the router 201 sets the blocking condition (S59 to S61).

〔実施例15〕
本発明の実施例15のシステム構成例を図16、動作例を図17に示す。
ここでは、ルータ301のIF(1)311にIPアドレスが2000::2のホスト302から2000::4のホスト304までの3台のホストが接続されている構成で説明する。
実施例15の動作は、図17に例示するように、ホスト302が3000::2からのパケットを遮断要求した場合、ルータ301のIF(1)311には遮断設定される(S62,S63)。次に、ホスト303が3000::2からのパケットを転送要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、IF(1)311としては、転送設定となる(S64,S65)。
次に、ホスト304が3000::2からのパケットを遮断要求した場合、同一インタフェースであるIF(1)311に接続されるホストの一つが転送であるため、転送設定のままで条件変更はされない(S66,S67)。 Example 15
A system configuration example according to the fifteenth embodiment of the present invention is shown in FIG. 16, and an operation example is shown in FIG.
Here, a description will be given of a configuration in which three hosts from the host 302 with the IP address 2000 :: 2 to the host 304 with the 2000 :: 4 are connected to the IF (1) 311 of the router 301.
In the operation of the fifteenth embodiment, as illustrated in FIG. 17, when the host 302 requests to block a packet from 3000 :: 2, the IF (1) 311 of the router 301 is set to be blocked (S62, S63). . Next, when the host 303 requests transfer of a packet from 3000 :: 2, since one of the hosts connected to the IF (1) 311 that is the same interface is the transfer, the IF (1) 311 Setting is made (S64, S65).
Next, when the host 304 requests to block a packet from 3000 :: 2, since one of the hosts connected to the same interface IF (1) 311 is forwarding, the condition is not changed with the forwarding setting. (S66, S67).

〔実施例16〕
本発明の実施例16のネットワーク構成は図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例16の動作は、図18に示すように、IPアドレス3000::2のホスト305が転送設定であるとする(S68)。ホスト302が3000::2からのパケットを遮断要求した場合、他のホストは遮断でないために条件変更はしない(S69,S70)。次に、ホスト303が3000::2からのパケットを遮断要求した場合にも、ホスト304が遮断でないため、条件変更はしない(S71,S72)。次に、ホスト304が3000::2からのパケットを遮断要求した場合、全てのホストが遮断条件となるため、3000::2からのパケットを遮断設定する(S73,S74)。 Example 16
The network configuration of the sixteenth embodiment of the present invention is the same as that shown in FIG. 16, and is described with a configuration in which three hosts with IP addresses from 2000 :: 2 to 2000 :: 4 are connected to the IF (1) 311 of the router. To do.
In the operation of the sixteenth embodiment, as shown in FIG. 18, it is assumed that the host 305 with the IP address 3000 :: 2 is set to transfer (S68). When the host 302 requests to block a packet from 3000 :: 2, the other hosts are not blocked, so the condition is not changed (S69, S70). Next, even when the host 303 requests to block a packet from 3000 :: 2, since the host 304 is not blocked, the condition is not changed (S71, S72). Next, when the host 304 requests to block a packet from 3000 :: 2, all the hosts are in a blocking condition, so that the packet from 3000 :: 2 is set to be blocked (S73, S74).

〔実施例17〕
本発明の実施例17のネットワーク構成は、図16と同様で、ルータのIF(1)311にIPアドレスが2000::2から2000::4までの3台のホストが接続されている構成で説明する。
実施例17の動作例は、図19に示すように、3000::2が転送設定であるとする(S75)。ホスト302が3000::2からのパケットを遮断要求した場合(S76)、ルータ301は他のホストに転送する必要があるかどうかを、遮断条件を記載した変更確認を全ノードに送信するとともに、応答監視タイマを起動する(S77,S78)。ルータ301は監視タイマがタイムアウトしたら(S79)、3000::2からのパケットの転送が必要なホストがないと判断し、当該条件について遮断設定を行う(S80)。 Example 17
The network configuration of the seventeenth embodiment of the present invention is the same as that of FIG. 16, and is configured such that three hosts with IP addresses 2000 :: 2 to 2000 :: 4 are connected to the router IF (1) 311. explain.
In the operation example of the seventeenth embodiment, as shown in FIG. 19, it is assumed that 3000 :: 2 is the transfer setting (S75). When the host 302 requests to block a packet from 3000 :: 2 (S76), the router 301 sends a change confirmation describing the blocking condition to all the nodes to determine whether or not it needs to be transferred to another host. A response monitoring timer is started (S77, S78). When the monitoring timer times out (S79), the router 301 determines that there is no host that needs to transfer a packet from 3000 :: 2, and performs blocking setting for the condition (S80).

〔実施例18〕
本発明の実施例18のネットワーク構成を図20に、動作例を図21に示す。
実施例18の説明に用いるネットワーク構成では、ルータ401にはIPアドレスが2001::2のホスト402と2002::2のホスト403が、それぞれIF(11)411とIF(12)412に接続されており、IF(13)413にはルータ402のIF(21)421が接続され、ルータ402のIF(22)422には、それぞれIPアドレスが3000::2のホスト406と4000::2のホスト407が接続されている。 Example 18
FIG. 20 shows a network configuration of an eighteenth embodiment of the present invention, and FIG. 21 shows an operation example.
In the network configuration used in the description of the eighteenth embodiment, the router 401 is connected to the host 402 with the IP address 2001 :: 2 and the host 403 with the 2002 :: 2 connected to the IF (11) 411 and the IF (12) 412 respectively. The IF (13) 413 is connected to the IF (21) 421 of the router 402, and the IF (22) 422 of the router 402 has a host 406 and a 4000 :: 2 IP addresses 3000 :: 2, respectively. A host 407 is connected.

次に、実施例18の動作を、図21の動作例を用いて説明する。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを転送する設定要求をIF(11)411にて受信した場合、IF(11)411に当該転送設定を行う(S82,S83)。ルータ401において、1以上のIFにおいて送信元アドレスが3000::2であるパケットの転送設定がなされたので、ルータ401はルーチングテーブルを参照して、3000::2の選択経路であるルータ(2)402に、送信元アドレスが3000::2であるパケットを転送する設定要求を送信する(S85)。
ルータ(2)402は、送信元アドレスが3000::2であるパケットを転送する設定要求を、IF(21)421にて受信した場合、IF(21)421に当該転送設定を実施する(S86)。 Next, the operation of Embodiment 18 will be described using the operation example of FIG.
When the router (1) 401 receives a setting request for transferring a packet whose source address is 3000 :: 2 from the host 402 at the IF (11) 411, the transfer setting is made in the IF (11) 411 ( S82, S83). Since the router 401 has set forwarding of a packet whose source address is 3000 :: 2 in one or more IFs, the router 401 refers to the routing table and refers to the router (2 which is the selected route of 3000 :: 2). ) 402, a setting request for transferring a packet whose source address is 3000 :: 2 is transmitted (S85).
When the router (2) 402 receives the setting request for transferring the packet having the transmission source address 3000 :: 2 at the IF (21) 421, the router (2) 402 performs the transfer setting on the IF (21) 421 (S86). ).

〔実施例19〕
本発明の実施例19のネットワーク構成は、図20と同様である。
以下、実施例19の動作を、図22の動作例を用いて説明する。
ルータ(1)401がホスト402からの送信元アドレスが3000::2であるパケットを遮断する設定要求をインタフェース411にて受信した場合、IF(11)411に当該遮断設定を行う(S88,S89)。この時、IF(12)412でも送信元アドレスが3000::2であるパケットが遮断設定であるとする。 Example 19
The network configuration of the nineteenth embodiment is the same as that shown in FIG.
The operation of the nineteenth embodiment will be described below using the operation example of FIG.
When the router (1) 401 receives a setting request from the host 402 to block a packet whose source address is 3000 :: 2, using the interface 411, the blocking setting is performed in the IF (11) 411 (S88, S89). ). At this time, it is assumed that a packet having a transmission source address of 3000 :: 2 is also set to be blocked by IF (12) 412.

ルータ(1)401では、全IFにおいて、送信元アドレスが3000::2であるパケットの遮断要求設定がされたので、ルータ(1)401はルーチングテーブルを参照し、3000::2の選択経路であるルータ(2)402に送信元アドレスが3000::2であるパケットを遮断する設定要求を送信する(S91)。ルータ(2)402は、送信元アドレスが3000::2であるパケットを遮断する設定要求をIF(21)421にて受信した場合、IF(21)421に当該遮断設定を実施する(S92)。   In the router (1) 401, since the blocking request for the packet whose source address is 3000 :: 2 is set in all IFs, the router (1) 401 refers to the routing table and selects the selected route of 3000 :: 2. A setting request for blocking the packet whose source address is 3000 :: 2 is transmitted to the router (2) 402 (S91). When the router (2) 402 receives the setting request for blocking the packet whose source address is 3000 :: 2 at the IF (21) 421, the router (2) 402 performs the blocking setting on the IF (21) 421 (S92). .

なお、前述のように、本発明に係るパケットフィルタ設定システムを実現するためのルータまたはホストの機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラムとしても商品化できるという効果もある。   As described above, there is also an effect that a router or host function for realizing the packet filter setting system according to the present invention can be commercialized as a computer control program for executing the program control of the computer.

また、前述のように、本発明に係るパケットフィルタ設定システムは、これを構成するために好適に用いうるルータ単体としても、商品化可能である。
例えば、以下の通りである。
(1)請求項3に記載のパケットフィルタ設定システムに用いられ、
宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とするルータ。
(2)請求項4に記載のパケットフィルタ設定システムに用いられ、
フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とするルータ。
(3)請求項5に記載のパケットフィルタ設定システムに用いられ、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とするルータ。 Further, as described above, the packet filter setting system according to the present invention can be commercialized as a single router that can be suitably used to configure the packet filter setting system.
For example, it is as follows.
(1) Used in the packet filter setting system according to claim 3,
When receiving a packet whose destination IP address is the address for the setting request packet, terminate the packet, analyze the described content, and set the described packet filter condition on the output side of the received interface. A router characterized by having.
(2) Used in the packet filter setting system according to claim 4,
A router having a function unit for transmitting a completion notification to a host when filter setting is successful.
(3) used in the packet filter setting system according to claim 5;
A router having a functional unit for deleting the filter setting when a setting request packet is not received for a predetermined period or longer.

(4)請求項6に記載のパケットフィルタ設定システムに用いられ、
予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部と、
予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とするルータ。
(5)請求項7に記載のパケットフィルタ設定システムに用いられ、
設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部と、
認証手段から、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするルータ。 (4) Used in the packet filter setting system according to claim 6,
A function unit that transmits a confirmation packet with a destination IP address as a confirmation packet address at a predetermined fixed period;
A router having a functional unit that deletes the filter condition when a setting request packet is not received for a predetermined period or longer.
(5) Used in the packet filter setting system according to claim 7,
Upon receiving the setting request packet, a function unit that transfers data certifying that the host is a valid host to the authentication unit;
A router having a function unit that sets a packet filter condition to an interface that has received a setting request packet only when a setting permission is notified from an authentication unit.

(6)請求項8に記載のパケットフィルタ設定システムに用いられ、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有することを特徴とするルータ。
(7)請求項11に記載のパケットフィルタ設定システムに用いられ、
認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とするルータ。
(8)請求項12に記載のパケットフィルタ設定システムに用いられ、
動作識別子が追加で、追加条件を記述した設定要求を受信した場合、パケットフィルタ条件を追加し、及び、動作識別子が削除で、削除条件を記述した設定要求を受信した場合、パケットフィルタ条件を削除する場合に、機能部を有することを特徴とするルータ。 (6) Used in the packet filter setting system according to claim 8,
A router having a functional unit that, when receiving a setting request packet, transfers a packet filter condition to authentication means in addition to data proving to be a valid host.
(7) used in the packet filter setting system according to claim 11;
A router having a function unit that notifies an authentication result notified from an authentication unit to a host that has transmitted a setting request.
(8) used in the packet filter setting system according to claim 12,
When an operation identifier is added and a setting request describing an additional condition is received, a packet filter condition is added, and when an operation identifier is deleted and a setting request describing a deletion condition is received, the packet filter condition is deleted. A router having a functional part when performing.

(9)請求項13に記載のパケットフィルタ設定システムに用いられ、
追加削除識別子が追加で、転送遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを受信した場合、当該遮断条件を追加し、
あるいは、追加削除識別子が追加で、転送遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを受信した場合、当該転送条件を追加し、
あるいは、追加削除識別子が削除で、転送遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを受信した場合、遮断条件を削除し、
あるいは、追加削除識別子が削除で、転送遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを受信した場合、転送条件を削除する、機能部を有することを特徴とするルータ。 (9) Used in the packet filter setting system according to claim 13,
When an additional deletion identifier is added, a transfer blocking identifier is blocking, and a condition setting packet describing a blocking condition to be added is received, the blocking condition is added,
Alternatively, when a condition setting packet describing a transfer condition to be added is received when an additional deletion identifier is added and a transfer blocking identifier is transfer, the transfer condition is added,
Alternatively, when the additional deletion identifier is deletion, the transfer blocking identifier is blocking, and a condition setting packet describing the blocking condition to be deleted is received, the blocking condition is deleted,
Alternatively, a router having a functional unit that deletes a transfer condition when an additional deletion identifier is deletion, a transfer blocking identifier is transfer, and a condition setting packet describing a transfer condition to be deleted is received.

なお、上記実施形態並びに実施例は、いずれも本発明の一例を示したものであり、本発明はこれらに限定されるものではなく、本発明の趣旨を変更しない範囲内で適宜の変更・改良を行ってもよいことはいうまでもない。   The above-described embodiments and examples are merely examples of the present invention, and the present invention is not limited to these. Appropriate changes / improvements are made without departing from the scope of the present invention. Needless to say, it may be performed.

本発明の実施例1のネットワーク構成例を示すブロック図である。It is a block diagram which shows the network structural example of Example 1 of this invention. 本発明の実施例1の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 1 of this invention. 本発明の実施例2の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 2 of this invention. 本発明の実施例3の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 3 of this invention. 本発明の実施例4の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 4 of this invention. 本発明の実施例5のネットワーク構成例を示すブロック図である。It is a block diagram which shows the network structural example of Example 5 of this invention. 本発明の実施例5の動作例1を示すシーケンス図である。It is a sequence diagram which shows the operation example 1 of Example 5 of this invention. 本発明の実施例5の動作例2を示すシーケンス図である。It is a sequence diagram which shows the operation example 2 of Example 5 of this invention. 本発明の実施例6における配信サーバのフィルタ条件管理テーブル構成例を示す図である。It is a figure which shows the filter condition management table structural example of the delivery server in Example 6 of this invention. 本発明の実施例9の動作例1を示すシーケンス図である。It is a sequence diagram which shows the operation example 1 of Example 9 of this invention. 本発明の実施例9の動作例2を示すシーケンス図である。It is a sequence diagram which shows the operation example 2 of Example 9 of this invention. 本発明の実施例10におけるパケットフォーマット例を示す図である。It is a figure which shows the example of a packet format in Example 10 of this invention. 本発明の実施例11におけるパケットフォーマット例を示す図である。It is a figure which shows the packet format example in Example 11 of this invention. 本発明の実施例13の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 13 of this invention. 本発明の実施例14の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 14 of this invention. 本発明の実施例15のネットワーク構成例を示すブロック図である。It is a block diagram which shows the example of a network structure of Example 15 of this invention. 本発明の実施例15の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 15 of this invention. 本発明の実施例16の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 16 of this invention. 本発明の実施例17の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 17 of this invention. 本発明の実施例18のネットワーク構成例を示すブロック図である。It is a block diagram which shows the network structural example of Example 18 of this invention. 本発明の実施例18の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 18 of this invention. 本発明の実施例19の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of Example 19 of this invention.

符号の説明Explanation of symbols

101,201,301,401,404 ルータ
102,103,104,202,203,204,302,303,304,305,306,402,403,406,407 ホスト
205 認証サーバ
111,112,211,212,311,312,411,412,413,421 IF
S1〜S92 処理ステップ 101, 201, 301, 401, 404 Router 102, 103, 104, 202, 203, 204, 302, 303, 304, 305, 306, 402, 403, 406, 407 Host 205 Authentication server 111, 112, 211, 212 , 311, 312, 411, 412, 413, 421 IF
S1-S92 processing steps

Claims (22)

少なくとも1のルータとホストを有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、
特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義し、
ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信し、
ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定することを特徴とするパケットフィルタ設定方法。 A packet filter setting method for setting a packet filter condition in a router in an IP network having at least one router and a host,
Define a specific IP multicast address as the address for the configuration request packet that forwards the packet filter condition information,
The host transmits a setting request packet in which the address for the setting request packet is a destination IP address and packet filtering conditions are described,
When the router receives the packet whose destination IP address is the address for the setting request packet, the router terminates the packet, analyzes the described contents, and sets the described packet filter condition on the output side of the received interface. And a packet filter setting method. 少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するIPネットワークにおいて、ルータにパケットフィルタ条件を設定するパケットフィルタ設定方法であって、
認証手段には、設定変更を許可するホストを予め登録しておき、
ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与し、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、パケットフィルタ条件の設定要求を認証する手段に転送し、
認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知し、
ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定することを特徴とするパケットフィルタ設定方法。 A packet filter setting method for setting packet filter conditions in a router in an IP network having authentication means for authenticating at least one router and host and a request for setting packet filter conditions and storing a host that permits setting change. ,
In the authentication means, a host that permits setting change is registered in advance,
The host attaches data that proves that it is a valid host to the setting request packet,
When the router receives the setting request packet, it forwards data that proves that it is a legitimate host to a means for authenticating the setting request of the packet filter condition,
If the authentication means confirms that the host that sent the setting request packet is a valid host, it notifies the router of the setting permission,
The packet filter setting method, wherein the router sets the packet filter condition to the interface that has received the setting request packet only when notified of the setting permission. 少なくとも1のルータとホストを有するIPネットワークにおけるパケットフィルタ設定システムであって、
特定のIPマルチキャストアドレスを、パケットフィルタ条件の情報を転送する、設定要求パケット用アドレスとして定義しておき、
ホストは、前記設定要求パケット用アドレスを宛先IPアドレスとし、パケットフィルタ条件を記述した、設定要求パケットを送信する機能部を有し、
ルータは、宛先IPアドレスが設定要求パケット用アドレスであるパケットを受信したら、当該パケットを終端し、記述された内容を解析し、記述されたパケットフィルタ条件を、受信したインタフェースの出力側に設定する機能部を有することを特徴とするパケットフィルタ設定システム。 A packet filter setting system in an IP network having at least one router and a host,
A specific IP multicast address is defined as an address for a setting request packet for transferring packet filter condition information,
The host has a function unit that transmits a setting request packet, in which the address for the setting request packet is a destination IP address and packet filtering conditions are described,
When the router receives the packet whose destination IP address is the address for the setting request packet, the router terminates the packet, analyzes the described contents, and sets the described packet filter condition on the output side of the received interface. A packet filter setting system comprising a functional unit. 請求項3に記載のパケットフィルタ設定システムであって、
ルータは、前記機能部に加えて、フィルタ設定が成功した場合、ホストに完了通知を送信する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 3,
The router has a function unit that, in addition to the function unit, transmits a completion notification to the host when the filter setting is successful. 請求項3または4に記載のパケットフィルタ設定システムであって、
ホストは、前記機能部に加えて、設定要求パケットを周期的に送信する機能部を有し、
ルータは、前記機能部に加えて、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ設定を削除する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 3 or 4,
The host has a functional unit that periodically transmits a setting request packet in addition to the functional unit,
In addition to the function unit, the router has a function unit that deletes the filter setting when a setting request packet is not received for a predetermined period or longer. 請求項3または4に記載のパケットフィルタ設定システムであって、
IPネットワークにおいて、特定のIPマルチキャストアドレスを、パケットフィルタの確認パケット用アドレスとして定義しておき、
ルータは、予め定めた一定周期で、宛先IPアドレスを確認パケット用アドレスとして、確認パケットを送信する機能部を有し、
ホストは、宛先IPアドレスが確認パケット用アドレスのパケットを受信したら、設定要求パケットを送信する機能部を有し、
また、ルータは、予め定めた一定期間以上、設定要求パケットを受信しない場合に、当該フィルタ条件を削除する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 3 or 4,
In an IP network, a specific IP multicast address is defined as a packet filter confirmation packet address,
The router has a functional unit that transmits a confirmation packet with a destination IP address as a confirmation packet address at a predetermined fixed period,
The host has a functional unit that transmits a setting request packet when the destination IP address receives a packet of the confirmation packet address,
In addition, the router has a function unit that deletes the filter condition when the router does not receive the setting request packet for a predetermined period or longer. 少なくとも1のルータとホスト、およびパケットフィルタ条件の設定要求を認証するとともに設定変更を許可するホストを記憶する認証手段を有するパケットフィルタ設定システムであって、
認証手段には、設定変更を許可するホストを予め登録しておき、
ホストは、設定要求パケットに、正当なホストであることを証明するデータを付与して送信する機能部を有し、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータを、認証手段に転送する機能部を有し、
前記認証手段は、設定要求パケットを送信したホストが、正当なホストであることを確認した場合には、設定許可をルータに通知する機能部を有し、
ルータは、さらに、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするパケットフィルタ設定システム。 A packet filter setting system having authentication means for authenticating at least one router and host and a packet filter condition setting request and storing a host that permits setting change,
In the authentication means, a host that permits setting change is registered in advance,
The host has a function unit that transmits the setting request packet with data proving that it is a valid host,
When the router receives the setting request packet, the router has a functional unit that transfers data that proves that the host is a valid host to the authentication unit.
The authentication unit has a function unit for notifying the router of setting permission when it is confirmed that the host that transmitted the setting request packet is a valid host;
The router further includes a function unit that sets a packet filter condition to the interface that has received the setting request packet only when the setting permission is notified. 請求項7に記載のパケットフィルタ設定システムであって、
認証手段は、前記機能部に加えて、各ホストに対して変更を許可するパケットフィルタ条件を記憶する機能部を有し、
前記認証手段には、予め、各ホストに対して変更を許可するパケットフィルタ条件を登録しておき、
ルータは、設定要求パケットを受信したら、正当なホストであることを証明するデータに加えて、パケットフィルタ条件を、認証手段に転送する機能部を有し、
認証手段は、設定要求パケットを送信したホストが、正当なホストであり、かつ、パケットフィルタ条件が、各ホストに対して変更を許可するパケットフィルタ条件に該当することを確認した場合、設定許可をルータに通知する機能部を有し、
ルータは、設定許可を通知された場合のみ、パケットフィルタ条件を、設定要求パケットを受信したインタフェースに設定する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 7,
In addition to the function unit, the authentication unit includes a function unit that stores a packet filter condition that permits a change for each host.
In the authentication means, a packet filter condition for permitting change for each host is registered in advance,
Upon receiving the setting request packet, the router has a function unit that forwards the packet filter condition to the authentication means in addition to the data that proves that the host is valid.
If the authentication means confirms that the host that sent the setting request packet is a legitimate host, and the packet filter condition meets the packet filter condition that permits the change to each host, the authentication means It has a function part that notifies the router,
The router has a function unit for setting a packet filter condition to an interface that has received a setting request packet only when notified of setting permission. 請求項8に記載のパケットフィルタ設定システムであって、
認証手段は、各ホストに対して変更を許可するパケットフィルタ条件を記憶する代わりに、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部を有し、
認証手段は、設定要求が、各ホストに対して変更を許可しないパケットフィルタ条件に合致しない場合に、設定許可をルータに通知する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 8,
The authentication unit has a functional unit that stores packet filter conditions that do not allow changes to each host instead of storing packet filter conditions that allow changes to each host.
The authentication unit has a function unit for notifying the router of the setting permission when the setting request does not match the packet filter condition that does not permit the change to each host. 請求項8に記載のパケットフィルタ設定システムであって、
認証手段は、各ホストの変更を許可するパケットフィルタ条件を記憶する機能部と、各ホストに対して変更を許可しないパケットフィルタ条件を記憶する機能部の両方を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 8,
The authentication means has both a function unit for storing a packet filter condition for permitting the change of each host and a function unit for storing a packet filter condition for which no change is permitted for each host. system. 請求項7〜10のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータは、認証手段から通知された認証結果を、設定要求を送信したホストに通知する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 7 to 10,
The router has a function unit for notifying the authentication result notified from the authentication means to the host that has transmitted the setting request. 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成されており、
動作識別子は、追加と削除との2種類定義しておき、
ホストは、パケットフィルタ条件を追加する場合に、動作識別子が追加で、追加条件を記述した設定要求を送信する、あるいは、パケットフィルタ条件を削除する場合に、動作識別子が削除で、削除条件を記述した設定要求を送信する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 11,
The content described in the setting request packet is composed of one or more combinations of an operation identifier and a condition description.
Define two types of action identifiers, add and delete,
When adding a packet filter condition, the host sends a setting request describing the additional condition with an additional operation identifier, or when deleting a packet filter condition, the host deletes the operation identifier and describes the deletion condition. A packet filter setting system comprising a function unit for transmitting a set request. 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は追加/削除識別子と転送/遮断識別子とから構成されており、
ホストは、遮断条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が遮断で、追加する遮断条件を記述した条件設定パケットを送信する、
あるいは、転送条件を追加する場合に、追加/削除識別子が追加で、転送/遮断識別子が転送で、追加する転送条件を記述した条件設定パケットを送信する、
あるいは、遮断条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が遮断で、削除する遮断条件を記述した条件設定パケットを送信する、
あるいは、転送条件を削除する場合に、追加/削除識別子が削除で、転送/遮断識別子が転送で、削除する転送条件を記述した条件設定パケットを送信する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 11,
The content described in the setting request packet is composed of one or more combinations of an operation identifier and a condition description. The operation identifier is composed of an addition / deletion identifier and a transfer / blocking identifier.
When adding a blocking condition, the host transmits a condition setting packet in which the addition / deletion identifier is added, the transfer / blocking identifier is blocking, and the blocking condition to be added is described.
Alternatively, when a transfer condition is added, an addition / deletion identifier is added, a transfer / blocking identifier is transfer, and a condition setting packet describing the transfer condition to be added is transmitted.
Alternatively, when the blocking condition is deleted, the addition / deletion identifier is deletion, the transfer / blocking identifier is blocking, and a condition setting packet describing the blocking condition to be deleted is transmitted.
Alternatively, a packet filter comprising: a function unit that transmits a condition setting packet describing a transfer condition to be deleted when the transfer condition is deleted, the addition / deletion identifier is deletion, the transfer / blocking identifier is transfer Configuration system. 請求項3〜11のいずれか1項に記載のパケットフィルタ設定システムであって、
設定要求パケットに記述する内容は、動作識別子と条件記述との1以上の組み合わせから構成され、動作識別子は、遮断条件追加,転送条件追加,遮断条件削除,転送条件削除の4種類を定義しておき、
ホストは、遮断条件を追加する場合に、動作識別子が遮断条件追加で、追加する遮断条件を記載した条件設定パケットを送信する、
あるいは、転送条件を追加する場合に、動作識別子が転送条件追加で、追加する転送条件を記載した条件設定パケットを送信する、
あるいは、遮断条件を削除する場合に、動作識別子が遮断条件削除で、削除する遮断条件を記載した条件設定パケットを送信する、
あるいは、転送条件を削除する場合に、動作識別子が転送条件削除で、削除する転送条件を記載した条件設定パケットを送信する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 11,
The content described in the setting request packet is composed of one or more combinations of an action identifier and a condition description. The action identifier defines four types of block condition addition, transfer condition addition, block condition deletion, and transfer condition deletion. Every
When adding a blocking condition, the host sends a condition setting packet in which the operation identifier is the blocking condition addition and the blocking condition to be added is described.
Alternatively, when adding a transfer condition, the operation identifier is a transfer condition addition, and a condition setting packet describing the transfer condition to be added is transmitted.
Alternatively, when deleting the blocking condition, the action identifier is the blocking condition deletion, and a condition setting packet describing the blocking condition to be deleted is transmitted.
Alternatively, a packet filter setting system comprising: a function unit that transmits a condition setting packet describing a transfer condition to be deleted when the transfer condition is deleted and the operation identifier is transfer condition deletion. 請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータの出力インタフェースのパケットフィルタ条件の初期状態は、当該ルータ発パケットを除き全遮断としておき、
ルータは、転送条件のみを追加および削除する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 14,
The initial state of the packet filter condition of the output interface of the router is set to block all except the packet originating from the router,
The packet filter setting system, wherein the router has a function unit that adds and deletes only transfer conditions. 請求項3〜14のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースのパケットフィルタ条件の初期状態を、全て転送としておき、
ルータは、遮断条件のみを追加および削除する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 14,
The initial state of the packet filter condition of the router interface is all set as forwarding,
The router has a function unit that adds and deletes only a blocking condition. 請求項3〜15のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースは、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、少なくとも1のホストが要求するパケットフィルタ条件が転送である場合に、ルータは、当該送信元アドレスのパケットを転送設定する機能部を有するものであることを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 15 ,
The router interface specifies the condition of only the source address, and when the packet filter condition requested by at least one host is transfer for a certain source address, the router transfers the packet of the source address. A packet filter setting system comprising a functional unit for setting. 請求項3〜14,16のいずれか1項に記載のパケットフィルタ設定システムであって、
ルータのインタフェースにおいて、送信元アドレスのみの条件指定で、ある送信元アドレスに対して、全てのホストが要求するパケットフィルタ条件が、遮断である場合に限り、ルータは、当該送信元アドレスのパケットを遮断設定する機能部を有するものであることを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 14 , 16 comprising :
In the router interface, only when the condition of the source address is specified, and the packet filter condition requested by all hosts for a certain source address is blocking, the router will only send the packet of that source address. A packet filter setting system comprising a functional unit for performing blocking setting. 請求項16に記載のパケットフィルタ設定システムであって、
ルータは、遮断を要求する設定要求を受信した場合に、全ノードマルチキャストアドレスに対して、当該遮断条件を記述した遮断確認パケットを送信する機能部を有し、
遮断確認パケットを受信したホストは、転送を希望する場合は、当該条件に対して転送設定要求を送信する機能部を有し、
ルータは、さらに、転送設定要求を受信した場合は、転送条件のまま変更せず、あるいは、予め定めた時間内に転送設定要求を受信しない場合には、遮断設定する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to claim 16 , comprising:
The router has a functional unit that transmits a blocking confirmation packet describing the blocking condition to all the node multicast addresses when receiving a setting request for blocking.
The host that has received the blocking confirmation packet has a functional unit that transmits a transfer setting request for the condition when the transfer is desired,
The router further includes a function unit that, when a transfer setting request is received, does not change the transfer condition as it is, or when the transfer setting request is not received within a predetermined time, has a function unit that performs a blocking setting. Packet filter setting system. 請求項3〜15,17のいずれか1項に記載のパケットフィルタ設定システムであって、
パケットフィルタ設定を行ったルータは、1以上のインタフェースにおいて、ある送信元アドレスに対し、フィルタ条件が送信元アドレス限定で、かつ転送であれば、当該送信元アドレスへの選択ルートであるインタフェースから、当該転送条件を記述した設定要求パケットを送信する機能部を有し、
当該転送条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該条件を設定する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 15 and 17 ,
The router that has set the packet filter, in one or more interfaces, for a certain source address, if the filter condition is limited to the source address and forwarding, from the interface that is the selected route to the source address, It has a function unit that transmits a setting request packet describing the transfer condition,
An adjacent router that has received a setting request packet describing the transfer condition has a function unit for setting the condition in a receiving interface. 請求項3〜14,16,18,19のいずれか1項に記載のパケットフィルタ設定システムであって、
パケットフィルタ設定を行ったルータは、ある送信元アドレスに対し、どのインタフェースにも転送設定がなければ、当該送信元アドレスへの選択ルートであるインタフェースから、当該送信元アドレスに対する遮断条件を記述した設定要求パケットを送信する機能部を有し、
当該遮断条件を記述した設定要求パケットを受信した隣接ルータは、受信インタフェースに、当該遮断条件を設定する機能部を有することを特徴とするパケットフィルタ設定システム。 The packet filter setting system according to any one of claims 3 to 14 , 16 , 18 , and 19 ,
If a router that has set a packet filter has no forwarding settings for a certain source address, a setting that describes the blocking condition for that source address from the interface that is the selected route to that source address It has a function part that sends a request packet,
An adjacent router that has received a setting request packet describing the blocking condition has a function unit for setting the blocking condition in a receiving interface. 請求項3〜21のいずれか1項に記載のパケットフィルタ設定システムを実現するためのルータまたはホストの機能部の機能を、コンピュータのプログラム制御により実行するための、コンピュータ制御プログラム。   A computer control program for executing a function of a functional unit of a router or a host for realizing the packet filter setting system according to any one of claims 3 to 21 by computer program control.
JP2004172993A 2004-06-10 2004-06-10 Packet filter setting method and packet filter setting system Expired - Fee Related JP4302004B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004172993A JP4302004B2 (en) 2004-06-10 2004-06-10 Packet filter setting method and packet filter setting system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004172993A JP4302004B2 (en) 2004-06-10 2004-06-10 Packet filter setting method and packet filter setting system

Publications (2)

Publication Number Publication Date
JP2005354410A JP2005354410A (en) 2005-12-22
JP4302004B2 true JP4302004B2 (en) 2009-07-22

Family

ID=35588482

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004172993A Expired - Fee Related JP4302004B2 (en) 2004-06-10 2004-06-10 Packet filter setting method and packet filter setting system

Country Status (1)

Country Link
JP (1) JP4302004B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008149784A1 (en) 2007-06-08 2008-12-11 Nec Corporation Semiconductor integrated circuit and filter control method
WO2008149783A1 (en) 2007-06-08 2008-12-11 Nec Corporation Semiconductor integrated circuit and filter control method
JP4892469B2 (en) 2007-12-20 2012-03-07 キヤノン株式会社 COMMUNICATION DEVICE, ITS CONTROL METHOD, PROGRAM
JP5195229B2 (en) * 2008-09-26 2013-05-08 日本電気株式会社 Network, relay node, control parameter setting method, and program
JP5815824B2 (en) * 2010-12-03 2015-11-17 日本電信電話株式会社 Network node control method
JP5687164B2 (en) * 2010-12-03 2015-03-18 日本電信電話株式会社 Network node control method
KR101296376B1 (en) * 2012-03-02 2013-08-14 건국대학교 산학협력단 Method for protecting host apparatus in ipv6 network, and network management apparatus thereof

Also Published As

Publication number Publication date
JP2005354410A (en) 2005-12-22

Similar Documents

Publication Publication Date Title
US7814311B2 (en) Role aware network security enforcement
EP1480405B1 (en) System and implementation method of controlled multicast
US7376134B2 (en) Privileged network routing
JP4327575B2 (en) Dynamic firewall system
US8689316B2 (en) Routing a packet by a device
US7886335B1 (en) Reconciliation of multiple sets of network access control policies
US7856016B2 (en) Access control method, access control system, and packet communication apparatus
KR101143050B1 (en) Managing access to a network
US20150207793A1 (en) Feature Enablement or Disablement Based on Discovery Message
US20010014912A1 (en) Distributed security system for a communication network
WO2008080314A1 (en) A method, forwarding engine and communication device for message acces control
US11595305B2 (en) Device information method and apparatus for directing link-layer communication
US8954601B1 (en) Authentication and encryption of routing protocol traffic
JP4302004B2 (en) Packet filter setting method and packet filter setting system
JP2006185194A (en) Server device, communication control method, and program
WO2011041964A1 (en) Method, network system and network access node for network device management
EP1244265A2 (en) Integrated policy implementation service for communication network
KR20170038568A (en) SDN Controller and Method for Identifying Switch thereof
JP3549861B2 (en) Distributed denial of service attack prevention method and apparatus, and computer program therefor
Cisco General Commands
US10469498B2 (en) Communication system, control instruction apparatus, communication control method and program
Cisco SNMP Support for VPNs
Cisco Configuring Network Security
US8811179B2 (en) Method and apparatus for controlling packet flow in a packet-switched network
WO2011041963A1 (en) Method, apparatus and system for controlling user to access network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090407

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090421

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090421

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120501

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130501

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140501

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees