JP2012146104A - プロキシサーバにおけるアクセス制御方法 - Google Patents
プロキシサーバにおけるアクセス制御方法 Download PDFInfo
- Publication number
- JP2012146104A JP2012146104A JP2011003539A JP2011003539A JP2012146104A JP 2012146104 A JP2012146104 A JP 2012146104A JP 2011003539 A JP2011003539 A JP 2011003539A JP 2011003539 A JP2011003539 A JP 2011003539A JP 2012146104 A JP2012146104 A JP 2012146104A
- Authority
- JP
- Japan
- Prior art keywords
- access
- proxy server
- time
- client
- calculation formula
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】
認証エラーを原因とするイントラネット上の特定のクライアントからのアクセス要求がプロキシサーバ(HTTP Proxy Server)に集中した場合、負荷の増大(システムダウン)を未然に防ぐことを課題とする。
【解決手段】
上記の課題を解決するために、本発明では、HTTP Proxy Server200に対して、外部へのアクセス要求を送信する各クライアント201等それぞれのアクセス拒否の基準となる閾値およびアクセスを拒否する時間を算出する計算式を記憶しておき、前記各クライアント201等からのアクセス要求のうち認証エラーになる回数を計測し、当該計測の結果、前記閾値を超えるクライアントが存在する場合、対応する計算式を用いてアクセス拒否時間を算出し、当該クライアント201等からのアクセス要求について、算出されたアクセス拒否時間分のアクセスを拒否するものである。
【選択図】図1
認証エラーを原因とするイントラネット上の特定のクライアントからのアクセス要求がプロキシサーバ(HTTP Proxy Server)に集中した場合、負荷の増大(システムダウン)を未然に防ぐことを課題とする。
【解決手段】
上記の課題を解決するために、本発明では、HTTP Proxy Server200に対して、外部へのアクセス要求を送信する各クライアント201等それぞれのアクセス拒否の基準となる閾値およびアクセスを拒否する時間を算出する計算式を記憶しておき、前記各クライアント201等からのアクセス要求のうち認証エラーになる回数を計測し、当該計測の結果、前記閾値を超えるクライアントが存在する場合、対応する計算式を用いてアクセス拒否時間を算出し、当該クライアント201等からのアクセス要求について、算出されたアクセス拒否時間分のアクセスを拒否するものである。
【選択図】図1
Description
本発明は、いわゆるプロキシサーバに対するクライアントからのアクセスを制御するための技術に関する。その中でも特に、アクセスが集中した場合の制御に関する。
現在、企業などの組織内のクライアントから外部(インターネット等)にアクセスする場合には、アクセス制御を行うためにその中間にプロキシサーバ(HTTP Proxy Server)を設けている。プロキシサーバでは、アクセス要求を受けた場合、当該組織で許可されたアクセスかを判断している。例えば、その組織の業務範囲内のページかなどの判断基準を設けて、アクセス制御をしている。
しかし、外部へのアクセス要求が集中した場合、プロキシサーバの負荷が増大し、最悪システムダウンすることが懸念される。
この問題を解決するための技術が、特許文献1に開示されている。特許文献1では、プロキシサーバを複数用意し、並列処理を行うことやアクセス要求を受けたプロキシサーバの状況に応じて他のプロキシサーバが対応することが記載されている。また、特許文献2には、ASPサービスを提供するためのサーバがクライアントからリクエストを受信した場合、このリクエストの受信間隔が閾値を超えない場合、エラーとしてビジネスロジックを実行しないことが開示されている。
ここで、プロキシサーバへのアクセス要求の集中としては、あるクライアントからの利用者が意図しないエラーの如き要求(例えば、認証エラー)が集中的に実行されることが原因となることがある。
しかし、特許文献1および2では、プロキシサーバやASPサーバなど、サーバ側での受信集中しか考慮されておらず、ある特定(1ないし複数の)のクライアントからの要求が集中することは考慮されていない。
上記の課題を解決するために、本発明では、プロキシサーバに対して、外部へのアクセス要求を送信する各クライアントそれぞれのアクセス拒否の基準となる閾値およびアクセスを拒否する時間を算出する計算式を記憶しておき、前記各クライアントからのアクセス要求のうち認証エラーになる回数を計測し、当該計測の結果、前記閾値を超えるクライアントが存在する場合、対応する計算式を用いてアクセス拒否時間を算出し、当該クライアントからのアクセス要求について、算出されたアクセス拒否時間分のアクセスを拒否するものである。
また、本発明には、各クライアントについて、アクセス拒否時間が予め設定されている場合、前記計算式で算出されたアクセス拒否時間に、予め設定された前記アクセス拒否時間を足した時間分、アクセスを拒否することも含まれる。
本発明によれば、プロキシサーバに対する認証エラー等を理由とするアクセス集中を抑止することが可能になる。
以下、本発明の一実施形態について、図面を用いて説明する。図1は、本実施形態を適用するシステム構成図である。本システムでは、いわゆるPCである各クライアント(クライアントA201、クライアントB202、クライアントD204、クライアントE205、クライアントF206)が、外部のインターネットとの接続を、HTTP Proxy Server 200を介して実行する。特に、クライアントD204、クライアントE205、クライアントF206に関しては、別組織(例:グループ会社)のHTTP Proxy Serverであり、HTTP Proxy Server 200を利用するに当たり、更にProxy C 203を介してインターネット等外部にアクセスする。本実施形態では、HTTP Proxy Server 200が、これら各装置からのアクセス要求を受けたとき、特に認証エラーとなるアクセス要求が集中して届いた場合HTTP Proxy Serverが高負荷になることで生じるシステムダウンを防ぐため、認証エラーを大量に送信している特定クライアントからのアクセスを、所定の条件に従って一定時間拒否するものである。なお、これらのIPアドレスはそれぞれ図示するとおりである。
以下、HTTP Proxy Server 200における処理フローを図2および3を用いて説明する。
ステップ100において、HTTP Proxy Server管理者が、認証エラーリクエストを多量に送信してくる特定クライアントからのアクセスを拒否するアクセス拒否時間を決定する際の、アクセスを拒否するか否かを決定する認証エラーリクエスト数の閾値や、アクセスを拒否する場合のアクセス拒否時間を決定する計算式について、HTTP Proxy Server管理者が特定IPごとに重み付けをする必要があると判断した場合、そのHTTP Proxy Server管理者から処理の要求を受付ける。
ステップ100において、HTTP Proxy Server管理者が、認証エラーリクエストを多量に送信してくる特定クライアントからのアクセスを拒否するアクセス拒否時間を決定する際の、アクセスを拒否するか否かを決定する認証エラーリクエスト数の閾値や、アクセスを拒否する場合のアクセス拒否時間を決定する計算式について、HTTP Proxy Server管理者が特定IPごとに重み付けをする必要があると判断した場合、そのHTTP Proxy Server管理者から処理の要求を受付ける。
ステップ101において、重み付けする処理の要求を受け付けた場合、閾値を個別に定義するのか、あらかじめ定義されているデフォルトの閾値を定義するのかをユーザが選択可能なように、選択画面を表示する。個別の定義となる任意の閾値について入力された場合は、入力された値(すなわち、個別の閾値ないしデフォルト値)をディスク上のテーブル(すなわち、図4のテーブル1「個別定義一覧」)中の閾値を示す欄に格納する。このことで、該当IPの閾値として定義されることになる。デフォルトの閾値が選択された場合、メモリに格納されているデフォルトの閾値をテーブル1「個別定義一覧」に格納することで、該当IPの閾値として定義される。
ステップ102において、アクセス拒否時間の計算式を、個別に定義するのか、あらかじめ定義されているデフォルト計算式で定義するのか、ユーザが選択可能なように、選択画面を表示する。個別に定義する方法として、複数の基本となる計算式から一つ選択された場合、重み付けのための係数の入力を受け付ける。入力された計算式をテーブル1「個別定義一覧」の該当の欄に格納し、該当IPのアクセス拒否時間の計算式として定義する。デフォルトの計算式が選択された場合、メモリに格納されているデフォルトの計算式をテーブル1「個別定義一覧」に格納し該当IPの計算式として定義する。なお、この計算式の内容は、利用者が適宜自由に設定変更可能である。
ステップ103において、閾値やアクセス拒否時間の計算式を個別に定義したいIPそれぞれについて定義できていない場合は、それぞれ定義が終わるまでステップ101およびステップ102を繰返す。
ステップ104では、予め定めた開始時間となる、ある時刻から直前R秒間の認証エラーリクエストを、ディスク上に格納されているアクセスログから参照する。参照したアクセスログをIPごとに分けて、IPごとに認証エラーリクエストの合計数を計測する。この計測した結果の一例を図4のテーブル2「IP別カウント一覧」に格納する。
ステップ105では、ステップ104でカウントされたIPについて、ステップ101にて個別に閾値を定義しているかテーブル1「個別定義一覧」から確認する。この結果、該当IPに個別の閾値が存在する場合はテーブルに格納されている閾値、存在しない場合はメモリに格納されているデフォルトの閾値で超えていないか確認する。
ステップ106では、ステップ105で閾値を超えていたと判断した場合は、該当IPについて、ステップ102にてアクセス拒否時間を計算する式を個別に定義しているか、テーブル1「個別定義一覧」から確認する。
ステップ107では、該当IPについて個別にアクセス拒否時間の計算式を定義している場合、図4のテーブル1「個別定義一覧」から該当する計算式を読み出し、計算式に従ってアクセス拒否時間を計算する。
ステップ108では、該当IPについて個別にアクセス拒否時間の計算式を定義していない場合、図4のテーブル1「個別定義一覧」に格納されているデフォルトの計算式に従ってアクセス拒否時間を計算する。
ステップ109では、該当IPに0より大きいアクセス拒否時間が存在しているか、図4のテーブル3「IP別アクセス拒否時間一覧」から確認する。
ステップ110では、テーブル3「IP別アクセス拒否時間一覧」を参照し、該当IPにアクセス拒否時間がすでに存在する場合は、ステップ107、またはステップ108で計算したアクセス拒否時間に加算し、テーブル3「IP別アクセス拒否時間一覧」に書き込む。
ステップ111では、テーブル3「IP別アクセス拒否時間一覧」を参照し、該当IPにアクセス拒否時間が存在しない場合、ステップ107、またはステップ108で計算したアクセス拒否時間を該当IPのアクセス拒否時間とし、テーブル3「IP別アクセス拒否時間一覧」に書き込む。
ステップ112では、ステップ104で計測した各IPについて、ステップ110で設定された閾値を超えているかのチェックを、図4のテーブル3’「IP別アクセス拒否時間一覧」に記録された内容を用いて行う。各IPが超えている場合はステップ113に進み、超えていない場合はステップ105に戻る。
ステップ113では、アクセス拒否時間が存在する各IPについて、該当するIPそれぞれからのアクセスを拒否する設定を、iptablesコマンドを使用してIPパケットフィルタルールのテーブルに追加する。
ステップ114では、時間R間隔でテーブル3「IP別アクセス拒否時間一覧」を更新するために時間R待つ。つまり、時間R後、更新処理を実行する。
ステップ115では、アクセスを拒否しているIPそれぞれのアクセス拒否時間を、ステップ114で待った時間Rだけアクセス拒否時間から減算する。この結果を図4のテーブル3”「IP別アクセス拒否時間一覧」に示す。なお、図4のテーブル3、3’、3”は、「IP別アクセス拒否時間一覧」であり、それぞれ同じもので、時間経過に従ってその内容が変化している様子を示している。
ステップ116では、ステップ115で減算した結果、テーブル3「IP別アクセス拒否時間一覧」を参照し、アクセス拒否時間が0以下になったIPが存在したら、該当IPからのアクセスを拒否する設定を、iptablesコマンドを使用してIPパケットフィルタルールのテーブルから削除してアクセス可能にする。
以上で、本実施形態の内容の説明を終わる。なお、上記の実施形態は、HTTP Proxy Server 200が、各クライアントからのアクセス要求に対する制御を例に記載した。但し、Proxy C 203が、クライアントD,E,Fに対して同様の処理を行ってもよいし、HTTP Proxy Server 200がProxy C 203からのアクセス要求に対して同様に制御してもよい。
200…HTTP Proxy Server、201、202、204、205、206…クライアント、203…proxy C
Claims (5)
- ネットワークを介して接続されたクライアントからのアクセス要求に対するプロキシサーバにおけるアクセス制御方法において、
前記プロキシサーバに対して、外部へのアクセス要求を送信する各クライアントそれぞれのアクセス拒否の基準となる閾値およびアクセスを拒否する時間を算出する計算式を記憶しておき、
前記各クライアントからのアクセス要求のうち認証エラーになる回数を計測し、
当該計測の結果、前記閾値を超えるクライアントが存在する場合、対応する計算式を用いてアクセス拒否時間を算出し、
当該クライアントからのアクセス要求について、算出されたアクセス拒否時間分のアクセスを拒否することを特徴とするプロキシサーバにおけるアクセス制御方法。 - 請求項1に記載のプロキシサーバにおけるアクセス制御方法において、
前記各クライアントについて、アクセス拒否時間が予め設定されている場合、前記計算式で算出されたアクセス拒否時間に、予め設定された前記アクセス拒否時間を足した時間分、アクセスを拒否することを特徴とするプロキシサーバにおけるアクセス制御方法。 - 請求項1または2のいずれかに記載のプロキシサーバにおけるアクセス制御方法において、
前記各クライアントは、IPアドレスで特定することを特徴とするプロキシサーバにおけるアクセス制御方法。 - ネットワークを介して接続されたクライアントからのアクセス要求を受信するプロキシサーバにおいて、
当該プロキシサーバに対して、外部へのアクセス要求を送信する各クライアントそれぞれのアクセス拒否の基準となる閾値およびアクセスを拒否する時間を算出する計算式を記憶しておく手段と、
前記各クライアントからのアクセス要求のうち認証エラーになる回数を計測する手段と、
当該計測の結果、前記閾値を超えるクライアントが存在する場合、対応する計算式を用いてアクセス拒否時間を算出する手段と、
当該クライアントからのアクセス要求について、算出されたアクセス拒否時間分のアクセスを拒否する手段を有することを特徴とするプロキシサーバ。 - 請求項4に記載のプロキシサーバにおいて、
前記拒否する手段は、前記各クライアントについて、アクセス拒否時間が予め設定されている場合、前記計算式で算出されたアクセス拒否時間に、予め設定された前記アクセス拒否時間を足した時間分、アクセスを拒否することを特徴とするプロキシサーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011003539A JP2012146104A (ja) | 2011-01-12 | 2011-01-12 | プロキシサーバにおけるアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011003539A JP2012146104A (ja) | 2011-01-12 | 2011-01-12 | プロキシサーバにおけるアクセス制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012146104A true JP2012146104A (ja) | 2012-08-02 |
Family
ID=46789610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011003539A Pending JP2012146104A (ja) | 2011-01-12 | 2011-01-12 | プロキシサーバにおけるアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012146104A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014137802A (ja) * | 2013-01-18 | 2014-07-28 | Canon Inc | 情報処理装置およびその制御方法、並びにプログラム |
-
2011
- 2011-01-12 JP JP2011003539A patent/JP2012146104A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014137802A (ja) * | 2013-01-18 | 2014-07-28 | Canon Inc | 情報処理装置およびその制御方法、並びにプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965007B (zh) | Api网关接口配置更新方法及装置 | |
| US10412022B1 (en) | On-premises scaling using a versatile scaling service and an application programming interface management service | |
| US7908380B1 (en) | Method of session quota constraint enforcement | |
| JP2013532869A5 (ja) | ||
| US11223602B2 (en) | IP address access based on security level and access history | |
| US20130010594A1 (en) | Adaptive Edge-Implemented Traffic Policy in a Data Processing Network | |
| US10044729B1 (en) | Analyzing requests to an online service | |
| US10574682B2 (en) | Latency-based detection of covert routing | |
| US9948649B1 (en) | Internet address filtering based on a local database | |
| JP2014505918A (ja) | 動的サービス応答時間に基づきサーバにアプリケーショントラフィックを配信するシステムと方法 | |
| US20170324585A1 (en) | Methods and systems for prioritizing nameservers | |
| AU2009267107A1 (en) | System and method for dynamic and real-time categorization of webpages | |
| JP6545000B2 (ja) | アップロード管理システム、アップロード管理システムの制御方法、及びプログラム | |
| JP2006302265A (ja) | フィルタリング方法、クライアントシステム、その制御方法及びプログラム、フィルタリングシステム、サーバシステム、その制御方法及びプログラム | |
| Darwish et al. | Evaluation of an OAuth 2.0 protocol implementation for web server applications | |
| US20210152542A1 (en) | Access tokens with scope expressions of personal data policies | |
| CN109639589A (zh) | 一种负载均衡方法及装置 | |
| US10728272B1 (en) | Risk scoring in a connected graph | |
| US10057390B2 (en) | Method and system for modifying HTTP request headers without terminating the connection | |
| JP2012146104A (ja) | プロキシサーバにおけるアクセス制御方法 | |
| JP2017049745A (ja) | 認証サーバ、認証方法およびプログラム | |
| EP2677715A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
| CN110557371A (zh) | 一种访问限制方法、系统、可读存储介质及游戏服务器 | |
| US10367781B2 (en) | Information processing apparatus, method of controlling the same, and storage medium | |
| JP2015527667A (ja) | コンピュータベースのソーシャル・ネットワークの装置の間でルーティングをするための方法およびサーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120521 |