JP5441250B2 - Policy information display method, management apparatus and program for firewall - Google Patents
Policy information display method, management apparatus and program for firewall Download PDFInfo
- Publication number
- JP5441250B2 JP5441250B2 JP2009212578A JP2009212578A JP5441250B2 JP 5441250 B2 JP5441250 B2 JP 5441250B2 JP 2009212578 A JP2009212578 A JP 2009212578A JP 2009212578 A JP2009212578 A JP 2009212578A JP 5441250 B2 JP5441250 B2 JP 5441250B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- policy element
- source
- destination address
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラムに関する。 The present invention relates to a policy information display method, management apparatus, and program for a firewall.
ファイアウォール(Firewall)装置は、管理対象ネットワークと外部ネットワークとの接続点に設置されるルータの一種である。ファイアウォール装置は、管理対象ネットワークの安全性を高めるために、組織毎のトラヒック疎通方針(セキュリティ・ポリシ、以下「ポリシ情報」という)に基づいて必要なパケットのみを通過させ、危険なパケットを阻止する。従って、ファイアウォール装置の構成情報(ルール情報)は、そのポリシ情報に基づいて適切に設定される必要がある。尚、ファイアウォール装置は、管理対象ネットワーク内のセグメントネットワーク同士の間(例えば部署Aのイントラネットと部署Bのイントラネットとの間)に配置されるものであってもよい。 A firewall device is a type of router installed at a connection point between a managed network and an external network. In order to increase the safety of the managed network, the firewall device allows only necessary packets to pass based on the traffic communication policy (security policy, hereinafter referred to as “policy information”) for each organization and blocks dangerous packets. . Therefore, the configuration information (rule information) of the firewall device needs to be appropriately set based on the policy information. The firewall device may be disposed between the segment networks in the managed network (for example, between the intranet of department A and the intranet of department B).
一般に、ネットワーク管理者は、各部署(例えば各イントラネットの管理者)から、「オーダシート」を受け取る。ネットワーク管理者は、それらオーダシートと基本方針とに基づいて、「ポリシ情報」を作成する。ポリシ情報は、複数の「ポリシ要素」の順列によって構成される。ファイアウォール管理装置は、そのポリシ情報に基づいて、ファイアウォール装置毎に「ルール情報」を作成する。ルール情報も、複数の「ルール要素」の順列によって構成される。そして、ファイアウォール管理装置は、ファイアウォール装置毎に、ルール情報を送信する。 Generally, a network administrator receives an “order sheet” from each department (for example, each intranet administrator). The network administrator creates “policy information” based on the order sheet and the basic policy. The policy information is composed of a permutation of a plurality of “policy elements”. The firewall management device creates “rule information” for each firewall device based on the policy information. The rule information is also configured by a permutation of a plurality of “rule elements”. Then, the firewall management device transmits rule information for each firewall device.
ファイアウォール装置は、外部ネットワーク(又は他のセグメントネットワーク)から受信したパケットが、いずれのルール要素に該当するか照合する。そして、該当するルール要素に記述されるアクションに基づいて、そのパケットの転送可否が決定される。ファイアウォール装置は、パケット毎の疎通結果を、「アクセスログ」として記録する。「アクセスログ」とは、どのパケットに対し、どのルール要素によって、どのアクションを採ったかの表す記録である。 The firewall device checks which rule element the packet received from the external network (or other segment network) corresponds to. Based on the action described in the corresponding rule element, whether or not the packet can be transferred is determined. The firewall device records a communication result for each packet as an “access log”. The “access log” is a record indicating which action is taken by which rule element for which packet.
ファイアウォール装置のパケット転送性能は、ルール要素の数や評価順序に密接に関係する。ルール要素の数については、同一の送信元/宛先アドレス及びポート番号に対して、複数のルール要素が冗長的に設定されている場合がある。また、評価順序については、アクセスされないルール要素が上位順序で評価される場合もある。従って、ファイアウォール装置のルール情報について、不要ルール要素の整理が必要となる。 The packet transfer performance of the firewall device is closely related to the number of rule elements and the evaluation order. Regarding the number of rule elements, a plurality of rule elements may be set redundantly for the same source / destination address and port number. As for the evaluation order, rule elements that are not accessed may be evaluated in a higher order. Therefore, it is necessary to organize unnecessary rule elements for the rule information of the firewall device.
例えば、ファイアウォール装置におけるパケット転送性能を高めるために、以下の2つの方法でルール情報を整理することができる。 For example, in order to improve the packet transfer performance in the firewall device, the rule information can be organized by the following two methods.
第1に、ルール情報内のルール要素の数を少なくし、受信したパケットに対するルール要素の照合回数を全体的に少なくする。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数0(又は0に近い)のルール要素を不要として削除する技術がある(例えば特許文献1参照)。 First, the number of rule elements in the rule information is reduced, and the number of times the rule elements are collated with respect to the received packet is reduced overall. For this purpose, there is a technique that counts the number of log recordings for each rule element in the “access log” and deletes the rule element having the recording count of 0 (or close to 0) as unnecessary (see, for example, Patent Document 1).
第2に、受信される複数のパケットについて、ルール情報の中で「適合」しやすいルール要素を上位に並べ、照合回数を全体的に少なくする。これによって、ファイアウォール装置におけるパケット転送性能を上げる。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数が多いルール要素ほど、上位の順列に移動させる技術がある(例えば特許文献2参照)。 Secondly, for a plurality of received packets, rule elements that are likely to “fit” in the rule information are arranged at the top, and the number of matching times is reduced overall. This improves the packet transfer performance in the firewall device. For this purpose, there is a technique of counting the number of times of log recording for each rule element in the “access log”, and moving the rule element having a larger number of times of recording to a higher permutation (see, for example, Patent Document 2).
また、ネットワーク管理者に対して、ルール評価順序の変更案を自動的に提示する技術もある(例えば非特許文献1参照)。この技術によれば、アクセスログを解析し、カウント数が少ないルール要素を下位へ、カウント数が多いルール要素を上位へ、並べ替えることができる。
There is also a technique of automatically presenting a rule evaluation order change proposal to a network administrator (see Non-Patent
特定のアプリケーションやホスト又はルータが除去された場合、ネットワークとして、そのトラヒックの開放を意味するポリシ要素が、不要となることもある。この場合、その不要ポリシ要素に対応するルール要素も、不要ルール要素となり、ファイアウォール装置の中で全く適合しない。このような不要ルール要素を放置することは、セキュリティホールに繋がる。 When a specific application, host, or router is removed, a policy element that means the release of the traffic may be unnecessary as a network. In this case, the rule element corresponding to the unnecessary policy element also becomes an unnecessary rule element and does not match at all in the firewall device. Leaving such unnecessary rule elements leads to a security hole.
また、非特許文献1に記載された技術によれば、オーダシートに基づいて設定されたポリシ要素と、そのポリシ要素を実現するルール要素とが、紐付けされていない。具体的には、オーダシートの情報を、データとして保持していない。また、オーダシートと、ポリシ要素やルール要素との紐付け情報を保持していないために、それらを更新することもできない。
Further, according to the technique described in Non-Patent
そのため、ネットワーク管理者が、アクセスログに基づいて不要ルール要素を削除しようとした場合、そのルール要素に関連するポリシ要素は不明である。即ち、削除しようとする不要ルール要素に関連するオーダシートも不明である。結局、ネットワーク管理者は、ルール要素内のアドレスの項目等に基づいて、関連するオーダシートを、人手によって検索する必要がある。 Therefore, when the network administrator tries to delete an unnecessary rule element based on the access log, the policy element related to the rule element is unknown. That is, the order sheet related to the unnecessary rule element to be deleted is also unknown. Eventually, the network administrator needs to manually search for the related order sheet based on the address item in the rule element.
ルール要素と、ポリシ要素と、オーダシートとの対応関係の管理は、必ずしも容易ではない。これは、ルール要素とポリシ要素とが、必ずしも1対1関係に対応付けられないことに基づく。例えば、複数のファイアウォール装置を含むネットワークであっても、ネットワーク管理者の視点からの管理を容易にするために、1つのポリシ情報によって管理される場合がある。この場合、1つのポリシ要素が、複数のファイアウォール装置の複数のルール要素に対応付けられる。 Management of the correspondence between rule elements, policy elements, and order sheets is not always easy. This is based on the fact that rule elements and policy elements are not necessarily associated with a one-to-one relationship. For example, even a network including a plurality of firewall devices may be managed by one policy information in order to facilitate management from the viewpoint of the network administrator. In this case, one policy element is associated with a plurality of rule elements of a plurality of firewall devices.
また、特許文献1及び特許文献2に記載された技術のように、ファイアウォール装置毎にそのルール情報を整理することによって、複数のポリシ要素が1つのルール要素で実現されているといった状態も生じ得る。
In addition, as in the techniques described in
ネットワーク管理者は、アクセスログに基づいて不要ルール要素を検出し、その不要ルール要素に対応する1つ又は複数のポリシ要素を検出しなければならない。次に、ネットワーク管理者は、そのポリシ要素に関係する1つ又は複数のファイアウォール装置のルール要素を検出しなければならない。1つのポリシ要素の削除は、他のファイアウォール装置のルール要素に対するパケットの通過に影響を与えるからである。 The network administrator must detect an unnecessary rule element based on the access log and detect one or more policy elements corresponding to the unnecessary rule element. Next, the network administrator must detect the rule elements of one or more firewall devices that are related to that policy element. This is because the deletion of one policy element affects the passage of packets to the rule elements of other firewall devices.
ネットワークが大規模になるほど、各ファイアウォール装置によって保持されるルール要素の数は、数千個単位になる場合もある。この場合、不要ルール要素の検出と、その不要ルール要素に基づくポリシ要素の検出とは、容易ではない。更に、ポリシ情報におけるポリシ要素の削除及び移動は、ネットワーク全体のポリシ情報に違反する場合もある。特に、ポリシ要素の移動は、ポリシ要素間の干渉関係の変化を伴うため、不要ポリシ要素の削除の判断を誤らせる可能性がある。 As the network becomes larger, the number of rule elements held by each firewall device may be in the thousands. In this case, it is not easy to detect unnecessary rule elements and policy elements based on the unnecessary rule elements. Furthermore, deletion and movement of policy elements in policy information may violate policy information of the entire network. In particular, since the movement of policy elements is accompanied by a change in the interference relationship between policy elements, there is a possibility of erroneous determination of deletion of unnecessary policy elements.
そこで、本発明は、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにポリシ情報を表示する方法、管理装置及びプログラムを提供することを目的とする。 Accordingly, an object of the present invention is to provide a method, a management apparatus, and a program for displaying policy information so that a network administrator does not erroneously determine unnecessary policy elements.
本発明によれば、ファイアウォール装置に対するルール情報を編集し生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とする方法であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有し、
第3のステップは、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することを特徴とする。
According to the present invention, when editing and generating rule information for a firewall device, the policy information can be displayed and edited on a display that can be browsed by a network administrator.
And the policy identifier, a first step of storing the source / destination address range and port number range, the policy information arranged in order of evaluation multiple policy elements P (i) including the action,
A second step of detecting a first policy element and a second policy element in a conflict relationship having a common part with respect to a source / destination address range and a port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. A third step of displaying a policy identifier of the first policy element;
The third step is
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as the access log count number. If the count number is equal to or less than a predetermined threshold, the network administrator determines that the policy element is an unnecessary policy element. The policy element is highlighted in order to be considered .
本発明のポリシ情報表示方法における他の実施形態によれば、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることも好ましい。
According to another embodiment of the policy information display method of the present invention, as the interference relationship type,
A first type (redundancy) in which the source / destination address range and port number range of the lower policy element exactly match the source / destination address range and port number range of the upper policy element;
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element The second type (shadowing1), which is different from
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element A third type (shadowing2) that is identical to
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. A different fourth type (generalization1),
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. The same fifth type (generalization2);
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The sixth type (correlation1) that is different from the action of
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. It is also preferable that any one of the seventh types (correlation 2) that is the same as the action of is displayed.
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることも好ましい。 According to another embodiment of the policy information display method of the present invention, the operation interface for changing the evaluation order by the network administrator is displayed for each policy element, and the policy element is displayed based on the operation of the network administrator. It is also preferable that the second step and the third step are executed when the evaluation order is changed.
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、ポリシ情報のポリシ要素のポリシ識別子は、オーダシートのオーダ識別子に対応付けられていることも好ましい。 According to another embodiment of the policy information display method of the present invention, the order sheet is associated with the policy information, and the policy identifier of the policy element of the policy information is associated with the order identifier of the order sheet. It is also preferable.
本発明のポリシ情報表示方法における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを有し、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更されることも好ましい。
According to another embodiment of the policy information display method of the present invention,
A plurality of firewall devices j, which are assumed to pass the packet that is the target of the policy information, and route information R that represents a passing order based on configuration information of the plurality of firewall devices j,
It is also preferable that the rule element collation order in the rule information is changed in order from the upstream firewall device j included in the path information based on the policy information.
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有し、
表示制御手段は、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することを特徴とする。
According to the present invention, when generating and editing rule information for a firewall device, the firewall management device enables policy information to be displayed and edited on a display viewable by a network administrator,
Policy information storage means for storing policy information in which a plurality of policy elements P (i) including a policy identifier, a source / destination address range, a port number range, a protocol, and an action are arranged in an evaluation order;
Interference relation detection means for detecting a first policy element and a second policy element in an interference relation having a common part with respect to a source / destination address range and a port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. have a display control means for displaying the policy identifier of the first policy element,
The display control means
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as the access log count number. If the count number is equal to or less than a predetermined threshold, the network administrator determines that the policy element is an unnecessary policy element. The policy element is highlighted in order to be considered .
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することも好ましい。
According to another embodiment of the firewall management device of the present invention, the display control means is an interference relationship type,
A first type (redundancy) in which the source / destination address range and port number range of the lower policy element exactly match the source / destination address range of the upper policy element;
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element The second type (shadowing1), which is different from
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element A third type (shadowing2) that is identical to
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. A different fourth type (generalization1),
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. The same fifth type (generalization2);
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The sixth type (correlation1) that is different from the action of
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. It is also preferable to display any one of the seventh type (correlation 2) which is the same as the action of (5).
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
干渉関係検出手段及び表示制御手段は、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることも好ましい。
According to another embodiment of the firewall management device of the present invention,
For each policy element, an operation interface for changing the evaluation order by the network administrator is displayed.
It is also preferable that the interference relationship detection unit and the display control unit are executed when the evaluation order of the policy elements is changed based on the operation of the network administrator.
本発明のファイアウォール管理装置における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、表示制御手段は、ポリシ情報のポリシ要素のポリシ識別子を、オーダシートのオーダ識別子に対応付けることも好ましい。 According to another embodiment of the firewall management apparatus of the present invention, the order sheet is associated with the policy information, and the display control means uses the policy identifier of the policy element of the policy information as the order identifier of the order sheet. It is also preferable to associate with.
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを記憶する経路情報記憶手段と、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することも好ましい。
According to another embodiment of the firewall management device of the present invention,
Route information storage means for storing a plurality of firewall devices j that are assumed to pass the target of policy information, and route information R that indicates a passing order based on configuration information of the plurality of firewall devices j,
It is also preferable to have rule information generating means for changing the collation order of the rule elements in the rule information in order from the upstream firewall device j included in the path information based on the policy information.
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムであって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させ、
表示制御手段は、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する
ようにコンピュータを機能させることを特徴とする。
According to the present invention, when generating and editing rule information for a firewall device, a program for causing a computer installed in the firewall management device to function by displaying and editing policy information on a display that can be viewed by a network administrator. There,
Policy information storage means for storing policy information in which a plurality of policy elements P (i) including a policy identifier, a source / destination address range, a port number range, a protocol, and an action are arranged in an evaluation order;
Interference relation detection means for detecting a first policy element and a second policy element in an interference relation having a common part with respect to a source / destination address range and a port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. Display control means for displaying a policy identifier of the first policy element;
Make your computer work,
The display control means
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as the access log count number. If the count number is equal to or less than a predetermined threshold, the network administrator determines that the policy element is an unnecessary policy element. Highlight the policy element for consideration
The computer is made to function as described above .
本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。 According to the policy information display method, management apparatus, and program of the present invention, it is possible to prevent the network administrator from erroneously determining an unnecessary policy element by displaying the interference relationship between policy elements.
以下、本発明の実施の形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、ファイアウォール装置及びファイアウォール管理装置を有するシステム構成図である。 FIG. 1 is a system configuration diagram including a firewall device and a firewall management device.
図1によれば、管理対象ネットワーク(イントラネット4)と、外部ネットワーク(インターネット5又は他企業のネットワーク6)との間に、ファイアウォール装置2及びルータ3が接続されている。ファイアウォール装置2は、管理対象ネットワークに対するポリシ情報に基づいたルール情報を保持する。尚、ファイアウォール装置2は、ファイアウォールとして独立した装置であってもよいし、アクセスコントロールリストに基づくパケット転送制御機能を有する汎用のルータであってもよい。また、ファイアウォール・ソフトウェアを搭載した汎用の計算機であってもよい。
According to FIG. 1, a
図1のような大規模ネットワークの場合、多数のファイアウォール装置2が配置される。このような場合、その膨大なルール情報を一元管理するファイアウォール管理装置1を配置することが好ましい。ファイアウォール管理装置1は、各ファイアウォール装置2に保持されるルール情報を設定管理する。ファイアウォール管理装置1は、複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定する。
In the case of a large-scale network as shown in FIG. 1, a large number of
ファイアウォール管理装置1には、ネットワーク管理者によってオーダシートが電子帳票として入力される。図1によれば、例えば、部署Aから、「他の部署Bへのアプリケーションhttpのトラヒックについて、TCPポート21を開放してほしい」というオーダシートが入力されている。
An order sheet is input to the
図1のポリシ情報によれば、部署A[140.192.37.0/8]から部署B[161.120.33.0/24]への[http]のパケットについて、[allow]が設定されている。例えば、送信元アドレス(SrcIP)"140.192.37.0/8"は、ビット列のネットマスクが8ビットであり、IPアドレス範囲を意味する。また、図1によれば、部署Aから部署Bへの経路に、2つのファイアウォール装置2が含まれている。従って、両方のファイアウォール装置2に対して、そのポリシ要素に基づくルール要素を設定しなければならない。
According to the policy information in FIG. 1, [allow] is set for the packet of [http] from the department A [140.192.37.0/8] to the department B [161.120.33.0/24]. For example, the transmission source address (SrcIP) “140.192.37.0/8” means that the netmask of the bit string is 8 bits and means an IP address range. In addition, according to FIG. 1, two
図2は、オーダシートが入力されたファイアウォール管理装置のフローチャートである。 FIG. 2 is a flowchart of the firewall management apparatus in which the order sheet is input.
図2によれば、オーダシートは、以下のオーダ要素を含む。
・オーダID(IDentifier)(オーダに応じた一意な識別番号)
・送信元アドレス(SrcIP) 「ホスト・グループ」
・宛先アドレス(DstIP) 「ホスト・グループ」
・送信元ポート番号(SrcPort) 「サービス・グループ」
・宛先ポート番号(DstPort) 「サービス・グループ」
・プロトコル(Proto) 「サービス・グループ」
・アクション(Action) 転送許可(allow)又は転送禁止(deny)
According to FIG. 2, the order sheet includes the following order elements:
・ Order ID (IDentifier) (unique identification number according to the order)
-Source address (SrcIP) "Host group"
-Destination address (DstIP) "Host group"
-Source port number (SrcPort) "Service group"
-Destination port number (DstPort) "Service group"
Protocol (Proto) "Service Group"
・ Action (Allow) Transfer allowed (allow) or Transfer prohibited (deny)
「ホスト・グループ」として、送信元アドレス(SrcIP)及び宛先アドレス(DstIP)は、特定のIPアドレスであってもよいし、一定のIPアドレス範囲であってもよい。「サービス・グループ」として、送信元ポート番号(SrcPort)と、宛先ポート番号(DstPort)と、プロトコル(Proto)とがある。プロトコルは、例えばtcp(transport control protocol)又はudp(user datagram protocol)である。 As the “host group”, the source address (SrcIP) and the destination address (DstIP) may be a specific IP address or a certain IP address range. The “service group” includes a source port number (SrcPort), a destination port number (DstPort), and a protocol (Proto). The protocol is, for example, tcp (transport control protocol) or udp (user datagram protocol).
ポリシ情報のポリシ要素も、オーダシートと同様の構成要素を有する。従って、「ポリシID」「送信元アドレス」「宛先アドレス」「送信元ポート番号」「宛先ポート番号」「プロトコル」「アクション」を有する。ポリシIDは、オーダIDと同一であることが好ましい。 The policy element of the policy information also has the same components as the order sheet. Therefore, it has “policy ID” “source address” “destination address” “source port number” “destination port number” “protocol” “action”. The policy ID is preferably the same as the order ID.
(S21)ファイアウォール管理装置1は、最初に、ポリシ情報記憶部に対して、オーダシートO(k)のポリシ要素P(k)を、適切な評価順序に挿入する。ネットワーク管理者によって配置されるポリシ要素の評価順序によって、干渉関係が変化する。
(S22)ファイアウォール管理装置1は、ポリシ情報記憶部から、ポリシ要素P(k)と干渉関係(conflict)にあるポリシ要素P(i)を検出する。「干渉関係(conflict)」とは、オーダシートO(j)とポリシ要素P(i)とが、プロトコル、IPアドレス及びポート番号が、互いに共通部分を持つ、即ち互いに素でない関係をいう。
(S23)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシID(識別子)と、その干渉関係タイプとを表示する。
(S24)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。ルール情報RL(j)は、複数のルール要素を照合順に並べたものである。
(S25)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
(S21) First, the
(S22) The
(S23) The policy information is displayed on the display for the network administrator. Here, the policy ID (identifier) of the other policy element in the interference relationship and the interference relationship type are displayed on each policy element.
(S24) Next, based on the policy information P, rule information RL (j) is generated for each firewall device j. The rule information RL (j) is obtained by arranging a plurality of rule elements in the collation order.
(S25) The generated rule information RL (j) is transmitted to each firewall device j.
図3は、ポリシ要素間の干渉関係タイプを表す説明図である。 FIG. 3 is an explanatory diagram showing interference relationship types between policy elements.
図3によれば、7つの干渉関係タイプが表されている。「干渉関係(conflict)」とは、2つのポリシ要素におけるIPアドレス、ポート番号及びプロトコルが、互いに共通部分を持つ、即ち互いに素(disjoint)でない関係をいう。具体的には、2つのポリシ要素が、以下の全ての条件を満たす関係にあることをいう。
・送信元アドレス(SrcIP)が、共通部分を持つ。
宛先アドレス(DstIP)が、共通部分を持つ。
・送信元ポート番号(SrcPort)が、共通部分を持つ。
・宛先ポート番号(DstPort)が、共通部分を持つ。
・プロトコル(Proto)が、同一である。
According to FIG. 3, seven interference relationship types are represented. The term “conflict” refers to a relationship in which the IP address, port number, and protocol in two policy elements have a common part, that is, are not disjoint. Specifically, it means that two policy elements have a relationship that satisfies all of the following conditions.
-The source address (SrcIP) has a common part.
The destination address (DstIP) has a common part.
-The source port number (SrcPort) has a common part.
-The destination port number (DstPort) has a common part.
-The protocol (Proto) is the same.
図3(a)は、第1のタイプ(redundancy)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する。この場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となる。 FIG. 3A shows the first type (redundancy). This means that the source / destination address range and port number range of the lower policy element g completely match the source / destination address range and port number range of the upper policy element f. In this case, the lower policy element g is determined as an unnecessary policy element and is a target of deletion based on an order miss.
図3(b)は、第2のタイプ(shadowing1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲から見て、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲から見て、上位ポリシ要素fの範囲でdenyとなる。
FIG. 3B shows the second type (shadowing1). This is because the source / destination address range and port number range of the lower policy element g are completely included in the source / destination address range and port number range of the upper policy element f, and the action of the lower policy element g is This is different from the action of the upper policy element f. The following two cases are assumed.
(1) Upper policy element f: allow
Lower policy element g: deny
* Deny in the range of the lower policy element g as seen from the range of the higher policy element f.
(2) Upper policy element f: deny
Lower policy element g: allow
* Seen from the range of the lower policy element g, deny in the range of the higher policy element f.
図3(c)は、第3のタイプ(shadowing2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
FIG. 3C shows the third type (shadowing2). This is because the source / destination address range and port number range of the lower policy element g are completely included in the source / destination address range and port number range of the upper policy element f, and the action of the lower policy element g is , Which is the same as the action of the upper policy element f. The following two cases are assumed.
(1) Upper policy element f: allow
Lower policy element g: allow
* The lower policy element g is realized by the upper policy element f and is determined as an unnecessary policy element. The realization ID of the lower policy element g indicates the higher policy element f.
(2) Upper policy element f: deny
Lower policy element g: deny
* The lower policy element g is realized by the upper policy element f and is determined as an unnecessary policy element. The realization ID of the lower policy element g indicates the higher policy element f.
図3(d)は、第4のタイプ(generalization1)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素g:deny
下位ポリシ要素f:allow
※下位ポリシ要素fの範囲から見て、上位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素g:allow
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。
FIG. 3D shows the fourth type (generalization 1). This is because the source / destination address range and port number range of the lower policy element f completely include the source / destination address range and port number range of the upper policy element g, and the action of the lower policy element g is This is different from the action of the upper policy element f. The following two cases are assumed.
(1) Upper policy element g: deny
Lower policy element f: allow
* Seen from the range of the lower policy element f, it becomes deny in the range of the higher policy element g.
(2) Upper policy element g: allow
Lower policy element f: deny
* It becomes deny in the range of the lower policy element f, and the higher policy element g is determined as an unnecessary policy element.
図3(e)は、第5のタイプ(generalization2)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素fのアクションが、上位ポリシ要素gのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素g:allow
下位ポリシ要素f:allow
※上位ポリシ要素fは、下位ポリシ要素gによって実現され、不要ポリシ要素と
判定される。上位ポリシ要素fの実現IDは、下位ポリシ要素gを指示する。
(2)上位ポリシ要素g:deny
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。上位ポリシ要素gの実現IDは、下位ポリシ要素fを指示する。
FIG. 3E shows the fifth type (generalization 2). This is because the source / destination address range and port number range of the lower policy element f completely include the source / destination address range and port number range of the upper policy element g, and the action of the lower policy element f is It is the same as the action of the upper policy element g. The following two cases are assumed.
(1) Upper policy element g: allow
Lower policy element f: allow
* The upper policy element f is realized by the lower policy element g and is determined as an unnecessary policy element. The realization ID of the upper policy element f indicates the lower policy element g.
(2) Upper policy element g: deny
Lower policy element f: deny
* It becomes deny in the range of the lower policy element f, and the higher policy element g is determined as an unnecessary policy element. The realization ID of the upper policy element g indicates the lower policy element f.
例えば、[generalization2]の場合、下位ポリシ要素gでヒットすべきパケットが、上位ポリシ要素fにおけるヒットに見える恐れがある。下位ポリシ要素gのログカウントが0になっているからといって、ネットワーク管理者が、下位ポリシ要素gを削除することは、誤判断となる可能性がある。 For example, in the case of [generalization 2], a packet that should be hit by the lower policy element g may be seen as a hit in the higher policy element f. If the log count of the lower policy element g is 0, it may be a misjudgment that the network administrator deletes the lower policy element g.
図3(f)は、第6のタイプ(correlation1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲の一部が、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲の一部が、上位ポリシ要素fの範囲でdenyとなる。
FIG. 3F shows the sixth type (correlation 1). This is because the source / destination address range and port number range of the lower policy element g have a part in common with the source / destination address range and port number range of the upper policy element f. The action is different from the action of the upper policy element f. The following two cases are assumed.
(1) Upper policy element f: allow
Lower policy element g: deny
* A part of the range of the upper policy element f becomes deny in the range of the lower policy element g.
(2) Upper policy element f: deny
Lower policy element g: allow
* A part of the range of the lower policy element g becomes deny in the range of the higher policy element f.
図3(g)は、第7のタイプ(correlation2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、allowとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、denyとなる。
FIG. 3G shows the seventh type (correlation 2). This is because the source / destination address range and port number range of the lower policy element g have a part in common with the source / destination address range and port number range of the upper policy element f. The action is the same as the action of the upper policy element f.
(1) Upper policy element f: allow
Lower policy element g: allow
* Allowed within the range of the upper policy element f and the lower policy element g.
(2) Upper policy element f: deny
Lower policy element g: deny
* Deny in the range of the upper policy element f and the lower policy element g.
図4は、本発明における第1のポリシ情報の表示イメージである。 FIG. 4 is a display image of the first policy information in the present invention.
図4によれば、ポリシ情報の各ポリシ要素が、順列に並べて表示されている。ここで、ポリシ要素P(4)とポリシ要素P(5)について注目する。
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"は、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"に含まれる。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(4)と下位のポリシ要素P(5)とは、「generalization2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
According to FIG. 4, the policy elements of the policy information are displayed side by side in a permutation. Here, attention is paid to policy element P (4) and policy element P (5).
P (4): tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
P (5): tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
The source address “1.2.3.0/24” of policy element P (4) is common to the source address “1.2.3.0/24” of policy element P (5). Further, the destination address “1.2.3.1/32” of the policy element P (4) is included in the destination address “1.2.3.0/24” of the policy element P (5). Furthermore, the port numbers and protocols of policy elements P (4) and P (5) are common. As described above, the upper policy element P (4) and the lower policy element P (5) are in a “
また、ポリシ要素毎に、「実現ポリシID」「ログカウント」「順序変更アイコン」が表示される。「実現ポリシID」は、当該ポリシ要素のアクションが、実際に実現されている他のポリシ要素のポリシIDである。図4によれば、上位のポリシ要素P(4)のアクションは、実際にそのポリシ要素P(4)によって実現される。また、下位のポリシ要素P(5)のアクションは、その一部がポリシ要素P(4)によって実現されるけれども、全体としては実際にそのポリシ要素P(5)によって実現される。 For each policy element, “realized policy ID”, “log count”, and “order change icon” are displayed. The “realized policy ID” is a policy ID of another policy element in which the action of the policy element is actually realized. According to FIG. 4, the action of the upper policy element P (4) is actually realized by the policy element P (4). Further, although the action of the lower policy element P (5) is partially realized by the policy element P (4), the action is actually realized by the policy element P (5) as a whole.
「ログカウント」は、ファイアウォール装置から受信したルール要素毎の「アクセスログ」を集計したものである。ログカウントによって、そのポリシ要素によって照合されたパケット数を知ることができる。 The “log count” is a total of “access logs” for each rule element received from the firewall device. From the log count, the number of packets verified by the policy element can be known.
図4によれば、ポリシ要素P(5)のログカウントは、0となっている。しかしながら、ポリシ要素P(5)は、ポリシ要素P(4)と「generalization2」の干渉関係にあるために、ポリシ要素P(5)にヒットすべきアクセスログが、ポリシ要素P(4)のログカウントに加算されている可能性がある。この場合、ネットワーク管理者が、「ログカウントが0であるポリシ要素P(5)を、不要ポリシ要素として削除する」との判断は、誤っている可能性がある。
According to FIG. 4, the log count of policy element P (5) is zero. However, since the policy element P (5) has an interference relationship of “
このとき、本発明によれば、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する。図4によれば、ポリシ要素P(5)が強調的に表示される。 At this time, according to the present invention, when the count number of the access log is equal to or less than a predetermined threshold for the policy element, in order to cause the network administrator to consider the policy element as an unnecessary policy element, Display with emphasis. According to FIG. 4, the policy element P (5) is highlighted.
「順序変更アイコン」は、そのポリシ要素を、1つ上位へ又は1つ下位へ移動させるために、ネットワーク管理者によって操作されるアイコンである。勿論、アイコンでなくても、操作可能なオブジェクトであってもよい。図4によれば、ネットワーク管理者は、不要ポリシ要素として検討すべきポリシ要素P(5)を、ポリシ要素P(4)と評価順序を入れ替えている。 The “order change icon” is an icon operated by the network administrator to move the policy element one level higher or one level lower. Of course, the object may be an operable object instead of an icon. According to FIG. 4, the network administrator replaces the policy element P (5) to be considered as an unnecessary policy element with the policy element P (4) in the evaluation order.
尚、ポリシ情報は、ルール情報と同様に「オーダ・センシティブ」である。即ち、ファイアウォール装置のルール情報におけるルール要素の評価順序は、ポリシ情報のポリシ要素の順序に基づく。受信されたパケット毎に、ルール情報内に記述された先頭のルール要素から順次、末尾のルール要素へ、「適合(ヒット)」/「不適合」を照合していく。そして、最初に「適合」したルール要素のアクションが実行される。それ以降のルール要素については、照合されることなく(無視され)、処理を終了する。そのために、通常、ルール情報の末尾に記述されたルール要素には、あらゆるパケットに適合するべく、デフォルト・アクションが記述される。 The policy information is “order sensitive” like the rule information. That is, the evaluation order of rule elements in the rule information of the firewall device is based on the order of policy elements in the policy information. For each received packet, “match (hit)” / “non-conformity” is collated sequentially from the first rule element described in the rule information to the last rule element. Then, the action of the rule element that “matches” first is executed. Subsequent rule elements are not collated (ignored), and the process ends. Therefore, a default action is usually described in the rule element described at the end of the rule information so as to be suitable for every packet.
図5は、ポリシ要素に対して順序が変更された際におけるファイアウォール管理装置のフローチャートである。 FIG. 5 is a flowchart of the firewall management apparatus when the order of policy elements is changed.
ネットワーク管理者の操作によって、干渉関係にある第1のポリシ要素と第2のポリシ要素との順序が変更された場合、ポリシの内容が変更される場合がある。
(S51)ファイアウォール管理装置1は、ネットワーク管理者の操作に応じて、ポリシ情報記憶部に対して、第1のポリシ要素と第2のポリシ要素との評価順序を入れ替える。
(S52)ファイアウォール管理装置1は、ポリシ情報記憶部から、第1のポリシ要素と第2のポリシ要素との干渉関係を検出する。図3に基づくいずれか1つの干渉関係タイプを検出する。
(S53)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシIDと、その干渉関係タイプとを表示する。
(S54)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。
(S55)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
When the order of the first policy element and the second policy element in the interference relationship is changed by the operation of the network administrator, the contents of the policy may be changed.
(S51) The
(S52) The
(S53) The policy information is displayed on the display for the network administrator. Here, the policy ID of the other policy element in the interference relationship and the interference relationship type are displayed on each policy element.
(S54) Next, based on the policy information P, rule information RL (j) is generated for each firewall device j.
(S55) The generated rule information RL (j) is transmitted to each firewall device j.
図6は、本発明における第2のポリシ情報の表示イメージである。 FIG. 6 is a display image of the second policy information in the present invention.
図6によれば、ポリシ要素P(5)とP(4)とが入れ替わっている。このとき、干渉関係タイプも変更される。
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"は、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"を含む。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(5)と下位のポリシ要素P(4)とは、「shadowing2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
According to FIG. 6, policy elements P (5) and P (4) are interchanged. At this time, the interference relationship type is also changed.
P (5): tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
P (4): tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
The source address “1.2.3.0/24” of policy element P (5) is common to the source address “1.2.3.0/24” of policy element P (4). Further, the destination address “1.2.3.0/24” of the policy element P (5) includes the destination address “1.2.3.1/32” of the policy element P (4). Furthermore, the port numbers and protocols of policy elements P (4) and P (5) are common. As described above, the upper policy element P (5) and the lower policy element P (4) are in the “shadowing2” interference relationship. This interference relationship is displayed in policy elements P (4) and P (5) of the policy information.
また、図6によれば、上位のポリシ要素P(5)のアクションは、実際にそのポリシ要素P(5)によって実現される。また、下位のポリシ要素P(4)のアクションは、実際にポリシ要素P(5)によって実現される。従って、下位のポリシ要素P(4)の「実現ポリシID」は、ポリシID5となる。 Further, according to FIG. 6, the action of the higher-order policy element P (5) is actually realized by the policy element P (5). The action of the lower policy element P (4) is actually realized by the policy element P (5). Accordingly, the “realized policy ID” of the lower policy element P (4) is the policy ID5.
その後、ポリシ要素毎のログカウントを、再度、カウントする。例えば、図6のように、ポリシ要素P(4)について、実現ポリシID5であって且つログカウントが0であれば、そのポリシ要素P(4)は、不要ポリシ要素として削除することができる。 Thereafter, the log count for each policy element is counted again. For example, as shown in FIG. 6, if the policy element P (4) is the realized policy ID5 and the log count is 0, the policy element P (4) can be deleted as an unnecessary policy element.
図7は、ポリシ要素の干渉関係の計算を表す説明図である。 FIG. 7 is an explanatory diagram illustrating calculation of an interference relationship between policy elements.
図7によれば、ポリシ要素の干渉関係は、「プロトコル」「送信元アドレス」「送信元ポート番号」「宛先アドレス」「宛先ポート番号」を順にノードに展開したツリーによって表される。同じ値のノードの下には、子ノードが生成される。 According to FIG. 7, the interference relationship of policy elements is represented by a tree in which “protocol”, “source address”, “source port number”, “destination address”, and “destination port number” are expanded in order. A child node is generated under the node having the same value.
図7のツリーは、ポリシ要素P(1)から順に展開されている。展開済みのノードと比較し、差分箇所がある場合に、新たな部分ツリーへ分岐される。例えば、ポリシ要素P(1)及びP(2)は、宛先ポート番号が異なるのみであるので、宛先ポート番号が443のノードで分岐される。また、ポリシ要素P(2)及びP(3)は、宛先アドレスが異なるので、宛先アドレス192.168.1.0/24のノードで分岐される。更に、ポリシ要素P(3)及びP(4)は、送信元アドレスが異なるので、送信元アドレス192.168.3.0/24で分岐される。
The tree in FIG. 7 is expanded in order from policy element P (1). If there is a difference part compared with the expanded node, the process branches to a new partial tree. For example, policy elements P (1) and P (2) differ only in the destination port number, and therefore branch at the node with the
ここで、ツリーを展開する際、ポリシ要素間の干渉関係が検出される。例えば、ポリシ要素P(5)を展開する際に、ポリシ要素P(5)の宛先アドレス[192.168.0.0/16]とポリシ要素P(1)の宛先アドレス[192.168.0.0/24]とを比較する。下位の宛先アドレス[192.168.0.0/16]は、上位の宛先アドレス[192.168.0.0/24]を包含する。従って、ポリシ要素P(1)及びP(5)は、generalizationの関係になる。また、ポリシ要素P(5)のアクション[deny]と、ポリシ要素P(1)のアクション[allow]とは相違するため、を比較する。ポリシ要素P(1)及びP(5)は、generalization1の関係になる。 Here, when expanding the tree, an interference relationship between policy elements is detected. For example, when deploying policy element P (5), the destination address [192.168.0.0/16] of policy element P (5) is compared with the destination address [192.168.0.0/24] of policy element P (1) To do. The lower destination address [192.168.0.0/16] includes the upper destination address [192.168.0.0/24]. Accordingly, the policy elements P (1) and P (5) are in a generalization relationship. Also, since the action [deny] of the policy element P (5) is different from the action [allow] of the policy element P (1), they are compared. Policy elements P (1) and P (5) are in a generalization1 relationship.
図8は、本発明におけるファイアウォール管理装置の機能構成図である。 FIG. 8 is a functional configuration diagram of the firewall management apparatus according to the present invention.
図8によれば、ファイアウォール管理装置1は、ディスプレイ部101と、オペレータ操作部102と、オーダシート入力部103と、通信インタフェース部104とを有する。ファイアウォール管理装置1は、ファイアウォール装置2に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイ部101に、ポリシ情報を表示する。オペレータ操作部102は、ネットワーク管理者によって操作可能であって、ポリシ情報のポリシ要素の評価順序が変更される。オーダシート入力部103は、電子帳票としてのオーダシートを入力する。オーダシート入力部103は、光学スキャナによる読み取りであってもよいし、Webサーバを用いたフォームの入力であってもよいし、テキストファイルやCSV(Comma Separated Values)形式ファイルのアップロードであってもよい。通信インタフェース部104は、ファイアウォール装置2と、ネットワーク又はシリアルケーブルを介して通信する。
According to FIG. 8, the
また、図8によれば、ファイアウォール管理装置1は、ポリシ情報記憶部110と、干渉関係検出部111と、表示制御部112と、経路情報記憶部113と、ルール情報生成部114と、ルール情報記憶部115とを有する。これら機能構成部は、ファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
Further, according to FIG. 8, the
ポリシ情報記憶部110は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。ポリシ情報記憶部110は、オーダシート入力部103からオーダシートを入力し、そのオーダシートをポリシ要素P(i)に対応付けて記憶する。
The policy
干渉関係検出部111は、ポリシ情報記憶部110を用いて、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する。
The interference
表示制御部112は、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシIDとを表示する。また、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシIDとを表示する。表示制御部112は、ポリシ要素のポリシIDを、オーダシートのオーダIDに対応付ける。
The
また、表示制御部112は、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースを表示する。ネットワーク管理者は、その操作インタフェースを認識しながら、オペレータ操作部102を操作する。オペレータ操作部102を介したネットワーク管理者の操作に基づいて、干渉関係検出部111が実行される。具体的には、当該ポリシ要素の評価順序が変更された際に、干渉関係検出部111が実行される。
The
更に、表示制御部112は、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシIDを表示する。具体的には、「実現ポリシID」として表示される。
Furthermore, when the action is actually realized by the lower policy element as the lower policy element, the
更に、表示制御部112は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示する。ネットワーク管理者は、アクセスログのカウント数が所定閾値以下となるポリシ要素について、不要ルールとして検討することができる。また、このようなポリシ要素を強調的に表示することによって、ネットワーク管理者の視覚に訴えることができる。
Furthermore, the
尚、表示制御部112は、ルール要素毎に、当該ルール要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
Note that the
経路情報記憶部113は、ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する。尚、経路情報記憶部113は、ファイアウォール装置2及びルータ3から構成情報を収集し、これら構成情報から経路情報を自動的に推定するものであってもよい。
The route
ルール情報生成部114は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更する。ポリシ情報から、ファイアウォール装置毎のルール情報を生成する技術は、既存技術である。
Based on the policy information, the rule
ルール情報記憶部115は、ファイアウォール装置j毎のルール情報RL(j)を記憶する。ルール情報記憶部115は、通信インタフェース部104を介して、各ファイアウォール装置jへルール情報RL(j)を送信する。又は、ファイアウォール管理装置における、ネットワーク管理者によって閲覧可能なディスプレイに、ルール情報RL(j)を表示させるものであってもよい。ネットワーク管理者は、ルール情報RL(j)を参照しながら、ファイアウォール装置の管理コンソールに直接的に手動で入力することもできる。
The rule
以上、詳細に説明したように、本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。 As described above in detail, according to the policy information display method, management apparatus, and program of the present invention, the network administrator does not erroneously determine unnecessary policy elements by displaying the interference relationship between policy elements. Can be.
特に、本発明によれば、オーダシートとポリシ要素とが対応付けられると共に、ネットワーク管理者は、ポリシ情報のみの整理によって、複数のファイアウォール装置に保持されるルール情報を整理することができる。アクセスされていないポリシ要素について、オーダシートを依頼した管理者への確認・照会が容易となる。また、ファイアウォール装置の不要ルール要素の削除及び順序移動をする際に、不要ルール要素の誤判断を防止することができる。本発明によれば、ICT(Information Communication Technologies)ソリューション事業(例えばデータセンタ)におけるファイアウォール管理ソリューションに要する工数・コストを削減することができる。 In particular, according to the present invention, the order sheet and the policy element are associated with each other, and the network administrator can organize the rule information held in the plurality of firewall devices by organizing only the policy information. For policy elements that have not been accessed, it is easy to confirm and inquire the administrator who requested the order sheet. In addition, it is possible to prevent erroneous determination of unnecessary rule elements when deleting unnecessary rule elements and moving the order of the firewall device. According to the present invention, it is possible to reduce the man-hours and costs required for a firewall management solution in an ICT (Information Communication Technologies) solution business (for example, a data center).
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 Various changes, modifications, and omissions of the above-described various embodiments of the present invention can be easily made by those skilled in the art. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.
1 ファイアウォール管理装置
101 ディスプレイ部
102 オペレータ操作部
103 オーダシート入力部
104 通信インタフェース部
110 ポリシ情報記憶部
111 干渉関係検出部
112 表示制御部
113 経路情報記憶部
114 ルール情報生成部
115 ルール情報記憶部
2 ファイアウォール装置
3 ルータ
4 イントラネット
5 インターネット
6 他の企業のネットワーク
DESCRIPTION OF
Claims (11)
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有し、
第3のステップは、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する
ことを特徴とするポリシ情報表示方法。 When editing and generating rule information for a firewall device, the policy information is displayed on a display that can be viewed by a network administrator, and can be edited.
And the policy identifier, a first step of storing the source / destination address range and port number range, the policy information arranged in order of evaluation multiple policy elements P (i) including the action,
A second step of detecting a first policy element and a second policy element in an interference relationship having a common part with respect to the source / destination address range and the port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. A third step of displaying a policy identifier of the first policy element;
The third step is
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as an access log count number. When the count number is equal to or less than a predetermined threshold, the network administrator is notified of the policy element as an unnecessary policy number. A policy information display method , wherein the policy element is displayed in an emphasized manner so as to be considered as an element .
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることを特徴とする請求項1に記載のポリシ情報表示方法。 As the interference relationship type,
A first type (redundancy) in which the source / destination address range and port number range of the lower policy element exactly match the source / destination address range and port number range of the upper policy element;
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element The second type (shadowing1), which is different from
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element A third type (shadowing2) that is identical to
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. A different fourth type (generalization1),
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. The same fifth type (generalization2);
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The sixth type (correlation1) that is different from the action of
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The policy information display method according to claim 1 , wherein any one of a seventh type (correlation2) that is the same as the action is displayed.
前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることを特徴とする請求項1又は2に記載のポリシ情報表示方法。 An operation interface for changing the evaluation order by the network administrator is displayed for each policy element,
The policy information according to claim 1 or 2 , wherein the second step and the third step are executed when the evaluation order of the policy elements is changed based on an operation of the network administrator. Display method.
前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子は、前記オーダシートのオーダ識別子に対応付けられていることを特徴とする請求項1から3のいずれか1項に記載のポリシ情報表示方法。 An order sheet is associated with the policy information,
The policy information display method according to any one of claims 1 to 3 , wherein the policy identifier of the policy element of the policy information is associated with an order identifier of the order sheet.
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更される
ことを特徴とする請求項1から4のいずれか1項に記載のポリシ情報表示方法。 The path information R indicating the passing order of each firewall device j calculated based on the configuration information of the plurality of firewall devices j, which is assumed to pass the packet subject to the policy information, or given by the network administrator , Having route information R representing the passing order of each firewall device j,
Based on the policy information, the order from the upstream firewall device j included in the route information, according to claims 1, wherein the collation rule elements in the rule information is changed in any one of 4 Policy information display method.
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有し、
前記表示制御手段は、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する
することを特徴とするファイアウォール管理装置。 When creating and editing rule information for a firewall device, the firewall management device enables policy information to be displayed and edited on a display that can be viewed by a network administrator,
And the policy identifier, a source / destination address range and port number ranges, and the policy information storage means for storing policy information arranging a plurality of policy elements P (i) to evaluate the order including the action,
Interference relation detection means for detecting a first policy element and a second policy element in an interference relation having a common part with respect to the source / destination address range and the port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. Display control means for displaying a policy identifier of the first policy element;
The display control means includes
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as an access log count number. When the count number is equal to or less than a predetermined threshold, the network administrator is notified of the policy element as an unnecessary policy number. A firewall management apparatus that highlights a policy element so as to be considered as an element .
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することを特徴とする請求項6に記載のファイアウォール管理装置。 The display control means, as the interference relationship type,
A first type (redundancy) in which the source / destination address range and port number range of the lower policy element exactly match the source / destination address range and port number range of the upper policy element;
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element The second type (shadowing1), which is different from
The source / destination address range and port number range of the lower policy element are completely included in the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element A third type (shadowing2) that is identical to
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. A different fourth type (generalization1),
The source / destination address range and port number range of the lower policy element completely include the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the action of the upper policy element. The same fifth type (generalization2);
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The sixth type (correlation1) that is different from the action of
The source / destination address range and port number range of the lower policy element have a part in common with the source / destination address range and port number range of the upper policy element, and the action of the lower policy element is the upper policy element. The firewall management apparatus according to claim 6 , wherein any one of a seventh type (correlation 2) that is the same as the action is displayed.
前記干渉関係検出手段及び前記表示制御手段は、前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることを特徴とする請求項6又は7に記載のファイアウォール管理装置。 An operation interface for changing the evaluation order by the network administrator is displayed for each policy element,
The said interference relation detection means and the said display control means are performed when the evaluation order of the said policy element is changed based on operation of the said network administrator, The said claim 6 or 7 characterized by the above-mentioned. Firewall management device.
前記表示制御手段は、前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子を、前記オーダシートのオーダ識別子に対応付けることを特徴とする請求項6から8のいずれか1項に記載のファイアウォール管理装置。 An order sheet is associated with the policy information,
The firewall management apparatus according to any one of claims 6 to 8, wherein the display control unit associates the policy identifier of the policy element of the policy information with an order identifier of the order sheet.
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することを特徴とする請求項6から9のいずれか1項に記載のファイアウォール管理装置。 The path information R indicating the passing order of each firewall device j calculated based on the configuration information of the plurality of firewall devices j, which is assumed to pass the packet subject to the policy information, or given by the network administrator Route information storage means for storing route information R representing the passing order of each firewall device j;
Based on the policy information, from the upstream of the firewall device j in the order contained in the route information, claim 6, characterized in that it comprises a rule information generation means for changing the collation rule elements in the rule information 9 The firewall management device according to any one of the above.
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させ、
前記表示制御手段は、
第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示し、
前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示し、当該カウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する
ようにコンピュータを機能させることを特徴とするファイアウォール管理装置用のプログラム。 A program that causes a computer installed in a firewall management apparatus to function by displaying policy information on a display that can be viewed by a network administrator when editing and generating rule information for the firewall apparatus,
And the policy identifier, a source / destination address range and port number ranges, and the policy information storage means for storing policy information arranging a plurality of policy elements P (i) to evaluate the order including the action,
Interference relation detection means for detecting a first policy element and a second policy element in an interference relation having a common part with respect to the source / destination address range and the port number range;
An interference relationship type for the second policy element and a policy identifier of the second policy element are displayed on the first policy element, and an interference relationship type for the first policy element is displayed on the second policy element. Causing the computer to function as display control means for displaying the policy identifier of the first policy element ;
The display control means includes
Based on the evaluation order of the first policy element and the second policy element, when the action is actually realized by the lower policy element, the policy identifier of the higher policy element is assigned to the lower policy element. Display
For each policy element, the number of packets determined by the policy element is displayed as an access log count number. When the count number is equal to or less than a predetermined threshold, the network administrator is notified of the policy element as an unnecessary policy number. Highlight the policy element so that it can be considered as an element
A program for a firewall management apparatus characterized by causing a computer to function as described above .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009212578A JP5441250B2 (en) | 2009-09-15 | 2009-09-15 | Policy information display method, management apparatus and program for firewall |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009212578A JP5441250B2 (en) | 2009-09-15 | 2009-09-15 | Policy information display method, management apparatus and program for firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011060249A JP2011060249A (en) | 2011-03-24 |
| JP5441250B2 true JP5441250B2 (en) | 2014-03-12 |
Family
ID=43947760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009212578A Expired - Fee Related JP5441250B2 (en) | 2009-09-15 | 2009-09-15 | Policy information display method, management apparatus and program for firewall |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5441250B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6962239B2 (en) | 2018-03-01 | 2021-11-05 | 富士通株式会社 | Network management equipment, network management methods, network management programs, and network systems |
| CN113301040B (en) * | 2021-05-21 | 2023-02-10 | 恒安嘉新(北京)科技股份公司 | Firewall strategy optimization method, device, equipment and storage medium |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2287689C (en) * | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
| US6807576B1 (en) * | 2000-09-08 | 2004-10-19 | International Business Machines Corporation | Method and system for determining and graphically representing frame classification rule relationships |
| JP2003333084A (en) * | 2002-05-09 | 2003-11-21 | Matsushita Electric Ind Co Ltd | Method of setting packet-filtering rule |
| JP2004139292A (en) * | 2002-10-17 | 2004-05-13 | Hitachi Ltd | Policy diagnostic system of access control |
| JP4662080B2 (en) * | 2005-02-24 | 2011-03-30 | 日本電気株式会社 | Filtering rule analysis method and system |
| JP4747724B2 (en) * | 2005-08-05 | 2011-08-17 | 日本電気株式会社 | Multi-dimensional rule visualization system, method, program, visualization data generation system, method, and program |
| JP4702257B2 (en) * | 2006-10-23 | 2011-06-15 | ヤマハ株式会社 | Firewall device and firewall program |
-
2009
- 2009-09-15 JP JP2009212578A patent/JP5441250B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011060249A (en) | 2011-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6419967B2 (en) | System and method for network management | |
| US11770408B2 (en) | Method and system of mitigating network attacks | |
| US9225601B2 (en) | Network-wide verification of invariants | |
| US7483424B2 (en) | Method, for securely maintaining communications network connection data | |
| JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
| US8867402B2 (en) | Apparatus and method for generating topology tree | |
| WO2015140842A1 (en) | System-monitoring information processing device and monitoring method | |
| EP2494745B1 (en) | Switch that monitors for fingerprinted packets | |
| JP6783261B2 (en) | Threat information extraction device and threat information extraction system | |
| Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
| CN113849820A (en) | Vulnerability detection method and device | |
| JP5441250B2 (en) | Policy information display method, management apparatus and program for firewall | |
| JP4242852B2 (en) | Log total support device, log total support system, log total support program, and log total support method | |
| KR102069142B1 (en) | Apparatus and method for automatic extraction of accurate protocol specifications | |
| JP4464256B2 (en) | Network host monitoring device | |
| US10805206B1 (en) | Method for rerouting traffic in software defined networking network and switch thereof | |
| JP7065744B2 (en) | Network equipment, how to process packets, and programs | |
| JP6246885B1 (en) | Route analysis processing apparatus and route analysis processing program | |
| JP4905363B2 (en) | Network failure detection program, network failure detection device, and network failure detection method | |
| JP6269004B2 (en) | Monitoring support program, monitoring support method, and monitoring support apparatus | |
| JP5258676B2 (en) | Rule information changing method, management apparatus and program in firewall | |
| EP3474489B1 (en) | A method and a system to enable a (re-)configuration of a telecommunications network | |
| US8531953B2 (en) | System and method for network traffic splitting | |
| JP4361570B2 (en) | Packet control instruction management method | |
| WO2010005082A1 (en) | Vlan communication range specifying system, vlan communication range specifying method, computer-readable recording medium on which vlan communication range specifying program has been stored |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130430 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130517 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131216 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |