| 【発明の名称】 |
ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 |
| 【発明者】 |
【氏名】平山 秀昭
|
| 【要約】 |
【課題】インターネット環境においてC/S型のアプリケーションを、安全に運用できるようにする。
【解決手段】コネクション許可設定部42は、ネットワーク接続装置が属するネットワークセグメント上のクライアント側ノードから当該ノードのIPアドレスとポート番号とを含むコネクション許可設定要求R1を受けて、そのIPアドレスとポート番号を含む情報をテーブル41に登録する。コネクション要求処理部47は、任意のネットワークセグメント上のサーバ側ノードからターゲットとなるノードアドレスとポート番号を含む他のネットワークセグメントへのコネクション要求R2を受けて、その要求中のノードアドレスとポート番号との組を含む情報がテーブル41に存在するか否かをコネクション許可判定部43を用いて判定し、存在するときはその要求を許可し、当該テーブル41上の情報を無効化する。 |
【特許請求の範囲】
【請求項1】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、コネクション要求先のノードアドレスとポート番号とを含むコネクション許可情報を保持するコネクション許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とを含むコネクション許可情報を前記コネクション許可情報保持手段に設定するコネクション許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記コネクション要求を許可し、存在しないと判定した場合には前記コネクション要求を拒絶するコネクション要求処理手段と、前記コネクション要求処理手段によって前記コネクション要求が許可される際に、当該コネクション要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報保持手段上の前記コネクション許可情報を無効化するコネクション許可取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項2】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、コネクション要求先のノードアドレスとポート番号とタイムアウト時刻とを含むコネクション許可情報を保持するコネクション許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とタイムアウト時刻とを含むコネクション許可情報を前記コネクション許可情報保持手段に設定するコネクション許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記コネクション要求を許可し、存在しないと判定した場合には前記コネクション要求を拒絶するコネクション要求処理手段と、前記コネクション許可情報保持手段を定期的に探索し、当該コネクション許可情報保持手段に保持されている前記コネクション許可情報のうち前記タイムアウト時刻を経過したコネクション許可情報を無効化するコネクション許可定期取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項3】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、コネクション要求先のノードアドレスとポート番号とタイムアウト時刻とを含むコネクション許可情報を保持するコネクション許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とタイムアウト時刻とを含むコネクション許可情報を前記コネクション許可情報保持手段に設定するコネクション許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記コネクション要求を許可し、存在しないと判定した場合には前記コネクション要求を拒絶するコネクション要求処理手段と、前記コネクション要求処理手段によって前記コネクション要求が許可される際に、当該コネクション要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報保持手段上の前記コネクション許可情報を無効化するコネクション許可取消手段と、前記コネクション許可情報保持手段を定期的に探索し、当該コネクション許可情報保持手段に保持されている前記コネクション許可情報のうちタイムアウト時刻を経過したコネクション許可情報を無効化するコネクション許可定期取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項4】 前記コネクション要求処理手段により前記コネクション要求が許可された結果コネクションが確立された経路上の通信は全て許可する手段を更に具備することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク接続装置。
【請求項5】 前記コネクション要求処理手段により前記コネクション要求が許可された結果コネクションが確立された経路上のコネクション要求以外の通信は全て許可する手段を更に具備することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク接続装置。
【請求項6】 前記コネクション許可設定要求、前記コネクション要求及び前記コネクション許可情報は、前記コネクション許可設定要求に対しては要求元となり前記コネクション要求に対しては要求先となるノードのノードアドレスとポート番号とに加えて、前記コネクション要求の要求元ノードのノードアドレスを含んでおり、前記コネクション要求処理手段は、前記コネクション要求を受けた場合、当該コネクション要求中の前記コネクション要求先のノードアドレスとポート番号及び前記コネクション要求元のノードアドレスを含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在することをもって、前記コネクション要求を許可することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク接続装置。
【請求項7】 前記コネクション要求処理手段は、前記コネクション要求処理手段によって前記コネクション要求が許可された時点から一定時間内に、当該コネクション要求と要求先のノードアドレスとポート番号とが同一のコネクション要求が到来した場合、当該到来したコネクション要求を拒絶すると共に、現在設定されている当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを切断することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク接続装置。
【請求項8】 前記コネクション要求処理手段は、前記コネクション要求処理手段によって前記コネクション要求が許可された結果、当該コネクション要求の要求先のノードアドレスとポート番号とにより特定されるポートとの間にコネクションが設定されている状態で、当該コネクション要求と要求先のノードアドレスとポート番号とが同一のコネクション要求が到来した場合、当該到来したコネクション要求を拒絶すると共に、当該設定されているコネクションを切断することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク接続装置。
【請求項9】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、データ通信要求要求先のノードアドレスとポート番号とを含むデータ通信許可情報を保持するデータ通信許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むデータ通信許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのデータ通信を許可するための当該ノードアドレスとポート番号とを含むデータ通信許可情報を前記データ通信許可情報保持手段に設定するデータ通信許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのデータ通信要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記データ通信許可情報が前記データ通信許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記データ通信要求を許可し、存在しないと判定した場合には前記データ通信要求を拒絶するデータ通信要求処理手段と、前記データ通信要求処理手段によって前記データ通信要求が許可される際に、当該データ通信要求中の前記ノードアドレスとポート番号との組を含む前記データ通信許可情報保持手段上の前記データ通信許可情報を無効化するデータ通信許可取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項10】少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、データ通信要求先のノードアドレスとポート番号とタイムアウト時刻とを含むデータ通信許可情報を保持するデータ通信許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むデータ通信許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのデータ通信を許可するための当該ノードアドレスとポート番号とタイムアウト時刻とを含むデータ通信許可情報を前記データ通信許可情報保持手段に設定するデータ通信許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのデータ通信要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記データ通信許可情報が前記データ通信許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記データ通信要求を許可し、存在しないと判定した場合には前記データ通信要求を拒絶するデータ通信要求処理手段と、前記データ通信許可情報保持手段を定期的に探索し、当該データ通信許可情報保持手段に保持されている前記データ通信許可情報のうちタイムアウト時刻を経過したデータ通信許可情報を無効化するデータ通信許可定期取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項11】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、データ通信要求先のノードアドレスとポート番号とタイムアウト時刻とを含むデータ通信許可情報を保持するデータ通信許可情報保持手段と、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むデータ通信許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのデータ通信を許可するための当該ノードアドレスとポート番号とタイムアウト時刻とを含むデータ通信許可情報を前記データ通信許可情報保持手段に設定するデータ通信許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのデータ通信要求を受け、当該要求中の前記ノードアドレスとポート番号との組を含む前記データ通信許可情報が前記データ通信許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には前記データ通信要求を許可し、存在しないと判定した場合には前記データ通信要求を拒絶するデータ通信要求処理手段と、前記データ通信要求処理手段によって前記データ通信要求が許可される際に、当該データ通信要求中の前記ノードアドレスとポート番号との組を含む前記データ通信許可情報保持手段上の前記データ通信許可情報を無効化するデータ通信許可取消手段と、前記データ通信許可情報保持手段を定期的に探索し、当該データ通信許可情報保持手段に保持されている前記データ通信許可情報のうちタイムアウト時刻を経過したデータ通信許可情報を無効化するデータ通信許可定期取消手段とを具備することを特徴とするネットワーク接続装置。
【請求項12】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置に、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けた場合に、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とを含むコネクション許可情報をコネクション許可情報保持手段に設定するステップと、任意のネットワークセグメント上のサーバ側ノードからターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受けた場合に、当該要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在するか否かを判定するステップと、前記コネクション要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在すると判定された場合には当該コネクション要求を許可し、存在しないと判定された場合には当該コネクション要求を拒絶するステップと、前記コネクション要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在すると判定された場合、前記コネクション許可情報保持手段上の当該コネクション許可情報を無効化するステップとを実行させるためのファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体。
【請求項13】 少なくとも1つのノードが接続されたネットワークセグメントを複数有するコンピュータネットワークシステム内に前記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置に、前記ネットワーク接続装置が属する前記ネットワークセグメント上のクライアント側ノードから当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けた場合に、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とタイムアウト時刻とを含むコネクション許可情報をコネクション許可情報保持手段に設定するステップと、任意のネットワークセグメント上のサーバ側ノードからターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受けた場合に、当該要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在するか否かを判定するステップと、前記コネクション要求中の前記ノードアドレスとポート番号との組を含む前記コネクション許可情報が前記コネクション許可情報保持手段に存在すると判定された場合には当該コネクション要求を許可し、存在しないと判定された場合には当該コネクション要求を拒絶するステップと、前記コネクション許可情報保持手段を定期的に探索し、当該コネクション許可情報保持手段に保持されている前記コネクション許可情報のうち前記タイムアウト時刻を経過したコネクション許可情報を無効化するステップとを実行させるためのファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】本発明は、複数のネットワークセグメントを有するコンピュータネットワークシステムに適用されて、異なるネットワークセグメント間を接続するためのネットワーク接続装置に係り、特に外部からの不正侵入を防ぐのに好適なファイアウォール制御機能を有するネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体に関する。
【0002】
【従来の技術】従来、クライアント/サーバ型(C/S型)のアプリケーション(アプリケーションプログラム)は、主としてイントラネットの環境で利用されていた。
【0003】C/S型のアプリケーションでは、サーバプロセスがサーバポートを開設し、クライアントプロセスからの接続要求を待ち受ける。そして、クライアントプロセスから、TCP/IP(Transmission Control Protocol/Internet Protocol)と呼ばれるプロトコルによるコネクション要求が発行されると、両プロセスの間に通信路(仮想回線)が張られ、以降、その通信路を用いて両プロセスが通信を行う。
【0004】このようなC/S型のアプリケーションを、インターネットの環境で利用する場合にはセキュリティ上の問題が生じる。通常、インターネットの環境では、外部からの不正侵入を防ぐためにネットワーク接続装置にファイアウォールを設置する。ファイアウォールで外部からの不正侵入をどのように防ぐかは、ファイアウォールで守る計算機群の運用ポリシに基づき個々に設定を行うことで決定される。
【0005】一般的なポリシとして、HTTP(Hyper Text Transfer Protocol)等の特定プロトコル以外のTCP/IPプロトコルによる外部からのコネクション要求は拒絶するというものがある。
【0006】この場合、C/S型のアプリケーションをインターネット環境で利用すると、クライアントプロセスからのTCP/IPプロトコルによるコネクション要求は、ファイアウォールによって拒絶されてしまう。
【0007】なお、ここでのTCP/IPプロトコルは、以下に述べるように狭義のTCP/IPプロトコルである。例えば、HTTPやFTP(File Transfer Protocol)といったプロトコルは、TCP/IPプロトコルの上に乗った上位レイヤのプロトコルである。それゆえ、広義には、HTTPやFTPも、TCP/IPプロトコルに含まれる。しかし、ここではTCP/IPプロトコルと表現した場合、それはHTTPやFTPといった特定プロトコルを上位レイヤに持つTCP/IPプロトコルは含まないものとする。このような狭義のTCP/IPプロトコルという表現は、一般に用いられている。
【0008】
【発明が解決しようとする課題】上記したように従来の技術にあっては、C/S型のアプリケーションを、インターネットの環境で利用する場合には、クライアントプロセスからのTCP/IPによるコネクション要求がファイアウォールによって拒絶されてしまう。このため従来は、サーバプロセスがコネクションを待ち受けるポートに関しては、外部からのコネクションを許可するように設定しなければならず、その結果、セキュリティホールが発生するという問題があった。
【0009】本発明は上記事情を考慮してなされたものでその目的は、インターネット環境においてC/S(クライアント/サーバ)型のアプリケーションを、安全に運用できるようにすることにある。
【0010】
【課題を解決するための手段】本発明は、複数のネットワークセグメントを有するコンピュータネットワークシステム内に上記各ネットワークセグメント毎に設けられ、当該ネットワークセグメントと他のネットワークセグメントとの間を接続するネットワーク接続装置において、コネクション要求先のノードアドレスとポート番号とを含むコネクション許可情報を保持するコネクション許可情報保持手段と、上記ネットワーク接続装置が属するネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むコネクション許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを許可するための当該ノードアドレスとポート番号とを含むコネクション許可情報を上記コネクション許可情報保持手段に設定するコネクション許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのコネクション要求を受け、当該要求中のノードアドレスとポート番号との組を含むコネクション許可情報が上記コネクション許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には上記コネクション要求を許可し、存在しないと判定した場合には上記コネクション要求を拒絶するコネクション要求処理手段と、このコネクション要求処理手段によって上記コネクション要求が許可される際に、当該コネクション要求中のノードアドレスとポート番号との組を含むコネクション許可情報保持手段上のコネクション許可情報を無効化するコネクション許可取消手段とを備えたことを特徴とする。
【0011】このような構成においては、クライアント側のノード(上で動作するクライアントプロセス)からのコネクション許可設定要求により、当該ノードに開設されたポートを指定するノードアドレスとポート番号とを含むコネクション許可情報を上記コネクション許可情報保持手段(コネクション許可テーブル)に設定登録することで、その後、クライアント側のノード(上で動作するクライアントプロセス)との間で協調動作する、当該クライアント側のノードが属するネットワークセグメントとは異なるネットワークセグメントに属するサーバ側のノード(上で動作するサーバプロセス)から、上記ポートを指定するノードアドレスとポート番号とを含むコネクション要求が出された場合に、そのコネクション要求を許可することができる。この際、コネクション許可情報保持手段に登録された、上記ポートを指定するノードアドレスとポート番号とを含むコネクション許可情報は無効化(例えばクリア)されるため、その後上記ポートを指定するノードアドレスとポート番号とを含むコネクション要求が到来しても、そのコネクション要求は許可されない。つまり、コネクション許可設定要求により指定されたノードアドレスとポート番号(とにより特定されるポート)へのコネクション要求は、1回のみしか許可されず、以降は拒絶される。これにより、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部から張られるコネクション要求を許可することが可能になる。
【0012】ここで、上記コネクション許可情報保持手段に設定されるコネクション許可情報にタイムアウト時刻(の情報)を含めると共に、上記コネクション許可取消手段に代えて、上記コネクション許可情報保持手段を定期的に探索し、当該コネクション許可情報保持手段に保持されているコネクション許可情報のうちタイムアウト時刻を経過したコネクション許可情報を無効化するコネクション許可定期取消手段を備える構成とすることも可能である。
【0013】このような構成においては、コネクション許可情報保持手段を対象とする定期的な探索でタイムアウト時刻を経過したコネクション許可情報が検出された場合、当該コネクション許可情報は無効化される。つまり、コネクション許可設定要求により指定されたノードアドレスとポート番号(とにより特定されるポート)へのコネクション要求は一時的に許可されるだけであり、タイムアウト時刻を経過したことが検出された以降は拒絶される。これにより、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部から張られるコネクション要求を許可することが可能になる。この効果は、上記コネクション許可取消手段と上記コネクション許可定期取消手段とを併用するならば、一層顕著となる。なお、上記タイムアウト時刻を決定するには、例えばコネクション許可設定要求中にタイムアウト時間(つまりタイムアウトとするまでの時間)の情報を含め、コネクション許可設定要求を受け付けた時刻に、このタイムアウト時間を加算すればよい。
【0014】また、コネクション要求処理手段によりコネクション要求が許可された結果コネクションが確立された後の通信の制御手段として、コネクションが確立された経路上の通信は全て許可する手段、或いは当該経路上のコネクション要求以外の通信は全て許可する手段を備えるとよい。
【0015】また、上記コネクション許可設定要求、コネクション要求及びコネクション許可情報に、上記コネクション許可設定要求に対しては要求元となり上記コネクション要求に対しては要求先となるノードのノードアドレスとポート番号とに加えて、上記コネクション要求の要求元ノードのノードアドレスを含め、コネクション要求処理手段が上記コネクション要求を受けた場合に、当該コネクション要求中のコネクション要求先のノードアドレスとポート番号及びコネクション要求元のノードアドレスを含むコネクション許可情報が上記コネクション許可情報保持手段に存在することをもって、当該コネクション要求を許可する構成とするならば、外部からの不正侵入が起きる可能性をより一層低い確率に抑えることが可能となる。
【0016】また、コネクション要求処理手段によってコネクション要求が許可された時点から一定時間内に、当該コネクション要求と要求先のノードアドレスとポート番号とが同一の新たなコネクション要求が到来した場合に、当該コネクション要求処理手段にて新たなコネクション要求を拒絶すると共に、現在設定されている当該ノードアドレスとポート番号とにより特定されるポートへのコネクションを切断する構成としても、外部からの不正侵入が起きる可能性をより一層低い確率に抑えることが可能となる。
【0017】また、コネクション要求処理手段によってコネクション要求が許可された結果、当該コネクション要求の要求先のノードアドレスとポート番号との間にコネクションが設定されている状態で、当該コネクション要求と要求先のノードアドレスとポート番号とが同一の新たなコネクション要求が到来した場合に、当該新たなコネクション要求を拒絶すると共に、当該設定されているコネクションを切断する構成としても、外部からの不正侵入が起きる可能性をより一層低い確率に抑えることが可能となる。
【0018】また、上記ノードアドレスとしては、例えばIP(インターネットプロトコル)アドレスが適用可能である。
【0019】また本発明のネットワーク接続装置は、コネクション要求のみでなく、全てのデータ通信を対象に制御するために、データ通信要求先のノードアドレスとポート番号とを含むデータ通信許可情報を保持するデータ通信許可情報保持手段と、上記ネットワーク接続装置が属するネットワークセグメント上のクライアント側ノードから与えられる当該ノードのノードアドレスとポート番号とを含むデータ通信許可設定要求を受けて、当該ノードアドレスとポート番号とにより特定されるポートへのデータ通信を許可するための当該ノードアドレスとポート番号とを含むデータ通信許可情報を上記データ通信許可情報保持手段に設定するデータ通信許可設定手段と、任意のネットワークセグメント上のサーバ側ノードから与えられるターゲットとなるノードアドレスとポート番号とを含む他のネットワークセグメントへのデータ通信要求を受け、当該要求中のノードアドレスとポート番号との組を含むデータ通信許可情報が上記データ通信許可情報保持手段に存在するか否かを判定し、存在すると判定した場合には上記データ通信要求を許可し、存在しないと判定した場合には上記データ通信要求を拒絶するデータ通信要求処理手段と、このデータ通信要求処理手段によって上記データ通信要求が許可される際に、当該データ通信要求中のノードアドレスとポート番号との組を含むデータ通信許可情報保持手段上のデータ通信許可情報を無効化するデータ通信許可取消手段とを備えたことを特徴とする。
【0020】このような構成においては、クライアント側のノードからのデータ通信許可設定要求により指定されたノードアドレスとポート番号へのデータ通信要求は、1回のみしか許可されず、以降は拒絶される。これにより、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部からのデータ通信要求を許可することが可能になる。
【0021】ここで、上記データ通信許可情報保持手段に設定されるデータ通信許可情報にタイムアウト時刻を含めると共に、上記データ通信許可取消手段に代えて、次の手段、即ち上記データ通信許可情報保持手段を定期的に探索し、当該データ通信許可情報保持手段に保持されているデータ通信許可情報のうちタイムアウト時刻を経過したデータ通信許可情報を無効化するデータ通信許可定期取消手段を備える構成とするならば、データ通信許可設定要求により指定されたノードアドレスとポート番号へのデータ通信要求は一時的に許可されるだけであり、タイムアウト時刻を経過したことが検出された以降は拒絶される。これによっても、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部からのデータ通信要求を許可することが可能になる。この効果は、上記データ通信許可取消手段と上記データ通信許可定期取消手段とを併用するならば、一層顕著となる。
【0022】以上に述べたネットワーク接続装置に係る本発明は、当該装置の制御(ファイアウォール制御)機能に着目すると、当該装置にその機能に相当する手順を実行させるための(または当該装置にその機能を実現させるための、または当該装置をその機能を持つ手段として機能させるための)ファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体として捉えることも可能である。
【0023】また、ネットワーク接続装置に係る本発明は、当該装置の制御(ファイアウォール制御)機能に相当する手順に着目すると、当該手順を備えたファイアウォール制御方法として捉えることも可能である。
【0024】
【発明の実施の形態】以下、本発明の実施の形態につき図面を参照して説明する。
【0025】[第1の実施形態]図1は本発明の第1の実施形態に係るネットワーク接続装置を適用したコンピュータネットワークシステムのシステム構成を示すブロック図である。図1のシステムでは、複数、例えば4つのネットワークセグメント10a,10b,10c,10dが、ネットワーク接続装置102a,102b,102c,102dによりワイドエリアネットワーク(以下、WANと称する)11を介して相互接続されている。
【0026】各ネットワーク接続装置102i(i=a〜d)は、ネットワークセグメント10iと他のネットワークセグメントとの間の通信を許可/拒絶するファイアウォール制御機能を有する。
【0027】ネットワークセグメント10i(i=a〜d)は、ローカルエリアネットワーク(以下、LANと称する)101iを有している。このLAN101iには、複数のノード(ノード装置)、例えば3台のノードNi1〜Ni3がネットワーク接続装置102iと共に接続されている。ノードNij(j=1〜3)はクライアント計算機、或いはWWW(World Wide Web)サーバなどに用いられるサーバ計算機等である。
【0028】図1のシステムでは、WAN11がインターネット環境であるとすると、WWWサーバをなすノードNij(サーバ計算機)は、当該ノードNijが属するネットワークセグメント10iのネットワーク接続装置102iによって実現されるファイアウォールで保護されている。このファイアウォールは、汎用通信プロトコルによるリクエストとしての例えばHTTPリクエストの受け付けは許可していて、それを当該リクエストで指定されたノード(WWWサーバ)に送っている。
【0029】図1のシステムでは、あるノード上のクライアントプロセスとあるノード上のサーバプロセスとの間にコネクション(仮想回線)を設定するのに特別の仕組みを適用している。そこでこの仕組みについて、図2を参照して説明する。
【0030】まず図2においては、図1中のノードNa1,Nb1,Nc1が、クライアントプロセス(クライアントアプリケーション)201a,201b,201cを実装(インストール)したクライアント計算機であることを想定している。また、図1中のノードNd1が、WWWサーバ203と、クライアントプロセス201a,201b,201cからの要求に応じて当該クライアントプロセスと協調動作するサーバプロセス(サーバアプリケーション)204とを実装したサーバ計算機であることも想定している。
【0031】図2では、基本的には、クライアントプロセス201a,201b,201cからサーバプロセス204にコネクションを張るのではなく、サーバプロセス204からクライアントプロセス201a,201b,201cにコネクションを張るようにしている。
【0032】ここでは、従来のC/S型のアプリケーションとは異なり、クライアントプロセス201a(201b,201c)は、サーバプロセス204へのコネクション実行要求をHTTPプロトコルで矢印21a(21b,21c)で示すようにWWWサーバ203に送る。このとき、クライアントプロセス201a(201b,201c)は、サーバプロセス204側からコネクションを張るためのクライアントポート202a(202b,202c)を開設し、そのクライアントポート番号をクライアント計算機であるノードNa1(Nb1,Nc1)のノードアドレスとしてのIPアドレスと共に、コネクション実行要求に付加して、WWWサーバ203に送る。
【0033】WWWサーバ203は、クライアントプロセス201a(201b,201c)から受け取ったコネクション実行要求を矢印22で示すようにサーバプロセス204に渡す。
【0034】サーバプロセス204は受け取ったコネクション実行要求に付加されているIPアドレス及びクライアントポート番号をもとに、当該IPアドレスのノードNa1(Nb1,Nc1)の当該ポート番号のクライアントポート202a(202b,202c)に対して、矢印23a(23b,23c)で示すようにTCP/IPプロトコルでコネクション要求を行う。なお、このような仕組みは、特願2000−163574号に記載されている。
【0035】図2の仕組みを1つのクライアントプロセスに着目して簡略化し、クライアント側とサーバ側にそれぞれファイアウォールを加えた構成を図3に示す。まず、(図2中のクライアントプロセス201a,201b,201cに相当する)クライアントプロセス201が実行されるクライアント計算機をなすノード(Nij)は、そのノードが属するネットワークセグメント(10i)に設けられたネットワーク接続装置(102i)が有するファイアウォール(クライアント側ファイアウォール)301で外部(他のネットワークセグメント)からの不正侵入を防いでいる。
【0036】同様にWWWサーバ203及びサーバプロセス204が実行されるサーバ計算機をなすノード(Nd1)は、そのノードが属するネットワークセグメント(10d)に設けられたネットワーク接続装置(102d)が有するファイアウォール(サーバ側ファイアウォール)302で外部(他のネットワークセグメント)からの不正侵入を防いでいる。
【0037】このようなファイアウォールの環境設定の中、クライアントプロセス201はコネクション実行要求をHTTPプロトコルで矢印31で示すようにWWWサーバ203に送る。
【0038】この場合のコネクション実行要求はHTTPプロトコルであるので、クライアント側ファイアウォール301とサーバ側ファイアウォール302のいずれにおいても通過が許可され、無事にWWWサーバ203に到達する。WWWサーバ203に到達したコネクション実行要求は、矢印32で示すようにサーバプロセス204に送られる。
【0039】WWWサーバ203経由でコネクション実行要求を受け取ったサーバプロセス204は、当該要求に付加されているIPアドレス及びクライアントポート番号をもとに、当該IPアドレスのノードの当該ポート番号のクライアントポートに対して、矢印33で示すようにTCP/IPプロトコルでコネクション要求を出す。
【0040】このコネクション要求は、サーバ側ファイアウォール302にとっては外部に対してコネクション(アウトバウンドコネクション)を張る要求なので、当該ファイアウォール302では通過が許可される。
【0041】しかし、クライアント側ファイアウォール301にとっては、上記コネクション要求は外部から内部に対してコネクション(インバウンドコネクション)を張られる要求なので、従来であれば当該ファイアウォール301では通過が拒絶される。
【0042】本実施形態のネットワーク接続装置102iは、このようなクライアント側ファイアウォールに適用して、外部から(内部に対して)張られるコネクション要求を安全に許可する仕組みを実現するものである。
【0043】以下、ネットワーク接続装置102iのファイアウォール制御部の構成について、図4のブロック構成図を参照して説明する。図3中のクライアントプロセス201は、サーバプロセス204との間にコネクションを設定する必要がある場合、同図に示したようにコネクション実行要求をWWWサーバ203経由で当該サーバプロセス204に送る。クライアントプロセス201は、このコネクション実行要求を送出するのに先立ち、図4に示すようにコネクション許可設定要求R1をネットワーク接続装置102iに出しておく。このコネクション許可設定要求R1には、上記コネクション実行要求と同様に、クライアント側のノード(クライアント計算機)のIPアドレスとクライアントプロセス201が開設したクライアントポートのポート番号とが付される他に、タイムアウト時間(の情報)も付されている。
【0044】クライアントプロセス201からのコネクション許可設定要求R1は、コネクション許可設定部42によって処理され、指定されたIPアドレスとポート番号との組(を含むコネクション許可情報)がコネクション許可テーブル41のエントリに登録される。このエントリには、登録時刻とタイムアウト時間とから決定されるタイムアウト時刻(の情報)も(コネクション許可情報の一部として)同時に設定される。このタイムアウト時刻は、指定時間以内に外部から、当該タイムアウト時刻と共に同一エントリに登録されているIPアドレスとポート番号とにより指定されるポート(クライアントポート)にコネクション要求が到来しなかった場合に、当該エントリを無効化するために利用される。
【0045】このエントリの無効化処理は、タイマ45で定期的に起動されるコネクション許可定期リセット部46が、コネクション許可テーブル41を探索していき、タイムアウト時刻を経過しているエントリを削除していくことで実現される。
【0046】一方、クライアントプロセス201からWWWサーバ203経由でコネクション実行要求が送られたサーバプロセス204は、当該要求に付されているIPアドレス及びクライアントポート番号をもとに、当該IPアドレスのノードの当該ポート番号のクライアントポートに対してTCP/IPプロトコルでコネクション要求R2を送る。このコネクション要求R2は、サーバ側ファイアウォール(302)にとっては外部に対してコネクションを張る要求なので後述するように通過が許可され、クライアント側ファイアウォール(301)をなすクライアント側のネットワーク接続装置102i(のファイアウォール制御部)に送られる。
【0047】すると、サーバプロセス204からのコネクション要求R2は、図4のネットワーク接続装置102iのコネクション要求処理部47で受け取られる。コネクション要求処理部47は、受け取ったコネクション要求R2を以下に述べるようにして許可或いは拒絶する。
【0048】まずコネクション要求処理部47は、受け取ったコネクション要求R2がこの例のように“外部からコネクションを張られる要求”であった場合は、許可するか拒絶するかをコネクション許可判定部43に問い合わせる。なお、コネクション要求R2を受け取ったコネクション要求処理部47が、サーバ側ファイアウォール(302)を実現するネットワーク接続装置102iであった場合には、当該コネクション要求処理部47は、受け取ったコネクション要求R2が“外部にコネクションを張る要求”であることから、そのコネクション要求R2の通過を許可する。
【0049】コネクション許可判定部43は、コネクション要求処理部47からの問い合わせを受けると、当該コネクション要求処理部47で受け取られたコネクション要求R2に付されているIPアドレスとポート番号の組が、コネクション許可テーブル41に登録されているか否かを調べる。
【0050】そしてコネクション許可判定部43は、上記IPアドレスとポート番号との組が登録されていた場合には「許可」を、登録されていなかった場合には「拒絶」を判定して、その判定結果をコネクション要求処理部47に通知する。更にコネクション許可判定部43は、「許可」と判定した場合には、コネクション許可リセット部44により、コネクション要求R2に付されていたIPアドレスとポート番号との組からなるエントリをコネクション許可テーブル41から削除させる。つまり、コネクション要求R2中のIPアドレスとポート番号との組がコネクション許可テーブル41内のエントリに登録されていたために、当該コネクション要求R2が許可される場合、このエントリ(の登録情報)が無効化される。
【0051】これにより特定のIPアドレスのポート番号へのコネクション要求は、1回のみしか許可されないことになる。
【0052】これらの動作により、クライアント側のファイアウォール301では、通常は外部(サーバプロセス204側)から張られるTCP/IPプロトコルのコネクション要求は拒絶されるが、クライアントプロセス201が事前にコネクション許可設定要求R1を出しておくことで、指定されたIPアドレスの指定されたポートへのコネクション要求R2のみ一時的に許可されるようになる。
【0053】しかも、この一時的に許可されているコネクション要求R2が1つ到来したら、当該コネクション要求R2により示されるIPアドレス/ポートへのコネクション要求許可はリセットされる。
【0054】更に、コネクション要求R2が一時的に許可されたIPアドレス/ポートへの新たなコネクション要求が到来しなくても、タイムアウト時刻を経過したならばコネクション要求許可はリセットされる。
【0055】よって、ネットワーク接続装置102iのファイアウォール制御部では、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部から張られるコネクション要求を許可することが可能になる。
【0056】次に、図4中のコネクション許可設定部42の処理の流れの詳細を図5のフローチャートを参照して説明する。まずコネクション許可設定部42は、クライアントプロセス201から、IPアドレス、ポート番号及びタイムアウト時間が付されているコネクション許可設定要求R1を受け取る(ステップS1)。
【0057】するとコネクション許可設定部42は、クライアントプロセス201から受け取ったコネクション許可設定要求R1に付されているタイムアウト時間を現在時刻に加算することでタイムアウト時刻を決定し、当該要求R1に付されているIPアドレスとポート番号と決定したタイムアウト時刻との組を、コネクション許可テーブル41内のエントリに登録する(ステップS2)。
【0058】次に、図4中のコネクション許可判定部43の処理の流れの詳細を図6のフローチャートを参照して説明する。まずコネクション許可判定部43は、コネクション要求処理部47で受け取られたコネクション要求R2に付されているIPアドレスとポート番号との組が、コネクション許可テーブル41に登録されているか否かを調べるために、当該テーブル41を探索する(ステップS11)。そしてコネクション許可判定部43は、コネクション許可テーブル41の探索の結果から、コネクション要求されたIPアドレスとポート番号との組がコネクション許可テーブル41に登録されているか否かを判定する(ステップS12)。
【0059】もし、上記IPアドレスとポート番号との組が登録されていない場合、コネクション許可判定部43は「コネクション要求を拒絶する」と判定し、その判定結果をコネクション要求処理部47に通知する(ステップS13)。
【0060】これに対し、上記IPアドレスとポート番号との組が登録されている場合は、コネクション許可判定部43はまず、コネクション許可リセット部44に対し、“コネクション要求されたIPアドレスとポート番号との組からなるエントリ”をコネクション許可テーブル41から削除するように指示する(ステップS14)。そしてコネクション許可判定部43は、「コネクション要求を許可する」と判定する(ステップS15)。
【0061】次に、図4中のコネクション許可リセット部44の処理の流れの詳細を図7のフローチャートを参照して説明する。まずコネクション許可リセット部44は、コネクション許可判定部43からIPアドレスとポート番号との組を含むコネクション許可リセット要求を受け取る(ステップS21)。
【0062】するとコネクション許可リセット部44は、コネクション許可テーブル41から、上記受け取ったコネクション許可リセット要求により指定されたIPアドレスとポート番号との組からなるエントリを削除する(ステップS22)。
【0063】次に、図4中のコネクション許可定期リセット部46の処理の流れの詳細を図8のフローチャートを参照して説明する。まずコネクション許可定期リセット部46は、タイマ45で一定時間が計測されるのを待つ(ステップS31)。
【0064】そして一定時間が経過すると、コネクション許可定期リセット部46はコネクション許可テーブル41の全エントリを1エントリずつ探索する(ステップS32)。コネクション許可定期リセット部46は1回の探索毎に、新たに探索可能なエントリはないか否か、つまり全てのエントリを探索し終えたか否かを判定し(ステップS33)、全エントリの探索をし終えたと判定したならば、ステップS31に戻って再び一定時間の経過を待つ。
【0065】これに対し、全てのエントリを探索し終えていないと判定した場合には、コネクション許可定期リセット部46は、現在時刻が、上記ステップS32で探索できたエントリに登録されているタイムアウト時刻を経過しているか否かを判定する(ステップS34)。
【0066】もし、現在時刻がタイムアウト時刻を経過していない場合は、コネクション許可定期リセット部46は何もする必要がないので、ステップS32に戻って、次のエントリを探索する。
【0067】これに対し、現在時刻がタイムアウト時刻を経過している場合は、コネクション許可定期リセット部46は当該タイムアウト時刻が登録されているエントリをコネクション許可テーブル41から削除する(ステップS35)。その後、コネクション許可定期リセット部46はステップS32に戻って、次のエントリを探索する。
【0068】次に、図4中のコネクション要求処理部47の処理の流れの詳細を図9のフローチャートを参照して説明する。まずコネクション要求処理部47は、サーバプロセス204から送られるIPアドレスとポート番号との組を含むコネクション要求R2を受け取る(ステップS41)。
【0069】するとコネクション要求処理部47は、受け取ったコネクション要求R2が、“外部からコネクションを張られる要求”であるか否かを判定する(ステップS42)。もし、“外部からコネクションを張られる要求”でない場合は、コネクション許可判定部43はコネクション要求R2の通過を許可する(ステップS43)。
【0070】これに対し、“外部からコネクションを張られる要求”である場合は、コネクション要求処理部47はコネクション許可判定部43に対し、コネクション要求R2で指定されたIPアドレスとポート番号との組がコネクション許可テーブル41に登録されているか否かを問い合わせ、その問い合わせに対する判定結果の通知を待つ(ステップS44)。
【0071】コネクション要求処理部47は、上記問い合わせに対してコネクション許可判定部43から判定結果が通知されると、その判定結果に基づいて指定のIPアドレスとポート番号との組がコネクション許可テーブル41に登録されているか否かを判定する(ステップS45)。
【0072】もし、登録されていないと判定された場合、コネクション要求処理部47はコネクション許可判定部43でコネクション要求の拒絶が判定されたものとして、上記受け取ったコネクション要求R2の通過を拒絶する(ステップS46)。
【0073】これに対し、登録されていると判定された場合は、コネクション要求処理部47はコネクション許可判定部43でコネクション要求の許可が判定されたものとして、上記受け取ったコネクション要求R2の通過を許可する(ステップS47)。
【0074】以上、ネットワーク接続装置102iのファイアウォール制御部における、コネクションが張られる(設定される)までのファイアウォール制御について詳述した。
【0075】以下では、コネクションが張られた後の通信について簡単に説明する。まず、コネクションが張られた後の通信をどう扱うかについては、以下の2通りが考えられる。
(a)コネクションが張られているポートを管理し、既にコネクションが張られているIPアドレス/ポートに対する通信は許可する。
(b)コネクション要求以外の通信は全て許可する。
【0076】(a)の方法に比べ、(b)の方法はコネクション要求以外の通信は全て許可してしまうので、安全性が低いように見える。しかし実際には、通信路(仮想回線)が確立されていない限り、データ通信は行えず、本実施形態のネットワーク接続装置102iによってコネクション要求の不正侵入を防いでいるため、(b)の安全性も(a)と同等である。
【0077】[第2の実施形態]前記第1の実施形態では、ネットワーク接続装置102i(のファイアウォール制御部)によりコネクション要求のみを制御する場合について説明したが、これに限るものではなく、全てのデータ通信についてのファイアウォール制御に適用することも可能である。
【0078】そこで、コネクション要求のみでなく、全てのデータ通信を対象にファイアウォール制御を行う本発明の第2の実施形態に係るネットワーク接続装置について図面を参照して説明する。
【0079】図10は本発明の第2の実施形態に係るネットワーク接続装置のファイアウォール制御部のブロック構成を示す。図10において、データ通信許可設定要求R11は図3中のコネクション許可設定要求R1に相当する。このデータ通信許可設定要求R11は、(図3中のクライアントプロセス201に相当する)クライアントプロセスが(図3中のサーバプロセス204に相当する)サーバプロセスとの間でデータ通信を行いたい場合に、当該クライアントプロセスから、クライアント側のネットワーク接続装置のファイアウォール制御部に出される。このクライアントプロセスからのデータ通信許可設定要求R12は、データ通信許可設定部142よって処理され、指定されたIPアドレスとポート番号の組(を含むデータ通信許可情報)が(図3中のコネクション許可テーブル41に相当する)データ通信許可テーブル141に登録される。このデータ通信許可テーブル141のエントリには、登録時刻とタイムアウト時間とから決定されるタイムアウト時刻(の情報)も(データ通信許可情報の一部として)同時に設定される。このタイムアウト時刻は、指定時間以内に外部から、当該タイムアウト時刻と同一エントリに登録されているIPアドレスとポート番号とにより指定されるポート(クライアントポート)にデータ通信要求が到来しなかった場合に、当該エントリを無効化するために利用される。
【0080】このエントリの無効化処理は、タイマ145で定期的に起動されるデータ通信許可定期リセット部146が、データ通信許可テーブル141を探索していき、タイムアウト時刻を経過しているエントリを削除していくことで実現される。
【0081】さて、クライアントプロセスは、データ通信許可設定要求R12を出した後、前記第1の実施形態におけるコネクション実行要求に相当するデータ通信実行要求をHTTPプロトコルによりWWWサーバに送り、当該WWWサーバによりデータ通信相手となるサーバプロセスに転送させる。サーバプロセスはクライアントプロセスからのデータ通信実行要求をWWWサーバ経由で受け取ると、当該要求に付されているIPアドレス及びクライアントポート番号をもとに、当該IPアドレスのノードの当該ポート番号のクライアントポートに対してTCP/IPプロトコルで(図4中のコネクション要求R2に相当する)データ通信要求R12を送る。このデータ通信要求R12は、サーバ側ファイアウォールにとっては外部にデータ通信を行う要求なので通過が許可され、クライアント側ファイアウォールをなすクライアント側のネットワーク接続装置のファイアウォール制御部に送られる。
【0082】すると、サーバプロセスからのデータ通信要求R12はデータ通信要求処理部147で受け取られる。データ通信要求処理部147は受け取ったデータ通信要求R12を許可或いは拒絶する。データ通信要求処理部147は、受け取ったデータ通信要求R12がこの例と異なって“外部にデータ通信を行う要求”であった場合には、当該データ通信要求R12の通過を許可する。これに対し、データ通信要求R12がこの例のように“外部からデータ通信が行われる要求”であった場合は、許可するか拒絶するかをデータ通信許可判定部143に問い合わせる。
【0083】データ通信許可判定部143は、データ通信要求処理部147からの問い合わせを受けると、当該データ通信要求処理部147で受け取られたデータ通信要求R12に付されているIPアドレスとポート番号の組が、データ通信許可テーブル141登録されているか否かを調べる。
【0084】そしてデータ通信許可判定部143は、上記IPアドレスとポート番号との組が登録されていた場合には「許可」を、登録されていなかった場合には「拒絶」を判定して、その判定結果をデータ通信要求処理部147に通知する。更にデータ通信許可判定部143は、「許可」と判定した場合には、データ通信許可リセット部144により、データ通信要求R12に付されていたIPアドレスとポート番号との組を含むエントリをデータ通信許可テーブル141から削除させる。つまり、データ通信要求R12中のIPアドレスとポート番号との組がデータ通信許可テーブル141内のエントリに登録されていたために、当該データ通信要求R12が許可される場合、このエントリ(の登録情報)が削除される。
【0085】これにより特定のIPアドレスのポート番号へのデータ通信要求は、1回のみしか許可されないことになる。
【0086】以上に述べた図4(図10)の構成におけるコネクション許可設定部42、コネクション許可判定部43、コネクション許可リセット部44、コネクション許可定期リセット部46及びコネクション要求処理部47(データ通信許可設定部142、データ通信許可判定部143、データ通信許可リセット部144、データ通信許可定期リセット部146及びデータ通信要求処理部147)の処理機能は、CD−ROM等の記憶媒体に記憶されているファイアウォール制御プログラムをネットワーク接続装置102iにインストールして当該ネットワーク接続装置102iにて読み取り実行することで実現される。なお、このプログラムが通信媒体を介してダウンロードされるものであっても構わない。
【0087】なお、前記第1(第2)の実施形態においては、コネクション許可設定要求R1(データ通信許可設定要求R11)には、タイムアウト時間の他に、クライアント計算機のIPアドレス、即ちサーバ計算機上のサーバプロセスからみた場合にはコネクション要求先(データ通信要求先)のIPアドレスとポート番号とが付加されているものとして説明したが、コネクション要求R2(データ通信要求R12)を発行する側、つまりコネクション要求元(データ通信要求元)のIPアドレスを更に付加するようにしても構わない。この場合、コネクション要求R2(データ通信要求R12)にも、コネクション要求先(データ通信要求先)のIPアドレスとポート番号に加えてコネクション要求元(データ通信要求元)のIPアドレスを付加し、コネクション許可判定部43(データ通信許可判定部143)では、コネクション要求先(データ通信要求先)のIPアドレスとポート番号だけでなく、コネクション要求元(データ通信要求元)のIPアドレスも一致することをもってコネクション(データ通信)の許可判定を行うとよい。
【0088】また前記第1の実施形態では、許可されたコネクションが張られている間に、コネクション先のクライアントポートを指すIPアドレス/ポート番号に対するコネクション要求が到来した場合の扱いについて特に考慮されていなかったが、このようなコネクション要求は不正侵入であるとコネクション要求処理部47がみなして、当該コネクション要求を拒絶すると共に、既に張られている、そのIPアドレス/ポート番号で指定されるクライアントポートとの間のコネクションをリセット(切断)してしまうことも可能である。
【0089】また前記第1の実施形態では、コネクション要求に対してコネクションが許可されてから一定時間の間に、コネクション先のクライアントポートを指すIPアドレス/ポート番号に対するコネクション要求が到来した場合の扱いについて特に考慮されていなかったが、このようなコネクション要求は不正侵入であるとコネクション要求処理部47がみなして、当該コネクション要求を拒絶すると共に、既に張られている、そのIPアドレス/ポート番号で指定されるクライアントポートとの間のコネクションをリセット(切断)してしまうことも可能である。
【0090】また、前記第1(第2)の実施形態では、ネットワーク接続装置におけるファイアウォール制御を、“外部から張られるコネクション要求”(“外部からデータ通信が行われる要求”)に適用するものとして説明したが、“外部に張るコネクション要求”(“外部にデータ通信を行う要求”)にも適用可能である。
【0091】更に、前記第1(第2)の実施形態では、TCP/IPプロトコルのコネクション要求(データ通信要求)に対して適用するものとして説明したが、TCP/IPプロトコル以外のプロトコルに対しても適用可能である。
【0092】なお、本発明は、上記各実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。更に、上記実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。例えば、実施形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題が解決でき、発明の効果の欄で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【0093】
【発明の効果】以上詳述したように本発明によれば、クライアント側ノードからのコネクション許可設定要求(またはデータ通信許可設定要求)により指定されたノードアドレスとポート番号とを含む情報を設定登録しておき、この設定されたノードアドレスとポート番号へのサーバ側ノードからのコネクション要求(データ通信要求)を一時的に許可する構成としたので、外部からの不正侵入が起きる可能性を極めて低い確率に抑えながら、外部から張られるコネクション要求(または外部からのデータ通信要求)を許可することができる。これにより、インターネット環境においてC/S型のアプリケーションを、セキュリティ上安全に実行することができる。
|
| 【出願人】 |
【識別番号】000003078
【氏名又は名称】株式会社東芝
|
| 【出願日】 |
平成12年9月29日(2000.9.29) |
| 【代理人】 |
【識別番号】100058479
【弁理士】
【氏名又は名称】鈴江 武彦 (外6名)
|
| 【公開番号】 |
特開2002−108729(P2002−108729A) |
| 【公開日】 |
平成14年4月12日(2002.4.12) |
| 【出願番号】 |
特願2000−301313(P2000−301313) |
|