JPH09135271A - 中継装置 - Google Patents
中継装置Info
- Publication number
- JPH09135271A JPH09135271A JP28965795A JP28965795A JPH09135271A JP H09135271 A JPH09135271 A JP H09135271A JP 28965795 A JP28965795 A JP 28965795A JP 28965795 A JP28965795 A JP 28965795A JP H09135271 A JPH09135271 A JP H09135271A
- Authority
- JP
- Japan
- Prior art keywords
- session
- packet
- filtering
- relay device
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
し、従来の中継装置は、各パケット毎の送信元、受信先
アドレスの方向を対象にフィルタリングするためセキュ
リティ機能として柔軟性に乏しく、各種プロトコルに対
応でき、しかも一方からのアクセスでは通常の双方向通
信が可能で、他方からのアクセスでは双方向通信が不能
となる様なフィルタリング機能を持った中継装置が望ま
れる。 【解決手段】 ネットワーク上の通信端末間に置かれた
フィルタリング機能を持った中継装置に於いて、両通信
端末間の通信をフィルタリングすることを、該通信端末
アドレスによるセション開設方向で規定する定義手段
と、該中継装置に入力されたパケットから該セション開
設方向を認識し、これを記憶管理するセション管理手段
と、セション開設後の通信について、前記セション管理
手段と前記定義手段とによりフィルタリングの是非を決
めるフィルタリング手段とを備えることにより課題を解
決する。
Description
トワークの出現、広域化、高度化には目を見張るものが
あり、ネットワークの接続管理、情報の管理は益々その
重要度を増している。本発明はこれ等ネットワーク上の
通信又は情報に対するセキュリティ機能に関するもので
ある。
で中で、従来の中継装置においては、外部からの不法な
侵入などを防ぐためのフィルタリング手段121 として、
ネットワーク上の送受信情報の基本ブロック( パケッ
ト) である各パケット内の送信元アドレスと受信先アド
レスの組の方向( 上りと下り) を対象に処理していた。
従って例えば外部から内部( 上りと仮定) へのネットワ
ーク進入を防ぐために,或る外部のアドレスを送信元ア
ドレスとしてフィルタリング( 上りの片方向通信をフィ
ルタリング)すると、当該外部からのパケットはすべて
フィルタリングされてしまう為、宛先である内部受信先
アドレスへはパケットが届かず、結果として外部からの
アクセス侵入が防御出来る反面、内部のネットワークか
ら当該外部へアクセスした場合にも、前記と同様、一義
的に外部からのパケットがフィルタリング( 上りの片方
向通信をフィルタリング) されてしまう為、下りのパケ
ットは相手先へ届くが、上りのパケットが送信元へ届か
ず、結果として相互の通信が不可能となり、外部情報の
入手も出来ないという課題が発生する。
トコルが存在し、その接続には手順の調査、確認から運
用テストに至るまで、多くの作業工数を要する上、前記
のようなフィルタリングに付いてもシステム上考慮する
必要があり、特に非公開のプロトコルでは、その対応が
一層大変となる。
トコルに対応が可能で、しかも一方の利用者端末からア
クセスした場合は、相手先端末との間で、双方向の通常
の送受信( 前記従来の上りと下りの通信) を可能としつ
つ、逆に他方の利用者端末からアクセスした場合は、双
方向の送受信とも通信不能とする様なフィルタリング機
能を有する装置が望まれる。
ある。先ず図1 に於いて、本発明に於けるフィルタリン
グの意味を明確にしておく。本発明に於けるフィルタリ
ングでは、前記発明が解決しようとする課題の項で記し
た様に、通信端末間の双方向通信を可能とするか否かの
フィルタリングを表しており、図1 に於いて、フィルタ
リングする場合はパケットは、ともフィルタリング
装置で破棄される結果、双方向通信が不能となり、逆に
フィルタリングしない場合は、とも相手先へ届き、
双方向通信が可能となる。
た中継装置( 以下フィルタリング装置と称する)によっ
て解決される。即ち、ネットワーク上の通信端末間に置
かれた中継用のフィルタリング装置に於いて、両通信端
末間の通信をフィルタリングすることを、該通信端末ア
ドレスによるセション開設方向で規定する定義手段と、
該中継装置に入力されたパケットから該セション開設方
向を認識し、これを記憶管理するセション管理手段と、
セション開設後の通信について、前記セション管理手段
と前記定義手段とによりフィルタリングの是非を決める
フィルタリング手段とを備えることによりセション開設
方向によるフィルタリングを可能とすると同時に、前記
セション管理手段により各種プロトコルにも対処可能と
する。
通信端末10と通信端末11との間で、フィルタリング装置
20 を介して通信を行うシステムを用いて本発明を説明
する。
ケット 30 は送信元アドレス a, 受信先アドレス bを持
って、逆に通信端末 bから通信端末 aへ送信されたパケ
ット31 は送信元アドレス b, 受信先アドレス aを持っ
てフィルタリング装置 20 を通過する。フィルタリング
装置は目的のフィルタリングを行う為、図5 、図6 、図
7 に示すようなテーブルを持っている。
ブルで、パケット管理一時テーブルと呼び、送信元アド
レス、受信先アドレス、最新パケットの通過時刻ta,tb
(内蔵時計によりセット) を記憶している。
テーブルで、セション管理テーブルと呼び、セション開
設元アドレス、セション開設先アドレス、最新パケット
( 逆向きパケットも含む) 通過時からの経過時間ts( 内
蔵タイマにより計時) を記憶している。
方向を初期設定するテーブルで、セションフィルタリン
グテーブルと呼び、セション開設元アドレス又はアドレ
ス群、セション開設先アドレス又はアドレス群を記憶し
ている。
作を概念的にフローチャート化した概略動作説明図であ
る。先ずステップ40で、図7 に示すようなセションフィ
ルタリングテーブルに、フィルタ( 破棄) したいセショ
ン開設の方向をアドレス又はアドレス群( 連続アドレス
の場合) で定義、初期設定しておく。
開始し、フィルタリング装置にパケット入力が始まる。
ステップ42,43 はセションが開設される迄の処理で、ス
テップ42に於いて図5 に示すようなパケット管理一時テ
ーブルによりセションの開設とその方向の検出処理が行
われる。
で、図6 に示すようなセション管理テーブルにセション
の確立として登録され、セションの終了まで保持され
る。次にステップ44,45 では、前記のステップ43でセシ
ョンの開設後登録されている間の双方向通信についてフ
ィルタ是非を決める処理を行う。
ル上の当該セション方向を基に、図7 のセションフィル
タリングテーブル( ステップ40で初期設定) に同方向の
セションが存在するかをチェックすることにより入力デ
ータのフィルタ( 破棄) 是非を決定し、その結果ステッ
プ45でデータのフィルタリング又は中継の処理を行う。
を図5 、図6 、図7 の各テーブルと併せて詳しく説明す
る。図3 は、セションが開設される迄の動作フローチャ
ートである。ステップ50でフィルタリング装置にパケッ
ト( 送信元アドレス b, 受信先アドレス aと仮定) が入
力されるとステップ 51 で先ず、セション管理テーブル
にパケット内のアドレスの組( 逆向きも含む) が登録さ
れているか、即ち、セションが既に開設されているかが
チェックされ、登録がされていない、即ち、セションが
開設されていない場合ステップ52以降のセションの開設
とその方向の検出処理に移る。
ェックする処理である。図5 のパケット管理一時テーブ
ルに於いて、セションが切断されている状態で、パケッ
ト内アドレスの組で逆向きパケットの通過時刻との差(t
b-ta) が一定時間y より小さい場合、その逆向きパケッ
トは応答パケットと認識、初めのパケットの通過方向に
セション開設が確立したと見て、ステップ 53 でパケッ
ト管理一時テーブルより当アドレスの組を削除した後、
ステップ 54 でセション管理テーブルに登録する。( 本
ケースではa からb の方向へセション開設) 。
場合はステップ 55 でセション開設不成立としてパケッ
ト管理一時テーブルを更新する。ここ迄がセションの確
立される迄の処理であるが、このセション確立の検出手
段により、パケットの内容に依らず二つの逆向きパケッ
トの時間差によりセションの確立を認識するため、非公
開でパケットの内容が不明確なプロトコルにも対応可能
となる。
チャートにより、フィルタリング処理の説明をする。セ
ションが開設された時、セション確立状況を管理する図
6 のセション管理テーブルに、セション開設元アドレ
ス, セション開設先アドレス及び最新パケット( 逆向き
パケットも含む) 通過時からの経過時間tsが記録、登録
されている。
ている状態で、セション管理テーブルの最新パケット通
過時からの経過時間tsが一定時間x と比較され、小さい
場合はセションの継続と言うことでステップ 61 で最新
パケット経過時間を零クリアした後ステップ 62 のセシ
ョンフィルタリングテーブルによるチェックに移る。
ン管理テーブルと同方向のセションアドレスが登録され
ている場合は、そのパケットをフィルタすると言うこと
で、ステップ63でそのパケットは破棄され、未登録の場
合はステップ 64 でそのまま中継処理される。
ション方向(a→b)、セションフィルタリングテーブルの
セション方向(b→a)で異方向のため、フィルタされず中
継処理される例である。
合はセションの終了と見なし、ステップ65でセション管
理テーブルより削除される。ここ迄がセション開設後の
フィルタリング処理である。
の認識を図8 のように送信元アドレス 80 、受信先アド
レス 81 、セション開始識別情報82などの情報を持った
プロトコル毎のセション開始制御パケットにより行う方
法を以下述べる。
始制御パケット( 例えばTCP/IPであればSYN パケット)
が存在するが、プロトコルが公開されている場合は、そ
のセション開始制御パケットを認識してセション方向を
検出、前記実施形態1 で述べた図6 のセション管理テー
ブルに登録して以下実施形態1 と同様の処理によりパケ
ットのフィルタリング処理を行う。
施形態2 に於いて図4 のステップ62の処理でセションフ
ィルタリングテーブルによりフィルターされ、ステップ
63でパケットが破棄された場合に、その破棄履歴を記
憶管理する図9 の様な破棄パケットテーブルをフィルタ
リング装置 20 に設け、図4 のステップ65処理により破
棄したパケットのセション開設元アドレス 90 をこの破
棄パケットテーブルに登録し、破棄回数 91 をカウント
管理する事により、不正アクセス端末への警告などの管
理を行う事が出来る。本ケース例では、b が開設元アド
レスである。
化は有意義であるが、中には秘密情報、プライバシー保
護を必要とする情報など第三者から保護したいという事
が度々起こるが、本発明は、この様なネットワーク上の
セキュリティ機能の必要性から生まれたもので、外部ヘ
のアクセスは堅持しつつ、外部からの侵入を防御・管理
し情報の安全を守りたい場合等に活用される。
各種プロトコルへの対応が可能となり著しい工業的効果
が期待出来る。
ト
ト
ケット伝送 30、31 パケット 40〜45 動作ステップ 50〜55 動作ステップ 60〜65 動作ステップ 80 送信元アドレス 81 受信先アドレス 82 セション開始識別情報 90 破棄パケットセション開設元アドレス 91 破棄回数 121 フィルタリング手段
Claims (4)
- 【請求項1】 ネットワーク上の通信端末間に置かれた
フィルタリング機能を有する中継装置に於いて、両通信
端末間の通信をフィルタリングすることを、該通信端末
アドレスによるセション開設方向で規定する定義手段
と、該中継装置に入力されたパケットから該セション開
設方向を認識し、これを記憶管理するセション管理手段
と、セション開設後の通信について、前記セション管理
手段と前記定義手段とによりフィルタリングの是非を決
めるフィルタリング手段とを備えたことを特徴とする中
継装置。 - 【請求項2】 請求項1 記載の中継装置に於いて、セシ
ョン開設と方向の認識手段として、セションが切断され
ている状態に於いて、パケット内アドレスの組が逆向き
の二つのパケットで、両パケットの通過時刻の差が一定
時間内の場合、後に通過の逆向きパケットを応答パケッ
トと認識し、初めのパケットの通過方向にセション開設
したと見做すことを特徴とする中継装置。 - 【請求項3】 請求項2 記載の中継装置に於いて、セシ
ョン開設と方向の認識手段として、セション開始制御パ
ケットで認識することを特徴とする中継装置。 - 【請求項4】 請求項2 又は請求項3 記載の中継装置に
於いて、フィルタ(破棄) したパケットのセション開設
元アドレスを記憶し、侵入の試行回数を計数する破棄パ
ケット管理手段を追加保持したことを特徴とする中継装
置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP28965795A JP3593762B2 (ja) | 1995-11-08 | 1995-11-08 | 中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP28965795A JP3593762B2 (ja) | 1995-11-08 | 1995-11-08 | 中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH09135271A true JPH09135271A (ja) | 1997-05-20 |
JP3593762B2 JP3593762B2 (ja) | 2004-11-24 |
Family
ID=17746073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP28965795A Expired - Lifetime JP3593762B2 (ja) | 1995-11-08 | 1995-11-08 | 中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3593762B2 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1070570A (ja) * | 1996-08-27 | 1998-03-10 | Nippon Telegr & Teleph Corp <Ntt> | パケット処理装置 |
JP2000209263A (ja) * | 1999-01-11 | 2000-07-28 | Sanyo Electric Co Ltd | デジタル放送受信機におけるtsデ―タフィルタリング回路 |
JP2003008662A (ja) * | 2001-06-22 | 2003-01-10 | Furukawa Electric Co Ltd:The | ネットワークアクセス制御方法、その装置およびその装置を用いたネットワークアクセス制御システム |
JP2004282786A (ja) * | 1997-07-11 | 2004-10-07 | Toshiba Corp | ルータ装置及びラベルスイッチングパスの設定方法 |
JP2004535096A (ja) * | 2001-04-11 | 2004-11-18 | サフェイ カンパニー リミテッド | 外部からのアクセスを規制するための方法およびシステム |
JP2006135963A (ja) * | 2004-11-08 | 2006-05-25 | Samsung Electronics Co Ltd | 悪性コード検出装置及び検出方法 |
JP2007221240A (ja) * | 2006-02-14 | 2007-08-30 | Nippon Telegr & Teleph Corp <Ntt> | パケット通過制御装置及びパケット通過制御方法 |
JP2012060231A (ja) * | 2010-09-06 | 2012-03-22 | Nec Corp | リモートアクセスシステム、サーバ、リモートアクセス方法 |
JP2017212705A (ja) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | 通信制御装置、通信システム、通信制御方法、及びプログラム |
JP2017220819A (ja) * | 2016-06-08 | 2017-12-14 | 良作 松村 | 不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム |
-
1995
- 1995-11-08 JP JP28965795A patent/JP3593762B2/ja not_active Expired - Lifetime
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1070570A (ja) * | 1996-08-27 | 1998-03-10 | Nippon Telegr & Teleph Corp <Ntt> | パケット処理装置 |
JP2004282786A (ja) * | 1997-07-11 | 2004-10-07 | Toshiba Corp | ルータ装置及びラベルスイッチングパスの設定方法 |
JP2000209263A (ja) * | 1999-01-11 | 2000-07-28 | Sanyo Electric Co Ltd | デジタル放送受信機におけるtsデ―タフィルタリング回路 |
JP2004535096A (ja) * | 2001-04-11 | 2004-11-18 | サフェイ カンパニー リミテッド | 外部からのアクセスを規制するための方法およびシステム |
JP2003008662A (ja) * | 2001-06-22 | 2003-01-10 | Furukawa Electric Co Ltd:The | ネットワークアクセス制御方法、その装置およびその装置を用いたネットワークアクセス制御システム |
JP2006135963A (ja) * | 2004-11-08 | 2006-05-25 | Samsung Electronics Co Ltd | 悪性コード検出装置及び検出方法 |
JP2007221240A (ja) * | 2006-02-14 | 2007-08-30 | Nippon Telegr & Teleph Corp <Ntt> | パケット通過制御装置及びパケット通過制御方法 |
JP2012060231A (ja) * | 2010-09-06 | 2012-03-22 | Nec Corp | リモートアクセスシステム、サーバ、リモートアクセス方法 |
JP2017212705A (ja) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | 通信制御装置、通信システム、通信制御方法、及びプログラム |
JP2017220819A (ja) * | 2016-06-08 | 2017-12-14 | 良作 松村 | 不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3593762B2 (ja) | 2004-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101040497B (zh) | 防火墙***和防火墙控制方法 | |
CN1656731B (zh) | 基于多方法网关的网络安全***和方法 | |
US6741171B2 (en) | System for transmitting and verifying alarm signals | |
US8402538B2 (en) | Method and system for detecting and responding to harmful traffic | |
US8724466B2 (en) | Packet filtering | |
JP6674007B1 (ja) | 車載通信装置、通信制御方法および通信制御プログラム | |
CN101136922A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、*** | |
KR100624483B1 (ko) | 네트워크에서의 차등 침입탐지 장치 및 방법 | |
JP2002073433A (ja) | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 | |
KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
JPH09135271A (ja) | 中継装置 | |
JPH10271154A (ja) | 不正アクセス防止方法およびシステム | |
US20020138627A1 (en) | Apparatus and method for managing persistent network connections | |
JP3581345B2 (ja) | パケット転送装置およびパケット転送方法 | |
JP3607410B2 (ja) | セキュリティー機能を有するルータ | |
CN105897711A (zh) | 一种将工业控制***与管理网络进行隔离的*** | |
CN109889552A (zh) | 电力营销终端异常流量监控方法、***及电力营销*** | |
JP2004164107A (ja) | 不正アクセス監視システム | |
CN114900377A (zh) | 一种基于诱导数据包的违规外联监测方法及*** | |
JP2002164899A (ja) | ネットワーク監視方法および装置 | |
JPH09270813A (ja) | パケットフィルタ機能付きルータ装置 | |
JP2001077857A (ja) | フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 | |
KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
JP3947138B2 (ja) | DDoS防御方法及びDDoS防御機能付きルータ装置 | |
US20180241770A1 (en) | Communication system and repeater |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040525 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040810 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040823 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080910 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080910 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090910 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090910 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100910 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100910 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110910 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120910 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120910 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 9 |
|
EXPY | Cancellation because of completion of term |