[go: up one dir, main page]

JP4493654B2 - ネットワーク間の通信のためのセキュリティ・チェック・プログラム - Google Patents

ネットワーク間の通信のためのセキュリティ・チェック・プログラム Download PDF

Info

Publication number
JP4493654B2
JP4493654B2 JP2006516116A JP2006516116A JP4493654B2 JP 4493654 B2 JP4493654 B2 JP 4493654B2 JP 2006516116 A JP2006516116 A JP 2006516116A JP 2006516116 A JP2006516116 A JP 2006516116A JP 4493654 B2 JP4493654 B2 JP 4493654B2
Authority
JP
Japan
Prior art keywords
network
networks
protocol
destination
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2006516116A
Other languages
English (en)
Other versions
JP2006527939A (ja
Inventor
バーノス、アンドリュー、ジョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2006527939A publication Critical patent/JP2006527939A/ja
Application granted granted Critical
Publication of JP4493654B2 publication Critical patent/JP4493654B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Communication Control (AREA)

Description

本発明は、一般に、コンピュータ・ネットワーク間の通信に関し、より具体的には、どのネットワークに互いに通信する権限が与えられるか、及びそのネットワークの構成に基づいた通信のためにどのIPプロトコルを用いるべきかを判断するためのシステム及び方法を扱う。
通信は1つのネットワークから別のネットワークへと流れ、各々のネットワークのための通信ゲートウェイが、通常、ファイアウォール又はルータである。ファイアウォールは、ルータと不要なメッセージをふるい落とすためのフィルタとを含む。様々なタイプのネットワークがある。例えば、企業内の局所的通信のためのイントラネットがある。皆が同じ企業で働いているので、イントラネットの全てのユーザは信頼に足ると考えられる。したがって、通常、イントラネット内では、相対的にセキュリティ上の問題がほとんどない。しかしながら、多くの場合、イントラネットのユーザは、該イントラネットの外側の別のネットワーク上にある別のエンティティと通信することを望む。この別のエンティティはその企業で働いておらず、この別のネットワークはその企業の制御下にないので、この別のエンティティ及びネットワークを完全に信頼することはできない。したがって、そのイントラネットへのゲートウェイにファイアウォールをインストールすることがある。ファイアウォールは、受信する通信のためのセキュリティ・ポリシーの実施を担う。このセキュリティ・ポリシーは、イントラネットが通信することが許可されているネットワークのタイプ、及び通信のためにどのプロトコルが許可されるかを定めることができる。
例えば、ファイアウォールは、もしあるとしたら、企業の「非武装地帯」すなわち「Demilitarized Zone(DMZ)」との通信だけを許可することができる。企業のDMZは、企業が供給し、管理するサーバ及び他の関連した装置を含むが、重要データ又は重要データの唯一のコピーは含んでいない。したがって、企業のDMZ内のサーバが他のネットワークからの通信によって破壊された場合、その損傷は修理可能である。また、企業のDMZ内のサーバ及び関連した装置を管理することより、該企業が、該企業のDMZにおけるセキュリティの尺度を定めることが可能になる。企業のDMZに、直接又は別の企業の別のDMZを通して信頼できないネットワークと通信する権限を与えることができる。ファイアウォールを有するイントラネットを1つ又はそれ以上の信頼できないネットワークに直接接続し、イントラネットのファイアウォールに依存してセキュリティを提供することもできる。あまり安全でない他のタイプのネットワークは、ファイアウォールを有していない。代わりに、それらは、ルータを通して他のネットワークに直接接続する。
最も一般的なプロトコルは、TCP、UDP、及びICMPである。これらのプロトコルの各々は、特定のタイプの要求のためのTCP及びUDPによって使用されるポートの範囲、及びICMPのタイプ及びコードのような付加的な基準を含む。TCPポート及びUDPポートは、受信側装置のどのアプリケーションが要求されたサービスを提供すべきかを示す。場合によっては、特定のタイプの通信のためのポートの範囲を制限することも望ましい。ポートの範囲の制限は、要求されたサービスの処理を容易にする。例えば、多くのプログラムは、いずれかの利用可能なTCPポート又はUDPポートを開けるように書かれている。このことは、こうしたポートを用いるアプリケーションの識別を困難にする。こうした一部の例では、ポートを使用しているアプリケーションの識別を助けるために、これらのアプリケーションに使用可能なポートの範囲を制限することが可能である。一部のネットワークが、異なる範囲のTCPポート又はUDPポートを用いる別のネットワークと通信しないことは好ましい。また、一部のネットワークが、特定のタイプのICMPメッセージを受信しないように望むことも可能である。例えば、「経路リダイレクト」を送信する装置を信頼できないとき、一部の宛先ネットワークが、「経路リダイレクト」メッセージの処理を望まないことがある。さらに、幾つかのプロトコルは、他のものと比べるとより制御可能である。例えば、TCPは、あらゆる通信に対して「ハンドシェーク」を提供するが、UDPは提供しない。このように、TCPはUDPと比べてより制御可能であり、よって一部のネットワークがUDP通信を受信しないことが好ましい。
ファイアウォール又はルータを通して接続された2つのネットワークに互いに通信する権限が与えられるか、及び通信のための権限が、付加的な基準を含むどのプロトコルに与えられるかを判断するために、異なる技術が用いられた。例えば、外部ネットワークのシステム管理者が、そのファイアウォール又はルータを通して、企業のファイアウォールを有する企業に通信することを望む場合、該外部ネットワークのシステム管理者は、単にその構成情報を企業のシステム管理者に送ることができる。構成情報は、外部ネットワークのタイプ、及び各々のプロトコルについての付加的な基準を含む、該外部ネットワークがサポートするプロトコルを含むことができる。次に、企業のシステム管理者は、手作業で構成情報を検討し、この外部ネットワークが、該企業のファイアウォールを通して該企業と通信するのを許可すべきかどうか、許可すべき場合には、どのIPプロトコルを使用するかを判断する。要求されたフローが、会社のポリシーに照らして許容可能なものであるとシステム管理者が考える場合には、システム管理者は、企業のファイアウォール内のファイルを更新し、付加的な基準を含む特定のIPプロトコルを用いて外部ネットワークとの通信を可能にする。同様に、外部ネットワークのシステム管理者は、そのファイアウォール又はルータ内のファイルを更新し、付加的な基準を含む特定のIPプロトコルを用いて外部ネットワークからの通信を受信することを可能にする。
会社のポリシーによって、通常は年に一度、時にはそれ以上、全てのフィルタ規則を検証し、これらが依然として会社のポリシーに適合していることを保証する必要がある。従来より、このことは、システム管理者、又はセキュリティ管理者のようなファイアウォールの日常操作に携わっていない人によって手作業で完了される。システム管理者又はセキュリティ管理者は、各々のファイアウォール規則を検討して、各々のIPアドレスのネットワーク・タイプを確認し、該ファイアウォール内に構成されたフローが、会社のポリシーに照らして許容可能なものであることを保証する。この技術は有効なものであるが、通信を希望する各ネットワークからの構成情報を人が延々と検討しなければならず、こうしたネットワークが多くある。また、この技術は、潜在的に許可される全ての通信を判断するのではなく、特定の通信の許容可能性の確認に焦点を合わせている。また、ネットワークのルータ及びファイアウォールは変更されることが多く、このことにより、システム管理者又はセキュリティ管理者の間で前述の相互作用を繰り返すことが必要になる。
ファイアウォール又はルータを通して接続される2つのネットワークに互いに通信する権限が与えられているか、及び通信の権限が(付加的な基準を含む)どのプロトコルに与えられるかを判断するための別の技術がある。この技術によると、パケット生成装置が、送信側ネットワークのファイアウォール又はルータの内部に配置され、他のネットワークとの互換性を確認する。パケット生成装置は、1組の通信パケットをネットワーク上に、好ましくは空いているIPアドレスに送信する。各組の通信パケットは、送信側ネットワークがサポートするものを除いて、異なる付加的な基準を有する異なるIPプロトコルを有している。「スニファ(sniffer)」が、送信側ネットワークのファイアウォール又はルータのすぐ外側に配置され、該送信側ネットワークのファイアウォール又はルータを通過することができる生成されたパケットをログに記録する。「スニファ」がログに記録する元のパケットの有無に基づいて、ファイアウォール又はルータがどのトラフィックの通過を可能にするかについての報告書を作成することができる。次に、この報告書を企業のセキュリティ基準と比較することができる。この技術は、部分的に自動化されるものの、処理すべき多くの通信パケットでネットワークに負担をかける。また、この技術は、送信側ネットワークが通信を許可すべきかどうかを判断する際の基準として宛先ネットワークのタイプを考慮しないので、いったん報告書が手作業で作成されると、このことが、依然として手作業として残される。他の問題は、企業のセキュリティ基準がしばしば変わることである。
非特許文献1は、ファイアウォール及びファイアウォール・ポリシーについての入門情報を開示する概要D1を開示する。D1は、ファイアウォールの設計、選択、配置、及び管理、並びにファイアウォール環境について説明する。パケットが許可されたアクセスであるか拒否されたアクセスであるかどうかを判断するために、規則の組がファイアウォールによって用いられる。規則の組は、管理者によって手作業で設定される
特許文献1は、装置にアクセスする要求を受信するステップと、該装置への経路を求めるステップと、所定の経路についてどのファイアウォール規則が存在するかを確かめるステップと、クライアントを適切なプロキシーにリダイレクトさせるステップとを含む、コンピュータ・ネットワークにおいてプロキシー・サービスを提供する方法を開示する
特許文献2は、複数のネットワーク・セキュリティ装置を構成する方法を開示する。これは、ネットワーク・ディレクトリ・サービスを、複数のネットワーク・セキュリティ装置の1つに結合されたネットワーク・サーバに提供することを含む。セキュリティ・ポリシーに応答して、複数のネットワーク・セキュリティ装置についての構成情報を提供するために、ネットワーク・ディレクトリ・サービスにおいて、複数のネットワーク・セキュリティ装置のセキュリティ・ポリシーを実施する
Loran Network management limitedによる国際公開第02/073921A号 米国特許第B−62125581号 Wack J他、「Guidelines on firewall and firewall policy」、2002年1月、National institute of standards and technology、Gaithersburg、MD、USA、XP002293462
したがって、本発明の一般的な目的は、どのタイプのネットワークが互いに通信でき、こうした通信のためにどのIPプロトコル用いることができるかを判断するための技術を提供することである。
本発明のより特定の目的は、少なくとも部分的に自動化された前述のタイプの技術を提供することである。
本発明の第1の態様からの観点は、複数のネットワークの各々からのネットワーク・データを探索し(72)、該ネットワーク・データの受信に応答して、各々のネットワークのセキュリティ・ポリシー、ネットワークのタイプ、各々のネットワークのファイアウォール又はルータを通して許可されたIPプロトコル、並びに該ネットワークの各々のそれぞれのファイアウォール又はルータによって許可される宛先ネットワーク及びソース・ネットワークを表すデータ構造(68)を生成するステップと、各々のネットワークについて、(a)各々のネットワークと共に用いることが許可されたIPプロトコルと、(b)各々のネットワークに通信することが許可された他のネットワークのタイプの記録をコンピュータ可読データベース内に格納するステップと、該生成するステップに基づいて、前記生成されたデータ構造から、各々がソース・ネットワーク及び宛先ネットワークを含む、ネットワークの複数の組み合わせを自動的に識別する(142)ステップと、該組み合わせの各々について、該各組み合わせ内の該ネットワークの各々が、該各組み合わせ内の他のネットワークと通信することが許可されているか(144)、及び、どのIPプロトコルが該各組み合わせ内の該ネットワークの両方に共通であるかを判断するステップと、許可を権限データ・ストア内に格納する(71)ステップとを含む、複数のネットワークに互いに通信する権限が与えられているか、及び前記ネットワークの2つの組み合わせの各々の間の通信のためにどのIPプロトコルを用いることができるかを判断する方法を提供する。
本発明の1つの特徴によると、IPプロトコル並びに宛先ネットワーク及びソース・ネットワークの記録が、IPプロトコル並びに宛先アドレス及びソース・アドレスの記録を含む。各々のネットワークのタイプの記録は、宛先アドレスをそれぞれのネットワーク・タイプに関連付け、ソース・アドレスをそれぞれのネットワーク・タイプに関連付けるテーブルを含む。
ここで同様の参照番号が同様の要素を示す図面を詳細に参照すると、図1は、接続性ネットワーク20によって相互接続されている4つのネットワーク11−14を示す。図1の全ては、以下に述べられるセキュリティ・チェック・プログラム70及び関連したテーブル71を除いて、従来技術のものである。ネットワーク11及び12は、ネットワーク11及び12と接続性ネットワーク20との間に配置されたファイアウォール21を共有する。ネットワーク13は、ネットワーク13と接続性ネットワーク20との間に配置されたルータ23を有する。ネットワーク14は、ネットワーク14と接続性ネットワーク20との間に配置されたファイアウォール24を有する。ファイアウォール21、ファイアウォール24、及びルータ23も従来技術において周知のものである。例として、ネットワーク11は企業のイントラネットであり、ネットワーク12はネットワーク11のためのDMZであり、ネットワーク13はネットワーク11の視点から信頼できないネットワークであり、ネットワーク14はネットワーク11の視点から信頼できないネットワークである。例として、ネットワーク14はワールド・ワイド・ウェブであり、ネットワーク13は第三者の顧客ネットワークである。しかしながら、本発明は、多種多様のネットワークと共に用いることができる。同じく例として、接続性ネットワークは、LAN、WAN、又はVPNを含む。しかしながら、接続性ネットワーク20の性質は、本発明に関係しない。ネットワーク11は、サーバ32と、ユーザ・ワークステーション30と、セキュリティ・チェック・プログラム70を実行するためのネットワーク・マネージャ・ワークステーション34とを含む。ネットワーク12は、サーバ42と、「ヘルプデスク」のためのユーザ・ワークステーション40とを含む。ネットワーク13は、ユーザ・ワークステーション50と、サーバ52とを含む。ネットワーク14は、ユーザ・ワークステーション60と、サーバ62とを含む。しかしながら、各々のネットワーク内のワークステーションの構成は、セキュリティ・チェック・プログラム及びこの場合ネットワークがサポートするIPプロトコルを実行するためのネットワーク管理ステーションを設ける以外、本発明に関係しない。
セキュリティ・チェック・プログラム70は、ファイアウォール21の背後のイントラネット11内のネットワーク・マネージャ・ワークステーション34において実行される。ネットワーク・マネージャ34は、ファイアウォール21を介してDMZネットワーク12と通信し、DMZネットワーク12及び接続性ネットワーク20を介してネットワーク13及び14と通信する。DMZネットワーク12は、ファイアウォール21、接続性ネットワーク20、及びルータ23を介してネットワーク13と通信する。DMZネットワーク12は、ファイアウォール21、接続性ネットワーク20、及びファイアウォール24を介してネットワーク14と通信する。
図2は、セキュリティ・チェック・プログラム70内の初期化機能68を示すフローチャートである。初期化機能の目的は、各々のネットワーク11−14のセキュリティ・ポリシー、各々のネットワーク11―14のタイプ、及び各々のネットワークのファイアウォール又はルータを通して許可されたIPプロトコルを表すデータ構造を構築することである。各々のネットワークの「セキュリティ・ポリシー」は、このネットワークがどのタイプの他のネットワークと通信できるか、及びどのIPプロトコルを用いることができるかを定義したものである。次に、図3から図5を参照して以下に述べられるセキュリティ・チェック・プログラム70の残りの部分100が、このデータ構造を用いて、どのネットワークに互いに通信する権限が与えられるか及びどのIPプロトコル(付加的な基準を含む)を通信のために使用すべきかを判断する。示されるフローチャート及びその詳細な説明においては、「ネットワーク」についてだけ説明されるが、セキュリティ・チェック・プログラム70の以下の詳細な説明は、全ての「ネットワーク・オブジェクト」、すなわちネットワーク、サブ・ネットワーク、又はホスト型ネットワークの各々に等しく適用することができる。
初期化機能68は、次のように作動する。最初に、機能68は、セキュリティ・ポリシーを探索する(ステップ72)。このポリシーは、システム管理者が作成するファイル内に格納することができ、又は初期化機能を実行する前にシステム管理者が手作業で入力することもできる。一般に、システム管理者は、初期化機能が検討する全てのネットワーク(ネットワーク11―14のような)間の通信について責任を負っており、これらのネットワークのIP構成について何らかの知識を有する。各々のネットワークについてのセキュリティ・ポリシーは、「イントラネット」、「DMZ」、「顧客」、及び「インターネット」のような各々のネットワークの文書化された企業セキュリティ・ポリシーに従って各々のネットワークと通信することが許可される他のネットワークのタイプ、並びに各々のネットワーク・タイプ間で許可されるトラフィック/プロトコルのタイプを定義する。システム管理者は、ネットワーク11―14のルータ又はファイアウォールについてのテキスト構成情報も必要とする。各々のルータ又はファイアウォールについてのテキスト構成情報は、ソースIPアドレス、宛先IPアドレス、IPプロトコル、及びルータ又はファイアウォールによって許可されるポート及びタイプを含む。「ソースIPアドレス」は、ルータ又はファイアウォールを通してパケットを送信することができるネットワークのIPアドレスであり、「宛先IPアドレス」は、ルータ又はファイアウォールを通して送信されたパケットを受信することができるネットワークのIPアドレスである。各々のルータ又はファイアウォールのためのテキスト構成ファイル内に格納された「IPプロトコル」は、ソースIPアドレスと宛先IPアドレスとの間の通信の各々のためにサポートされるIPプロトコルである。システム管理者は、ルータ又はファイアウォールのデフォルト通信方式(及び任意にプロトコル)を用いて、初期化機能を実行する前に該ルータ又はファイアウォールについてのテキスト構成ファイルを獲得する。
セキュリティ・ポリシーが既知のものである場合(判断74)、該セキュリティ・ポリシーが、機能68に読み込まれる(ステップ76)。セキュリティ・ポリシーが既知のものでない場合、機能68は、他のいずれのネットワークとの通信も許可しないデフォルト・セキュリティ・ポリシーを作成する(ステップ78)。次に、システム管理者は、調査中のネットワークについてのセキュリティ・ポリシーを読み込むか、又は使用するためのセキュリティ・ポリシーを作成するかの選択肢を有する(ステップ79)。次に、機能68は、システム管理者に、ルータ又はファイアウォールについての上述のファイアウォール又はルータ構成情報を入力するか又は読み込むように指示する(ステップ80)。(ステップ80−250は、各々のファイアウォール又はルータについて繰り返される)次に、ファイアウォール又はルータ構成が、機能68に読み込まれる(ステップ82)。次に、機能68は、前述のセキュリティ・ポリシー及びIP構成を表すデータ構造を作成する(ステップ84)。次に、機能68は、周知のネットワーク・オブジェクトについてのネットワーク・タイプを識別するファイルがあるかどうかを判断する(判断86)。こうしたファイルは、ネットワーク11―14のIPアドレスをセキュリティ・ポリシー・ファイルにおいて定義されたネットワーク・タイプにマッピングする。示される例において、可能なタイプは、ソース及び/又は宛先「イントラネット」、ソース及び/又は宛先「DMZ」、及び「信頼できない」ソース及び/又は宛先である。ネットワーク・タイプが既に格納されている場合には、機能68は、定義を読み込む(ステップ88)。ネットワーク・タイプが格納されていない場合には、システム管理者は、情報をリアルタイムで入力する必要がある(ステップ90)。次に、図2のステップにおいて集められた前述の情報(すなわち、セキュリティ・ポリシーにマッピングするとき、「ネットワーク・オブジェクト」が、ネットワーク、サブ・ネットワーク、又は各ホスト型ネットワークであるネットワーク・オブジェクトの各々のIPアドレス)が、ネットワーク・オブジェクトのデータ構造内に格納される(ステップ92)。
図3から図5は、本発明によるセキュリティ・チェック・プログラム70内のセキュリティ・チェック機能100を示すフローチャートを形成する。セキュリティ・チェック機能100は、ネットワーク・マネージャ・ワークステーション34においてシステム管理者によっても実行される。セキュリティ・チェック機能100は、初期化機能68が実行された後に実行される。セキュリティ・チェック機能100の目的は、各ネットワーク・オブジェクトの定義を、考え得る他のあらゆる通信パートナーについての他のネットワーク・オブジェクトの各々の定義と比較し、通信する権限が与えられているかどうかを判断し、与えられている場合には、どのプロトコルに権限が与えられているかを判断することである。この権限は、権限テーブル71内に記録される。
セキュリティ・チェック機能100は、可能な「ソース」ネットワーク・オブジェクトの各々(すなわち、「宛先」ネットワークに送信される通信の可能なソースの各々)を識別することによって始まる(ステップ102)。次に、セキュリティ・チェック機能100は、このソース・ネットワーク・オブジェクトが、図2に上述されたような定義されたネットワーク・タイプを有するかどうかを判断する(判断104)。図2に上述されたような定義されたネットワーク・タイプを有していない場合、このソース・ネットワーク・オブジェクトは、ネットワーク・オブジェクト・データ構造内に「未知のもの」としてリストされる(ステップ106)。判断104を再び参照すると、ソース・ネットワーク・オブジェクトが定義されていた場合、この定義が、セキュリティ・チェック機能100によって用いられる(ステップ108)。次に、機能100は、可能な「宛先」ネットワーク・オブジェクトの各々(すなわち、ソース・ネットワークからの通信のための可能な宛先の各々)を特定する(ステップ120)。次に、セキュリティ・チェック機能100は、この宛先ネットワーク・オブジェクトが、図2に上述されたような定義されたネットワーク・タイプを有するかどうかを判断する(判断124)。図2に上述されたような定義されたネットワーク・タイプを有していない場合には、この宛先ネットワーク・オブジェクトは、ネットワーク・オブジェクト・データ構造内に「未知のもの」としてリストされる(ステップ126)。図2に上述されたような定義されたネットワーク・タイプを有する場合には、この定義は、セキュリティ・チェック機能100によって用いられる(ステップ128)。
ソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトのあらゆる可能な組み合わせについて、セキュリティ・チェック機能100は、機能68によって作成されたネットワーク定義に基づいて以下のことを行う。セキュリティ・チェック機能100は、ソース・ネットワーク・オブジェクト・タイプ及び宛先ネットワーク・オブジェクト・タイプが、図2に上述されたように定義されているかどうかを判断する(判断142)。ソース・ネットワーク又は宛先ネットワークのいずれも有効な定義タイプを有していない場合、これは、エラーとしてテーブル71内に記録される(ステップ143)。テーブルは、ソース・ネットワーク及びそれぞれの宛先ネットワークの各組み合わせについて1組のエントリを有する。判断142を再び参照すると、定義における両方のネットワークが定義されていた場合、セキュリティ・チェック機能100は、ネットワークの組み合わせの各々に、その組み合わせの他のネットワークとの何らかの通信が許可されているかどうか、すなわち2つのネットワークのタイプは互換性があるかどうかを判断する(ステップ144)。互換性がない場合には、エラーがテーブル内に記録され(ステップ145)、セキュリティ・チェック機能がもとのステップ120に戻る。互換性がある場合には、セキュリティ・チェック機能100は、TCPが、各組み合わせにおけるソース・ネットワーク及びそれぞれの宛先ネットワークの各々についてのサポートされたIPプロトコルとして定義されているかどうかを確認する(判断147)。ファイアウォールが、このソース・宛先ネットワークの組み合わせについて定義されたいずれのTCPのフローも有していない場合には、機能100は判断180に進む。TCPのフローが定義されている場合、機能100は、ソース・ネットワーク及びそれぞれの宛先ネットワーク・タイプの両方がTCPの使用を許可するかどうかを判断する(判断148)。TCPの使用を許可していない場合には、このソース・ネットワーク及び宛先ネットワークの組み合わせについて、エラーがテーブル内に記録される(ステップ150)。TCPの使用を許可する場合、次に、機能100は、許可されたTCPポートについて、ソース・ネットワーク及び宛先ネットワークの両方のセキュリティ・ポリシーを確認し(ステップ152)、TCPソース・ポートが両方のポリシーと一致するかどうかを判断する(判断154)。TCPの使用が許可されない場合には、機能100は、エラーをテーブル内に記録する(ステップ160)。TCPの使用が許可される場合、次に、機能100はステップ152に戻り、現在のソース及び宛先ネットワークのフローの次のTCPポートを分析する。
TCPソース・ポートの整合性についてTCPの組み合わせの全てを分析した後、機能100は、TCP宛先ポートについて同様の確認を行う。したがって、機能100は、TCP宛先ポートについての各組み合わせのソース・ネットワーク・オブジェクト及びそれぞれの宛先ネットワーク・オブジェクトの両方のセキュリティ・ポリシーを確認し(ステップ170)、TCP宛先ポートがポリシーと一致するかどうかを判断する(判断172)。一致しない場合には、機能100は、エラーをテーブル内に記録する(ステップ176)。一致する場合には、次に、機能100は170に戻り、ソース・ネットワーク及び宛先ネットワークの現在の組み合わせの次のTCP宛先ポートを分析する。
ソース・ネットワーク及び宛先ネットワークの現在の組み合わせのTCPポートがこのような方法で分析された後、機能100は、現在のソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトについてのファイアウォール又はルータ構成において、UDPのフローが構成されたかどうかを確認する(ステップ180)。ファイアウォールが、このソース及び宛先ネットワークの組み合わせについて定義された何らかのUDPのフローを有していない場合には、機能100は判断210に進む。UDPのフローが構成されている場合には、次に、機能100は、UDPのフローが、各組み合わせのソース・ネットワーク及び宛先ネットワークの各々によって許可されるかどうかを判断する(判断184)。UDPのフローが許可されない場合、機能100は、エラーをテーブル内に記録し(ステップ186)、判断210に続く。UDPのフローが許可される場合には、次に、機能100は、各々のUDPソース・ポートについてのソース・ネットワーク及び宛先ネットワークの両方のセキュリティ・ポリシーを確認し(ステップ188)、UDPソース・ポートが該ポリシーと一致するかどうかを判断する(判断190)。ポリシーと一致しない場合には、機能100は、エラーをテーブル内に記録し(ステップ192)、次に、ステップ188に戻り、現在のソース及び宛先ネットワークの組み合わせの次のUDPソース・ポートを分析する。一致する場合には、次に、機能100はステップ188に戻り、現在のソース及び宛先ネットワークの組み合わせの次のUDPソース・ポートを分析する。
UDPソース・ポートの遵守性について全ての組み合わせを分析した後、機能100は、UDP宛先ポートについて同様の確認を行う。機能100は、各々のUDP宛先ポートについてソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトの両方のセキュリティ・ポリシーを確認し(ステップ202)、現在のソース・ネットワーク及び宛先ネットワークについてのUDP宛先ポートがポリシーと一致するかどうかを判断する(判断204)。ポリシーと一致しない場合、機能100は、エラーをテーブル内に記録し(ステップ206)、次に、ステップ202に戻り、現在のソース・ネットワーク及び宛先ネットワークの組み合わせの次のUDP宛先ポートを分析する。ポリシーと一致する場合、次に、機能100はステップ202に戻り、現在のソース・ネットワーク及び宛先ネットワークの組み合わせの次のUDP宛先ポートを分析する。
それぞれの組み合わせ内の両方のネットワークのセキュリティ・ポリシーの遵守性について、全ての現在のソース・ネットワーク/宛先ネットワークの組み合わせのUDP宛先ポートを分析した後、機能100は、ルータ又はファイアウォールが、現在のソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトの組み合わせについて定義されたICMPのフローを有するかどうかを確認する(判断210)。ルータ又はファイアウォールが構成されたいずれのICMPのフローも有していない場合、機能100は判断240に進む。ICMPのフローが定義されている場合、次に、機能100は、ICMPのフローが、ソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトの現在の組み合わせを用いて許可されるかどうかを判断する(判断214)。許可されない場合には、機能100は、それぞれの組み合わせについてのテーブル内にエラーを記録する(ステップ216)。ICMPのフローが定義されている場合、機能100は、現在の組み合わせのソース・ネットワーク及び宛先ネットワークのICMPのタイプを確認し(ステップ218)、次に、現在の組み合わせのソース・ネットワーク及び宛先ネットワークのICMPコードを確認し(ステップ220)、これらが現在の組み合わせのソース・ノード及び宛先ノードのポリシーと一致するかどうかを判断する(判断230)。一致しない場合には、機能100は、エラーをテーブル内に記録し(ステップ232)、ステップ220に戻り、次のコードを分析する。各々のタイプについて全てのコードが確認されると、次のコードの分析に戻る(ステップ218)。
次に、機能100は、現在のソース・ネットワーク・オブジェクト及びそれぞれの宛先ネットワーク・オブジェクトを確認し、いずれかの他のIPプロトコルが定義されているかどうかを判断する(判断240)。他のIPプロトコルが定義されていない場合、機能100は次の宛先ネットワークの分析に戻る(ステップ120)。他のIPプロトコルが構成される場合には、機能100は、ポリシーが、現在のソース・ネットワーク及び宛先ネットワークについてのこのような別の定義されたIPプロトコルを許可するかどうかを判断する(判断242)。許可しない場合には、次に、機能100は、エラーをテーブル内に記録し(ステップ244)、次の宛先ネットワークの分析に戻る(ステップ120)。ソース・ネットワーク及び宛先ネットワークの現在の組み合わせについて、安全ポリシーが他のIPプロトコルを許可する場合(ステップ246)、機能100は、他の定義されたIPプロトコルの1つが現在のソース・ネットワーク及び宛先ネットワークの組み合わせのセキュリティ・ポリシーによって許可されるかどうかを判断する(ステップ248)。他のIPプロトコルが許可されない場合、機能100は、エラーをテーブル内に記録し(ステップ250)、次にステップ246に戻る。
次に、機能100はステップ120に戻り、次の宛先ネットワークについての全ての次のステップを繰り返す。全ての宛先ネットワークが分析されると、機能100はステップ102に戻り、次のソース・ネットワークを分析し、該機能における全ての次のステップを繰り返す。
図3から図5に示される全ての前述のステップを実行した後、ソース・ネットワーク・オブジェクト及び宛先ネットワーク・オブジェクトの各組み合わせ、並びにIPプロトコル(付加的な基準を含む)についてテーブル内にエラーがないことが、こうした通信に権限が与えられていることを示す。次に、ネットワーク・オブジェクトのデータ構造が、ネットワーク定義ファイル内に格納される(ステップ300)。次に、各々のネットワークのシステム管理者にテーブル71を送信し(ステップ301)、これに応じてそのネットワークのファイアウォール又はルータを更新することができる(ステップ302)。各々のネットワークにおいてテーブル内のエラーを表示できるので、ネットワークの中央のシステム管理者は、所望であれば、ネットワークのセキュリティ・ポリシー、IP構成、又はネットワーク・タイプを修正又は変更することができる。何らかのこうした変更がなされた場合、それらの変更は、ネットワーク11のシステム管理者に伝達され、セキュリティ・チェック・プログラム70を再実行する。
上記に基づいて、ネットワークのセキュリティ・ポリシーの遵守性を自動的に確認するためのシステム及び方法が開示された。しかしながら、本発明の範囲から逸脱することなく、多くの修正及び置換をなすことができる。例えば、ソース・ネットワーク及び宛先ネットワーク分析の両方について定義されたネットワークの全てを通してループするのではなく、幾つかのシナリオにおいては、定義されたソース・ネットワークだけを分析し、次に、各々の構成されたデータ・フローについての構成された宛先ネットワークだけを分析することが許容可能である。したがって、本発明は、制限としてではなく例証として開示されており、本発明の範囲を判断するために、上記の特許請求の範囲について説明する必要がある。
本発明を用いることができる、本発明によるセキュリティ・チェック・プログラムを実行するためのネットワーク・マネージャを含む、相互接続された複数のネットワークのブロック図である。 図1のセキュリティ・チェック・プログラムの初期化部分の作動を示すフローチャートである。 図1のセキュリティ・チェック・プログラムの別のセキュリティ・チェック部分の作動を示すフローチャートである。 図1のセキュリティ・チェック・プログラムの別のセキュリティ・チェック部分の作動を示すフローチャートである。 図1のセキュリティ・チェック・プログラムの別のセキュリティ・チェック部分の作動を示すフローチャートである。

Claims (15)

  1. 複数のネットワークが相互に通信する権限を与えられているか、及び、前記ネットワークの2つの組み合わせの各々の間の通信のためにどのIPプロトコルが用いられるかを判断する方法であって、コンピュータに下記ステップを実行させることを含み、当該ステップは、
    前記複数のネットワークの各々からのネットワーク・データを探索するステップと、
    前記ネットワーク・データの受信に応答して、各々のネットワークのセキュリティ・ポリシー、各々のネットワークのタイプ、各々のネットワークのファイアウォール又はルータを通て許可されたIPプロトコル、並びに各々のネットワークのファイアウォール又はルータによって許可される宛先ネットワーク及びソース・ネットワークを表すデータ構造を生成するステップと、
    前記生成されたデータ構造から、前記ネットワークの複数の組み合わせを識別するステップであって、前記ネットワークの組み合わせの各々がソース・ネットワーク及び宛先ネットワークを含む、前記識別するステップと、
    前記識別された組み合わせの各々について、該各組み合わせにおける該ネットワークの各々が該各組み合わせにおける他のネットワークと通信することが許可されているか、及び、どのIPプロトコルが該各組み合わせにおける該ネットワークの両方に共通であるかを判断するステップと、
    前記許可を権限データ・ストア内に格納するステップと
    を含む、前記方法。
  2. 前記生成するステップが、IPプロトコル並びに宛先アドレス及びソース・アドレスの記録を格納するステップを含み、
    前記格納するステップが、前記宛先アドレスをそれぞれのネットワーク・タイプに関連付け且つ前記ソース・アドレスをそれぞれのネットワーク・タイプに関連付けるテーブルを格納するステップを含む、請求項1に記載の方法。
  3. 前記ネットワークの2つについて前記ネットワークの各々と共に用いることが許可された前記IPプロトコルが、TCPを含み、
    前記判断するステップが、該2つのネットワークのTCPのポートを比較することを含む、請求項1に記載の方法。
  4. 前記2つの各ネットワーク用いることが許可された前記IPプロトコルが、UDPを含み、
    前記判断するステップが、前記2つのネットワークのUDPのポートを比較することを含む、請求項1に記載の方法。
  5. 前記2つの各ネットワーク用いることが許可された前記IPプロトコルが、ICMPを含み、
    前記判断するステップが、前記2つのネットワークのICMPのコード及びタイプを比較することを含む、請求項1に記載の方法。
  6. 前記判断するステップが、前記他のネットワークのタイプを、前記各ネットワークと通信することが許可された他のネットワークのタイプの記録比較するステップを含む、請求項1に記載の方法。
  7. 複数のネットワークが相互に通信する権限を与えられているか、及び、前記ネットワークの2つの組み合わせの各々の間の通信のためにどのIPプロトコルが用いられるかを判断するためのシステムであって、
    前記複数のネットワークの各々からのネットワーク・データを探索するセキュリティ・チェックプログラムと、
    前記ネットワーク・データの受信に応答して、各々のネットワークのセキュリティ・ポリシー、各々のネットワークのタイプ、各々のネットワークのファイアウォール又はルータを通て許可されたIPプロトコル、並びに各々のネットワークのファイアウォール又はルータによって許可される宛先ネットワーク及びソース・ネットワークを表すデータ構造を生成する初期化コンポーネントと、
    前記生成されたデータ構造から、前記ネットワークの複数の組み合わせを識別する識別コンポーネントであって、前記ネットワークの組み合わせの各々がソース・ネットワーク及び宛先ネットワークを含む、前記識別コンポーネントと
    を備えており、
    前記システムは、前記識別された組み合わせの各々について、該各組み合わせにおける該ネットワークの各々が該各組み合わせにおける他のネットワークと通信することが許可されているか、及びどのIPプロトコルが該各組み合わせにおける該ネットワークの両方に共通であるかを判断し、前記許可を権限データ・ストア内に格納する、前記システム。
  8. IPプロトコル並びに宛先ネットワーク及びソース・ネットワークの記録を格納する格納コンポーネントをさらに含み、
    前記格納コンポーネントが、前記宛先アドレスをそれぞれのネットワーク・タイプに関連付け且つ前記ソース・アドレスをそれぞれのネットワーク・タイプに関連付けるテーブルを格納するための手段を含む、請求項7に記載のシステム。
  9. コンピュータ、請求項1〜6のいずれか1項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
  10. 複数のネットワーク間の通信を管理するシステムであって、
    (A)前記複数のネットワークの各々からのネットワーク・データを探索する探索手段と、
    (B)前記ネットワーク・データの受信に応答して、前記複数のネットワークのそれぞれについて、(a)前記ネットワークのタイプ、(b)前記ネットワークがソース・ネットワーク及び/又は宛先ネットワークであるかどうか、及び(c)前記各ネットワークによってサポートされるIPプロトコルを表すデータ構造を生成する生成手段と、
    (C)前記生成されたデータ構造から、前記ネットワークの複数の組み合わせを識別する識別手段であって、前記ネットワークの複数の組み合わせの各々がソース・ネットワーク及び宛先ネットワークを含む、前記識別手段と、
    (D)前記識別された組み合わせの各々について、(a)どのようなIPプロトコルが前記各組み合わせにおける前記ネットワークによってサポートされるか、及び(b)前記各組み合わせにおける前記ネットワークについての個々のファイアウォールが前記各組み合わせにおける前記ネットワークによってサポートされるIPプロトコルを有するメッセージ・フローを許可するか、を判断する判断手段と、及び
    (E)上記(D)の判断手段による判断に基づいて、前記複数のネットワークのどの組み合わせが、(c)前記複数のネットワークの各組み合わせにおけるネットワークのタイプに基づいて相互に通信するようにされているネットワークであり且つ(d)前記複数のネットワークの各組み合わせにおけるネットワークにおいてサポートされるIPプロトコル及び前記複数のネットワークの各組み合わせのためのファイアウォールを介する許可されたメッセージ・フローのIPプロトコルに基づいて相互に通信することが出来るネットワークを含むかを判断する判断手段と
    を含む、前記システム。
  11. 前記複数のネットワークは、信頼タイプ・ネットワーク、非武装地帯(DMZ)タイプ・ネットワーク、及び非信頼タイプ・ネットワークを含む、請求項10に記載のシステム。
  12. 前記信頼タイプ・ネットワークは、前記DMZネットワークと通信することは許可されるが、前記非信頼タイプ・ネットワークと通信することを許可されていず、前記DMZネットワークは、前記信頼タイプ・ネットワーク及び前記非信頼タイプ・ネットワークと通信することを許可されている、請求項11に記載のシステム。
  13. 前記複数のネットワークによってサポートされる前記IPプロトコルが、TCP及びUDPのいずれかを含む、請求項10に記載のシステム。
  14. 前記複数のネットワークによってサポートされる前記IPプロトコルがまた、ICMPを含み、
    前記(D)の判断手段が、前記ネットワークの前記各組み合わせについてのICMPのコード及びタイプを比較する比較手段を含む、請求項13に記載のシステム。
  15. (B)前記生成手段、(C)前記識別手段、(D)前記判断手段、(E)前記判断手段、及び前記比較手段の全てが、前記信頼タイプ・ネットワーク上のコンピュータ上に存在する、請求項14に記載のシステム。
JP2006516116A 2003-06-17 2004-05-28 ネットワーク間の通信のためのセキュリティ・チェック・プログラム Expired - Lifetime JP4493654B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/464,006 US7318097B2 (en) 2003-06-17 2003-06-17 Security checking program for communication between networks
PCT/EP2004/050886 WO2004114622A1 (en) 2003-06-17 2004-05-28 Security checking program for communication between networks

Publications (2)

Publication Number Publication Date
JP2006527939A JP2006527939A (ja) 2006-12-07
JP4493654B2 true JP4493654B2 (ja) 2010-06-30

Family

ID=33517190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006516116A Expired - Lifetime JP4493654B2 (ja) 2003-06-17 2004-05-28 ネットワーク間の通信のためのセキュリティ・チェック・プログラム

Country Status (11)

Country Link
US (2) US7318097B2 (ja)
EP (1) EP1639781B1 (ja)
JP (1) JP4493654B2 (ja)
KR (1) KR100843537B1 (ja)
CN (1) CN100591072C (ja)
AT (1) ATE423422T1 (ja)
CA (1) CA2525343C (ja)
DE (1) DE602004019529D1 (ja)
IL (1) IL172516A0 (ja)
TW (1) TWI323116B (ja)
WO (1) WO2004114622A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101764135B1 (ko) 2016-04-07 2017-08-14 채령 Cctv 감시카메라 내부망을 이용한 자치단체 무선자가통신망 시스템 및 구축 방법
WO2018150930A1 (ja) 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8543710B2 (en) * 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
GB2433180B (en) * 2005-12-09 2008-01-30 Oracle Int Corp Communications method
US8472966B2 (en) * 2005-12-30 2013-06-25 Telecom Italia S.P.A. Method of operating a wireless communications network, and wireless communications network implementing the method
US8024787B2 (en) * 2006-05-02 2011-09-20 Cisco Technology, Inc. Packet firewalls of particular use in packet switching devices
JP4333736B2 (ja) * 2006-12-19 2009-09-16 村田機械株式会社 中継サーバおよびクライアント端末
US8340090B1 (en) 2007-03-08 2012-12-25 Cisco Technology, Inc. Interconnecting forwarding contexts using u-turn ports
US8291483B2 (en) * 2007-04-30 2012-10-16 Hewlett-Packard Development Company, L.P. Remote network device with security policy failsafe
US7856522B2 (en) 2007-05-16 2010-12-21 Oracle International Corporation Flash-aware storage optimized for mobile and embedded DBMS on NAND flash memory
FR2924552B1 (fr) * 2007-11-30 2009-11-20 Thales Sa Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
US8560833B2 (en) * 2010-10-29 2013-10-15 Aruba Networks, Inc. Automatic secure client access
US9544293B2 (en) 2013-09-20 2017-01-10 Oracle International Corporation Global unified session identifier across multiple data centers
TWI509456B (zh) * 2014-03-31 2015-11-21 Ibm 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置
US10158536B2 (en) * 2014-05-01 2018-12-18 Belkin International Inc. Systems and methods for interaction with an IoT device
US10560975B2 (en) 2014-04-16 2020-02-11 Belkin International, Inc. Discovery of connected devices to determine control capabilities and meta-information
US10314088B2 (en) 2014-04-16 2019-06-04 Belkin International, Inc. Associating devices and users with a local area network using network identifiers
US9769147B2 (en) 2015-06-29 2017-09-19 Oracle International Corporation Session activity tracking for session adoption across multiple data centers
US10693859B2 (en) 2015-07-30 2020-06-23 Oracle International Corporation Restricting access for a single sign-on (SSO) session
US10505982B2 (en) 2015-10-23 2019-12-10 Oracle International Corporation Managing security agents in a distributed environment
US10623501B2 (en) 2016-09-15 2020-04-14 Oracle International Corporation Techniques for configuring sessions across clients
CN106506491B (zh) * 2016-11-04 2019-08-09 江苏科技大学 网络安全系统
US11050730B2 (en) 2017-09-27 2021-06-29 Oracle International Corporation Maintaining session stickiness across authentication and authorization channels for access management
US11134078B2 (en) 2019-07-10 2021-09-28 Oracle International Corporation User-specific session timeouts

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5142622A (en) * 1989-01-31 1992-08-25 International Business Machines Corporation System for interconnecting applications across different networks of data processing systems by mapping protocols across different network domains
JP2571655B2 (ja) 1991-11-27 1997-01-16 インターナショナル・ビジネス・マシーンズ・コーポレイション プロトコル変換機構、交換ネットワーク及びコンピュータ・システム
JP3072933B2 (ja) 1992-02-21 2000-08-07 松下電器産業株式会社 ブリッジ装置及びネットワーク構築方法
IT1259603B (it) 1992-07-02 1996-03-20 Appel Elettronica Srl Sistema integrato di controllo e di trasmissione di informazioni per la gestione di una pluralita' di sottosistemi periferici, in particolare per applicazioni di building automation e simili.
US5280477A (en) 1992-08-17 1994-01-18 E-Systems, Inc. Network synchronous data distribution system
US6205216B1 (en) 1994-07-29 2001-03-20 British Telecommunications Public Limited Company Apparatus and method for inter-network communication
US5581558A (en) 1995-03-29 1996-12-03 Lucent Technologies Inc. Apparatus for bridging non-compatible network architectures
US5742602A (en) 1995-07-12 1998-04-21 Compaq Computer Corporation Adaptive repeater system
US5764887A (en) 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
EP0821505A1 (en) 1996-07-25 1998-01-28 Hewlett-Packard Company Apparatus providing connectivity between devices attached to different interfaces of the apparatus
US6009247A (en) 1996-10-29 1999-12-28 International Business Machines Corporation Portable computer network
JP3001440B2 (ja) * 1996-11-25 2000-01-24 日本電気通信システム株式会社 仮想lan方式
US6292900B1 (en) * 1996-12-18 2001-09-18 Sun Microsystems, Inc. Multilevel security attribute passing methods, apparatuses, and computer program products in a stream
US6104716A (en) 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6212558B1 (en) 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US6212636B1 (en) * 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6058434A (en) 1997-11-26 2000-05-02 Acuity Imaging, Llc Apparent network interface for and between embedded and host processors
US6272551B1 (en) 1998-04-08 2001-08-07 Intel Corporation Network adapter for transmitting network packets between a host device and a power line network
US7143151B1 (en) 1998-05-19 2006-11-28 Hitachi, Ltd. Network management system for generating setup information for a plurality of devices based on common meta-level information
JP3736173B2 (ja) * 1998-05-19 2006-01-18 株式会社日立製作所 ネットワーク管理システム
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6389029B1 (en) 1998-11-10 2002-05-14 Nortel Networks Limited Local area network incorporating universal serial bus protocol
US6243581B1 (en) 1998-12-11 2001-06-05 Nortel Networks Limited Method and system for seamless roaming between wireless communication networks with a mobile terminal
US6453360B1 (en) 1999-03-01 2002-09-17 Sun Microsystems, Inc. High performance network interface
FR2802667B1 (fr) * 1999-12-21 2002-01-25 Bull Sa Procede et dispositif de configuration de pare-feu dans un systeme informatique
WO2001063457A2 (en) 2000-02-22 2001-08-30 I2 Technologies, Inc. Electronic marketplace providing service parts inventory planning and management
TW530506B (en) 2000-07-14 2003-05-01 Mitac Technology Corp Method for achieving remote web input security control using caller ID and apparatus therefor
US7075919B1 (en) 2000-08-22 2006-07-11 Cisco Technology, Inc. System and method for providing integrated voice, video and data to customer premises over a single network
JP3776705B2 (ja) * 2000-09-28 2006-05-17 株式会社東芝 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
WO2002069660A1 (en) * 2001-02-23 2002-09-06 Telefonaktiebolaget Lm Ericsson (Publ) Location update procedure when roaming from a first communications service domain to a second communications service domain
US20020138596A1 (en) 2001-03-09 2002-09-26 Matthew Darwin Method to proxy IP services
JP3874628B2 (ja) 2001-05-17 2007-01-31 富士通株式会社 パケット転送装置、半導体装置
US20030051163A1 (en) * 2001-09-13 2003-03-13 Olivier Bidaud Distributed network architecture security system
US20030065942A1 (en) * 2001-09-28 2003-04-03 Lineman David J. Method and apparatus for actively managing security policies for users and computers in a network
US20030067874A1 (en) * 2001-10-10 2003-04-10 See Michael B. Central policy based traffic management
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
CA2498649A1 (en) * 2002-09-13 2004-03-25 Richard Reiner Screening for illegitimate requests to a computer application
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US20040260818A1 (en) * 2003-06-23 2004-12-23 Valois Denis Gabriel Network security verification system and method
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US8561154B2 (en) * 2003-12-22 2013-10-15 International Business Machines Corporation Method for providing network perimeter security assessment
CN1671240A (zh) * 2004-03-19 2005-09-21 华为技术有限公司 一种实现移动网络接入限制的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101764135B1 (ko) 2016-04-07 2017-08-14 채령 Cctv 감시카메라 내부망을 이용한 자치단체 무선자가통신망 시스템 및 구축 방법
WO2018150930A1 (ja) 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Also Published As

Publication number Publication date
EP1639781B1 (en) 2009-02-18
US20040260810A1 (en) 2004-12-23
KR20060028390A (ko) 2006-03-29
WO2004114622A1 (en) 2004-12-29
EP1639781A1 (en) 2006-03-29
TWI323116B (en) 2010-04-01
KR100843537B1 (ko) 2008-07-04
CN100591072C (zh) 2010-02-17
CN1717912A (zh) 2006-01-04
JP2006527939A (ja) 2006-12-07
US7318097B2 (en) 2008-01-08
ATE423422T1 (de) 2009-03-15
IL172516A0 (en) 2006-04-10
DE602004019529D1 (de) 2009-04-02
US7882229B2 (en) 2011-02-01
US20070266158A1 (en) 2007-11-15
TW200509639A (en) 2005-03-01
CA2525343C (en) 2010-10-05
CA2525343A1 (en) 2004-12-29

Similar Documents

Publication Publication Date Title
JP4493654B2 (ja) ネットワーク間の通信のためのセキュリティ・チェック・プログラム
US10015140B2 (en) Identifying additional firewall rules that may be needed
EP1119151B1 (en) Method and apparatus for analyzing one or more firewalls
US7003562B2 (en) Method and apparatus for network wide policy-based analysis of configurations of devices
US9203808B2 (en) Method and system for management of security rule set
US7406534B2 (en) Firewall configuration validation
JP2009516265A (ja) ネットワークマップ属性を修正する方法およびシステム
US9386048B2 (en) Method of managing connectivity between resources in a computer network and system thereof
US20090019523A1 (en) Controlling network communications
US20020103878A1 (en) System for automated configuration of access to the internet
US9325719B2 (en) Method and system for evaluating access granted to users moving dynamically across endpoints in a network
CN110392127B (zh) 网络地址空间识别方法及装置
US7463593B2 (en) Network host isolation tool
CN101223760A (zh) 用于定位网络用户的方法和节点
US20030145227A1 (en) System and method of automatically handling internet key exchange traffic in a virtual private network
CN113194099A (zh) 一种数据代理方法及代理服务器
Cisco Configuring Sensor Nodes
Cisco Populating the Network Topology Tree
Cisco Glossary
Cisco Glossary
Cisco Glossary
Cisco Glossary
JP2024101094A (ja) ネットワーク設計支援装置およびネットワーク設計支援方法
CN119788373A (zh) 一种多层防火墙规则生成及配置方法、装置
Espino et al. AN OPEN SOURCE PROTECTION METHOD IMPLEMENTATION TO GUARD UNAUTHENTICATED ACCESS TO NETWORK INFRASTRUCTURE OF LA CONSOLACION UNIVERSITY PHILIPPINES

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20091112

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091112

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20091112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20091112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100401

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20100401

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100406

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4493654

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140416

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term