JP2000216830A - 多段ファイアウォ―ルシステム - Google Patents
多段ファイアウォ―ルシステムInfo
- Publication number
- JP2000216830A JP2000216830A JP1397799A JP1397799A JP2000216830A JP 2000216830 A JP2000216830 A JP 2000216830A JP 1397799 A JP1397799 A JP 1397799A JP 1397799 A JP1397799 A JP 1397799A JP 2000216830 A JP2000216830 A JP 2000216830A
- Authority
- JP
- Japan
- Prior art keywords
- network
- computer
- access
- intrusion
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】ネットワークに接続された計算機システムにお
いて、外部からの侵入者に対して内部ネットワークのセ
キュリティを強化する。 【解決手段】外部ネットワークと内部ネットワークの間
にファイアウォールを複数台直列に接続し、複数台のフ
ァイアウォールが連係して侵入の検知を行い、異常と判
断した場合に各ファイアウォールのネットワークを切断
することによって内部ネットワークへの外部からのアク
セスに対して保護を行うことが可能になる。
いて、外部からの侵入者に対して内部ネットワークのセ
キュリティを強化する。 【解決手段】外部ネットワークと内部ネットワークの間
にファイアウォールを複数台直列に接続し、複数台のフ
ァイアウォールが連係して侵入の検知を行い、異常と判
断した場合に各ファイアウォールのネットワークを切断
することによって内部ネットワークへの外部からのアク
セスに対して保護を行うことが可能になる。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続した計算機のセキュリティに関し、特に外部からファ
イアウォールへの侵入を検知し、さらに内部への侵入を
防御するセキュリティシステムに関する。
続した計算機のセキュリティに関し、特に外部からファ
イアウォールへの侵入を検知し、さらに内部への侵入を
防御するセキュリティシステムに関する。
【0002】
【従来の技術】外部ネットワークからの侵入の防御策と
して、外部ネットワークと内部ネットワークの間にファ
イアウォールを設置し、(1)外部から使用できるサー
ビスとユーザを限定するとともに、(2)アクセス記録
を残しこれを監視することにより、内部ネットワークへ
の不正な侵入を防御する方法が主流である。インターネ
ットとの接続において外部から使用できるサービスとユ
ーザを限定する方法としては、インターネットとの通信
のプロトコルであるTCP/IPのポート番号でサービスを限
定し、ワンタイムパスワードや暗号化されたキー情報を
使用したユーザ認証によって使用できるユーザを限定す
る方法がある。
して、外部ネットワークと内部ネットワークの間にファ
イアウォールを設置し、(1)外部から使用できるサー
ビスとユーザを限定するとともに、(2)アクセス記録
を残しこれを監視することにより、内部ネットワークへ
の不正な侵入を防御する方法が主流である。インターネ
ットとの接続において外部から使用できるサービスとユ
ーザを限定する方法としては、インターネットとの通信
のプロトコルであるTCP/IPのポート番号でサービスを限
定し、ワンタイムパスワードや暗号化されたキー情報を
使用したユーザ認証によって使用できるユーザを限定す
る方法がある。
【0003】また、アクセス記録を残し監視する方法と
しては、オペレーティングシステムが記録するシステム
ログを定期的にチェックし異常を検知する方法や、ファ
イアウォールソフトがオペレーティングシステムのネッ
トワークドライバを監視し許可されたTCP/IPのポ
ート番号以外のアクセス等の異常を検知するとともに記
録に残す方法がある。
しては、オペレーティングシステムが記録するシステム
ログを定期的にチェックし異常を検知する方法や、ファ
イアウォールソフトがオペレーティングシステムのネッ
トワークドライバを監視し許可されたTCP/IPのポ
ート番号以外のアクセス等の異常を検知するとともに記
録に残す方法がある。
【0004】従来の技術では、外部ネットワークと内部
ネットワークの間にファイアウォールを設置し前述の方
法で内部ネットワークへの不正な侵入を防御している
が、ファイアウォールに侵入が試みられた場合に、ファ
イアウォールで侵入を防御することに成功しているの
か、ファイアウォールに侵入されて、侵入された記録も
改竄されて異常が検知できていないのかの判断が出来な
いという問題があった。
ネットワークの間にファイアウォールを設置し前述の方
法で内部ネットワークへの不正な侵入を防御している
が、ファイアウォールに侵入が試みられた場合に、ファ
イアウォールで侵入を防御することに成功しているの
か、ファイアウォールに侵入されて、侵入された記録も
改竄されて異常が検知できていないのかの判断が出来な
いという問題があった。
【0005】この問題の解決策としては、特開平9−2
1837号公報のようにネットワーク内の各々の計算機
において侵入検知を行いセキュリティーの保護を実現す
る方法がある。しかし、この方法では各々の計算機に侵
入検知の機能が必要となり、また侵入検知で異常が認め
られた場合の侵入の経路を特定することが難しく、また
侵入された範囲を特定することが難しいといった問題が
あった。
1837号公報のようにネットワーク内の各々の計算機
において侵入検知を行いセキュリティーの保護を実現す
る方法がある。しかし、この方法では各々の計算機に侵
入検知の機能が必要となり、また侵入検知で異常が認め
られた場合の侵入の経路を特定することが難しく、また
侵入された範囲を特定することが難しいといった問題が
あった。
【0006】
【発明が解決しようとする課題】インターネットに接続
することは、そのメリットを享受できるようになる反
面、外部からの不正な侵入の脅威にさらされることにな
る。このような侵入に対する防御策として、外部ネット
ワークと内部ネットワークの間にファイアウォールを設
置し、(1)外部から使用できるサービスとユーザを限
定するとともに、(2)アクセス記録を残しこれを監視
することにより、内部ネットワークへの不正な侵入を防
御する方法が提案されている。
することは、そのメリットを享受できるようになる反
面、外部からの不正な侵入の脅威にさらされることにな
る。このような侵入に対する防御策として、外部ネット
ワークと内部ネットワークの間にファイアウォールを設
置し、(1)外部から使用できるサービスとユーザを限
定するとともに、(2)アクセス記録を残しこれを監視
することにより、内部ネットワークへの不正な侵入を防
御する方法が提案されている。
【0007】しかし、このファイアウォールに万が一侵
入されかつアクセス記録を何らかの方法で改竄された場
合、外部からの侵入を検知できず、このファイアウォー
ルから内部ネットワークに侵入することが可能になると
いう問題があった。
入されかつアクセス記録を何らかの方法で改竄された場
合、外部からの侵入を検知できず、このファイアウォー
ルから内部ネットワークに侵入することが可能になると
いう問題があった。
【0008】そこで、本発明では、図1のようにファイ
アウォールを直列に複数個設置し、直前のファイアウォ
ールへの侵入を監視することで、ファイアウォールに侵
入されたことを検知することで、内部ネットワークの計
算機に特別な機能を持たせることなく、内部ネットワー
クに対する侵入を未然に検知し、内部ネットワークのセ
キュリティを高めることを目的とする。
アウォールを直列に複数個設置し、直前のファイアウォ
ールへの侵入を監視することで、ファイアウォールに侵
入されたことを検知することで、内部ネットワークの計
算機に特別な機能を持たせることなく、内部ネットワー
クに対する侵入を未然に検知し、内部ネットワークのセ
キュリティを高めることを目的とする。
【0009】
【課題を解決するための手段】上記課題を解決するため
に、本発明は、外部ネットワークと接続されているファ
イアウォール(外部ファイアウォール)と内部ネットワ
ークに接続されているファイアウォール(内部ファイア
ウォール)およびその間の緩衝ネットワークにおいて、
各ファイアウォールにて、外部からの侵入アクセスを検
知する自己監視手段と、正常時のファイルシステムの状
態と現在のファイルシステムの状態を相違を検出する整
合性確認手段と、自己監視結果を内部ファイアウォール
と管理者へ通知するメッセージの送受信手段を有し、外
部ファイアウォールへの侵入を内部ファイアウォールで
検知することを提供する。
に、本発明は、外部ネットワークと接続されているファ
イアウォール(外部ファイアウォール)と内部ネットワ
ークに接続されているファイアウォール(内部ファイア
ウォール)およびその間の緩衝ネットワークにおいて、
各ファイアウォールにて、外部からの侵入アクセスを検
知する自己監視手段と、正常時のファイルシステムの状
態と現在のファイルシステムの状態を相違を検出する整
合性確認手段と、自己監視結果を内部ファイアウォール
と管理者へ通知するメッセージの送受信手段を有し、外
部ファイアウォールへの侵入を内部ファイアウォールで
検知することを提供する。
【0010】外部ファイアウォールに対し侵入が試みら
れた場合、外部ファイアウォールから内部ファイアウォ
ールに対して、侵入が試みられたことを内部ファイアウ
ォールへと通知し、その後、整合性確認を行いこの結果
を内部ファイアウォールと管理者へ通知する。この時、
外部ファイアウォールの整合性確認結果で侵入された形
跡が認められた場合は、外部ファイアウォールと外部ネ
ットワークを切断し、さらに内部ファイアウォールと緩
衝ネットワークを切断するが、外部ファイアウォールの
整合性確認結果で侵入された形跡が認められない場合で
も、内部ファイアウォールに対して侵入が試みられた場
合、外部ネットワークから内部ネットワークへの経路が
一つしかないため、外部ファイアウォールは侵入されて
いるため外部ファイアウォールと外部ネットワークを切
断し、さらに内部ファイアウォールと緩衝ネットワーク
を切断する。
れた場合、外部ファイアウォールから内部ファイアウォ
ールに対して、侵入が試みられたことを内部ファイアウ
ォールへと通知し、その後、整合性確認を行いこの結果
を内部ファイアウォールと管理者へ通知する。この時、
外部ファイアウォールの整合性確認結果で侵入された形
跡が認められた場合は、外部ファイアウォールと外部ネ
ットワークを切断し、さらに内部ファイアウォールと緩
衝ネットワークを切断するが、外部ファイアウォールの
整合性確認結果で侵入された形跡が認められない場合で
も、内部ファイアウォールに対して侵入が試みられた場
合、外部ネットワークから内部ネットワークへの経路が
一つしかないため、外部ファイアウォールは侵入されて
いるため外部ファイアウォールと外部ネットワークを切
断し、さらに内部ファイアウォールと緩衝ネットワーク
を切断する。
【0011】
【発明の実施の形態】本発明の一実施の形態を図を用い
て説明する。図1は本発明を適用した多段ファイアウォ
ールの全体構成を示す図である。18は外部ネットワー
ク(インターネット等)、11は外部ネットワークに接
続された外部ファイアウォールとしての計算機、12は
内部ネットワークに接続された内部ファイアウォールと
しての計算機、13は外部ファイアウォールと内部ファ
イアウォールを接続している緩衝ネットワーク、14は
内部ネットワーク、15〜17は内部ネットワークに接
続された計算機、19は外部への情報発信のためのサー
バ(WWWサーバ、FTPサーバ等)としての計算機である。
ただし、19は外部ネットワークに対して情報発信を行
う場合のみ設置する計算機である。外部ネットワーク1
8から内部ネットワーク14に侵入するためには、必ず
計算機11および12を通過する必要がある。
て説明する。図1は本発明を適用した多段ファイアウォ
ールの全体構成を示す図である。18は外部ネットワー
ク(インターネット等)、11は外部ネットワークに接
続された外部ファイアウォールとしての計算機、12は
内部ネットワークに接続された内部ファイアウォールと
しての計算機、13は外部ファイアウォールと内部ファ
イアウォールを接続している緩衝ネットワーク、14は
内部ネットワーク、15〜17は内部ネットワークに接
続された計算機、19は外部への情報発信のためのサー
バ(WWWサーバ、FTPサーバ等)としての計算機である。
ただし、19は外部ネットワークに対して情報発信を行
う場合のみ設置する計算機である。外部ネットワーク1
8から内部ネットワーク14に侵入するためには、必ず
計算機11および12を通過する必要がある。
【0012】本発明においては、これまでファイアウォ
ールを設置していた箇所に2台以上のファイアウォール
としての計算機を設置し、この計算機が連係して動作す
ることで、外部からの不正侵入の検知を実現する。計算
機の連係については、後述する。また、計算機11と計
算機12は、それぞれの計算機のネットワークドライバ
を含むオペレーティングシステムとハードディスクが独
立して機能すれば、一つの筐体に納めることも可能であ
る。
ールを設置していた箇所に2台以上のファイアウォール
としての計算機を設置し、この計算機が連係して動作す
ることで、外部からの不正侵入の検知を実現する。計算
機の連係については、後述する。また、計算機11と計
算機12は、それぞれの計算機のネットワークドライバ
を含むオペレーティングシステムとハードディスクが独
立して機能すれば、一つの筐体に納めることも可能であ
る。
【0013】図2は図1の多段ファイアウォールシステ
ムで使用する計算機11および計算機12の概要を示す
図である。21は図1の計算機11または計算機12で
ある。22はアクセス監視部、23はアクセス管理テー
ブル、24は整合性確認部、25は整合性データベー
ス、26はオペレーティングシステム、27はシステム
ロギング部、28はプロセス管理部、29及び210は
ネットワークドライバ、211はファイルシステム制御
ドライバ、212は情報伝達部、213は計算機11の
場合は図1における外部ネットワーク18、計算機12
の場合は図1における緩衝ネットワーク13、214は
計算機11の場合は図1の緩衝ネットワーク13、計算
機12の場合は図1における内部ネットワーク14であ
る。
ムで使用する計算機11および計算機12の概要を示す
図である。21は図1の計算機11または計算機12で
ある。22はアクセス監視部、23はアクセス管理テー
ブル、24は整合性確認部、25は整合性データベー
ス、26はオペレーティングシステム、27はシステム
ロギング部、28はプロセス管理部、29及び210は
ネットワークドライバ、211はファイルシステム制御
ドライバ、212は情報伝達部、213は計算機11の
場合は図1における外部ネットワーク18、計算機12
の場合は図1における緩衝ネットワーク13、214は
計算機11の場合は図1の緩衝ネットワーク13、計算
機12の場合は図1における内部ネットワーク14であ
る。
【0014】アクセス監視部は、オペレーティングシス
テムを監視し、アクセス管理テーブルに基づいてアクセ
スを制御するとともに、アクセス記録を残す。またアク
セス監視部は、オペレーティングシステムが持つシステ
ムロギングの記録を監視しており、アクセス管理テーブ
ルの内容と比較して侵入の試みを検知する。整合性確認
部は、正常時のシステムの情報を整合性データベースと
して持ち、正常時の整合性データベースと現在のシステ
ムの情報を比較して侵入者によるシステムの改竄を検知
する。
テムを監視し、アクセス管理テーブルに基づいてアクセ
スを制御するとともに、アクセス記録を残す。またアク
セス監視部は、オペレーティングシステムが持つシステ
ムロギングの記録を監視しており、アクセス管理テーブ
ルの内容と比較して侵入の試みを検知する。整合性確認
部は、正常時のシステムの情報を整合性データベースと
して持ち、正常時の整合性データベースと現在のシステ
ムの情報を比較して侵入者によるシステムの改竄を検知
する。
【0015】情報伝達部は、メッセージの着信監視を常
に行っている。情報伝達部は、侵入の試みやシステムの
改竄が検知された場合に、あらかじめ登録してある計算
機と管理者へメッセージを送信する。また情報伝達部
は、オペレーティングシステムの任意のネットワークド
ライバを停止する機能を持ち、ネットワークを切断する
ことを可能にする。外部ネットワークへの情報発信を行
う場合には、情報発信を行う計算機を接続するネットワ
ークドライバは、29及び210以外に必要となる。
に行っている。情報伝達部は、侵入の試みやシステムの
改竄が検知された場合に、あらかじめ登録してある計算
機と管理者へメッセージを送信する。また情報伝達部
は、オペレーティングシステムの任意のネットワークド
ライバを停止する機能を持ち、ネットワークを切断する
ことを可能にする。外部ネットワークへの情報発信を行
う場合には、情報発信を行う計算機を接続するネットワ
ークドライバは、29及び210以外に必要となる。
【0016】図3は図1に示した計算機11で実行され
る不正アクセス発生時の状態監視の処理のフローチャー
トである。計算機11ではアクセス監視部がアクセス監
視を行っており(ステップ31)、アクセス監視部より
不正アクセスが検知された場合(ステップ32)、情報
伝達部が内部ファイアウォール及び管理者にアクセスメ
ッセージ通知を行う(ステップ33)。これは、UNIXの
場合、sendmailを使用してアクセス通知を行うことが可
能である。
る不正アクセス発生時の状態監視の処理のフローチャー
トである。計算機11ではアクセス監視部がアクセス監
視を行っており(ステップ31)、アクセス監視部より
不正アクセスが検知された場合(ステップ32)、情報
伝達部が内部ファイアウォール及び管理者にアクセスメ
ッセージ通知を行う(ステップ33)。これは、UNIXの
場合、sendmailを使用してアクセス通知を行うことが可
能である。
【0017】アクセス通知を行った後、計算機11で整
合性確認部が、あらかじめ内部に持っている正常時の整
合性データベースと現在の情報を比較する整合性確認を
行う(ステップ34)。整合性確認の結果を判断し(ス
テップ35)、正常時の整合性データベースと現在の情
報に相違が有った場合、侵入によって異常が発生したと
して、計算機12と管理者に侵入メッセージを通知する
(ステップ36)。この通知もアクセスメッセージ通知
の場合と同様にUNIXの場合は、sendmailを使用して侵入
メッセージ通知を行うことが可能である。
合性確認部が、あらかじめ内部に持っている正常時の整
合性データベースと現在の情報を比較する整合性確認を
行う(ステップ34)。整合性確認の結果を判断し(ス
テップ35)、正常時の整合性データベースと現在の情
報に相違が有った場合、侵入によって異常が発生したと
して、計算機12と管理者に侵入メッセージを通知する
(ステップ36)。この通知もアクセスメッセージ通知
の場合と同様にUNIXの場合は、sendmailを使用して侵入
メッセージ通知を行うことが可能である。
【0018】侵入メッセージの通知を行った後、計算機
11は外部ネットワークと接続しているネットワークド
ライバを停止することで、ネットワークを切断する(ス
テップ37)。ステップ35の判断で相違がない場合
は、ステップ31に戻り、アクセス監視状態になる。
11は外部ネットワークと接続しているネットワークド
ライバを停止することで、ネットワークを切断する(ス
テップ37)。ステップ35の判断で相違がない場合
は、ステップ31に戻り、アクセス監視状態になる。
【0019】図4は、計算機12において、計算機11
からアクセスメッセージ通知を受けた場合に実行される
計算機12での状態監視の処理のフローチャートであ
る。計算機12の情報伝達部にて計算機11からのアク
セスメッセージ通知を受け取った(ステップ41)場
合、計算機12において整合性確認部が、あらかじめ内
部に持っている正常時の整合性データベースと現在の情
報を比較する整合性確認を行う(ステップ42)。
からアクセスメッセージ通知を受けた場合に実行される
計算機12での状態監視の処理のフローチャートであ
る。計算機12の情報伝達部にて計算機11からのアク
セスメッセージ通知を受け取った(ステップ41)場
合、計算機12において整合性確認部が、あらかじめ内
部に持っている正常時の整合性データベースと現在の情
報を比較する整合性確認を行う(ステップ42)。
【0020】整合性確認の結果を判断し(ステップ4
3)、正常時の整合性データベースと現在の情報に相違
が有った場合、侵入によって異常が発生したとして、計
算機11と管理者に侵入メッセージを通知する(ステッ
プ44)。この通知はUNIXの場合は、sendmailを使用し
て侵入メッセージ通知を行うことが可能である。
3)、正常時の整合性データベースと現在の情報に相違
が有った場合、侵入によって異常が発生したとして、計
算機11と管理者に侵入メッセージを通知する(ステッ
プ44)。この通知はUNIXの場合は、sendmailを使用し
て侵入メッセージ通知を行うことが可能である。
【0021】侵入メッセージの通知を行った後、計算機
12は計算機11と接続しているネットワークドライバ
を停止することで、ネットワークを切断する(ステップ
45)。ステップ43の判断で相違がない場合は、処理
を終了する。
12は計算機11と接続しているネットワークドライバ
を停止することで、ネットワークを切断する(ステップ
45)。ステップ43の判断で相違がない場合は、処理
を終了する。
【0022】図5は、計算機12において、不正なアク
セスが発生した場合に実行される計算機12でのアクセ
ス制御の処理のフローチャートである。計算機12にお
いても、計算機11と同様にアクセス監視を実施してお
り、計算機12に対する不正アクセスが発生した場合
(ステップ51)、計算機12に対して侵入者がアクセ
スを試みるには、計算機12と計算機11の経路が一つ
しかないため計算機11からアクセスする必要があるた
め、すでに計算機11は外部から侵入されていると判断
し、計算機12の情報伝達部が計算機11及び管理者に
対し侵入メッセージを通知し(ステップ52)、計算機
12は計算機11と接続しているネットワークドライバ
を停止することで、ネットワークを切断する(ステップ
53)。
セスが発生した場合に実行される計算機12でのアクセ
ス制御の処理のフローチャートである。計算機12にお
いても、計算機11と同様にアクセス監視を実施してお
り、計算機12に対する不正アクセスが発生した場合
(ステップ51)、計算機12に対して侵入者がアクセ
スを試みるには、計算機12と計算機11の経路が一つ
しかないため計算機11からアクセスする必要があるた
め、すでに計算機11は外部から侵入されていると判断
し、計算機12の情報伝達部が計算機11及び管理者に
対し侵入メッセージを通知し(ステップ52)、計算機
12は計算機11と接続しているネットワークドライバ
を停止することで、ネットワークを切断する(ステップ
53)。
【0023】図6は、計算機11又は計算機12におい
て、情報伝達部が侵入メッセージを受け取った場合に計
算機11または計算機12で実行されるアクセス制御の
処理のフローチャートである。情報伝達部で侵入メッセ
ージを受け取った場合(ステップ61)、計算機は外部
ネットワーク又は、計算機11と接続しているネットワ
ークドライバを停止することで、ネットワークを切断す
る(ステップ62)。
て、情報伝達部が侵入メッセージを受け取った場合に計
算機11または計算機12で実行されるアクセス制御の
処理のフローチャートである。情報伝達部で侵入メッセ
ージを受け取った場合(ステップ61)、計算機は外部
ネットワーク又は、計算機11と接続しているネットワ
ークドライバを停止することで、ネットワークを切断す
る(ステップ62)。
【0024】
【発明の効果】以上のように、本発明においては、これ
までファイアウォールを設置していた箇所に2台以上の
ファイアウォールとしての計算機を設置し、この計算機
が連係して動作することで、外部からの不正侵入の検知
を実現する。
までファイアウォールを設置していた箇所に2台以上の
ファイアウォールとしての計算機を設置し、この計算機
が連係して動作することで、外部からの不正侵入の検知
を実現する。
【図1】本発明が適用されるネットワークシステムの全
体構成を示すブロック図。
体構成を示すブロック図。
【図2】図1の計算機11および計算機12の構成例を
示すブロック図。
示すブロック図。
【図3】図1の計算機11における不正アクセス発生時
の状態監視処理のフローチャート。
の状態監視処理のフローチャート。
【図4】図1の計算機12においてアクセスメッセージ
通知を受けた場合の状態監視処理のフローチャート。
通知を受けた場合の状態監視処理のフローチャート。
【図5】図1の計算機12において不正アクセス発生時
のアクセス制御処理のフローチャート。
のアクセス制御処理のフローチャート。
【図6】図2の計算機において侵入メッセージを受け取
った場合のアクセス制御処理のフローチャート。
った場合のアクセス制御処理のフローチャート。
11…外部ファイアウォール、12…内部ファイアウォ
ール、13…緩衝ネットワーク、14…内部ネットワー
ク、15〜17…計算機、18…外部ネットワーク、1
9…外部情報発信のための計算機、21…ファイアウォ
ール、22…アクセス監視部、23…アクセス管理テー
ブル、24…整合性確認部、25…整合性データベー
ス、26…オペレーティングシステム、27…システム
ロギング部、28…プロセス管理部、29〜210…ネ
ットワークドライバ、211…ファイルシステム制御ド
ライバ、212…情報伝達部、213〜214…ネット
ワーク、31…アクセス監視処理、32…不正アクセス
検知処理、33…アクセスメッセージ通知処理、34…
整合性確認処理、35…整合性確認結果判断処理、36
…侵入メッセージ通知処理、37…ネットワーク切断処
理、41…メッセージ受信処理、42…整合性確認処
理、43…整合性結果確認処理、44…侵入メッセージ
通知処理、45…ネットワーク切断処理、51…不正ア
クセス検知処理、52…侵入メッセージ通知処理、53
…ネットワーク切断処理、61…メッセージ受信処理、
62…ネットワーク切断処理。
ール、13…緩衝ネットワーク、14…内部ネットワー
ク、15〜17…計算機、18…外部ネットワーク、1
9…外部情報発信のための計算機、21…ファイアウォ
ール、22…アクセス監視部、23…アクセス管理テー
ブル、24…整合性確認部、25…整合性データベー
ス、26…オペレーティングシステム、27…システム
ロギング部、28…プロセス管理部、29〜210…ネ
ットワークドライバ、211…ファイルシステム制御ド
ライバ、212…情報伝達部、213〜214…ネット
ワーク、31…アクセス監視処理、32…不正アクセス
検知処理、33…アクセスメッセージ通知処理、34…
整合性確認処理、35…整合性確認結果判断処理、36
…侵入メッセージ通知処理、37…ネットワーク切断処
理、41…メッセージ受信処理、42…整合性確認処
理、43…整合性結果確認処理、44…侵入メッセージ
通知処理、45…ネットワーク切断処理、51…不正ア
クセス検知処理、52…侵入メッセージ通知処理、53
…ネットワーク切断処理、61…メッセージ受信処理、
62…ネットワーク切断処理。
Claims (3)
- 【請求項1】外部ネットワークと内部ネットワークの間
に、複数台の計算機を有する多段ファイアウォールシス
テムであって、前記計算機は内部状態を監視して異常を
検知する監視手段と外部からのアクセスを検知する手段
を備え、前記外部ネットワークに接続された計算機を経
由して前記内部ネットワークに接続された前記計算機へ
のアクセスの検知をもって、前記外部ネットワークに接
続された前記計算機の異常を把握することを特徴とした
多段ファイアウォールシステム。 - 【請求項2】複数の前記計算機を直列に接続すること
で、外部ネットワークと内部ネットワークの経路を一つ
にすることを特徴とした請求項1記載の多段ファイアウ
ォールシステム。 - 【請求項3】内部ネットワークに接続された前記計算機
において、前記外部ネットワークに接続された計算機を
経由したアクセスを検知した場合、あらかじめテーブル
に登録しておいたアクセス以外のアクセスが検知された
場合、外部ネットワークに接続された前記計算機のネッ
トワーク接続および内部ネットワークに接続された前記
計算機のネットワーク接続を切断することを特徴とした
請求項1記載の多段ファイアウォールシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1397799A JP2000216830A (ja) | 1999-01-22 | 1999-01-22 | 多段ファイアウォ―ルシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1397799A JP2000216830A (ja) | 1999-01-22 | 1999-01-22 | 多段ファイアウォ―ルシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000216830A true JP2000216830A (ja) | 2000-08-04 |
Family
ID=11848297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1397799A Pending JP2000216830A (ja) | 1999-01-22 | 1999-01-22 | 多段ファイアウォ―ルシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000216830A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002091674A1 (en) * | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
| JP2003050732A (ja) * | 2001-08-06 | 2003-02-21 | Isa Co Ltd | 公開コンテンツ改竄対処方法、公開コンテンツ提供システム、公開コンテンツサーバ,ネットワーク接続装置,不正アクセス防止装置および切換装置、並びに公開コンテンツサーバ用プログラム,ネットワーク接続装置用プログラム,不正アクセス防止装置用プログラムおよび切換装置用プログラム |
| US7110362B2 (en) | 2001-02-15 | 2006-09-19 | Oki Electric Industry Co., Ltd. | Network management system |
| US7385980B2 (en) | 2002-05-31 | 2008-06-10 | Fujitsu Limited | Network relay device |
-
1999
- 1999-01-22 JP JP1397799A patent/JP2000216830A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7110362B2 (en) | 2001-02-15 | 2006-09-19 | Oki Electric Industry Co., Ltd. | Network management system |
| WO2002091674A1 (en) * | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
| JP2003050732A (ja) * | 2001-08-06 | 2003-02-21 | Isa Co Ltd | 公開コンテンツ改竄対処方法、公開コンテンツ提供システム、公開コンテンツサーバ,ネットワーク接続装置,不正アクセス防止装置および切換装置、並びに公開コンテンツサーバ用プログラム,ネットワーク接続装置用プログラム,不正アクセス防止装置用プログラムおよび切換装置用プログラム |
| US7385980B2 (en) | 2002-05-31 | 2008-06-10 | Fujitsu Limited | Network relay device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6715084B2 (en) | Firewall system and method via feedback from broad-scope monitoring for intrusion detection | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| US7024548B1 (en) | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device | |
| US9038173B2 (en) | System and method for providing network security | |
| US6353385B1 (en) | Method and system for interfacing an intrusion detection system to a central alarm system | |
| US5991881A (en) | Network surveillance system | |
| Wood et al. | Intrusion detection message exchange requirements | |
| US8256003B2 (en) | Real-time network malware protection | |
| US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
| US20020078202A1 (en) | IP network system having unauthorized intrusion safeguard function | |
| EP1330095A1 (en) | Monitoring of data flow for enhancing network security | |
| JP3618245B2 (ja) | ネットワーク監視システム | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP2001034553A (ja) | ネットワークアクセス制御方法及びその装置 | |
| US7565690B2 (en) | Intrusion detection | |
| JP3966231B2 (ja) | ネットワークシステムと不正アクセス制御方法およびプログラム | |
| JP2000216830A (ja) | 多段ファイアウォ―ルシステム | |
| JP2005071218A (ja) | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム | |
| KR20040049714A (ko) | 인터넷을 이용한 무인경비 시스템 및 그 방법 | |
| JP4039361B2 (ja) | ネットワークを用いた分析システム | |
| JP2002164899A (ja) | ネットワーク監視方法および装置 | |
| JP2005318037A (ja) | 不正使用監視システム、不正使用監視警報装置、不正使用監視方法 | |
| CN100424609C (zh) | 分析和处理来自网络入侵检测系统的警报的方法和系统 | |
| EP2007066A2 (en) | A policy enforcement point and a linkage method and system for intrude detection system |