JP5305045B2 - スイッチングハブ及び検疫ネットワークシステム - Google Patents
スイッチングハブ及び検疫ネットワークシステム Download PDFInfo
- Publication number
- JP5305045B2 JP5305045B2 JP2011071721A JP2011071721A JP5305045B2 JP 5305045 B2 JP5305045 B2 JP 5305045B2 JP 2011071721 A JP2011071721 A JP 2011071721A JP 2011071721 A JP2011071721 A JP 2011071721A JP 5305045 B2 JP5305045 B2 JP 5305045B2
- Authority
- JP
- Japan
- Prior art keywords
- vlan
- terminal
- mac address
- management server
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 34
- 238000002955 isolation Methods 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 29
- 238000010586 diagram Methods 0.000 description 17
- 241000700605 Viruses Species 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 230000009385 viral infection Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000009919 sequestration Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
以下、本発明の実施の形態1におけるスイッチングハブ及び検疫ネットワークシステムについて、図1〜図8を参照しながら説明する。
最初に、本実施の形態1における検疫ネットワークシステムの全体構成について図1を用いて説明する。図1は、本発明の実施の形態1における検疫ネットワークシステムの全体構成を示す図である。
続いて、図2を用いて、本実施の形態における管理サーバの構成について説明する。図2は、本発明の実施の形態における管理サーバの構成を示すブロック図である。
次に、図4を用いて、本実施の形態1におけるスイッチングハブ20の構成について説明する。図4は、本発明の実施の形態1におけるスイッチングハブの構成を示すブロック図である。
次に、図6を用いて、本実施の形態1において検疫対象となる端末の構成について説明する。図6は、本発明の実施の形態1において検疫対象となる端末の構成を示すブロック図である。図6に示すように、端末30は、情報収集部301と、情報収集DB302と、通信部303とを備えている。なお、図6においては示していないが、端末31も、端末30と同様の構成を備えている。
次に、本発明の実施の形態1における検疫ネットワークシステムの動作について図8を用いて説明する。図8は、本発明の実施の形態における検疫ネットワークシステムの動作を示すシーケンス図である。なお、図8においては、管理サーバ10、スイッチングハブ20、端末30それぞれを構成する各機能ブロックの処理が示されている。
以上のように、本実施の形態1では、スイッチングハブ20によって、業務用のVLANと隔離用のVLANとの2つのVLANで分けたネットワークを構築し、それに加え、スイッチングハブ20に、QoSを設定する。そして、このQoSの設定によって、隔離用のVLANに接続されている端末同士の通信が制限される。
次に、本発明の実施の形態2におけるスイッチングハブ及び検疫ネットワークについて、図9を参照しながら説明する。図9は、本発明の実施の形態2における検疫ネットワークシステムの全体構成を示す図である。
11 管理サーバ(実施の形態2)
20 スイッチングハブ(実施の形態1)
22、23 ポート
30、31、32 端末
40 検疫ネットワークシステム(実施の形態1)
41 検疫ネットワークシステム(実施の形態2)
50 スイッチングハブ(実施の形態2)
51、52、53 ポート
60 スイッチングハブ(実施の形態2)
61、62、63 ポート
101 端末情報データベース
102 セキュリティポリシー判定部
103 VLAN切替判定部
104 VLAN切替指示部
105 ネットワーク制御部
201 VLAN設定部
202 設定実行部
203 クラス分け実行部
204 リスト記憶部
205、206 入力キュー
207 出力キュー
208 パケット破棄実行部
209 端末検知部
210 パケット処理部
301 情報収集部
302 情報収集データベース
303 通信部
Claims (3)
- ネットワークを管理する管理サーバに接続されるVLAN機能付のスイッチングハブであって、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信する、パケット処理部と、
前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、
前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を備え、
前記パケット処理部は、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較して、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、送信の優先度を最優先に設定して、前記受信したパケットを送信先に送信する、
ことを特徴とするスイッチングハブ。 - ネットワークを管理する管理サーバと、それに接続されるVLAN機能付のスイッチングハブとを備え、
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信する、パケット処理部と、
前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、
前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を備え、
前記パケット処理部は、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較して、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、送信の優先度を最優先に設定して、前記受信したパケットを送信先に送信する、
ことを特徴とする検疫ネットワークシステム。 - 当該検疫ネットワークシステムが、前記スイッチングハブを複数備え、
前記管理サーバにおいて、前記ネットワーク制御部は、前記端末の接続先のVLANとして、業務用のVLANを選択した場合に、複数の前記スイッチングハブのうち、前記端末が接続されているスイッチングハブに対して、業務用のVLANへの前記端末の接続を指示し、更に、複数の前記スイッチングハブ全てに対して、前記端末のMACアドレスの前記リストへの登録を指示する、請求項2に記載の検疫ネットワークシステム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011071721A JP5305045B2 (ja) | 2011-03-29 | 2011-03-29 | スイッチングハブ及び検疫ネットワークシステム |
US13/317,292 US8732817B2 (en) | 2011-03-29 | 2011-10-14 | Switching hub, a system, a method of the switching hub and a program thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011071721A JP5305045B2 (ja) | 2011-03-29 | 2011-03-29 | スイッチングハブ及び検疫ネットワークシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012209633A JP2012209633A (ja) | 2012-10-25 |
JP5305045B2 true JP5305045B2 (ja) | 2013-10-02 |
Family
ID=46929119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011071721A Active JP5305045B2 (ja) | 2011-03-29 | 2011-03-29 | スイッチングハブ及び検疫ネットワークシステム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8732817B2 (ja) |
JP (1) | JP5305045B2 (ja) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5088517B2 (ja) * | 2010-09-30 | 2012-12-05 | 日本電気株式会社 | 検疫装置、検疫システム、検疫方法、及びプログラム |
US9419941B2 (en) * | 2012-03-22 | 2016-08-16 | Varmour Networks, Inc. | Distributed computer network zone based security architecture |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
CN105187388B (zh) * | 2015-08-07 | 2018-05-11 | 深圳市科陆电子科技股份有限公司 | 使用集中器实现网络安全隔离的方法及集中器 |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
JP7051210B2 (ja) | 2018-01-19 | 2022-04-11 | 矢崎総業株式会社 | 車両用通信制御システム |
US11212257B2 (en) * | 2018-06-22 | 2021-12-28 | Aeronix, Inc. | Multi-level secure ethernet switch |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4168574B2 (ja) * | 2000-06-02 | 2008-10-22 | 株式会社日立製作所 | パケット転送装置、パケット転送制御方法、及びパケット転送装置の設定方法 |
WO2002069575A1 (en) * | 2001-02-28 | 2002-09-06 | Gotham Networks, Inc. | Methods and apparatus for network routing device |
JP2003163688A (ja) | 2001-11-27 | 2003-06-06 | Allied Tereshisu Kk | 中継機器、通信設定プログラム、及び通信設定方法 |
JP4611197B2 (ja) | 2003-06-20 | 2011-01-12 | 富士通株式会社 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
JP4053967B2 (ja) * | 2003-11-20 | 2008-02-27 | 株式会社日立コミュニケーションテクノロジー | Vlanサーバ |
JP5062967B2 (ja) * | 2005-06-01 | 2012-10-31 | アラクサラネットワークス株式会社 | ネットワークアクセス制御方法、およびシステム |
US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US8352729B2 (en) * | 2008-07-29 | 2013-01-08 | International Business Machines Corporation | Secure application routing |
JP2010062667A (ja) * | 2008-09-01 | 2010-03-18 | Hitachi Cable Ltd | ネットワーク機器及びネットワークシステム |
-
2011
- 2011-03-29 JP JP2011071721A patent/JP5305045B2/ja active Active
- 2011-10-14 US US13/317,292 patent/US8732817B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012209633A (ja) | 2012-10-25 |
US20120254980A1 (en) | 2012-10-04 |
US8732817B2 (en) | 2014-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
US10701103B2 (en) | Securing devices using network traffic analysis and software-defined networking (SDN) | |
EP1969777B1 (en) | Method for operating several virtual networks | |
RU2562760C2 (ru) | Система управления маршрутом связи и способ управления маршрутом связи | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
US7792990B2 (en) | Remote client remediation | |
US8644309B2 (en) | Quarantine device, quarantine method, and computer-readable storage medium | |
US8607346B1 (en) | Dynamic resilience for intrusion detection and prevention systems | |
US7849503B2 (en) | Packet processing using distribution algorithms | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御*** | |
JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
US8130756B2 (en) | Tunnel configuration associated with packet checking in a network | |
WO2009058685A1 (en) | Security state aware firewall | |
JP6052692B1 (ja) | セキュリティ管理方法、プログラム、およびセキュリティ管理システム | |
JP4082613B2 (ja) | 通信サービスを制限するための装置 | |
JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
EP2600566A1 (en) | Unauthorized access blocking control method | |
US11539722B2 (en) | Security threat detection based on process information | |
US8984619B2 (en) | Methods, systems, and computer readable media for adaptive assignment of an active security association instance in a redundant gateway configuration | |
JP5966488B2 (ja) | ネットワークシステム、スイッチ、及び通信遅延短縮方法 | |
US7561574B2 (en) | Method and system for filtering packets within a tunnel | |
US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
US11159533B2 (en) | Relay apparatus | |
JP3739772B2 (ja) | ネットワークシステム | |
JP2020072427A (ja) | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130529 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130611 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5305045 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |