WO2006041080A1 - ファイアウォールシステム及びファイアウォール制御方法 - Google Patents

Abstract

　モバイルネットワークによる通信が運用される状況において、パケットフィルタリングと不正アクセス検知を適切に実行可能にする。 　ホームエージェント４０４Ａは、呼制御中継サーバ４０３Ａの呼制御により得られるＩＰアドレス、ポート番号、メディアタイプを取得してファイアウォール７００に通知する。ファイアウォール７００のパケットフィルタリング装置４００は、ＩＰアドレスとポート番号の組で特定されるＩＰパケットを通過させるようにパケットフィルタリングを行う。また、不正アクセス監視装置７０１は、メディアタイプ毎に予め定義した正常アクセス判定条件の中から該当するメディアタイプの情報を取り出し、この正常アクセス判定条件に基づいてパケットを監視し、正常アクセスから逸脱するものを不正アクセスとして検知する。

Description

明 細 書

ファイアウォールシステム及びファイアウォール制御方法

技術分野

[0001] 本発明は、モパイル IP等のモパイルネットワークによる通信が運用されるネットヮー クにおいてファイアウォールを動的に制御するファイアウォールシステム及びファイア ウォール制御方法に関する。

背景技術

[0002] 企業、大学、家庭などでは、インターネット等の不特定多数の端末力 アクセス可 能なネットワークに接続する場合、内部のネットワークに対して、外部ネットワークから 行われる攻撃を防ぐ必要がある。このため、従来より、内部ネットワークと外部ネットヮ ークとの間にファイアウォールを設置することが行われている。

[0003] ファイアウォールは、一般に、不正アクセス検知装置とパケットフィルタリング装置と により構成される。不正アクセス検知装置は、外部ネットワーク力 攻撃が行われたり

、内部ネットワークと外部ネットワークとの間で不正アクセスの兆候が観測されたりした 場合に、ネットワークの管理者等に通知する装置である。

[0004] パケットフィルタリング装置は、内部ネットワークと外部ネットワークで行われる通信 のうち、必要な通信に用いられるパケットのみを通過させ、それ以外のパケットを通過 させない装置である。

[0005] (不正アクセス検知装置の手法）

不正アクセス検知装置は、攻撃者が行う攻撃や不正アクセスを、パケットの一連の 流れを監視することで検知する。この攻撃や不正アクセスを検知する手法は、次の 2 つに大別できる。

(1)監視するパケットシーケンスが不正アクセスの兆候を示すことを検知する。

(2)監視するパケットシーケンスが正常アクセスを逸脱することを検知する。

[0006] このうち後者は、正常アクセス以外の動作を検知できるので不正アクセスの検知の 精度を高くできることが期待される手法である。しかし、多種の通信が行われる環境 にお 、て正常アクセスを規定し、データベース化することが難 、と 、う事情がある。 [0007] このため、前者の方法を限られた対象に限定して運用されることが多い。例えば、 特定の内部の端末の複数のポートに対するパケットを送ることによって、そのポート上 でサービスが立ち上がっているかどうか外部ネットワーク側から調査するポートスキヤ ンを不正アクセスの兆候として検知して通知するという方法が運用されてきた。しかし 、この方法は、不正アクセスの兆候の情報を不正アクセスの手法毎に、不正アクセス 検知システムに登録する必要があるため、新たな攻撃方法を検知しづら 、と 、う欠点 がある。

[0008] なお、後者に属するものとして以下の技術が提案されている。

(2A)外部ネットワーク力も通信データを受信し、この通信データが正常である場合 にのみサーバに転送する通信中継制御部と、サーバが意図したサービスの提供に 寄与する通信データの条件を、正常な通信データの特徴情報として、一種類または 複数種類格納する正常アクセス情報格納部と、この正常アクセス情報格納部から特 徴情報を読み出して通信中継制御部が受信した通信データと比較し、これらの特徴 情報をすベて満たす通信データのみを正常であると判断する正常アクセス識別部と 、を備える不正アクセス遮断システム (特許文献 1参照)。

[0009] (2B)通信ネットワークを介して外部力 行われるアクセスを正常アクセスとして受容 するためのプロトコル仕様及び Z又はアクセスポリシーを、対象となる通信システム又 は通信システムグループ毎に定めておき、通信ネットワークを流通する伝送情報の中 力も通信システム又は通信システムグループ宛ての伝送情報を捕獲するとともに、捕 獲した伝送情報の中力 プロトコル仕様及び Z又はアクセスポリシーに適合しない伝 送情報を不正アクセスの蓋然性がある伝送情報として特定する過程を含む、通信ネ ットワークにおけるアクセス種別を判定する方法 (特許文献 2参照)。

[0010] (パケットフィルタリング装置の方式）

パケットフィルタリング装置は、内部ネットワークと外部ネットワークで行われる通信 のパケットが、あらかじめ定められたルールに従っている場合は通過させ、ルールに 従っていない場合は通過させないようにする。このルールは、例えば、「特定のホスト 力ものアクセスを許可する」と力 「内部ネットワークから外部ネットワークへの http (H yperText Transfer Protocol)アクセスを許可する」と力、「内部ネットワークから外部ネ ットワークへの ftp (File Transfer Protocol)が起動された場合、外部ネットワークから 内部ネットワークへの特定ポートへの ftpのアクセスを許可する」と!、つた内容を表す ルールである。パケットフィルタリング装置は、これらのルールに適合するパケットの みを通過させ、それ以外のパケットを通過させないという動作を行うことで、外部ネット ワークから内部ネットワークへの攻撃や不正アクセスを防御する。

[0011] パケットフィルタリング装置力 パケットの通過を制御する単位としては、主に、 IPァ ドレス単位と IPアドレスとポート番号の組の単位が用いられる。

[0012] IPアドレス単位の制御は、外部ネットワークの特定端末と内部ネットワークの特定端 末との間で送受されるすべてのパケットを通過させるルールで実現できる。具体的に は、外部ネットワークにダイヤルアップやホットスポットを用いて接続したパソコンの IP アドレスを 202.123.12.1、内部ネットワークの電子メールサーバの IPアドレスを 202.32. 21.1とした場合、このパソコン力 電子メールサーバへの通信のパケットを許可するル ールは、 "Allow 202.123.12.1 202.32.21.1",のように記述できる。このルールにおい て、 Allowは通過を許可することを、 202.123.12.1は送信元 IPアドレスを、 202.32.21.1 は宛先 IPアドレスを表す。パケットフィルタリング装置は、このルールに適合するパケ ットをすベて通過させる。このように送信元 IPアドレスと宛先 IPアドレスの組で特定さ れるパケットを通過させたり、通過させなかったりする制御を IPアドレス単位の制御と 呼ぶ。

[0013] IPアドレスとポート番号の組の単位の制御は、外部ネットワーク上の特定の端末の 特定ポートから送信されるデータが、内部ネットワーク上の特定の端末のアプリケー シヨンが待ち受けている特定ポートへ通過することを許可するルールで実現できる。 例えば、外部ネットワーク上の IP電話端末の IPアドレスを 202.123.12.2、この端末で 音声データを送信するアプリケーションが起動されて 、るポート番号を 12345とし、内 部ネットワークの IP電話端末の IPアドレスを 202.32.21.2、この端末で音声データを受 信するアプリケーションが起動されているポート番号を 23456とする。この場合、この音 声データの通過を許可するルールは、 "Allow 202.123.12.2 12345 202.32.21.2 2345 6"のように記述できる。このルールにおいて Allowは許可することを、 202.123.12.2、 1 2345、 202.32.21.2、 23456は、それぞれ、送信元 IPアドレス、送信元ポート番号、宛先 IPアドレス、宛先ポート番号を表す。パケットフィルタリング装置は、このルールに適合 するパケットをすベて通過させる。このように、送信元 IPアドレス、送信元ポート番号、 宛先 IPアドレス、宛先ポート番号の組で特定されるパケットを通過させたり、通過させ なかったりする制御を IPアドレスとポート番号の組の単位の制御と呼ぶ。

[0014] 外部ネットワークから内部ネットワークへ攻撃を行う場合、特定端末を乗っ取り、この 端末から内部ネットワークの端末への攻撃を行う手法などがよく用いられる。この場合

、パケットフィルタリング装置において、 IPアドレス単位の制御が行われていると、乗つ 取った特定端末から内部ネットワークの端末上のすべてのサービス (アプリケーション

)に対するアクセスが可能となるため、望ましくない。つまり、 IPアドレスとポート番号の 組の制御を行ったほうが、攻撃の範囲を小さくすることができるので、より望ましい。

[0015] しかしながら、送信元 IPアドレス、送信元ポート番号、宛先 IPアドレス、宛先ポート 番号の組は、通信が確立する時点で端末同士の間ではじめて明らかになる情報であ るため、パケットフィルタリグ装置のようにネットワークの中間に位置する装置が IPアド レスとポート番号の組の情報を容易に取得することはできな力つた。

[0016] このような不具合に対して、通信を確立するための呼制御を中継するサーバを用い て、これらの情報を取得する方法が知られている（例えば、特許文献 3及び特許文献 4参照)。以下に呼制御中継サーバにつ 1、て説明する。

[0017] (呼制御中 «Iサーバ）

特定の端末間で通信を確立する呼制御として、 SIP (Session Initiation Protocol)に よる通信制御がある。 SIPでは、通信を確立させたる 2台以上複数の端末間で、特定 のメディアの配送に用いる IPアドレスとポート番号や、コーデック（CODEC)種別、帯 域等の調整を行うための制御メッセージの書式とシーケンスが定義されている。この SIPの運用にお 、て、特定の組織に属する端末が送受する呼制御のシーケンスをす ベて中継する呼制御中継サーバを設置する方法がある。

[0018] 図 21は、内部ネットワークに設置された内部端末と外部ネットワークに設置された 外部端末と力 呼制御中継サーバを用いて通信を確立するための呼制御のシーケ ンス（INVITEシーケンス）を示したものである。図中の制御メッセージに付記されて！ヽ る INVITE, TRYING, RINGING, OK, ACKは、 SIPで定義されている制御メッセージ を表している。これらの制御メッセージを交換することで、確立する通信で用いる IPァ ドレスとポート番号や、メディアタイプ、 CODEC,帯域等の情報を端末間で調整し、端 末間で通信の確立をすることが可能となる。

[0019] 例えば、図 21のシーケンスで音声通信を確立する場合、制御メッセージに次のよう な情報を含めることで、送信元 IPアドレスと送信元ポート番号、あるいは宛先 IPァドレ スと宛先ポート番号を確定させる。

m= audio 49170 RTP/AVP 0

c = IN IP4 224.2.17.12

なお、この記述方式は、 SDP (Session Description Protocol)としてインターネット関 係のプロトコルを標準化する団体である IETFで標準化された記述方式である。 m = の行は、メディアに関する情報を示す。 Audioはメディアタイプ、 49170はポート番号、 RTP/AVP 0はトランスポートとペイロードの形式をしめす。 c =の行は、接続にする情 報を示す。 INはインターネット、 IP4は、 IPv4であること、 224.2.17.12は、接続に用いる I Pアドレスを示す。

[0020] 図 21において、呼制御中継サーバが ACKを受信した時点で、送信元 IPアドレス、 及び宛先 IPアドレスと宛先ポート番号の情報を知ることができる。

[0021] 呼制御中継サーバは、この送信元 IPアドレス、宛先 IPアドレス、宛先ポート番号を 組みとした情報を用いて、パケットフィルタリング装置を制御することができる。この方 法を、呼制御中継サーバを使ったパケットフィルタリング装置制御方法と呼ぶ。しかし 、この方法は、次に説明するモノ ィル IP環境で利用できないという事情があった。

[0022] (モパイル IP環境）

モパイル IPとは、移動もしくはネットワーク力も切断、再接続することにより IPアドレス が変化する状況にぉ 、て、ひとたび確立した通信を切断することなく継続させること を実現する技術である。モパイル IPは、 IETFで標準化が行われプロトコルの詳細は 、 RFC3775(IPv6)、 RFC3344(IPv4)で規定されている。

[0023] 図 22は、モパイル IPの動作を説明したものである。図 22の構成において、移動端 末（モパイル端末、 MN (Mobile Node)ともいう） 201、移動管理を行うサーバであるホ ームエージェント（HA(Home Agent)ともいう） 202、ホームエージェント 202が接続さ れるホームネットワーク 205、外部にある外部端末（CN(Correspondent Node)ともいう ) 203、外部ネットワーク 204、外部ネットワークに接続された特定のネットワーク (移 動先ネットワーク） 206、パケットフィルタリング装置等を備えたファイアウォール 207、 ルータ 208, 209を有する。

[0024] 移動端末 201には、ホームネットワーク 205上の IPアドレス、例えば 2001:300:c01::

2/64が付与されており、このアドレスをホームアドレスと呼ぶ。移動端末 201がホーム ネットワーク 205に接続した状態で、外部端末 203と通信を確立する。この通信を確 立した状態で、移動端末 201が特定ネットワーク (移動先ネットワーク） 206に移動す ることを想定する。移動端末 201が特定ネットワーク (移動先ネットワーク） 206に移動 した場合に付与される IPアドレスを例えば 2001:300:c01:beef::2/64とする。このアドレ スを移動端末 201の気付けアドレスと呼ぶ。移動端末 201と外部端末 203との間で 確立されていた通信を継続するためには、外部端末 203から 2001:300:c01::2 (ホー ムアドレス =旧気付けアドレス)宛に送信されるパケットを新たな気付けアドレス宛に 送信しなおす必要がある。モパイル IPでは、移動端末 201が移動し、新たな気付け アドレスを取得した場合、移動端末 201がホームエージェント 202及び外部端末 203 に IPアドレスの対応関係を通知する。この IPアドレスの対応関係、すなわち「移動端 末 201の気付けアドレスが 2001:300:c01::2から 2001:300:c01:beef::2に変更になった 」と 、う通知を BU (Binding Update)メッセージと呼ぶ。

[0025] 外部端末 203がモパイル IPに対応して ヽな 、場合、移動端末 201宛のパケットは ホームアドレスに向けて送信される。ホームアドレスに向けて送信されたパケットは外 部ネットワーク 204を経由してホームネットワーク 205まで届けられる。ホームネットヮ ーク 205に届けられたパケットは、ー且ホームエージェント 202が受信する。ホームェ ージェント 202は、ー且受信したパケットを、移動端末 201の気付けアドレスに配送す ることで移動端末 201までパケットを届ける。なお、移動端末 201から外部端末 203 へのパケットは、この逆順 (移動端末 201→ホームエージェント 202→外部端末 203) に届けられる。

[0026] 外部端末 203がモパイル IPに対応している場合、移動端末 201宛のパケットは直 接、気付けアドレスに対して配送される。このようにして、移動端末 201に届けられた パケットは、特定のアプリケーションに届けられる。つまり、移動端末 201が外部端末 203と移動前に確立した通信は、移動端末 201が移動した後にでも継続的に行うこ とがでさる。

[0027] し力し、このモパイル IPが運用されている状況では、移動端末 201の IPアドレス（気 付けアドレス）が変わってしまう。このため、パケットフィルタリング装置に移動端末 20 1が移動する前に設定されたルールは、移動端末 201が移動後には適用できなくな るという不具合があった。

[0028] 従来、この不具合に対して、移動端末 201が移動した場合に、移動端末 201からホ ームエージェント 202に送付される BUメッセージに含まれる情報を用いて、パケット フィルタリング装置を制御する方法があった (特許文献 5参照)。

[0029] 図 23は、この従来方式の構成を説明したものである。図 23の構成において、第一 の移動端末 301、第二の移動端末 302、ホームエージェント 303、ファイアウォール 管理ホスト 304、パケットフィルタリング装置 305、外部ネットワーク（インターネット） 30 6、 ISP (インターネットサービスプロバイダ） 307、 ISP307の認証サーノ 308を有す る。

[0030] ここでは、第一の移動端末 301を外部ネットワークに持ち出し、第一の移動端末 30 1から内部ネットワークの第二の移動端末 302に接続する状況を想定して 、る。第一 の移動端末 301をダイヤルアップ等で特定の ISP307経由で外部ネットワークに接 続する。この際、 ISP307の認証サーバ 308がユーザ情報を第一の移動端末 301に 送り、第一の移動端末 301はユーザ情報を、ファイアウォール管理ホスト 304に送付 する。ファイアウォール管理ホスト 304は、ユーザ情報が正当なものである場合、第一 の移動端末 301とホームエージェント 303間の通信が可能となるようにファイアウォー ル上のパケットフィルタリング装置 305の設定を変更する。この一連の動作を行うこと で、第一の移動端末 301がホームエージェント 303を経由して第二の移動端末 302 と通信することを可能とする。すなわち、モパイル IPが運用されている状況で、動的な パケットフィルタリング装置 305の制御を実現している。

[0031] 特許文献 1 :特開 2004— 38557号公報

特許文献 2 :特開 2001—313640号公報 特許文献 3：特開 2003 - 229893号公報

特許文献 4：特開 2003— 229915号公報

特許文献 5：特開平 10— 70576号公報

発明の開示

発明が解決しょうとする課題

[0032] しかしながら、図 23に示した従来方式においては、パケットフィルタリング装置 305 力 IPアドレスとポート番号の組でアクセス制限できないため、攻撃者は、第一の移 動端末 301を乗っ取った場合、ホームエージェント 303及び第二の移動端末 302の すべてのサービスへの攻撃が可能となるという問題があった。

[0033] また、従来方式を適用できるのは、第一の移動端末 301を持ち出した場合のみで あり、外部ネットワーク上の外部端末からの通信を開設する枠組みがない。つまり、内 部ネットワークのネットワーク管理者等が承認した正当な通信を開設する仕組みが提 供されていない。

[0034] また、従来方式でアクセスを許可した通信の不正アクセスを監視する場合、第一の 外部端末 301と第二の移動端末 302の間で様々な通信が行われる可能性があるた め、監視するパケットシーケンスが正常アクセスを逸脱することを検知する方式は利 用できず、監視するパケットシーケンスが不正アクセスの兆候を示すことを検知する 方式で監視せざるを得ない。このため、未知の攻撃を検知しづらいという問題があつ た。

[0035] 本発明は、上記事情に鑑みてなされたもので、モパイルネットワークによる通信が運 用されて!、る状況にお!、ても、アドレスとポート番号の組単位でパケットフィルタリング を行ってより狭 、範囲の通信のみを透過させること、および内部ネットワークの移動端 末力 外部のネットワークに移動したときのみならず、外部のネットワークに接続され た他の端末力 内部ネットワークの端末に通信を開設することが可能なファイアゥォ ールシステム及びファイアウォール制御方法を提供すること目的とする。

[0036] また、本発明は、メディアタイプで特定される通信のパケットシーケンスを監視し、メ ディアタイプ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しな Vヽ不正アクセスを検知することで、未知の攻撃を検知することが実質的に可能なファ ィァウォールシステム及びファイアウォール制御方法を提供すること目的とする。 課題を解決するための手段

[0037] 本発明のファイアウォールシステムは、外部ネットワークと内部ネットワークとの間の 通信を制御するファイアウォールシステムであって、前記外部ネットワークまたは前記 内部ネットワークに接続される端末間の通信を確立するための呼制御シーケンスを 中継する呼制御中継部と、前記端末の移動またはネットワークへの再接続によって 変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部と、前 記呼制御中継部から得られる通信に用いる端末のアドレス及びポート番号の情報と 、前記アドレス対応情報管理部力 得られるアドレスの新旧対応関係の情報とに基 づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィルタ リング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、前 記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるバケツ トを通過させるパケットフィルタリング部とを備えるものである。

[0038] これにより、呼制御中継部力 得られる通信に用いる端末のアドレス及びポート番 号の情報と、アドレス対応情報管理部力 得られるアドレスの新旧対応関係の情報と に基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行う ことができる。したがって、モパイルネットワークによる通信が運用されている状況にお いても、アドレスとポート番号の組単位でパケットフィルタリングを行うことができ、ネット ワーク管理者等が承認した正当な通信のみを透過させることが可能となる。

[0039] また、本発明の一態様として、上記のファイアウォールシステムであって、前記呼制 御中継部は、他の信頼できる呼制御中継部の情報を保持する中継部情報保持部を 有し、前記フィルタリング制御部は、前記他の呼制御中継部を経由して確立される端 末間の通信におけるアドレス及びポート番号の情報を取得し、このアドレスとポート番 号との組によるフィルタリング条件を設定するものとする。

[0040] これにより、他の呼制御中継部を経由して確立される通信に対しても、信頼できる 呼制御中継部からの情報に基づ 、てアドレスとポート番号の組単位でパケットフィル タリングを行うことができる。

[0041] また、本発明の一態様として、上記のファイアウォールシステムであって、前記フィ ルタリング制御部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少 なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から 得られるアドレスの情報が変更された場合は、最新のアドレスとポート番号との組によ るフィルタリング条件を設定するものとする。

[0042] これにより、端末が移動してアドレスが変更された場合でも、動的にアドレス情報の 対応付けを行 、、最新のアドレスに対応したアドレスとポート番号の組単位でパケット フィルタリングを動的に制御することが可能となる。

[0043] また、本発明の一態様として、上記のファイアウォールシステムであって、前記通信 のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条 件格納部と、前記呼制御中継部力 得られる通信に用いる端末のアドレス、ポート番 号、及びメディアタイプの情報と、前記アドレス対応情報管理部力 得られるアドレス の新旧対応関係の情報と、前記正常アクセス判定条件格納部力 得られる正常ァク セス判定条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しな い場合は不正アクセスとして検知する不正アクセス検知部とを備えるものである。

[0044] これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパ ケットのみファイアウォールを通過させ、さらにこのパケットを監視し、通信のメディアタ イブ毎に定義した正常アクセス判定条件に基づいて正常アクセスに適合しない不正 アクセスを検知することが可能となる。

[0045] また、本発明の一態様として、上記のファイアウォールシステムであって、前記不正 アクセス検知部は、内部ネットワーク上の端末または外部ネットワーク上の端末の少 なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管理部から 得られるアドレスの情報が変更された場合は、最新のアドレスの情報によって正常ァ クセス判定条件の判定を行うものとする。

[0046] これにより、端末が移動してアドレスが変更された場合でも、動的にアドレス情報の 対応付けを行 、、最新のアドレスに対応した正常アクセス判定条件に基づ 、て不正 アクセスを検知することが可能となる。

[0047] また、本発明の一態様として、上記のファイアウォールシステムにおけるパケットフィ ルタリング装置であって、前記呼制御中継部力 得られる、通信に用いる端末のアド レス及びポート番号の情報と、前記アドレス対応情報管理部力 得られるアドレスの 新旧対応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を 許可するパケットのフィルタリング条件として、アドレスとポート番号との組を設定する フィルタリング制御部と、前記アドレスとポート番号との組を含むフィルタリング条件に 基づいて特定されるパケットを通過させるパケットフィルタリング部とを備えるものを提 供する。

[0048] 本発明のパケットフィルタリング装置は、外部ネットワークと内部ネットワークとの間の 通信を制御するファイアウォールシステムのパケットフィルタリング装置であって、前 記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確立す るための呼制御シーケンスを中継する呼制御中継部から得られる、通信に用いる端 末のアドレス及びポート番号の情報と、前記端末の移動またはネットワークへの再接 続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情報 管理部から得られるアドレスの新旧対応関係の情報とに基づき、内部ネットワークと 外部ネットワークとの間で通過を許可するパケットのフィルタリング条件として、ァドレ スとポート番号との組を設定するフィルタリング制御部と、前記アドレスとポート番号と の組を含むフィルタリング条件に基づいて特定されるパケットを通過させるパケットフ ィルタリング部とを備えるものである。

[0049] これにより、呼制御中継部力 得られる通信に用いる端末のアドレス及びポート番 号の情報と、アドレス対応情報管理部力 得られるアドレスの新旧対応関係の情報と に基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行う ことが可能となる。

[0050] また、本発明の一態様として、上記のファイアウォールシステムにおける不正ァクセ ス検知装置であって、前記通信のメディアタイプ毎に定義した正常アクセス判定条件 を格納する正常アクセス判定条件格納部と、前記呼制御中継部力 得られる、通信 に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレス対 応情報管理部から得られるアドレスの新旧対応関係の情報と、前記正常アクセス判 定条件格納部から得られる正常アクセス判定条件とに基づき、通過するパケットが前 記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する不正ァク セス検知部とを備えるものを提供する。

[0051] 本発明の不正アクセス検知装置は、外部ネットワークと内部ネットワークとの間の通 信を制御するファイアウォールシステムの不正アクセス検知装置であって、前記通信 のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常アクセス判定条 件格納部と、前記外部ネットワークまたは前記内部ネットワークに接続される端末間 の通信を確立するための呼制御シーケンスを中継する呼制御中継部力も得られる、 通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記端末の 移動またはネットワークへの再接続によって変更される端末のアドレスの新旧対応関 係を管理するアドレス対応情報管理部から得られるアドレスの新旧対応関係の情報 と、前記正常アクセス判定条件格納部から得られる正常アクセス判定条件とに基づき 、通過するパケットが前記正常アクセス判定条件に適合しな 、場合は不正アクセスと して検知する不正アクセス検知部とを備えるものである。

[0052] これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパ ケットを監視し、通信のメディアタイプ毎に定義した正常アクセス判定条件に基づ ヽ て正常アクセスに適合しない不正アクセスを検知することが可能となる。

[0053] 本発明のファイアウォール制御方法は、外部ネットワークと内部ネットワークとの間 の通信を制御するファイアウォール制御方法であって、前記外部ネットワークまたは 前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケン スを中継する呼制御中継部から、通信に用 、る端末のアドレス及びポート番号の情 報を取得するステップと、前記端末の移動またはネットワークへの再接続によって変 更される端末のアドレスの新旧対応関係を管理するアドレス対応情報管理部から、ァ ドレスの新旧対応関係の情報を取得するステップと、前記通信に用いる端末のァドレ ス及びポート番号の情報と、前記アドレスの新旧対応関係の情報とに基づき、内部ネ ットワークと外部ネットワークとの間で通過を許可するパケットのフィルタリング条件とし て、アドレスとポート番号との組を設定するステップと、前記アドレスとポート番号との 組を含むフィルタリング条件に基づいて特定されるパケットを通過させるステップとを 有するものである。

[0054] これにより、呼制御中継部力 得られる通信に用いる端末のアドレス及びポート番 号の情報と、アドレス対応情報管理部力 得られるアドレスの新旧対応関係の情報と に基づき、アドレスとポート番号との組を特定してパケットフィルタリングの制御を行う ことが可能となる。

[0055] 本発明のファイアウォール制御方法は、外部ネットワークと内部ネットワークとの間 の通信を制御するファイアウォール制御方法であって、前記外部ネットワークまたは 前記内部ネットワークに接続される端末間の通信を確立するための呼制御シーケン スを中継する呼制御中継部から、通信に用いる端末のアドレス、ポート番号、及びメ ディアタイプの情報を取得するステップと、前記端末の移動またはネットワークへの再 接続によって変更される端末のアドレスの新旧対応関係を管理するアドレス対応情 報管理部から、アドレスの新旧対応関係の情報を取得するステップと、前記通信に用 いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記アドレスの新旧 対応関係の情報と、前記通信のメディアタイプ毎に定義して正常アクセス判定条件 格納部に格納してある正常アクセス判定条件とに基づき、通過するパケットが前記正 常アクセス判定条件に適合しない場合は不正アクセスとして検知するステップとを有 するものである。

[0056] これにより、呼制御シーケンスによって確立された特定のメディアタイプの通信のパ ケットを監視し、通信のメディアタイプ毎に定義した正常アクセス判定条件に基づ ヽ て正常アクセスに適合しない不正アクセスを検知することが可能となる。

発明の効果

[0057] 本発明によれば、モパイルネットワークによる通信が運用されている状況においても 、アドレスとポート番号の組単位でパケットフィルタリングを行ってより狭 、範囲の通信 のみを透過させること、および内部ネットワークの移動端末力 外部のネットワークに 移動したときのみならず、外部のネットワークに接続された他の端末から内部ネットヮ ークの端末に通信を開設することが可能なファイアウォールシステム及びファイアゥォ ール制御方法を提供できる。また、メディアタイプで特定される通信のパケットシーケ ンスを監視し、メディアタイプ毎に定義した正常アクセス判定条件に基づ 、て正常ァ クセスに適合しな 、不正アクセスを検知することで、未知の攻撃を検知することが実 質的に可能なファイアウォールシステム及びファイアウォール制御方法を提供できる 図面の簡単な説明

圆 1]本発明の第 1の実施形態に係るファイアウォールシステムの構成を示す図 圆 2]本発明の第 1の実施形態における呼制御シーケンスを示す図

[図 3]IPアドレスの新旧対応関係を示すテーブルの構成例を示す図

[図 4]本発明の第 1の実施形態におけるフィルタリング処理のシーケンスを示す図 圆 5]第 1の実施形態に係るファイアウォールシステムの第 1運用例を示す図 圆 6]第 1の実施形態に係るファイアウォールシステムの第 2運用例を示す図 圆 7]本発明の第 2の実施形態に係るファイアウォールシステムの構成を示す図 圆 8]本発明の第 2の実施形態における呼制御のシーケンスを示す図

[図 9]本発明の第 2の実施形態における不正アクセス監視制御のシーケンスを示す 図

[図 10]本発明の第 2の実施形態における不正アクセス監視処理の手順を示すフロー チャート

[図 11]音声配送におけるパケット形式の一例を示す図

[図 12]第 2の実施形態に係るファイアウォールシステムの運用例を示す図 圆 13]第 2の実施形態の運用例におけるファイアウォールの機能構成例を示す図

[図 14]正常アクセス兆候保持テーブルの構成例を示す図

圆 15]本発明の第 3の実施形態に係るファイアウォールシステムの構成を示す図

[図 16]本発明の第 3の実施形態におけるファイアウォールシステムの要部のブロック 構成を示す図

圆 17]複数端末間でグループ通信による会議を行う際の呼制御の例を示す図 圆 18]本発明の第 3の実施形態における会議参加時のシーケンスの例を示す図

[図 19]本発明の第 4の実施形態におけるファイアウォールシステムの構成を示す図 圆 20]本発明の第 5の実施形態におけるファイアウォールシステムの構成を示す図

[図 21]呼制御中継サーバを用いた呼制御のシーケンスを示す図

[図 22]モパイル IPの動作を示す図

[図 23]従来のファイアウォールの構成例を示す図 符号の説明

10, 406, 604 外部ネットワーク

11, 110, 140, 403, 403A, 503, 608 呼制御中継サーノ

11a, 142, 812 呼制御中継部

11c フィルタリング制御要求部

12, 120, 404, 504, 602 ホームエージェント（HA)

12a, 811 IPアドレス対応情報管理部

12b フィルタリング制御指示部

13 アドレス管理サーバ

13a アドレス管理応答部

14, 402, 502, 603 外部端末（CN)

14a, 15a 呼制御処理部

15, 401, 501 内部端末

16, 407, 509 内部ネットワーク

17, 405, 130, 500, 700, 816 ファイアウォール

17b, 814 フィルタリング制御部

17c, 133, 815 パケット転送部（フィルタリング部）

111 不正アクセス監視制御要求部

121 不正アクセス監視制御指示部

131 正常アクセス規定データベース (正常アクセス判定条件格納部)

132 不正アクセス検知部

134 不正アクセス報知部

141 許可 SIPサーバリスト保持部

400, 505, 607 ノ ケットフィルタリング装置

506 不正アクセス検知装置

508 宅内ルータ

601 移動端末 (MN)

701 不正アクセス監視装置 702 フィルタリング及び検査制御部

703 パケット検査部

704 ノ ケッ卜フィルタリング部

705 正常アクセスパターン記憶部（正常アクセス判定条件格納部）

706 不正アクセス兆候通知部

800 IP携帯電話

発明を実施するための最良の形態

[0060] (第 1の実施形態）

[0061] 図 1は本発明の第 1の実施形態に係るファイアウォールシステムの構成を示す図で ある。第 1の実施形態は、モノィルネットワークとしてモパイル IPによるデータ通信が 運用されるネットワークにおいて、パケットフィルタリング装置を動的に制御する構成 を示したものである。図 1の構成において、企業等のネットワークの外部にあるインタ 一ネット等の外部ネットワーク 10上に、呼制御中継サーバ 11、ホームエージェント（H A) 12、アドレス管理サーバ 13が接続されている。外部端末 14は外部ネットワーク 10 に接続されて 、る。内部端末 15は企業等の内部に設けられる内部ネットワーク 16に 接続されており、この内部ネットワーク 16と外部ネットワーク 10との間にファイアウォー ル 17が設置されている。

[0062] 図 2は本発明の第 1の実施形態における呼制御シーケンスを示す図である。この図 2は、内部ネットワーク 16における内部端末 15と外部ネットワーク 10における外部端 末 14力 呼制御中継サーバ 11を用いて通信を確立するための呼制御のシーケンス (INVITEシーケンス）を示したものである。図中の制御メッセージに付記されて 、る IN VITE, TRYING, RINGING, OK, ACKは、 SIPで定義されている制御メッセージを表 している。これらの制御メッセージを交換することで、確立する通信で用いる IPァドレ スとポート番号や、メディアタイプ、コーデック (CODEC)、帯域等の情報を端末間で 調整し、端末間で通信の確立をすることが可能となる。

[0063] 内部端末 15の呼制御処理部 15aから呼制御中継サーバ 11に対して外部端末 14 宛ての INVITE (セッション確立要求)メッセージが出されると（S 1 )、呼制御中継部 11 aはセッション確立要求の受付を意味するメッセージを呼制御処理部 15aに返送する (S 2)。呼制御中継サーバ 11の呼制御中継部 1 laはアドレス管理サーバ 13に対して 外部端末 14のアドレスを問 、合せるメッセージを送る（S3)。

[0064] アドレス管理サーバ 13のアドレス管理応答部 13aは、アドレス保持部 13bに登録さ れて 、る外部端末 14のアドレスを検索して、外部端末 14のアドレスを返答するメッセ 一ジを呼制御中継サーバ 11に送る（S4)。呼制御中継サーバ 11の呼制御中継部 1 laは、外部端末 14の呼制御処理部 14aに対して接続を要求する INVITEメッセージ を送る（S5)。外部端末 14の呼制御処理部 14aは、 INVITEメッセージを受け取ると、 RINGINGメッセージを返す（S6)。この RINGINGメッセージは、呼制御中継サーバ 11 の呼制御中継部 1 laを介して内部端末 15の呼制御処理部 15aへ送られる（S7)。

[0065] 外部端末 14が応答すると、外部端末 14の呼制御処理部 14aは OKメッセージを送 る（S8)。この OKメッセージは呼制御中継サーバ 11の呼制御中継部 11aを介して内 部端末 15の呼制御処理部 15aへ送られる（S9)。内部端末 15の呼制御処理部 15a は、 OKメッセージに対して ACKメッセージを送る（S 10)。この ACKメッセージは呼制 御中継サーバ 11の呼制御中継部 11aを介して外部端末 14の呼制御処理部 14aへ 送られる（Sl l)。

[0066] この一連の呼制御シーケンスにおいて、呼制御中継サーバ 11の呼制御中継部 11 aは、内部端末 15の呼制御処理部 15aからの ACKメッセージを受け取った時点（S1 0)で、内部端末 15と外部端末 14との間の通信に用いるアドレス (IPアドレス）とポート 番号の情報が確定するので、通信に用いる IPアドレスとポート番号の組情報をァドレ ス'ポート管理部 l ibに一時記憶させる。そして、呼制御中継サーバ 11のフィルタリン グ制御要求部 11cは、通信に用いる IPアドレスとポート番号の組情報を含むフィルタ リング制御要求メッセージをホームエージェント 12に対して供給する（S21)。これに より、フィルタリング制御処理が起動される。

[0067] 図 1に示すように、ホームエージェント 12は、 IPアドレス対応情報管理部 12aを有し ており、この IPアドレス対応情報管理部 12aによって外部端末 14の移動またはネット ワークへの再接続によって変更される IPアドレスの新旧対応関係を管理している。図 3は IPアドレスの新旧対応関係を示すテーブルの構成例である。図 3において、ホー ムアドレス欄 12a 1は、内部ネットワークの端末のホームアドレスを保持する項目であ る。また、気付けアドレス欄 12a2は、同じ端末の現在の気付けアドレスを保持する項 目である。図 1のホームエージェント 12のフィルタリング制御指示部 12bは、通信に用 いる IPアドレスとポート番号の組情報を含むフィルタリング制御要求メッセージを受け 取ると、この IPアドレスをキーとしてホームアドレス欄 12alを検索して、検索が成功す る場合、気付けアドレス欄 12a2から現在の気付けアドレスを取得する。そして、フィル タリング制御指示部 12bは、この気付けアドレスを最新の IPアドレスとして最新の IPァ ドレスとポート番号との組を特定する。その後、この最新の IPアドレスとポート番号との 組情報をファイアウォール 17へ送る。検索が成功しない場合は、フィルタリング制御 指示部 12bはフィルタリング制御要求メッセージに含まれる IPアドレスとポート番号の 組情報をファイアウォール 17へ送る。

[0068] ファイアウォール 17のパケット送信受信管理部 17aは、前記最新の IPアドレスとポ 一ト番号との組情報を受信すると、この組情報をフィルタリング制御部 17bに供給す る。フィルタリング制御部 17bは、前記最新の IPアドレスとポート番号との組情報によ つて特定される IPパケットを通過させるようにパケット転送部（フィルタリング部） 17cの パケット転送動作 (パケットフィルタリング動作)を制御する。

[0069] これにより、内部端末 15の主信号処理部 15bと外部端末 14の主信号処理部 14bと の間で、主信号 (例えば音声や画像等のデータを含むパケット）の通信が可能となる

[0070] 図 4は本発明の第 1の実施形態におけるフィルタリング処理のシーケンスを示す図 である。呼制御中継サーバ 11のフィルタリング制御要求部 11cは、通信に用いる IP アドレスとポート番号の組情報を含むフィルタリング要求をホームエージェント 12のフ ィルタリング制御指示部 12bへ送る（S51)。フィルタリング制御指示部 12bは、 IPアド レスが最新のものである力確認し、最新の IPアドレスとポート番号の組情報を含むフ ィルタリング要求をファイアウォール 17のフィルタリング制御部 17bに送る（S52)。フ ィルタリング制御部 17bは、最新の IPアドレスとポート番号の組情報力もなるフィルタリ ング情報を保持し、整合チェックを行って、フィルタリング設定指示をパケット転送部（ フィルタリング部） 17c (S53)に送る。これにより、フィルタリング条件が設定される。パ ケット転送部（フィルタリング部） 17cは、フィルタリング条件が設定されたことを示す応 答メッセージを返す（S54)。この応答メッセージは、フィルタリング制御部 17b、フィル タリング制御指示部 12bを介してフィルタリング制御要求部 11cへ送られる (S55, S5 6)。

[0071] 図 5は第 1の実施形態に係るファイアウォールシステムの第 1運用例を示す図である 。この第 1運用例のファイアウォールシステムは、内部端末 401、移動端末 (MN)で ある外部端末 402、呼制御中継部の機能を有する呼制御中継サーバ 403、アドレス 対応情報管理部の機能を有するホームエージェント (HA) 404、パケットフィルタリン グ装置 400を含むファイアウォール 405、インターネット等の外部ネットワーク 406、企 業等に設けられる内部ネットワーク 407、ルータ 408を有する。呼制御中継サーノ 0 3及びホームエージェント 404は、内部ネットワーク 407における DMZ (非武装地帯） に設置されており、外部ネットワーク 406からアクセス可能である。内部ネットワーク 40 7に接続された内部端末 401は、ファイアウォール 405、ルータ 408を介して外部ネッ トワーク 406とアクセス可能となって!/、る。

[0072] ここでは、内部端末 401が外部端末 402と通信を確立するために、呼制御中継サ ーバ 403を介して呼制御のシーケンスを交換することを想定する。また、外部端末 40 2は、移動端末 (MN)であり、外部ネットワーク 406に移動し、気付けアドレスを取得 しているちのとする。

[0073] 図 5に示すように、呼制御中継サーバ 403は、図 2に示した一連の呼制御のシーケ ンスにおいて確定した、内部端末 401の IPアドレスとポート番号、及び外部端末 402 の IPアドレスと宛先ポート番号の呼情報をホームエージェント 404に通知する。ここで 、ホームエージェント 404が呼制御中継サーノ 03から取得した内部端末 401の IP アドレスとポート番号、及び外部端末 402の IPアドレスとポート番号の呼情報は、それ ぞれ、 2001:300:c01:l::l, 12345, 2001:300:c01:l::2, 23456とする。

[0074] 一方、ホームエージェント 404は、外部端末 402がホームエージェント 404宛てに 通知したノインディングアップデート情報 (BUメッセージ）により、外部端末 402の気 付けアドレスが 2001:300:beaf::2であるという情報を取得している。それにより、外部端 末 402のホームアドレスと気付けアドレスとを対応付けて保持するとともに、外部端末 402の最新のアドレスが気付けアドレスであることを把握している。 [0075] そして、ホームエージェント 404は、パケットフィルタリング装置 400を備えるファイア ウォール 405に対して内部端末 401と外部端末 402との通信に用いられる情報を通 知する。パケットフィルタリング装置 400では、取得した IPアドレスとポート番号との組 の情報に基づき、フィルタリング条件を設定し、前記通信に用いられる IPパケットが透 過できるように、 IPアドレスとポート番号との組によってパケットの通過を制御する。

[0076] すなわち、パケットフィルタリング装置 400は、ホームエージェント 404からの情報に 基づき、（IPアドレス，ポート番号）が（2001:300:c01:l::l, 12345)と（2001:300:beaf::2, 23456)との間のパケットを透過させる。具体的には、フィルタ l(Allow 2001:300x01:1 ::1 * 2001:300:beaf::2 23456)およびフィルタ 2 (Allow 001:300:beaf::2 * 2001:300x0 1: 1::1 12345)の 2つのフィルタを設定することで設定できる。なお、送信元ポート番号 の *は、全てのポート番号を意味する記号である。ここで、ホームエージェント 404が 外部端末 402の気付けアドレスを通知するので、 2001:300:c01:l::2ではなく 2001:300 ： beaf::2との間の通信のパケットを透過させるようにパケットフィルタリング装置 400を 制御していることになる。

[0077] つまり、ホームエージェント 404は、外部端末 402から新たな BUメッセージが到達 した場合、外部端末 402の新たな気付けアドレスと内部端末 401との間の通信が可 能となり、古い気付けアドレスと内部端末 401との間で通信ができないようにパケット フィルタリング装置 400を制御する。具体的には、ホームエージェント 404は、新たな BUメッセージにより通知された外部端末 402の気付けアドレスを 2001:300:beaf::2と すると、 (2001:300:c01:l::l, 12345)と ( 2001:300:beaf::2, 23456)との間の通信を透 過させ、 (2001:300:c01:l::l, 12345)と ( 2001:300:c01:l::2, 23456)との間の通信を 遮断するようにパケットフィルタリング装置 400を制御する。

[0078] また、呼制御中継サーバ 403が、内部端末 401と外部端末 402との間の通信の終 了を検知した場合、内部端末 401または外部端末 402は呼制御中継サーバ 403経 由で通信終了の呼制御のシーケンスを実行する。そして、呼制御中継サーノ 03が 、ホームエージェント 402にその旨を通知する。通信の終了の通知を受けたホームェ ージェント 402は、それまで内部端末 401と外部端末 402の通信を確立するために 透過させて、、た IPパケットを遮断するように、パケットフィルタリング装置 400を制御す る。

[0079] なお、パケットフィルタリング装置 400が内部端末 401と外部端末 402の通信のパ ケットを監視し、通信が終了していると判断する場合に、自動的に、それまで内部端 末 401と外部端末 402の通信を確立するために透過させて 、たパケットを遮断するよ うに、パケットフィルタリング装置 400を制御することも可能である。

[0080] この第 1運用例によれば、モパイル IPによるデータ通信が運用されている状況にお V、て、 IPアドレスとポート番号の組単位で動的にパケットフィルタリングの制御を行うこ とが可能となる。

[0081] 図 6は第 1の実施形態に係るファイアウォールシステムの第 2運用例を示す図である 。第 2運用例は、内部ネットワークにおいてモパイル IPによるデータ通信が運用され る例を示している。図 6の構成において、内部のホームネットワーク 605、内部の移動 先ネットワーク 606、インターネット等の外部ネットワーク 604を有し、外部ネットワーク 604には外部端末 (CN) 603が接続されて 、る。ホームネットワーク 605と移動先ネ ットワーク 606とは、各ルータ 605R, 606Rを介して接続されている。各ルータ 605R , 606Rと外部ネットワーク 604との間にはファイアウォールとしてのパケットフィルタリ ング装置 607が設置されている。ホームネットワーク 605には、移動端末（MN) 601、 ホームエージェント（HA) 602及び呼制御中継サーバ 608が接続されて!、る。

[0082] この構成において、呼制御中継サーバ 608を介してホームネットワーク 605上の移 動端末と外部ネットワーク 604上の外部端末 603との接続が確立される。さらに、ホ ームエージェント 602を介してパケットフィルタリング装置 607のフィルタリング条件が 設定され、移動端末 601と外部端末 603との間の通信がなされている状態で、移動 端末 601が移動先ネットワーク 606へ移動する場合を想定する。

[0083] 移動端末 601は、移動先ネットワーク 606で移動先アドレス (気付けアドレス）を取 得し、この移動先アドレスをホームエージェント 602に通知する。そして、ホームエー ジェント 602は、移動端末 601の最新の IPアドレス（すなわち気付けアドレス）を含む フィルタリング要求をパケットフィルタリング装置 607へ供給し、移動先ネットワーク 60 6の移動端末 601と外部端末 603との間の通信がなされるようにパケットフィルタリン グ条件を変更させる。これにより、移動端末 601が移動した場合でも、外部端末 603 との通信を継続することができる。つまり、移動端末 601から、ホームエージェント 60 2に対して送付されるアドレスの変更通知をトリガーとして、図 4に示したフィルタリング 処理のシーケンスが実行される。これにより、呼制御中継サーバ 608からホームエー ジェント 602、ルータ 605Rを介して最新の IPアドレスとポート番号の組情報からなる フィルタリング情報がパケットフィルタリング装置 607に通知される。この結果、移動端 末 601が移動した場合でも、外部端末 603との通信を継続することが可能となる。

[0084] この第 2運用例によれば、移動端末がホームネットワーク力 移動先ネットワークへ 移動した場合でも、外部端末との通信を継続でき、かつ IPアドレスとポート番号の組 単位でパケットフィルタリングを行うことができる。

[0085] 以上説明した第 1の実施形態によれば、モノ ィル IPによるデータ通信が運用されて いる状況において、 IPアドレスとポート番号の組単位で動的にパケットフィルタリング 動作を制御することが可能となる。また、呼制御中継サーバ 11によってネットワーク 管理者等が承認した外部の端末からの通信を開設し、この端末に関する通信のパケ ットフィルタリングを行うことが可能となる。

[0086] なお、呼制御中継サーバ 11において、ネットワーク管理者等が信頼する他の呼制 御中継サーバの情報を保持する。呼制御中継サーバ 11は、内部端末と外部端末の 通信の確立のための呼制御のシーケンスを開始する際に、信頼する他の呼制御中 継サーバ経由である場合のみ、呼制御のシーケンスを行う機構を導入することができ る。例えば、ネットワーク管理者等が信頼する他の呼制御中継サーバの情報を保持 する方法としては、 URI (Unified Resource Identifier)表記で、例えば、 [email protected] pany.co.jpと表現される外部ネットワーク上の資源表記のホスト部分、すなわち sip.aco mpany.co.jp部分を複数保持する方法や、ホスト部のリストを保持する方法や、ホスト 部分の表現に正規表現を適用した sip.*.co.jpといった記述で保持する方法、あるい はホスト部のみならず URIそのものを保持する方法が利用できる。このような機構を 導入することで、ネットワーク管理者等が信頼する他の呼制御中継サーバを経由して 確立された通信のみがパケットフィルタリング装置を通過するように制御することが可 能となる。

[0087] なお、第 1の実施形態において、呼制御中継サーバ 11、ホームエージェント 12の 双方もしくはいずれかを、外部ネットワーク 10に設置する運用方法と企業等の内部ネ ットワーク 16に設置する運用方法がある。前者は、呼制御中継サーバ 11とホームェ ージェント 12の通信、ホームエージェント 12とパケットフィルタリング装置を含むフアイ ァウォール 17との通信を TLS (Transport Level Security ) ,IPSEC (IP security)等を 用いた認証 ·喑号ィ匕で保護する方法を適用することで外部ネットワーク上の他の端末 による偽装攻撃を防止し、運用することが可能となる。これにより、呼制御中継サーバ 11、ホームエージェント 12の双方もしくはいずれかを、外部ネットワーク 10に設置す る運用方法でも、呼制御中継サーバ 11、ホームエージェント 12の双方を企業等の内 部ネットワーク 16に設置する運用方法と同等に運用することが可能となる。

[0088] (第 2の実施形態）

図 7は本発明の第 2の実施形態に係るファイアウォールシステムの構成を示す図で ある。第 2の実施形態に係るファイアウォールシステムは、図 1に示した第 1の実施形 態に係るファイアウォールシステムに不正アクセス監視機能を追加したものである。フ アイァウォール 130は、正常アクセス判定条件格納部としての正常アクセス規定デー タベース 131と、不正アクセス検知部 132と、パケット転送部 133と、不正アクセス報 知部 134とを有する。呼制御中継サーバ 110は、不正アクセス監視制御要求部 111 と、呼制御中継部 11aと、アドレス 'ポート管理部 l ibとを有する。ホームエージヱント（ HA) 120は、不正アクセス監視制御指示部 121と IPアドレス対応情報管理部 12aと を有する。その他の構成は図 1に示した第 1の実施形態と同様である。

[0089] 図 8は第 2の実施形態における呼制御のシーケンスを示す図である。これは、図 2 に示した呼制御シーケンスを一部変更したものである。第 2の実施形態では、内部端 末 15の呼制御処理部 15aから呼制御中継サーバ 110の呼制御中継部 11aに ACKメ ッセージが供給された時点（S 10)で、通信に用いる IPアドレス、ポート番号、メディア タイプの各情報が確定する。呼制御中継サーバ 110の不正アクセス監視制御要求 部 111は、 IPアドレス、ポート番号、メディアタイプの各情報を含む不正アクセス監視 制御要求メッセージをホームエージェント 12に対して供給する（S22)。これにより、 不正アクセス監視制御処理が起動される。その他は第 1の実施形態と同様である。

[0090] 図 9は第 2の実施形態における不正アクセス監視制御のシーケンスを示す図である 。呼制御中継サーバ 110の不正アクセス監視制御要求部 111は、通信に用いる IPァ ドレス、ポート番号、メディアタイプの各情報が確定すると、不正アクセス監視制御要 求（IDSOntrusion Detection System)要求）をホームエージェント 120に供給する（SI 11)。ホームエージェント 120の不正アクセス監視制御指示部 121は、 IPアドレスが 最新のものであるカゝ否かを確認し、最新の IPアドレス、ポート番号及びメディアタイプ の情報を含む不正アクセス監視制御要求 (IDS要求）を不正アクセス検知部 132に 供給する（S112)。不正アクセス検知部 132は、正常アクセス規定データベース 131 力も該当するメディアの正常アクセスのパケット兆候データを取得し、正常アクセスの パケット兆候を逸脱するパケット兆候がないことを監視する。そして、逸脱するパケット 兆候がある場合には、不正アクセス報知部 134を介して不正アクセスの発生を管理 者等に例えば電子メール等で通知する（S 113)。

[0091] 図 10は本発明の第 2の実施形態における不正アクセス監視処理の手順を示すフロ 一チャートである。不正アクセス検知部 132は、正常アクセス規定データベース 131 カも該当するメディアの正常アクセスのパケット兆候データを取得する (ステップ S 12 D oそして、不正アクセス検知部 132は、パケット転送部 133によりキヤプチヤーした パケットを取得し (ステップ S122)、キヤプチヤーしたパケットの兆候（シグネチヤ）を計 算する (ステップ S123)。不正アクセス検知部 132は、該当するメディアの正常ァクセ スのパケット兆候とキヤプチヤーしたパケットの兆候とを比較し (ステップ S124)、正常 アクセスのパケットの兆候と合致しない場合は、不正アクセス報知部 134を介して不 正アクセスの発生を管理者等に通知する (ステップ S125)。そして、通信が終了する までステップ S2以降の処理が繰り返される。

[0092] なおここで、図 11に示す形式をしたパケットを正常アクセスのパケットとして検査す る際の、上記のステップ S123, 124におけるシグネチヤの計算および比較方法 (処 理関数)の実現例を説明する。図 11は音声配送におけるパケット形式の一例を示す 図である。この音声パケット（G. 711形式）における正常アクセスのパケット兆候とし て、以下の一つ以上の条件の組み合わせを用いる。（l)RTPヘッダ中のシーケンシ ャル番号が増加している（またはラップランドしている）。（2)RTPヘッダ中のタイムス タンプ値が増加して 、る（またはラップランドして 、る)。（3)ペイロード長が一定長 (G . 711では 160バイト）である。（4)過去 N個（例えば 20個）のパケットの平均到着間 隔が 20ms (20ミリ秒)である。このような正常アクセスのパケット兆候との比較を行うこ とにより、不正アクセスを検知して管理者等に通知することができる。

[0093] 図 12は第 2の実施形態に係るファイアウォールシステムの運用例を示す図である。

この運用例のファイアウォールシステムは、図 5に示した第 1の実施形態に係るフアイ ァウォールシステムの第 1運用例に不正アクセス監視機能を追加したものである。フ アイァウォール 700は、図 5に示したパケットフィルタリング装置 400と、不正アクセス 監視装置 701とを備える。また、ホームエージェント (HA) 404Aと呼制御中継サー ノ 03Aにお 、て、メディアタイプの情報取得に関する一部機能が追加されて 、る。 その他の構成は図 5に示した第 1の実施形態の第 1運用例と同様である。

[0094] ホームエージェント 404Aは、呼制御中継サーバ 403Aから通信に用いる IPァドレ スとポート番号との組及びメディアタイプを取得し、 IPアドレスの新旧対応関係に基づ V、て最新の IPアドレスとポート番号との組及びメディアタイプを特定して、最新の IPァ ドレスとポート番号との組及びメディアタイプの情報をファイアウォール 700に供給す る。 IPアドレスとポート番号との糸且及びメディアタイプの情報は、例えば、 (2001:300x0 1::1 12345 2001:300:c01::2 23456 m=audio 0 RTP/AVP 0,a=rtpmap:0 PCMU/8000 )という空白区切りの形式で与えられる。この形式において第一の項目（2001:300:c01 ::1)は送信元 IPアドレス、第二の項目（12345)は送信元ポート番号、第三の項目（20 01:300:c01::2)は宛先 IPアドレス、第四の項目（23456)は宛先ポート番号、第五の項 目（m=audio 0 RTP/AVP 0,a=rtpmap:0 PCMU/8000)はメディアタイプを示す文字列 であり、前述した SDP (Session Description Protocol)で規定される行記述をカンマ (,） で接続したものである。

[0095] 不正アクセス監視装置 701は、通信のメディアタイプが特定されると、そのメディア タイプに応じて検査動作を変更する。具体的には、前述した IPアドレスとポート番号と の組及びメディアタイプの情報のメディアタイプを示す文字列を SDPで規定される意 味で解釈する。端末間の通信が例えば IP電話であり、音声符号ィ匕方式として G. 71 1を用いる場合は、音声配送 (G. 711)のパケットの条件に適合しないときは不正ァク セスとして検知し、ネットワーク管理者等に電子メールやインスタントメッセージや IP電 話等を用いて報告する。

[0096] 図 13は第 2の実施形態の運用例におけるファイアウォールの機能構成例を示す図 である。ファイアウォール 700内のフィルタリング及び検査制御部 702は、ホームエー ジェント 404Aからメディアタイプ、 IPアドレス、ポート番号の通知を受けると、不正ァク セス検知の機能を持つパケット検査部 703に検査指示を与えるとともに、パケットフィ ルタリング部 704にフィルタ設定指示を与える。正常アクセス判定条件を格納する機 能を持つ正常アクセスパターン記憶部 705には、各メディアタイプ毎の正常アクセス 兆候 (正常アクセス判定条件）が保持されている。具体的には、以下に例示するよう な正常アクセス兆候保持テーブルで保持される。

[0097] 図 14は正常アクセス兆候保持テーブルの構成例を示す図である。図 14において、 メディアタイプ欄 705aは、メディアタイプを保持するキー項目である。兆候検査関数 へのポインタ欄 705bは、正常アクセス判定条件を格納する項目である。メディアタイ プ欄 705aには、 SDPで記述されたメディアタイプが格納されている。兆候検査関数 へのポインタ欄 705bには、パケットを検査するための関数 (処理）を起動するための 情報として、関数へのポインタとその関数に適用する引数が指定されている。

[0098] パケット検査部 703は、メディアタイプをキーにして正常アクセスパターン記憶部 70 5の正常アクセス兆候保持テーブル力 パケットを検査するための関数と引数を取得 し、この関数及び引数による処理をパケット毎に適用することで、 IPアドレス、ポート 毎にメディアの正常アクセス兆候を逸脱するパケットを監視する。不正アクセス兆候 通知部（不正アクセス報知手段） 706は、正常アクセス兆候を逸脱するパケットの発 生をネットワーク管理者等に電子メールやインスタントメッセージや IP電話等を用いて 通知する。

[0099] 上記のように対象となる通信メディア（音声、動画）が決まっているので、図 11の音 声配送におけるパケット形式の例で説明したように、メディアタイプ毎の正常アクセス のパターンは作成しやすい。例えば、音声、動画が RTP (ReaH:ime Transport Proto col)の AVPフォーマットに従うものとすれば、そのフォーマットに対応した検査ルール を作成することができる。例えば、ヘッダのデータ項目とパケット長さ等の整合性は維 持されるため、この性質を利用した正常アクセスのパターンを作成できる。 [0100] 以上説明した第 2の実施形態によれば、呼制御シーケンスにより得られる IPァドレ ス、ポート番号、メディアタイプの情報に基づいて、メディアタイプ毎に予め定義した 正常アクセス判定条件に適合するかどうかを監視し、適合しな 、場合は不正アクセス として検知してネットワーク管理者等へ通知することができる。

[0101] (第 3の実施形態）

図 15は本発明の第 3の実施形態に係るファイアウォールシステムの構成を示す図、 図 16は第 3の実施形態におけるファイアウォールシステムの要部のブロック構成を示 す図である。第 3の実施形態は、 SIPによる呼制御中継サーバ（SIPサーノ ）単位で のアクセス制御機能にグループ通信制御 SIPサーバ（MCU) 150を自動追加できる ようにしたものである。

[0102] 外部ネットワーク 10には、アドレス管理サーバ 13、外部端末 14、グループ通信制 御 SIPサーノ （MCU) 150が接続されている。呼制御中継サーバ 140及びホームェ ージェント 12は、内部ネットワーク 16における DMZ (非武装地帯）に設置されており 、外部ネットワーク 10からアクセス可能である。内部ネットワーク 16に接続された内部 端末 15は、ファイアウォール 17を介して外部ネットワーク 10とアクセス可能となってい る。呼制御中継サーバ 140は、信頼できる SIPサーバの情報を許可 SIPサーノ リスト として保持する機能を持つ許可 SIPサーバリスト保持部 141を備えている。

[0103] 図 16に示すように、呼制御中継サーバ 140は、許可 SIPサーバリスト保持部 141と ともに、呼制御中継部 142、アドレス 'ポート管理部 l lb、フィルタリング制御要求部 1 lcを有する。呼制御中継部 142は、会議の開催など、複数端末間でグループ通信を 行う際の呼び出し信号を解釈して、グループ通信制御 SIPサーバ 150を許可 SIPサ ーノ リストに追加/削除する。なお、呼制御中継サーバ 140のアドレス.ポート管理 部 l ib及びフィルタリング制御要求部 l lc、ホームエージェント 12、ファイアウォール 17の機能は図 1に示した第 1の実施形態と同様である。

[0104] 図 17は複数端末間でグループ通信による会議を行う際の呼制御の例を示す図で ある。図 17では、端末 A—1がある会議に参カ卩中に端末 B—1を参加させ、さらに端 末 B—1が端末 B— 2をこの会議に参加させる場合の呼制御を示している。この場合、 端末 A - 1がアクセスする呼制御中継サーバ A140A、端末 B - 1及び端末 B— 2が アクセスする呼制御中継サーバ B140B、この会議のグループ通信を制御するダル ープ通信制御 SIPサーバ 150が用いられる。図 17において、数字「1」「3」「5」で示さ れる矢印の通信は、例えばメディアの追加や参加者の追加などの制御に関する会議 の制御信号を表し、数字「2」「4」で示される矢印の通信は、会議の URIの通知（招待 )を示す。この例では、端末 A— l ([email protected])力も呼制御中継サーバ A140Aを介し て URIとして [email protected]を通知し、この URIが呼制御中継サーバ B140Bを介 して端末 B— 1 ([email protected])に通知され端末 B— 1が会議に参加する。同様に、この U RIが端末 B— 1から端末 B— 2 ([email protected])に通知され、端末 B— 2が参加する処理 が行われる。

[0105] 図 18は本発明の第 3の実施形態における会議参加時のシーケンスの例を示す図 である。初めの状態では、端末 A—1が会議に参加しており、端末 A— 1、呼制御中 継サーバ A140A、グループ通信制御 SIPサーバ 150の間で会議の通信制御がなさ れているとする。端末 A—1から呼制御中継サーノ A140Aに対して端末 B—1宛て に会議の URIを通知する REFERメッセージが出されると（S171)、呼制御中継サー バ A140Aは呼制御中継サーバ B140Bに対して REFERメッセージを転送する（S17 2)。そして、呼制御中継サーバ B140Bは端末 B—1に対して REFERメッセージを送 信する（S173)。端末 B— 1は、 REFERメッセージを受け取ると、会議への参加表明を 示す INVITEメッセージを返す（S 174)。呼制御中継サーバ B 140B力 NVITEメッセ ージを受け取ると、グループ通信制御 SIPサーバ 150に通知を行い（S175)、グル ープ通信制御 SIPサーバ 150により端末 B— 1との間で会議の通信制御が開始され る。これにより、端末 B— 1が会議に参加可能となる。

[0106] 呼制御中継サーバ B140Bは、 REFERメッセージを受け取った時点（S172)または I NVITEメッセージを受け取った時点（S174)で、会議の URIからグループ通信制御 S IPサーバ（MCU)を特定し、許可 SIPサーノ リスト保持部 141に信頼できる SIPサー バの情報としてグループ通信制御 SIPサーバの情報を格納する。

[0107] 以上のように第 3の実施形態によれば、グループ通信による会議の通信を制御する グループ通信制御 SIPサーバの情報を信頼できる SIPサーバの情報として追加する ことで、この追加した SIPサーバ力 得られる IPアドレス、ポート番号、メディアタイプ 等の情報に基づいてパケットフィルタリングや不正アクセス検知を行うことができる。

[0108] (第 4の実施形態）

図 19は本発明の第 4の実施形態におけるファイアウォールシステムの構成を示す 図である。第 4の実施形態は、第 1の実施形態における呼制御中継サ一ノ^ホーム エージェント (HA)、パケットフィルタリング装置を 1台の宅内ルータにおいて実現した 例を示すものである。宅内ルータ 508は、 IPv6外部ネットワーク 510A、 IPv4外部ネ ットワーク 510B、内部ネットワーク 509に接続され、端末間の通信を中継する。内部 ネットワーク 509には内部端末 501が、 IPv6外部ネットワーク 510Aには外部端末 50 2がそれぞれ接続される。宅内ルータ 508は、 IPv4 'IPv6パケット分類器 511、 IPv6 パケット処理部 512、 IPv4パケット処理部 513、 NAT機能を実現する NAT部 514、 DHCPサーバ機能を実現する DHCPS部 515等を有する。 IPv6パケット処理部 512 には、呼制御中継サーバ 503、ホームエージェント 504、パケットフィルタリング装置 5 05及び不正アクセス検知装置 506を有するファイアウォール 500、信頼する呼制御 中継サーバ情報保持部 507が設けられる。

[0109] 信頼する呼制御中継サーバ情報保持部 507は、ネットワーク管理者等が信頼する 他の呼制御中継サーバの情報を保持する。そして、呼制御中継サーバ 503は、内部 端末 501と外部端末 502間の通信の確立のための呼制御のシーケンスを開始する 際に、信頼する呼制御中継サーバ情報保持部 507に保持された呼制御中継サーバ 力 の呼制御シグナルのみを受け付けることにより、呼制御のシーケンスを実行する 。これにより、呼制御中継サーバの管理単位 (SIP管理単位)でのアクセス制御が可 能となる。このような構成にすることで、宅内ルータ 508において、モパイル IPによる データ通信が運用されている状況において、 IPアドレスとポート番号の組単位で動 的にパケットフィルタリング装置 505を制御できる。

[0110] また、 IPv6外部ネットワーク 509上の外部端末 502から内部ネットワーク 509上の 内部端末 501に対して通信を確立するシーケンスにおいて、呼制御中継サーバ 503 は、その通信で用いられるメディアタイプを取得する。そして、このメディアタイプを用 V、てメディアタイプに応じた不正アクセス検知装置 506を起動する。不正アクセス検 知装置 506においては、メディアタイプ毎に正常アクセスのパターンを規定したデー タベースがあらカゝじめ準備されている。不正アクセス検知装置 506は、呼制御中継サ ーバ 503から取得したメディアタイプの情報と正常アクセス情報のデータベースを用 いて、外部ネットワーク上の外部端末 502と内部ネットワーク 509上の内部端末 501 との間で行われる通信のパケットシーケンスを監視する。この監視において、正常な アクセスを逸脱するパケットシーケンスを検知した場合、不正アクセス検知装置 506 は、ネットワーク管理者等に電子メールや IP電話などでその旨を通知する。

[0111] このように動作することで、不正アクセス検知装置 506においてパケットシーケンス を監視して正常アクセス力もの逸脱による不正アクセスを検知することが可能になる。 さらに、正常アクセスの兆候をメディアタイプ毎に定義すればよいので、正常アクセス を規定することが容易になる。例えば、外部端末と内部端末との間の通信で用いられ る音声や動画などの配送は、予め規定された RTPのペイロード形式にしたがって配 送される。このためペイロード形式のパケット長、シーケンス番号、タイムスタンプ等の 情報を用いて正常アクセスを規定することが容易に実現できる。したがって、正常ァ クセスを逸脱することを検知する不正アクセス検知装置 506が現実的に運用可能と なる。

[0112] なお、本実施形態は、宅内ルータ 508に本発明のパケットフィルタリング装置及び 不正アクセス検知装置の制御方法を適用したものである力 同様の構成をルータ機 能やブリッジ機能を備えた携帯電話や PDA等の移動端末にも適用することが可能で ある。

[0113] 以上のように第 4の実施形態によれば、宅内ルータ等において、 IPアドレスとポート 番号の組単位での動的なパケットフィルタリングや、メディアタイプ毎に予め定義した 正常アクセス判定条件に基づき容易かつ適切な不正アクセス検知を行うことができる

[0114] (第 5の実施形態）

図 20は本発明の第 5の実施形態におけるファイアウォールシステムの構成を示す 図である。第 5の実施形態は、本発明に係るファイアウォールシステムを IP携帯電話 に適用した例である。インターネット等の外部ネットワーク 510には、アドレス管理サ ーバ 13、外部端末 14が接続される。この外部ネットワーク 510は、移動体通信キヤリ ァ網 520または無線 LAN網 530を介して IP携帯電話 800と接続可能となっている。 また、 IP携帯電話 800は PAN (Personal Area Network)網 540を介して内部端末 55 0と接続される。

[0115] IP携帯電話 800は、ルータ機能を有するもので、 RF部 801、無線 LAN— IF部 80 2、 PAN— IN部 803、 IPv4 'IPv6パケット分類器 804、 IPv4パケット処理部 805、 IP v6パケット処理部 806、主信号処理部 807、呼制御処理部 808等を有する。 IPv6パ ケット処理部 806は、 IPアドレス対応情報管理部 811、呼制御中継部 812、アドレス' ポート管理部 813、フィルタリング制御部 814及びパケット転送部（フィルタリング部） 8 15等を備えるファイアウォール 816を有する。

[0116] このような構成によって、移動端末である IP携帯電話 800内部において、呼制御中 継部 812での呼制御シーケンスにより得られる IPアドレス、ポート番号、メディアタイ プの情報と IPアドレス対応情報管理部 811による端末移動時のアドレス情報とに基 づき、フィルタリング制御部 814で IPアドレスとポート番号の組単位での動的なバケツ トフィルタリングを行う。これにより、 IP携帯電話 800において、ファイアウォール 816 を介して例えば PAN網 540内部の IP電話等の内部端末 550に対する呼のみを受け るというような制御が可能である。また、呼制御中継部 812より得られるメディアタイプ の情報を用いて、メディアタイプ毎に予め定義した正常アクセス判定条件に基づく不 正アクセス検知を行うことも可能である。

[0117] 以上のように第 5の実施形態によれば、移動端末において、 IPアドレスとポート番号 の組単位での動的なパケットフィルタリングや、メディアタイプ毎に予め定義した正常 アクセス判定条件に基づき容易かつ適切な不正アクセス検知を行うことができる。

[0118] 上述したように、本実施形態の構成を企業等の内部ネットワークとインターネット等 の外部ネットワークとの間に設置するファイアウォールシステムに適用することで、モ パイル IPによるデータ通信が運用される状況においても有用なパケットフィルタリング 機能や不正アクセス検知機能を実現可能である。また、宅内等に設けられるルータ や、内部ネットワークを含み移動可能なルータ機能を有する携帯電話や PDA等の移 動端末などにも適用可能である。

[0119] 本発明を詳細にまた特定の実施態様を参照して説明したが、本発明の精神と範囲 を逸脱することなく様々な変更や修正を加えることができることは当業者にとって明ら かである。

本出願は、 2004年 10月 12日出願の日本特許出願 (特願 2004-297872)、 に基づくものであり、その内容はここに参照として取り込まれる。

産業上の利用可能性

本発明は、モパイルネットワークによる通信が運用されている状況においても、アド レスとポート番号の組単位でパケットフィルタリングを行ってより狭い範囲の通信のみ を透過させること、および内部ネットワークの移動端末力 外部のネットワークに移動 したときのみならず、外部のネットワークに接続された他の端末から内部ネットワーク の端末に通信を開設することが可能となる効果を有する。また、メディアタイプで特定 される通信のパケットシーケンスを監視し、メディアタイプ毎に定義した正常アクセス 判定条件に基づ 、て正常アクセスに適合しな 、不正アクセスを検知することで、未知 の攻撃を検知することが実質的に可能となる効果を有する。本発明は、モパイル IPに よるデータ通信が運用されるネットワーク等においてファイアウォールを動的に制御 するファイアウォールシステム及びファイアウォール制御方法等に有用である。

Claims

請求の範囲

[1] 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォールシステ ムであって、

前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確 立するための呼制御シーケンスを中継する呼制御中継部と、

前記端末の移動またはネットワークへの再接続によって変更される端末のアドレス の新旧対応関係を管理するアドレス対応情報管理部と、

前記呼制御中継部力 得られる通信に用いる端末のアドレス及びポート番号の情 報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに 基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィル タリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、 前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパ ケットを通過させるパケットフィルタリング部と

を備えるファイアウォールシステム。

[2] 請求項 1記載のファイアウォールシステムであって、

前記呼制御中継部は、他の信頼できる呼制御中継部の情報を保持する中継部情 報保持部を有し、

前記フィルタリング制御部は、前記他の呼制御中継部を経由して確立される端末間 の通信におけるアドレス及びポート番号の情報を取得し、このアドレスとポート番号と の組によるフィルタリング条件を設定するファイアウォールシステム。

[3] 請求項 1記載のファイアウォールシステムであって、

前記フィルタリング制御部は、内部ネットワーク上の端末または外部ネットワーク上 の端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報 管理部から得られるアドレスの情報が変更された場合は、最新のアドレスとポート番 号との組によるフィルタリング条件を設定するファイアウォールシステム。

[4] 請求項 1記載のファイアウォールシステムであって、

前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常ァク セス判定条件格納部と、 前記呼制御中継部力 得られる通信に用いる端末のアドレス、ポート番号、及びメ ディアタイプの情報と、前記アドレス対応情報管理部力 得られるアドレスの新旧対 応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定 条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合 は不正アクセスとして検知する不正アクセス検知部と

を備えるファイアウォールシステム。

[5] 請求項 4記載のファイアウォールシステムであって、

前記不正アクセス検知部は、内部ネットワーク上の端末または外部ネットワーク上の 端末の少なくとも一方が移動し、前記呼制御中継部または前記アドレス対応情報管 理部から得られるアドレスの情報が変更された場合は、最新のアドレスの情報によつ て正常アクセス判定条件の判定を行うファイアウォールシステム。

[6] 請求項 1に記載のファイアウォールシステムにおけるパケットフィルタリング装置であ つて、

前記呼制御中継部力 得られる、通信に用いる端末のアドレス及びポート番号の情 報と、前記アドレス対応情報管理部から得られるアドレスの新旧対応関係の情報とに 基づき、内部ネットワークと外部ネットワークとの間で通過を許可するパケットのフィル タリング条件として、アドレスとポート番号との組を設定するフィルタリング制御部と、 前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパ ケットを通過させるパケットフィルタリング部と

を備えるパケットフィルタリング装置。

[7] 請求項 1に記載のファイアウォールシステムにおける不正アクセス検知装置であつ て、

前記通信のメディアタイプ毎に定義した正常アクセス判定条件を格納する正常ァク セス判定条件格納部と、

前記呼制御中継部力 得られる、通信に用いる端末のアドレス、ポート番号、及び メディアタイプの情報と、前記アドレス対応情報管理部力 得られるアドレスの新旧対 応関係の情報と、前記正常アクセス判定条件格納部から得られる正常アクセス判定 条件とに基づき、通過するパケットが前記正常アクセス判定条件に適合しない場合 は不正アクセスとして検知する不正アクセス検知部と

を備える不正アクセス検知装置。

[8] 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御 方法であって、

前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確 立するための呼制御シーケンスを中継する呼制御中継部から、通信に用!、る端末の アドレス及びポート番号の情報を取得するステップと、

前記端末の移動またはネットワークへの再接続によって変更される端末のアドレス の新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係 の情報を取得するステップと、

前記通信に用いる端末のアドレス及びポート番号の情報と、前記アドレスの新旧対 応関係の情報とに基づき、内部ネットワークと外部ネットワークとの間で通過を許可す るパケットのフィルタリング条件として、アドレスとポート番号との組を設定するステップ と、

前記アドレスとポート番号との組を含むフィルタリング条件に基づいて特定されるパ ケットを通過させるステップと

を有するファイアウォール制御方法。

[9] 外部ネットワークと内部ネットワークとの間の通信を制御するファイアウォール制御 方法であって、

前記外部ネットワークまたは前記内部ネットワークに接続される端末間の通信を確 立するための呼制御シーケンスを中継する呼制御中継部から、通信に用!、る端末の アドレス、ポート番号、及びメディアタイプの情報を取得するステップと、

前記端末の移動またはネットワークへの再接続によって変更される端末のアドレス の新旧対応関係を管理するアドレス対応情報管理部から、アドレスの新旧対応関係 の情報を取得するステップと、

前記通信に用いる端末のアドレス、ポート番号、及びメディアタイプの情報と、前記 アドレスの新旧対応関係の情報と、前記通信のメディアタイプ毎に定義して正常ァク セス判定条件格納部に格納してある正常アクセス判定条件とに基づき、通過するパ ケットが前記正常アクセス判定条件に適合しない場合は不正アクセスとして検知する ステップと

を有するファイアウォール制御方法。