WO2004071038A1

WO2004071038A1 - ファイアウォール装置

Info

Publication number: WO2004071038A1
Application number: PCT/JP2004/001124
Authority: WO
Inventors: Kazuhiko Nagata; Taisuke Oka; Ryoichi Suzuki; Takashi Ikegawa; Hiroyuki Ichikawa; Tadashi Ishikawa
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2003-02-05
Filing date: 2004-02-04
Publication date: 2004-08-19
Anticipated expiration: 2005-08-05
Also published as: US7735129B2; US20060143699A1; JPWO2004071038A1; EP1592189A4; EP1592189A1; JP3852017B2

Abstract

複数の仮想ファイアウォールを有し、各仮想ファイアウォールはそれぞれ独立したフィルタリングポリシを有するファイアウォール装置において、ユーザ名と仮想ファイアウォールＩＤを管理する振分け管理テーブルと、ユーザ端末からのネットワーク接続のための認証情報を受信すると、それに記載されているユーザ名を保持する手段と、認証情報を認証サーバに通知する手段と、前記認証サーバから、認証応答を受信すると、その応答に記載されている前記ユーザ端末に付与すべきユーザＩＤを保持する手段とを備え、前記ユーザＩＤを前記ユーザ名と対応付けて前記振分け管理テーブルに登録するように構成される。　

Description

P T/JP2004/001124

明細書ファイアウォール装置技術分野

この発明は、ィンターネットなどの外部ネットワークに接続するユーザを保護するためのファイアウォール装置に関する。

背景技術

自己の端末、または、自己のネットワークのセキュリティを高める手段の 1つとして、ファイアウォール（F Wとも称する）がある。

ファイアウォールは、セキュリティを高めたい自己の端末または自己のネットワークと外部ネットワークとの間に配置され、予め決められたセキュリティポリシに従い、外部ネットワークから自己の端末またはネットワークに向かうパケット、または、自己の端末またはネットワークから外部ネットワークへ向かうパケットに対して、通過が可能かどうかを判断し、可能な場合は、当該パケットを通過させ、可能でない場合は、当該パケットを破棄するフィルタリング処理を実施する。

セキュリティポリシは、アドレス；プロトコル種別、ポート番号、方向、通過の可否、または他の条件を結びつけ、 1つのルールとし、当該ルールを複数まとめたものである。

また、ファイアウォールは設置場所により、 3つに区分することができる。

1つは、図 1に示すように、ファイアウォール 1 0を自己の端末内部に保持するもの（以下、端末ベースファイアウォールと称する）で、自己の端末 1 1を外部ネットワーク（例えば、インタ一ネット） 1 2から守るために利用されている。もう 1つは、図 2に示すように、ファイアウォール 1 0を自己のネットワーク 1 3のエツジに設置され、外部ネットワーク 1 2 に接続するもの（以下、 C P Eベースファイアウォールと称する ) で、自己のネットワーク 1 3を外部ネットワーク 1 2から守るために利用される。

もう 1つは、図 3に示すように、ファイアウォール 1 0が、独立のポリシで運用されるセキュリティを高めたいネットワーク 1 3または端末 1 1を複数収容し、外部ネットワーク 1 2に接続する位置に設置されるもの（以下、 N Wベースファイアウォールと称する）で、個々のネットワーク 1 3または端末 1 1を外部ネットワーク 1 2から守るために利用される。

常時接続ユーザが增加するとともに、セキュリティの必要性が高まる中、セキュリティ知識が不十分なユーザに対し、低コストでスキル不足を解消するセキュリティサービスを提供することが求められているという観点からは、上記のファイアウォールのうち、ネットワーク側にファイアウォールを配備する N Wベースフアイァウォールが有効である。 ·

すなわち、 NWベースファイアウォールにより、収容ユーザの集約による経済化と、アウトソーシングによるユーザ稼動の軽減が期待される。ただし、セキュリティポリシをユーザ毎に提供する必要もあり.、本方法によるファイアウォールでは、 1台の物理的なファイアウォールにユーザ毎の仮想ファイアウォールを構築するアーキテクチャが求められる。

従来技術の仮想ファイアウォールの構築法を図 4に示す。従来技術によるユーザの端末あるいはサーバ、またはユーザのネットワークと仮想ファイアウォールとの割り当ては、固定的なユーザ I Dと仮想ファイアウォール I Dとを対応させることにより実現する。

ここで固定的なユーザ I Dとは、ユーザの端末やサーバが属するネットワークの VLAN— ' I Dやユーザの端末やサーバの I P ァドレスである。図 4では、ユーザ # aのサーバ 2 1 1の I Pァドレス [ a . a . a . a] 、ユーザ # bのサーバ 2 1.2の I Pァドレス [b . b . b . b] を、それぞれ固定的なユーザ I Dとして、また、これらをそれぞれ仮想ファイアウォール I D 2 0 2おょぴ 20 3と対応づけ、振分け管理テーブル 20 1に事前に登録される。

そして例えば、サーバ 2 1 1 とユーザ # aの接続相手端末 2 1 3 との間の通信において、サーバ 2 1 1から送信されるバケツト 2 2 1に対し、その送信元 I Pアドレス [a . a . a . a ] を検索キーとして振分け管理テーブル 20 1を参照し、該送信元 I P アドレス [a . a . a . a] と対応付けられている仮想ファイアウォール I D 2 0 2を検索し、該バケツト 2 2 1を仮想ファィ了ウォール 20 2に振り分ける。また、接続相手端末 2 1 3から送信されるバケツト 22 2に対し、その宛先 I Pアドレス b . b . b . bを検索キーとして振分け管理テーブル 20 1を参照し、該宛先 I Pアドレス b . b . b . bと対応付けられている仮想ファィァウォール I D 20 3を検索し、該パケット 2 2 2を仮想ファィァウォール 20 3に振り分ける。

仮想ファイアウォール 20 2、 2 0 3には、それぞれユーザ # a、ユーザ # bが定めるセキュリティポリシに従うフィルタリングルールが記載されており、このルールに従い、パケット 2 2 1 および 2 2 2は通過あるいは廃棄処理される。これによつて不正ァクセス者からのサーバ 2 1 1に対する攻撃パケットをフィルタリングすることができる。

この従来技術は、主にデータセンタ等を適用先としており、そこでは固定的なユーザ I Dを用いているため、ユーザ I Dを振分け管理テーブル 2 0 1に事前に登録することが可能である。

なお、上記の従来技術に関連する先行技術文献として、「デー 4 001124

4 タセンタにおけるセキュアなコンテンツ · フィルタリング方式の検討」（電子情報通信学会ソサイエティ大会（2002) B-6-38 20 02. 8· 20発行）がある。

また、ユーザ毎のセキュリティ通信を設定するもう 1つの従来技術として、「セキュリティ通信方法、通信システム及びその装置」（特開 2 0 0 1— 2 9 8 4 4 9号公報）がある。しかし本従来技術は、主に I P S e c通信を想定しており、そこで定義されるユーザ毎のセキュリティ通信とは、通信に用いる認証アルゴリズムゃ暗号化アルゴリズムの強度を、ユーザの要求に応じ決定するというものにすぎず、不正アクセスからの攻撃パケットをブイルタリングする機能とは異なる。

ユーザが利用する常時接続サービスにおいては、ユーザ I D ( ユーザ I Pアドレス）はユーザ端末とネットワークとの接続が確立されるときに初めて付与される。具体的には、 P P P (Point to Point Protocol) セッションの確立時に初めて付与される。また、ユーザ I Pアドレスは一般に可変である。

従って、上記の従来技術における仮想ファイアウォールを常時接続サービスに適用しようとしても、振分け管理テーブルにユーザ I Pァドレスを事前登録することができないので、従来技術における仮想ファイアウォールを常時接続サービスに適用することは困難である。

また、常時接続サービスの場合、データセンタ等への適用の場合と比較し、収容ユーザ数が断然に多いことから、 N Wベースのファイアウォール装置に多重に収容するユーザ数を増大させることが求められている。

さて、ファイアウォールの配置場所という観点とは別に、ファィァウォールをセキュリティポリシの保持方法の観点から分類すると以下の 2つに分類することができる。

1つは、セキュリティポリシをファイアウォール内部に保持するものであり、通常のファイアウォールはこの方法が用いられている。

もう 1つは、図 5、図 6、図 7に示すように、セキュリティポリシ 1 5をファイアウォール 1 0の外部に保持し、複数のファィァウォール 1 0に、このセキュリティポリシを配布するものである。

先に示したどの種類のファイアウォール（端末べ一スフアイァウォール、 C P Eベースファイアウォーノレ、あるいは、 N Wベースファイアウォール）も、その多くはセキュリティポリシをファィァウォール内部に保持するものである。

しかし、セキュリティポリシを分配する方法を用いるファイアウォールに関しても、特表 2 0 0 2— 5 4 4 6 0 7号公報により、端末ベースファイアウォールへの適用が示されており、また、文献 ( 「Di stributed Firewal ls」（Nov. 1999， Special Issue on S ecurity, ISSN 1044-63971) ) により、 C P Eベースファイアゥオールへの適用が示されている。

また、 N Wベースファイアウォールにおいても、収容するネットワークまたは端末が静的に接続される場合は、 C P Eベースフアイァウォールと同様に考えられる。

しかし、 N Wベースファイアウォールで、収容するネットヮークまたは端末が動的に接続、切断を行い、または、収容される N Wベースファイアウォールを変更する場合においては、ファイアウォール内部にセキュリティポリシを保持する方法は、ネットヮークまたは端末の接続、切断に関係無く、ファイアウォールが収容する可能性のあるネットワークまたは端末に関するセキュリティポリシを全て保持しなければならないため有用でない。

よって、このような環境では、ネットワークまたは端末の接続、あるいは切断に合わせ、保持するセキュリティポリシ容量を最適に保つ手段を有する N Wベースファィァウォール装置が必要にな P T脑 04/001124

6 る。

また、 NWベースファイアウォーノレには、複数のネットワークまたは端末が接続されるため、前記のネットワークまたは端末の接続に合わせてセキュリティポリシをロードする手段を有する N Wベースファイアウォールでは、多量のセキュリティポリシを口ードする場合があり、この場合、 N Wベースファイアウォールの C P Uは、ロード用の処理が大きくなり、フィルタリングおよび転送用の処理ができず、フィルタリングおよび転送性能に影響を及ぼす。

また、セキュリティポリシを配布する装置においても、配布量が装置性能を超えた場合、セキュリティポリシを配布できなくなる。

さらに、セキュリティポリシの配布に用いられている回線においても、配布量が回線容量を超えた場合、セキュリティポリシの廃棄または遅延が生じることになる。

従って、配布するセキュリティポリシ量を抑える手段を有する N Wベースファイアウォール装置が必要になる。発明の開示

本発明の第 1の目的は、事前にユーザ I Dと仮想ファイアゥォール I Dとの対応付けができない通信形態に対してもサービス提供可能なファイアゥオール装置を提供することである。

また、本発明の第 2の目的は、収容するユーザ多重数を増大させることのできるフアイァウォール装置を提供することである。更に、本発明の第 3の目的は、収容するネットワークまたは端末の接続または切断に応じて必要なセキュリティポリシを保持または破棄することを可能にし、且つ、ロードするセキュリティポリシ量を軽減することが可能なファイアウォール装置を提供することである。上記の第 1の目的は、複数の仮想ファイアウォールを有し、各仮想ファイアウォールはそれぞれ独立したフィルタリングポリシを有するファイアウォール装置であって、

ユーザ名と仮想ファイアウォール I Dを管理する振分け管理テーブノレと、

ユーザ端末からのネットワーク接続のための認証情報を受信すると、それに記載されているユーザ名を保持する手段と、

認証情報を認証サーバに通知する手段と、

前記認証サーバから、認証応答を受信すると、その応答に記載されている前記ユーザ端末に付与すべきユーザ I Dを保持する手段とを備え、

前記ユーザ I Dを前記ユーザ名と対応付けて前記振分け管理テ一ブルに登録するファイアウォール装置により達成できる。

本発明によれば、事前にユーザ I Dと仮想ファイアウォール I Dとの対応付けができない通信形態に対しても、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザ I Dと仮想ファイアウォール I Dとを対応付けることができる。そして、そのユーザ I Dのユーザ端末が送信あるいは受信するパケッに対し、そのユーザ端末に対応するセキュリティポリシに従うフィルタリングルールを適用することができる。

また、上記の第 2の目的は、ユーザ名と、ユーザ I Dと、ブイルタリング I Dとを対応付けて管理する振分け管理テーブルと、前記フィルタリング I Dによって特定され、それぞれ独立したフィルタリングポリシを有するフィルタリングテーブルと、ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、

前記認証情報を認証サーバに通知する手段と、

前記認証サーバから認証応答を受信し、その認証応答に記載さ 01124

8 れている前記ユーザ端末に付与すべきユーザ I Dを保持する手段とを備え、

前記ユーザ〗 Dを前記ユーザ名と対応付けて前記振分け管理テ一プルに登録するファイアウォール装置によって達成できる。

本発明によれば、フィルタリング I Dを導入し、ユーザ毎のフィルタリングポリシをフィルタリング I Dによって識別するので、例えば、各仮想ファイアウォールに複数の独立したフィルタリングポリシを管理することができ、ユーザ多重数を向上させることができる。

また、ユーザ毎のパケットの検索範囲は、付与されたフィルタリング I Dの値と一致するテーブルのみを検索対象とするため、検索処理時間が不必要に長くなるのを抑制することができる。

また、本願発明では、前述のフィルタリング I Dを、さらに個別フィルタリング I Dと共通フィルタリング I Dに 2分化し、各ユーザ個別のフィルタリングポリシは個別フィルタリングテープルに記載し、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテーブルに記載することもできる。

これにより、例えば、 1 0ユーザが 2つの同じフィルタリングルールを利用している場合、従来技術を適用すると、合計 2 0ルールがフィルタリングテーブルに記載されるのに対し、本発明によれば、 2ルールのみブイルタリングテーブルに記載すればよので、フィルタリングポリシの管理を効率的に行うことが可能となる。

上記の第 3の目的は、複数のユーザ端末とネットワークの間に設置され、複数のュ一ザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、

各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテープノレと、 P T/JP2004/001124

9 複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、

ユーザ端末情報と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとを管理する振分け管理テーブルと、ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、ユーザと結び付けられた共通ブイルタリングテーブル I D、および個別フィルタリングテーブル I Dを管理する識別子管理サーパとの通信手段と、

前記個別ブイルタリングテーブルに書込まれるユーザ固有のセキユリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、

前記フィルタリング装置は、

ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し、保持したユーザ名を認証サーバに通知し、

前記認証サーバから受信した認証応答に付随するユーザ端末情報を保持し、

前記ユーザ名を、前記識別子管理サーバと前記セキュリティポリシサーバに通知し、

前記識別子管理サーバから受信した共通フィルタリングテープル I D、および個別フィルタリングテーブル I Dと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブル I Dとを、前記個別フィルタリングテーブルに書込むファイアウォール装置により達成できる。

本発明によれば、ネットワークまたは端末の接続開始に合わせ必要なセキュリティポリシをロードすることが可能になる。

また、ネットワーク接続開始時にセキュリティポリシを書込む領域を示す識別子と、認証により接続開始するネットワークまた T JP2004/001124

10 は端末に付与されるユーザ端末情報を結び付けておき、接続切断時に、切断するネットワークまたは端末のユーザ端末情報を元に、識別子を調べ、識別子に示される領域のセキュリティポリシを破棄するので、ネットワークまたは端末の接続切断に合わせセキュリティポリシを破棄することが可能になる。

また、本発明のファイアウォール装置は、セキュリティポリシを個別セキュリティポリシと、共通セキュリティポリシとに分け、共通セキュリティポリシは常にファイアウォール装置に保持しておき、個別セキュリティポリシのみを、ネットワークまたは端末の接続開始時にロードすることができるので、ロードするセキュリティポリシ量を軽減することが可能になる。

また、本発明のファイアウォール装置は、セキュリティポリシを配布する装置と、前述の識別子が調べられる装置を全てのファィァウォール装置と接続し、前述のセキュリティポリシのロードを行うことができるので、ネットワークまたは端末が収容されるファイアウォール装置を変更してネットワーク接続開始、あるいは切断を行っても、ファイアウォール装置は適切にセキュリティポリシをロードすることが可能になる。図面の簡単な説明

図 1は、従来のファイアウォール装置の一例を示すブロック'図である。

図 2は、従来のフアイァウォール装置の他の例を示すブロック図である。

図 3は、従来のファイアウォール装置の他の例を示すブロック図である。

図 4は、従来技術における仮想ファイアウォール構築法を示す図である。

図 5は、従来の、セキュリティポリシを外部に保持するフアイァウォール装置の一例を示すブロック図である。

図 6は、従来の、セキュリティポリシを外部に保持するフアイァウォール装置の他の例を示すブロック図である。

図 7は、従来の、セキュリティポリシを外部に保持するフアイァウォール装置の他の例を示すブロック図である。

図 8は、本発明の実施例 1一 1におけるファイアウォール装置の構成を示す図である。

図 9は、実施例 1一 1におけるファイアウォール装置の動作を示すシーケンス図である。

図 1 0は、実施例 1一 2におけるファイアウォール装置の動作を示すシーケンス図である。

図 1 1は、実施例 1一 3における振分け管理テーブルの例を示す図である。

図 1 2は、実施例 1— 3におけるファイアウォール装置の動作を示すシーケンス図である。

図 1 3は、実施例 1一 4における振分け管理テーブルの例を示す図である。

図 1 4は、実施例 1一 4におけるファイアウォール装置の動作を示すシーケンス図である。

図 1 5は、実施例 1一 5におけるファイアウォール装置の動作を示すシーケンス図である。

図 1 6は、実施例 1一 5における振分け管理テーブルの例を示す図である。

図 1 7は、本発明の実施例 2— 1のファイアウォール装置の概略構成を示すブロック図である。

図 1 8は、実施例 2— 1のファイアウォール装置の仮想フアイァウォール内のフィルタリングテーブルの構成を示す図である。図 1 9は、実施例 2— 1のファイアウォール装置の動作を示すシーケンス図である。図 2 0は、実施例 2— 2のファイアウォール装置の概略構成を示すブロック図である。

図 2 1は、実施例 2— 2のファイアウォール装置の動作を示すシーケンス図である。

図 2 2は、実施例 2— 3の振分け管理テーブルの初期状態を示す図である。

図 2 3は、実施例 2— 3の振分け管理テーブルの I Pアドレスが登録された状態を示す図である。

図 2 4は、実施例 2 - 3のファイアウォール装置の仮想フアイァウォール内のフィルタリングテーブルの構成を示す図である。図 2 5は、実施例 2— 4のファイアウォール装置の動作を示すシーケンス図である。

図 2 6は、実施例 2— 5の振分け管理テーブルの内容を示す図である。

図 2 7は、実施例 2— 5のファイアウォール装置の動作を示すシーケンス図である。

図 2 8は、実施例 2 _ 6 の振分け管理テーブルの内容を示す図である。

図 2 9は、実施例 2 — 6のファイアウォール装置の動作を示すシーケンス図である。

図 3 0は、実施例 2— 7の振分け管理テーブルの内容を示す図である。

図 3 1は、実施例 2— 7のファイアウォール装置の動作を示すシーケンス図である。

図 3 2は、フィルタリングテーブルの内容を示す図である。

図 3 3は、個別フィルタリングテーブルの内容を示す図である。図 3 4は、本発明の実施例 3— 1のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデ /レを示すプロック図である。図 3 5は、図 3 4に示す認証サーバ内の認証情報の詳細を示す図である。

図 3 6は、図 3 4に示す認証サーバ内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。

図 3 7は、図 3 4に示す識別子管理サーバ内の識別子管理テーブルの詳細を示す図である。

図 3 8は、図 3 4に示すセキュリティポリシサーバ内のセキュリティポリシテーブルの詳細を示す図である。

図 3 9は、図 3 4に示すファイアウォール装置内の初期状態の振分け管理テーブルの詳細を示す図である。

図 4 0は、図 3 4のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 4 1は、図 3 4のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 4 2は、実施例 3 _ 2のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すプロック図である。

図 4 3は、図 4 2のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 4 4は、実施例 3 _ 3のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

図 4 5は、図 4 4のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 4 6は、実施例 3— 4のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

図 4 7は、図 4 6のネットワークモデルの動作を示すシーケンスの一例を示す図である。図 4 8は、実施例 3— 5のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

図 4 9は、図 4 8のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 5 0は、実施例 3— 6のファイアウォール装置の概略構成と、そのファイアウォール装置が使用されるネットワークモデルを示すプロック図である。

図 5 1は、図 5 0に示す認証サーバ 1内の認証情報の詳細を示す図である。

図 5 2は、図 5 0に示す認証サーバ 1内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。

図 5 3は、図 5 0に示す認証サーバ 2内の認証情報の詳細を示す図である。

図 5 4は、図 5 0に示す認証サーバ 2内のユーザ端末情報部に保持されるプールテーブルの詳細を示す図である。

図 5 5は、図 5 0に示すユーザ（2 0 1 5— 1 ) 力 S、ユーザ端末（2 0 0 2— 1 ) を介してファイアウォール装置に送信するュ一ザ名を示す図である。

図 5 6は、図 5 0に示すユーザ（2 0 1 5— 2 ) 力ユーザ端末（ 2 0 0 2— 2 ) を介してファイアウォール装置に送信するュ一ザ名を示す図である。

図 5 7は、図 5 0に示す識別子管理サーバ内の識別子管理テーブルの詳細を示す図である。

図 5 8は、図 5 0に示すセキュリティポリシサーバ内のセキュリティポリシテーブルの詳細を示す図である。

図 5 9は、図 5 0のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 6 0は、図 5 0のネットワークモデルの動作を示すシーケンスの一例を示す図である。

図 6 1 は、コンピュータシステムの構成例を示す図である。発明を実施するための最良の形態

以下、図面を参照して本発明の各実施例を説明する。

(実施例 1一 1〜実施例 1一 5 )

[実施例 1一 1 ]

まず、本発明の実施例 1 _ 1を図 8および図 9を用いて説明する。本例では、ユーザからのネットワーク接続方式は P P P、認証用通信は R A D I U Sとする。

ファイアウォール装置 1 0 0は、ユーザ毎に仮想ファイアゥォールを具備している。例えば、ユーザ # aのセキュリティポリシが適用され、ユーザ # a の端末 1 1 1を保護する仮想ファイアゥオール 1 0 2、ユーザ # bのセキュリティポリシが適用され、ュ一ザ # b の端末 1 1 2を保護する仮想ファイアウォール 1 0 3力 S、ファイアウォール装置 1 0 0内に存在する。

また、振分け管理テーブル 1 0 1には、事前に設定可能なユーザ名おょぴ仮想ファイアウォール I Dが登録されている。すなわち振分け管理テーブル 1 0 1には、ユーザ名 # a と仮想ファイアウォール I D 1 0 2、ユーザ名 # b と仮想フアイァウォール I D 1 0 3との対応付けが登録されている。ただし、各ユーザ端末のユーザ I Dとなるユーザ I Pァドレスは未確定のため、この時点では登録することができない（振分け管理テーブル 1 0 1— 1の状態）。

本例ではユーザ # a の端末 1 1 1がィンターネット 1 1 0にネットワーク接続し、その後、接続相手端末 1 1 3と I P通信を行うものとする。まず、ユーザ端末 1 1 1からのネットワーク接続要求として、ユーザ端末 1 1 1 とファイアウォール装置 1 0 0との間で L C P (Link Control Protocol) の情報がやりとりされる（1 3 9 ) 。この後行われる認証情報のやりとり 1 4 0により、ファイアウォール装置 1 0 0はユーザ端末 1 1 1から送信されるユーザ名 # _aを抽出し、ユーザ名 # aを保持する（処理ポイント 1 5 0) 。

そして認証情報（ユーザ名おょぴパスワード）を RAD I U S サーバ 1 3 0に通知する（ 1 4 1 ) 。 RAD I U Sサーバ 1 3 0 にて認証され、その応答 1 4 2を受信すると、ファイアウォール装置 1 0 0はその応答 1 4 2に記載されているユーザ端末に付与すべきユーザ I pァドレスを保持する。このユーザ I Pアドレスを [ a . a . a . a ] とする。そして、ユーザ名 # aを検索キーとして、振分け管理テーブル 1 0 1の中のユーザ名が # a と記載されている行にこのユーザ I Pアドレス [ a . a . a . a ] を登録する（処理ボイント 1 5 1。振分け管理テーブル 1 0 1 — 2の状態）。

また、ファイアウォール装置 1 0 0は、これと同時に、 NC P (Network Control Protocol) の情報をユーザ端末 1 1 1 とファィァウォール装置 1 0 0との間でやりとりする（ 1 4 3 ) 中で、ユーザ I Pアドレス [ a . a . a . a ] をユーザ端末 1 1 1に送り、ユーザ端末 1 1 1は自ユーザ I Pアドレス力 S [ _a . _a . a . a ] であると認識する。

NC Pが終了後、ユーザ端末とネットワークとの間で P P P接続が確立される。その後、ユーザ端末 1 1 1から接続相手端末 1 1 3に向け送信されるバケツト 1 2 1を、ファイアウォール装置 1 0 0が受信すると、その送信元 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テーブル 1 0 1 を参照し、 [ a . a . a . a ] の行に記載されている仮想フアイァウォール I D = 1 0 2を抽出し、該パケット 1 2 1を仮想ファィァウォール 1 0 2に振り分ける（処理ポィント 1 5 2 ) 。これにより、パケット 1 2 1は、ユーザ # aが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処 a が適用される。

また、通信相手端末 1 1 3からユーザ端末 1 1 1に向け送信されるパケット 1 2 2をフアイァウォール装置 1 0 0が受信すると、その宛先 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テーブル 1 0 1を参照し、 [ a . a . a . a ] の行に記載されている仮想ファイアウォール I D = 1 0 2を抽出し、該バケツト 1 2 2を仮想ファイアウォール 1 0 2に振り分ける（処理ボイント 1 5 3) 。これにより、パケット 1 2 2は、ユーザ # aが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

ユーザ: |φ bの端末 1 1 2がィンターネット 1 1 0にネットヮ一ク接続し、その後、接続相手端末 1 1 3 と I P通信を行う場合も、同様の手順により、端末 1 1 2が送受信するパケットは仮想ファィァウォール 1 0 3に振り分けられ、ユーザ # bが定めるセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

[実施例 1一 2]

本発明の実施例 1一 2を、図 1 0を用い説明する。本例は、実施例 1一 1において、ユーザ # aから送られるユーザ名あるいはパスヮードに誤りがあるなどの理由により、ユーザ名およびパスヮードの通知 1 4 1によって送られたユーザ名とパスヮードの組合せが、 RAD I USサーバ 1 3 0に登録されているユーザ名とパスヮードの組合せと一致しない場合を示すものである。

なお、 L C P 1 3 9からユーザ名おょぴパスワードの通知 1 4 1の処理は実施例 1一 1 と同様であるため、説明を省略する。

前述の理由により、 RAD I USサーバ 1 3 0からの認証エラ一通知 6 42が送られると、ファイアウォール装置 1 0 0は、ュ一ザ端末 1 1 1に認証エラー通知 6 4 3を送信し、 P P Pの確立処理を終了する。このときファイアウォール装置 1 0 0は、振分け管理テーブル 1 0 1には何も処理を行わない。

[実施例 1一 3]

本発明の第 3の実施例を、図 8、図 1 1および図 1 2を用い説明する。本例は、実施例 1一 1において、ファイアウォールサービス未登録ユーザ # cの端末 1 1 4が、インターネット 1 1 0にネットワーク接続し、その後、接続相手端末 1 1 3と I P通信を行う形態を示すものである。なお、ファイアウォールサービス未登録ユーザ # cは、振分け管理テーブル 1 0 1 _ 3には、ユーザ名おょぴ仮想ファイアウォールの登録はないが、端末 1 1 4を通じてインターネット 1 1 0への通信サービスは享受しており、 R AD I U Sサーバ 1 3 0にユーザ名およびパスヮードが登録されている。

図 1 2において、ユーザ I Pァドレスの通知 1 4 2までの動作は、実施例 1— 1 と同様であり、説明は省略する。

ユーザ I Pアドレスの通知 1 4 2を受信すると、ファイアゥォール装置 1 0 0はユーザ I Pァドレスの通知 1 4 2に記載されているユーザ端末に付与すべきユーザ I pアドレス [ c . c . c . c ] を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル 1 0 1— 3に対し、ユーザ名 # cの検索を行うが、ュ一ザ名 # cは存在しないため、ユーザ I Pアドレス [ c · c . c . c ] を振分け管理テーブル 1 0 1— 3には登録しない。

また、ファイアウォール装置 1 0 0は、これと同時に、 NC P の情報をユーザ端末 1 1 4とファイアウォール装置 1 0 0との間でやりとりする（ 1 4 3) 中で、ユーザ I Pアドレス [ c . c . c . c ] をユーザ端末 1 1 4に送り、ユーザ端末 1 1 4は自ユーザ I Pアドレス力 S [c . c . c . c ] であると認識する。

NC Pが終了後、ユーザ端末とネットワークとの間で P P P接続が確立される。その後、ユーザ端末 1 1 4から接続相手端末 1 1 3に向け送信されるバケツト 1 2 1を、ファイアウォール装置 1 0 0が受信すると、その送信元 I Pアドレスとして記載される [ c . c . c . c ] を検索キーとして振分け管理テーブル 1 0 1 を参照した結果、該送信元 I Pァドレスが登録されていないことが判明する。

該送信元 I Pァドレスが登録されていない場合、図 1 1に示す振分け管理テーブル 1 0 1— 3の最下行にあるように、振り分けるべき仮想ファイアウォールは仮想ファイアウォール 1 0 4と記載されているため、該バケツト 1 2 1を未登録ユーザ用の仮想フアイァウォール 1 0 4に振り分ける（処理ボイント 1 5 2 ) 。同様にして、通信相手端末 1 1 3から送信されるパケット 1 2 2に対しても、その宛先ユーザ I Pァドレス [ c . c . c . c ] を検索キーとして振分け管理テーブル 1 0 1を参照した結果、該宛先 I Pァドレスが登録されていないことが判明すると、該パケット 1 2 2を未登録ユーザ用の仮想フアイァウォール 1 0 4に振り分ける（処理ポィント 1 5 3 ) 。

なお、未登録ユーザ用の仮想ファイアウォール 1 0 4は、フィルタリングルールが記載されず、全てのバケツトを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。

[実施例 1 一 4 ]

本発明の第 4の実施例を、図 8、図 1 3およぴ図 1 4を用い説明する。本例は、実施例 1 _ 3と同様の条件であり、ファイアゥオールサービス未登録ユーザ # cの端末 1 1 4が、ィンターネット 1 1 0にネットワーク接続し、その後、接続相手端末 1 1 3 と I P.通信を行う形態を示すものである。なお、ファイアウォールサービス未登録ユーザ # cは、振分け管理テーブル 1 0 1 — 4には、ユーザ名おょぴ仮想ファイアウォールの登録はないが、端末 1 1 4を通じてインターネット 1 1 0への通信サービスは享受しており、 RAD I USサーバ 1 3 0にユーザ名おょぴパスワードが登録されている。

図 1 4において、ユーザ I Pァドレスの通知 1 4 2までの動作は、実施例 1一 1 と同様であり、説明は省略する。

ユーザ I Pアドレスの通知 1 4 2を受信すると、ファイアゥォール装置 1 00はユーザ I Pァドレスの通知 1 4 2に記載されているユーザ端末に付与すべきユーザ I Pアドレス [c . c . c . c ] を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル 1 0 1— 4に対し、ユーザ名 # cの検索を行うが、ュ一ザ名 # cは存在しない。ユーザ名が存在しない場合、図 1 3に示すように、ユーザ I Pアドレス [ c . c . c . c ] および未登録ユーザ用の仮想ファイアウォール 1 04の I D= 1 04を振分け管理テーブル 1 0 1— 4に登録する。

また、ファイアウォール装置 1 0 0は、これと同時に、 NC P の情報をユーザ端末 1 1 4とファイアウォール装置 1 0 0との間でやりとりする（1 4 3) 中で、ユーザ I Pアドレス [ c · c . c . c] をユーザ端末 1 1 4に送り、ユーザ端末 1 1 4は自ユーザ I. Pアドレス力 S [ c . c . c . c ] であると認識する。

N C Pが終了後、ユーザ端末とネットワークとの間で P P P接続が確立される。その後、ユーザ端末 1 1 4から接続相手端末 1 1 3に向け送信されるパケット 1 2 1を、ファイアウォール装置 1 00が受信すると、その送信元 I Pアドレスとして記載される [ c . c . c . c ] を検索キーとして振分け管理テーブル 1 0 1 を参照し、該送信元 I Pアドレスと対応付けられている仮想ファィァウォール I D = 1 04を検索し、該パケット 1 2 1を未登録ユーザ用の仮想ファイアウォール 1 04に振り分ける（処理ポィント 1 5 2 ) 。

同様にして、通信相手端末 1 1 3から送信されるバケツト 1 2 2に対しても、その宛先ユーザ I Pアドレス [c . c . c . c ] を検索キーとして振分け管理テーブル 1 0 1 — 4を参照し、該送信元 I Pアドレスと対応付けられている仮想ファイアウォール I D = 1 0 4を検索し、該バケツト 1 2 2を未登録ユーザ用の仮想ファイアウォール 1 0 4に振り分ける（処理ボイント 1 5 3 ) 。なお、未登録ユーザ用の仮想ファイアウォール 1 0 4は実施例 1 一 3と同様、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。

また、該送信元 I Pァドレスが登録されていない場合、図 1 3 に示す振分け管理テーブル 1 0 1 — 4の最下行にあるように、パケットを廃棄する。これによつて、ある悪意ユーザが IP Spoofin g攻撃などにより、どのユーザにも付与されていない I Pァドレスを持つバケツトを大量に送出した場合に、ファイアウォール装置 1 0 0にてこれらのパケットを廃棄することができる。

[実施例 1一 5 ]

本発明の実施例 1一 5を、図 8、図 1 5および図 1 6を用い説明する。本例は、実施例 1一 1において、ファイアウォールサビス未登録ユーザ # dの端末 1 1 5が、ィンターネット 1 1 0にネットワーク接続し、その後、接続相手端末 1 1 3と I P通信を行う形態を示すものである。なお、ユーザ # dは本来、ファイアウォールサービスに登録されるべきユーザであるが、本例では、ファイアウォール装置 1 0 0の管理者が振分け管理テーブル 1 0 1 - 5にその登録をし忘れたあるいは誤った登録を行ったなどの理由により、ユーザ名 # dが振分け管理テーブル 1 0 1— 5に正しく登録されていない形態となっている。なお、 R A D I U Sサーバ 1 3 0には正しくユーザ名 # dおよびパスヮードが登録されている。

図 1 5において、ユーザ I Pァドレスの通知 1 4 2までの動作は、実施例 1 _ 1 と同様であり、説明は省略する。ユーザ I Pアドレスの通知 1 4 2を受信すると、ファイアゥォール装置 1 0 0はユーザ I Pァドレスの通知 1 4 2に記載されているユーザ端末に付与すべきユーザ I Pアドレス [ d . d . d . d ] を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル 1 0 1— 5に対し、ユーザ名 # dの検索を行うが、ュ一ザ名 # dは存在しない。ユーザ名が存在しない場合、ファイアウォール装置 1 0 0は、ユーザ端末 1 1 5に認証エラー通知 9 4 3を送信し、 P P Pの確立処理を終了する。

(実施例 1一：！〜 1 一 5の効果）

実施例 1— 1 のファイアウォール装置は、常時接続サービスのようにユーザ I Pアドレスが、ユーザ端末とネットワークとの接続が確立されるときに初めて付与され、かつ、ユーザ I Pァドレスの値が可変である場合に対し、動的に振分け管理テーブルにュ一ザ I Pァドレスを登録する手段を有する。また、本発明の動的ユーザ識別子対応ファイアウォール装置は、ユーザ毎に仮想ファィァウォールを有する。

これにより、事前にユーザ I Pアドレスと仮想ファイアウォール I Dとの対応付けができない通信形態に対し、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザ I Pアドレスと仮想ファイアウォール I Dとを対応づけ、該ユーザ端末が送信あるいは受信するバケツトに対し、該ユーザが定めるセキュリティポリシに従うフィルタリングルールを適用することができる。また、収容ユーザの集約による経済化と、アウトソーシングによるユーザ稼動の軽減を可能とする。

また、実施例 1 一 2のファイアウォール装置は、ユーザから送られるユーザ名あるいはパスヮードに誤りがあり、 R A D I U S サーバからの認証エラー通知が送られる場合に、振分け管理テーブルには何も処理を行わず、ユーザ端末に認証エラー通知を送信する。これにより、ネットワーク接続が拒絶される場合の振分け管理テーブル検索および登録処理を排除し、その分余った処理能力を、他の処理に注力することができる。

また、実施例 1一 3および実施例 1一 4のファイアウォール装置は、フアイァウォールサービスを享受しないユーザのユーザ端末も収容することができ、本ファイアウォールサービスを享受しない各ユーザが、サービスを享受する度に発生する物理的な接続の収容替えの煩わしさを排除することができる。

さらに、実施例 1一 3に示す手段の場合、未登録ユーザを振分け管理テーブルに登録させず、未登録ユーザの送受信バケツトを自動的に未登録ユーザ用の仮想ファイアウォールに振り分けるため、振分け管理テーブルに登録される件数は、現在ネットワーク接続確立中の登録ユーザに限ることができ、検索時間の短縮に貢献する。

一方、実施例 1一 4に示す手段の場合、未登録ユーザを振分け管理テーブルに登録させ、未登録ユーザの送受信パケットを陽に未登録ユーザ用の仮想ファイアウォールに振分け、また、振分け管理テーブルに登録されていない場合は、パケットを廃棄するため、ある悪意ユーザが IP Spoofing攻撃などにより、どのユ ITにも付与されていない IPアドレスを持つハ°ケットを大量に送出した場合に、ファイアウォール装置にてこれらのハ。ケットを廃棄することができる。

このように実施例 1一 3と実施例 1一 4の各手段は、用途により使い分けられる。

実施例 1一 5のファイアウォール装置は、ファイアウォール装置の管理者が振分け管理テーブルに対し、ユーザ名おょぴ仮想フアイァウォールの登録をし忘れたあるいは誤った登録を行った場合に対し、セキュリティの観点から、もはや成立してはいけない通信を、強制的に終了させることが出来る。

(実施例 2— 1〜実施例 2— 7 ) 次に、実施例 2— 1〜実施例 2— 7について説明する。

実施例 1一 1等に示した動作により、事前にユーザ I Pァドレスと仮想ファイアウォール I Dとの対応付けができない通信形態に対し、ユーザ端末からのネットワーク接続のための認証情報を利用し、動的にユーザ I Pアドレスと仮想フアイァウォール I D とを対応付け、該ユーザ端末が送信あるいは受信するバケツトに対し、該ユーザが定めるセキュリティポリシに従うフィルタリングルールを適用することができる。

ただし、常時接続サービスの場合、データセンタ等への適用の場合と比較し、収容ユーザ数が断然に多い。

想定される規模として、データセンタの場合、収容ユーザ数は数百〜数千であるのに対し、常時接続サービスの場合、収容ユーザ数は数万〜数十万規模となる。

現在、装置化され、サービスとして導入されている信頼性の高い仮想ファイアウォール装置の多くは、データセンタ向けに開発されており、実際に収容できるユーザ数は前述の通り、数百〜数千となっている。

収容ユーザ数の規模は異なるものの、常時接続サービス向けの仮想ファイアウォール装置を開発するにあたり、開発の効率化や既存技術の活用の観点から、前記データセンタ向け仮想ファイアウォール装置を土台に流用開発や追加開発する手法が極めて有効となる。

したがって、常時接続サービス向けの仮想ファイアウォール装置を提供するための課題は、ユーザ多重数の向上にある。

また、常時接続サービスではユーザ多重数が多いため、ユーザ毎に独立のセキュリティポリシを提供するサービス性を確保する場合、フィルタリングルールの合計数もユーザ多重数に比例し、多くなる。

しかし実際のところ、各ユーザのフィルタリングルールには、多くのユーザに共通するルールもあるため、ファイアウォール装置全体の観点から見た場合に、ルールの重複となり非効率である。その結果、フィルタリングテーブル量の増大に繋がる。

以上のように常時接続サービス向けの仮想ファイアウォール装置を開発するには、ユーザ多重数の向上とフィルタリングテープルの効率化が課題となる。

実施例 2 _ 1〜実施例 2— 7では、ユーザ多重数を向上させ、かつ、フィルタリングテーブルの効率化を実現するファイアゥォール装置について説明する。

[実施例 2— 1 ]

図 1 7は、本発明の実施例 2— 1のファイアウォール装置の概略構成を示すブロック図であり、図 1 8は、本実施例の仮想ファィァウォール内のフィルタリングテーブルの構成を示す図である。なお、本実施例では、ユーザからのネットワーク接続方式は P P P (Point to point Protocol) 、認証用通信は R A D I U S とする。

ファイアウォール装置 3 0 0は、複数の仮想ファイアウォール ( 3 0 2， 3 0 3 , …， 3 0 4 ) を具備する。

さらに、図 1 8に示すように、各仮想ファイアウォール（ 3 0 2， 3 0 3 ) には、それぞれ、フィルタリング I Dによって特定される複数のフィルタリングテーブル（ 5 6 1， 5 6 2， 5 6 3 ) が存在し、各フィルタリングテーブル（ 5 6 1， 5 6 2 , 5 6 3 ) には、各ユーザの独立した 1つ以上のフィルタリングポリシが記載される。

本実施例では、ユーザ # a とユーザ # bが定めるセキュリティポリシが仮想ファイアウォール 3 0 2に、ユーザ # dが定めるセキユリティポリシが仮想ファイアウォール 3 0 3に格納される。

さらに、ユーザ # aは、仮想ファイアウォール 3 0 2の中で、フィルタリング I Dが αのブイルタリングテーブル 5 6 1に、ュ一ザ # bはフィルタリング I Dが j3のフィルタリングテーブル 5 6 2に、ユーザ # dは仮想フアイァウォール 3 0 3の中で、フィルタリング I Dが γのフィルタリングテーブル 5 6 3に、それぞれのセキュリティポリシが記載されている。

ここで、ユーザ # a とユーザ # b とを同じ仮想ファイアウォール 3 0 2に収容するのは、例えば、ユーザ # a とユーザ # bの共通すべきフィルタリングポリシが同じである場合や、仮想フアイァウォールがィンターネットプロバイダ毎に構築されており、ュ一ザ # _a とユーザ # b とが同じインターネットプロバイダに属する場合、等の理由が挙げられる。

振分け管理テーブル 3 0 1には、事前に設定可能なユーザ名、仮想ファイアウォール I Dおよびフィルタリング I Dが登録されている。

すなわち、振分け管理テーブル 3 0 1には、ユーザ名 # a、仮想ファイアウォール I D ( 3 0 2 ) およびフィルタリング I D ( a ) の対応付け、ユーザ名 # b、仮想ファイアウォール I D ( 3

0 2 ) およびフィルタリング I D ( β ) の対応付け、ユーザ名 # d、仮想ファイアウォール I D ( 3 0 3 ) およびフィルタリング

I D ( γ ) の対応付けが登録される。

ただし、各ユーザ端末のユーザ I Dとなるユーザ I Ρアドレスは未確定のため、この時点では登録することができない（図 1 9 に示す振分け管理テーブル 3 0 1 — 1の状態）。

ユーザ I Ρァドレスが振分け管理テーブル 3 0 1に登録されない限り、各ユーザからのバケツトをそれぞれの仮想ファイアゥォ一ルに振分けること、フィルタリング I Dの付与を行うことができない。

本実施例ではユーザ # aの端末 3 1 1がィンターネット 3 1 0 にネットワーク接続し、その後、接続相手端末 3 1 3 と I P通信を行うものとする。以下、図 1 9を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図 1 9は、本実施例のファイアゥォール装置の動作を示すシーケンス図である。

まず、ユーザ端末 3 1 1からのネットワーク接続要求として、ユーザ端末 3 1 1 とファイアウォール装置 3 0 0との間で L C P (Link Control Protocol) の情報がやりとりされる（図 1 9の 8 3 9 ) o

この後行われる認証情報のやりとり（図 1 9の 8 4 0 ) により、ファイアウォール装置 3 0 0は、ユーザ端末 3 1 1から送信されるユーザ名 # aを抽出し、ユーザ名 # aを保持する（図 1 9の処理ポィント 8 5 0 ) 。

そして認証情報（ユーザ名およびパスワード）を、 RAD I U Sサーバ 3 3 0に通知する（図 1 9の 8 4 1 ) 。

RAD I U Sサーバ 3 3 0にて認証され、その応答を受信すると（図 1 9の 8 4 2 ) 、ファイアウォール装置 3 0 0はその応答に記載されているユーザ端末に付与すべきユーザ I Pアドレスを保持する。このユーザ I Pアドレスを [ a . a . a . a ] とする。そして、ユーザ名 # aを検索キーとして、振分け管理テーブル 3 0 1の中のユーザ名が # a と記載されている行に、このユーザ I Pアドレス [ a . a . a . a ] を登録する（図 1 9の処理ポィント 8 5 1、図 1 9の振分け管理テーブル 3 0 1 — 2の状態）。また、ファイアウォール装置 3 0 0は、これと同時に、 N C P (Network Control Protocol) の情報をユーザ端末 3 1 1 とファィァウォール装置 3 0 0との問でやりとりする（ 8 4 3 ) 中で、ユーザ I Pアドレス [ a . a . a . a ] をユーザ端末 3 1 1に送り、ユーザ端末 3 1 1は自ユーザ I Pアドレス力 S [ a . a . a . a ] であると認識する。

N C Pが終了後、ユーザ端末 3 1 1 とィンターネット 3 1 0との間で P P P接続が確立される。その後、ユーザ端末 3 1 1から接続相手端末 3 1 3に向け送信されるパケット 3 2 1を、ファイアウォール装置 3 0 0が受信すると、その送信元 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テーブル（図 1 9の 3 0 1 — 2 ) を検索し、 [ a . a . a . a ] の行に記載されている仮想ファィァウォーノレ I D ( I D = 3 0 2 ) 、フィルタリング I D ( I D = a ) を抽出し、当該パケット 3 2 1を仮想ファイアウォール 3 0 2に振り分けるとともに、当該パケット 3 2 1に、 aのフィルタリング I Dを付与する（図 1 9の処理ポィント 8 5 2 ) 。

フィルタリング I Dを付与されたバケツト 3 2 2は、図 1 8に示すように、振り分けられた仮想ファイアウォール 3 0 2内において、フィルタリング I Dが αのフィルタリングテーブル 5 6 1 に記載されているユーザ # aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

また、通信相手端末 3 1 3からユーザ端末 3 1 1に向け送信されるバケツト 3 2 3をファイアウォール装置 3 0 0が受信すると、その宛先 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして、振分け管理テーブル（図 1 9の 3 0 1 — 2 ) を検索し、 [ a . a . a . a ] の行に記載されている仮想ファイアゥオール I D ( I D = 3 0 2 ) 、フィルタリング I D ( I D = α ) を抽出し、当該パケット 3 2 3を仮想ファイアウォール 3 0 2に振り分けるとともに、当該パケット 3 2 3に、 _αのフィルタリング I Dを付与する（図 1 9の処理ポィント 8 5 3 ) 。

フィルタリング I Dを付与されたパケット 3 2 4は、振り分けられた仮想ファイアウォール 3 0 2内において、フィルタリング I Dが αのフィルタリングテーブル 5 6 1に記載されているユーザ # aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

ユーザ # bの端末 3 1 2がィンターネット 3 1 0にネットヮ一ク接続し、その後、接続相手端末 3 1 3 と I P通信を行う場合も、同様の手順により、端末 3 1 2が送受信するバケツトは仮想ファィァウォール 3 0 2に振り分けられ、その後、フィルタリングテ一ブル 5 6 2に記載されているユーザ # bのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

以上説明したように、本実施の形態では、フィルタリング I D ( a , β , y ) を導入することにより、各仮想ファイアウォール ( 3 0 2 , 3 0 3， 3 0 4 ) に複数の独立したフィルタリングポリシを管理することができ、ユーザ多重数を向上させることがでさる。

[実施例 2 — 2 ]

本発明の実施例 2 - 2のファイアウォール装置は、仮想フアイァウォールを備えていない点で、前述の実施例 2 — 1のファイアウォール装置と相異する。

以下、本実施例のファイアウォール装置について、前述の実施例 2 — 1のファイアウォール装置との相異点を中心に説明する。なお、実施例においても、ユーザからのネットワーク接続方式は P P P、認証用通信は R A D I U S とする。

図 2 0は、本発明の実施例 2 — 2のファイアウォール装置の概略構成を示すプロック図である。

図 2 0に示すように、本実施例のファイアウォール装置 3 0 0 は、フィルタリング I Dによって特定される複数のフィルタリングテーブル（ 5 6 1， 5 6 2 ) を有し、各フィルタリングテープルには、各ユーザの独立したフィルタリングポリシが記載される。本実施例では、ユーザ # aはフィルタリング I Dが αのフィルタリングテーブル 5 6 1に、ユーザ # bはフィルタリング I Dが j3のフィルタリングテーブル 5 6 2に、それぞれのセキュリティポリシが記載されている。

振分け管理テーブル 3 0 1には、事前に設定可能なユーザ名およびフィルタリング I Dが登録されている。

すなわち振分け管理テーブル 3 0 1には、ユーザ名 # aおよびフィルタリング I D αの対応付け、ユーザ名 # bおよびフィルタリング I D ]3の対応付けが登録される。

ただし、各ユーザ端末のユーザ I Dとなるユーザ I Pアドレスは未確定のため、この時点では登録することができない（図 2 1 に示す振分け管理テーブル 3 0 1— 1の状態）。

ユーザ I Pァドレスが振分け管理テーブル 3 0 1に登録されない限り、各ユーザからのパケットに対し、フィルタリング I Dの付与を行うことができない。

本実施例ではユーザ # aの端末 3 1 1がィンターネット 3 1 0 にネットワーク接続し、その後、接続相手端末 3 1 3 と I P通信を行うものとする。

以下、図 2 1を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図 2 1は、本実施例のファイアゥォール装置の動作を示すシーケンス図である。

ユーザ端末 3 1 1 とファイアウォール装置 3 0 0 との間での L C Pの情報のやりとり（図 2 1の 8 3 9 ) から、ユーザ端末 3 1 1 とファイアウォール装置 3 0 0 との間での N C Pの情報をやりとり（図 2 1の 8 4 3 ) までの動作は、実施例 2— 1 と同様であるので、再度の説明は省略する。

N C Pが終了後、ユーザ端末 3 1 1 とィンターネット 3 1 0 との間で P P P接続が確立される。その後、ユーザ端末 3 1 1から接続相手端末 3 1 3に向け送信されるバケツト 3 2 1を、フアイァウォール装置 3 0 0が受信すると、その送信元 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テーブル（図 2 1 の 3 0 1 — 2 ) を検索し、 [ a . a . a . a ] の行に記載されているフィルタリング I D ( 1 Ό = a ) を抽出し、当該バケツト 3 2 1に対し、 αのブイルタリング I Dを付与する (図 2 1 の処理ポィント 8 5 2 ) 。

フィルタリング I Dを付与されたバケツト 3 2 2は、フィルタリング I Dが αのフィルタリングテーブル 5 6 1に記載されているユーザ # _aのセキュリティポリシに従ぅフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

また、通信相手端末 3 1 3からユーザ端末 3 1 1に向け送信されるパケット 3 2 3をフアイァウォール装置 3 0 0が受信すると、その宛先 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テーブル（図 2 1の 3 0 1 — 2 ) を検索し、 [ a . a . a . a ] の行に記載されているフィルタリング I D ( I D = α ) を抽出し、当該パケット 3 2 3に対して、 αのフィルタリング I Dを付与する（図 2 1の処理ポィント 8 5 3 ) 。フィルタリング I Dを付与されたバケツト 3 2 4は、フィルタリング I Dが αのフィルタリングテーブル 5 6 1に記載されているユーザ # _aのセキュリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

ユーザ # bの端末 3 1 2がインターネット 3 1 0にネットヮーク接続し、その後、接続相手端末 3 1 3 と I P通信を行う場合も、同様の手順により、端末 3 1 2が送受信するバケツトはフィルタリングテーブル 5 6 2に記載されているユーザ # bのセキユリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が適用される。

[実施例 2 — 3 ]

本発明の実施例 2 — 3のファイアウォール装置は、フィルタリング I Dを、個別フィルタリング I Dと共通フィルタリング I D に 2分化した点で、前述の実施例 2— 1のファイアウォール装置と相異する。

以下、本実施例のファイアウォール装置について、前述の実施例 2— 1のファイアウォール装置との相違点を中心に説明する。

なお、本実施例 2— 3のファイアウォール装置の概略構成は、図 1 7と同じである。また、本実施例においても、ユーザからのネットワーク接続方式は P P P、認証用通信は RAD I USとする。

本実施例のファイアウォール装置では、前述の実施例 2— 1のフィルタリング I Dを、さらに個別フィルタリング I Dと共通フィルタリング I Dに 2分化し、各ユーザ個別のフィルタリングポリシは個別フィルタリングテーブルに記載し、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテーブルに記載する。

したがって、本実施例において、図 1 7に示す振分け管理テーブル 3 0 1およぴ図 1 9に示す振分け管理テーブル（3 0 1— 1 ) は、図 2 2に示す振分け管理テーブル 6 0 1に置き換えられ、図 1 9に示す振分け管理テーブル（3 0 1— 2) は、図 2 3の振分け管理テーブル 1 1 0 1に置き換えられる。

また、図 24は、本実施例のファイアウォール装置の仮想ファィァウォール内のフィルタリングテーブルの構成を示す図である _c 本実施の形態のファイアウォール装置 3 0 0は、複数の仮想フアイァウォール（ 3 0 2， 3 0 3， …， 3 0 4) を具備している _c さらに、図 24に示すように、各仮想ファイアウォール（3 0 2， 3 0 3 ) にはそれぞれ、個別フィルタリング I Dによって特定される複数のフィルタリングテーブル（ 5 6 1， 5 6 2， 5 6 3) 、および共通フィルタリング I Dによって特定される複数のフィルタリングテーブル（ 5 7 1 , 5 7 2 ) が存在する。

各ユーザ個別のフィルタリングポリシは個別フィルタリングテ一ブル（ 5 6 1， 5 6 2， 5 6 3 ) に、複数のユーザにて共通化することが可能なフィルタリングポリシは共通フィルタリングテ一ブル（ 5 7 1， 5 7 2 ) に記載されている。

また、これに伴い、図 2 2に示すように振分け管理テーブル 6 0 1は、ユーザ名、仮想ファイアウォール I D、個別フィルタリング I Dおよぴ共通フィルタリング I Dを管理する。

本実施例では、ユーザ # a とユーザ # bが定めるセキュリティポリシが仮想ファイアウォール 3 0 2に、ユーザ # dが定めるセキユリティポリシが仮想ファイアウォール 3 0 3に格納されており、さらに、ユーザ # a の個別フィルタリングポリシは仮想ファィァウォール 3 0 2の中で、フィルタリング I Dが αの個別ブイルタリングテーブル 5 6 1に、ユーザ # bの個別フィルタリングポリシはブイルタリング I Dが j3の個別フィルタリングテーブル 5 6 2に、ユーザ # dの個別フィルタリングポリシは仮想フアイァウォール 3 0 3の中で、フィルタリング I Dが γの個別フィルタリングテーブル 5 6 3に、それぞれ記載されている。

また、ユーザ # _a とユーザ # bは、フィルタリング I Dが I の共通フィルタリングテーブル 5 7 1に記載のフィルタリングポリシも適用される。

同様に、ユーザ # dは、フィルタリング I Dが II の共通フィルタリングテーブル 5 7 2に記載のブイルタリングポリシも適用される。

振分け管理テーブル 6 0 1には、事前に設定可能なユーザ名、仮想ファイアウォール I D、個別フィルタリング I Dおよぴ共通フィルタリング I Dが登録されている。

すなわち振分け管理テーブル 6 0 1には、ユーザ名 # _a、仮想ファイアウォール I D ( 3 0 2 ) 、個別フィルタリング I D ( a ) および共通フィルタリング I D ( I ) の対応付け、ユーザ名 # b、仮想ファイアウォール I D ( 3 0 2 ) 、個別フィルタリング I D ( β ) および共通フィルタリング I D ( I ) の対応付け、ュ一ザ名 # d、仮想ファィァウォール I D ( 3 0 3 ) 、個別フィルタリング I D ( ) および共通フィルタリング I D (II) の対応付けが登録される。

ただし、各ユーザ端末のユーザ I Dとなるユーザ I Pアドレスは未確定のため、この時点では登録することができない（図 2 2 の振分け管理テーブル 6 0 1の状態）。

ユーザ I Pァドレスが振分け管理テーブル 6 0 1に登録されない限り、各ユーザからのパケットをそれぞれの仮想ファイアゥォ一ルに振分けること、個別フィルタリング I Dおよび共通フィルタリング I Dの付与を行うことができない。

本実施例では、ユーザ # aの端末 3 1 1がィンターネット 3 1 0にネットワーク接続し、その後、接続相手端末 3 1 3と I P通信を行うものとする。

以下、図 1 9を用いて、本実施例のファイアウォール装置の動作について説明する。

ユーザ端末 3 1 1 とフアイァウォール装置 3 0 0との間での L C Pの情報のやりとりから、ユーザ端末 3 1 1 とファイアウォール装置 3 0 0 との間での N C Pの情報をやりとりまでの動作は、実施例 2 _ 1 と同様であるので、再度の説明は省略する。

N C Pが終了後、ユーザ端末 3 1 1 とィンターネット 3 1 0との問で P P P接続が確立される。その後、図 1 7に示すように、ユーザ端末 3 1 1から接続相手端末 3 1 3に向け送信されるパケット 3 2 1をファイアウォール装置 3 0 0が受信すると、その送信元 I Pアドレスとして記載される [ a . a . a . a ] を検索キ一として振分け管理テーブル 1 1 0 1を検索し、 [ a . a . a . a ] の行に記載されている仮想ファイアウォール I D ( I D = 3 0 2 ) 、個別フィルタリング I D ( I D = α ) および共通フィルタリング I D ( I D = I ) を抽出し、当該パケット 3 2 1を仮想フアイァウォール 3 0 2に振り分けるとともに、 αの個別ブイルタリング I D、および I の共通フィルタリング I Dを付与する（図 1 9の処理ポィント 8 5 2 ) 。

個別フィルタリング I Dおよび共通フィルタリング I Dが付与されたパケット 3 2 2は、図 2 4に示すように、仮想ファイアゥオール 3 0 2内において、個別フィルタリング I Dがひの個別フィルタリングテーブル 5 6 1に記載されたユーザ # aのセキユリティポリシに従うフィルタリングルールに従い、通過あるいは廃棄処理が行われる。

もし個別フィルタリングテーブル 5 6 1に記載のフィルタリングポリシに、適用すべきルールが存在しなかった場合、パケット 3 2 2は、次に、共通フィルタリング I Dが Iの共通フィルタリングテーブル 5 7 1に記載されたフィルタリングポリシに従い、通過あるいは廃棄処理が行われる。

また、通信相手端末 3 1 3からユーザ端末 3 1 1に向け送信されるパケット 3 2 3をファイアウォール装置 3 0 0が受信すると、その宛先 I Pアドレスとして記載される [ a . a . a . a ] を検索キーとして振分け管理テブル 1 1 0 1を検索し、 [ a . a . a . a ] の行に記載されている仮想ファイアウォール I D ( I D = 3 0 2 ) 、個別フィルタリング I D ( I D = α ) およぴ共通フィルタリング I D ( I D = I ) を抽出し、当該パケット 3 2 3を仮想ファイアウォール 3 0 2に振り分けるとともに、 αの個別フィルタリング I Dおよび I の共通フィルタリング I Dを付与する (図 1 9の処理ポィント 8 5 3 ) 。

個別フィルタリング I Dおよび共通フィルタリング I Dが付与されたバケツト 3 2 4は、個別フィルタリング I Dが αの個別フィルタリングテーブル 5 6 1に記載されたユーザ # aのセキュリティポリシに従ぅフィルタリングルールに従い、通過あるいは廃棄処理が行われる。もし個別フィルタリングテーブル 5 6 1に記載されたブイルタリングポリシに、適用すべきルールが存在しなかった場合、パケット 3 2 4は、次に、共通フィルタリング I Dが I の共通フィルタリングテープル 5 7 1に記載されたフィルタリングポリシに従い、通過あるいは廃棄処理が行われる。

以上説明したように、本実施例によれば、例えば、 1 0ユーザが 2つの同じフィルタリングルールを利用している場合、従来技術を適用すると、合計 2 0ルールがフィルタリングテーブルに記載されるのに対し、本実施例では、 2ルールのみフィルタリングテーブルに記載すればよいことになる。

すなわち、共通フィルタリング I Dおよび共通フィルタリングテーブルの導入により、フィルタリングポリシを効率的に管理することが可能となる。

なお、実施例 2— 2における仮想フアイァウォールを用いない形態においても、本実施例における個別フィルタリングテーブル、共通フィルタリングテーブルを導入することが可能である。その場合、実施例 2— 2において、フィルタリング I Dに代えて、振り分け管理テーブルに本実施例と同様の個別フィルタリング I D と共通フィルタリング I Dを設け、また、フィルタリングテープルに代えて、本実施例と同様の個別フィルタリングテーブルと共通フィルタリングテーブルを備える。

[実施例 2— 4 ]

本実施例のファイアウォール装置は、前述の実施例 2— 1、 2 一 2のファイアウォール装置において、ユーザ # aから送られるユーザ名あるいはパスワードに誤りがあるなどの理由により、ュ一ザ名おょぴパスヮードの通知によって送られたユーザ名とパスヮードの組合せが、 R A D I U Sサーバ 3 3 0に登録されているユーザ名とパスヮードの組合せと一致しない場合の実施の形態である。実施例 2— 4のファイアウォール装置の動作を、図 2 5を用いて説明する。なお、図 2 5は、実施例 2— 4のファイアウォール装置の動作を示すシーケンス図である。 '

また、 L C P (図 2 5の 3 3 9) からユーザ名おょぴパスヮードの通知（図 2 5の 3 4 1 ) の処理は、実施例 2— 1 と同様であるので、再度の説明は省略する。

前述の理由により、 R AD I U Sサーバ 3 3 0へのユーザ名おょぴパスワードの通知（図 2 5の 34 1 ) に対する応答として、 RAD I USサーバ 3 3 0からの認証エラー通知が送られると (図 2 5の 1 24 2) 、ファイアウォール装置 3 0 0は、ユーザ端末 3 1 1に認証エラー通知を送信し（図 2 5の 1 24 3) 、 P P Pの確立処理を終了する。

このときファイアウォール装置 3 00は、振分け管理テーブル 3 0 1には何も処理を行わない。

[実施例 2— 5]

本発明の実施例 2— 5のフアイァウォール装置は、前述の実施例 2— 1のファイアウォール装置において、ファイアウォールサ一ビス未登録ユーザ # cの端末 3 1 4が、ィンターネット 3 1 0 にネットワーク接続し、その後、接続相手端末 3 1 3と I P通信を行う形態の実施の形態である。

本実施例 2— 5のファイアウォール装置の概略構成は、図 1 7 と同じであり、図 2 6は、本実施例の振分け管理テーブルの内容を示す図である。

なお、ファイアウォールサービス未登録ユーザ # cは、振分け管理テーブル（3 0 1— 3) には、ユーザ名おょぴ仮想ファイアウォールの登録はないが、端末 3 1 4を通じてインターネット 3 1 0への通信サービスは享受しており、 RAD I U Sサーバ 3 3 0にユーザ名およびパスヮードが登録されている。

以下、図 2 7を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図 2 7は、本実施例のファイアゥォール装置の動作を示すシーケンス図である。

図 2 7において、 L C P (図 2 7の 3 3 9 ) 力ら、ユーザ I P アドレスの通知（図 2 7の 3 4 2 ) までの動作は、実施例 2 — 1 と同じであるので、再度の説明は省略する。

ユーザ I Pアドレスの通知（図 2 7の 3 4 2 ) を受信すると、ファイアウォール装置 3 0 0は、ユーザ I Pァドレスの通知に記載されているユーザ端末に付与すべきユーザ I Pアドレス [ c ·

C . C . C ] を保持する。

そして、ユーザ名を検索キーとして、振分け管理テーブル（ 3 0 1 - 3 ) に対し、ユーザ名 # cの検索を行うが、ユーザ名 # c は存在しないため、ユーザ I Pアドレス [ c · c . c . c ] を振分け管理テーブル（3 0 1 — 3 ) には登録しない。

また、ファイアウォール装置 3 0 0は、これと同時に、 N C P の情報をユーザ端末 3 1 4とファイアウォール装置 3 0 0 との間でやりとりする（図 2 7の 3 4 3 ) 中で、ユーザ I Pァドレス [ c . c . c . c ] をユーザ端末 3 1 4に送り、ユーザ端末 3 1 4は自ユーザ I Pアドレス力 S [ c . c . c . c ] であると認識する。

N C Pが終了後、ユーザ端末 3 1 4とィンターネット 3 1 0との間で P P P接続が確立される。その後、ユーザ端末 3 1 4から接続相手端末 3 1 3に向け送信されるパケット 3 2 1を、フアイァウォール装置 3 0 0が受信すると、その送信元 I Pアドレスとして記載される [ c . C . C . C ] を検索キーとして振分け管理テーブル（3 0 1 — 3 ) を検索した結果、該送信元 I Pアドレスが登録されていないことが判明する。

該送信元 I Pァドレスが登録されていない場合、図 2 6に示す振分け管理テーブル（3 0 1 — 3 ) の最下行にあるように、振分けるべき仮想ファイアウォールは仮想ファイアウォール 3 0 4と記載されているため、該パケット 3 2 1を未登録ユーザ用の仮想ファイアウォール 3 0 4に振り分ける（図 2 7の処理ポィント 3 5 2 ) o

同様にして、通信相手端末 3 1 3から送信されるパケット 3 2 3に対しても、その宛先ユーザ I Pアドレス [ c . c . c . c ] を検索キーとして振分け管理テーブル（3 0 1 — 3 ) を検索した結果、該宛先 I Pァドレスが登録されていないことが判明すると当該パケット 3 2 3を未登録ユーザ用の仮想ファイアウォール 3 0 4に振り分ける（図 2 7の処理ポイント 3 5 3 ) 。

なお、未登録ユーザ用の仮想ファイアウォール 3 0 4は、フィルタリングルールが記載されず、全てのバケツトを無条件に通過させる、あるいは、未登録ユーザ全員に共通なフィルタリングルールが記載されている。

なお、本実施例のファイアウォール装置は、前述の実施例 2 — 2のファイアウォール装置にも適用可能である。この場合に、フアイァウォールサービス未登録ユーザ # cの端末 3 1 4からのパケット、フアイァウォールサービス未登録ユーザ # c の端末 3 1 4宛のバケツトは、図 2 0に示す迂回ルート 3 0 5を通過する。

[実施例 2 — 6 ]

本発明の実施例 2 _ 6のファイアウォール装置は、前述の実施例 2 — 5のファイアウォール装置と同様の条件であり、ファイアウォールサービス未登録ユーザ # cの端末 3 1 4が、インターネット 3 1 0にネットワーク接続し、その後、接続相手端末 3 1 3 と I P通信を行う形態である。

本実施例のファイアウォール装置の概略構成は、図 1 7と同じであり、図 2 8は、本実施例の振分け管理テーブルの内容を示す図である。

なお、ファイアウォールサービス未登録ユーザ # cは、振分け管理テーブル（ 3 0 1 — 4 ) には、ユーザ名おょぴ仮想ファイアウォールの登録はないが、端末 3 1 4を通じてインターネット 3 1 0への通信サービスは享受しており、 R AD I U Sサーバ 3 3 0にユーザ名おょぴパスヮードが登録されている。

以下、図 2 9を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図 2 9は、本実施例のファイアゥォール装置の動作を示すシーケンス図である。

図 2 9において、 L C P (図 2 9 の 3 3 9 ) 力ら、ユーザ I P ァドレスの通知（図 2 9の 3 4 2 ) までの動作は、実施例 2 — 1 と同じであるので、再度の説明は省略する。

ユーザ I Pアドレスの通知（図 2 9の 3 4 2 ) を受信すると、ファイアウォール装置 3 0 0は、ユーザ I Pァドレスの通知に記載されているユーザ端末に付与すべきユーザ I Pアドレス [ c .

C . C . C ] を保持する。

そして、ユーザ名を検索キーとして、振分け管理テーブル（3 0 1 - 4 ) に対し、ユーザ名 # c の検索を行うが、ユーザ名 # c は存在しない。

ユーザ名が存在しない場合、図 2 8に示すように、ユーザ I P アドレス [ c . c . c . c ] および未登録ユーザ用の仮想フアイァウォール 3 0 4の I D ( I D = 3 0 4 ) を振分け管理テーブル ( 3 0 1 - 4 ) に登録する。

また、ファイアウォール装置 3 0 0は、これと同時に、 N C P の情報をユーザ端末 3 1 4とファイアウォール装置 3 0 0との間でやりとりする（図 2 9の 3 4 3 ) 中で、ユーザ I Pアドレス [ c . c . c . c ] をユーザ端末 3 1 4に送り、ユーザ端末 3 1 4 は自ユーザ I Pアドレス力 S [ c . c . c . c ] であると認識する _c N C Pが終了後、ユーザ端末 3 1 4とインターネット 3 1 0との間で P P P接続が確立される。その後、ユーザ端末 3 1 4から接続相手端末 3 1 3に向け送信されるバケツト 3 2 1を、フアイァウォール装置 3 0 0が受信すると、その送信元 I Pアドレスとして記載される [ C . C . C . C ] を検索キーとして振分け管理テーブル (3 0 1 - 4) を検索し、当該送信元 I Pアドレスと対応付けられている仮想ファイアウォール I D ( I D= 3 04) を抽出し、当該バケツト 3 2 1を未登録ユーザ用の仮想ファイアゥオール 3 04に振り分ける（図 2 9の処理ポィント 3 5 2 ) 。同様にして、通信相手端末 3 1 3から送信されるバケツト 3 2 3に対しても、その宛先ユーザ I Pアドレス [ c . c . c . c ] を検索キーとして振分け管理テーブル（3 0 1— 4) を検索し、当該送信先 I Pアドレスと対応付けられている仮想ファイアゥォール I D ( I D = 3 04 ) を抽出し、当該パケット 3 2 3を未登録ユーザ用の仮想フアイァウォール 3 04に振り分ける（図 2 9 の処理ポィント 3 5 3 ) 。

なお、未登録ユーザ用の仮想ファイアウォール 3 04は、前述の実施例 2— 5 と同様、フィルタリングルールが記載されず、全てのパケットを無条件に通過させる、あるいは、未登録ユーザ全員に共通なブイルタリングルールが記載されている。

また、送信元 I Pアドレスが登録されていない場合、図 2 8に示す振分け管理テーブル 30 1 4の最下行にあるように、パケットを廃棄する。

これよつて、ある悪意ユーザが IP Spoofing攻撃などにより、どのユーザにも付与されていない I pァドレスを持つバケツトを大量に送出した場合に、ファイアウォール装置 3 00にてこれらのバケツトを廃棄することができる。

なお、本実施例のファイアウォール装置は、前述の実施例 2— 2のファイアウォール装置にも適用可能である。

この場合に、振分け管理テーブル（3 0 1— 4) には、ユーザ I Pアドレス [ c . c . c . c] および未登録ユーザ用のフィルタリング I Dを登録する。そして、ファイアウォールサービス未登録ユーザ # _cの端末 3 14からのパケット、ファイアウォールサービス未登録ユーザ # cの端末 3 1 4宛のパケットは、図 20 に示す迂回ルート 30 5を通過する。

[実施例 2— 7]

本発明の実施例 2— 7のファイアウォール装置は、前述の実施例 2— 1のファイアウォール装置において、ファイアウォールサ一ビス未登録ユーザ # dの端末 3 1 5が、ィンターネット 3 1 0 にネットワーク接続し、その後、接続相手端末 3 1 3と I P通信を行う形態を示すものである。

本実施例のファイアウォール装置の概略構成は、図 1 7と同じであり、図 3 0は、本実施例の振分け管理テーブルの内容を示す図である。

なお、ユーザ # dは本来、ファイアウォールサービスに登録されるべきユーザであるが、本実施例では、ファイアウォール装置 3 00の管理者が振分け管理テーブル（3 0 1— 5) にその登録をし忘れた、あるいは誤った登録を行ったなどの理由により、ュ一ザ名 # dが振分け管理テーブル（3 0 1— 5) に正しく登録されていない形態となっている。

なお、 RAD I U Sサーバ 3 3 0には正しくユーザ名 # dおよぴパスヮードが登録されている。

以下、図 3 1を用いて、本実施例のファイアウォール装置の動作について説明する。なお、図 3 1は、本実施例のファイアゥォール装置の動作を示すシーケンス図である。

図 3 1において、 L C P (図 3 1の 3 3 9) 力ら、ユーザ I P 了ドレスの通知（図 3 1の 34 2) までの動作は、前述の実施例 2— 1 と同じであるので、再度の説明は省略する。

ユーザ I Pアドレスの通知（図 3 1の 3 4 2) を受信すると、ファイアウォール装置 3 00は、ユーザ I Pァドレスの通知に記載されているユーザ端末に付与すべきユーザ I Pアドレス [d. d . d . d] を保持する。そして、ユーザ名を検索キーとして、振分け管理テーブル（ 3 0 1 - 5 ) に対し、ユーザ名 # dの検索を行うが、ユーザ名 # d は存在しない。

ユーザ名が存在しない場合、ファイアウォール装置 3 0 0は、ユーザ端末 3 1 5に認証エラー通知（図 3 1 の 1 7 4 3 ) を送信し、 P P Pの確立処理を終了する。

なお、本実施の形態のファイアウォール装置は、前述の実施例 2 - 2のファイアウォール装置にも適用可能である。

一般にフィルタリングテーブルは、図 3 2に示すように、ユーザ端末側や接続相手先端末側の I Pァドレス、ユーザ端末側や接続相手先端末側のポート番号などを元に作成する。

前述の通り、常時接続サービスの場合、ユーザ端末側 I Pアドレスは、 P P Pの接続毎に変化する。

したがって、図 3 2のフィルタリングテーブル 1 9 6 1内に登録すべきユーザ端末側 I Pアドレスは、 P P Pの接続毎に動的に設定する必要があり、その設定処理量はルール数に比例して大きくなる。

それに対し、図 3 3に示す本発明に基づく個別フィルタリングテーブルは、振分け管理テーブル 2 0 0 1にて、バケツトに個別フィルタリング I Dを付与し、個別フィルタリングテーブル 2 0 6 1では、ユーザ端末側 I Pァドレスの代わりに個別フィルタリング I Dを用いる。

個別フィルタリング I Dは、ユーザ端末側 I Pァドレスの値に依存せず、固定値であるため、 P P Pの接続を何度繰り返しても. 個別フィルタリングテーブル 2 0 6 1には全く影響がない。

P P Pの接続毎にユーザ端末側 I Pァドレスが変動することによって影響を及ぼす箇所は、振分け管理テーブル 2 0 0 1のユーザ端末側 I Pアドレスと個別フィルタリング I Dの対応付け部分のみであり、これは個別フィルタリングテーブル 2 0 6 1のルール数に依存せず、 1行のみの変更ですむ。

このようにフィルタリング I Dの導入は、フィルタリング装置内部の処理量の抑制にも貢献する。

また、本発明の共通フィルタリング I Dの導入により、複数のユーザにて共通化することが可能なフィルタリングポリシを 1つにまとめ、該当ユーザ全てに共通的にフィルタリングテーブルを提供することができるため、ファイアウォール装置全体のフィルタリングテーブル量の削減に貢献する。

(実施例 2— 1〜 2— 7の効果）

実施例 2 _ 1〜 2— 7のフィルタリング装置によれば、ユーザ多重数を向上させ、かつ、フィルタリングテーブルの効率化を実現することが可能となる。

(実施例 3— 1〜 3— 6 )

以下、図面を参照して実施例 3 — 1〜 3 _ 6を詳細に説明する, [実施例 3— 1 ]

図 3 4は、本発明の実施例 3— 1の認証連携型分散ファイアゥオール装置の概略構成と、本発明の実施例 3 - 1の認証連携型分散ファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

認証連携型分散ファイアウォール装置（以下、単に、ファイアウォール装置という。） 5 0 1は、認証により接続を開始するュ一ザ（5 1 5— 1 ) が使用するユーザ端末（ 5 0 2— 1 ) と、ュ一ザ（ 5 1 5— 2 ) が使用するユーザ端末（ 5 0 2— 2 ) を収容し、外部ネットワーク（例えば、インターネット） 5 0 3に接続されている。

また、ファイアウォール装置 5 0 1は、ユーザ固有のセキユリティポリシを保持するセキュリティポリシテーブル 5 1 1を備えるセキュリティポリシサーバ 5 0 4、およびファイアウォール装置 5 0 1へ配布する識別子を保持する識別子管理テーブル 5 1 2 を備える識別子管理サーバ 5 0 5と接続されている。

さらに、ファイアウォール装置 5 0 1は、ユーザの認証情報 5

1 3と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持するユーザ端末情報部 5 1 4を備える認証サーバ 5 0 6とも接続されている。

ここで、前記認証サーバは、例えば、 RA I DU S (Remote A uthentication Dial-in User Service) サーノ力 ^s使用可食 gであり . また、ユーザ端末情報部 ₅ 1 4に格納されるユーザ端末情報は、ユーザ端末に付与される I Pァドレスが使用可能である。

さらに、ユーザ端末（5 0 2— 1， 5 0 2 - 2 ) からネットヮークへの接続は P P P (Point to Point Protocol) を使用し、認証には P A P (Password Authentication Protocol) 、または.

CHA P (Challenge Handshake Authentication Protocol) 力 S 使用可能である。

また、ファイアウォール装置 5 0 1は、受信パケットに付属しているユーザ端末情報と、受信パケットをフィルタリングするフィルタリングテーブルを指し示す識別子とを結びつける振分け管理テーブル 5 0 7と、実際のフィルタリングを行うファイアゥォール部 5 0 8を有している。

さらに、ファイアウォール部 5 0 8は、ユーザ（ 5 1 5— 1 ) とユーザ（ 5 1 5 — 2 ) に共通するセキュリティポリシを保持する共通フィルタリングテ一プル 5 0 9 と、ユーザ（ 5 1 5 — 1 ) . または、ユーザ（ 5 1 5 — 2 ) の個別セキュリティボリシを保持するための領域である個別フィルタリングテーブル領域を有する, この個別フィルタリングテーブル領域 5 1 0は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキユリティポリシを書込む領域に分かれている。

図 3 5は、図 3 4に示す認証サーバ内の認証情報 5 1 3の詳細を示す図、図 3 6は、図 3 4に示す認証サーバ内のユーザ端末情報部 5 1 4に保持されるプールテーブルの詳細を示す図である。また、図 3 7は、図 34に示す識別子管理サーバ内の識別子管理テーブル 5 1 2の詳細を示す図、図 3 8は、図 34に示すセキユリチイポリシサーバ内のセキュリティポリシテーブル 5 1 1の詳細を示す図、図 3 9は、図 34に示すフアイァウォール装置内の初期状態の振分け管理テーブルの詳細を示す図である。

図 40、図 4 1は、図 34のネットワークモデルの動作を示すシーケンスの一例を示す図であり、ユーザ（ 5 1 5— 1 ) が外部ネットワーク 5 0 3へ接続後、切断し、その後、ユーザ（ 5 1 5 一 2) が外部ネットワーク 5 03へ接続後、切断を行うシ一ケンスを示したものである。

始めに、ユーザ（5 1 5— 1) の接続開始シーケンスについて説明する。

まず、ユーザ（ 5 1 5— 1 ) はユーザ端末を介して、ファイアウォール装置 5 0 1に、ユーザ名（ユーザ 5 1 5— 1 ) とパスヮード（ α ) を送信する（図 40の 1 1— 1， 1 1— 2) 。

このユーザ名（ユーザ 5 1 5— 1 ) とパスワード（α) を受信したファイアウォール装置 5 0 1は、ユーザ名（ユーザ 5 1 5— 1 ) を保持（図 4 0の 1 1 _ 3 ) するとともに、認証サーバ 5 0 6へユーザ名（ユーザ 5 1 5— 1 ) とパスヮード（ α ) を送信する（図 40の 1 1— 4) 。

認証サーバ 5 0 6では、受信したユーザ名（ユーザ 5 1 5— 1 ) とパスワード（α;) から認証情報 5 1 3を検索し、認証可能と判定する（図 40の 1 1— 5) 。

また、ユーザ端末情報部 5 1 4のプールテーブルから使用中フラグが「0」である使用可能なユーザ端末情報（ I P— 1 ) を抽出し、抽出した使用可能フラグを「 1」にし、認証了承通知とともに、抽出したユーザ端末情報（ I P— 1 ) をファイアウォール装置 5 0 1通知する（図 40の 1 1— 6， 1 1— 7) 。ファイアウォール装置 50 1は、受信したユーザ端末情報（ I P— 1 ) を保持し、このユーザ端末情報とユーザ端末が接続する回線を結びつける（図 4 0の 1 1一 8) とともに、前記保持したユーザ名（ユーザ 5 1 5— 1 ) を識別子管理サーバ 5 0 5に送信する（図 40の 1 1一 9) 。

識別子管理サーバ 5 0 5は、受信したユーザ名（ユーザ 5 1 5 - 1 ) を元に識別子管理テーブル 5 1 2を検索し、ユーザ名に結ぴつられた共通フィルタリングテーブル I D (共通 5 0 9 ) と個別フィルタリングテーブル I D (個別 5 1 0— 1 ) を抽出し、フアイァウォール装置 5 0 1へこの識別子（共通 5 0 9，個別 5 1 0— 1 ) を送信する（図 40の 1 1一 1 0、 1 1— 1 1 ) 。

ファイアウォール装置 50 1は、受信した個別フィルタリングテーブル I D (個別 5 1 0— 1 ) を保持するとともに、受信した共通フィルタリングテーブル I D (共通 5 0 9 ) と、個別フィルタリングテーブル I D (個別 5 1 0— 1 ) と、保持しているユーザ端末情報（ I P—1 ) とを、図 3 9に示す振分け管理テーブル 5 0 7に書き込む（図 4 0の 1 1— 1 2) 。

また、保持しているユーザ名（ユーザ 5 1 5— 1 ) をセキユリティポリシサーバ 5 04へ送信する（図 4 0の 1 1一 1 3) 。セキュリティポリシサーバ 5 04は、受信したユーザ名（ユーザ 5 1 5— 1 ) を元に、保持するセキュリティポリシテーブル 5 1 2を検索し、ユーザ名と結び付けられた個別セキュリティポリシ（ルール 1— 1〜ルール 1 _m) を抽出し（図 40の 1 1— 1 4 ) 、ファイアウォール装置 5 0 1へ送信する（図 40の 1 1 _ 1 5 ) 。

ファイアウォール装置 50 1は、保持している個別フィルタリングテーブル I D (個別 5 1 0— 1 ) を個別フィルタリングテープル領域 5 1 0の識別情報に書込むとともに、受信した個別セキユリティポリシ（ノレ一ノレ 1 _ 1〜ノレ一ノレ 1一 m) をセキュリティポリシ領域へ書き込む（図 4 0の 1 1一 1 6) 。

この一連の処理を実施後、保持しているユーザ端末情報（ I P 一 1 ) を含む認証成功通知をユーザ端末（ 5 0 2— 1 ) へ通知する（図 4 0の 1 1一 1 7 ) 。

以上で接続開始シーケンスが終了し、これにより、ユーザ（ 5 1 5— 1 ) は、ユーザ端末（ 5 0 2— 1 ) を介して外部ネットヮーク 5 0 3 と接続可能になる。

次に、ユーザ端末（ 5 0 2— 1 ) と外部ネットワーク 5 0 3 との通信シーケンスについて説明する。

ユーザ端末（ 5 0 2— 1 ) から外部ネットワーク 5 0 3へパケットを転送する場合、ユーザ端末（ 5 0 2— 1 ) は接続開始シーケンスの最後に受けたユーザ端末情報（ I P— 1 ) を自身のアドレスとし、当該ァドレスをパケットに付与してファイアウォール装置 5 0 1へ転送する（図 4 0の 1 1 — 1 8 ) 。

ファイアウォール装置 5 0 1は、受信したパケットからユーザ端末情報（ I P— 1 ) を抽出し、このユーザ端末情報（ I P— 1 ) をキーにして、振分け管理テーブル 5 0 7を検索し、共通フィルタリングテーブル I D (共通 5 0 9 ) と個別フィルタリングテ一ブル I.D (個別 5 1 0— 1 ) を抽出する（図 4 0の 1 1一 1 9 ) o '

次に、ファイアウォール部 5 0 8において、抽出した共通フィルタリングテーブル I D (共通 5 0 9 ) と、個別フィルタリングテーブル I D (個別 5 1 0— 1 ) で示されるフィルタリングテーブルを用い、パケットをフィルタリング（図 4 0の 1 1 — 2 0、 1 1 - 2 1 ) した後、外部ネットワーク 5 0 3へ転送する（図 4 0の 1 1— 2 2 ) 。

また、外部ネットワーク 5 0 3からユーザ端末（ 5 0 2— 1 ) に対するパケットを受信し（図 4 0の 1 1 — 2 3 ) 、ユーザ端末 ( 5 0 2 - 1 ) に転送する場合、外部ネットワーク 5 0 3からのパケットには、宛先アドレスとしてユーザ端末情報（ I P— 1 ) が付与されているので、ファイアウォール装置 5 0 1は、受信したパケットから、このユーザ端末情報（ I P— 1 ) を抽出し（図 4 0の 1 1— 24) 、前述したユーザ端末（ 5 0 2— 1 ) から外部ネットワーク 5 0 3へ転送するパケットと同様のシーケンスにより、パケットをフィルタリング (図 40の 1 1一 2 5、 1 1 - 2 6) した後、ユーザ端末（ 5 0 2— 1 ) へパケットを転送する (図 40の 1 1一 2 7) 。

本実施例のファイアウォール装置 5 0 1は、以上の処理により，ユーザ端末側おょぴ外部ネットワーク側の両方向から送信されるバケツトに対するフィルタリング処理を行い、パケットを転送する。

次に、ユーザ（ 5 1 5— 1 ) からの切断シーケンスについて説明する。

切断時には、ユーザ（5 1 5— 1 ) からユーザ端末（ 5 0 2— 1 ) を介して、切断要求がファイアウォール装置 5 0 1へ通知される（図 40の 1 1— 2 8、 1 1— 2 9) 。

ファイアウォール装置 5 0 1は、切断要求を受信すると、受信した回線を調べ、接続開始シーケンス時に、結びつけたユーザ端末情報（ I P_1 ) を導き出す。

このユーザ端末情報を元に、振分け管理テーブル 5 0 7のユーザ端末情報（ I P_l ) と関連するェントリから個別フィルタリングテーブル I D (個別 5 1 0— 1 ) を抽出後、このエントリを削除する（図 40の 1 1一 3 0) 。

ファイアウォール部 50 8の個別フィルタリングテーブル領域 5 1 0の中で、抽出した個別フィルタリングテーブル I D (個別 5 1 0 - 1 ) が記された識別情報とそれに関連するセキュリティポリシ領域を削除する（図 40の 1 1— 3 1 ) 。

また、導き出したユーザ端末情報（ I P— 1 ) を認証サーバ 5 0 6に送信し（図 40の 1 1一 3 2) 、認証サーバ 5 0 6は、受信したユーザ端末情報が関連するユーザ端末情報部 5 1 4のブールテーブルのエントリの使用中フラグを「 0」に戻す（図 40の

1 1 - 3 3) 。

このように、接続シーケンスで変更した各種テーブル内容を接続前の状態に戻し、切断シーケンスが終了する。

続いて、ユーザ（5 1 5— 2) の接続開始シーケンス、通信シーケンス、切断シーケンスともユーザ（ 5 1 5— 1 ) と同様の手段をとり、実施される（図 4 1の 1 1 _ 3 4〜 1 1一 6 6) 。

ユーザ（ 5 1 5— 2) のシーケンスの特徴としては、ユーザ ( 5 1 5 - 1 ) の切断シーケンスにより、ユーザ（5 1 5— 1 ) に関する情報は、ファイアウォール装置 5 0 1の振分け管理テーブル 5 0 7、個別フィルタリングテーブル領域 5 1 0にないため、同じ領域にユーザ（5 1 5— 2) に関する情報を書込むことができ、また、ユーザ端末（5 1 5— 1 ) が使用したユーザ端末情報 ( I P— 1 ) も使用可能であり、ユーザ端末情報が、ユーザ（ 5 1 5 - 1 ) と同じユーザ端末情報（ I P— 1 ) であっても、ユーザ（ 5 1 5— 2) 用のセキュリティポリシでフィルタリングすることができる点である。

これにより、本発明が解決しょうとする課題の内、個別フィルタリングテープル領域 5 1 0、共通フィルタリングテーブル 5 0 9を用い、個別ブイルタリングテーブル領域 5 1 0に書込むセキユリティポリシのみロードすることで、口一ド負荷を軽減することが可能となる。

また、ユーザ端末が接続中のみ、個別フィルタリングテーブル領域 5 1 0と振分け管理テーブル 5 0 7の領域を使用し、切断中は、この領域を使用しないことで、ファイアウォール装置 50 1 の個別ブイルタリングテーブル領域 5 1 0と振分け管理テーブル 5 0 7の内容を、同時に接続するユーザ端末数分だけ保持すれば良いので、保持するセキュリティポリシの容量を少なくすることが可能となる。

また、接続毎に付与されるユーザ端末情報とセキュリティポリシを関連付けることで、過去の別ユーザ端末のユーザ端末情報と重複しても、使用ユーザに対応したフィルタリングを実施することが可能となる。

[実施例 3— 2 ]

図 4 2は、本発明の実施例 3— 2のフアイァウォール装置の概略構成と、本発明の実施例 3— 2のファイアゥォール装置が使用されるネットワークモデルを示すブロック図である。

図 4 2に示すネットワークモデルでは、図 3 4に示すネットヮークモデルに、ファイアウォール装置 1 2 0 1 と、このファイアウォール装置 1 2 0 1に接続するユーザ端末 1 2 0 2が新たに追加される。

また、このファイアウォール装置 1 2 0 1に、ユーザ（5 1 5 - 1 ) が接続可能であり、さらに、ファイアウォール装置 1 2 0 1は、外部ネットワーク 5 0 3と、セキュリティポリシサーバ 5 0 4と、識別子管理サーバ 5 0 5と、認証サーバ 5 0 6 とに接続される。

ファイアウォール装置 1 2 0 1は、受信バケツトに付属しているユーザ端末情報と受信バケツトをフィルタリングするテーブルを指し示す識別子を結びつける情報を保持する振分け管理テープル 1 2 0 7を有し、実際のフィルタリングを行うファイアウォール部 1 2 0 8を有している。

さらに、ファイアゥオール部 1 2 0 8は、ユーザ（5 1 5— 1 ) を含めた複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブル 1 2 0 9と、ユーザ（5 1 5— 1 ) の個別セキュリティポリシを保持するための領域である個別フィルタリングテーブル領域 1 2 1 0を有している。この個別フィルタリングテーブル領域 1 2 1 0は、識別情報を書き込む領域とセキュリティポリシを書込む領域に分かれている図 4 3は、図 4 2のネットワークモデルの動作を示すシーケンスの一例を示す図であり、図 4 0で示すシーケンスの後、ユーザ ( 5 1 5 - 1 ) 力 S、ファイアウォール装置 1 2 0 1に接続するュ一ザ端末 1 2 0 2から再度外部ネットワーク 5 0 3へ接続し、通信を行い、切断するシーケンスを示したものである。

図 4 3の 1 2— 1〜 1 2— 3 3に示す、ユーザ（5 1 5— 1 ) 力 S、ユーザ端末 1 ₂ 0 2へ移動し、再接続を行う接続シーケンス. 通信を行うシーケンス、および切断をシーケンスは、図 4 0に示すファイアウォール装置 5 0 1で行うシーケンスと同様であるので、再度の説明は省略する。

また、ファイアウォール装置 1 2 0 1に、セキュリティポリシサーバ 5 0 4から送信される、ユーザ（5 1 5 — 1 ) 用の個別セキユリティポリシも、識別子管理サーバ 5 0 5から送信される各種識別子も、図 4 0において、ファイアウォール装置 5 0 1に送信される情報と同じである。

これにより、本実施例では、ユーザが、収容されるファイアゥオール装置を変更しても、このユーザに対応したセキュリティポリシを適用することが可能となる。

[実施例 3 — 3 ]

図 4 4は、本発明の実施例 3— 3のファイアウォール装置の概略構成と、本発明の実施例 3— 3のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

本実施例は、識別子管理サーバ 5 0 5に保持される、ユーザ名と各種識別子を対応付ける識別子管理テーブル 5 1 2を、フアイァウォール装置 5 0 1の内部に保持する点で、前述の実施例 3 — 1 と相異する。

図 4 5は、図 4 4のネットワークモデルの動作を示すシーケンスの一例を示す図であり、識別子管理サーバ 5 0 5との通信部分が削除され、新たに、ファイアウォール装置 5 0 1の内部に保持される識別子管理テーブル 5 1 2とのシーケンスが付加されている点で、図 40に示すシーケンスと相異する。

図 40のシーケンスからの変更部分のシーケンスは、図 4 5の 1 1 - 8において、認証サーバ 5 0 6から受信したユーザ情報を保持し、ユーザ端末（ 5 0 2— 1 ) の接続回線とこのユーザ情報を結びつけた後、図 4 5の 1 1— 3で保持したユーザ名を検索キ一とし、識別子管理テーブル 5 1 2を検索し、共通フィルタリングテーブル I D、個別フィルタリングテーブル I Dを抽出（図 4 5の 1 5— 9 , 1 5— 1 0， 1 5— 1 1 ) する点である。

本実施例では、ファイアウォール装置 5 0 1が、収容する可能性のある全ユーザの各種識別子を含む識別子管理テーブル 5 1 2 を保持しなければ成らなくなるため、ファイアウォール装置 5 0 1のメモリ容量が余分に必要になるか、または、収容可能なユーザ数が減少するが、識別子管理サーバと通信を行うこと無く、動作が可能となる。

[実施例 3— 4]

図 4 6は、本発明の実施例 3— 4のファイアウォール装置の概略構成と、本発明の実施例 3— 4のファイアウォール装置が使用されるネットワークモデルを示すプロック図である。

本実施例は、セキュリティポリシサーバ 5 04に保持される、ユーザ名と個別セキュリティポリシを対応付けるセキュリティポリシテーブル 5 1 1を、フアイァウォール装置 5 0 1の内部に保持する点で、前述の実施例 3— 1 と相異する。

図 4 7は、図 4 6のネットワークモデルの動作を示すシーケンスの一例を示す図であり、セキュリティポリシサーバ 5 04との通信部分が削除され、新たに、ファイアウォール装置 5 0 1の内部に保持されるセキュリティポリシテーブル 5 1 1 とのシーケンスが付加されている点で、図 40に示すシーケンスと相異する。図 40のシーケンスからの変更部分のシーケンスは、図 4 7の 1 1 - 1 2で振分け管理テーブル 5 0 7に各種識別子を書き込んだ後に、図 4 7の 1 1— 3で保持したユーザ名を検索キーとし、セキュリティポリシテーブル 5 1 1を検索し、ユーザ名に対応したセキュリティポリシを抽出（図 4 7の 1 7— 1 3， 1 7 - 1 4, 1 7 - 1 5) する点である。

本実施例では、ファイアウォール装置 5 0 1が、収容する可能性のある全ユーザの個別セキュリティポリシを含むセキュリティポリシテーブル 5 1 1を保持しなければ成らなくなるため、ファィァウォール装置 50 1のメモリ容量が余分に必要になる力、または、収容可能なユーザ数が減少するが、セキュリティポリシサーパと通信を行うこと無く、動作が可能となる。

[実施例 3— 5]

図 4 8は、本発明の実施例 3— 5のファイアウォール装置の概略構成と、本発明の実施例 3― 5のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

本実施例は、セキユリティポリシサーバ 5 04に保持される、ユーザ名と個別セキュリティポリシを対応付けるセキュリティポリシテーブル 5 1 1 と、識別子管理サーバ 50 5に保持される、ユーザ名と各種識別子を対応付ける識別子管理テーブル 5 1 2とを、ファイアウォール装置 5 0 1の内部に保持する点で、前述の実施例 3— 1 と相異する。

図 4 9は、図 48のネットワークモデルの動作を示すシーケンスの一例を示す図であり、セキュリティポリシサーバ 5 04との通信部分と識別子管理サーバ 5 0 5との通信部分が削除され、新たに、ファイアウォール装置 5 0 1の内部に保持されるセキュリティポリシテーブル 5 1 1 と、識別子管理テーブル 5 1 2のシーケンスが付加された点で、図 40に示すシーケンスと相異する。図 4 0のシーケンスからの変更部分のシーケンスは、図 4 9の 1 1— 8において、認証サーバ 5 0 6から受信したユーザ情報を保持し、ユーザ端末（5 0 2— 1 ) の接続回線とこのユーザ情報を結びつけた後、図 4 9の 1 1— 3で保持したユーザ名を検索キ一とし、識別子管理テーブル 5 1 2を検索し、共通フィルタリングテーブル I D、個別フィルタリングテーブル I Dを抽出（図 4 9の 1 9一 9， 1 9— 1 0， 1 9— 1 1 ) する点と、図 4 9の 1 1 - 1 2で振分け管理テーブル 5 0 7に各種識別子を書き込んだ後に、図 4 9の 1 1一 3で保持したユーザ名を検索キーとし、セキユリティポリシテーブル 5 1 1を検索し、ユーザ名に対応したセキュリティポリシを抽出（図 4 9の 1 9一 1 3， 1 9 - 1 4 , 1 9 - 1 5 ) する点である。

本実施例では、ファイアウォール装置 5 0 1が、収容する可能性のある全ユーザの個別セキュリティポリシを含むセキュリティポリシテーブル 5 1 1を保持しなければ成らなくなるため、ファィァウォール装置 5 0 1のメモリ容量が余分に必要になる力、または、収容可能なユーザ数が減少し、および、収容する可能性のある全ユーザの各種識別子を含む識別子管理テーブル 5 1 2を保持しなければ成らなくなるため、ファイアゥオール装置 5 0 1のメモリ容量がさらに余分に必要になるか、または、収容可能なュ一ザ数がさらに減少するが、セキュリティポリシサーバ、識別子管理サーバと通信を行うこと無く、動作が可能となる。

[実施例 3— 6]

図 5 0は、本発明の実施例 3— 6のファイアウォール装置の概略構成と、本発明の実施例 3— 6のファイアウォール装置が使用されるネットワークモデルを示すブロック図である。

ファイアウォール装置 2 0 0 1は、契約ネットワーク 1 (例えば、 I S P ； Internet Service Provider) ( 2 0 1 6— 1 ) を介して外部ネットワーク 2 0 0 3に接続し、認証によりこの接続を開始するユーザ（2 0 1 5— 1) が使用するユーザ端末（ 20 0 2 - 1 ) と、契約ネットワーク 2 (20 1 6 - 2) を介して外部ネットワーク 20 0 3に接続し、認証によりこの接続を開始するユーザ（2 0 1 5— 2) が使用するユーザ端末（20 0 2— 2) を収容する。

また、ファイアウォール装置 20 0 1は、ユーザ固有のセキュリティポリシを保持するセキュリティポリシテーブル 2 0 1 1を有するセキュリティポリシサーバ 2 004、および、ファイアゥオール装置 2 0 0 1へ配布する識別子を保持する識別子管理テープル 20 1 2を有する識別子管理サーバ 2 0 0 5とも接続されている。

さらに、ファイアウォール装置 2 0 0 1は、ユーザの認証情報 (20 1 3 - 1 ) と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持しているユーザ端末情報部 (20 1 4 - 1 ) を有し、契約ネットワーク 1を介して外部ネットワークに接続するユーザを認証する認証サーバ 1 ( 20 0 6— 1 ) とも接続されている。

さらに、ファイアウォール装置 2 00 1は、ユーザの認証情報 (20 1 3 - 2) と、認証時にユーザ端末に付与するユーザ端末情報から成るプールテーブルを保持しているユーザ端末情報部

(20 1 4 - 2) を有し、契約ネットワーク 2を介して外部ネットワークに接続するユーザを認証する認証サーバ 2 ( 20 0 6 - 2 ) とも接続されている。

また、フアイァウォール装置 20 0 1は、受信パケットに付属しているユーザ端末情報と受信バケツトをフィルタリングする仮想ファイアウォール（ 20 1 4— 1， 20 1 4 - 2) と、フィルタリングテーブルを指し示す識別子を結びつける振分け管理テーブル 20 0 7を有している。

さらに、ファイアウォール装置 2 00 1は、実際のフィルタリングを行うファイアウォール部 2 0 0 8を有し、このファイアゥオール部 20 0 8は、契約ネットワーク 1 (2 0 1 6— 1 ) を介して外部ネットワーク 200 3と接続すユーザ端末に関係するバケツトのフィルタリングを行う仮想ファイアウォール 1 ( 20 1 4 - 1 ) と、契約ネットワーク 2 ( 2 0 1 6 - 2) を介して外部ネットワーク 200 3と接続するユーザ端末に関係するバケツトのフィルタリングを行う仮想ファイアウォール 2 (2 0 1 4 - 2 ) を有している。

仮想ファイアゥオール 1 ( 2 0 1 4— 1 ) は、仮想フアイァゥオール 1 ( 20 1 4— 1 ) により、フィルタリングを行う複数のユーザに共通するセキュリティポリシが保持される共通フィルタリングテーブル（ 20 0 9— 1 ) と、個別ユーザ毎のセキユリティポリシを保持する領域である個別フィルタリングテーブル領域 ( 20 1 0 - 1 ) を有している。

また、個別フィルタリングテーブル領域（ 2 0 1 0 _ 1 ) は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキュリティポリシを書き込む領域に分かれている。仮想ファイアウォール 1 ( 2 0 1 4— 1 ) と同様に、仮想ファィァウォール 2 ( 20 1 4 - 2) も、共通フィルタリングテープ' ル（ 20 0 9— 2 ) と、個別フィルタリングテープル領域（ 20 1 0 - 2) とを有し、個別フィルタリングテーブル領域（20 1 0 - 2) は、識別情報を書き込む領域と、この識別情報を書き込む領域と結び付けられたセキュリティポリシを書き込む領域に分かれている。

図 5 1は、図 5 0に示す認証サーバ 1内の認証情報（ 20 1 3 - 1 ) の詳細を示す図であり、図 5 2は、図 5 0に示す認証サーバ 1内のユーザ端末情報部（ 2 0 1 4— 1 ) に保持されるプールテーブルの詳細を示す図である。

同様に、図 5 3は、図 5 0に示す認証サーバ 2内の認証情報 ( 2 0 1 3 - 2 ) の詳細を示す図であり、図 5 4は、図 5 0に示す認証サーバ 2内のユーザ端末情報部（2 0 1 4— 2 ) に保持されるプールテーブルの詳細を示す図である。

図 5 5は、ユーザ（2 0 1 5— 1 ) 力 S、ユーザ端末（ 2 0 0 2 — 1 ) を介してファイアウォール装置 2 0 0 1に送信するユーザ名を示す図であり、図 5 6は、ユーザ（2 0 1 5 — 2 ) が、ユーザ端末（ 2 0 0 2— 2 ) を介してファィァウォール装置 2 0 0 1 に送信するユーザ名を示す図である。

図 5 7は、図 5 0に示す識別子管理サーバ内の識別子管理テーブル 2 0 1 2の詳細を示す図であり、図 5 8は、図 5 0に示すセキユリティポリシサーバ内のセキュリティポリシテーブル 2 0 1 1の詳細を示す図である。

図 5 9、図 6 0は、図 5 0のネットワークモデルの動作を示すシーケンスの一例を示す図であり、ユーザ ( 2 0 1 5 - 1 ) が、契約ネットワーク 1 ( 2 0 1 6 — 1 ) を介して、外部ネットヮ一ク 2 0 0 3へ接続後、切断するシーケンスと、ユーザ ( 2 0 1 5 一 2 ) が、契約ネットワーク 2 ( 2 0 1 6 - 2 ) を介して外部ネットワーク 2 0 0 3へ接続後、切断するシーケンスを示すものである。

始めに、ユーザ（20 1 5— 1 ) の接続開始シーケンスについて説明する。

まず、ユーザ（2 0 1 5— 1 ) は、ユーザ端末（ 2 0 0 2— 1 ) を介して、ファイアウォール装置 2 0 0 1に、ユーザ名（ユーザ 2 0 1 5 — 1— 2 0 1 6— 1 ) とパスヮード（ α ) を送信する (図 5 9の 2 1 — 1， 2 1 - 2 ) 。

このユーザ名（ユーザ 2 0 1 5— 1一 2 0 1 6 — 1 ) とパスヮード（α ) を受信したファイアウォール装置 2 0 0 1は、ユーザ名の前半部（ユーザ 2 0 1 5 — 1 ) を保持（図 5 9の 2 1 — 3 ) するとともに、ユーザ名の後半部（2 0 1 6 — 1 ) から、認証サーバ 1 ( 20 0 6— 1 ) へ認証情報を送信することを決定し、ュ一ザ名の前半部（ユーザ 20 1 5 - 1 ) とパスヮード（ο を送信する（図 5 9の 2 1— 4) 。

認証サーバ 1 ( 20 03— 1 ) では、受信したユーザの前半部 (ユーザ 2 0 1 5 - 1 ) とパスワード（《) から認証情報（20 1 3 - 1 ) を検索し、認証可能と判定する（図 5 9の 2 1— 5 ) , また、ユーザ端末情報部（2 0 1 4— 1 ) のプールテーブルから使用中フラグが「0」である使用可能なユーザ端末情報（ I P —1 ) を抽出し（図 5 9の 2 1— 6) 、抽出した使用可能フラグを「 1」にし、認証了承通知とともに、このユーザ端末情報（ I P— 1 ) をファイアウォール装置 2 0 0 1へ通知する（図 5 9の 2 1 - 7) 。

ファイアウォール装置 20 0 1は、受信したユーザ端末情報（ I P— 1 ) を保持し（図 5 9の 2 1— 8) 、このユーザ端末情報 ( I P— 1 ) と、ユーザ端末（ 20 0 2— 1 ) が接続する回線を結びつけるとともに、保持したユーザ名の前半部（ユーザ 20 1 5— 1 ) を識別子管理サーバ 20 0 5に送信する（図 5 9の 2 1 一 9) 。

識別子管理サーバ 2 00 5は、受信したユーザ名の前半部（ュ一ザ 2 0 1 5— 1 ) を元に識別子管理テーブル 2 0 1 2を検索し. ユーザ名の前半部（ユーザ 20 1 5— 1 ) に結ぴつられた仮想フアイァウォール I D (仮想 2 0 1 4 - 1 ) と、共通フィルタリングテーブル I D (共通 200 9— 1 ) と、個別フィルタリングテ一ブル I D (個別 20 1 0— 1 ) を抽出し（図 5 9の 2 1— 1 0 ) 、ファイアウォール装置 2 00 1へこの識別子を送信する (図 5 9の 2 1— 1 1 ) 。

ファイアウォール装置 200 1は、受信した個別フィルタリングテーブル I D (個別 20 1 0— 1 ) を保持すると伴に、受信した仮想ファイアウォール I D (仮想 20 1 4— 1 ) と、共通フィルタリングテーブル I D (共通 200 9— 1 ) と、個別フィルタリングテーブル I D (個別 2 0 1 0— 1 ) と、保持しているユーザ端末情報（ I P_l ) を、振分け管理テーブル 20 0 7に書き込む（図 5 9の 2 1— 1 2) 。

また、保持しているユーザ名の前半部（ユーザ 2 0 1 5 - 1 ) をセキュリティポリシサーバ 2004へ送信する（図 5 9の 2 1 — 1 3) 。

セキュリティポリシサーバ 20 04は、受信したユーザ名の前半部（ユーザ 20 1 5— 1 ) を元に、保持するセキュリティポリシテーブル 20 1 1を検索し、ユーザ名の前半部（ユーザ 20 1 5 - 1 ) と結び付けられた個別セキュリティポリシ (ルール 1一 1〜ルール 1一 m) を抽出し（図 5 9の 2 1— 1 4) 、ファイアウォール装置 2 0 0 1へ送信する（図 5 9の 2 1— 1 5) 。

ファイアウォール装置 20 0 1は、保持している個別フィルタリングテーブル I D (個別 2 0 1 0— 1 ) を個別フィルタリングテーブル領域（ 2 0 1 0— 1 ) の識別情報領域に書込むとともに. 受信した個別セキュリティポリシをセキュリティポリシ領域へ書き込む（図 5 9の 2 1— 1 6 ) 。

この一連の処理を実施後、保持しているユーザ端末情報 ·（ I P —1 ) を含む認証成功通知をユーザ端末（ 200 2— 1 ) へ通知する（図 5 9の 2 1— 1 7) 。

以上で接続開始シーケンスが終了し、これにより、ユーザ（2 0 1 5 - 1 ) は、ユーザ端末（ 200 2— 1 ) を介して外部ネットワーク 20 0 3と接続可能になる。

次に、ユーザ端末（ 200 2— 1 ) と外部ネットワーク 20 0 3との通信シーケンスについて説明する。

ユーザ端末 ( 20 0 2— 1 ) から外部ネットワーク 20 0 3へパケットを転送する場合、ユーザ端末（20 0 2— 1 ) は接続開始シーケンスの最後に受けたユーザ端末情報（ I P 1 ) を自身のアドレスとして、バケツトに付与してファイアウォール装置 2 0 0 1へ転送する（図 5 9の 2 1— 1 8) 。

ファイアウォール装置 20 0 1は、受信したバケツトからユーザ端末情報（ I P— 1 ) を抽出し、このユーザ端末情報（ I P— 1 ) をキーに、振分け管理テーブル 200 7を検索し、仮想ファィァウォール I D (仮想 20 1 4— 1 ) と、共通フィルタリングテーブル I D (共通 20 0 9— 1 ) と、個別フィルタリングテ一ブル I D (個別 20 1 0— 1 ) を抽出する（図 5 9の 2 1— 1 9 次に、受信したパケットを、抽出した仮想ファイアウォール I D (仮想 20 1 4— 1 ) で示される仮想ファイアウォール 1 ( 2 0 1 4 - 1 ) へ振分けるとともに、抽出した仮想ファイアウォール（仮想 20 1 4— 1 ) で示される仮想フアイァウォールのフィルタリングテーブルの内、抽出した共通フィルタリングテーブル I D (共通 20 0 9— 1 ) と、個別フィルタリングテーブル I D (個別 20 1 0— 1 ) で示されるフィルタリングテーブルを用いパケットをフィルタリング（図 5 9の 2 1— 20， 2 1 - 2 1 ) した後、契約ネットワーク 1 (20 1 6— 1 ) を介して、外部ネットワーク 20 0 3へ転送する（図 5 9の 2 1— 2 2) 。

また、外部ネットワーク 2 00 3から契約ネットワーク 1 ( 2 0 1 6 - 1 ) を介して、ユーザ端末（ 20 0 2— 1 ) 宛のバケツトを受信し（図 5 9の 2 1— 2 3) 、ユーザ端末（ 2 0 0 2— 1 ) へ転送する場合、外部ネットワーク 20 0 3からのパケットには、宛先ァドレスとしてユーザ端末情報（ I P— 1 ) が付与されており、ファイアウォール装置 20 0 1は、受信したバケツトカらこのユーザ端末情報（ I P— 1 ) を抽出し（図 5 9の 2 1— 2 4) 、前述したユーザ端末（ 2 0 0 2— 1 ) から外部ネットヮ一ク 20 0 3へのパケットと同様のシーケンスにより、パケットをフィルタリング（図 5 9の 2 1— 2 5， 2 1— 2 6) した後、ュ一ザ端末. ( 2 0 0 2 - 1 ) へバケツトを転送する（図 5 9の 2 1

— 2 7) 。

本実施例のファイアウォール装置 20 0 1は、以上の処理により、ユーザ端末側および外部ネットワーク側の両方向から送信されるパケットに対するフィルタリング処理を行い、パケットを転送する。

次に、ユーザ（20 1 5— 1 ) からの切断シーケンスについて説明する。

切断時には、ユーザ（20 1 5— 1 ) からユーザ端末（ 2 0 0 2— 1 ) を介して、切断要求がファイアウォール装置 2 0 0 1へ通知される（図 5 9の 2 1— 2 8， 2 1— 2 9) 。

ファイアウォール装置 20 0 1は、切断要求を受信すると、受信した回線を調べ、接続開始シーケンス時に、結びつけたユーザ端末情報（ I P— 1 ) を導き出す。

このユーザ端末情報（ I P— 1 ) を元に、振分け管理テーブル 2 00 7のユーザ端末情報（ I P— 1 ) と関連するェントリから仮想ファイアウォール I D (仮想 2 0 1 4— 1 ) と個別フィルタリングテーブル I D (個別 2 0 1 0— 1 ) を抽出後、このェントリを削除する（図 5 9の 2 1— 3 0) 。

次に、抽出した仮想ファイアウォール I D (仮想 2 0 1 4— 1 ) で示される仮想ファイアウォール 1 (20 1 4— 1 ) の個別フィルタリングテープル領域（ 20 1 0— 1 ) の中で、抽出した個別フィルタリングテーブル I D (個別 20 1 0— 1 ) が記された識別情報とそれに関連するセキュリティポリシ領域を削除する (図 5 9の 2 1— 3 1 ) 。

また、切断要求を受信して導き出したユーザ端末情報（ I P— 1 ) を認証サーバ 1 ( 20 0 6— 1 ) に送信する（図 5 9の 2 1

— 3 2) 。

認証サーバ 1 ( 20 0 6— 1 ) は、受信したユーザ端末情報（ I P— 1 ) が関連するユーザ端末情報部（ 2 0 1 4— 1 ) のブールテーブルのェントリの使用中フラグを「 0」に戻す（図 5 9の 2 1 - 3 3) 。

また、ユーザ（2 0 1 5— 2) の接続開始シーケンス、通信シーケンス、切断シーケンスも、ユーザ（ 2 0 1 5— 1 ) と同様の手段をとり、実施される（図 6 0の 2 1— 3 4〜 2 1— 6 6 ) 。

このように、本実施例では、ファイアウォール装置 2 0 0 1を複数のファイアウォールとして動作させ、ファイアウォール毎に. 個別認証サーバ（2 0 0 6— 1， 2 0 0 6 - 2 ) でユーザを認証し、フアイァウォール毎に、契約ネットワーク（2 0 1 6— 1， 2 0 1 6 - 2) を介して外部ネットワーク 2 0 0 3に接続でき、且つ、ユーザ毎にセキュリティポリシをロードすることが可能となる。

なお'、前述の説明では、セキュリティポリシサーバ（ 5 0 4， 2 0 0 4 ) 、および、識別子管理サーバ（ 5 0 5， 2 0 0 5 ) 力 S 一台の場合について説明したが、本実施例の各ファイアウォール装置を、同じセキュリティポリシテーブルを有する 2台のセキュリティポリシサーバ、あるいは、同じ識別子管理テーブルを有する 2台のセキュリティポリシサーバと接続可能としてもよい。

(実施例 3— 1〜 3— 6の効果）

実施例 3— 1〜 3— 6のファイアウォール装置によれば、収容するネットワークまたは端末が、動的に接続、切断を行い、あるいは、収容されるファイアウォール装置を変更する場合に、保持するセキュリティポリシ容量を最適に保つことが可能になり、フアイァウォール装置にロードするセキュリティポリシ量を軽減することが可能となる。

なお、これまでに説明した各実施例におけるファイアウォール装置は、例えば、通信装置を備えたコンピュータシステムに、各実施例において説明した処理を実行するプログラムを搭載することにより実現できる。当該コンピュータシステムは、例えば、図 6 1に示すように、 C PU 6 0 0、メモリ 6 0 1、ノヽードディスク 6 0 1、入出力装置 6 0 3、通信装置 6 0 4を備えている。各実施例の処理において保持されるデータは、例えばメモリ 6 0 1 に保持される。また、他のサーバとの通信手段として通信装置 6 0 4が用いられる。なお、ルータなども上記のコンピュータシステムに含まれるものである。

なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更 ·応用が可能である。

Claims

請求の範囲

1 . 複数の仮想ファイアウォールを有し、各仮想ファイアゥォールはそれぞれ独立したフィルタリングポリシを有するファイアウォール装置であって、

認証情報を認証サーバに通知する手段と、

前記ユーザ I Dを前記ユーザ名と対応付けて前記振分け管理テ一ブルに登録することを特徴とするファイアウォール装置。

2 . 前記ファイアウォール装置は、

前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるバケツトに対し、その送信元ユーザ

I Dを検索キーとして前記振分け管理テーブルを参照し、該送信元ユーザ I Dと対応付けられている仮想ファイアウォール I Dを検索し、該バケツトを該仮想ファイアウォール I Dを有する仮想ファイアウォールに振り分け、

前記ユーザ端末の通信相手端末から送信されるバケツトに対しその宛先ユーザ I Dを検索キーとして前記振分け管理テーブルを参照し、該宛先ユーザ I Dと対応付けられている仮想ファイアゥオール I Dを検索し、該パケットを該仮想ファイアウォール I D を有する仮想ファイアウォールに振り分ける

請求項 1に記載のファイアウォール装置。

3 . 前記認証サーバは、ネットワーク接続要求をするユーザの認証を行い、

前記ユーザ端末に付与すべきユーザ I Dは前記ユーザ端末に通 5 知され、

前記ユーザ端末は、前記ユーザ I Dの通知によってはじめてュ一ザ I Dが付与される請求項 1に記載のファイアウォール装置。

4 . 前記認証サーバからの認証応答が認証エラーのとき、前記0 振分け管理テーブルに前記ユーザ I Dを登録せず、前記ユーザ端末に認証エラーを通知する請求項 1に記載のファイアウォール装

5 . 前記ユーザ端末からのネットワーク接続のための認証情報5 に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記認証サーバからの認証応答に記載されるュ一ザ I Dを前記振分け管理テーブルに登録せず、

前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ I Dに対応する前記ユーザ端末から送信されるバケツトひを未登録ユーザ用の仮想ファイアウォールに振り分け、

前記ユーザ I Dに対応する前記ユーザ端末の通信相手端末から送信されるバケツトを未登録ユーザ用の仮想ファイアウォールに振り分ける請求項 1に記載のフアイァゥォール装置。 5

6 . 前記ユーザ端末からのネットワーク接続のための認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記認証サーバからの認証応答に記載されるュ一ザ I Dおよぴ未登録ユーザ用の仮想ファイアウォール I Dを前記振分け管理テーブルに登録する請求項 1に記載のファイアゥォール装置。

7 . 前記ユーザ端末からのネットワーク接続のための認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合、前記ユーザ端末に認証エラーを通知する請求項 1に記載のファイアウォール装置。

8 . 前記認証サーバは R a d i u sサーバであり、前記ユーザ I Dはユーザ I Pァドレスであり、前記ネットワークはインターネットであり、前記ユーザ端末からネットワーク接続は P P P

( Point to Po int Protocol) を用レヽる ft ：¾ 1なレヽし 7のうちいずれか 1項に記載のファイアウォール装置。

9 . ユーザ名と、ユーザ I Dと、フィルタリング I Dとを対応付けて管理する振分け管理テーブルと、

前記フィルタリング I Dによって特定され、それぞれ独立したフィルタリングポリシを有するフィルタリングテーブルと、ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、

前記認証情報を認証サーバに通知する手段と、

前記認証サーバから認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザ I Dを保持する手段とを備え、

前記ユーザ I Dを前記ユーザ名と対応付けて前記振分け管理テ一プルに登録することを特徴とするファイアウォール装置。

1 0 . 前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるパケットに対して、その送信元ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し. 当該送信元ユーザ I Dと対応付けられるフィルタリング I Dを抽出し、前記ユーザ端末から送信されるパケットに対して、前記抽出したフィルタリング I Dを付与し、

前記ユーザ端末の通信相手端末から送信されるパケットに対しては、その宛先ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザ I Dと対応付けられるフィルタリング I Dを抽出し、前記ユーザ端末の通信相手端末から送信されるバケツトに対して、前記抽出したフィルタリング I Dを付与し. フィルタリング I Dが付与されたバケツトを、前記付与されたフィルタリング I Dによって特定されるフィルタリングテーブルに記載されたフィルタリングポリシに従い、通過あるいは廃棄する請求項 9に記載のファイアウォール装置。

1 1 . ユーザ名と、ユーザ I Dと、個別フィルタリング I Dと共通フィルタリング I Dとを対応付けて管理する振分け管理テーブルと、

前記個別フィルタリング I Dと対応付けられた個別フィルタリングテープノレと、

前記共通フィルタリング I Dと対応付けられた共通フィルタリングテープノレと、

ネットワーク接続開始時に、ユーザ端末から発行される、ユーザ名が記載された認証情報を受信し、当該ユーザ名を保持する手段と、

前記認証情報を認証サーバに通知する手段と、

1 2 . 前記ファイアウォール装置は、

前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるバケツトに対して、その送信元ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、当該送信元ユーザ I Dと対応付けられる個別フィルタリング I Dおよぴ共通フィルタリング I Dを抽出し、前記ユーザ端末から送信されるバケツトに対して、前記抽出した個別フィルタリング I Dおょぴ共通ブイルタリング I Dを付与し、

前記ユーザ端末の通信相手端末から送信されるバケツトに対しては、その宛先ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザ I Dと対応付けられる個別フィルタリング I Dおよび共通フィルタリング I Dを抽出し、前記ユーザ端末の通信相手端末から送信されるバケツトに対して、前記抽出した個別フィルタリング I Dおよび共通フィルタリング I Dを付与し、

個別フィルタリング I Dおよび共通フィルタリング I Dが付与されたバケツトを、前記付与された個別フィルタリング I Dによつて特定される個別フィルタリングテーブルに記載のフィルタリングポリシ、および、前記付与された共通フィルタリング I Dによって特定される共通フィルタリングテーブルに記載のフィルタリングポリシに従い、通過あるいは廃棄する請求項 1 1に記載のファイアウォール装置。

1 3 . 前記ファイアウォール装置は、

ネットワーク接続開始時に、ユーザ端末から発行される認証情報に含まれているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバからの認証応答に記載されるュ一ザ I Dを前記振分け管理テーブルに登録せず、

前記ユーザ I Dに対応する前記ユーザ端末から送信されるパケットまたは当該ユーザ端末の通信相手端末から送信されるバケツトを、未登録ユーザ用のフィルタリングポリシに従い処理する請求項 9に記載のファイアウォール装置。

1 4 . 前記ファイアウォール装置は、

ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバから認証応答に記載されているユーザ I Dと、未登録ユーザ用のフィルタリング I Dを前記振分け管理テーブルに登録する請求項 9に記載のファィァゥオール装置。

1 5 . ユーザ名と、ユーザ I Dと、仮想ファイアウォール I D と、フィルタリング I Dとを対応付けて管理する振分け管理テーブルと、

前記仮想ファイアウォール I Dによって特定され、前記フィルタリング I Dによって特定される少なくとも 1つのフィルタリングテーブルを有する複数の仮想ファイアウォールと、

前記認証情報を認証サーバに通知する手段と、

前記認証サーバから、認証応答を受信し、その認証応答に記載されている前記ユーザ端末に付与すべきユーザ I Dを保持する手段とを備え、

前記ユーザ I Dを前記ユーザ名に対応付けて前記振分け管理テ一プルに登録することを特徴とするフィルタリング装置。

1 6 . 前記フィルタリング装置は、

前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるバケツトに対して、その送信元ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、該送信元ユーザ I Dと対応付けられる仮想ファイアウォール I Dおよぴフィルタリング I Dを抽出し、前記ユーザ端末から送信されるバケツトを、前記抽出した仮想ファイアウォール I Dで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末から送信されるパケットに対して、前記抽出したフィルタリング I Dを付与し、

前記ユーザ端末の通信相手端末から送信されるバケツトに対しては、その宛先ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、該宛先ユーザ I Dと対応付けられる仮想ファイアウォール I Dおよびフィルタリング I Dを抽出し、前記ユーザ端末の通信相手端末から送信されるバケツトを、前記抽出した仮想ファイアウォール I Dで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末の通信相手端末から送信されるバケツトに対して、前記抽出したフィルタリング I Dを付与し、フィルタリング I Dが付与されたバケツトを、前記振り分けられた仮想ファイアウォール内において、前記付与されたフィルタリング I Dによって特定されるフィルタリングテーブルに記載されたフィルタリングポリシに従い、通過あるいは廃棄する請求項 1 5に記載のファイアウォール装置。

1 7 . ユーザ名と、ユーザ I Dと、仮想ファイアウォール I D と、個別フィルタリング I Dと、共通フィルタリング I Dとを対応付けて管理する振分け管理テーブルと、

前記個別フィルタリング I Dに対応する個別フィルタリングテ一ブルと、前記共通フィルタリング I Dに対応する共通フィルタリングテーブルとを有する仮想ファイアウォールと、

前記認証情報を認証サーバに通知する手段と、

前記ユーザ I Dを前記ユーザ名に対応付けて前記振分け管理テ一ブルに登録することを特徴とするファイアウォール装置。

1 8 . 前記ファイアウォール装置は、

前記ユーザ端末とネットワークとの接続が確立された後に、前記ユーザ端末から送信されるバケツトに対して、その送信元ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、当該送信元ユーザ I Dと対応付けられる仮想ファイアウォール I D、個別フィルタリング I Dおよび共通フィルタリング I Dを抽出し. 前記ユーザ端末から送信されるパケットを、前記抽出した仮想フアイァウォール I Dで特定される仮想ファイアウォールに振り分けるとともに、前記ユーザ端末から送信されるバケツトに対して. 前記抽出した個別フィルタリング I Dおよび共通フィルタリング

I Dを付与し、

前記ユーザ端末の通信相手端末から送信されるバケツトに対し. その宛先ユーザ I Dを検索キーとして前記振分け管理テーブルを検索し、当該宛先ユーザ I Dと対応付けられる仮想ファイアゥォール I D、個別フィルタリング I Dおよぴ共通フイルクリング I Dを抽出し、前記ユーザ端末の通信相手端末から送信されるパケットを、前記仮想ファイアウォール I Dで特定される仮想フアイァウォールに振り分けるとともに、前記ユーザ端末の通信相手端末から送信されるバケツトに対して、前記抽出した個別フィルタリング I Dおよぴ共通フィルタリング I Dを付与し、

前記個別フィルタリング I Dおよび共通フィルタリング I Dが付与されたパケットを、前記振り分けられた仮想ファイアウォール内において、前記付与された個別フィルタリング I Dによって特定される個別フィルタリングテーブルに記載のフィルタリングポリシ、および、前記付与された共通フィルタリング I Dによつて特定される共通ブイルタリングテーブルに記載のフィルタリングポリシに従い、通過あるいは廃棄する請求項 1 7に記載のファィァウォール装置。

1 9 . 前記ファイアウォール装置は、

ネットワーク接続開始時に、ユーザ端末から発行される認証情報に含まれているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバからの認証応答に記載されるユーザ I Dを前記振分け管理テーブルに登録せず、

前記ユーザ I Dに対応する前記ユーザ端末から送信されるパケット、または前記ユーザ I Dに対応する前記ユーザ端末の通信相手端末から送信されるパケットを、未登録ユーザ用のフィルタリングポリシに従って処理する請求項 1 5に記載のファイアウォール装置。

2 0 . 前記ファイアウォール装置は、

ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記認証サーバから認証応答に記載されているユーザ I Dと、未登録ユーザ用の仮想ファイアウォール I Dを前記振分け管理テーブルに登録する請求項 1 5に記載のファィァウォール装置 ₍

2 1 . 前記ファイアウォール装置は、

前記認証サーバからの認証応答が認証エラーのとき、前記振分け管理テーブルに前記ユーザ I Dを登録せず、前記ユーザ端末に認証エラーを通知する請求項 9に記載のファイアウォール装置。

2 2 . 前記ファイアウォール装置は、

ネットワーク接続開始時に、前記ユーザ端末から発行される認証情報に記載されているユーザ名が、前記振分け管理テーブルに登録されていない場合に、前記ユーザ端末に認証エラーを通知する請求項 9に記載のファイアウォール装置。

2 3 . 前記ブイルタリングテーブルは、そのフィルタリングポリシの要素として、前記ユーザ端末に付与すべきユーザ I Dを含まない請求項 9ないし請求項 2 2のうちいずれか 1項に記載のフアイァウォール装置。

2 4 . 前記認証サーバは R A D I U Sサーバであり、前記ユーザ I Dはユーザ I Pアドレスであり、前記ネットワークはインターネットであり、前記ユーザ端末からのネットワーク接続は P P Pを用いる請求項 9ないし請求項 2 3のうちいずれか 1項に記載のファイアウォール装置。

2 5 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、

ユーザ端末情報と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとを管理する振分け管理テーブルと、ュザ端末が接続可能かを判断する認証サーバとの通信手段と、ュ一ザと結び付けられた共通フィルタリングテーブル I D、および個別フィルタリングテーブル I Dを管理する識別子管理サーバとの通信手段と、

前記個別フィルタリングテーブルに書込まれるユーザ固有のセキユリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、

前記フィルタリング装置は、

前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブル I Dとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

2 6 . 前記ファイアウォール装置は、

前記接続要求を発行したユーザ端末とネットワークとの接続が確立された後に、当該ユーザ端末から送信されるパケット、または、当該ユーザ端末宛のパケットを受信し、

受信したバケツトに含まれるユーザ端末情報を検索キーとして- 前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられる共通フィルタリングテープル I D、および個別フィルタリングテーブル I Dを抽出し、

前記受信したパケットを、抽出した共通フィルタリングテープル I Dに対応する共通フィルタリングテーブル、および個別フィルタリングテーブル I Dに対応する個別フィルタリングテーブルによりフィルタリングする請求項 2 5に記載のファイアウォール装置。

2 7 . 前記ファイアウォール装置は、

ネットワークとの接続切断時に、ユーザ端末から切断要求を受信し、前記ユーザ端末情報を検索キーに、前記振分け管理テープルを参照し、当該ユーザ端末情報と対応付けられるェントリから個別フィルタリングテーブル I Dを抽出するとともに、当該ユーザ端末情報と対応付けられるェントリを無効にし、

前記抽出した個別フィルタリングテーブル I Dに対応する個別フィルタリングテーブルの内容を無効にする請求項 2 5に記載のファイアウォール装置。

2 8 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

複数のユーザに対して、バケツトフィルタリングを実施する少なくとも 1つの仮想ファイアウォールと、

ユーザ毎のセキュリティポリシを保持する少なくとも 1つの個別フィルタリングテーブルと、

複数のユーザに共通するセキュリティポリシを保持する少なくとも 1つの共通フィルタリングテーブルと、

ユーザ端末情報、仮想ファイアウォール I D、共通フィルタリングテーブル I D、個別フィルタリングテーブル I Dを管理する振分け管理テーブルと、

ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、ユーザと結び付けられた仮想ファィァウォール I D、共通フィルタリングテーブル I D、および個別フィルタリングテーブル I Dを管理する識別子管理サーバとの通信手段と、

前記フィルタリング装置は、

前記ユーザ名を、前記識別子管理サーバとセキュリティポリシサーバに通知し、

前記識別子管理サーバから受信した仮想ファイアウォール I D , 共通フィルタリングテーブル I D、および個別フィルタリングテ一ブル I Dと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

前記セキユリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブル I Dとを、前記仮想ファイアゥォール I Dで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

2 9 . 前記ファイアウォール装置は、前記接続要求を発行したユーザ端末とネットワークとの接続が確立された後に、当該ユーザ端末から送信されるパケット、または、当該ユーザ端末宛のパケットを受信し、

受信したバケツトに含まれるユーザ端末情報を検索キーとして前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられる仮想ファイアウォール I D、共通フィルタリングテープル I D、および個別フィルタリングテーブル I Dを抽出し、前記受信したバケツトを、前記抽出した仮想ファイアウォール I Dに示される仮想ファイアウォールへ振分けるとともに、当該バケツトを、前記抽出した共通フィルタリングテーブル I Dに対応するフィルタリングテーブル、および個別フィルタリングテ一ブル I Dに対応する個別フィルタリングテーブルによりフィルタリングする請求項 2 8に記載のファイアウォール装置。

3 0 . 前記ファイアウォール装置は、

ネットワークとの接続切断時に、ユーザ端末から切断要求を受信し、前記保持したユーザ端末情報を検索キーに、前記振分け管理テーブルを参照し、当該ユーザ端末情報と対応付けられるェントリから仮想ファイアウォール I Dと個別フィルタリングテープル I Dを抽出するとともに、当該ユーザ端末情報と対応付けられるエントリを無効し、

抽出した仮想ファイアウォール I Dに対応する仮想ファイアゥオール内に保持される、前記個別フィルタリングテーブル I Dに対応する個別フィルタリングテーブルの内容を無効にする請求項 2 8に記載のファイアウォール装置。

3 1 . 前記仮想ファイアウォールは、前記ネットワークと接続される契約ネットワークと 1対 1で対応付けられており、

前記ファイアウォール装置は、前記仮想ファイアウォール数分の前記契約ネットワークを収納する請求項 2 8に記載のファイアウォール装置。

3 2 . 前記認証サーバは、前記契約ネットワーク毎に複数設けられ、

前記ユーザ端末から発行される接続要求に含まれるユーザ名から認証を行う認証サーバを決定し、認証処理を行う請求項 3 1に記載のファイアウォール装置。

3 3 . 前記セキュリティポリシサーバは、ユーザ名と、少なくとも 1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルを有し、

前記ファイアウォール装置は、同じセキュリティポリシテープルを有する少なくとも 1台のセキュリティポリシサーバと通信する請求項 2 5に記載のファイアウォール装置。

3 4 . 前記識別子管理サーバは、ユーザ名と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとが対応付けられた識別子管理テーブルを有し、

前記ファイアウォール装置は、同じ識別子管理テーブルを有する少なくとも 1台の識別子管理サーバと通信する請求項 2 5に記載のファイアウォール装置。

3 5 . 前記識別子管理サーバは、ユーザ名と、仮想ファイアゥオール I Dと、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとが対応付けられた識別子管理テーブルを有し、

前記ファイアウォール装置は、同じ識別子管理テーブルを有する少なくとも 1台の識別子管理サーバと通信することを特徴とする請求項 2 8に記載のファイア。ウォール装置。

3 6 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するパケットフィルタリングを実施するファイアウォール装置であって、

各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテープノレと、

複数のユーザに共通するセキュリティポリシを保持する共通フイノレタリングテーブルと、

ユーザ名と、少なくとも 1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、

ユーザ端末情報と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとを管理する振分け管理テーブルと、ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、ユーザと結び付けられた共通フィルタリングテーブル I D、おょぴ個別フィルタリングテーブル I Dを管理する識別子管理サーパとの通信手段とを備え、

前記フィルタリング装置は、

前記ユーザ名を、前記識別子管理サーバに通知し、

前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテープル I Dとを、前記個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

3 7 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

各ユーザ毎のセキュリティポリシを保持する個別フィルタリングテーブルと、

複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテ一ブノレと、

ユーザ端末情報と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとを管理する振分け管理テーブルと、ユーザ名と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとが対応付けられた識別子管理テーブルと、ユーザ端末が接続可能かを判断する認証サーバとの通信手段と、前記個別ブイルタリングテーブルに書込まれるユーザ固有のセキユリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、

前記フィルタリング装置は、

前記ユーザ名を、前記セキュリティポリシサーバに通知し、前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた共通フィルタリングテープル I D、および個別フィルタリングテーブル I Dを抽出し、当該抽出した共通フィルタリングテーブル I D、および個別フィルタリングテーブル I Dと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

3 8 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

各ュ"ザ毎のセキュリティポリシを保持する個別フィルタリングテープ/レと、

複数のユーザに共通するセキュリティポリシを保持する共通フィルタリングテーブルと、

ユーザ端末情報と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとを管理する振分け管理テーブルと、ユーザ名と、少なくとも 1つのセキュリティポリシが対応付けられたセキュリティポリシテーブルと、

ユーザ名と、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとが対応付けられた識別子管理テーブルと、ユーザ端末が接続可能かを判断する認証サーバとの通信手段とを備え、

前記フィルタリング装置は、

前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた共通フィルタリングテープル I D、および個別フィルタリングテーブル I Dを抽出し、当該抽出した共通フィルタリングテーブル I D、および個別フィルタリングテーブル I Dと、ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

3 9 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

複数のユーザに対して、バケツトフィルタリングを実施する少なくとも 1つの仮想フアイァウォールと、

ユーザ毎のセキュリティポリシを保持する少なくとも 1つの個別フィルタリングテープルと、

複数のユーザに共通するセキュリティポリシを保持する少なくとも 1つの共通ブイノレタリングテーブルと、

ユーザ端末情報、仮想ファイアウォール I D、共通フィルタリングテーブル I D、個別ブイルタリングテーブル I Dを管理する振分け管理テーブルと、

ユーザ端末が接続可能かを判断する認証サーバとの通信手段とユーザと結び付けられた仮想ファイアウォール I D、共通フィルタリングテーブル I D、および個別フィルタリングテーブル I Dを管理する識別子管理サーバとの通信手段とを備え、前記フィルタリング装置は、

ネットワーク接続開始時に、ユーザ端末から、ユーザ名を含む認証情報が付加された接続要求を受信し、当該ユーザ名を保持し. 保持したユーザ名を認証サーバに通知し、

前記ユーザ名を、前記識別子管理サーバに通知し、

前記識別子管理サーバから受信した仮想ファイアウォール I D . 共通フィルタリングテーブル I D、および個別フィルタリングテ一ブル I Dと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

前記保持したユーザ名をキーに、前記セキュリティポ.リシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテープル I Dとを、前記仮想ファイアウォール I Dで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

4 0 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

複数のユーザに共通するセキュリティポリシを保持する少なくとも 1つの共通フイノレタリングテーブルと、

ユーザ名と、仮想ファイアウォール I Dと、共通フィルタリングテーブル I Dと、個別フィルタリングテーブル I Dとが対応付けられた識別子管理テーブルと、

ユーザ端末が接続可能かを判断する認証サーバとの通信手段と . 前記個別フィルタリングテーブルに書込まれるユーザ固有のセキユリティポリシとユーザとの関係を管理するセキュリティポリシ管理サーバとの通信手段とを備え、

前記フィルタリング装置は、

前記ユーザ名を、前記セキュリティポリシサーバに通知し、前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた仮想ファイアウォール I D . 共通フィルタリングテーブル I D、およぴ個別フィルタリングテ一ブル I Dを抽出し、当該抽出した仮想ファイアウォール I D、共通フィルタリングテーブル I D、およぴ個別フィルタリングテ一ブル I Dと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

前記セキュリティポリシサーバから受信したポリシ情報と、前記個別フィルタリングテーブル I Dとを、前記仮想ファイアゥォール I Dで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

4 1 . 複数のユーザ端末とネットワークの間に設置され、複数のユーザ端末に対するバケツトフィルタリングを実施するフアイァウォール装置であって、

ユーザ名と、仮想ファイアウォール I Dと、共通フィルタリングテーブル I Dと、個別ブイルタリングテーブル I Dとが対応付けられた識別子管理テーブルと、

ユーザ端末が接続可能かを判断する認証サーバとの通信手段とを備え、

前記フィルタリング装置は、

前記保持したユーザ名をキーに、前記識別子管理テーブルを参照し、当該ユーザ名と対応付けられた仮想ファイアウォール I D . 共通フィルタリングテーブル I D、およぴ個別フィルタリングテ一プル I Dを抽出し、当該抽出した仮想ファイアウォール I D、共通フィルタリングテーブル I D、および個別フィルタリングテ一ブル I Dと、前記ユーザ端末情報とを対応付けて前記振分け管理テーブルに記述し、

前記保持したユーザ名をキーに、前記セキュリティポリシテーブルを参照し、当該ユーザ名と対応付けられたポリシ情報を抽出し、当該抽出したポリシ情報と、前記個別フィルタリングテープル I Dとを、前記仮想ファイアウォール I Dで示される前記仮想ファイアウォールの個別フィルタリングテーブルに書込むことを特徴とするファイアウォール装置。

4 2 . 前記認証サーバは、 R A I D U Sサーバであり、前記ュ一ザ端末情報は、ユーザ端末に付与される I Pァドレスであり、前記ユーザ端末からネットワークへの接続は P P Pであり、認証には、 P A P、または、 C H A Pを用いる請求項 2 5ないし請求項 4 1のうちいずれか 1項に記載のファイアウォール装置。