JP3758482B2 - ネットワーク間通信セキュリティプログラムを記録した媒体および装置 - Google Patents
ネットワーク間通信セキュリティプログラムを記録した媒体および装置 Download PDFInfo
- Publication number
- JP3758482B2 JP3758482B2 JP2000258157A JP2000258157A JP3758482B2 JP 3758482 B2 JP3758482 B2 JP 3758482B2 JP 2000258157 A JP2000258157 A JP 2000258157A JP 2000258157 A JP2000258157 A JP 2000258157A JP 3758482 B2 JP3758482 B2 JP 3758482B2
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- address
- terminal
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明はドメインネーム要求解決によるネットワーク間通信におけるセキュリティ確保を実現するネットワーク間通信セキュリティプログラムを記録した媒体および装置に関する。
【0002】
【従来の技術】
送信元端末のアドレスにより通信の可否を判断する方法は従来から、行なわれている。
【0003】
例えば、図2に示すようなネットワークにおいて、端末M−11と端末N−11間の通信だけを行いたい場合、ファイアウォールM−14で、送信元IPアドレスN−11をネットワークMに通過許可させ、ファイアウォールN−14において、送信元IPアドレスM−11をネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0004】
ネットワークM、ネットワークNのどちらか一方もしくは、両方がプライベートアドレスである場合、送信元IPアドレスはゲートウェイにおいてグローバルアドレスに変換された後、送信先ネットワークへ到達する。
【0005】
このような環境において、端末M−11と端末N−11間の通信だけを行ないたい場合、ファイアウォールM−14において、送信元アドレスとしてグローバルアドレスに変換後のN−11のIPアドレスをネットワークMに通過許可させ、ファイアウォールN−14において、送信元アドレスとしてグローバルアドレスに変換後のM−11のIPアドレスをネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0006】
このような、プライベートアドレスからグローバルアドレスへ変換を実施するネットワーク構成において、送信元IPアドレスによりセキュリティを確保するためには、送信元端末のプライべートIPアドレスとその端末がグローバルネットワークに通信する際に変換されるグローバルアドレスとが、固定的に関係付けられている必要がある。
【0007】
これは、プライベートアドレスをグローバルアドレスへ変換する方式として、グローバルアドレスの動的割当を利用する場合においても同様であり、その端末についてはアドレスの対応付けを固定的に行なう必要がある。
【0008】
【発明が解決しようとする課題】
セキュリティを確保するためにグローバルアドレスとプライベートアドレスとの対応を固定的に関連付けると、グローバルネットワークへ接続する端末の台数分だけグローバルアドレスが必要となり、グローバルネットワークを利用する端末の台数が制限されてしまう。
【0009】
グローバルアドレスの動的割当を実施している場合においても、セキュリティを確保する端末の台数分については固定的にアドレスを関連付ける必要があり、グローバルネットワーク利用端末の制限という点では同様の問題である。
【0010】
このようにプライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保するためには、静的あるいは動的に対応させたグローバルアドレスが通信相手から見たとき固定している必要があり、限られたグローバルアドレスの数が不足するということが課題でありその解決策が求められていた。
【0011】
本発明はこのような点にかんがみて、プライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保する手段を提供することを目的とする。
【0012】
【課題を解決するための手段】
上記の課題は下記の如くに構成された、外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティプログラムを記録した媒体および装置によって解決される。
【0013】
図1は、本発明の構成図である。
【0014】
図において、1は通信の可否を判断する対象の端末を識別するドメインネームを記憶した端末ドメインネーム記憶手段であり、2は受信したパケットの送信元IP(Internet Protocol )アドレスに基づきDNS(Domain Names System )サーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段であり、3は問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して通信の可否を判断する通信可否判断手段である。
【0015】
すなわち、ネットワークの入口のファイアウォールとなるゲートウェイに到来する通信パケットの送信元IPアドレスをあらかじめ設定して記憶したIPアドレスと比較することにより通信の可否を確認する従来技術に加えて、本発明では上記IPアドレスで通信の可否が判断できない場合にも、ドメインネーム問い合わせ手段2により、送信元ネットワークのDNSに送信元の端末のドメインネームを問い合わせて、ドメインネームにより送信元端末を認識し、通信可否判断手段3が、あらかじめ端末ドメインネーム記憶手段1に記憶したドメインネームと比較して通信の可否を判断するようにしている。
【0016】
特に、送信元端末がプライベートアドレスで管理されたネットワークの端末であってインターネット上でユニークなアドレスであるグローバルアドレスを動的に割り当てられて送信されたパケットであっても、上記のような仕組みにより送信元端末の確認を行なうので通信の可否を判断することができる。
【0017】
【発明の実施の形態】
図2には本発明の実施の形態の構成図を示す。
【0018】
本実施の形態においては、パーソナルコンピューター、ワークステーション等の汎用的な目的で使用される計算機上で実行するコンピュータプログラムにより実現する形態を示す。
【0019】
本発明のネットワーク間通信セキュリティ装置は、処理装置、主記憶装置、補助記憶装置、入出力装置などから構成される計算機上で、コンピュータプログラムを実行して実現される。また、コンピュータプログラムは、フロッピーディスクやCD−ROM等の可搬型媒体やネットワーク接続された他の計算機の主記憶装置や補助記憶装置等に格納されて提供される。本発明の記録媒体は、上記可搬型媒体、主記憶装置、補助記憶装置に該当する。
【0020】
提供されたコンピュータプログラムは、可搬型媒体から直接計算機の主記憶装置にロードされ、または、可搬型媒体から一旦補助記憶装置にコピーまたはインストール後に、主記憶装置にロードされて実行する。また、ネットワーク接続された他の装置に格納されて提供された場合も、他の装置からネットワークを経由して受信後に、補助記憶装置にコピー、主記憶装置にロードされ実行するものである。
【0021】
本発明の実施の形態は、ファイアウォールに関する。外部ネットワークから内部ネットワークに対する通信の可否を制御するファイアウォールにおいて、通信可否の判定基準として端末のドメインネームを保持し、外部からの通信要求があったとき、送信元端末のドメインネームを要求し、その回答から送信元端末のドメインネームを識別し、通信可否の判定を行なうようにしている。
【0022】
特に、本実施の形態は、自ネットワークを独自のプライベートアドレスによって管理する端末が、グローバルアドレスによって管理されるインターネットを介して、他の独自のプライベートアドレスによって管理されるネットワークの端末と通信するように構成するネットワークであって、着信側ネットワークの入口において、自ネットワーク内への通信可否を判定するファイアウォールを示す。
【0023】
ここに示す各ファイアウォールによって管理されたネットワーク内部には、外部からのDNS要求に対して回答を行なう機能を有している。また、ネットワーク内の各端末にはグローバルネットワーク全体でユニークなホスト名、すなわち、DNS形式に従ってネットワークのドメイン名とホスト名からなるドメインネームが与えられている。
【0024】
図2の構成を説明する。ネットワークM、ネットワークNはプライベートアドレスが割り当てられたネットワークであり、グローバルアドレスを割り当てられたネットワークを介して接続されている。M−11、M−12およびN−11、N−12は各ネットワークのプライベートアドレスが付与された端末であり、M−13、N−13はネットワーク内部の名前解決を実施する内側DNSサーバ、M−14、N−14はネットワークのセキュリティを確保するためのファイアウォールとアドレス変換機能を兼ね備えたゲートウェイ、M−15、N−15はネットワーク外部からのアドレス解決要求に対して内部端末のグローバルアドレスを返答するとともに、内部からの要求に対して外部グローバルアドレスを解決する外側DNSサーバである。
【0025】
本発明の実施の形態には、セキュリティを確保するためのファイアウォールであるM−14、N−14において、自ネットワークへの通信要求に対して、送信元端末のドメイン名を要求し、その回答を識別して通信の可否を判定するものを示す。
【0026】
ファイアウォールM−14、N−14のグローバルネットワーク接続のポートと、いわゆる非武装地帯 (DMZ:DeMilitarized Zone)接続のポートには固定的に割り当てられたグローバルアドレスが付与され、内部ネットワーク接続のポートはプライベートアドレスが付与されている。
【0027】
外側DNSサーバM−15、N−15にはグローバルアドレスが付与されている。内側DNSサーバM−13、N−13、端末M−11、M−12、およびN−11、N−12にはプライベートアドレスが付与されている。
【0028】
各端末M−11、M−12およびN−11、N−12にはそれらが属するネットワークのDNSサーバのアドレスが登録されている。
【0029】
内側DNSサーバM−13、N−13には自ネットワークのドメインネームと外側DNSサーバのグローバルアドレスが登録されている。
【0030】
ゲートウェイM−14、N−14のアドレス変換部は、従来技術における構成のものと同様にIPアドレスの変換を行い、さらに、外部からの送信要求に対し、内部プライベートアドレスに対応するグローバルアドレスを付与する機能を有し、上記ゲートウェイのファイアウォール部は送信元端末識別機能として従来技術の送信元IPアドレスによるチェック機能の他に送信元ドメインネームをチェックする機能を有する。
【0031】
以下に図2に示すネットワークNのプライベートアドレスで管理された端末N−11からグローバルアドレスで管理されるインターネットを経由してやはりプライベートアドレスで管理されるネットワークMの端末M−11に通信する時のパケットの動き、受信側ファイアウォールM−14に設けられたテーブル内のデータの動きとをあわせて通信のセキュリティの確保の動作を説明する。
【0032】
図3はテーブルの構成図であり、(a)は通信可否判定テーブル(以下説明ではテーブルAという)と(b)はドメインネーム問い合わせ中管理テーブル(説明ではテーブルBと呼ぶ)を示し、ともに受信側ネットワークMのゲートウェイM−14のファイアウォール機能として備えるものである。同様のテーブルはそれぞれのファイアウォールに備えられ、同様に通信の管理、セキュリティの確保に使用される。
【0033】
テーブルAはパケットを送信されたネットワークの入口にあるファイアウォールが、従来技術によるセキュリティ確保を行なうために備える通信を可とする相手端末のIPアドレスのテーブルとは別に、本発明の実施において追加して備えたテーブルであり、あらかじめ通信を可とする相手端末のドメインネームを記憶するようにしたテーブルである。各ドメインネームに対応して送信元端末のIPアドレスが判明したときにそれを記憶するように構成されている。例えば、図3(a)に示すように送信元端末ドメインネームが「no.pqr.st」は通信可能な状態で、送信元端末のIPアドレスは「130.1.1.1」であることを示している。
【0034】
テーブルBは送信されて来たパケットのIPアドレスを持つ端末のドメインネームを問い合わせているときに、問い合わせに答えたパケットが送信されて来たときに、回答のパケットであることを確認するために問い合わせ中IPアドレスを一時記憶するものである。例として、図3(b)に示してある「130.1..2.1」、「133.5.1.2」などは現在それぞれのドメインネームを相手のネットワークのDNSサーバに問い合わせている状態であることを示している。
【0035】
図4〜図6の通信開始の動作フローチャートの流れに沿って端末N−11から端末M−11に向けて通信開始するときの動作の説明を行なう。送信先の端末もプライベートアドレスで管理されておりM−11のドメインネームを入力して処理が始まる。ステップS41からステップS48は通常行なわれる処理であるが、ドメインネームで指定された相手端末のIPアドレスを得る処理を示している。
【0036】
ステップS41では、入力されたドメインネームをもとに、データ送信端末N−11が送信先端末M−11のアドレスを内部DNSサーバN−13に問い合わせる。
【0037】
ステップS42では、N−13は外部DNSサーバN−15に対し送信先端末M−11のアドレスを問い合わせる。
【0038】
ステップS43においては、N−15は送信先ドメインのDNSサーバM−15に対し、アドレス要求パケットを送信する。
【0039】
ステップS44は、M−14はN−15のIPアドレスで通信可と判定するものとしている。すなわち、ゲートウェイのセキュリティ機能として外部ネットワークから到来したアドレス要求パケットについてもセキュリティ確保を行なうがここでは従来技術によりN−15についてはそのIPアドレスが別途保持されていてそれに基づいて確認されるものとした。これも、後に説明するようにあらかじめIPアドレスが登録されていない場合にもセキュリティの確保を行なうためにドメインネームで確認することもできる。
【0040】
ステップS45では、通過してきたパケットを受け取ったDNSサーバM−15はゲートウェイM−14に対してM−11のグローバルアドレス割当を指示する。
【0041】
ステップS46では、M−14はM−11に対してグローバルアドレスを付与して、そのアドレスをM−15に回答する。
【0042】
ステップS47では、M−15はM−11のアドレスをN−15へ回答し、ステップS48で、N−15はN−13にM−11のアドレスを回答する。
【0043】
このようにして、送信元の端末N−11は送信先の相手端末M−11のIPアドレスを知ることができる。以降、N−11はこのアドレスを用いてM−11にパケットを送り出すことができる。しかし、各ネットワークは外部から送信されてくるパケットについてセキュリティを確保するようにしているので、IPアドレスが分かって通信を開始してもファイアウォールのチェックを受けなければならない。図5および図6のフローチャートによってファイアウォールM−14における本発明の実施の形態の動作を説明する。
【0044】
ステップS51において、データ送信端末N−11が、判明した送信先端末M−11のアドレスを用いて通信パケットをM−11に送信する。
【0045】
ステップS52で、まず、ネットワークMのファイアウォールM−14は従来技術で送信元N−11のアドレスの通信可否判定を行なう。OKであれば、直ちにステップS64以降に示すように通信パケットを通過させる。
【0046】
従来技術の通信可否を判定するIPアドレスが設定されていないときには、ステップS53に進み、テーブルAにIPアドレスが登録済かを調べる。すなわち、テーブルAには後で説明するように送信元ドメインネームに対応する送信元IPアドレスが判明したときにはそれが記憶されるようになっており、このIPアドレスが登録されているときにはステップS64に進みファイアウォールは通信パケットを通過させる。
【0047】
テーブルAにIPアドレスが登録されていないときには、ステップS54で、このパケットの送信元アドレスは調査中であるか否かを、テーブルBに記憶されているアドレス情報を調べることで判定する。
【0048】
調査中の送信元アドレスでないとき、すなわち、ドメインネームを調べることで送信元を確認する必要のあるものであると判断したときには、ステップS55で、送信元アドレスが調査中である旨テーブルBに記憶し、ステップS56で、送信元アドレスに基づいてドメインネームの逆引きを要求することにより、送信元アドレスのドメインネームを尋ねステップS51でその回答を待つようにしている。
【0049】
ステップS54で調査中のアドレスを持ったパケットであったときには、ステップS57でその内容が逆引きDNS解決の回答のパケットかを確認し、そうでないときはエラーとしてパケットを破棄してステップS51において次のパケットを待つ。
【0050】
逆引きDNS解決の回答のパケットであったときには、ステップS61でテーブルBに記憶した該当の送信元アドレスをクリアし調査中の状態を取り消す。
【0051】
ステップS62では、送信元のドメインネームが分かったので、それがあらかじめテーブルAに設定して記憶されている通信可能な端末を示すドメインネームと一致するか調べる。一致するものがないときにはステップS67でパケットを廃棄して終了する。
【0052】
一致が確認できたときにはステップS63で、送信元パケットのアドレスをテーブルAの該当のドメインネームに対応させて記憶する。このようにして、テーブルAに記憶されたIPアドレスは他のネットワークから受信したパケットの送信元IPアドレスと比較することにより通信可否のセキュリティチェックが可能となる。
【0053】
ステップS64ではセキュリティの確認ができた場合にはその通信パケットを通過させて宛先の端末に届けられる。
【0054】
以後、上記と同様の処理により各受信したパケットはセキュリティを確保した上で宛先の端末に届けられる。ステップS65では、無通信などを検出して通信を終了するまで繰り返されることを示している。
【0055】
通信の終了を確認するとステップS66で、テーブルAに記憶されていた通信終了の相手端末のIPアドレスをクリアする。さらに、フローチャートには記していないが、ファイアウォールM−14は通信の終了を検知して、割り当てられているグローバルアドレスを開放するとともに、これを外部ドメインネームサーバM−15に通知することになる。
【0056】
上記説明において、通信の可否を判定するときテーブルに設定したIPアドレスあるいは相手端末のドメインネームは通信を可とするものを記憶するようにしたが、逆に通信を否とするものを設定して可否を判定してもよい。
【0057】
また、他のネットワークに備えられた外向きのDNSサーバからのアドレス解決要求のパケットについては従来技術による登録されたIPアドレスの照合により通信の確認をしたが、上記説明したと同様にドメインネームの確認を用いてもよい。
【0058】
さらに、上記説明は自ネットワークおよび相手ネットワークともプライベートアドレスを使用して管理されたネットワークであることを前提としたが、いずれも、グローバルアドレスを持ったネットワークの端末であっても同様に機能するものである。
【0059】
以上のような仕組みを利用することにより、企業間の自由な接続がそれぞれの安全なネットワーク運用を確保しながら実現できる。例えば、複数の企業ネットワークの監視サービスを実施している会社が、リモートメンテナンス等他社のネットワークに属している端末に通信する際に、ファイアウォールで外部ネットワークからの通信を制限している場合、ドメインネームを登録して通信を許可された端末は、プライベートアドレスで管理されている監視サービス会社のネットワークからその時々に割り当てられたグローバルアドレスで通信しても本発明の機能を搭載したファイアウォールを通過することができる。同様に、各企業独自のネットワークを構築している場合でも、セキュリティ確保しながら企業間の各種商取引が自由に構築できる手段として有効となるものである。
【0060】
【発明の効果】
以上の説明から明らかなように本発明によれば送信元端末をそのドメインネームで認識することにより、グローバルアドレス不足を解決するために、プライベートアドレスで管理された端末を通信の開始時に動的にグローバルアドレスを割り当てる場合でも通信の可否を判定してセキュリティを確保することができるので、各企業が構築したそれぞれのネットワークをインターネットで接続した自由なネットワークの構成が可能となり、安全で便利なネットワーク社会の発展に寄与する、という工業的、経済的効果が得られる。
【図面の簡単な説明】
【図1】 本発明の構成図
【図2】 本発明の実施の形態の構成図
【図3】 テーブルの構成図
【図4】 通信開始の動作フローチャート(その1)
【図5】 通信開始の動作フローチャート(その2)
【図6】 通信開始の動作フローチャート(その3)
【符号の説明】
1 端末ドメインネーム記憶手段
2 ドメインネーム問い合わせ手段
3 通信可否判断手段
【発明の属する技術分野】
本発明はドメインネーム要求解決によるネットワーク間通信におけるセキュリティ確保を実現するネットワーク間通信セキュリティプログラムを記録した媒体および装置に関する。
【0002】
【従来の技術】
送信元端末のアドレスにより通信の可否を判断する方法は従来から、行なわれている。
【0003】
例えば、図2に示すようなネットワークにおいて、端末M−11と端末N−11間の通信だけを行いたい場合、ファイアウォールM−14で、送信元IPアドレスN−11をネットワークMに通過許可させ、ファイアウォールN−14において、送信元IPアドレスM−11をネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0004】
ネットワークM、ネットワークNのどちらか一方もしくは、両方がプライベートアドレスである場合、送信元IPアドレスはゲートウェイにおいてグローバルアドレスに変換された後、送信先ネットワークへ到達する。
【0005】
このような環境において、端末M−11と端末N−11間の通信だけを行ないたい場合、ファイアウォールM−14において、送信元アドレスとしてグローバルアドレスに変換後のN−11のIPアドレスをネットワークMに通過許可させ、ファイアウォールN−14において、送信元アドレスとしてグローバルアドレスに変換後のM−11のIPアドレスをネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0006】
このような、プライベートアドレスからグローバルアドレスへ変換を実施するネットワーク構成において、送信元IPアドレスによりセキュリティを確保するためには、送信元端末のプライべートIPアドレスとその端末がグローバルネットワークに通信する際に変換されるグローバルアドレスとが、固定的に関係付けられている必要がある。
【0007】
これは、プライベートアドレスをグローバルアドレスへ変換する方式として、グローバルアドレスの動的割当を利用する場合においても同様であり、その端末についてはアドレスの対応付けを固定的に行なう必要がある。
【0008】
【発明が解決しようとする課題】
セキュリティを確保するためにグローバルアドレスとプライベートアドレスとの対応を固定的に関連付けると、グローバルネットワークへ接続する端末の台数分だけグローバルアドレスが必要となり、グローバルネットワークを利用する端末の台数が制限されてしまう。
【0009】
グローバルアドレスの動的割当を実施している場合においても、セキュリティを確保する端末の台数分については固定的にアドレスを関連付ける必要があり、グローバルネットワーク利用端末の制限という点では同様の問題である。
【0010】
このようにプライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保するためには、静的あるいは動的に対応させたグローバルアドレスが通信相手から見たとき固定している必要があり、限られたグローバルアドレスの数が不足するということが課題でありその解決策が求められていた。
【0011】
本発明はこのような点にかんがみて、プライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保する手段を提供することを目的とする。
【0012】
【課題を解決するための手段】
上記の課題は下記の如くに構成された、外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティプログラムを記録した媒体および装置によって解決される。
【0013】
図1は、本発明の構成図である。
【0014】
図において、1は通信の可否を判断する対象の端末を識別するドメインネームを記憶した端末ドメインネーム記憶手段であり、2は受信したパケットの送信元IP(Internet Protocol )アドレスに基づきDNS(Domain Names System )サーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段であり、3は問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して通信の可否を判断する通信可否判断手段である。
【0015】
すなわち、ネットワークの入口のファイアウォールとなるゲートウェイに到来する通信パケットの送信元IPアドレスをあらかじめ設定して記憶したIPアドレスと比較することにより通信の可否を確認する従来技術に加えて、本発明では上記IPアドレスで通信の可否が判断できない場合にも、ドメインネーム問い合わせ手段2により、送信元ネットワークのDNSに送信元の端末のドメインネームを問い合わせて、ドメインネームにより送信元端末を認識し、通信可否判断手段3が、あらかじめ端末ドメインネーム記憶手段1に記憶したドメインネームと比較して通信の可否を判断するようにしている。
【0016】
特に、送信元端末がプライベートアドレスで管理されたネットワークの端末であってインターネット上でユニークなアドレスであるグローバルアドレスを動的に割り当てられて送信されたパケットであっても、上記のような仕組みにより送信元端末の確認を行なうので通信の可否を判断することができる。
【0017】
【発明の実施の形態】
図2には本発明の実施の形態の構成図を示す。
【0018】
本実施の形態においては、パーソナルコンピューター、ワークステーション等の汎用的な目的で使用される計算機上で実行するコンピュータプログラムにより実現する形態を示す。
【0019】
本発明のネットワーク間通信セキュリティ装置は、処理装置、主記憶装置、補助記憶装置、入出力装置などから構成される計算機上で、コンピュータプログラムを実行して実現される。また、コンピュータプログラムは、フロッピーディスクやCD−ROM等の可搬型媒体やネットワーク接続された他の計算機の主記憶装置や補助記憶装置等に格納されて提供される。本発明の記録媒体は、上記可搬型媒体、主記憶装置、補助記憶装置に該当する。
【0020】
提供されたコンピュータプログラムは、可搬型媒体から直接計算機の主記憶装置にロードされ、または、可搬型媒体から一旦補助記憶装置にコピーまたはインストール後に、主記憶装置にロードされて実行する。また、ネットワーク接続された他の装置に格納されて提供された場合も、他の装置からネットワークを経由して受信後に、補助記憶装置にコピー、主記憶装置にロードされ実行するものである。
【0021】
本発明の実施の形態は、ファイアウォールに関する。外部ネットワークから内部ネットワークに対する通信の可否を制御するファイアウォールにおいて、通信可否の判定基準として端末のドメインネームを保持し、外部からの通信要求があったとき、送信元端末のドメインネームを要求し、その回答から送信元端末のドメインネームを識別し、通信可否の判定を行なうようにしている。
【0022】
特に、本実施の形態は、自ネットワークを独自のプライベートアドレスによって管理する端末が、グローバルアドレスによって管理されるインターネットを介して、他の独自のプライベートアドレスによって管理されるネットワークの端末と通信するように構成するネットワークであって、着信側ネットワークの入口において、自ネットワーク内への通信可否を判定するファイアウォールを示す。
【0023】
ここに示す各ファイアウォールによって管理されたネットワーク内部には、外部からのDNS要求に対して回答を行なう機能を有している。また、ネットワーク内の各端末にはグローバルネットワーク全体でユニークなホスト名、すなわち、DNS形式に従ってネットワークのドメイン名とホスト名からなるドメインネームが与えられている。
【0024】
図2の構成を説明する。ネットワークM、ネットワークNはプライベートアドレスが割り当てられたネットワークであり、グローバルアドレスを割り当てられたネットワークを介して接続されている。M−11、M−12およびN−11、N−12は各ネットワークのプライベートアドレスが付与された端末であり、M−13、N−13はネットワーク内部の名前解決を実施する内側DNSサーバ、M−14、N−14はネットワークのセキュリティを確保するためのファイアウォールとアドレス変換機能を兼ね備えたゲートウェイ、M−15、N−15はネットワーク外部からのアドレス解決要求に対して内部端末のグローバルアドレスを返答するとともに、内部からの要求に対して外部グローバルアドレスを解決する外側DNSサーバである。
【0025】
本発明の実施の形態には、セキュリティを確保するためのファイアウォールであるM−14、N−14において、自ネットワークへの通信要求に対して、送信元端末のドメイン名を要求し、その回答を識別して通信の可否を判定するものを示す。
【0026】
ファイアウォールM−14、N−14のグローバルネットワーク接続のポートと、いわゆる非武装地帯 (DMZ:DeMilitarized Zone)接続のポートには固定的に割り当てられたグローバルアドレスが付与され、内部ネットワーク接続のポートはプライベートアドレスが付与されている。
【0027】
外側DNSサーバM−15、N−15にはグローバルアドレスが付与されている。内側DNSサーバM−13、N−13、端末M−11、M−12、およびN−11、N−12にはプライベートアドレスが付与されている。
【0028】
各端末M−11、M−12およびN−11、N−12にはそれらが属するネットワークのDNSサーバのアドレスが登録されている。
【0029】
内側DNSサーバM−13、N−13には自ネットワークのドメインネームと外側DNSサーバのグローバルアドレスが登録されている。
【0030】
ゲートウェイM−14、N−14のアドレス変換部は、従来技術における構成のものと同様にIPアドレスの変換を行い、さらに、外部からの送信要求に対し、内部プライベートアドレスに対応するグローバルアドレスを付与する機能を有し、上記ゲートウェイのファイアウォール部は送信元端末識別機能として従来技術の送信元IPアドレスによるチェック機能の他に送信元ドメインネームをチェックする機能を有する。
【0031】
以下に図2に示すネットワークNのプライベートアドレスで管理された端末N−11からグローバルアドレスで管理されるインターネットを経由してやはりプライベートアドレスで管理されるネットワークMの端末M−11に通信する時のパケットの動き、受信側ファイアウォールM−14に設けられたテーブル内のデータの動きとをあわせて通信のセキュリティの確保の動作を説明する。
【0032】
図3はテーブルの構成図であり、(a)は通信可否判定テーブル(以下説明ではテーブルAという)と(b)はドメインネーム問い合わせ中管理テーブル(説明ではテーブルBと呼ぶ)を示し、ともに受信側ネットワークMのゲートウェイM−14のファイアウォール機能として備えるものである。同様のテーブルはそれぞれのファイアウォールに備えられ、同様に通信の管理、セキュリティの確保に使用される。
【0033】
テーブルAはパケットを送信されたネットワークの入口にあるファイアウォールが、従来技術によるセキュリティ確保を行なうために備える通信を可とする相手端末のIPアドレスのテーブルとは別に、本発明の実施において追加して備えたテーブルであり、あらかじめ通信を可とする相手端末のドメインネームを記憶するようにしたテーブルである。各ドメインネームに対応して送信元端末のIPアドレスが判明したときにそれを記憶するように構成されている。例えば、図3(a)に示すように送信元端末ドメインネームが「no.pqr.st」は通信可能な状態で、送信元端末のIPアドレスは「130.1.1.1」であることを示している。
【0034】
テーブルBは送信されて来たパケットのIPアドレスを持つ端末のドメインネームを問い合わせているときに、問い合わせに答えたパケットが送信されて来たときに、回答のパケットであることを確認するために問い合わせ中IPアドレスを一時記憶するものである。例として、図3(b)に示してある「130.1..2.1」、「133.5.1.2」などは現在それぞれのドメインネームを相手のネットワークのDNSサーバに問い合わせている状態であることを示している。
【0035】
図4〜図6の通信開始の動作フローチャートの流れに沿って端末N−11から端末M−11に向けて通信開始するときの動作の説明を行なう。送信先の端末もプライベートアドレスで管理されておりM−11のドメインネームを入力して処理が始まる。ステップS41からステップS48は通常行なわれる処理であるが、ドメインネームで指定された相手端末のIPアドレスを得る処理を示している。
【0036】
ステップS41では、入力されたドメインネームをもとに、データ送信端末N−11が送信先端末M−11のアドレスを内部DNSサーバN−13に問い合わせる。
【0037】
ステップS42では、N−13は外部DNSサーバN−15に対し送信先端末M−11のアドレスを問い合わせる。
【0038】
ステップS43においては、N−15は送信先ドメインのDNSサーバM−15に対し、アドレス要求パケットを送信する。
【0039】
ステップS44は、M−14はN−15のIPアドレスで通信可と判定するものとしている。すなわち、ゲートウェイのセキュリティ機能として外部ネットワークから到来したアドレス要求パケットについてもセキュリティ確保を行なうがここでは従来技術によりN−15についてはそのIPアドレスが別途保持されていてそれに基づいて確認されるものとした。これも、後に説明するようにあらかじめIPアドレスが登録されていない場合にもセキュリティの確保を行なうためにドメインネームで確認することもできる。
【0040】
ステップS45では、通過してきたパケットを受け取ったDNSサーバM−15はゲートウェイM−14に対してM−11のグローバルアドレス割当を指示する。
【0041】
ステップS46では、M−14はM−11に対してグローバルアドレスを付与して、そのアドレスをM−15に回答する。
【0042】
ステップS47では、M−15はM−11のアドレスをN−15へ回答し、ステップS48で、N−15はN−13にM−11のアドレスを回答する。
【0043】
このようにして、送信元の端末N−11は送信先の相手端末M−11のIPアドレスを知ることができる。以降、N−11はこのアドレスを用いてM−11にパケットを送り出すことができる。しかし、各ネットワークは外部から送信されてくるパケットについてセキュリティを確保するようにしているので、IPアドレスが分かって通信を開始してもファイアウォールのチェックを受けなければならない。図5および図6のフローチャートによってファイアウォールM−14における本発明の実施の形態の動作を説明する。
【0044】
ステップS51において、データ送信端末N−11が、判明した送信先端末M−11のアドレスを用いて通信パケットをM−11に送信する。
【0045】
ステップS52で、まず、ネットワークMのファイアウォールM−14は従来技術で送信元N−11のアドレスの通信可否判定を行なう。OKであれば、直ちにステップS64以降に示すように通信パケットを通過させる。
【0046】
従来技術の通信可否を判定するIPアドレスが設定されていないときには、ステップS53に進み、テーブルAにIPアドレスが登録済かを調べる。すなわち、テーブルAには後で説明するように送信元ドメインネームに対応する送信元IPアドレスが判明したときにはそれが記憶されるようになっており、このIPアドレスが登録されているときにはステップS64に進みファイアウォールは通信パケットを通過させる。
【0047】
テーブルAにIPアドレスが登録されていないときには、ステップS54で、このパケットの送信元アドレスは調査中であるか否かを、テーブルBに記憶されているアドレス情報を調べることで判定する。
【0048】
調査中の送信元アドレスでないとき、すなわち、ドメインネームを調べることで送信元を確認する必要のあるものであると判断したときには、ステップS55で、送信元アドレスが調査中である旨テーブルBに記憶し、ステップS56で、送信元アドレスに基づいてドメインネームの逆引きを要求することにより、送信元アドレスのドメインネームを尋ねステップS51でその回答を待つようにしている。
【0049】
ステップS54で調査中のアドレスを持ったパケットであったときには、ステップS57でその内容が逆引きDNS解決の回答のパケットかを確認し、そうでないときはエラーとしてパケットを破棄してステップS51において次のパケットを待つ。
【0050】
逆引きDNS解決の回答のパケットであったときには、ステップS61でテーブルBに記憶した該当の送信元アドレスをクリアし調査中の状態を取り消す。
【0051】
ステップS62では、送信元のドメインネームが分かったので、それがあらかじめテーブルAに設定して記憶されている通信可能な端末を示すドメインネームと一致するか調べる。一致するものがないときにはステップS67でパケットを廃棄して終了する。
【0052】
一致が確認できたときにはステップS63で、送信元パケットのアドレスをテーブルAの該当のドメインネームに対応させて記憶する。このようにして、テーブルAに記憶されたIPアドレスは他のネットワークから受信したパケットの送信元IPアドレスと比較することにより通信可否のセキュリティチェックが可能となる。
【0053】
ステップS64ではセキュリティの確認ができた場合にはその通信パケットを通過させて宛先の端末に届けられる。
【0054】
以後、上記と同様の処理により各受信したパケットはセキュリティを確保した上で宛先の端末に届けられる。ステップS65では、無通信などを検出して通信を終了するまで繰り返されることを示している。
【0055】
通信の終了を確認するとステップS66で、テーブルAに記憶されていた通信終了の相手端末のIPアドレスをクリアする。さらに、フローチャートには記していないが、ファイアウォールM−14は通信の終了を検知して、割り当てられているグローバルアドレスを開放するとともに、これを外部ドメインネームサーバM−15に通知することになる。
【0056】
上記説明において、通信の可否を判定するときテーブルに設定したIPアドレスあるいは相手端末のドメインネームは通信を可とするものを記憶するようにしたが、逆に通信を否とするものを設定して可否を判定してもよい。
【0057】
また、他のネットワークに備えられた外向きのDNSサーバからのアドレス解決要求のパケットについては従来技術による登録されたIPアドレスの照合により通信の確認をしたが、上記説明したと同様にドメインネームの確認を用いてもよい。
【0058】
さらに、上記説明は自ネットワークおよび相手ネットワークともプライベートアドレスを使用して管理されたネットワークであることを前提としたが、いずれも、グローバルアドレスを持ったネットワークの端末であっても同様に機能するものである。
【0059】
以上のような仕組みを利用することにより、企業間の自由な接続がそれぞれの安全なネットワーク運用を確保しながら実現できる。例えば、複数の企業ネットワークの監視サービスを実施している会社が、リモートメンテナンス等他社のネットワークに属している端末に通信する際に、ファイアウォールで外部ネットワークからの通信を制限している場合、ドメインネームを登録して通信を許可された端末は、プライベートアドレスで管理されている監視サービス会社のネットワークからその時々に割り当てられたグローバルアドレスで通信しても本発明の機能を搭載したファイアウォールを通過することができる。同様に、各企業独自のネットワークを構築している場合でも、セキュリティ確保しながら企業間の各種商取引が自由に構築できる手段として有効となるものである。
【0060】
【発明の効果】
以上の説明から明らかなように本発明によれば送信元端末をそのドメインネームで認識することにより、グローバルアドレス不足を解決するために、プライベートアドレスで管理された端末を通信の開始時に動的にグローバルアドレスを割り当てる場合でも通信の可否を判定してセキュリティを確保することができるので、各企業が構築したそれぞれのネットワークをインターネットで接続した自由なネットワークの構成が可能となり、安全で便利なネットワーク社会の発展に寄与する、という工業的、経済的効果が得られる。
【図面の簡単な説明】
【図1】 本発明の構成図
【図2】 本発明の実施の形態の構成図
【図3】 テーブルの構成図
【図4】 通信開始の動作フローチャート(その1)
【図5】 通信開始の動作フローチャート(その2)
【図6】 通信開始の動作フローチャート(その3)
【符号の説明】
1 端末ドメインネーム記憶手段
2 ドメインネーム問い合わせ手段
3 通信可否判断手段
Claims (3)
- 外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティプログラムを記録した媒体であって、コンピュータを、
通信の可否を判断する対象の端末を識別するドメインネームおよび対応するIPアドレスを記憶する端末ドメインネーム記憶手段、
受信したパケットの送信元IPアドレスにより上記端末ドメインネーム記憶手段に記憶された送信元IPアドレスを検索して一致するものが見つからなかったときにはDNSサーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段、
問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して一致するものが見つかったときには該端末ドメインネームに対応させて上記問い合わせた送信元IPアドレスを記憶させ、上記端末ドメインネーム記憶手段に送信元IPアドレスあるいは送信元端末のドメインネームのいずれかに一致するものが見つかったか否かに基づき通信の可否を判断する通信可否判断手段、
として機能させるためのネットワーク間通信セキュリティプログラムを記録したコンピュータ読み取り可能な記録媒体。 - 上記受信したパケットは、プライベートアドレスで管理されたネットワークの端末が動的に割り当てられたグローバルアドレスを送信元IPアドレスとして送信したパケットであることを特徴とする請求項1記載のネットワーク間通信セキュリティプログラムを記録したコンピュータ読み取り可能な記録媒体。
- 外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティ装置であって、
通信の可否を判断する対象の端末を識別するドメインネームおよび対応するIPアドレスを記憶する端末ドメインネーム記憶手段と、
受信したパケットの送信元IPアドレスにより上記端末ドメインネーム記憶手段に記憶された送信元IPアドレスを検索して一致するものが見つからなかったときにはDNSサーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段と、
問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して一致するものが見つかったときには該端末ドメインネームに対応させて上記問い合わせた送信元IPアドレスを記憶させ、上記端末ドメインネーム記憶手段に送信元IPアドレスあるいは送信元端末のドメインネームのいずれかに一致するものが見つかったか否かに基づき通信の可否を判断する通信可否判断手段と、
を備えることを特徴とするネットワーク間通信セキュリティ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000258157A JP3758482B2 (ja) | 2000-08-28 | 2000-08-28 | ネットワーク間通信セキュリティプログラムを記録した媒体および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000258157A JP3758482B2 (ja) | 2000-08-28 | 2000-08-28 | ネットワーク間通信セキュリティプログラムを記録した媒体および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002077252A JP2002077252A (ja) | 2002-03-15 |
| JP3758482B2 true JP3758482B2 (ja) | 2006-03-22 |
Family
ID=18746509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000258157A Expired - Fee Related JP3758482B2 (ja) | 2000-08-28 | 2000-08-28 | ネットワーク間通信セキュリティプログラムを記録した媒体および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3758482B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4986266B2 (ja) * | 2008-01-31 | 2012-07-25 | 日本電気株式会社 | 通信制限機能付き端末、その方法及びプログラム |
| CN102884764B (zh) | 2012-06-30 | 2015-05-27 | 华为技术有限公司 | 一种报文接收方法、深度包检测设备及系统 |
| JP6122168B1 (ja) * | 2016-03-08 | 2017-04-26 | 西日本電信電話株式会社 | 通信システム、サーバ、通信機器、及びファームウェア設定変更方法 |
-
2000
- 2000-08-28 JP JP2000258157A patent/JP3758482B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002077252A (ja) | 2002-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8769661B2 (en) | Virtual private network node information processing method, relevant device and system | |
| CN100571188C (zh) | 一种提高ssl网关处理效率的方法及ssl网关 | |
| JP4045936B2 (ja) | アドレス変換装置 | |
| US7830878B2 (en) | Virtual network connection system, virtual network connection apparatus, and computer-readable medium | |
| US6813715B2 (en) | Method for accessing home-network using home-gateway and home-portal server and apparatus thereof | |
| EP2380309B1 (en) | Remote access to private network resources from outside the network | |
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| US20060056420A1 (en) | Communication apparatus selecting a source address | |
| CA2672642C (en) | Remote roaming controlling system, visitor based network server, and method of controlling remote roaming of user devices | |
| JP3006504B2 (ja) | 無線ネットワークにおける無線端末の認証方法および無線ネットワーク | |
| JPH10247946A (ja) | ネットワーク接続方式および方法ならびにネームサーバ | |
| US20100014521A1 (en) | Address conversion device and address conversion method | |
| JP4077351B2 (ja) | 名前/アドレス変換装置 | |
| US7522617B2 (en) | Inter-node connection method and apparatus | |
| JP2003289340A (ja) | 識別子問い合わせ方法、通信端末及びネットワークシステム | |
| US6477577B1 (en) | Network connection system and connection substitute correspondence client | |
| US20020199015A1 (en) | Communications system managing server, routing server, mobile unit managing server, and area managing server | |
| JP3612049B2 (ja) | 私設インターネットプロトコルアドレスドメインにおける固有インターネットプロトコルアドレスの使用方法 | |
| US8102762B2 (en) | Communication control system and communication control method | |
| JP3758482B2 (ja) | ネットワーク間通信セキュリティプログラムを記録した媒体および装置 | |
| JP2013171371A (ja) | パケットフィルタリング方法及び装置 | |
| JP3509848B2 (ja) | 通信制御装置および記録媒体 | |
| JP4352645B2 (ja) | 端末装置、中継装置、通信方法及びその通信プログラムを記録した記録媒体 | |
| US20100023620A1 (en) | Access controller | |
| EP1307029B1 (en) | Address conversion scheme for communications between different address systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050719 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050905 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051226 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100113 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110113 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110113 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120113 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |