JP2002312261A - Network service relay method and relay device - Google Patents
Network service relay method and relay deviceInfo
- Publication number
- JP2002312261A JP2002312261A JP2001110528A JP2001110528A JP2002312261A JP 2002312261 A JP2002312261 A JP 2002312261A JP 2001110528 A JP2001110528 A JP 2001110528A JP 2001110528 A JP2001110528 A JP 2001110528A JP 2002312261 A JP2002312261 A JP 2002312261A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- firewall
- server
- client
- connections
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 「アプリケーション・ゲートウェイ」と同様
にサービス要求の正当性まで判断する能力と「パケット
・フィルタリング」と同等の応答時間の短さを兼ね備え
るファイアウォールを構築する。
【解決手段】 ファイアウォール(F)において、予め
サーバ(S)との間でファイアウォール−サーバ間コネ
クションを確立し、管理しておくことで、クライエント
(C)からのコネクション要求時のサーバ(S)ヘの接
続負荷を軽減し、サーバ(S)とクライエント(C)と
の間のTCPデータパケット中継時にはSEQ番号およ
びACK番号の書き換えのみとすることで、中継処理の
高速化を実現する。さらにサービス要求転送時に正当性
を検証する機能を持たせ、不正な要求転送を遮断する。
(57) [Summary] [PROBLEMS] To construct a firewall having both the ability to judge the validity of a service request and the short response time equivalent to "packet filtering", similarly to the "application gateway". A firewall (F) establishes and manages a firewall-server connection with a server (S) in advance and manages the server (S) when a connection request is issued from a client (C). The connection load on the server (S) and the client (C) is reduced, and only the rewriting of the SEQ number and the ACK number is performed when the TCP data packet is relayed between the server (S) and the client (C). In addition, a function for verifying the validity at the time of transferring a service request is provided, and an unauthorized request transfer is blocked.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、任意の二つのコン
ピュータ間で確立可能なネットワークにおいて、あるコ
ンピュータによって提供されるサービスを、ファイアウ
ォールを介して他のコンピュータに提供するネットワー
クサービス中継方法及び中継装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network service relay method and a relay apparatus for providing a service provided by one computer to another computer via a firewall in a network which can be established between any two computers. About.
【0002】[0002]
【従来の技術】コンピュータネットワーク上の2つのコ
ンピュータ間でコネクションを確立するためのネットワ
ークプロトコルの標準として、TCP(Transport Comm
unication Protocol:伝送制御プロトコル)<RFC7
61参照>がある。TCPでは、「3ウェイ・ハンドシ
ェイク」という方法でコネクションを確立する。図6に
その様子を示す。2. Description of the Related Art As a network protocol standard for establishing a connection between two computers on a computer network, TCP (Transport Command) is used.
unication Protocol: transmission control protocol) <RFC7
61>. In TCP, a connection is established by a method called "3-way handshake". FIG. 6 shows this state.
【0003】ここで、TCPパケットのヘッダには、デ
ータパケットでデータの番号を表すSEQ(シーケン
ス)番号、正常に受け取ったデータの次のデータを要求
するACK(確認応答)番号、SYN(同期)フラグ、
ACKフラグなどが含まれており、TCPコネクション
の確立に使われる。[0003] In the header of a TCP packet, an SEQ (sequence) number indicating the number of data in a data packet, an ACK (acknowledgment) number for requesting the next data after data normally received, and a SYN (synchronous) flag,
An ACK flag and the like are included, and are used for establishing a TCP connection.
【0004】TCPでコネクションを確立する際には、
まず、クライエント(C)からサーバ(S)に対してS
YNパケット(P1)を送る。SYNパケット(P1)
にはクライエントが無作為に決定した初期SEQ番号
「CS」が含まれており、同時にSYNフラグを有効と
することで、コネクションの確立を要求していることを
表している。When establishing a connection using TCP,
First, the client (C) sends an S to the server (S).
Send the YN packet (P1). SYN packet (P1)
Contains an initial SEQ number “CS” randomly determined by the client, and at the same time, by validating the SYN flag, indicates that a connection has been requested.
【0005】サーバ(S)は、クライエント(C)から
のSYNパケット(P1)が到着すると、そのクライエ
ント(C)に対してSYNパケット(P1)を受け取っ
たことを伝えるために、SYN/ACKパケット(P
2)を生成してクライエント(C)へ送る。このSYN
/ACKパケット(P2)の生成では、クライエント
(C)からのSEQ番号に1を加えた値「CS+1」を
ACK番号に設定し、ACKフラグを有効にすると同時
に、サーバ(S)自身が無作為に決定した初期SEQ番
号「SS」を設定してSYNフラグを有効にしている。When the server (S) receives the SYN packet (P1) from the client (C), the server (S) transmits a SYN / PIN to the client (C) to inform the client (C) that the SYN packet (P1) has been received. ACK packet (P
2) is generated and sent to the client (C). This SYN
In the generation of the / ACK packet (P2), a value “CS + 1”, which is obtained by adding 1 to the SEQ number from the client (C), is set to the ACK number, and the ACK flag is made valid. The initial SEQ number “SS” determined by the user is set and the SYN flag is made valid.
【0006】クライエント(C)では、サーバ(S)か
らSYN/ACKパケット(P2)を受け取った時点で
コネクションが確立する。但し、サーバ(S)側ではま
だコネクションが確立していないので、クライエント
(C)はACKパケット(P3)を生成してサーバ
(S)に送る。このACKパケット(P3)の生成で
は、SEQ番号にサーバ(S)から送られてきたSYN
/ACKパケット(P2)のACK番号に示された番号
「CS+1」を設定し、ACK番号にSYN/ACKパ
ケット(P2)のSEQ番号に1を加えた値「SS+
1」を設定している。In the client (C), a connection is established when a SYN / ACK packet (P2) is received from the server (S). However, since a connection has not been established on the server (S) side, the client (C) generates an ACK packet (P3) and sends it to the server (S). In the generation of this ACK packet (P3), the SYN sent from the server (S) is added to the SEQ number.
/ ACK packet (P2) is set to the number “CS + 1” indicated in the ACK number, and the ACK number is added to the SYN / ACK packet (P2) SEQ number plus 1 to “SS +
1 "has been set.
【0007】サーバ(S)側にこのACKパケット(P
3)が到着した時点で、クライエント(C)とサーバ
(S)両側のSEQ番号が同期され、サーバ(S)側で
もコネクションが確立する。コネクション確立後はクラ
イエント(C)、サーバ(S)のいずれの側からでもデ
ータを送ることができる。The server (S) sends this ACK packet (P
When 3) arrives, the SEQ numbers on both sides of the client (C) and the server (S) are synchronized, and a connection is established on the server (S) side. After the connection is established, data can be sent from either the client (C) or the server (S).
【0008】例えば、クライエント(C)からサーバ
(S)へ最初のデータを送る際には、SEQ番号には
「CS+1」を設定し、ACK番号には「SS+1」を
設定して、ACKフラグを有効にしたデータパケット
(P4)を送る。さらに、追加のデータを送る際には、
先程送った100bytesのデータの次を表すSEQ番号
「CS+101」、ACK番号には「SS+1」を設定
してACKフラグを有効にしたデータパケット(P5)
を送る。For example, when the first data is sent from the client (C) to the server (S), the SEQ number is set to “CS + 1”, the ACK number is set to “SS + 1”, and the ACK flag is set. Is transmitted (P4). In addition, when sending additional data,
A data packet (P5) with the SEQ number "CS + 101" representing the next of the 100 bytes of data sent earlier and "SS + 1" set for the ACK number to enable the ACK flag
Send.
【0009】データを受け取ったサーバ(S)はクライ
エント(C)に対して適当なタイミングでACKパケッ
ト(P6)を送る。この際のACKパケット(P6)を
送る場合には、ACK番号にその時点で受信済みのデー
タ(SEQ番号でCS+250)の次のSEQ番号を表
す「CS+251」を設定し、SEQ番号に「SS+
1」を設定し、ACKフラグを有効にする。The server (S) having received the data sends an ACK packet (P6) to the client (C) at an appropriate timing. When sending the ACK packet (P6) at this time, “CS + 251” representing the next SEQ number of the data (CS + 250 in SEQ number) received at that time is set in the ACK number, and “SS +” is set in the SEQ number.
Set "1" to enable the ACK flag.
【0010】コンピュータネットワークでは、ネットワ
ークを通じてサービスを提供するサーバとサービスを受
けるクライエントがある。HTTP(ハイパーテキスト
転送プロトコル)<RFC1945参照>に基づくWW
W(World Wide Web)サーバとWWWブラウザ、FTP
(ファイル転送プロトコル)<RFC959参照>に基
づくFTPサーバとFTPクライエントなどはその好例
である。In a computer network, there are servers that provide services through the network and clients that receive the services. WW based on HTTP (Hypertext Transfer Protocol) <see RFC1945>
W (World Wide Web) server, WWW browser, FTP
FTP server and FTP client based on (file transfer protocol) <refer to RFC959> are good examples.
【0011】ところで、上記のようなサービスをネット
ワーク上で提供するサーバとして動作させているサーバ
コンピュータは、侵入やサービス拒否攻撃(Denial of
Service Attack)などの攻撃を受けることが多い。この
ような攻撃からサーバコンピュータを守る手段として、
ファイアウォールをサーバコンピュータの手前に設置す
る方法がある。By the way, a server computer operating as a server that provides the above-mentioned services on a network requires an intrusion or denial of service attack (Denial of Denial of Service).
Service attacks). As a means to protect server computers from such attacks,
There is a method of installing a firewall in front of the server computer.
【0012】このファイアウォールでサーバコンピュー
タを守る手法には、大きくわけて「パケット・フィルタ
リング」と「アプリケーション・ゲートウェイ」の二種
類がある。There are two main methods for protecting the server computer with the firewall, namely, "packet filtering" and "application gateway".
【0013】前者の「パケット・フィルタリング」は、
ネットワークを通じて通信を行う単位であるパケットを
チェックすることでサーバを守るようにした手法であ
る。すなわち、パケットには宛先となるコンピュータの
IPアドレスとサービス種別を表すポート番号が含まれ
ていることに着目し、特定のIPアドレスとポート番号
の組み合わせを持つパケットのみを通すようにした手法
である。例えば、IPアドレスが(10.0.0.1)
のサーバコンピュータでWWWサービスを提供したい場
合は、サーバコンピュータのIPアドレスである(1
0.0.0.1)とWWWサービスのポート番号である
(80)を持つパケットだけを通すように設定する。The former “packet filtering” is
This is a method that protects the server by checking packets, which are units of communication through the network. That is, this method focuses on the fact that the packet includes the IP address of the destination computer and the port number indicating the service type, and passes only the packet having the combination of the specific IP address and the port number. . For example, if the IP address is (10.0.0.1)
If the user wants to provide the WWW service on the server computer, the IP address of the server computer (1
(0.0.0.1) and the port number of the WWW service (80).
【0014】後者の「アプリケーション・ゲートウェ
イ」は、ファイアウォールがクライエントからのサービ
ス要求などのメッセージを全て受け取って、サービスの
ルールに従っているかどうかを判断し、ルールに従って
いる場合は、同じ内容のサービス要求を作ってサーバコ
ンピュータへ転送し、当該サーバコンピュータからの返
答をクライエントへ中継するという手法である。The latter “application gateway” receives all messages, such as a service request from a client, and determines whether the firewall complies with the rules of the service. This is a method of making and transferring it to a server computer, and relaying a reply from the server computer to the client.
【0015】[0015]
【発明が解決しようとする課題】しかしながら、従来の
ファイアウォールの「パケット・フィルタリング」によ
る手法では、パケットをチェックするだけなので、アプ
リケーションレベルのサービス要求が不正であったりす
る場合はこれをチェックすることができない。例えば、
WWWサーバヘのサービス拒否攻撃を行う場合はWWW
クライエントからのWWWサービス要求の形をとる場合
が多いが、このような攻撃は「パケット・フィルタリン
グ」では防ぐことができない。また、大量のコネクショ
ン確立要求をサーバに要求するという方式のサービス拒
否攻撃も「パケット・フィルタリング」では防げない。However, in the conventional "packet filtering" method of the firewall, only the packet is checked. Therefore, when an application-level service request is invalid, it is necessary to check this. Can not. For example,
WWW for performing denial of service attacks on WWW servers
Although often in the form of WWW service requests from clients, such attacks cannot be prevented by "packet filtering". Also, "packet filtering" cannot prevent a denial-of-service attack in which a large number of connection establishment requests are made to a server.
【0016】他方の「アプリケーション・ゲートウェ
イ」による手法であれば、クライエントのサービス要求
がサービスのルールに従っているかどうかを判断するの
で、上記の例のようなサービス拒否攻撃を防ぐことがで
きる。しかしながら、「アプリケーション・ゲートウェ
イ」はサーバとクライエントの間にたって互いの間の通
信を中継する形となり、通常はOS(Operating Syste
m)の上のアプリケーションとして実現されているの
で、前者の「パケット・フィルタリング」と比べると、
クライエントがサービス要求を送信してからサーバから
の返答を受信するまでの応答時間が長くなってしまう。In the case of the method using the “application gateway”, it is determined whether or not the client's service request complies with the service rules, so that a denial of service attack as in the above example can be prevented. However, an “application gateway” is a form in which a server and a client relay communication between each other, and usually an OS (Operating System).
m), it is realized as an application above, so when compared to the former “packet filtering”,
The response time from when the client sends a service request to when it receives a response from the server becomes longer.
【0017】本発明は、上記の問題を解決するためにな
されたもので、その目的とするところは、「アプリケー
ション・ゲートウェイ」と同様にサービス要求の正当性
まで判断する能力と「パケット・フィルタリング」と同
等の応答時間の短さを兼ね備えるファイアウォールを構
築したネットワークサービス中継方法及び中継装置を提
供することにある。The present invention has been made in order to solve the above problems, and has as its object the ability to determine the legitimacy of a service request and the "packet filtering" as in the "application gateway". An object of the present invention is to provide a network service relay method and a relay device in which a firewall having the same short response time as that of the above is constructed.
【0018】また、本発明の他の目的は、上記ネットワ
ークサービス中継方法及び中継装置において、ファイア
ウォールがサーバの代わりにクライエントとの間にコネ
クションを確立することができ、これによって新規コネ
クション確立にかかるサーバの負担を軽減することにあ
る。Another object of the present invention is to provide a method and apparatus for relaying a network service, wherein a firewall can establish a connection with a client instead of a server, thereby establishing a new connection. The purpose is to reduce the load on the server.
【0019】また、本発明の他の目的は、上記ネットワ
ークサービス中継方法及び中継装置において、ファイア
ウォールがサーバとクライエントとの間のコネクション
の数を管理することができ、これによってサービス提供
にかかるサーバの負荷を管理することにある。Another object of the present invention is to provide a network service relay method and a relay device, wherein a firewall can manage the number of connections between a server and a client, thereby providing a server for providing services. The purpose is to manage the load.
【0020】[0020]
【課題を解決するための手段】上記の目的を達成するた
めに本発明に係るネットワークサービス中継方法は、以
下のような特徴的構成を備える。In order to achieve the above object, a network service relay method according to the present invention has the following characteristic configuration.
【0021】(1)任意の二つのコンピュータ間でのコ
ネクションを双方のコネクションキーに基づいて確立可
能なネットワークに適用され、あるコンピュータ上のサ
ーバによって提供されるサービスを、そのコンピュータ
とは別のコンピュータ、もしくは同一のコンピュータに
よって提供されるファイアウォールを介して、他のコン
ピュータ上のクライエントに提供するネットワークサー
ビス中継方法であって、前記ファイアウォールと前記サ
ーバとの間に予め1本以上のファイアウォール−サーバ
間コネクションを確立し、前記コネクションに用いられ
た前記サーバ側と前記ファイアウォール側のコネクショ
ンキーを保持しておく第1のステップと、前記クライエ
ントと前記ファイアウォールとの間に第1のステップで
保持しておいた前記サーバ側コネクションキーの一つを
用いてクライエント−ファイアウォール間コネクション
を確立し、前記コネクションの確立に用いられた前記ク
ライエント側のコネクションキーと前記ファイアウォー
ル側のコネクションキーを保持する第2のステップと、
前記クライエント−ファイアウォール間コネクションと
前記ファイアウォール−サーバ間コネクションとを結合
・中継する第3のステップとを具備することを特徴とす
る。(1) A service which is applied to a network which can establish a connection between any two computers based on both connection keys, and which provides a service provided by a server on one computer to another computer Or a network service relay method provided to a client on another computer through a firewall provided by the same computer, wherein one or more firewall-servers are previously provided between the firewall and the server. A first step of establishing a connection and holding a connection key of the server side and the firewall side used for the connection, and a first step of holding a connection key between the client and the firewall. Before putting A second step of establishing a client-firewall connection using one of the server-side connection keys, and holding the client-side connection key and the firewall-side connection key used for establishing the connection; ,
A third step of coupling and relaying the client-firewall connection and the firewall-server connection.
【0022】(2)(1)の構成において、前記第3の
ステップは、前記クライエントから届くメッセージのコ
ネクションキーを前記ファイアウォール−サーバ間コネ
クションの前記ファイアウォール側のコネクションキー
に書き換えて前記サーバへ転送し、前記サーバから届く
メッセージのコネクションキーを前記クライエント−フ
ァイアウォール間コネクションの前記クライエント側の
コネクションキーに書き換えて前記クライエント側へ転
送することを特徴とする。(2) In the configuration of (1), in the third step, the connection key of the message arriving from the client is rewritten to the connection key on the firewall side of the firewall-server connection and transferred to the server. Then, the connection key of the message arriving from the server is rewritten to the connection key on the client side of the connection between the client and the firewall, and is transferred to the client side.
【0023】(3)(1)の構成において、前記第1の
ステップは、予め管理収容本数として整数M(M≧1)
が指定されているとき、前記クライエント−ファイアウ
ォール間コネクションと未結合のファイアウォール−サ
ーバ間コネクションと、クライエント−ファイアウォー
ル間コネクションと結合済みのファイアウォール−サー
バ間コネクションを合わせた、ファイアウォール−サー
バ間コネクションの合計がM本以下となるように、ファ
イアウォール−サーバ間コネクションの確立を制限する
ことを特徴とする。(3) In the configuration of (1), the first step is performed by setting an integer M (M ≧ 1) in advance as a management capacity.
Is specified, the connection between the client-firewall connection and the unconnected firewall-server connection, and the connection between the client-firewall connection and the already-connected firewall-server connection are combined. It is characterized in that the establishment of a firewall-server connection is limited so that the total is M or less.
【0024】(4)(3)の構成において、前記第1の
ステップは、予め初期の管理収容本数として整数N(M
≧N≧1)が指定されているとき、初期状態でN本の未
結合ファイアウォール−サーバ間コネクションを確立す
る初期化処理を実行することを特徴とする。(4) In the configuration of (3), the first step is to set an integer N (M
When (≧ N ≧ 1) is specified, an initialization process for establishing N unconnected firewall-server connections in an initial state is performed.
【0025】(5)(4)の構成において、前記第1の
ステップは、前記ファイアウォール−サーバ間コネクシ
ョンの合計がM本以下のとき、前記未結合ファイアウォ
ール−サーバ間コネクションの切断または前記クライエ
ント−ファイアウォール間コネクションとの結合により
前記未結合ファイアウォール−サーバ間コネクションが
N本より少なくなった場合に、新たに未結合ファイアウ
ォール−サーバ間コネクションを確立して、N本の未結
合ファイアウォール−サーバ間コネクションを維持する
ことを特徴とする。(5) In the configuration of (4), in the first step, when the total number of the firewall-server connections is M or less, the disconnection of the unbound firewall-server connection or the client-server connection is performed. When the number of unconnected firewall-server connections becomes less than N due to the connection with the firewall connection, a new unconnected firewall-server connection is established, and N unconnected firewall-server connections are established. It is characterized by maintaining.
【0026】(6)(1)の構成において、前記第2の
ステップは、前記ファイアウォール−サーバ間コネクシ
ョンと結合していない未結合のクライエント−ファイア
ウォール間コネクションと、前記ファイアウォール−サ
ーバ間コネクションと結合済みのファイアウォール−ク
ライエント間コネクションとを合わせた、クライエント
−ファイアウォール間コネクションの合計が、前記第1
のステップで確立されている前記ファイアウォール−サ
ーバ間コネクションの合計を上回らないように、クライ
エント−ファイアウォール間コネクションの確立を制限
することを特徴とする。(6) In the configuration of (1), the second step includes the step of connecting the unconnected client-firewall connection not connected to the firewall-server connection, and connecting the firewall-server connection. The total of the client-to-firewall connections including the already-existing firewall-to-client connections is equal to the first
The establishment of the client-firewall connection is limited so as not to exceed the total of the firewall-server connection established in the step (i).
【0027】(7)(1)の構成において、前記第2の
ステップは、新たにクライエントからファイアウォール
に対してコネクション確立要求があった場合に、前記未
結合ファイアウォール−サーバ間コネクションの数と前
記未結合クライエント−ファイアウォール間コネクショ
ンの数を比較し、サーバ側コネクション数よりクライエ
ント側コネクション数が上回っていれば、新たにクライ
エント−ファイアウォール間コネクションを確立し、ク
ライエント側コネクション数がサーバ側コネクション数
と同数か下回るようであれば、クライエントからのコネ
クション確立要求を廃棄するか、あるいは、前記未結合
ファイアウォール−サーバ間コネクションの数が前記未
結合クライエント−ファイアウォール間コネクションの
数を上回るまでクライエント−ファイアウォール間コネ
クション確立を遅延することを特徴とする。(7) In the configuration of (1), in the second step, when a connection establishment request is newly issued from the client to the firewall, the number of unconnected firewall-server connections and the number Compare the number of unbound client-firewall connections, and if the number of client-side connections exceeds the number of server-side connections, establish a new client-firewall connection and reduce the number of client-side connections to the server side. If the number of connections is equal to or less than the number of connections, the connection establishment request from the client is discarded, or until the number of unbound firewall-server connections exceeds the number of unbound client-firewall connections. K Iento - wherein the delay between the firewall connection establishment.
【0028】(8)(1)の構成において、前記第3の
ステップは、前記クライエント−ファイアウォール間コ
ネクションとファイアウォール−サーバ間コネクション
との結合状態で、前記クライエント−ファイアウォール
間コネクションを通じて前記クライエントからのメッセ
ージを受信した場合に、このメッセージを検証して不正
の有無を判定し、不正と判定された場合に、当該クライ
エント−ファイアウォール間コネクションを切断し、不
正なしと判定された場合に、未結合のファイアウォール
−サーバ間コネクションと結合し、当該メッセージを当
該ファイアウォール−サーバ間コネクションを通じて前
記サーバへ転送することを特徴とする。(8) In the configuration of (1), the third step is a step of connecting the client-firewall connection and the firewall-server connection in the coupled state between the client-firewall connection and the client-firewall connection. When a message is received from the client, the message is verified to determine whether there is any fraud, and if it is determined to be fraudulent, the client-firewall connection is disconnected, and if it is determined that there is no fraud, The message is coupled to an uncoupled firewall-server connection, and the message is transferred to the server through the firewall-server connection.
【0029】(9)(8)の構成において、前記第3の
ステップは、前記クライエント−ファイアウォール間コ
ネクションとファイアウォール−サーバ間コネクション
との結合状態で、前記クライエント−ファイアウォール
間コネクションを通じて前記クライエントからの追加の
メッセージを受信した場合に、このメッセージを検証し
て不正の有無を判定し、不正と判定された場合に、当該
クライエント−ファイアウォール間コネクション及び当
該クライエント−ファイアウォール間コネクションと結
合済みのファイアウォール−サーバ間コネクションを切
断し、不正なしと判定された場合に、受信した追加のメ
ッセージを当該クライエント−ファイアウォール間コネ
クションと結合しているファイアウォール−サーバ間コ
ネクションを通じて前記サーバヘ転送し、不正ではない
が、追加のメッセージでないと判定された場合に、受信
したメッセージを当該クライエント−ファイアウォール
間コネクションと結合しているファイアウォール−サー
バ間コネクションを通じてそのままサーバへ転送するこ
とを特徴とする。(9) In the configuration of (8), the third step is a step of connecting the client-firewall connection and the firewall-server connection in the connection state between the client-firewall connection and the client-firewall connection. When an additional message is received from the client, this message is verified to determine whether there is any fraud. If the message is determined to be fraudulent, the client-firewall connection and the client-firewall connection have been combined. If it is determined that there is no fraud, the received additional message is passed through the firewall-server connection that is coupled to the client-firewall connection. Transfer to the server, and when it is determined that the message is not invalid but not an additional message, transfer the received message to the server as it is through the firewall-server connection coupled to the client-firewall connection. Features.
【0030】(10)(1)の構成において、前記第3
のステップは、前記クライエント−ファイアウォール間
コネクションとファイアウォール−サーバ間コネクショ
ンとの結合状態で、前記ファイアウォール−サーバ間コ
ネクションを通じて前記サーバからのメッセージを受信
した場合に、このメッセージを検証して不正の有無を判
定し、不正と判定された場合に、当該ファイアウォール
−サーバ間コネクション及び当該ファイアウォール−サ
ーバ間コネクションと結合済みのクライエント−ファイ
アウォール間コネクションを切断し、不正なしと判定さ
れた場合に、当該ファイアウォール−サーバ間コネクシ
ョンと結合しているクライエント−ファイアウォール間
コネクションを通じて前記クライエントヘメッセージを
転送し、不正ではないがメッセージでないと判定された
場合に、当該ファイアウォール−サーバ間コネクション
と結合しているクライエント−ファイアウォール間コネ
クションを通じてそのまま前記クライエントへ転送する
ことを特徴とする。(10) In the configuration of (1), the third
In the step of connecting, when the client-firewall connection and the firewall-server connection are connected, when a message from the server is received through the firewall-server connection, the message is verified to determine whether there is any fraud. If it is determined that the connection is invalid, the firewall-server connection and the client-firewall connection already connected to the firewall-server connection are disconnected. -Forward the message to the client through the client-firewall connection coupled to the server-to-server connection, and if it is determined that the message is not invalid but not a message, Firewall - client is bound to the server inter-connection - characterized by transferring it to the client through the connection between the firewall.
【0031】(11)(3)、(4)、(5)のいずれ
かの構成において、前記管理収容本数を、前記サーバか
らの制御信号により指定・変更することを特徴とする。(11) In any one of the constitutions (3), (4) and (5), the management capacity is designated and changed by a control signal from the server.
【0032】(12)(3)、(4)、(5)のいずれ
かの構成において、前記管理収容本数を、一つ以上のク
ライエントをまとめた複数のクライエントグループが存
在するとき、クライエントグループごとに指定・変更す
ることを特徴とする。(12) In any one of the constitutions (3), (4) and (5), when the plurality of client groups in which one or more clients are put together exist, It is specified and changed for each group.
【0033】(13)(3)、(4)、(5)のいずれ
かの構成において、前記管理収容本数を、一つ以上のサ
ーバをまとめた複数のサーバグループが存在するとき、
サーバグループごとに指定・変更することを特徴とす
る。(13) In any one of the constitutions (3), (4), and (5), when the number of managed units is more than one server group in which one or more servers are grouped,
It is specified and changed for each server group.
【0034】また、本発明に係るネットワークサービス
中継装置は、以下のような特徴的構成を備える。The network service relay device according to the present invention has the following characteristic configuration.
【0035】(14)サーバ・クライエントサービスが
行われるネットワークシステムに適用され、サーバコン
ピュータとクライエントコンピュータとの間で伝送され
る情報を中継し、ファイアウォールとして機能するネッ
トワークサービス中継装置であって、前記サーバコンピ
ュータとの間で予め決められた本数で、クライエント−
ファイアウォール間コネクションと未結合のファイアウ
ォール−サーバ間コネクションを確立し管理する未結合
コネクション管理手段と、前記クライエントコンピュー
タのうち新規にコネクション要求のあったクライエント
コンピュータとの間でクライエント−ファイアウォール
間コネクションを確立する新規コネクション処理手段
と、前記新規コネクション処理手段で確立されたクライ
エント−ファイアウォール間コネクションにより結合さ
れたクライエントコンピュータからのサービス要求につ
いて正当性を検証するサービス要求正当性検証手段と、
前記サービス要求正当性検証手段で正当性が認められた
とき、前記クライエント−ファイアウォール間コネクシ
ョンとファイアウォール−サーバ間コネクションとを結
合して被検証サービス要求をサーバコンピュータに転送
し、正当性が認められないとき、前記クライエント−フ
ァイアウォール間コネクションとファイアウォール−サ
ーバ間コネクションとの結合を切断するコネクション間
中継処理手段とを具備することを特徴とする。(14) A network service relay device which is applied to a network system in which a server client service is performed, relays information transmitted between a server computer and a client computer, and functions as a firewall, A predetermined number between the client computer and the server computer;
Unbound connection management means for establishing and managing a firewall-server connection and an unbound firewall-server connection, and a client-firewall connection between the client computer and the client computer for which a new connection request has been made. New connection processing means for establishing, and a service request validity verification means for verifying the validity of the service request from the client computer coupled by the client-firewall connection established by the new connection processing means,
When the validity of the service request validity verifying means is recognized, the client-firewall connection and the firewall-server connection are combined and the verified service request is transferred to the server computer, and the validity is recognized. When there is no connection, there is provided inter-connection relay processing means for disconnecting the connection between the client-firewall connection and the firewall-server connection.
【0036】(15)(14)の構成において、さら
に、前記コネクション間中継処理手段でクライエント−
ファイアウォール間コネクションとファイアウォール−
サーバ間コネクションとの結合によりサーバコンピュー
タから送出されるサービス応答について正当性を検証す
るサービス応答検証手段を備え、前記コネクション中継
処理手段は、前記サービス応答検証手段で正当性が認め
られたとき、被検証サービス要求をクライエントコンピ
ュータに転送し、正当性が認められないとき、前記クラ
イエント−ファイアウォール間コネクションとファイア
ウォール−サーバ間コネクションとの結合を切断するこ
とを特徴とする。(15) In the configuration of (14), furthermore, the connection-to-connection relay processing means further comprises a client
Connections between firewalls and firewalls
Service connection verification means for verifying the validity of the service response sent from the server computer in connection with the connection between the servers; and the connection relay processing means, when the service response verification means finds the validity, to The verification service request is transferred to the client computer, and when the validity is not recognized, the connection between the client-firewall connection and the firewall-server connection is disconnected.
【0037】(16)(14)の構成において、前記未
結合コネクション管理手段は、ファイアウォール−サー
バ間コネクションの最大収容本数が指定されていると
き、クライエント−ファイアウォール間コネクションと
未結合のファイアウォール−サーバ間コネクション数を
最大収容本数以内に制限することを特徴とする。(16) In the configuration of (14), the uncoupled connection management means, when the maximum number of firewall-server connections is specified, specifies the unbound firewall-server connection with the client-firewall connection. It is characterized in that the number of inter-connections is limited within the maximum number of connections.
【0038】(17)(14)の構成において、前記ネ
ットワークシステムがTCP/IP(Transport Commun
ication Protocol/Internet Protocol)で構築されて
いるとき、前記コネクション間中継処理手段は、TCP
層とIP層との間に配置され、前記未結合コネクション
管理手段及び新規コネクション処理手段はTCP層に配
置され、前記サービス要求正当性検証手段はアプリケー
ション層に配置されることを特徴とする。(17) In the configuration of (14), the network system is a TCP / IP (Transport Community).
communication protocol / Internet Protocol), the connection-to-connection relay processing means includes a TCP
The unconnected connection management means and the new connection processing means are arranged in a TCP layer, and the service request validity verification means is arranged in an application layer.
【0039】(18)(14)の構成において、前記ネ
ットワークシステムがTCP/IP(Transport Commun
ication Protocol/Internet Protocol)で構築されて
いるとき、前記コネクション間中継処理手段は、TCP
層とIP層との間に配置され、前記未結合コネクション
管理手段及び新規コネクション処理手段はTCP層に配
置され、前記サービス要求正当性検証手段及びサービス
応答正当性検証手段はアプリケーション層に配置される
ことを特徴とする。(18) In the configuration of (14), the network system is a TCP / IP (Transport Community).
communication protocol / Internet Protocol), the connection-to-connection relay processing means includes a TCP
The unconnected connection management means and the new connection processing means are disposed in a TCP layer, and the service request validity verification means and the service response validity verification means are disposed in an application layer. It is characterized by the following.
【0040】本発明は、以上の構成によって、サービス
要求の正当性を判断した上でサービス中継を高速に行う
ことができ、クライエントとのコネクションの確立にか
かる負担を軽減し、クライエントとサーバとのコネクシ
ョンの数を管理できるファイアウォールを実現する技術
を提供する。According to the present invention, the service relay can be performed at high speed after judging the legitimacy of the service request by the above configuration, the load on establishing a connection with the client can be reduced, and the client and the server can be connected. Provide a technology to realize a firewall that can manage the number of connections with the firewall.
【0041】[0041]
【発明の実施の形態】以下、図1乃至図5を参照して本
発明の実施の形態を詳細に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of the present invention will be described below in detail with reference to FIGS.
【0042】図1は、本発明が適用されるTCPネット
ワークシステムの構成を示す概念図である。図1におい
て、11はネットワークN1に接続され、サーバ(S)
として機能するサーバコンピュータ、12はネットワー
クN2に接続され、クライエント(C)として機能する
クライエントコンピュータであり、ネットワークN1と
ネットワークN2を接続する経路には、ファイアウォー
ル(F)として機能する結合・中継モジュール13が介
在される。FIG. 1 is a conceptual diagram showing the configuration of a TCP network system to which the present invention is applied. In FIG. 1, reference numeral 11 denotes a server (S) connected to a network N1.
Server computer 12 is connected to the network N2 and is a client computer functioning as the client (C). A connection / relay functioning as a firewall (F) is provided on the path connecting the network N1 and the network N2. Module 13 is interposed.
【0043】以下、上記システムに本発明を適用した場
合の第1乃至第3の実施形態を説明する。Hereinafter, first to third embodiments in which the present invention is applied to the above system will be described.
【0044】(第1の実施形態)第1の実施形態とし
て、本発明に係るサービス中継方法をシーケンス処理に
よって実現する場合について、図2に示すシーケンス図
を参照して説明する。(First Embodiment) As a first embodiment, a case where the service relay method according to the present invention is realized by sequence processing will be described with reference to the sequence diagram shown in FIG.
【0045】図2において、まずファイアウォール
(F)は、予めサーバ(S)との間でSYNパケット
(P11)、SYN/ACKパケット(P12)、AC
Kパケット(P13)のやり取りを通じてファイアウォ
ール−サーバ間コネクションを確立しておく。In FIG. 2, first, the firewall (F) communicates with the server (S) in advance with a SYN packet (P11), a SYN / ACK packet (P12),
A connection between the firewall and the server is established through the exchange of the K packet (P13).
【0046】上記ファイアウォール(F)は、クライエ
ント(C)からのコネクション確立要求に基づくSYN
パケット(P14)を受けると、SYN/ACKパケッ
ト(P15)、ACKパケット(P16)のやり取りを
通じてクライエント−ファイアウォール間コネクション
を確立する。この際、ファイアウォール(F)が使用す
るSEQ番号は、サーバ(S)とのファイアウォール−
サーバ間コネクションの確立時に当該サーバ(S)が用
いた初期SEQ番号「SS」を使用する。The firewall (F) performs SYN based on a connection establishment request from the client (C).
Upon receiving the packet (P14), a connection between the client and the firewall is established through the exchange of the SYN / ACK packet (P15) and the ACK packet (P16). At this time, the SEQ number used by the firewall (F) is the same as the firewall number with the server (S).
The initial SEQ number “SS” used by the server (S) when the connection between the servers is established is used.
【0047】その後、ファイアウォール(F)は、クラ
イエント(C)からのデータパケット(P17)を受け
取ると、そのSEQ番号「CS+1」を、ファイアウォ
ール(F)が確立したファイアウォール−サーバ間コネ
クションの初期SEQ番号「FW」に基づいてSEQ番
号「FW+1」に書き換え、そのデータパケット(P1
8)をサーバ(S)へ中継転送する。続いて、サーバ
(S)からのACKパケット(P19)のACK番号
「FW+101」をクライエントの初期SEQ番号に基
づいたACK番号「CS+101」へ書き換え、そのデ
ータパケット(P20)をクライエント(C)へ中継転
送することにより実現する。Thereafter, upon receiving the data packet (P17) from the client (C), the firewall (F) changes its SEQ number “CS + 1” to the initial SEQ of the firewall-server connection established by the firewall (F). Based on the number “FW”, the data is rewritten to the SEQ number “FW + 1”, and the data packet (P1
8) is relayed to the server (S). Subsequently, the ACK number “FW + 101” of the ACK packet (P19) from the server (S) is rewritten to the ACK number “CS + 101” based on the initial SEQ number of the client, and the data packet (P20) is rewritten to the client (C). It is realized by relay transfer to.
【0048】上記処理におけるファイアウォール(F)
での処理を図3に示す。The firewall (F) in the above processing
3 is shown in FIG.
【0049】まず、ファイアウォール(F)は、初期設
定として、サーバ(S)との間に新しいファイアウォー
ル−サーバ間コネクションを確立しておき、ファイアウ
ォール(F)側とサーバ(S)側の初期SEQ番号「F
W」、「SS」を保持し(S1)、次にクライエント
(C)から接続要求が来るまで待機する(S2)。クラ
イエント(C)から接続要求があれば、保持しておいた
サーバ側初期SEQ番号「SS」をクライエント(C)
とのコネクション確立に用いてクライエント−ファイア
ウォール間コネクションを確立し、クライエント側初期
SEQ番号「CS」を保持し(S3)、一定期間、クラ
イエント(C)からのTCPデータパケット到着を待機
する(S4)。First, the firewall (F) establishes a new firewall-server connection with the server (S) as an initial setting, and sets an initial SEQ number on the firewall (F) side and the server (S) side. "F
W "and" SS "are held (S1), and the process waits for a connection request from the client (C) (S2). If there is a connection request from the client (C), the server-side initial SEQ number "SS" that has been retained is stored in the client (C).
A client-firewall connection is established using the connection establishment with the client, the client-side initial SEQ number "CS" is held (S3), and a TCP data packet from the client (C) is waited for a certain period of time. (S4).
【0050】一定期間内にクライエント(C)からTC
Pデータパケットが到着した場合、そのTCPデータパ
ケットはクライエント−ファイアウォール間コネクショ
ンのクライエント側初期SEQ番号「CS」を元にした
「CS+△CS」をSEQ番号としているので、これを
ファイアウォール−サーバ間コネクションのファイアウ
ォール側初期SEQ番号「FW」を元としたSEQ番号
「FW+△CS」に書き換えてからサーバ(S)へTC
Pデータパケットを転送する(S5)。転送後、ステッ
プS4に戻る。Within a certain period, the client (C)
When the P data packet arrives, the TCP data packet uses the “CS + ΔCS” based on the client-side initial SEQ number “CS” of the client-firewall connection as the SEQ number. TC to the server (S) after rewriting the initial SEQ number “FW” on the firewall side of the inter-connection to the SEQ number “FW + @ CS” based on
The P data packet is transferred (S5). After the transfer, the process returns to step S4.
【0051】ステップS4において、一定期間内にクラ
イエント(C)からTCPデータパケットが到着しなか
った場合、さらに一定期間、サーバ(S)からのTCP
データパケット到着を待機する(S6)。一定期間内に
サーバ(S)からTCPデータパケットが到着した場
合、そのTCPデータパケットはファイアウォール−サ
ーバ間コネクションのファイアウォール側初期SEQ番
号「FW」を元とした「FW+△FW」をACK番号と
しているので、これをクライエント−ファイアウォール
間コネクションのクライエント側SEQ番号「CS」を
元とした「CS+△CS」に書き換えてからクライエン
ト(C)へTCPデータパケットを転送する(S7)。
転送後、ステップS4に戻る。In step S4, if the TCP data packet has not arrived from the client (C) within a certain period, the TCP data from the server (S) is further sent for a certain period.
It waits for a data packet to arrive (S6). If a TCP data packet arrives from the server (S) within a certain period, the TCP data packet has an ACK number of "FW + @ FW" based on the firewall-side initial SEQ number "FW" of the firewall-server connection. Therefore, this is rewritten to "CS + @ CS" based on the client-side SEQ number "CS" of the client-firewall connection, and then the TCP data packet is transferred to the client (C) (S7).
After the transfer, the process returns to step S4.
【0052】ステップS6において、一定期間内にサー
バ(S)からTCPデータパケットが到着しなかった場
合、タイムアウトか接続先コンピュータからの要求で、
ファイアウォール−サーバ間コネクション、クライエン
ト−ファイアウォール間コネクションのいずれかが切断
されたか判断する(S8)。切断されていなければステ
ップS4に戻る。切断されている場合には、他方のコネ
クションを切断して、保持しておいた各初期SEQ番号
「FW」、「SS」、「CS」をクリアし(S9)、ス
テップS1に戻る。In step S6, if a TCP data packet has not arrived from the server (S) within a certain period, a timeout or a request from the connection destination computer
It is determined whether one of the firewall-server connection and the client-firewall connection has been disconnected (S8). If it has not been disconnected, the process returns to step S4. If it has been disconnected, the other connection is disconnected, and the stored initial SEQ numbers "FW", "SS", and "CS" are cleared (S9), and the process returns to step S1.
【0053】上記処理の結果、ファイアウォール(F)
において、予めサーバ(S)との接続を確保しておくこ
とで、クライエント(C)からの接続時のサーバ(S)
ヘの負荷軽減と、サーバ(S)とクライエント(C)と
の間のTCPデータパケット中継時におけるSEQ番号
およびACK番号の書き換えのみによる中継処理の高速
化を実現することができる。As a result of the above processing, the firewall (F)
In the above, by securing a connection with the server (S) in advance, the server (S) at the time of connection from the client (C)
The load on the server (S) and the client (C) can be reduced, and the speed of the relay process can be increased by only rewriting the SEQ number and the ACK number when relaying the TCP data packet between the server (S) and the client (C).
【0054】(第2の実施形態)第2の実施形態とし
て、本発明に係るサービス中継方法を図1に示した結合
・中継モジュール13に適用した場合について、図4に
示す概念図を参照して説明する。(Second Embodiment) As a second embodiment, a case where the service relay method according to the present invention is applied to the combining / relay module 13 shown in FIG. 1 will be described with reference to a conceptual diagram shown in FIG. Will be explained.
【0055】図4に示す結合・中継モジュール13は、
サーバコンピュータ11とのファイアウォール−サーバ
間コネクションの最大収容本数Mのうち、クライエント
−ファイアウォール間コネクションと結合していないフ
ァイアウォール−サーバ間コネクション数をN本に設定
し管理する未結合コネクション管理部131、ファイア
ウォール−サーバ間コネクションとクライエント−ファ
イアウォール間コネクションとの間で中継を行うコネク
ション間中継処理部132、クライエントコンピュータ
12からの新規コネクション確立要求を処理する新規コ
ネクション処理部133、新規コネクション確立時ある
いは中継時におけるサービス要求の正当性を検証するサ
ービス要求正当性検証部134、中継時のサービス応答
の正当性を検証するサービス応答正当性検証部135か
ら構成される。The coupling / relay module 13 shown in FIG.
An uncoupled connection management unit 131 that sets and manages the number of firewall-server connections that are not coupled to the client-firewall connections to N out of the maximum number M of firewall-server connections with the server computer 11; An inter-connection relay processing unit 132 for relaying between a firewall-server connection and a client-firewall connection, a new connection processing unit 133 for processing a new connection establishment request from the client computer 12, or when a new connection is established or The service request validity verification unit 134 verifies the validity of the service request at the time of relaying, and the service response validity verification unit 135 verifies the validity of the service response at the time of relaying.
【0056】上記構成において、以下に処理の流れに沿
って、その動作を説明する。The operation of the above configuration will be described below along the flow of processing.
【0057】ファイアウォールを構築する結合・中継モ
ジュール13において、未結合コネクション管理部13
1は、サーバコンピュータ11との間で予めN本のファ
イアウォール−サーバ間コネクションを確立しておき、
そのコネクションキーを保持しておく。新規クライエン
トコンピュータ12iから接続要求があったときに、未
結合コネクション数が1以上であれば、新規コネクショ
ン処理部133は、未結合コネクション管理部131に
保持されているコネクションキーを用いて、クライエン
ト−ファイアウォール間コネクションを確立させる。In the connection / relay module 13 for constructing the firewall, the unconnected connection management unit 13
1 establishes N firewall-server connections with the server computer 11 in advance,
Hold the connection key. If the number of unconnected connections is 1 or more when a connection request is received from the new client computer 12i, the new connection processing unit 133 uses the connection key held in the unconnected connection Establish a connection between the server and the firewall.
【0058】次に、サービス要求正当性検証部134
は、結合済みクライエントコンピュータ121〜12n
からのサービス要求を受けると、その正当性を検証す
る。また、サービス応答正当計検証部135は、サーバ
コンピュータ11からのサービス応答を受けると、その
正当性を検証する。コネクション間中継処理部132
は、サービス要求正当性検証部134、サービス応答正
当性検証部135の各検証結果が正当であったときの
み、サーバコンピュータ11と結合済みクライエントコ
ンピュータ121〜12nとの間の中継を行う。Next, the service request validity verification section 134
Are connected client computers 121 to 12n
When the service request is received from, the validity is verified. Upon receiving the service response from the server computer 11, the service response validity total verification unit 135 verifies the validity of the service response. Inter-connection relay processing unit 132
Relays between the server computer 11 and the connected client computers 121 to 12n only when the verification results of the service request validity verification unit 134 and the service response validity verification unit 135 are valid.
【0059】すなわち、コネクション間中継処理部13
2が中継するサービス要求は、サービス要求正当性検証
部134が検証し、正当でなければコネクション間中継
処理部132がクライエントコンピュータ側とサーバコ
ンピュータ側のコネクションを切断し、そうでなければ
中継を行う。同様にコネクション間中継処理部132が
中継するサービス応答は、サービス応答正当性検証部1
35が検証し、正当でなければコネクション間中継処理
部132がクライエントコンピュータ側とサーバコンピ
ュータ側のコネクションを切断し、そうでなければ中継
を行う。That is, the inter-connection relay processing unit 13
2 is verified by the service request validity verification unit 134. If the service request is not valid, the inter-connection relay processing unit 132 disconnects the connection between the client computer and the server computer. Do. Similarly, the service response relayed by the connection-to-connection relay processing unit 132 is the service response validity verification unit 1
If the connection is not valid, the relay processing unit 132 disconnects the connection between the client computer and the server computer, and if not, relays the data.
【0060】上記のモジュール構成によれば、結果とし
て、サーバコンピュータ11のコネクション数をM本以
下に限定することができ、サーバコンピュータにかかる
負荷を限定できる。また、サーバコンピュータとクライ
エントコンピュータ間のサービス要求及びサービス応答
の正当性を検証できる。According to the above module configuration, as a result, the number of connections of the server computer 11 can be limited to M or less, and the load on the server computer can be limited. Further, the validity of the service request and the service response between the server computer and the client computer can be verified.
【0061】(第3の実施形態)第3の実施形態とし
て、図1に示すシステムがTCP/IPで構築されてい
る場合に、本発明に係るサービス中継方法を結合・中継
モジュール13のTCP/IP階層にて実現する場合に
ついて、図5に示すTCP/IP階層構造図を参照して
説明する。尚、図5において、図4と同一機能を果たす
ブロックには同一符号を付して示す。(Third Embodiment) As a third embodiment, when the system shown in FIG. 1 is configured by TCP / IP, the service relay method according to the present invention The case of realization in the IP layer will be described with reference to the TCP / IP layer structure diagram shown in FIG. In FIG. 5, blocks having the same functions as those in FIG. 4 are denoted by the same reference numerals.
【0062】図5に示す階層構造では、ネットワークイ
ンタフェース層、IP層、TCP層、アプリケーション
層を備え、IP層とTCP層との間にコネクション間中
継処理部132を配置し、TCP層に新規コネクション
処理部131、未結合コネクション管理部133を配置
し、アプリケーション層にサービス要求正当性検証部1
34、サービス応答正当性検証部135を配置してい
る。The hierarchical structure shown in FIG. 5 includes a network interface layer, an IP layer, a TCP layer, and an application layer. An inter-connection relay processing unit 132 is arranged between the IP layer and the TCP layer. The processing unit 131 and the unconnected connection management unit 133 are arranged, and the service request validity verification unit 1 is provided in the application layer.
34, a service response validity verification unit 135 is disposed.
【0063】未結合コネクション管理部131は、予め
サーバコンピュータ11との間でサーバ−ファイアウォ
ール間コネクションを確立し、コネクションキーを保持
しておく。クライエントコンピュータ12から新規コネ
クション確立要求があれば、まず、新規コネクション処
理部133が未結合コネクション管理部131に保持さ
れているコネクションキーを用いてコネクションの確立
を行う。The unconnected connection management unit 131 establishes a server-firewall connection with the server computer 11 in advance, and holds a connection key. If there is a new connection establishment request from the client computer 12, first, the new connection processing unit 133 establishes a connection using the connection key held in the unconnected connection management unit 131.
【0064】次に、サービス要求正当性検証部134が
サービス要求を検証し、正当であれば、コネクション間
中継処理部132がサービス要求をサーバコンピュータ
11に転送する。また、サービス応答正当性検証部13
5がサービス要求を検証し、正当であれば、コネクショ
ン間中継処理部132がサービス応答をクライエントコ
ンピュータ12に転送する。以後の処理は、コネクショ
ン間中継処理部132によるパケットヘッダの書き換え
だけで中継が行われる。Next, the service request validity verification section 134 verifies the service request. If the service request is valid, the inter-connection relay processing section 132 transfers the service request to the server computer 11. The service response validity verification unit 13
5 verifies the service request, and if it is valid, the inter-connection relay processing unit 132 transfers the service response to the client computer 12. Subsequent processing is performed only by rewriting the packet header by the inter-connection relay processing unit 132.
【0065】上記のTCP/IP階層でのモジュール構
成によれば、結果として、「アプリケーション・ゲート
ウェイ」と同等のサービス要求の検証ができ、同時に以
後の中継をパケットヘッダの書き換えだけにより行うた
め、「パケット・フィルタリング」と同等の応答速度を
得ることができる。According to the above module configuration in the TCP / IP layer, as a result, a service request equivalent to that of the “application gateway” can be verified, and at the same time, subsequent relaying is performed only by rewriting the packet header. A response speed equivalent to "packet filtering" can be obtained.
【0066】尚、上記の各実施形態では、サーバコンピ
ュータとは別にファイアウォールとして機能する結合・
中継モジュールを備えるシステムに適用する場合につい
て説明したが、サーバコンピュータ自体に各実施形態の
結合・中継モジュールを組み込むことも可能である。In each of the above embodiments, the connection / function that functions as a firewall separately from the server computer.
Although the case where the present invention is applied to a system having a relay module has been described, the coupling / relay module of each embodiment may be incorporated in the server computer itself.
【0067】[0067]
【発明の効果】以上のように本発明によれば、「アプリ
ケーション・ゲートウェイ」と同様にサービス要求の正
当性まで判断する能力と「パケット・フィルタリング」
と同等の応答時間の短さを兼ね備えるファイアウォール
を構築したネットワークサービス中継方法及び中継装置
を提供することができる。As described above, according to the present invention, like the "application gateway", the ability to judge the validity of the service request and the "packet filtering"
It is possible to provide a network service relay method and a relay device in which a firewall having the same short response time as that of the above is constructed.
【0068】また、上記ネットワークサービス中継方法
及び中継装置において、ファイアウォールがサーバの代
わりにクライエントとの間にコネクションを確立するこ
とができ、これによって新規コネクション確立にかかる
サーバの負担を軽減することができる。Further, in the above network service relay method and relay apparatus, the firewall can establish a connection with the client instead of the server, thereby reducing the load on the server for establishing a new connection. it can.
【0069】また、上記ネットワークサービス中継方法
において、ファイアウォールがサーバとクライエントと
の間のコネクションの数を管理することができ、これに
よってサービス提供にかかるサーバの負荷を管理するこ
とができる。Further, in the above network service relay method, the firewall can manage the number of connections between the server and the client, thereby managing the load on the server for providing the service.
【0070】結果として、「アプリケーション・ゲート
ウェイ」方式と同等の強固なサービス要求検証能力を持
ちつつ、コネクション確立後は簡単な処理での中継が可
能で、コネクション確立時のサーバヘの負担が軽減し、
クライエントとサーバの間のコネクション数を管理する
ことのできるネットワークサービス中継方法及び中継装
置を提供することができる。As a result, while having a robust service request verification capability equivalent to that of the “application gateway” system, relaying by simple processing after connection establishment is possible, and the load on the server at the time of connection establishment is reduced.
A network service relay method and a relay device capable of managing the number of connections between a client and a server can be provided.
【図1】 本発明が適用されるTCPネットワークシス
テムの構成を示す概念図。FIG. 1 is a conceptual diagram showing the configuration of a TCP network system to which the present invention is applied.
【図2】 第1の実施形態として、本発明に係るサービ
ス中継方法をシーケンス処理によって実現する場合を説
明するためのシーケンス図。FIG. 2 is a sequence diagram for explaining a case where the service relay method according to the present invention is implemented by sequence processing as the first embodiment.
【図3】 第1の実施形態のファイアウォール(F)で
の処理を示すフローチャート。FIG. 3 is a flowchart illustrating processing in a firewall (F) according to the first embodiment.
【図4】 第2の実施形態として、本発明に係るサービ
ス中継方法を結合・中継モジュールに適用した場合を説
明するための概念図。FIG. 4 is a conceptual diagram illustrating a case where a service relay method according to the present invention is applied to a combining / relay module as a second embodiment.
【図5】 第3の実施形態として、本発明に係るサービ
ス中継方法をTCP/IPネットワークシステムにおけ
る結合・中継モジュール13のTCP/IP階層にて実
現する場合を説明するためのTCP/IP階層構造図。FIG. 5 is a diagram illustrating a TCP / IP layer structure for describing a case where a service relay method according to the present invention is implemented in a TCP / IP layer of a coupling / relay module 13 in a TCP / IP network system as a third embodiment; FIG.
【図6】 TCPのコネクション確立の様子を示すシー
ケンス図。FIG. 6 is a sequence diagram showing how a TCP connection is established.
S…サーバ C…クライエント F…ファイアウォール 11…サーバコンピュータ 12…クライエントコンピュータ 13…機能する結合・中継モジュール(ファイアウォー
ル) 131…未結合コネクション管理部 132…コネクション間中継処理部 133…新規コネクション処理部 134…サービス要求正当性検証部 135…サービス応答正当性検証部S: server C: client F: firewall 11: server computer 12: client computer 13: functioning connection / relay module (firewall) 131: unconnected connection management unit 132: connection relay processing unit 133: new connection processing unit 134: Service request validity verification unit 135: Service response validity verification unit
───────────────────────────────────────────────────── フロントページの続き (72)発明者 盛合 敏 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B089 GA04 GB01 HB18 KA05 KA17 KB13 KG03 KG07 5K030 GA02 GA15 HA08 HD03 JA11 JT06 LB01 LB19 ────────────────────────────────────────────────── ─── Continuing on the front page (72) Inventor Satoshi Morai 2-3-1 Otemachi, Chiyoda-ku, Tokyo Nippon Telegraph and Telephone Corporation F-term (reference) 5B089 GA04 GB01 HB18 KA05 KA17 KB13 KG03 KG07 5K030 GA02 GA15 HA08 HD03 JA11 JT06 LB01 LB19
Claims (18)
ションを双方のコネクションキーに基づいて確立可能な
ネットワークに適用され、あるコンピュータ上のサーバ
によって提供されるサービスを、そのコンピュータとは
別のコンピュータ、もしくは同一のコンピュータによっ
て提供されるファイアウォールを介して、他のコンピュ
ータ上のクライエントに提供するネットワークサービス
中継方法であって、 前記ファイアウォールと前記サーバとの間に予め1本以
上のファイアウォール−サーバ間コネクションを確立
し、前記コネクションに用いられた前記サーバ側と前記
ファイアウォール側のコネクションキーを保持しておく
第1のステップと、 前記クライエントと前記ファイアウォールとの間に第1
のステップで保持しておいた前記サーバ側コネクション
キーの一つを用いてクライエント−ファイアウォール間
コネクションを確立し、前記コネクションの確立に用い
られた前記クライエント側のコネクションキーと前記フ
ァイアウォール側のコネクションキーを保持する第2の
ステップと、 前記クライエント−ファイアウォール間コネクションと
前記ファイアウォール−サーバ間コネクションとを結合
・中継する第3のステップとを具備することを特徴とす
るネットワークサービス中継方法。1. A service which is applied to a network capable of establishing a connection between any two computers based on both connection keys, and which provides a service provided by a server on one computer to another computer. Or a network service relay method provided to a client on another computer through a firewall provided by the same computer, wherein at least one firewall-server connection is previously established between the firewall and the server A first step of establishing a connection key on the server side and the firewall side used for the connection, and a first step between the client and the firewall.
Establishing a client-firewall connection using one of the server-side connection keys held in the step, and connecting the client-side connection key and the firewall-side connection used to establish the connection. A network service relay method, comprising: a second step of retaining a key; and a third step of combining and relaying the client-firewall connection and the firewall-server connection.
トから届くメッセージのコネクションキーを前記ファイ
アウォール−サーバ間コネクションの前記ファイアウォ
ール側のコネクションキーに書き換えて前記サーバへ転
送し、前記サーバから届くメッセージのコネクションキ
ーを前記クライエント−ファイアウォール間コネクショ
ンの前記クライエント側のコネクションキーに書き換え
て前記クライエント側へ転送することを特徴とする請求
項1に記載のネットワークサービス中継方法。2. The method according to claim 1, wherein the third step is to rewrite a connection key of a message arriving from the client into a connection key on the firewall side of the firewall-server connection and transfer the connection key to the server. 2. The network service relay method according to claim 1, wherein a connection key is rewritten to a connection key on the client side of the connection between the client and the firewall and transferred to the client side.
数として整数M(M≧1)が指定されているとき、前記
クライエント−ファイアウォール間コネクションと未結
合のファイアウォール−サーバ間コネクションと、クラ
イエント−ファイアウォール間コネクションと結合済み
のファイアウォール−サーバ間コネクションを合わせ
た、ファイアウォール−サーバ間コネクションの合計が
M本以下となるように、ファイアウォール−サーバ間コ
ネクションの確立を制限することを特徴とする請求項1
に記載のネットワークサービス中継方法。3. The first step includes: when an integer M (M ≧ 1) is specified in advance as the management capacity, the client-firewall connection, the unconnected firewall-server connection, and the client The connection between the firewall and the server is limited so that the total number of connections between the firewall and the server, which is the sum of the connection between the firewall and the server and the connection between the connected firewall and the server, is M or less. Item 1
2. The network service relay method according to item 1.
収容本数として整数N(M≧N≧1)が指定されている
とき、初期状態でN本の未結合ファイアウォール−サー
バ間コネクションを確立する初期化処理を実行すること
を特徴とする請求項3に記載のネットワークサービス中
継方法。4. The first step is to establish N unconnected firewall-server connections in an initial state when an integer N (M ≧ N ≧ 1) is specified in advance as an initial management capacity. 4. The network service relay method according to claim 3, wherein an initialization process is performed.
ォール−サーバ間コネクションの合計がM本以下のと
き、前記未結合ファイアウォール−サーバ間コネクショ
ンの切断または前記クライエント−ファイアウォール間
コネクションとの結合により前記未結合ファイアウォー
ル−サーバ間コネクションがN本より少なくなった場合
に、新たに未結合ファイアウォール−サーバ間コネクシ
ョンを確立して、N本の未結合ファイアウォール−サー
バ間コネクションを維持することを特徴とする請求項4
に記載のネットワークサービス中継方法。5. The method according to claim 1, wherein when the total number of the firewall-server connections is equal to or less than M, the unconnected firewall-server connection is disconnected or the client-firewall connection is connected. When the number of unconnected firewall-server connections becomes less than N, a new unconnected firewall-server connection is established and N unconnected firewall-server connections are maintained. Item 4
2. The network service relay method according to item 1.
ォール−サーバ間コネクションと結合していない未結合
のクライエント−ファイアウォール間コネクションと、
前記ファイアウォール−サーバ間コネクションと結合済
みのファイアウォール−クライエント間コネクションと
を合わせた、クライエント−ファイアウォール間コネク
ションの合計が、前記第1のステップで確立されている
前記ファイアウォール−サーバ間コネクションの合計を
上回らないように、クライエント−ファイアウォール間
コネクションの確立を制限することを特徴とする請求項
1に記載のネットワークサービス中継方法。6. The client-firewall connection not coupled to the firewall-server connection, the second step comprising:
The sum of the client-firewall connection, which is the sum of the firewall-server connection and the combined firewall-client connection, is the sum of the firewall-server connection established in the first step. 2. The network service relay method according to claim 1, wherein the connection between the client and the firewall is limited so as not to exceed the limit.
ントからファイアウォールに対してコネクション確立要
求があった場合に、前記未結合ファイアウォール−サー
バ間コネクションの数と前記未結合クライエント−ファ
イアウォール間コネクションの数を比較し、 サーバ側コネクション数よりクライエント側コネクショ
ン数が上回っていれば、新たにクライエント−ファイア
ウォール間コネクションを確立し、 クライエント側コネクション数がサーバ側コネクション
数と同数か下回るようであれば、クライエントからのコ
ネクション確立要求を廃棄するか、あるいは、前記未結
合ファイアウォール−サーバ間コネクションの数が前記
未結合クライエント−ファイアウォール間コネクション
の数を上回るまでクライエント−ファイアウォール間コ
ネクション確立を遅延することを特徴とする請求項1に
記載のネットワークサービス中継方法。7. The method according to claim 7, wherein, when a connection request is newly issued from the client to the firewall, the number of the unbound firewall-server connections and the number of the unbound client-firewall connections are changed. If the number of client-side connections exceeds the number of server-side connections, a new connection between the client and the firewall is established, and the number of client-side connections is equal to or less than the number of server-side connections. If so, the connection establishment request from the client is discarded, or the client-firewall connection is continued until the number of the unbound firewall-server connections exceeds the number of the unbound client-firewall connections. Network service relaying method according to claim 1, characterized in that the delay between connection establishment.
ト−ファイアウォール間コネクションとファイアウォー
ル−サーバ間コネクションとの結合状態で、前記クライ
エント−ファイアウォール間コネクションを通じて前記
クライエントからのメッセージを受信した場合に、この
メッセージを検証して不正の有無を判定し、 不正と判定された場合に、当該クライエント−ファイア
ウォール間コネクションを切断し、 不正なしと判定された場合に、未結合のファイアウォー
ル−サーバ間コネクションと結合し、当該メッセージを
当該ファイアウォール−サーバ間コネクションを通じて
前記サーバへ転送することを特徴とする請求項1に記載
のネットワークサービス中継方法。8. The method according to claim 3, wherein the third step is a step of connecting the client-firewall connection and the firewall-server connection and receiving a message from the client through the client-firewall connection. This message is verified to determine whether there is any fraud. If determined to be fraudulent, the connection between the client and the firewall is disconnected. If determined to be fraudulent, a connection between the unbound firewall and server is determined. The method according to claim 1, wherein the message is transferred to the server through the firewall-server connection.
ト−ファイアウォール間コネクションとファイアウォー
ル−サーバ間コネクションとの結合状態で、前記クライ
エント−ファイアウォール間コネクションを通じて前記
クライエントからの追加のメッセージを受信した場合
に、このメッセージを検証して不正の有無を判定し、 不正と判定された場合に、当該クライエント−ファイア
ウォール間コネクション及び当該クライエント−ファイ
アウォール間コネクションと結合済みのファイアウォー
ル−サーバ間コネクションを切断し、 不正なしと判定された場合に、受信した追加のメッセー
ジを当該クライエント−ファイアウォール間コネクショ
ンと結合しているファイアウォール−サーバ間コネクシ
ョンを通じて前記サーバヘ転送し、 不正ではないが、追加のメッセージでないと判定された
場合に、受信したメッセージを当該クライエント−ファ
イアウォール間コネクションと結合しているファイアウ
ォール−サーバ間コネクションを通じてそのままサーバ
へ転送することを特徴とする請求項8に記載のネットワ
ークサービス中継方法。9. The third step includes receiving an additional message from the client through the client-firewall connection in a connection state between the client-firewall connection and the firewall-server connection. In this case, this message is verified to determine whether there is any fraud. If it is determined to be fraudulent, the client-firewall connection and the firewall-server connection already connected to the client-firewall connection are disconnected. If it is determined that there is no fraud, the additional message received is forwarded to the server through the firewall-server connection coupled to the client-firewall connection, However, if it is determined that the message is not an additional message, the received message is directly transferred to the server through the firewall-server connection coupled to the client-firewall connection. 2. The network service relay method according to item 1.
ント−ファイアウォール間コネクションとファイアウォ
ール−サーバ間コネクションとの結合状態で、前記ファ
イアウォール−サーバ間コネクションを通じて前記サー
バからのメッセージを受信した場合に、このメッセージ
を検証して不正の有無を判定し、 不正と判定された場合に、当該ファイアウォール−サー
バ間コネクション及び当該ファイアウォール−サーバ間
コネクションと結合済みのクライエント−ファイアウォ
ール間コネクションを切断し、 不正なしと判定された場合に、当該ファイアウォール−
サーバ間コネクションと結合しているクライエント−フ
ァイアウォール間コネクションを通じて前記クライエン
トヘメッセージを転送し、 不正ではないがメッセージでないと判定された場合に、
当該ファイアウォール−サーバ間コネクションと結合し
ているクライエント−ファイアウォール間コネクション
を通じてそのまま前記クライエントへ転送することを特
徴とする請求項1に記載のネットワークサービス中継方
法。10. The method according to claim 10, wherein the third step is a step of receiving a message from the server through the firewall-server connection in a connection state between the client-firewall connection and the firewall-server connection. The message is verified to determine whether there is any fraud. If it is determined to be fraudulent, the firewall-server connection and the client-firewall connection that has been combined with the firewall-server connection are disconnected, and there is no fraud. If it is determined, the firewall
Forwards the message to the client through the client-firewall connection coupled to the server-to-server connection, and if it is determined that the message is not invalid but not a message,
2. The network service relay method according to claim 1, wherein the data is directly transferred to the client through a client-firewall connection coupled to the firewall-server connection.
の制御信号により指定・変更することを特徴とする請求
項3、4、5のいずれかに記載のネットワークサービス
中継方法。11. The network service relay method according to claim 3, wherein the management capacity is designated and changed by a control signal from the server.
イエントをまとめた複数のクライエントグループが存在
するとき、クライエントグループごとに指定・変更する
ことを特徴とする請求項3、4、5のいずれかに記載の
ネットワークサービス中継方法。12. The method according to claim 3, wherein the management capacity is designated and changed for each client group when there are a plurality of client groups in which one or more clients are put together. 6. The network service relay method according to any one of 5.
バをまとめた複数のサーバグループが存在するとき、サ
ーバグループごとに指定・変更することを特徴とする請
求項3、4、5のいずれかに記載のネットワークサービ
ス中継方法。13. The server according to claim 3, wherein the management capacity is designated and changed for each server group when there are a plurality of server groups in which one or more servers are grouped. A network service relay method according to any one of the above.
れるネットワークシステムに適用され、サーバコンピュ
ータとクライエントコンピュータとの間で伝送される情
報を中継し、ファイアウォールとして機能するネットワ
ークサービス中継装置であって、 前記サーバコンピュータとの間で予め決められた本数
で、クライエント−ファイアウォール間コネクションと
未結合のファイアウォール−サーバ間コネクションを確
立し管理する未結合コネクション管理手段と、 前記クライエントコンピュータのうち新規にコネクショ
ン要求のあったクライエントコンピュータとの間でクラ
イエント−ファイアウォール間コネクションを確立する
新規コネクション処理手段と、 前記新規コネクション処理手段で確立されたクライエン
ト−ファイアウォール間コネクションにより結合された
クライエントコンピュータからのサービス要求について
正当性を検証するサービス要求正当性検証手段と、 前記サービス要求正当性検証手段で正当性が認められた
とき、前記クライエント−ファイアウォール間コネクシ
ョンとファイアウォール−サーバ間コネクションとを結
合して被検証サービス要求をサーバコンピュータに転送
し、正当性が認められないとき、前記クライエント−フ
ァイアウォール間コネクションとファイアウォール−サ
ーバ間コネクションとの結合を切断するコネクション間
中継処理手段とを具備することを特徴とするネットワー
クサービス中継装置。14. A network service relay device applied to a network system in which a server client service is performed, relaying information transmitted between a server computer and a client computer, and functioning as a firewall, An unconnected connection management means for establishing and managing a client-firewall connection and an unconnected firewall-server connection with a predetermined number of server computers, and a new connection request among the client computers New connection processing means for establishing a client-firewall connection with a client computer having a problem, and a client-firewall established by the new connection processing means. Service request validity verification means for verifying the validity of the service request from the client computer connected by the connection between the clients, and when the service request validity verification means finds validity, the client-firewall connection The connection is connected to the firewall-server connection and the service request to be verified is transferred to the server computer, and when the validity is not recognized, the connection between the client-firewall connection and the firewall-server connection is disconnected. A network service relay apparatus comprising: an inter-connection relay processing unit.
手段でクライエント−ファイアウォール間コネクション
とファイアウォール−サーバ間コネクションとの結合に
よりサーバコンピュータから送出されるサービス応答に
ついて正当性を検証するサービス応答検証手段を備え、 前記コネクション中継処理手段は、前記サービス応答検
証手段で正当性が認められたとき、被検証サービス要求
をクライエントコンピュータに転送し、正当性が認めら
れないとき、前記クライエント−ファイアウォール間コ
ネクションとファイアウォール−サーバ間コネクション
との結合を切断することを特徴とする請求項14にネッ
トワークサービス中継装置。15. A service response verification means for verifying the validity of a service response sent from a server computer by the connection between a client-firewall connection and a connection between a firewall and a server in said connection relay processing means. The connection relay processing means transfers the service request to be verified to the client computer when the service response verification means finds the validity, and when the validity is not recognized, the connection between the client and the firewall. The network service relay device according to claim 14, wherein the connection with the firewall-server connection is disconnected.
ファイアウォール−サーバ間コネクションの最大収容本
数が指定されているとき、クライエント−ファイアウォ
ール間コネクションと未結合のファイアウォール−サー
バ間コネクション数を最大収容本数以内に制限すること
を特徴とする請求項14に記載のネットワークサービス
中継装置。16. The unbound connection management means,
15. The method according to claim 14, wherein when the maximum number of firewall-server connections is specified, the number of unbound firewall-server connections with the client-firewall connection is limited to the maximum number of connections. Network service relay device.
IP(Transport Communication Protocol/Internet P
rotocol)で構築されているとき、 前記コネクション間中継処理手段は、TCP層とIP層
との間に配置され、前記未結合コネクション管理手段及
び新規コネクション処理手段はTCP層に配置され、前
記サービス要求正当性検証手段はアプリケーション層に
配置されることを特徴とする請求項14に記載のネット
ワークサービス中継装置。17. The method according to claim 17, wherein the network system is a TCP /
IP (Transport Communication Protocol / Internet P
When the connection request is established in a TCP / IP protocol, the inter-connection relay processing means is arranged between a TCP layer and an IP layer, the unconnected connection management means and the new connection processing means are arranged in a TCP layer, and the service request 15. The network service relay device according to claim 14, wherein the validity verification unit is arranged in an application layer.
IP(Transport Communication Protocol/Internet P
rotocol)で構築されているとき、 前記コネクション間中継処理手段は、TCP層とIP層
との間に配置され、前記未結合コネクション管理手段及
び新規コネクション処理手段はTCP層に配置され、前
記サービス要求正当性検証手段及びサービス応答正当性
検証手段はアプリケーション層に配置されることを特徴
とする請求項14に記載のネットワークサービス中継装
置。18. The method according to claim 1, wherein the network system is a TCP /
IP (Transport Communication Protocol / Internet P
When the connection request is established by the protocol, the inter-connection relay processing means is arranged between the TCP layer and the IP layer, the unconnected connection management means and the new connection processing means are arranged in the TCP layer, and the service request 15. The network service relay device according to claim 14, wherein the validity verification unit and the service response validity verification unit are arranged in an application layer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001110528A JP2002312261A (en) | 2001-04-09 | 2001-04-09 | Network service relay method and relay device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001110528A JP2002312261A (en) | 2001-04-09 | 2001-04-09 | Network service relay method and relay device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002312261A true JP2002312261A (en) | 2002-10-25 |
Family
ID=18962279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001110528A Pending JP2002312261A (en) | 2001-04-09 | 2001-04-09 | Network service relay method and relay device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002312261A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7675898B2 (en) | 2003-08-20 | 2010-03-09 | Nec Corporation | Session relay apparatus for relaying data, and a data relaying method |
| US7770211B2 (en) | 2004-06-16 | 2010-08-03 | Nec Infrontia Corporation | Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program |
| JP2015176579A (en) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | Communication control device, communication control method, and program |
| KR102184363B1 (en) * | 2019-07-23 | 2020-11-30 | 한국과학기술원 | Communicating method between host and client with network connector, and network connector proceeding the same |
-
2001
- 2001-04-09 JP JP2001110528A patent/JP2002312261A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7675898B2 (en) | 2003-08-20 | 2010-03-09 | Nec Corporation | Session relay apparatus for relaying data, and a data relaying method |
| US7770211B2 (en) | 2004-06-16 | 2010-08-03 | Nec Infrontia Corporation | Unauthorized access prevention method, unauthorized access prevention apparatus and unauthorized access prevention program |
| JP2015176579A (en) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | Communication control device, communication control method, and program |
| KR102184363B1 (en) * | 2019-07-23 | 2020-11-30 | 한국과학기술원 | Communicating method between host and client with network connector, and network connector proceeding the same |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6003084A (en) | Secure network proxy for connecting entities | |
| Fajardo et al. | Diameter base protocol | |
| US7596802B2 (en) | Method and system for providing connection handling | |
| CN101175013B (en) | Refused service attack protection method, network system and proxy server | |
| JP3262689B2 (en) | Remote control system | |
| RU2269873C2 (en) | Wireless initialization device | |
| US6772334B1 (en) | System and method for preventing a spoofed denial of service attack in a networked computing environment | |
| EP1175061A2 (en) | Computer systems, in particular virtual private networks | |
| US6983325B1 (en) | System and method for negotiating multi-path connections through boundary controllers in a networked computing environment | |
| US20050086295A1 (en) | Asynchronous hypertext messaging system and method | |
| CN1647451B (en) | Apparatus, method and system for monitoring information in a network environment | |
| CN101420455A (en) | Systems and/or methods for streaming reverse http gateway, and network including the same | |
| AU2007320794B2 (en) | Selective session interception method | |
| CN101257450A (en) | Network security protection method, gateway device, client and network system | |
| Natarajan et al. | SCTP: An innovative transport layer protocol for the web | |
| CA2527550A1 (en) | Method for securely associating data with https sessions | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| US20060161667A1 (en) | Server apparatus, communication control method and program | |
| CN104426864B (en) | The realization method and system of cross-region remote order | |
| CN100459611C (en) | Security Management Method for Hypertext Transfer Protocol Service | |
| JP2002312261A (en) | Network service relay method and relay device | |
| Bhagwat et al. | MSOCKS+: an architecture for transport layer mobility | |
| JP3648211B2 (en) | Packet relay program, packet relay device, and recording medium | |
| JPH1132088A (en) | Network system | |
| JP3929969B2 (en) | COMMUNICATION SYSTEM, SERVER, TERMINAL DEVICE, COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM |