[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2017200012A - Integrated threat management system, integrated threat management device, and integrated threat management method - Google Patents

Integrated threat management system, integrated threat management device, and integrated threat management method Download PDF

Info

Publication number
JP2017200012A
JP2017200012A JP2016088318A JP2016088318A JP2017200012A JP 2017200012 A JP2017200012 A JP 2017200012A JP 2016088318 A JP2016088318 A JP 2016088318A JP 2016088318 A JP2016088318 A JP 2016088318A JP 2017200012 A JP2017200012 A JP 2017200012A
Authority
JP
Japan
Prior art keywords
communication
switching hub
connection configuration
transfer parameter
threat management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016088318A
Other languages
Japanese (ja)
Other versions
JP6623917B2 (en
Inventor
明石 貴靖
Takayasu Akashi
貴靖 明石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nakayo Inc
Original Assignee
Nakayo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nakayo Inc filed Critical Nakayo Inc
Priority to JP2016088318A priority Critical patent/JP6623917B2/en
Publication of JP2017200012A publication Critical patent/JP2017200012A/en
Application granted granted Critical
Publication of JP6623917B2 publication Critical patent/JP6623917B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technique capable of blocking communication traffic having security problem reliably, by managing security of a network under control.SOLUTION: A switching hub function is given to a UTM device 3, and a LAN2 is constituted of one or more switching hubs 1-1, 1-2 having a virtual private network function. Each switching hub 1-1, 1-2 is set so that a virtual private network is formed between communication terminals 5-1, 5-2 and the UTM device 3, for each communication terminal 5-1, 5-2 connected with the LAN2. With such an arrangement, the UTM device 3 is interposed between the communication terminals 5-1, 5-2 and an opposite terminal, and manages security of the communication terminals 5-1, 5-2 communicating communication traffic with the opposite terminal.SELECTED DRAWING: Figure 1

Description

本発明は、通信端末のセキュリティを管理する統合脅威管理技術に関する。   The present invention relates to an integrated threat management technique for managing security of a communication terminal.

特許文献1には、通信端末のセキュリティを管理する統合脅威管理システムが開示されている。この統合脅威管理システムは、配下のネットワークと外部ネットワークとの間に設置された統合脅威管理装置(UTM設定ネットワーク装置)を有する。統合脅威管理装置は、通信トラヒックを受け入れまたは拒否する条件を定義する1つ以上のルールを含むルールセットを備えており、このルールセットに従い、配下のネットワークを介して外部ネットワークと通信トラヒックをやり取りする通信端末のセキュリティを管理する。   Patent Document 1 discloses an integrated threat management system that manages security of communication terminals. This integrated threat management system has an integrated threat management device (UTM setting network device) installed between a subordinate network and an external network. The integrated threat management apparatus includes a rule set including one or more rules that define conditions for accepting or rejecting communication traffic, and exchanges communication traffic with an external network via a subordinate network according to the rule set. Manage communication terminal security.

特開2011−100443号公報JP 2011-100443 A

特許文献1に記載の統合脅威管理システムは、配下のネットワークを介して外部ネットワークと通信トラヒックをやり取りする通信端末のセキュリティを管理することができるが、配下のネットワーク内で通信トラヒックをやり取りする通信端末のセキュリティを管理することはできない。   The integrated threat management system described in Patent Document 1 can manage the security of a communication terminal that exchanges communication traffic with an external network via a subordinate network, but the communication terminal that exchanges communication traffic within the subordinate network Can not manage the security of.

なお、配下のネットワークを構成するハブ各々に、このハブが中継する通信トラヒックを統合脅威管理装置にミラーリングする機能を持たせることにより、配下のネットワーク内で通信トラヒックをやり取りする通信端末のセキュリティを管理することもできる。しかしながら、この方法では、配下のネットワーク内でやり取りされる通信トラヒックにセキュリティ上の問題が検出された場合に、この通信トラヒックを遮断することはできない。   Each hub in the subordinate network has a function to mirror the communication traffic relayed by this hub to the integrated threat management device, thereby managing the security of communication terminals that exchange communication traffic within the subordinate network. You can also However, with this method, when a security problem is detected in communication traffic exchanged in a subordinate network, this communication traffic cannot be blocked.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、配下のネットワークのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる技術を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a technique capable of managing the security of a subordinate network and reliably blocking communication traffic having a security problem. There is.

上記課題を解決するために、本発明では、統合脅威管理装置にスイッチングハブ機能を持たせるともに、仮想プライベートネットワーク機能を有する1以上のスイッチングハブで配下のネットワークを構成する。そして、配下のネットワークに接続された通信端末毎に、通信端末と統合脅威管理装置との間に仮想プライベートネットワークが形成されるように各スイッチングハブを設定することにより、通信端末と相手端末との間の通信ルートに統合脅威管理装置を介在させて、相手端末と通信トラヒックをやり取りする通信端末のセキュリティを統合脅威管理装置に管理させる。   In order to solve the above problems, in the present invention, the integrated threat management apparatus is provided with a switching hub function and at least one switching hub having a virtual private network function constitutes a subordinate network. Then, for each communication terminal connected to the subordinate network, by setting each switching hub so that a virtual private network is formed between the communication terminal and the integrated threat management device, the communication terminal and the partner terminal The integrated threat management device is made to manage the security of the communication terminal that exchanges communication traffic with the partner terminal by interposing the integrated threat management device in the communication route between them.

例えば、本発明は、複数の異なるセキュリティ機能を統合して、配下のネットワークに接続された複数の通信端末のセキュリティを管理する統合脅威管理システムであって、
前記配下のネットワークおよび外部ネットワークに接続された統合脅威管理装置と、
前記配下のネットワークを構成する1以上のスイッチングハブと、を備え、
前記統合脅威管理装置は、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、を有し、
前記スイッチングハブは、
複数の通信ポートと、
いずれかの前記通信ポートに入力された通信パケットを当該通信パケットの宛先アドレスに従っていずれかの前記通信ポートに中継する中継手段と、
いずれか2つの前記通信ポートの一方に入力された通信パケットを他方へ中継するよう前記中継手段を制御する仮想プライベートネットワーク設定手段と、を有し、
前記スイッチングハブの前記仮想プライベートネットワーク設定手段によって、前記通信端末毎に、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークが形成されている。 For example, the present invention is an integrated threat management system that integrates a plurality of different security functions to manage the security of a plurality of communication terminals connected to a subordinate network,
An integrated threat management device connected to the subordinate network and the external network;
One or more switching hubs constituting the subordinate network,
The integrated threat management device includes:
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet;
Security check means for checking the security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying,
The switching hub is
Multiple communication ports,
Relay means for relaying a communication packet input to any of the communication ports to any of the communication ports according to a destination address of the communication packet;
Virtual private network setting means for controlling the relay means to relay a communication packet input to one of any two of the communication ports to the other,
A virtual private network is formed between the communication terminal and the integrated threat management device for each communication terminal by the virtual private network setting means of the switching hub.

本発明によれば、配下のネットワークに接続された通信端末毎に、通信端末と統合脅威管理装置との間に仮想プライベートネットワークが形成されるように各スイッチングハブを設定し、通信端末と相手端末との間の通信ルートに統合脅威管理装置を介在させているので、配下のネットワークおよび外部ネットワーク間の通信トラヒックのみならず、配下のネットワーク内の通信端末間の通信トラヒックについても、そのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる。   According to the present invention, for each communication terminal connected to a subordinate network, each switching hub is set so that a virtual private network is formed between the communication terminal and the integrated threat management device. Since the integrated threat management device is intervened in the communication route between the communication network and the external network, not only the communication traffic between the subordinate network and the external network, but also the communication traffic between the communication terminals in the subordinate network is managed. Thus, communication traffic having a security problem can be reliably blocked.

図1は、本発明の一実施の形態に係るUTMシステムの概略構成図である。FIG. 1 is a schematic configuration diagram of a UTM system according to an embodiment of the present invention. 図2は、本発明の一実施の形態に係るUTMシステムのVPN構成動作の一例を説明するためのシーケンス図である。FIG. 2 is a sequence diagram for explaining an example of the VPN configuration operation of the UTM system according to the embodiment of the present invention. 図3は、本発明の一実施の形態に係るUTMシステムのVPN構成動作の一例を説明するためのシーケンス図であり、図2の続きである。FIG. 3 is a sequence diagram for explaining an example of the VPN configuration operation of the UTM system according to the embodiment of the present invention, and is a continuation of FIG. 図4は、本発明の一実施の形態に係るUTMシステムのVPN構成動作の一例を説明するためのシーケンス図であり、図3の続きである。FIG. 4 is a sequence diagram for explaining an example of the VPN configuration operation of the UTM system according to the embodiment of the present invention, and is a continuation of FIG. 図5(A)ないし図5(D)は、接続構成情報テーブル6−1、6−2の登録内容を変遷の一例を説明するための図である。FIGS. 5A to 5D are diagrams for explaining an example of the transition of the registered contents of the connection configuration information tables 6-1 and 6-2. 図6は、UTM装置3の概略機能構成図である。FIG. 6 is a schematic functional configuration diagram of the UTM device 3. 図7は、UTM装置3の動作を説明するためのフロー図である。FIG. 7 is a flowchart for explaining the operation of the UTM device 3. 図8は、図7に示す通信ルート探索処理S308を説明するためのフロー図である。FIG. 8 is a flowchart for explaining the communication route search processing S308 shown in FIG. 図9は、スイッチングハブ1の概略機能構成図である。FIG. 9 is a schematic functional configuration diagram of the switching hub 1. 図10は、転送パラメータ記憶部13の登録内容例を模式的に表した図である。FIG. 10 is a diagram schematically illustrating an example of registered contents in the transfer parameter storage unit 13. 図11は、スイッチングハブ1の動作を説明するためのフロー図である。FIG. 11 is a flowchart for explaining the operation of the switching hub 1.

以下に、本発明の一実施の形態について説明する。   An embodiment of the present invention will be described below.

図1は、本実施の形態に係るUTM(統合脅威管理)システムの概略構成図である。   FIG. 1 is a schematic configuration diagram of a UTM (Unified Threat Management) system according to the present embodiment.

図示するように、本実施の形態に係るUTMシステムは、1以上のスイッチングハブ1−1、1−2(以下、単にスイッチングハブ1とも呼ぶ)で構成されたLAN2と、LAN2およびWAN4に接続されたUTM装置3と、LAN2に接続された複数の通信端末5−1、5−2(以下、単に通信端末5とも呼ぶ)と、を備えている。   As shown in the figure, the UTM system according to the present embodiment is connected to a LAN 2 composed of one or more switching hubs 1-1, 1-2 (hereinafter also simply referred to as switching hub 1), and LAN 2 and WAN 4. And a plurality of communication terminals 5-1 and 5-2 (hereinafter also simply referred to as communication terminals 5) connected to the LAN 2.

UTM装置3は、複数の異なるセキュリティ機能を統合して、通信端末5のセキュリティを管理する。また、UTM装置3は、スイッチングハブ機能およびDHCP(Dynamic Host Configuration Protocol)サーバ機能を備えている。   The UTM device 3 manages the security of the communication terminal 5 by integrating a plurality of different security functions. The UTM device 3 has a switching hub function and a DHCP (Dynamic Host Configuration Protocol) server function.

スイッチングハブ1は、複数の通信ポート10を備え、いずれかの通信ポート10に入力された通信パケットを、その宛先アドレスに従って他の通信ポート10に中継する。ここでは、スイッチングハブ1−1のポート番号「1」の通信ポート10およびポート番号「3」の通信ポート10に、それぞれUTM装置3およびスイッチングハブ1−2が接続され、スイッチングハブ1−2のポート番号「1」の通信ポート10、ポート番号「2」の通信ポート10、およびポート番号「3」の通信ポート10に、それぞれスイッチングハブ1−1、通信端末5−1、および通信端末5−2が接続されているものとする。また、スイッチングハブ1は、VPN(仮想プライベートネットワーク)機能を備えている。   The switching hub 1 includes a plurality of communication ports 10 and relays a communication packet input to one of the communication ports 10 to another communication port 10 according to the destination address. Here, the UTM device 3 and the switching hub 1-2 are connected to the communication port 10 of the port number “1” and the communication port 10 of the port number “3” of the switching hub 1-1, respectively. The communication hub 10 of port number “1”, the communication port 10 of port number “2”, and the communication port 10 of port number “3” are connected to switching hub 1-1, communication terminal 5-1, and communication terminal 5-, respectively. 2 is connected. The switching hub 1 has a VPN (virtual private network) function.

上記構成のUTMシステムにおいて、各スイッチングハブ1は、通信端末5毎に通信端末5とUTM装置3との間に仮想プライベートネットワークが形成されるように設定されている。これにより、UTM装置3は、各通信端末5の通信ルート上に配置され、各通信端末5が相手端末と送受する通信パケットをスイッチングハブ機能により中継する。   In the UTM system configured as described above, each switching hub 1 is set so that a virtual private network is formed between the communication terminal 5 and the UTM device 3 for each communication terminal 5. As a result, the UTM device 3 is arranged on the communication route of each communication terminal 5 and relays communication packets transmitted and received by each communication terminal 5 with the counterpart terminal by the switching hub function.

図2ないし図4は、本実施の形態に係るUTMシステムのVPN構成動作の一例を説明するためのシーケンス図である。このシーケンスでは、初期状態において、UTM装置3および通信端末5の電源が切断されているものとする。また、LAN2におけるUTM装置3およびスイッチングハブ1のIPアドレス(ローカルIPアドレス)が予め設定されているものとする。   2 to 4 are sequence diagrams for explaining an example of the VPN configuration operation of the UTM system according to the present embodiment. In this sequence, it is assumed that the UTM device 3 and the communication terminal 5 are powered off in the initial state. In addition, it is assumed that the IP addresses (local IP addresses) of the UTM device 3 and the switching hub 1 in the LAN 2 are set in advance.

まず、UTM装置3は、電源が投入されると(S100)、LAN2の接続構成を確認するための接続構成確認要求をLAN2側に同報送信する(S101)。この接続構成確認要求は、スイッチングハブ1−1およびスイッチングハブ1−2を経由して通信端末5−1、5−2へ送られるが、通信端末5−1、5−2は、いずれも電源が投入されていないため、接続構成確認要求を受信しない。   First, when the power is turned on (S100), the UTM device 3 transmits a connection configuration confirmation request for confirming the connection configuration of the LAN 2 to the LAN 2 side (S101). This connection configuration confirmation request is sent to the communication terminals 5-1 and 5-2 via the switching hub 1-1 and the switching hub 1-2. No connection configuration confirmation request is received because is not entered.

ここで、UTM装置3から送信された接続構成確認要求は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、接続構成要求が入力されたポート番号「1」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「1」および接続構成確認要求の送信元であるUTM装置3のMAC(Media Access Control)アドレスを含む転送パラメータを登録する(S102)。それから、この転送パラメータを含む接続構成通知を、例えばSNMP(Simple Network Management Protocol)トラップを利用してUTM装置3に送信する(S104)。   Here, the connection configuration confirmation request transmitted from the UTM device 3 is input to the communication port 10 having the port number “1” of the switching hub 1-1. The switching hub 1-1 confirms that the transfer parameter of the communication port 10 of the port number “1” to which the connection configuration request is input is not registered, and confirms the port number “1” of the communication port 10 and the connection configuration. The transfer parameter including the MAC (Media Access Control) address of the UTM device 3 that is the transmission source of the request is registered (S102). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM apparatus 3 by using, for example, an SNMP (Simple Network Management Protocol) trap (S104).

また、スイッチングハブ1−1から送信された接続構成確認要求は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、接続構成要求が入力されたポート番号「1」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「1」および接続構成確認要求の送信元であるUTM装置3のMACアドレスを含む転送パラメータを登録する(S103)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S105)。この接続構成通知は、スイッチングハブ1−1を経由してUTM装置3へ送られる。   The connection configuration confirmation request transmitted from the switching hub 1-1 is input to the communication port 10 having the port number “1” of the switching hub 1-2. The switching hub 1-2 confirms that the transfer parameter of the communication port 10 of the port number “1” to which the connection configuration request is input is not registered, and confirms the port number “1” of the communication port 10 and the connection configuration. A transfer parameter including the MAC address of the UTM device 3 that is the transmission source of the request is registered (S103). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM device 3 using, for example, an SNMP trap (S105). This connection configuration notification is sent to the UTM device 3 via the switching hub 1-1.

UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、これらの接続構成通知に含まれている転送パラメータに基づいて、接続構成情報を生成して登録する(S106)。   When receiving the connection configuration notifications from the switching hubs 1-1 and 1-2, the UTM device 3 generates and registers connection configuration information based on the transfer parameters included in these connection configuration notifications (S106). .

具体的には、図5(A)に示すように、接続構成通知の発信元であるスイッチングハブ1−1、1−2のIPアドレス毎に接続構成情報テーブル6−1、6−2(以下、接続構成情報テーブル6とも呼ぶ)を生成する。そして、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1に、ポート番号を登録するフィールド61および送信元のMACアドレスを登録するフィールド62を有するレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「1」およびUTM装置3のMACアドレスを登録する。同様に、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「1」およびUTM装置3のMACアドレスを登録する。   Specifically, as shown in FIG. 5 (A), connection configuration information tables 6-1 and 6-2 (hereinafter referred to as the IP addresses of the switching hubs 1-1 and 1-2 that are the source of the connection configuration notification). , Also referred to as connection configuration information table 6). Then, a record 60 having a field 61 for registering the port number and a field 62 for registering the source MAC address is added to the connection configuration information table 6-1 associated with the IP address of the switching hub 1-1. In the field 61 and field 62 of this record 60, the port number “1” of the transfer parameter included in the connection configuration notification received from the switching hub 1-1 and the MAC address of the UTM device 3 are registered. Similarly, the record 60 is added to the connection configuration information table 6-2 associated with the IP address of the switching hub 1-2, and the field 61 and the field 62 of the record 60 are received from the switching hub 1-2. The port number “1” of the transfer parameter included in the connection configuration notification and the MAC address of the UTM device 3 are registered.

また、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−1は、接続構成通知が入力されたポート番号「3」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「3」および接続構成通知の送信元であるスイッチングハブ1−2のMACアドレスを含む転送パラメータを登録する(S107)。それから、この接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S108)。   The connection configuration notification transmitted from the switching hub 1-2 is input to the communication port 10 having the port number “3” of the switching hub 1-1. The switching hub 1-1 confirms that the transfer parameter of the communication port 10 with the port number “3” to which the connection configuration notification is input is not registered, and the port number “3” of the communication port 10 and the connection configuration notification. The transfer parameter including the MAC address of the switching hub 1-2 that is the transmission source is registered (S107). Then, this connection configuration notification is transmitted to the UTM device 3 using, for example, an SNMP trap (S108).

UTM装置3は、スイッチングハブ1−1から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S109)。   When receiving the connection configuration notification from the switching hub 1-1, the UTM device 3 updates the connection configuration information based on the transfer parameter included in the connection configuration notification (S109).

具体的には、図5(B)に示すように、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」およびスイッチングハブ1−2のMACアドレスを登録する。   Specifically, as shown in FIG. 5B, a record 60 is added to the connection configuration information table 6-1 associated with the IP address of the switching hub 1-1, and a field 61 of this record 60 and In the field 62, the port number “3” of the transfer parameter included in the connection configuration notification received from the switching hub 1-1 and the MAC address of the switching hub 1-2 are registered.

その後、通信端末5−1の電源が投入されたものとする(S110)。   Thereafter, it is assumed that the communication terminal 5-1 is powered on (S110).

まず、通信端末5−1は、DHCPクライアントとして、DHCPサーバであるUTM装置3にIPアドレス設定要求を送信する(S111)。このIPアドレス設定要求は、UTM装置3への帰属要求として機能し、スイッチングハブ1−2およびスイッチングハブ1−1を経由してUTM装置3へ送られる。   First, the communication terminal 5-1 transmits an IP address setting request as a DHCP client to the UTM device 3 that is a DHCP server (S111). This IP address setting request functions as an attribution request to the UTM device 3 and is sent to the UTM device 3 via the switching hub 1-2 and the switching hub 1-1.

UTM装置3は、通信端末5−1からIPアドレス設定要求を受信すると、接続構成情報テーブル6を用いてUTM装置3と通信端末5−1との間の通信ルートを探索可能か否か判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているが、通信端末5−1のMACアドレスがフィールド62に登録されたレコード60はいずれの接続構成情報テーブル6−1、6−2にも登録されていないため、UTM装置3と通信端末5−1との間の通信ルートを探索できない。そこで、UTM装置3は、UTM装置3と通信端末5−1との間の通信ルートが確立されていないと判断し、この通信ルートが確立されるのを待つ(S112)。   When receiving the IP address setting request from the communication terminal 5-1, the UTM device 3 uses the connection configuration information table 6 to determine whether it is possible to search for a communication route between the UTM device 3 and the communication terminal 5-1. . At this stage, the record 60 in which the MAC address of the UTM device 3 is registered in the field 62 is registered in the connection configuration information tables 6-1 and 6-2, but the MAC address of the communication terminal 5-1 is in the field 62. Since the registered record 60 is not registered in any of the connection configuration information tables 6-1 and 6-2, the communication route between the UTM device 3 and the communication terminal 5-1 cannot be searched. Therefore, the UTM device 3 determines that the communication route between the UTM device 3 and the communication terminal 5-1 has not been established, and waits for this communication route to be established (S112).

ここで、通信端末5−1から送信されたIPアドレス設定要求は、スイッチングハブ1−2のポート番号「2」の通信ポート10に入力される。スイッチングハブ1−2は、IPアドレス設定要求が入力されたポート番号「2」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「2」およびIPアドレス設定要求の送信元である通信端末5−1のMACアドレスを含む転送パラメータを登録する(S113)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S114)。この接続構成通知は、スイッチングハブ1−1を介してUTM装置3に送られる。   Here, the IP address setting request transmitted from the communication terminal 5-1 is input to the communication port 10 having the port number “2” of the switching hub 1-2. The switching hub 1-2 confirms that the transfer parameter of the communication port 10 of the port number “2” to which the IP address setting request is input is not registered, and the port number “2” and the IP address of the communication port 10 The transfer parameter including the MAC address of the communication terminal 5-1 that is the transmission source of the setting request is registered (S113). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM device 3 using, for example, an SNMP trap (S114). This connection configuration notification is sent to the UTM device 3 via the switching hub 1-1.

また、スイッチングハブ1−2から送信されたIPアドレス設定要求は、スイッチングハブ1−1のポート「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータに含まれているMACアドレスがIPアドレス設定要求の送信元の通信端末5−1のMACアドレスと一致しないことを確認し、通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元である通信端末5−1のMACアドレスを含む転送パラメータを登録する(S115)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S116)。   The IP address setting request transmitted from the switching hub 1-2 is input to the communication port 10 of the port “3” of the switching hub 1-1. The switching hub 1-1 confirms that the MAC address included in the transfer parameter of the communication port 10 with the port number “3” does not match the MAC address of the communication terminal 5-1 that is the transmission source of the IP address setting request. Then, the transfer parameter including the port number “3” of the communication port 10 and the MAC address of the communication terminal 5-1 that is the transmission source of the IP address setting request is registered (S115). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM apparatus 3 using, for example, an SNMP trap (S116).

なお、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。ポート番号「3」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスが接続構成通知の送信元のスイッチングハブ1−2のMACアドレスと一致するため、つまり転送パラメータに変更がないため、スイッチングハブ1−1は、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。   The connection configuration notification transmitted from the switching hub 1-2 is input to the communication port 10 having the port number “3” of the switching hub 1-1. Since the transfer parameter of the communication port 10 with the port number “3” is registered and the MAC address included in this transfer parameter matches the MAC address of the switching hub 1-2 of the connection configuration notification source, That is, since there is no change in the transfer parameter, the switching hub 1-1 does not transmit the connection configuration notification including the transfer parameter to the UTM device 3.

UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S117)。   When receiving the connection configuration notification from the switching hubs 1-1 and 1-2, the UTM device 3 updates the connection configuration information based on the transfer parameters included in the connection configuration notification (S117).

具体的には、図5(C)に示すように、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「2」および通信端末5−1のMACアドレスを登録する。同様に、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−1のMACアドレスを登録する。   Specifically, as shown in FIG. 5C, a record 60 is added to the connection configuration information table 6-2 associated with the IP address of the switching hub 1-2, and a field 61 of this record 60 and In the field 62, the port number “2” of the transfer parameter included in the connection configuration notification received from the switching hub 1-2 and the MAC address of the communication terminal 5-1 are registered. Similarly, the record 60 is added to the connection configuration information table 6-1 associated with the IP address of the switching hub 1-1, and the field 61 and the field 62 of the record 60 are received from the switching hub 1-1. The port number “3” of the transfer parameter included in the connection configuration notification and the MAC address of the communication terminal 5-1 are registered.

さて、UTM装置3は、接続構成情報テーブル6が更新されると、更新された接続構成情報テーブル6を用いてUTM装置3と通信端末5−1との間の通信ルートを探索可能か否か再度判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されており、かつ通信端末5−1のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているため、UTM装置3と通信端末5−1との間の通信ルートを探索できる。そこで、UTM装置3は、UTM装置3と通信端末5−1との間の通信ルートが確立されたと判断し(S118)、後述の通信ルート探索処理を実施して、この通信ルートを探索する。そして、探索した通信ルート上にVPNを構築するべく、例えばSNMPセットを利用してVPN設定要求をスイッチングハブ1−1、1−2に送信する(S119、S122)。   When the connection configuration information table 6 is updated, the UTM device 3 can search for a communication route between the UTM device 3 and the communication terminal 5-1 using the updated connection configuration information table 6. Judge again. At this stage, the record 60 in which the MAC address of the UTM device 3 is registered in the field 62 is registered in the connection configuration information tables 6-1 and 6-2, and the MAC address of the communication terminal 5-1 is in the field 62. Since the registered record 60 is registered in the connection configuration information tables 6-1 and 6-2, a communication route between the UTM device 3 and the communication terminal 5-1 can be searched. Therefore, the UTM device 3 determines that a communication route between the UTM device 3 and the communication terminal 5-1 has been established (S118), performs a communication route search process described later, and searches for this communication route. Then, in order to construct a VPN on the searched communication route, for example, an SNMP set is used to transmit a VPN setting request to the switching hubs 1-1 and 1-2 (S119, S122).

ここでは、スイッチングハブ1−1のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−1にUTM装置3とスイッチングハブ1−2との間を中継させ、かつスイッチングハブ1−2のポート番号「1」およびポート番号「2」の通信ポート10間を接続して、スイッチングハブ1−2にスイッチングハブ1−1と通信端末5−1との間を中継させることにより、UTM装置3と通信端末5−1との間に通信ルートを確立できる。UTM装置3は、スイッチングハブ1−1に対して、通信端末5−1のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求を送信し(S119)、スイッチングハブ1−2に対して、通信端末5−1のMACアドレスおよび通信ポート10のポート番号「1」、「2」の指定を含むVPN設定要求を送信する(S122)。   Here, the communication ports 10 having the port number “1” and the port number “3” of the switching hub 1-1 are connected, and the switching hub 1-1 is relayed between the UTM device 3 and the switching hub 1-2. And connecting the communication ports 10 having the port number “1” and the port number “2” of the switching hub 1-2 to the switching hub 1-2 between the switching hub 1-1 and the communication terminal 5-1. Is relayed, a communication route can be established between the UTM device 3 and the communication terminal 5-1. The UTM device 3 transmits a VPN setting request including the MAC address of the communication terminal 5-1 and the port numbers “1” and “3” of the communication port 10 to the switching hub 1-1 (S119). A VPN setting request including designation of the MAC address of the communication terminal 5-1 and the port numbers “1” and “2” of the communication port 10 is transmitted to the switching hub 1-2 (S122).

スイッチングハブ1−1、1−2は、UTM装置3からVPN設定要求を受信すると、このVPN設定要求で指定されているMACアドレスにより特定される通信端末5−1を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの通信ポート10間を中継されるようにVPNを設定する(S120、S123)。ここで、スイッチングハブ1−1は、通信端末5−1を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間を中継されるようにVPNを設定し(S120)、スイッチングハブ1−2は、通信端末5−1を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「2」の通信ポート10間を中継されるようにVPNを設定する(S123)。これにより、UTM装置3と通信端末5−1との間にVPNが構築される。それから、スイッチングハブ1−1、1−2は、例えばSNMPレスポンスを利用してVPN設定完了通知をUTM装置3に送信する(S121、S124)。   When the switching hub 1-1, 1-2 receives a VPN setting request from the UTM device 3, the communication is made with the communication terminal 5-1 specified by the MAC address specified in the VPN setting request as a destination or a source. The VPN is set so that the packet is relayed between the two communication ports 10 specified in the VPN setting request (S120, S123). Here, the switching hub 1-1 sets the VPN so that communication packets destined for or originating from the communication terminal 5-1 are relayed between the communication ports 10 of the port number “1” and the port number “3”. (S120), the switching hub 1-2 is configured so that the communication packet destined for or originating from the communication terminal 5-1 is relayed between the communication ports 10 of the port number “1” and the port number “2”. Is set (S123). Thereby, a VPN is constructed between the UTM device 3 and the communication terminal 5-1. Then, the switching hubs 1-1 and 1-2 use the SNMP response, for example, to send a VPN setting completion notification to the UTM device 3 (S121, S124).

つぎに、UTM装置3は、スイッチングハブ1−1、1−2からVPN設定完了通知を受信すると、IPアドレスを発行して、このIPアドレスを通信端末5−1に付与する(S125)。それから、UTM装置3は、このIPアドレスを含むIPアドレス付与通知を通信端末5−1に送信する(S126)。このIPアドレス付与通知は、スイッチングハブ1−1およびスイッチングハブ1−2を介して通信端末5−1に送られる。   Next, when receiving the VPN setting completion notification from the switching hubs 1-1 and 1-2, the UTM device 3 issues an IP address and assigns this IP address to the communication terminal 5-1 (S125). Then, the UTM device 3 transmits an IP address assignment notification including this IP address to the communication terminal 5-1 (S126). This IP address assignment notification is sent to the communication terminal 5-1 via the switching hub 1-1 and the switching hub 1-2.

ここで、UTM装置3から送信されたIPアドレス付与通知は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。同様に、スイッチングハブ1−1から送信されたIPアドレス付与通知は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。   Here, the IP address assignment notification transmitted from the UTM device 3 is input to the communication port 10 of the port number “1” of the switching hub 1-1. In the switching hub 1-1, the transfer parameter of the communication port 10 with the port number “1” is registered, and the MAC address included in the transfer parameter is the MAC of the UTM device 3 that is the transmission source of the IP address assignment notification. Since it matches the address, that is, there is no change in the transfer parameter, the connection configuration notification including this transfer parameter is not transmitted to the UTM device 3. Similarly, the IP address assignment notification transmitted from the switching hub 1-1 is input to the communication port 10 having the port number “1” of the switching hub 1-2. In the switching hub 1-2, the transfer parameter of the communication port 10 with the port number “1” is registered, and the MAC address included in the transfer parameter is the MAC of the UTM device 3 that is the transmission source of the IP address assignment notification. Since it matches the address, that is, there is no change in the transfer parameter, the connection configuration notification including this transfer parameter is not transmitted to the UTM device 3.

通信端末5−1は、スイッチングハブ1−1、1−2を介してUTM装置3からIPアドレス付与通知を受信すると、自身のIPアドレスを、このIPアドレス付与通知に含まれているIPアドレスに設定する(S127)。   When the communication terminal 5-1 receives the IP address assignment notification from the UTM device 3 via the switching hubs 1-1 and 1-2, the communication terminal 5-1 changes its own IP address to the IP address included in this IP address assignment notification. It sets (S127).

つぎに、通信端末5−2の電源が投入されたものとする(S128)。   Next, it is assumed that the communication terminal 5-2 is powered on (S128).

まず、通信端末5−2は、DHCPクライアントとして、DHCPサーバであるUTM装置3にIPアドレス設定要求を送信する(S129)。このIPアドレス設定要求は、UTM装置3への帰属要求として機能し、スイッチングハブ1−2およびスイッチングハブ1−1を経由してUTM装置3へ送られる。   First, the communication terminal 5-2 transmits an IP address setting request as a DHCP client to the UTM device 3 which is a DHCP server (S129). This IP address setting request functions as an attribution request to the UTM device 3 and is sent to the UTM device 3 via the switching hub 1-2 and the switching hub 1-1.

UTM装置3は、通信端末5−2からIPアドレス設定要求を受信すると、接続構成情報テーブル6を用いてUTM装置3と通信端末5−2との間の通信ルートを探索可能か否か判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているが、通信端末5−2のMACアドレスがフィールド62に登録されたレコード60はいずれの接続構成情報テーブル6−1、6−2にも登録されていないため、UTM装置3と通信端末5−2との間の通信ルートを探索できない。そこで、UTM装置3は、UTM装置3と通信端末5−2との間の通信ルートが確立されていないと判断し、この通信ルートが確立されるのを待つ(S130)。   When receiving the IP address setting request from the communication terminal 5-2, the UTM device 3 uses the connection configuration information table 6 to determine whether it is possible to search for a communication route between the UTM device 3 and the communication terminal 5-2. . At this stage, the record 60 in which the MAC address of the UTM device 3 is registered in the field 62 is registered in the connection configuration information tables 6-1 and 6-2, but the MAC address of the communication terminal 5-2 is stored in the field 62. Since the registered record 60 is not registered in any of the connection configuration information tables 6-1 and 6-2, a communication route between the UTM device 3 and the communication terminal 5-2 cannot be searched. Therefore, the UTM device 3 determines that the communication route between the UTM device 3 and the communication terminal 5-2 has not been established, and waits for this communication route to be established (S130).

ここで、通信端末5−2から送信されたIPアドレス設定要求は、スイッチングハブ1−2のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−2は、IPアドレス設定要求が入力されたポート番号「3」の通信ポート10の転送パラメータが登録されていないことを確認し、この通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元の通信端末5−2のMACアドレスを含む転送パラメータを登録する(S131)。それから、この転送パラメータを含む接続構成通知を例えばSNMPトラップを利用してUTM装置3に送信する(S132)。この接続構成通知は、スイッチングハブ1−1を介してUTM装置3に送られる。   Here, the IP address setting request transmitted from the communication terminal 5-2 is input to the communication port 10 having the port number “3” of the switching hub 1-2. The switching hub 1-2 confirms that the transfer parameter of the communication port 10 of the port number “3” to which the IP address setting request is input is not registered, and the port number “3” and the IP address of the communication port 10 The transfer parameter including the MAC address of the communication terminal 5-2 that is the transmission source of the setting request is registered (S131). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM device 3 using, for example, an SNMP trap (S132). This connection configuration notification is sent to the UTM device 3 via the switching hub 1-1.

また、スイッチングハブ1−2から送信されたIPアドレス設定要求は、スイッチングハブ1−1のポート「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータに含まれているMACアドレスがIPアドレス設定要求の送信元の通信端末5−2のMACアドレスと一致しないことを確認し、通信ポート10のポート番号「3」およびIPアドレス設定要求の送信元である通信端末5−2のMACアドレスを含む転送パラメータを登録する(S133)。それから、この転送パラメータを含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する(S134)。   The IP address setting request transmitted from the switching hub 1-2 is input to the communication port 10 of the port “3” of the switching hub 1-1. The switching hub 1-1 confirms that the MAC address included in the transfer parameter of the communication port 10 with the port number “3” does not match the MAC address of the communication terminal 5-2 that is the transmission source of the IP address setting request. The transfer parameter including the port number “3” of the communication port 10 and the MAC address of the communication terminal 5-2 that is the transmission source of the IP address setting request is registered (S133). Then, a connection configuration notification including this transfer parameter is transmitted to the UTM device 3 using, for example, an SNMP trap (S134).

なお、スイッチングハブ1−2から送信された接続構成通知は、スイッチングハブ1−1のポート番号「3」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「3」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスが接続構成通知の送信元のスイッチングハブ1−2のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。   The connection configuration notification transmitted from the switching hub 1-2 is input to the communication port 10 having the port number “3” of the switching hub 1-1. In the switching hub 1-1, the transfer parameter of the communication port 10 with the port number "3" is registered, and the MAC address included in the transfer parameter is the transmission hub notification of the switching hub 1-2 of the connection configuration notification Since it matches with the MAC address, that is, there is no change in the transfer parameter, the connection configuration notification including this transfer parameter is not transmitted to the UTM device 3.

UTM装置3は、スイッチングハブ1−1、1−2から接続構成通知を受信すると、この接続構成通知に含まれている転送パラメータに基づいて接続構成情報を更新する(S135)。   When receiving the connection configuration notification from the switching hubs 1-1 and 1-2, the UTM device 3 updates the connection configuration information based on the transfer parameters included in the connection configuration notification (S135).

具体的には、図5(D)に示すように、スイッチングハブ1−2のIPアドレスに対応付けられた接続構成情報テーブル6−2にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−2から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−2のMACアドレスを登録する。同様に、スイッチングハブ1−1のIPアドレスに対応付けられた接続構成情報テーブル6−1にレコード60を追加して、このレコード60のフィールド61およびフィールド62に、スイッチングハブ1−1から受信した接続構成通知に含まれている転送パラメータのポート番号「3」および通信端末5−2のMACアドレスを登録する。   Specifically, as shown in FIG. 5D, a record 60 is added to the connection configuration information table 6-2 associated with the IP address of the switching hub 1-2, and a field 61 of this record 60 and In the field 62, the port number “3” of the transfer parameter included in the connection configuration notification received from the switching hub 1-2 and the MAC address of the communication terminal 5-2 are registered. Similarly, the record 60 is added to the connection configuration information table 6-1 associated with the IP address of the switching hub 1-1, and the field 61 and the field 62 of the record 60 are received from the switching hub 1-1. The port number “3” of the transfer parameter included in the connection configuration notification and the MAC address of the communication terminal 5-2 are registered.

さて、UTM装置3は、接続構成情報テーブル6が更新されると、更新された接続構成情報テーブル6を用いてUTM装置3と通信端末5−2との間の通信ルートを探索可能か否か再度判断する。この段階では、UTM装置3のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されており、かつ通信端末5−2のMACアドレスがフィールド62に登録されたレコード60は接続構成情報テーブル6−1、6−2に登録されているため、UTM装置3と通信端末5−2との間の通信ルートを探索できる。そこで、UTM装置3は、UTM装置3と通信端末5−2との間の通信ルートが確立されたと判断し(S136)、後述の通信ルート探索処理を実施して、この通信ルートを探索する。そして、探索した通信ルート上にVPNを構築するべく、例えばSNMPセットを利用してVPN設定要求をスイッチングハブ1−1、1−2に送信する(S137、S140)。   When the connection configuration information table 6 is updated, the UTM device 3 can search for a communication route between the UTM device 3 and the communication terminal 5-2 using the updated connection configuration information table 6. Judge again. At this stage, the record 60 in which the MAC address of the UTM device 3 is registered in the field 62 is registered in the connection configuration information tables 6-1 and 6-2, and the MAC address of the communication terminal 5-2 is stored in the field 62. Since the registered record 60 is registered in the connection configuration information tables 6-1 and 6-2, a communication route between the UTM device 3 and the communication terminal 5-2 can be searched. Therefore, the UTM device 3 determines that a communication route between the UTM device 3 and the communication terminal 5-2 has been established (S136), performs a communication route search process described later, and searches for this communication route. Then, in order to build a VPN on the searched communication route, for example, an SNMP set is used to transmit a VPN setting request to the switching hubs 1-1 and 1-2 (S137, S140).

ここでは、スイッチングハブ1−1のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−1にUTM装置3とスイッチングハブ1−2との間を中継させるとともに、スイッチングハブ1−2のポート番号「1」およびポート番号「3」の通信ポート10間を接続して、スイッチングハブ1−2にスイッチングハブ1−1と通信端末5−2との間を中継させることにより、UTM装置3と通信端末5−2との間に通信ルートを確立できる。UTM装置3は、通信端末5−2のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求をスイッチングハブ1−1に送信し(S137)、通信端末5−2のMACアドレスおよび通信ポート10のポート番号「1」、「3」の指定を含むVPN設定要求をスイッチングハブ1−2に送信する(S140)。   Here, the communication ports 10 having the port number “1” and the port number “3” of the switching hub 1-1 are connected, and the switching hub 1-1 is relayed between the UTM device 3 and the switching hub 1-2. In addition, the communication ports 10 having the port numbers “1” and “3” of the switching hub 1-2 are connected to each other, and the switching hub 1-2 is connected between the switching hub 1-1 and the communication terminal 5-2. Is relayed, a communication route can be established between the UTM device 3 and the communication terminal 5-2. The UTM device 3 transmits a VPN setting request including the designation of the MAC address of the communication terminal 5-2 and the port numbers “1” and “3” of the communication port 10 to the switching hub 1-1 (S137). -2 is transmitted to the switching hub 1-2 including a MAC address of -2 and the port numbers "1" and "3" of the communication port 10 (S140).

スイッチングハブ1−1、1−2は、UTM装置3からVPN設定要求を受信すると、このVPN設定要求で指定されているMACアドレスにより特定される通信端末5−2を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの通信ポート10間を中継されるようにVPNを設定する(S138、S141)。ここで、スイッチングハブ1−1は、通信端末5−2を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間を中継されるようにVPNを設定し(S138)、スイッチングハブ1−2は、通信端末5−2を宛先あるいは発信元とする通信パケットがポート番号「1」およびポート番号「3」の通信ポート10間が中継されるようにVPNを設定する(S141)。これにより、UTM装置3と通信端末5−2との間にVPNが構築される。それから、スイッチングハブ1−1、1−2は、例えばSNMPレスポンスを利用してVPN設定完了通知をUTM装置3に送信する(S139、S142)。   When the switching hubs 1-1 and 1-2 receive the VPN setting request from the UTM device 3, the communication is made with the communication terminal 5-2 specified by the MAC address specified in the VPN setting request as a destination or a source. The VPN is set so that the packet is relayed between the two communication ports 10 specified in the VPN setting request (S138, S141). Here, the switching hub 1-1 sets the VPN so that communication packets destined to or originating from the communication terminal 5-2 are relayed between the communication ports 10 having the port number “1” and the port number “3”. In step S138, the switching hub 1-2 transmits the VPN between the communication port 10 having the port number “1” and the port number “3” so that the communication packet having the communication terminal 5-2 as the destination or the source is relayed. Is set (S141). Thereby, a VPN is constructed between the UTM device 3 and the communication terminal 5-2. Then, the switching hubs 1-1 and 1-2 transmit a VPN setting completion notification to the UTM device 3 using, for example, an SNMP response (S139, S142).

つぎに、UTM装置3は、スイッチングハブ1−1、1−2からVPN設定完了通知を受信すると、IPアドレスを発行して、このIPアドレスを通信端末5−2に付与する(S143)。それから、UTM装置3は、このIPアドレスを含むIPアドレス付与通知を通信端末5−2に送信する(S144)。このIPアドレス付与通知は、スイッチングハブ1−1およびスイッチングハブ1−2を介して通信端末5−2に送られる。   Next, when receiving the VPN setting completion notification from the switching hubs 1-1 and 1-2, the UTM device 3 issues an IP address and assigns this IP address to the communication terminal 5-2 (S143). Then, the UTM device 3 transmits an IP address assignment notification including this IP address to the communication terminal 5-2 (S144). This IP address assignment notification is sent to the communication terminal 5-2 via the switching hub 1-1 and the switching hub 1-2.

ここで、UTM装置3から送信されたIPアドレス付与通知は、スイッチングハブ1−1のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−1は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。同様に、スイッチングハブ1−1から送信されたIPアドレス付与通知は、スイッチングハブ1−2のポート番号「1」の通信ポート10に入力される。スイッチングハブ1−2は、ポート番号「1」の通信ポート10の転送パラメータが登録されており、かつこの転送パラメータに含まれているMACアドレスがIPアドレス付与通知の送信元のUTM装置3のMACアドレスと一致するため、つまり転送パラメータに変更がないため、この転送パラメータを含む接続構成通知をUTM装置3に送信しない。   Here, the IP address assignment notification transmitted from the UTM device 3 is input to the communication port 10 of the port number “1” of the switching hub 1-1. In the switching hub 1-1, the transfer parameter of the communication port 10 with the port number “1” is registered, and the MAC address included in the transfer parameter is the MAC of the UTM device 3 that is the transmission source of the IP address assignment notification. Since it matches the address, that is, there is no change in the transfer parameter, the connection configuration notification including this transfer parameter is not transmitted to the UTM device 3. Similarly, the IP address assignment notification transmitted from the switching hub 1-1 is input to the communication port 10 having the port number “1” of the switching hub 1-2. In the switching hub 1-2, the transfer parameter of the communication port 10 with the port number “1” is registered, and the MAC address included in the transfer parameter is the MAC of the UTM device 3 that is the transmission source of the IP address assignment notification. Since it matches the address, that is, there is no change in the transfer parameter, the connection configuration notification including this transfer parameter is not transmitted to the UTM device 3.

通信端末5−2は、スイッチングハブ1−1、1−2を介してUTM装置3からIPアドレス付与通知を受信すると、自身のIPアドレスを、このIPアドレス付与通知に含まれているIPアドレスに設定する(S145)。   When the communication terminal 5-2 receives the IP address assignment notification from the UTM device 3 via the switching hubs 1-1 and 1-2, the communication terminal 5-2 changes its own IP address to the IP address included in the IP address assignment notification. The setting is made (S145).

つぎに、本実施の形態に係るUTMシステムを構成するUTM装置3およびスイッチングハブ1の詳細を説明する。なお、通信端末5には既存の通信端末を利用できるので、その詳細な説明を省略している。   Next, details of the UTM device 3 and the switching hub 1 constituting the UTM system according to the present embodiment will be described. In addition, since the existing communication terminal can be utilized for the communication terminal 5, the detailed description is abbreviate | omitted.

まず、UTM装置3について説明する。   First, the UTM device 3 will be described.

図6は、UTM装置3の概略機能構成図である。   FIG. 6 is a schematic functional configuration diagram of the UTM device 3.

図示するように、UTM装置3は、LANインターフェース部30と、WANインターフェース部31と、スイッチングハブ機能部32と、セキュリティチェック部33と、DHCPサーバ機能部34と、接続構成情報記憶部35と、接続構成確認要求部36と、接続構成通知受信部37と、接続構成情報登録部38と、通信ルート探索部39と、VPN設定要求部40と、を備えている。   As illustrated, the UTM device 3 includes a LAN interface unit 30, a WAN interface unit 31, a switching hub function unit 32, a security check unit 33, a DHCP server function unit 34, a connection configuration information storage unit 35, A connection configuration confirmation request unit 36, a connection configuration notification reception unit 37, a connection configuration information registration unit 38, a communication route search unit 39, and a VPN setting request unit 40 are provided.

LANインターフェース部30はLAN2と通信するためのインターフェースであり、WANインターフェース部31はWAN4と通信するためのインターフェースである。   The LAN interface unit 30 is an interface for communicating with the LAN 2, and the WAN interface unit 31 is an interface for communicating with the WAN 4.

スイッチングハブ機能部32は、スイッチングハブとして機能し、セキュリティチェック部33を介してLANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットを、その宛先アドレスに基づいてLANインターフェース部30あるいはWANインターフェース部31に中継する。   The switching hub function unit 32 functions as a switching hub, and receives a communication packet received from the LAN interface unit 30 or the WAN interface unit 31 via the security check unit 33 based on the destination address of the LAN interface unit 30 or the WAN interface unit. Relay to 31.

セキュリティチェック部33は、予め定められたルールに従い、LANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットのセキュリティをチェックする。   The security check unit 33 checks the security of the communication packet received from the LAN interface unit 30 or the WAN interface unit 31 according to a predetermined rule.

DHCPサーバ機能部34は、DHCPサーバとして機能し、DHCPクライアントである通信端末5に対してIPアドレスを発行し付与する。   The DHCP server function unit 34 functions as a DHCP server, and issues and assigns an IP address to the communication terminal 5 that is a DHCP client.

接続構成情報記憶部35には、LAN2を構成するスイッチングハブ1毎に、図5(A)ないし図5(D)に示す接続構成情報テーブル6が記憶される。   The connection configuration information storage unit 35 stores a connection configuration information table 6 shown in FIG. 5A to FIG. 5D for each switching hub 1 configuring the LAN 2.

接続構成確認要求部36は、UTM装置3の起動を含む所定のイベント発生時に、LAN2の接続構成を確認するための接続構成確認要求を、LANインターフェース部30からLAN2へ同報送信する。   The connection configuration confirmation request unit 36 transmits a connection configuration confirmation request for confirming the connection configuration of the LAN 2 from the LAN interface unit 30 to the LAN 2 when a predetermined event including the activation of the UTM device 3 occurs.

接続構成通知受信部37は、LANインターフェース部30を介してスイッチングハブ1から接続構成通知を受信する。   The connection configuration notification receiving unit 37 receives a connection configuration notification from the switching hub 1 via the LAN interface unit 30.

接続構成情報登録部38は、接続構成通知受信部37により受信された接続構成通知に含まれている転送パラメータに従って接続構成情報記憶部35の登録内容を更新する。   The connection configuration information registration unit 38 updates the registration contents of the connection configuration information storage unit 35 according to the transfer parameters included in the connection configuration notification received by the connection configuration notification reception unit 37.

通信ルート探索部39は、接続構成情報記憶部35を用いて、DHCPサーバ機能部34にIPアドレス設定要求を送信した通信端末5とUTM装置3との間の通信ルートを探索する。   The communication route search unit 39 uses the connection configuration information storage unit 35 to search for a communication route between the communication terminal 5 that has transmitted the IP address setting request to the DHCP server function unit 34 and the UTM device 3.

VPN設定要求部40は、通信ルート探索部39により探索された通信端末5とUTM装置3との間の通信ルートにVPNを構築するため、この通信ルート上に位置するスイッチングハブ1に、例えばSNMPセットを利用してVPN設定要求を送信する。   The VPN setting request unit 40 constructs a VPN in the communication route between the communication terminal 5 and the UTM device 3 searched by the communication route search unit 39, so that the switching hub 1 located on this communication route, for example, SNMP A VPN setting request is transmitted using the set.

図7は、UTM装置3の動作を説明するためのフロー図である。このフローは、UTM装置3が起動あるいは再起動することにより開始される。   FIG. 7 is a flowchart for explaining the operation of the UTM device 3. This flow is started when the UTM device 3 is activated or restarted.

まず、接続構成確認要求部36は、接続構成確認要求をLANインターフェース部30から同報送信する(S300)。   First, the connection configuration confirmation request unit 36 broadcasts a connection configuration confirmation request from the LAN interface unit 30 (S300).

つぎに、LANインターフェース部30あるいはWANインターフェース部31は、通信パケットを受信すると(S301でYES)、この通信パケットを解析する(S302)。ここで、LANインターフェース部30は、LAN2から受信した通信パケットが、自UTM装置3を宛先とするIPアドレス設定要求であるならば(S302で「IPアドレス設定要求」)、このIPアドレス設定要求をDHCPサーバ機能部34に渡して処理をS303に進め、自UTM装置3を宛先とする接続構成通知であるならば(S302で「接続構成通知」)、この接続構成通知を接続構成通知受信部37に渡して処理をS305に進め、そして、自UTM装置3以外を宛先とする中継対象の通信パケットであるならば(S302で「中継パケット」)、この通信パケットをセキュリティチェック部33に渡して処理をS314に進める。また、WANインターフェース部31は、WAN4から受信した通信パケットが、自UTM装置3以外を宛先とする中継対象の通信パケットであるならば(S302で「中継パケット」)、この通信パケットをセキュリティチェック部33に渡して処理をS314に進める。   Next, when receiving the communication packet (YES in S301), the LAN interface unit 30 or the WAN interface unit 31 analyzes the communication packet (S302). Here, if the communication packet received from the LAN 2 is an IP address setting request destined for the own UTM device 3 (“IP address setting request” in S302), the LAN interface unit 30 sends this IP address setting request. The process is passed to the DHCP server function unit 34 and the process proceeds to S303. If the connection configuration notification is for the local UTM device 3 (“connection configuration notification” in S302), this connection configuration notification is sent to the connection configuration notification receiving unit 37. If it is a communication packet to be relayed with a destination other than its own UTM device 3 (“relay packet” in S302), the communication packet is passed to the security check unit 33 for processing. To S314. Further, if the communication packet received from the WAN 4 is a relay target communication packet destined for a destination other than the own UTM device 3 (“relay packet” in S302), the WAN interface unit 31 converts the communication packet into a security check unit. Then, the process proceeds to S314.

S303において、DHCPサーバ機能部34は、通信ルート探索部39に、IPアドレス設定要求発信元の通信端末5のMACアドレスを渡して、この通信端末5および自UTM装置3間の通信ルートの探索を依頼する。これを受けて、通信ルート探索部39は、接続構成情報記憶部35を用いて通信ルートの探索可否を判断する。   In S303, the DHCP server function unit 34 passes the MAC address of the communication terminal 5 that is the source of the IP address setting request to the communication route search unit 39, and searches for a communication route between the communication terminal 5 and the own UTM device 3. Ask. In response to this, the communication route search unit 39 uses the connection configuration information storage unit 35 to determine whether or not a communication route can be searched.

具体的には、接続構成情報記憶部35内のいずれかの接続構成情報テーブル6に、自UTM装置3のMACアドレスが登録されたレコード60が登録され、かつ接続構成情報記憶部35内の自UTM装置3のMACアドレスが登録されたレコード60が登録されたすべての接続構成情報テーブル6に、IPアドレス設定要求発信元の通信端末5のMACアドレスが登録されたレコード60が登録されている場合には、通信ルートを探索可能と判断し、それ以外の場合には、通信ルートを探索不可能と判断する。そして、通信ルートを探索可能と判断したならば(S303でYES)、S308に進む。一方、通信ルートを探索不可能と判断したならば(S303でNO)、IPアドレス設定要求発信元の通信端末5のMACアドレスに対応付けられた通信ルート確立待ちフラグを登録し(S304)、DHCPサーバ機能部34に、IPアドレスの発行を待つように指示する。それから、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   Specifically, the record 60 in which the MAC address of the own UTM device 3 is registered is registered in any one of the connection configuration information tables 6 in the connection configuration information storage unit 35, and the local configuration in the connection configuration information storage unit 35 is registered. When the record 60 in which the MAC address of the communication terminal 5 of the IP address setting request source is registered is registered in all the connection configuration information tables 6 in which the record 60 in which the MAC address of the UTM device 3 is registered is registered. The communication route is determined to be searchable. In other cases, it is determined that the communication route cannot be searched. If it is determined that the communication route can be searched (YES in S303), the process proceeds to S308. On the other hand, if it is determined that the communication route cannot be searched (NO in S303), a communication route establishment waiting flag associated with the MAC address of the communication terminal 5 that is the source of the IP address setting request is registered (S304), and DHCP is set. The server function unit 34 is instructed to wait for the issuance of an IP address. Then, the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

また、S305において、接続構成通知受信部37は、LANインターフェース部30から受け取った接続構成通知を接続構成情報登録部38に渡す。そして、接続構成情報登録部38は、この接続構成通知に基づいて接続構成情報記憶部35に接続構成情報を登録または接続構成情報記憶部35の接続構成情報を更新する。   In step S <b> 305, the connection configuration notification receiving unit 37 passes the connection configuration notification received from the LAN interface unit 30 to the connection configuration information registration unit 38. Then, the connection configuration information registration unit 38 registers connection configuration information in the connection configuration information storage unit 35 or updates the connection configuration information in the connection configuration information storage unit 35 based on this connection configuration notification.

具体的には、接続構成情報登録部38は、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6が接続構成情報記憶部35に記憶されているか否かを判断する。記憶されていないならば、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6を接続構成情報記憶部35に追加して、この接続構成情報テーブル6にレコード60を追加する。そして、追加したレコード60に、接続構成通知に含まれている転送パラメータ(通信ポート10のポート番号およびこの通信ポート10に入力された通信パケットの送信元のMACアドレス)を登録する。一方、接続構成通知の発信元であるスイッチングハブ1のIPアドレスに対応付けられた接続構成情報テーブル6が接続構成情報記憶部35に記憶されているならば、この接続構成情報テーブル6から、接続構成通知に含まれている転送パラメータのポート番号およびMACアドレスを含むレコード60を検索する。そして、レコード60を検索できなかったならば、この接続構成情報テーブル6にレコード60を追加し、このレコード60に、接続構成通知に含まれている転送パラメータを登録する。   Specifically, the connection configuration information registration unit 38 determines whether or not the connection configuration information storage unit 35 stores the connection configuration information table 6 associated with the IP address of the switching hub 1 that is the transmission source of the connection configuration notification. Determine whether. If not stored, the connection configuration information table 6 associated with the IP address of the switching hub 1 that is the source of the connection configuration notification is added to the connection configuration information storage unit 35, and the connection configuration information table 6 Record 60 is added. Then, the transfer parameters (port number of the communication port 10 and the MAC address of the transmission source of the communication packet input to the communication port 10) included in the connection configuration notification are registered in the added record 60. On the other hand, if the connection configuration information table 6 associated with the IP address of the switching hub 1 that is the source of the connection configuration notification is stored in the connection configuration information storage unit 35, the connection configuration information table 6 The record 60 including the port number and MAC address of the transfer parameter included in the configuration notification is searched. If the record 60 cannot be searched, the record 60 is added to the connection configuration information table 6 and the transfer parameter included in the connection configuration notification is registered in the record 60.

接続構成情報登録部38によって接続構成情報記憶部35が更新されると、通信ルート探索部39は、通信ルート確立待ちフラグが登録されているか否かを判断する(S306)。通信ルート確立待ちフラグが登録されていないならば(S306でNO)、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   When the connection configuration information storage unit 35 is updated by the connection configuration information registration unit 38, the communication route search unit 39 determines whether or not a communication route establishment waiting flag is registered (S306). If the communication route establishment wait flag is not registered (NO in S306), the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

一方、通信ルート確立待ちフラグが登録されているならば(S306でYES)、通信ルート探索部39は、S303と同様の要領により、接続構成情報記憶部35を用いて通信ルートの探索可否を判断する(S307)。通信ルートを探索不可能と判断したならば(S307でNO)、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   On the other hand, if the communication route establishment waiting flag is registered (YES in S306), the communication route search unit 39 determines whether or not a communication route can be searched using the connection configuration information storage unit 35 in the same manner as in S303. (S307). If it is determined that the communication route cannot be searched (NO in S307), the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

一方、通信ルートを探索可能と判断したならば(S307でYES)、接続構成情報記憶部35を用いて後述の通信ルート探索処理を実施して、自UTM装置3とIPアドレス設定要求発信元の通信端末5との間の中継ルートを探索する(S308)。つぎに、通信ルート探索部39は、探索した中継ルートを、IPアドレス設定要求発信元の通信端末5のMACアドレスとともにVPN設定要求部40に渡してVPNの構築を指示する。これを受けて、VPN設定要求部40は、中継ルート上に位置するスイッチングハブ1各々に対して、自UTM装置3とIPアドレス設定要求発信元の通信端末5との間にVPNを構築するためのVPN設定要求を、LANインターフェース部30から送信する(S309)。具体的には、中継ルートに含まれている後述の中継ポイント情報毎に、IPアドレス設定要求発信元の通信端末5のMACアドレスおよび中継ポイント情報に含まれている2つの中継ポートのポート番号を含むVPN設定要求を、中継ポイント情報に含まれている中継ハブに送信する。それから、通信ルート探索部39は、LANインターフェース部30を介して、通信ルート上に位置するスイッチングハブ1各々からVPN設定完了通知を受信して(S310)、VPNの構築完了を通信ルート探索部39に通知する。   On the other hand, if it is determined that a communication route can be searched (YES in S307), a communication route search process described later is performed using the connection configuration information storage unit 35, and the own UTM device 3 and the IP address setting request source A relay route with the communication terminal 5 is searched (S308). Next, the communication route search unit 39 passes the searched relay route to the VPN setting request unit 40 together with the MAC address of the communication terminal 5 that is the source of the IP address setting request, and instructs the VPN construction. In response to this, the VPN setting request unit 40 establishes a VPN between the own UTM device 3 and the communication terminal 5 that is the source of the IP address setting request for each switching hub 1 located on the relay route. The VPN setting request is transmitted from the LAN interface unit 30 (S309). Specifically, for each later-described relay point information included in the relay route, the IP address setting request source communication terminal 5 MAC address and the port numbers of the two relay ports included in the relay point information are set. The included VPN setting request is transmitted to the relay hub included in the relay point information. Then, the communication route search unit 39 receives a VPN setting completion notification from each of the switching hubs 1 located on the communication route via the LAN interface unit 30 (S310). Notify

通信ルート探索部39は、VPN設定要求部40からVPNの構築完了の通知を受け取ったならば、通信ルート確立待ちフラグの登録を解除する(S311)。その後、DHCPサーバ機能部34にIPアドレスの発行を許可する。これを受けて、DHCPサーバ機能部34は、IPアドレス設定要求発信元の通信端末5に対して、IPアドレスを発行し(S312)、このIPアドレスを含むIPアドレス付与通知をLANインターフェース部30から送信する(S313)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   When the communication route search unit 39 receives a notification of completion of VPN construction from the VPN setting request unit 40, the communication route search unit 39 cancels registration of the communication route establishment wait flag (S311). Thereafter, the DHCP server function unit 34 is permitted to issue an IP address. In response to this, the DHCP server function unit 34 issues an IP address to the communication terminal 5 that has transmitted the IP address setting request (S312), and sends an IP address assignment notification including this IP address from the LAN interface unit 30. Transmit (S313). Thereafter, the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

また、S314において、セキュリティチェック部33は、予め定められたルールに従い、LANインターフェース部30あるいはWANインターフェース部31から受け取った通信パケットのセキュリティをチェックする(S314)。そして、既知のウィルスに感染している等の所定の条件に該当せず、セキュリティに問題がない場合は(S315でYES)、この通信パケットをスイッチングハブ機能部32に渡す。スイッチングハブ機能部32は、セキュリティチェック部33から受け取った通信パケットを、その宛先アドレスに従いLANインターフェース部30からLAN2あるいはWANインターフェース部31からWAN4に中継する(S316)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   In S314, the security check unit 33 checks the security of the communication packet received from the LAN interface unit 30 or the WAN interface unit 31 according to a predetermined rule (S314). If the predetermined condition such as infection with a known virus is not met and there is no security problem (YES in S315), the communication packet is passed to the switching hub function unit 32. The switching hub function unit 32 relays the communication packet received from the security check unit 33 from the LAN interface unit 30 to the LAN 2 or from the WAN interface unit 31 to the WAN 4 according to the destination address (S316). Thereafter, the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

一方、所定の条件に該当し、セキュリティに問題がある場合(S315でNO)、セキュリティチェック部33は、この通信パケットを、スイッチングハブ機能部32に渡すことなく破棄する(S317)。その後、S301に戻り、LANインターフェース部30あるいはWANインターフェース部31が通信パケットを新たに受信するのを待つ。   On the other hand, if the predetermined condition is met and there is a security problem (NO in S315), the security check unit 33 discards the communication packet without passing it to the switching hub function unit 32 (S317). Thereafter, the process returns to S301 and waits for the LAN interface unit 30 or the WAN interface unit 31 to newly receive a communication packet.

図8は、図7に示す通信ルート探索処理S308を説明するためのフロー図である。   FIG. 8 is a flowchart for explaining the communication route search processing S308 shown in FIG.

まず、通信ルート探索部39は、接続構成情報記憶部35から注目テーブルとして未設定の接続構成情報テーブル6を選択し、これを注目テーブルに設定する(S320)。   First, the communication route search unit 39 selects the unconfigured connection configuration information table 6 as the attention table from the connection configuration information storage unit 35, and sets this as the attention table (S320).

つぎに、通信ルート探索部39は、注目テーブルから自UTM装置3のMACアドレスがフィールド62に登録されているレコード60を検索する(S321)。そして、注目テーブルに、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60が登録されていないならば(S321でNO)、S324に進む。   Next, the communication route search unit 39 searches the attention table for a record 60 in which the MAC address of the own UTM device 3 is registered in the field 62 (S321). If the record 60 in which the MAC address of the own UTM device 3 is registered in the field 62 is not registered in the attention table (NO in S321), the process proceeds to S324.

一方、注目テーブルに、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60が登録されているならば(S321でYES)、通信ルート探索部39は、注目テーブルからIPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60をさらに検索する(S322)。そして、注目テーブルに、IPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60が登録されていないならば(S322でNO)、S324に進む。   On the other hand, if the record 60 in which the MAC address of the own UTM device 3 is registered in the field 62 is registered in the attention table (YES in S321), the communication route search unit 39 requests the IP address setting request from the attention table. The record 60 in which the MAC address of the transmission source communication terminal 5 is registered in the field 62 is further searched (S322). If the record 60 in which the MAC address of the communication terminal 5 that has transmitted the IP address setting request is registered in the field 62 is not registered in the attention table (NO in S322), the process proceeds to S324.

一方、注目テーブルに、IPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60が登録されているならば(S322でNO)、通信ルート探索部39は、中継ポイント情報を作成する(S323)。具体的には、注目テーブルに対応付けられているスイッチングハブ1を中継ハブに設定する。また、注目テーブルにおいて、自UTM装置3のMACアドレスがフィールド62に登録されているレコード60のフィールド61に登録されている通信ポート10のポート番号、およびIPアドレス設定要求発信元の通信端末5のMACアドレスがフィールド62に登録されているレコード60のフィールド61に登録されている通信ポート10のポート番号を、この中継ハブにおける中継ポートに設定する。そして、中継ハブおよび中継ポートを含む中継ポイント情報を作成する。それから、S324に進む。   On the other hand, if the record 60 in which the MAC address of the communication terminal 5 that has transmitted the IP address setting request is registered in the field 62 is registered in the attention table (NO in S322), the communication route search unit 39 performs relaying. Point information is created (S323). Specifically, the switching hub 1 associated with the attention table is set as a relay hub. Further, in the attention table, the port number of the communication port 10 registered in the field 61 of the record 60 in which the MAC address of the own UTM device 3 is registered in the field 62 and the communication terminal 5 of the IP address setting request transmission source The port number of the communication port 10 registered in the field 61 of the record 60 in which the MAC address is registered in the field 62 is set as the relay port in this relay hub. Then, relay point information including the relay hub and the relay port is created. Then, the process proceeds to S324.

S824において、通信ルート探索部39は、接続構成情報記憶部35内のすべての接続構成情報テーブル6を注目テーブルとして設定済みか否かを判断する。接続構成情報記憶部35内に注目テーブルとして未設定の接続構成情報テーブル6があるならば(S324でNO)、S320に戻る。   In S824, the communication route search unit 39 determines whether all the connection configuration information tables 6 in the connection configuration information storage unit 35 have been set as the attention table. If there is an unset connection configuration information table 6 as the attention table in the connection configuration information storage unit 35 (NO in S324), the process returns to S320.

一方、接続構成情報記憶部35内のすべての接続構成情報テーブル6を注目テーブルとして設定済みならば(S324でYES)、これまでに作成した中継ポイント情報により特定される通信ルートを、自UTM装置3およびIPアドレス設定要求発信元の通信端末5間の中継ルートに決定する(S325)。   On the other hand, if all the connection configuration information tables 6 in the connection configuration information storage unit 35 have been set as the attention table (YES in S324), the communication route specified by the relay point information created so far is determined as the own UTM device. 3 and an IP address setting request transmission source communication terminal 5 is determined as a relay route (S325).

つぎに、スイッチングハブ1について説明する。   Next, the switching hub 1 will be described.

図9は、スイッチングハブ1の概略機能構成図である。   FIG. 9 is a schematic functional configuration diagram of the switching hub 1.

図示するように、スイッチングハブ1は、LANインターフェース部11と、スイッチング部12と、転送パラメータ記憶部13と、転送パラメータ更新部14と、接続構成通知送信部15と、VPN設定部16と、を備えている。   As illustrated, the switching hub 1 includes a LAN interface unit 11, a switching unit 12, a transfer parameter storage unit 13, a transfer parameter update unit 14, a connection configuration notification transmission unit 15, and a VPN setting unit 16. I have.

LANインターフェース部11はLAN2と通信するためのインターフェースであり、複数の通信ポート10を有する。   The LAN interface unit 11 is an interface for communicating with the LAN 2 and includes a plurality of communication ports 10.

スイッチング部12は、LANインターフェース部11のいずれかの通信ポート10に入力された通信パケットを、その宛先アドレスに基づいてLANインターフェース部11のいずれかの通信ポート10に中継する。   The switching unit 12 relays the communication packet input to any communication port 10 of the LAN interface unit 11 to any communication port 10 of the LAN interface unit 11 based on the destination address.

転送パラメータ記憶部13には、LANインターフェース部11の通信ポート10の転送パラメータが記憶される。図10は、転送パラメータ記憶部13の登録内容例を模式的に表した図である。図示するように、転送パラメータ記憶部13には、通信ポート10およびMACアドレスの組合せ毎に転送パラメータのレコード130が記憶される。レコード130は、通信ポート10のポート番号が登録されたフィールド131と、この通信ポート10に入力された通信パケットの送信元MACアドレスを登録するためのフィールド132と、を有する。   The transfer parameter storage unit 13 stores transfer parameters of the communication port 10 of the LAN interface unit 11. FIG. 10 is a diagram schematically illustrating an example of registered contents in the transfer parameter storage unit 13. As illustrated, the transfer parameter storage unit 13 stores a transfer parameter record 130 for each combination of the communication port 10 and the MAC address. The record 130 includes a field 131 in which the port number of the communication port 10 is registered, and a field 132 for registering the transmission source MAC address of the communication packet input to the communication port 10.

転送パラメータ更新部14は、LANインターフェース部11の通信ポート10に入力された通信パケットに基づいて転送パラメータ記憶部13の登録内容を更新する。   The transfer parameter update unit 14 updates the registered content of the transfer parameter storage unit 13 based on the communication packet input to the communication port 10 of the LAN interface unit 11.

接続構成通知送信部15は、転送パラメータ記憶部13を監視し、転送パラメータ更新部14により追加された転送パラメータのレコード130を含む接続構成通知を、例えばSNMPトラップを利用してUTM装置3に送信する。   The connection configuration notification transmission unit 15 monitors the transfer parameter storage unit 13 and transmits a connection configuration notification including the transfer parameter record 130 added by the transfer parameter update unit 14 to the UTM device 3 using, for example, an SNMP trap. To do.

VPN設定部16は、LANインターフェース部11を介してUTM装置3から受信したVPN設定要求に従い、通信端末5を宛先あるいは発信元とする通信パケットがLANインターフェース部11内の2つの通信ポート10間を中継されるようにVPNを設定する。そして、例えばSNMPレスポンスを利用してUTM装置3にVPN設定完了通知を送信する。   In accordance with the VPN setting request received from the UTM device 3 via the LAN interface unit 11, the VPN setting unit 16 sends a communication packet addressed to the communication terminal 5 between the two communication ports 10 in the LAN interface unit 11. Set the VPN to be relayed. Then, for example, a VPN setting completion notification is transmitted to the UTM device 3 using an SNMP response.

図11は、スイッチングハブ1の動作を説明するためのフロー図である。   FIG. 11 is a flowchart for explaining the operation of the switching hub 1.

LANインターフェース部11は、いずれかの通信ポート10に通信パケットが入力されると(S400でYES)、この通信パケットが、UTM装置3から自スイッチングハブ1に送られたVPN設定要求ならば(S401でYES)、このVPN設定要求をVPN設定部16に渡す。これを受けて、VPN設定部16は、このVPN設定要求で指定されている通信端末5を宛先あるいは発信元とする通信パケットが、このVPN設定要求で指定されている2つの中継ポート10間を中継されるようにVPNを設定する(S402)。それから、VPN設定部16は、LANインターフェース部11(具体的にはVPN設定要求が入力された通信ポート10)からUTM装置3にVPN設定完了通知を送信する(S403)。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。   When a communication packet is input to any communication port 10 (YES in S400), the LAN interface unit 11 is a VPN setting request sent from the UTM device 3 to the own switching hub 1 (S401). YES), this VPN setting request is passed to the VPN setting unit 16. In response to this, the VPN setting unit 16 sends a communication packet addressed to the communication terminal 5 specified in the VPN setting request between the two relay ports 10 specified in the VPN setting request. The VPN is set so as to be relayed (S402). Then, the VPN setting unit 16 transmits a VPN setting completion notification from the LAN interface unit 11 (specifically, the communication port 10 to which the VPN setting request is input) to the UTM device 3 (S403). Thereafter, the process returns to S400 and waits for a new communication packet to be input to one of the communication ports 10 of the LAN interface unit 11.

一方、LANインターフェース部11は、LANインターフェース部11のいずれかの通信ポート10に入力された通信パケットが、自スイッチングハブ1以外を宛先とする中継対象の通信パケットならば(S401でNO)、この通信パケットをスイッチング部12に渡す。これを受けて、スイッチング部12は、LANインターフェース部11から受け取った通信パケットの宛先あるいは発信元の通信端末5に対してVPNが設定されているか否かを判断する(S404)。   On the other hand, if the communication packet input to one of the communication ports 10 of the LAN interface unit 11 is a relay target communication packet destined for a destination other than the own switching hub 1 (NO in S401), the LAN interface unit 11 The communication packet is passed to the switching unit 12. In response, the switching unit 12 determines whether a VPN is set for the destination or source communication terminal 5 of the communication packet received from the LAN interface unit 11 (S404).

そして、VPNが設定されているならば(S404でYES)、このVPNに従って通信パケットを中継する(S405)。具体的には、VPNが設定されている2つの中継ポート10のうち、通信パケットが入力された中継ポート10以外の中継ポート10に、この通信パケットを中継する。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。   If the VPN is set (YES in S404), the communication packet is relayed according to this VPN (S405). Specifically, the communication packet is relayed to a relay port 10 other than the relay port 10 to which the communication packet is input, out of the two relay ports 10 in which the VPN is set. Thereafter, the process returns to S400 and waits for a new communication packet to be input to one of the communication ports 10 of the LAN interface unit 11.

一方、LANインターフェース部11から受け取った通信パケットの宛先あるいは発信元の通信端末5に対してVPNが設定されていない場合(S404でNO)、スイッチング部12は、この通信パケットを、その宛先アドレスに従いLANインターフェース部11のいずれかの通信ポート10に中継する(S406)。   On the other hand, when the VPN is not set for the destination of the communication packet received from the LAN interface unit 11 or the source communication terminal 5 (NO in S404), the switching unit 12 sends the communication packet to the destination address. Relay to any communication port 10 of the LAN interface unit 11 (S406).

また、転送パラメータ更新部14は、通信パケットが入力された通信ポート10のポート番号がフィールド131に登録されている転送パラメータのレコード130を転送パラメータ記憶部13から検索する。そして、この検索したレコード130のフィールド132に登録されているMACアドレスが通信パケットの送信元MACアドレスと一致するか否かを判断する(S407)。そして、一致するならば(S407でYES)、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。一方、検索したレコード130のフィールド132に登録されているMACアドレスが通信パケットの送信元のMACアドレスと一致しない場合、あるいは、通信パケットが入力された通信ポート10のポート番号がフィールド131に登録されている転送パラメータのレコード130が存在しない場合(S407でNO)、転送パラメータ更新部14は、転送パラメータ記憶部13にレコード60を追加し、このレコード60のフィールド61およびフィールド62に、通信パケットが入力された通信ポート10のポート番号および通信パケットの送信元MACアドレスを登録する(S408)。そして、接続構成通知送信部15は、更新あるいは新規登録された転送パラメータのレコード130を含む接続構成通知をLANインターフェース部11からUTM装置3に送信する(S409)。その後、S400に戻り、新たな通信パケットがLANインターフェース部11のいずれかの通信ポート10に入力されるのを待つ。   Further, the transfer parameter update unit 14 searches the transfer parameter storage unit 13 for a transfer parameter record 130 in which the port number of the communication port 10 to which the communication packet is input is registered in the field 131. Then, it is determined whether or not the MAC address registered in the field 132 of the retrieved record 130 matches the source MAC address of the communication packet (S407). If they match (YES in S407), the process returns to S400 and waits for a new communication packet to be input to any communication port 10 of the LAN interface unit 11. On the other hand, when the MAC address registered in the field 132 of the retrieved record 130 does not match the MAC address of the transmission source of the communication packet, or the port number of the communication port 10 to which the communication packet is input is registered in the field 131. When the transfer parameter record 130 is not present (NO in S407), the transfer parameter update unit 14 adds the record 60 to the transfer parameter storage unit 13, and the communication packet is stored in the field 61 and the field 62 of the record 60. The port number of the input communication port 10 and the transmission source MAC address of the communication packet are registered (S408). Then, the connection configuration notification transmission unit 15 transmits a connection configuration notification including the updated or newly registered transfer parameter record 130 from the LAN interface unit 11 to the UTM device 3 (S409). Thereafter, the process returns to S400 and waits for a new communication packet to be input to one of the communication ports 10 of the LAN interface unit 11.

以上、本発明の一実施の形態を説明した。   The embodiment of the present invention has been described above.

本実施の形態では、UTM装置3にスイッチングハブ機能を持たせるともに、VPN機能を有する1以上のスイッチングハブ1でLAN2を構成する。そして、LAN2に接続された通信端末5毎に、通信端末5とUTM装置3との間にVPNが形成されるように各スイッチングハブ1を設定することにより、通信端末5と相手端末との間の通信ルートにUTM装置3を介在させて、相手端末と通信トラヒックをやり取りする通信端末5のセキュリティをUTM装置3に管理させる。したがって、本実施の形態によれば、LAN2およびWAN4間の通信トラヒックのみならず、LAN2内の通信端末5間の通信トラヒックについても、そのセキュリティを管理して、セキュリティ上の問題がある通信トラヒックを確実に遮断することができる。   In the present embodiment, the UTM device 3 is provided with a switching hub function, and the LAN 2 is configured by one or more switching hubs 1 having a VPN function. For each communication terminal 5 connected to the LAN 2, each switching hub 1 is set so that a VPN is formed between the communication terminal 5 and the UTM device 3. The UTM device 3 is interposed in the communication route, and the UTM device 3 manages the security of the communication terminal 5 that exchanges communication traffic with the partner terminal. Therefore, according to the present embodiment, not only the communication traffic between the LAN 2 and the WAN 4 but also the communication traffic between the communication terminals 5 in the LAN 2 is managed, and the communication traffic having a security problem is managed. It can be reliably shut off.

また、本実施の形態において、UTM装置3は、LAN2に接続構成確認要求の通信パケットを同報送信して、LAN2を構成する各スイッチングハブ1から、通信パケットの送信元のアドレスおよびこの通信パケットが入力された通信ポート10のポート番号を含む転送パラメータ(接続構成通知)を受信し、受信した転送パラメータを、この転送パラメータの発信元であるスイッチングハブ1に対応付けて記憶する。また、UTM装置3は、帰属要求(IPアドレス設定要求)を受信すると、各スイッチングハブ1から受信した転送パラメータに基づいて、帰属要求発信元の通信端末5とUTM装置3とを繋ぐ通信ルートを探索する。そして、探索された通信ルート上に位置するスイッチングハブ1に対して、この通信ルート上に位置する2つの通信ポート10および帰属要求発信元の通信端末5の指定を含むVPN設定要求を送信する。   In this embodiment, the UTM device 3 broadcasts a connection configuration confirmation request communication packet to the LAN 2, and sends the address of the communication packet and the communication packet from each switching hub 1 constituting the LAN 2. Is received, and the received transfer parameter is stored in association with the switching hub 1 that is the source of the transfer parameter. When the UTM device 3 receives the attribution request (IP address setting request), the UTM device 3 establishes a communication route that connects the communication terminal 5 of the attribution request transmission source and the UTM device 3 based on the transfer parameter received from each switching hub 1. Explore. Then, a VPN setting request including the designation of the two communication ports 10 located on the communication route and the communication terminal 5 of the attribution request transmission source is transmitted to the switching hub 1 located on the searched communication route.

また、スイッチングハブ1は、通信ポート10のポート番号およびこの通信ポート10に入力された通信パケットの送信元のアドレスを含む転送パラメータを記憶しており、いずれかの通信ポート10に通信パケットが入力された場合に、この通信ポートの転送パラメータに含まれている送信元のアドレスがこの通信パケットの送信元のアドレスと異なるならば、あるいはこの通信ポートの転送パラメータが記憶されていないならば、この通信ポートの転送パラメータを登録するとともに、登録された転送パラメータを含む接続構成通知をUTM装置3に送信する。また、スイッチングハブ1は、UTM装置3より受信したVPN設定要求で指定されている通信端末5を発信元あるいは宛先とする通信パケットが、VPN設定要求で指定されている2つの通信ポート間を中継されるようにVPNを設定する。   The switching hub 1 stores a transfer parameter including the port number of the communication port 10 and the transmission source address of the communication packet input to the communication port 10, and the communication packet is input to any one of the communication ports 10. If the source address included in the transfer parameter of this communication port is different from the source address of this communication packet, or if the transfer parameter of this communication port is not stored, this The transfer parameter of the communication port is registered, and a connection configuration notification including the registered transfer parameter is transmitted to the UTM device 3. In addition, the switching hub 1 relays a communication packet having the communication terminal 5 specified by the VPN setting request received from the UTM device 3 as a source or destination between the two communication ports specified by the VPN setting request. VPN is set as follows.

したがって、本実施の形態によれば、UTM装置3は、LAN2の接続構成を自動的に認識して、通信端末5毎に、通信端末5とUTM装置3との間にVPNを構築することができる。このため、操作者は、通信端末5毎に、通信端末5およびUTM装置3間の通信ルートを調べて、この通信ルート上にVPNが構築されるように各スイッチングハブ1を設定する必要がない。したがって、操作者の作業負担を低減することができる。   Therefore, according to the present embodiment, the UTM device 3 can automatically recognize the connection configuration of the LAN 2 and construct a VPN between the communication terminal 5 and the UTM device 3 for each communication terminal 5. it can. For this reason, the operator does not need to check the communication route between the communication terminal 5 and the UTM device 3 for each communication terminal 5 and set each switching hub 1 so that a VPN is constructed on this communication route. . Therefore, the work burden on the operator can be reduced.

なお、本発明は上記の実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.

例えば、上記の実施の形態では、UTM装置3において、通信端末5およびUTM装置3間の通信ルートを探索するトリガとして、この通信端末5から送信されたIPアドレス設定要求を用いているが、通信端末5から送信されたIPアドレス設定要求以外の通信パケット(帰属要求)を用いることができる。   For example, in the above embodiment, the UTM device 3 uses the IP address setting request transmitted from the communication terminal 5 as a trigger for searching for a communication route between the communication terminal 5 and the UTM device 3. A communication packet (attribute request) other than the IP address setting request transmitted from the terminal 5 can be used.

また、上記の実施の形態において、図6に示すUTM装置3の機能構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実現されるものでもよいし、あるいはDSP(Digital Signal Processor)などの計算機によりソフトウエア的に実現されるものでもよい。または、CPU、メモリ、HDD、DVD−ROM等の補助記憶装置、およびNIC(Network Interface Card)等の通信機を備えたPC(Personal Computer)等のコンピュータシステムにおいて、CPUが所定のプログラムを補助記憶装置からメモリ上にロードして実行することで実現されるものでもよい。また、図9に示すスイッチングハブ1の機能構成も、ASIC、FPGAなどの集積ロジックICによりハード的に実現されるものでもよいし、あるいはDSPなどの計算機によりソフトウエア的に実現されるものでもよい。   In the above embodiment, the functional configuration of the UTM device 3 shown in FIG. 6 may be realized by an integrated logic IC such as ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array). Alternatively, it may be realized by software by a computer such as a DSP (Digital Signal Processor). Alternatively, in a computer system such as a PC (Personal Computer) equipped with an auxiliary storage device such as a CPU, memory, HDD, DVD-ROM, and a communication device such as a NIC (Network Interface Card), the CPU auxiliary stores a predetermined program. It may be realized by loading a device from a device onto a memory and executing it. Also, the functional configuration of the switching hub 1 shown in FIG. 9 may be realized by hardware by an integrated logic IC such as ASIC or FPGA, or may be realized by software by a computer such as DSP. .

1、1−1、1−2:スイッチングハブ、 2:LAN、 3:UTM装置、 4:WAN、 5、5−1、5−2:通信端末、 10:通信ポート、 11:LANインターフェース部、 12:スイッチング部、 13:転送パラメータ記憶部、 14:転送パラメータ更新部、 15:接続構成通知送信部、 16:VPN設定部、 30:LANインターフェース部、 31:WANインターフェース部、 32:スイッチングハブ機能部、 33:セキュリティチェック部、 34:DHCPサーバ機能部、 35:接続構成情報記憶部、 36:接続構成確認要求部、 37:接続構成通知受信部、 38:接続構成情報登録部、 39:通信ルート探索部、 40:VPN設定要求部
1, 1-1, 1-2: switching hub, 2: LAN, 3: UTM device, 4: WAN, 5, 5-1, 5-2: communication terminal, 10: communication port, 11: LAN interface unit, 12: switching unit, 13: transfer parameter storage unit, 14: transfer parameter update unit, 15: connection configuration notification transmission unit, 16: VPN setting unit, 30: LAN interface unit, 31: WAN interface unit, 32: switching hub function Unit: 33: security check unit, 34: DHCP server function unit, 35: connection configuration information storage unit, 36: connection configuration confirmation request unit, 37: connection configuration notification reception unit, 38: connection configuration information registration unit, 39: communication Route search unit, 40: VPN setting request unit

Claims (4)

複数の異なるセキュリティ機能を統合して、配下のネットワークに接続された複数の通信端末のセキュリティを管理する統合脅威管理システムであって、
前記配下のネットワークおよび外部ネットワークに接続された統合脅威管理装置と、
前記配下のネットワークを構成する1以上のスイッチングハブと、を備え、
前記統合脅威管理装置は、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、を有し、
前記スイッチングハブは、
複数の通信ポートと、
いずれかの前記通信ポートに入力された通信パケットを当該通信パケットの宛先アドレスに従っていずれかの前記通信ポートに中継する中継手段と、
いずれか2つの前記通信ポートの一方に入力された通信パケットを他方へ中継するよう前記中継手段を制御する仮想プライベートネットワーク設定手段と、を有し、
前記スイッチングハブの前記仮想プライベートネットワーク設定手段によって、前記通信端末毎に、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークが形成されている
ことを特徴とする統合脅威管理システム。 An integrated threat management system that integrates multiple different security functions to manage the security of multiple communication terminals connected to the subordinate network,
An integrated threat management device connected to the subordinate network and the external network;
One or more switching hubs constituting the subordinate network,
The integrated threat management device includes:
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet;
Security check means for checking the security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying,
The switching hub is
Multiple communication ports,
Relay means for relaying a communication packet input to any of the communication ports to any of the communication ports according to a destination address of the communication packet;
Virtual private network setting means for controlling the relay means to relay a communication packet input to one of any two of the communication ports to the other,
An integrated threat management system, wherein a virtual private network is formed between the communication terminal and the integrated threat management device for each communication terminal by the virtual private network setting means of the switching hub. 請求項1に記載の統合脅威管理システムであって、
前記統合脅威管理装置は、
前記配下のネットワークに接続構成確認要求を同報送信する接続構成確認要求手段と、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信する転送パラメータ受信手段と、
前記転送パラメータ受信手段により受信された転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶する接続構成情報記憶手段と、
前記通信端末から帰属要求を受信する帰属要求受信手段と、
前記帰属要求受信手段により受信された帰属要求に従い、前記接続構成情報記憶手段を参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索する通信ルート探索手段と、
前記通信ルート探索手段により探索された通信ルート上に位置する前記スイッチングハブに対して、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信する仮想プライベートネットワーク設定要求手段と、を有し、
前記スイッチングハブは、
前記通信ポートのポート番号および当該通信ポートに入力された通信パケットの送信元のアドレスを含む転送パラメータを記憶する転送パラメータ記憶手段と、
いずれかの前記通信ポートに通信パケットが入力された場合に、前記転送パラメータ記憶手段に記憶されている当該通信ポートの転送パラメータに含まれている送信元のアドレスが当該通信パケットの送信元のアドレスと異なるならば、あるいは、当該通信ポートの転送パラメータが前記転送パラメータ記憶手段に記憶されていないならば、当該通信ポートの転送パラメータを登録する転送パラメータ更新手段と、
前記転送パラメータ更新手段により登録された転送パラメータを前記統合脅威管理装置に送信する転送パラメータ送信手段と、を有し、
前記スイッチングハブの前記仮想プライベートネットワーク設定手段は、
前記統合脅威管理装置より受信した仮想プライベートネットワーク設定要求で指定されている前記通信端末を発信元あるいは宛先とする通信パケットが、当該仮想プライベートネットワーク設定要求で指定されている2つの通信ポート間を中継されるように前記中継手段を制御する
ことを特徴とする統合脅威管理システム。 The integrated threat management system according to claim 1,
The integrated threat management device includes:
A connection configuration confirmation request means for broadcasting a connection configuration confirmation request to the subordinate network;
Transfer parameter receiving means for receiving, from the switching hub, a transfer parameter including an address of a transmission source of the communication packet and a port number of the communication port to which the communication packet is input;
Connection configuration information storage means for storing the transfer parameter received by the transfer parameter receiving means in association with the switching hub of the transmission parameter transmission source;
Attribution request receiving means for receiving an attribution request from the communication terminal;
Communication for searching for a communication route that connects the communication terminal that is the source of the attribution request and the integrated threat management device with reference to the connection configuration information storage means according to the attribution request received by the attribution request receiving means Route search means;
For the switching hub located on the communication route searched by the communication route search means, the two communication ports of the switching hub located on the communication route and the communication terminal that is the source of the attribution request Virtual private network setting request means for transmitting a virtual private network setting request including the designation of
The switching hub is
Transfer parameter storage means for storing a transfer parameter including a port number of the communication port and an address of a transmission source of a communication packet input to the communication port;
When a communication packet is input to any of the communication ports, the address of the transmission source included in the transfer parameter of the communication port stored in the transfer parameter storage means is the address of the transmission source of the communication packet Or transfer parameter update means for registering the transfer parameter of the communication port, if the transfer parameter of the communication port is not stored in the transfer parameter storage means,
Transfer parameter transmitting means for transmitting the transfer parameter registered by the transfer parameter update means to the integrated threat management device,
The virtual private network setting means of the switching hub is
A communication packet having the communication terminal specified by the virtual private network setting request received from the integrated threat management device as a source or destination is relayed between the two communication ports specified by the virtual private network setting request. An integrated threat management system characterized by controlling the relay means as described above. 複数の異なるセキュリティ機能を統合して、外部ネットワークおよび複数の通信ポートを備えた1以上のスイッチングハブによって構成された配下のネットワークに接続されて、前記配下のネットワークに接続された複数の通信端末のセキュリティを管理する統合脅威管理装置であって、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットを当該通信パケットの宛先アドレスに従って中継するスイッチング手段と、
前記配下のネットワークあるいは前記外部ネットワークから受信した通信パケットのセキュリティをチェックして、所定の条件に該当する通信パケットを中継することなく破棄するセキュリティチェック手段と、
前記配下のネットワークに接続構成確認要求を同報送信する接続構成確認要求手段と、
通信パケットの送信元のアドレスおよび当該通信パケットが入力された前記通信ポートのポート番号を含む転送パラメータを前記スイッチングハブから受信する転送パラメータ受信手段と、
前記転送パラメータ受信手段により受信された転送パラメータを当該転送パラメータの送信元の前記スイッチングハブに対応付けて記憶する接続構成情報記憶手段と、
前記通信端末から帰属要求を受信する帰属要求受信手段と、
前記帰属要求受信手段により受信された帰属要求に従い、前記接続構成情報記憶手段を参照して、当該帰属要求の発信元である前記通信端末と前記統合脅威管理装置とを繋ぐ通信ルートを探索する通信ルート探索手段と、
前記通信ルート探索手段により探索された通信ルート上に位置する前記スイッチングハブに対して、当該通信ルート上に位置する当該スイッチングハブの2つの前記通信ポートおよび前記帰属要求の発信元である前記通信端末の指定を含む仮想プライベートネットワーク設定要求を送信する仮想プライベートネットワーク設定要求手段と、を備える
ことを特徴とする統合脅威管理装置。 A plurality of communication terminals connected to a subordinate network constituted by one or more switching hubs having an external network and a plurality of communication ports by integrating a plurality of different security functions and connected to the subordinate network An integrated threat management device for managing security,
Switching means for relaying a communication packet received from the subordinate network or the external network according to a destination address of the communication packet;
Security check means for checking the security of a communication packet received from the subordinate network or the external network, and discarding the communication packet corresponding to a predetermined condition without relaying;
A connection configuration confirmation request means for broadcasting a connection configuration confirmation request to the subordinate network;
Transfer parameter receiving means for receiving, from the switching hub, a transfer parameter including an address of a transmission source of the communication packet and a port number of the communication port to which the communication packet is input;
Connection configuration information storage means for storing the transfer parameter received by the transfer parameter receiving means in association with the switching hub of the transmission parameter transmission source;
Attribution request receiving means for receiving an attribution request from the communication terminal;
Communication for searching for a communication route that connects the communication terminal that is the source of the attribution request and the integrated threat management device with reference to the connection configuration information storage means according to the attribution request received by the attribution request receiving means Route search means;
For the switching hub located on the communication route searched by the communication route search means, the two communication ports of the switching hub located on the communication route and the communication terminal that is the source of the attribution request And a virtual private network setting requesting means for transmitting a virtual private network setting request including designation of the integrated threat management device. 複数の異なるセキュリティ機能を統合して、配下のネットワークに接続された複数の通信端末のセキュリティを管理する統合脅威管理方法であって、
仮想プライベートネットワーク機能を有する1以上のスイッチングハブで前記配下のネットワークを構成し、
スイッチングハブ機能を有する統合脅威管理装置を前記配下のネットワークおよび外部ネットワークに接続し、
前記通信端末毎に、当該通信端末と前記統合脅威管理装置との間に仮想プライベートネットワークが形成されるように前記スイッチングハブを設定することにより、当該通信端末と相手端末との間に前記統合脅威管理装置を介在させて、前記統合脅威管理装置に当該通信端末のセキュリティを管理させる
ことを特徴とする統合脅威管理方法。 An integrated threat management method that integrates a plurality of different security functions to manage security of a plurality of communication terminals connected to a subordinate network,
The subordinate network is configured by one or more switching hubs having a virtual private network function,
Connecting an integrated threat management device having a switching hub function to the subordinate network and an external network;
By setting the switching hub so that a virtual private network is formed between the communication terminal and the integrated threat management device for each communication terminal, the integrated threat is set between the communication terminal and the counterpart terminal. An integrated threat management method, characterized by causing the integrated threat management device to manage security of the communication terminal via a management device.
JP2016088318A 2016-04-26 2016-04-26 Integrated threat management system, integrated threat management device, and integrated threat management method Active JP6623917B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016088318A JP6623917B2 (en) 2016-04-26 2016-04-26 Integrated threat management system, integrated threat management device, and integrated threat management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016088318A JP6623917B2 (en) 2016-04-26 2016-04-26 Integrated threat management system, integrated threat management device, and integrated threat management method

Publications (2)

Publication Number Publication Date
JP2017200012A true JP2017200012A (en) 2017-11-02
JP6623917B2 JP6623917B2 (en) 2019-12-25

Family

ID=60239584

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016088318A Active JP6623917B2 (en) 2016-04-26 2016-04-26 Integrated threat management system, integrated threat management device, and integrated threat management method

Country Status (1)

Country Link
JP (1) JP6623917B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021129241A (en) * 2020-02-14 2021-09-02 富士通株式会社 Communication apparatus
US11297007B2 (en) 2018-11-30 2022-04-05 Denso Corporation Relay apparatus

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004040433A (en) * 2002-07-03 2004-02-05 Hitachi Ltd Network buildup system and buildup method
JP2005136629A (en) * 2003-10-29 2005-05-26 Fujitsu Ltd Network system
JP2008236230A (en) * 2007-03-19 2008-10-02 Hitachi Communication Technologies Ltd Network system
JP2012015997A (en) * 2010-06-01 2012-01-19 Yamaha Corp Topology detection system and relay device
JP2014160907A (en) * 2013-02-19 2014-09-04 Nippon Telegr & Teleph Corp <Ntt> Communication system and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004040433A (en) * 2002-07-03 2004-02-05 Hitachi Ltd Network buildup system and buildup method
JP2005136629A (en) * 2003-10-29 2005-05-26 Fujitsu Ltd Network system
JP2008236230A (en) * 2007-03-19 2008-10-02 Hitachi Communication Technologies Ltd Network system
JP2012015997A (en) * 2010-06-01 2012-01-19 Yamaha Corp Topology detection system and relay device
JP2014160907A (en) * 2013-02-19 2014-09-04 Nippon Telegr & Teleph Corp <Ntt> Communication system and program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11297007B2 (en) 2018-11-30 2022-04-05 Denso Corporation Relay apparatus
JP2021129241A (en) * 2020-02-14 2021-09-02 富士通株式会社 Communication apparatus
JP7425294B2 (en) 2020-02-14 2024-01-31 富士通株式会社 Communication device

Also Published As

Publication number Publication date
JP6623917B2 (en) 2019-12-25

Similar Documents

Publication Publication Date Title
JP5874726B2 (en) Communication control system, control server, transfer node, communication control method, and communication control program
US9621516B2 (en) Firewall configured with dynamic membership sets representing machine attributes
JP3797937B2 (en) Network connection system, network connection method, and network connection device used therefor
US20150117451A1 (en) Communication between hetrogenous networks
US6778540B1 (en) Facility for forwarding data from a network adapter to a router partition without internet protocol (ip) processing
EP3117588B1 (en) Scalable address resolution
US20170214609A1 (en) Forwarding method and forwarding device
US11316739B2 (en) Methods, controller manager and controller agent for enabling a connection between a switch of a communication network and a switch controller
US9537751B2 (en) Divided hierarchical network system based on software-defined networks
WO2015079284A1 (en) Methods and systems for processing internet protocol packets
US9344399B2 (en) Relay server and relay communication system
CN105721487B (en) Information processing method and electronic equipment
JP6623917B2 (en) Integrated threat management system, integrated threat management device, and integrated threat management method
WO2016019676A1 (en) Method, apparatus and system for processing data packet in software defined network (sdn)
EP2600568B1 (en) Relay server and relay communication system
CN111064825A (en) Method and device for realizing DPI data acquisition and control based on ARP
Cisco IP Routing
Cisco IP Routing
Cisco IP Routing
JP7226808B2 (en) Control device, filtering control method, and filtering control program
Cisco IP Routing
Cisco IP Routing
JP2018166285A (en) Communication device, communication method, program and communication system
JP2017034534A (en) System and method for network integration
US9537750B2 (en) Multicast router topology discovery

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181030

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191111

R150 Certificate of patent or registration of utility model

Ref document number: 6623917

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250