JP6623903B2 - 受信制御システム、受信制御プログラム及び受信制御方法 - Google Patents

受信制御システム、受信制御プログラム及び受信制御方法 Download PDF

Info

Publication number
JP6623903B2
JP6623903B2 JP2016069207A JP2016069207A JP6623903B2 JP 6623903 B2 JP6623903 B2 JP 6623903B2 JP 2016069207 A JP2016069207 A JP 2016069207A JP 2016069207 A JP2016069207 A JP 2016069207A JP 6623903 B2 JP6623903 B2 JP 6623903B2
Authority
JP
Japan
Prior art keywords
request
application
waf
management operation
reception control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016069207A
Other languages
English (en)
Other versions
JP2017182484A (ja
Inventor
峰彦 飯田
峰彦 飯田
学 中嶋
学 中嶋
進也 真崎
進也 真崎
雄平 渋川
雄平 渋川
智 太田
智 太田
山下 健一
健一 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016069207A priority Critical patent/JP6623903B2/ja
Priority to US15/457,042 priority patent/US20170289160A1/en
Publication of JP2017182484A publication Critical patent/JP2017182484A/ja
Application granted granted Critical
Publication of JP6623903B2 publication Critical patent/JP6623903B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、クラウドコンピューティングに関する。
近年、クラウドコンピューティング(以下、クラウドと記載)を利用したサービスがユーザに対して、幅広く利用されている。更に、企業活動に用いられる業務システムも、クラウド化されるケースが増加している。業務システムをクラウド化することで、Web上に公開されているサービス(業務システム)を、あたかもクライアントにインストールされているアプリケーションのように扱うことが可能となる。
管理者は、オンプレミスで動作する業務システムにアクセスする場合、該業務システムが設置されている情報処理装置に対してリモートログインなどでアクセスする。管理者は、リモートログインで業務システムにアクセスし、該業務システムに係る管理操作をすることができる。
一方、クラウドで動作する業務システムに管理者がアクセスしたい場合、管理者は、該業務システムにインターネット経由でアクセスする。管理者がインターネット経由で業務システムにアクセスし、管理操作を行う場合、管理操作の情報や業務システムに係る重要な情報(認証情報など)が漏洩する可能性がでてくる。更に、管理操作をインターネット経由で行うことが可能であるため、なりすましなどのリスクも発生する。
そこで、管理者による操作をイントラネットの通信に制限し、インターネット経由での管理操作(通信)を遮断することで、情報漏洩やなりすましへの対応が行われている。
データ通信経路と制御通信経路を分離して、且つ制御通信経路に制御パケットを多重化する多重化回路を設け、最短ジョブ優先制御を実行する。往復通信時間の平均を小さくでき、且つハードウェアコストも低減できる技術が知られている(例えば、特許文献1を参照)。
全体のトラフィックを複数の通信経路に振り分けることにより、同一パケットの二重受信や無線リソースの浪費を伴わず、高帯域な通信を可能とする装置が知られている(例えば、特許文献2を参照)。
パケットを送信するに最適な通信経路でパケットを送信することを可能とすると共に、パケットを別々の通信経路に割り振って送信することを可能にすることによって、パケットを高効率、高品質に送信することができ、また、1つの受信側装置への同一パケットの同時送信を防止することによってパケット通信の無駄遣いを低減する技術が知られている(例えば、特許文献3を参照)。
特開2011−135433号公報 特開2004−96247号公報 特開2005−123993号公報
クラウドで動作する業務システムにおける管理操作は、インターネット経由で行われる。より具体的に、管理操作は、指定したUniform Resource Locator(URL)にリクエストを送信し結果を受信する仕組みを提供するRepresentation State Transfer(REST)ful Application Programming Interface(API)を用いて行われる。指定するURLは、Hypertext Transfer Protocol(HTTP)やHypertext Transfer Protocol Secure(HTTPS)のプロトコルを用いる。
更に、ユーザが利用するアプリケーションに係る操作(開始、ファイル配置、停止など)は、RESTful APIを用いて、ユーザにより行われる。
ここで、管理者による管理操作をイントラネットの通信に制限し、インターネット経由での管理操作(通信)を遮断する場合、この遮断処理は、ファイヤウォールにより行われることが好ましい。ファイヤウォールは、Internet Protocol(IP)アドレスやポート番号を指定することで、通信の透過、遮断を制御できる。しかし、管理操作及びアプリケーションに係る操作のどちらもHTTP/HTTPSを用いた通信であるため、ファイヤウォールは、管理操作とアプリケーションに係る操作を区別できない。
本発明は1つの側面において、ファイヤウォールにより管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することを目的とする。
情報処理装置は、インターネット側からの操作リクエストを、特定の宛先サーバを経由して受信すると、前記操作リクエストが、管理操作かアプリケーション操作であるかを、前記操作リクエストに含まれるヘッダ情報に基づいて判定する。該情報処理装置は、前記アプリケーション操作である場合、前記アプリケーション操作に係る操作リクエストを、アプリケーションを動作させるサーバ側に転送し、前記管理操作である場合、前記管理操作に係る前記操作リクエストを遮断する。
本発明によれば、ファイヤウォールにより管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。
管理操作に係る受信制御システムの処理の例を説明する図である。 アプリケーション操作に係る受信制御システムの処理の例を説明する図である。 アプリケーション通信に係る受信制御システムの処理の例を説明する図である。 WAFのブロック構成の例を説明する図である。 WAFにおいて遮断されるリクエストの例(その1)を説明する図である。 WAFにおいて遮断されるリクエストの例(その2)を説明する図である。 WAFにおいて遮断されるリクエストの例(その3)を説明する図である。 WAFのハードウェア構成の例を説明する図である。 本発明に係る受信制御システムの処理の例を説明するフローチャートである。
本発明は、ユーザと管理者の通信をHTTPプロトコル上の特性に基づいて区別することにより、システム上重要な情報を送受信する管理者の操作(通信)をインターネット経由で行うことを抑止し、セキュアな運用を実現するネットワークを構築する。
図1は、管理操作に係る受信制御システムの処理の例を説明する図である。受信制御システム100は、インターネット200からのユーザ及び管理者が業務システム及びアプリを使用する場合の各種操作及びアクセスを受け付けるシステムである。受信制御システム100は、ルータ101、宛先サーバ102、宛先サーバ103、Web Application Firewall(WAF)104、リバースプロキシサーバ105、 Webサーバ106、Webサーバ107を備える。
ルータ101は、受信制御システム100側と外部ネットワーク(インターネット200)側との境界に設置されるルータである。ルータ101には、例えば、ファイヤウォールが設置され、内外の通信を中継及び監視し、外部の攻撃から内部を保護する。外部ネットワーク側からの通信は、一旦、ルータ101を経由し、宛先サーバ102又は宛先サーバ103側に送られる。そのため、受信制御システム100において、外部ネットワーク側からの通信は、直接、リバースプロキシサーバ105、 Webサーバ106、Webサーバ107には送られない。
宛先サーバ102は、インターネット200側からユーザのアプリケーションに係る通信(アクセス)の際の宛先となるサーバである。Webサーバ106は、アプリケーションを動作させるサーバである。ここで、クラウドシステムにおいて、Webサーバ106は直接ユーザに対して公開されていない。ユーザからのアプリケーションに係る通信(アクセス)は、一旦、宛先サーバ102を経由して、Webサーバ106に転送される。
宛先サーバ103は、インターネット200側からユーザによるアプリケーション操作(開始、ファイル配置、停止など)、管理者による管理操作の際の宛先となるサーバである。WAF104は、宛先サーバ103を監視し、インターネット200側からの通信が管理操作である場合、該管理操作を遮断する機器、ソフトウェア、又はシステムである。WAF104は、例えば、通信制御装置として動作する。Webサーバ107は、業務システムを動作させるサーバである。ここで、クラウドシステムにおいて、Webサーバ107は直接ユーザに対して公開されていない。アプリケーション操作は、一旦、宛先サーバ103を経由して、Webサーバ107に転送される。
リバースプロキシサーバ105は、宛先サーバ102、宛先サーバ103を経由した通信を、Fully Qualified Domain Name(FQDN)に基づいて、Webサーバ106、Webサーバ107に転送する。
このような受信制御システム100において、管理操作に係るアクセス(リクエスト)を受信した場合の処理を順に説明する。
管理者は、インターネット200側から HTTP/HTTPSプロトコル(RESTful API)を用いて管理操作に係るアクセス(リクエスト)をする。具体的には、管理操作のリクエストは、インターネット200側から宛先サーバ103に送られる(パケット処理P101)。宛先サーバ103に送られた管理操作のリクエストは、WAF104に送られる(パケット処理P102)。WAF104は、該リクエストが、ユーザによるアプリケーション操作であるか管理者による管理操作であるかを判定する(パケット処理P103)。WAF104は、管理操作であるため、該通信を遮断する(パケット処理P104)。
なお、WAF104は、管理操作に係るリクエストのHTTPにおける特性を、定義ファイルとして保存している。WAF104は、定義ファイルに登録されている特性に基づいて、管理操作を特定し、管理操作に係る通信を遮断する。特性は、リクエストに含まれるヘッダ情報に格納され、例えば、FQDN、パス(特定の文字列)、HTTPリクエストヘッダの存在、HTTPメソッドなどの特性である。
このように、WAF104は、リクエストに含まれる情報に基づいて、管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。
図2は、アプリケーション操作に係る受信制御システムの処理の例を説明する図である。図2における受信制御システム100は、図1の受信制御システム100と同一のものは、同一の番号を付す。
受信制御システム100において、アプリケーション操作(開始、ファイル配置、停止など)に係る通信を受信した場合の処理を順に説明する。ユーザは、インターネット200側から HTTP/HTTPSプロトコル(RESTful API)を用いてアプリケーション操作に係るアクセス(リクエスト)をする。具体的には、アプリケーション操作に係るリクエストは、インターネット200側から宛先サーバ103に送られる(パケット処理P201)。宛先サーバ103に送られたアプリケーション操作のリクエストは、WAF104に送られる(パケット処理P202)。WAF104は、該リクエストが、ユーザによるアプリケーション操作であるか管理者による管理操作であるかを判定する(パケット処理P203)。WAF104は、定義ファイルに基づいて、今回の通信が、アプリケーション操作であることを特定する(パケット処理P204)。WAF104は、アプリケーション操作に係るリクエストを、リバースプロキシサーバ105に送信する(パケット処理P205)。リバースプロキシサーバ105は、FDQNに基づいて、アプリケーション操作に係るリクエストの送信先を、Webサーバ107を特定する(パケット処理P206)。リバースプロキシサーバ105は、Webサーバ107に、アプリケーション操作に係るリクエストを転送する(パケット処理P207)。
図3は、アプリケーション通信に係る受信制御システムの処理の例を説明する図である。図3における受信制御システム100は、図1の受信制御システム100と同一のものは、同一の番号を付す。
受信制御システム100において、ユーザからのアプリケーション通信を受信した場合の処理を順に説明する。ユーザは、インターネット200側から HTTP/HTTPSプロトコルを用いてアプリケーション通信に係るアクセス(リクエスト)をする。具体的には、アプリケーション通信に係るリクエストは、インターネット200側から宛先サーバ102に送られる(パケット処理P301)。宛先サーバ102に送られたアプリケーション通信のリクエストは、WAF104に送られず、リバースプロキシサーバ105に送信される(パケット処理P302)。リバースプロキシサーバ105は、FDQNに基づいて、アプリケーション通信に係るリクエストの送信先を、Webサーバ106を特定する(パケット処理P303)。リバースプロキシサーバ105は、Webサーバ106に、アプリケーション通信に係るリクエストを転送する(パケット処理P304)。
このように、WAF104は、リクエストに含まれる情報に基づいて、管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。一方、アプリケーション通信に係るリクエストは、WAF104に送られないようにすることで、システムに対する性能影響を最低限にすることができる。
図4は、WAFのブロック構成の例を説明する図である。WAF104は、制御部301と記憶部302、送受信部303を備える。送受信部303は、宛先サーバ103(特定のサーバ)に送られてきたリクエストを、受信する。制御部301は、宛先サーバ103(特定のサーバ)に送られてきたリクエストが、ユーザによるアプリケーション操作であるか管理者による管理操作であるかを判定する。制御部301は、該リクエストが管理操作に係るリクエストである場合、該リクエストを遮断し、他の機器に該リクエストを転送しない。一方、送受信部303は、該リクエストがアプリケーション操作に係るリクエストである場合、該リクエストをリバースプロキシ105側に転送する。
このように、WAF104は、リクエストに含まれる情報に基づいて、管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。一方、アプリケーション通信に係るリクエストは、WAF104に送られないようにすることで、システムに対する性能影響を最低限にすることができる。
記憶部302は、管理操作に係るリクエストのHTTPにおける特性を、定義ファイルとして記憶する。定義ファイルに記憶される特性は、リクエストに含まれるヘッダ情報であり、例えば、FQDN、パス(特定の文字列)、HTTPリクエストヘッダの存在、HTTPメソッドなどである。
図5は、WAFにおいて遮断されるリクエストの例(その1)を説明する図である。リクエスト401は、管理者Identifier(ID)によるログイン操作に係るHTTPリクエストの詳細な例である。WAF104は、該管理者IDによるログイン操作を、管理操作として遮断する。
リクエスト401におけるHostヘッダには、認証操作時に使用されるFQDNとして、login.example.comが設定されている。WAF104は、Hostヘッダに認証操作時のFQDN(login.example.com)が設定されているか否かで、該リクエストが管理操作か否かを判定する。
リクエスト401におけるHTTPメソッドであるPOSTには、認証操作時に指定される特定の文字列(/foo/bar/auth)が設定されている。POSTメソッドは、名前や値などのデータを送信する際に使用されるメソッドである。WAF104は、HTTPメソッドに認証操作時に指定される特定の文字列(例えば、認証に用いられるファイルパス)が設定されているか否かで、該リクエストが管理操作か否かを判定する。
リクエスト401におけるHTTPボディ内には、管理者ID(id=admin)が設定されている。WAF104は、HTTPボディに管理者IDが設定されているか否かで、該リクエストが管理操作か否かを判定する。
Hostヘッダに認証操作時のFQDN、HTTPメソッドに認証操作時に指定される特定の文字列、HTTPボディに管理者IDをリクエスト401が含む場合、WAF104は、リクエスト401を管理操作に係るリクエストと判定し、該リクエストを遮断する。なお、FQDN、特定の文字列(ファイルパス)、管理者IDなどは、一例であり、別のアドレスやIDなどが用いられてもよい。
図6は、WAFにおいて遮断されるリクエストの例(その2)を説明する図である。リクエスト402は、管理者によるパスワードリセットに係るHTTPリクエストの詳細な例である。WAF104は、パスワードリセット操作を、管理操作として遮断する。
リクエスト402におけるHostヘッダには、パスワードリセット操作時に使用されるFQDNとして、login.example.comが設定されている。WAF104は、Hostヘッダにパスワードリセット操作時のFQDN(login.example.com)が設定されているか否かで、該リクエストが管理操作か否かを判定する。
リクエスト402におけるHTTPメソッドにおいて、PUTメソッドが設定されている。PUTメソッドは、指定したサーバ上のファイルを置き換える際に使用されるメソッドである。WAF104は、HTTPメソッドに、PUTメソッドが設定されているか否かで、該リクエストが管理操作か否かを判定する。
リクエスト402におけるHTTPメソッドであるPUTには、パスワードリセット操作時に指定される特定の文字列(/foo/bar/resetpass)が設定されている。WAF104は、HTTPメソッドにパスワードリセット操作時に指定される特定の文字列(例えば、パスワードリセット操作に用いられるファイルパス)が設定されているか否かで、該リクエストが管理操作か否かを判定する。
HTTPヘッダにパスワードリセット操作時に使用されるFQDN、HTTPメソッドにPUTメソッド、HTTPメソッドにパスワードリセット操作時に指定される特定の文字列をリクエスト402が含む場合、WAF104は、リクエスト402を管理操作に係るリクエストと判定し、該リクエストを遮断する。なお、FQDN、特定の文字列(ファイルパス)などは、一例であり、別のアドレスなどが用いられてもよい。
図7は、WAFにおいて遮断されるリクエストの例(その3)を説明する図である。リクエスト403は、ユーザに公開されていない内部APIを呼び出す操作に係るHTTPリクエストの詳細な例である。WAF104は、内部API操作を、管理操作として遮断する。
リクエスト403におけるHostヘッダには、内部API操作時に使用されるFQDNとして、api.example.comが設定されている。WAF104は、Hostヘッダに内部API操作時のFQDN(api.example.com)が設定されているか否かで、該リクエストが管理操作か否かを判定する。
リクエスト403には、BASIC認証のリクエスト(Autherization:Basic xxxx)が含まれている。xxxxは、任意の文字列である。WAF104は、BASIC認証のリクエストが含まれているか否かで、該リクエストが管理操作か否かを判定する。
HTTPヘッダに内部API操作時に使用されるFQDN、BASIC認証のリクエストをリクエスト403が含む場合、WAF104は、リクエスト403を管理操作に係るリクエストと判定し、該リクエストを遮断する。なお、FQDN、は、一例であり、別のアドレスなどが用いられてもよい。
このように、WAF104は、リクエストに含まれる情報に基づいて、管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。一方、アプリケーション通信に係るリクエストは、WAF104に送られないようにすることで、システムに対する性能影響を最低限にすることができる。
図8は、WAFのハードウェア構成の例を説明する図である。WAF104は、プロセッサ11、メモリ12、バス15、外部記憶装置16、ネットワーク接続装置19を備える。さらにオプションとしてWAF104は、入力装置13、出力装置14、媒体駆動装置17を備えても良い。WAF104は、例えば、コンピュータなどで実現されることがある。
プロセッサ11は、Central Processing Unit(CPU)を含む任意の処理回路とすることができる。プロセッサ11は、制御部301として動作する。なお、プロセッサ11は、例えば、外部記憶装置16に記憶されたプログラムを実行することができる。メモリ12は、プロセッサ11の動作により得られたデータや、プロセッサ11の処理に用いられるデータも、適宜、記憶する。メモリ12は、記憶部302として動作する。ネットワーク接続装置19は、他の装置との通信に使用され、送受信部303として動作する。
入力装置13は、例えば、ボタン、キーボード、マウス等として実現され、出力装置14は、ディスプレイなどとして実現される。バス15は、プロセッサ11、メモリ12、入力装置13、出力装置14、外部記憶装置16、媒体駆動装置17、ネットワーク接続装置19の間を相互にデータの受け渡しが行えるように接続する。外部記憶装置16は、プログラムやデータなどを格納し、格納している情報を、適宜、プロセッサ11などに提供する。媒体駆動装置17は、メモリ12や外部記憶装置16のデータを可搬記憶媒体18に出力することができ、また、可搬記憶媒体18からプログラムやデータ等を読み出すことができる。ここで、可搬記憶媒体18は、フロッピイディスク、Magnet-Optical(MO)ディスク、Compact Disc Recordable(CD-R)やDigital Versatile Disc Recordable(DVD-R)を含む、持ち運びが可能な任意の記憶媒体とすることができる。
図9は、本発明に係る受信制御システムの処理の例を説明するフローチャートである。ルータ101は、インターネット200側からのリクエストがアプリケーションに係る操作又は管理操作であるか否かを判定する(ステップS101)。インターネット200側からの通信がアプリケーションに係る操作又は管理操作である場合(ステップS101でYES)、ルータ101は、リクエストを宛先サーバ103に転送する(ステップS102)。宛先サーバ103は、リクエストをWAF104に転送する(ステップS103)。
WAF104の制御部301は、リクエストが管理操作か否かを判定する(ステップS104)。リクエストが管理操作でない場合(ステップS104でNO)、WAF104は、リクエストをリバースプロキシサーバ105に転送する(ステップS105)。リバースプロキシサーバ105は、FQDNに基づいて、送信対象のWebサーバにリクエストを転送する(ステップS106)。ステップS106の処理が終了すると、受信制御システム100は、該リクエストに対する処理を終了する。
インターネット200側からの通信がアプリケーション通信である場合(ステップS101でNO)、ルータ101は、リクエストを宛先サーバ102に転送する(ステップS107)。ステップS107の処理が終了すると、ステップS105の処理を実行する。しかしここでは、宛先サーバ102が、リクエストをリバースプロキシサーバ105に転送する。
リクエストが管理操作である場合(ステップS104でYES)、WAF104は、該リクエストを遮断する(ステップS108)。ステップS108の処理が終了すると、受信制御システム100は、該リクエストに対する処理を終了する。
このように、WAF104は、リクエストに含まれる情報に基づいて、管理者による管理操作とユーザによるアプリケーション操作を判定し、管理者による管理操作を遮断することができる。一方、アプリケーション通信に係るリクエストは、WAF104に送られないようにすることで、システムに対する性能影響を最低限にすることができる。
100 受信制御システム
101 ルータ
102、103 宛先サーバ
104 WAF
105 リバースプロキシサーバ
106、107 Webサーバ
301 制御部
302 記憶部
303 受信部

Claims (3)

  1. インターネット側からの操作リクエストを、特定の宛先サーバを経由して受信すると、前記操作リクエストが、管理操作かアプリケーション操作であるかを、前記操作リクエストに含まれるヘッダ情報に基づいて判定し、
    前記アプリケーション操作である場合、前記アプリケーション操作に係る操作リクエストを、アプリケーションを動作させるサーバ側に転送し、
    前記管理操作である場合、前記管理操作に係る前記操作リクエストを遮断する、
    処理を情報処理装置に実行させることを特徴とする制御プログラム。
  2. インターネット側からの操作リクエストの宛先となる宛先サーバと、
    特定の宛先サーバを経由して前記操作リクエストを受信すると、前記操作リクエストが、管理操作かアプリケーション操作であるかを、前記操作リクエストに含まれるヘッダ情報に基づいて判定し、
    前記アプリケーション操作である場合、前記アプリケーション操作に係る操作リクエストを、アプリケーションを動作させるサーバ側に転送し、
    前記管理操作である場合、前記管理操作に係る前記操作リクエストを遮断する通信制御装置と、を有する、
    ことを特徴とする制御システム。
  3. インターネット側からの操作リクエストを、特定の宛先サーバを経由して受信すると、前記操作リクエストが、管理操作かアプリケーション操作であるかを、前記操作リクエストに含まれるヘッダ情報に基づいて判定し、
    前記アプリケーション操作である場合、前記アプリケーション操作に係る操作リクエストを、アプリケーションを動作させるサーバ側に転送し、
    前記管理操作である場合、前記管理操作に係る前記操作リクエストを遮断する
    ことを特徴とする情報処理装置の制御方法。
JP2016069207A 2016-03-30 2016-03-30 受信制御システム、受信制御プログラム及び受信制御方法 Active JP6623903B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016069207A JP6623903B2 (ja) 2016-03-30 2016-03-30 受信制御システム、受信制御プログラム及び受信制御方法
US15/457,042 US20170289160A1 (en) 2016-03-30 2017-03-13 Control system, control method, and non-transitory computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016069207A JP6623903B2 (ja) 2016-03-30 2016-03-30 受信制御システム、受信制御プログラム及び受信制御方法

Publications (2)

Publication Number Publication Date
JP2017182484A JP2017182484A (ja) 2017-10-05
JP6623903B2 true JP6623903B2 (ja) 2019-12-25

Family

ID=59960332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016069207A Active JP6623903B2 (ja) 2016-03-30 2016-03-30 受信制御システム、受信制御プログラム及び受信制御方法

Country Status (2)

Country Link
US (1) US20170289160A1 (ja)
JP (1) JP6623903B2 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US7215637B1 (en) * 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
JP3526435B2 (ja) * 2000-06-08 2004-05-17 株式会社東芝 ネットワークシステム
US7801953B1 (en) * 2001-02-12 2010-09-21 Nortel Networks Limited Push-to-talk wireless telecommunications system utilizing an voice-over-IP network
US20020199120A1 (en) * 2001-05-04 2002-12-26 Schmidt Jeffrey A. Monitored network security bridge system and method
JP4487490B2 (ja) * 2003-03-10 2010-06-23 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
JP4116920B2 (ja) * 2003-04-21 2008-07-09 株式会社日立製作所 分散型サービス不能攻撃を防ぐネットワークシステム
US20060095785A1 (en) * 2004-10-29 2006-05-04 Electronic Data Systems Corporation System, method, and computer program product for user password reset
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files

Also Published As

Publication number Publication date
JP2017182484A (ja) 2017-10-05
US20170289160A1 (en) 2017-10-05

Similar Documents

Publication Publication Date Title
US11632356B2 (en) Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment
US10972436B1 (en) System and method for session affinity in proxy media routing
US10904204B2 (en) Incompatible network gateway provisioned through DNS
US11316787B2 (en) Method and apparatus for traffic optimization in virtual private networks (VPNs)
US10003616B2 (en) Destination domain extraction for secure protocols
US10038693B2 (en) Facilitating secure network traffic by an application delivery controller
US9319315B2 (en) Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
US8533780B2 (en) Dynamic content-based routing
JP5946189B2 (ja) ネットワークトラフィックポリシーをアプリケーションセッションに適用するシステム及び方法
CN109889618B (zh) 用于处理dns请求的方法和***
EP3324571B1 (en) Service processing method and apparatus
US20130339724A1 (en) Selective encryption in mobile devices
US11159420B2 (en) Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network
US20090216875A1 (en) Filtering secure network messages without cryptographic processes method
JP2006050191A (ja) ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
Secchi et al. Performance analysis of next generation web access via satellite
WO2023020606A1 (zh) 一种隐藏源站的方法、***、装置、设备及存储介质
JP6623903B2 (ja) 受信制御システム、受信制御プログラム及び受信制御方法
US10630717B2 (en) Mitigation of WebRTC attacks using a network edge system
CN107888651B (zh) 用于多简档创建以减轻剖析的方法和***
KR102263755B1 (ko) 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법
Nakamura et al. Seamless Application Push with Secure Connection-System to realize effective usage of smart devices for business class sustainability

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191111

R150 Certificate of patent or registration of utility model

Ref document number: 6623903

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150