JP2003324460A - Error message display method during access control and gateway device - Google Patents
Error message display method during access control and gateway deviceInfo
- Publication number
- JP2003324460A JP2003324460A JP2002132437A JP2002132437A JP2003324460A JP 2003324460 A JP2003324460 A JP 2003324460A JP 2002132437 A JP2002132437 A JP 2002132437A JP 2002132437 A JP2002132437 A JP 2002132437A JP 2003324460 A JP2003324460 A JP 2003324460A
- Authority
- JP
- Japan
- Prior art keywords
- error message
- client terminal
- packet
- server
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】アクセス制御時に,リクエストの送信を行なっ
たクライアント端末に,通信の失敗の原因を特定するこ
とができる程度に十分な情報を持つエラーメッセージを
返答する。
【解決手段】ゲートウェイ装置11は,クライアント端
末10から通信先サーバ12に送信されたリクエストが
予め設定された通信ポリシにおいて通信先サーバへはパ
ケットを転送せずにエラーメッセージを返答すると指定
されている場合に,そのリクエストのパケットの送信先
をエラーメッセージサーバ13に置き換える。エラーメ
ッセージサーバ13は,通信先サーバ12の代わりに,
クライアント端末10のリクエストに対する返答として
エラーメッセージを発行する。ゲートウェイ装置11
は,エラーメッセージサーバ13からの返答パケットの
送信元情報を通信先サーバ12を示すものに置き換え,
クライアント端末10へ配送する。
(57) [Summary] [PROBLEMS] At the time of access control, an error message having information sufficient to identify the cause of a communication failure is returned to a client terminal that transmitted a request. Kind Code: A1 A gateway device is designated to reply to a request transmitted from a client terminal to a communication destination server without transmitting a packet to the communication destination server in a predetermined communication policy. In this case, the destination of the packet of the request is replaced with the error message server 13. The error message server 13 replaces the communication destination server 12 with
An error message is issued as a response to the request from the client terminal 10. Gateway device 11
Replaces the source information of the reply packet from the error message server 13 with information indicating the communication destination server 12,
Deliver to client terminal 10.
Description
【0001】[0001]
【発明の属する技術分野】本発明は,クライアント端末
から送信されたHTTP(Hyper Text TransferProtoco
l)リクエスト等を,アクセス制御により禁止した場合
に,クライアント端末へのエラーメッセージの返答を行
なう方法に関するものである。TECHNICAL FIELD The present invention relates to an HTTP (Hyper Text Transfer Protocol) transmitted from a client terminal.
l) It relates to a method of returning an error message to a client terminal when a request or the like is prohibited by access control.
【0002】[0002]
【従来の技術】パケットフィルタリングによるアクセス
制御を行なった場合の従来の方法として,アクセス制御
装置において,単にパケットを破棄するという方法があ
る。この場合,パケットを送信するクライアントは,返
答を待ち続け,待ち時間のタイムアウトにより通信の失
敗を確認していた。そのため,失敗を確認するまでに時
間がかかることや,失敗の原因を特定する情報を得られ
ないことによる不便さがあった。2. Description of the Related Art As a conventional method for performing access control by packet filtering, there is a method of simply discarding a packet in an access control device. In this case, the client sending the packet kept waiting for the reply and confirmed the communication failure due to the waiting time timeout. Therefore, it takes time to confirm the failure, and it is inconvenient because information for identifying the cause of the failure cannot be obtained.
【0003】また,アクセス制御装置がICMP(Inter
net Control Message Protocol) パケットを返答として
送る場合もあるが,その場合にも,クライアントは失敗
の原因を特定するには不十分な情報しか得られないとい
う不便さがあった。In addition, the access control device uses an ICMP (Inter
Sometimes a Net Control Message Protocol packet is sent in reply, but even then the client has the inconvenience of not getting enough information to determine the cause of the failure.
【0004】[0004]
【発明が解決しようとする課題】本発明は,アクセス制
御時に,HTTPリクエスト等の送信を行なったクライ
アント端末に,通信の失敗の原因を特定することができ
る程度に十分な情報を持つエラーメッセージを返答する
ことを課題とする。SUMMARY OF THE INVENTION According to the present invention, during access control, an error message having sufficient information to identify the cause of communication failure is sent to a client terminal that has transmitted an HTTP request or the like. The task is to reply.
【0005】[0005]
【課題を解決するための手段】本発明は,上記課題を解
決するため,以下の機能を持つゲートウェイ装置および
エラーメッセージサーバを設ける。・「ゲートウェイ装
置」:ゲートウェイ装置は,パケットを受け取ると,あ
らかじめ設定されたアクセス制御ポリシ(通信ポリシ)
に従い,通過,あるいはエラーメッセージなしで破棄,
あるいはエラーメッセージサーバへの転送のための処理
を行なう。パケットをエラーメッセージサーバへ転送す
るために,送信先情報を,通信先サーバを示すものから
エラーメッセージサーバを示すものに置き換え,返答パ
ケットがゲートウェイ装置を経由するようにするため
に,送信元を示すアドレスをゲートウェイ装置のアドレ
スに置き換える。返答パケットに対しては逆変換を行な
う。・「エラーメッセージサーバ」:エラーメッセージ
サーバは,クライアント端末からのHTTPリクエスト
を受け取るとエラーメッセージを発行するWebサーバ
である。In order to solve the above problems, the present invention is provided with a gateway device and an error message server having the following functions. -"Gateway device": When the gateway device receives a packet, the access control policy (communication policy) is set in advance.
, Pass or discard without error message,
Alternatively, processing for transfer to the error message server is performed. In order to transfer the packet to the error message server, the destination information is replaced with the one indicating the communication destination server from the one indicating the error message server, and the source is indicated so that the reply packet passes through the gateway device. Replace the address with the address of the gateway device. Reverse conversion is performed on the reply packet. "Error message server": The error message server is a Web server that issues an error message upon receiving an HTTP request from a client terminal.
【0006】クライアント端末から送信されたパケット
がゲートウェイ装置に到着し,通信ポリシに従いエラー
メッセージを返答する場合には,そのパケットの送信先
アドレスがエラーメッセージサーバを示すものに変換さ
れる。また,返答すべきエラーメッセージの種類に応じ
て異なる送信先情報に変換されるか,あるいは送信先情
報の埋め込みが行なわれる。また,エラーメッセージサ
ーバからユーザへの返答パケットの配送経路上に,ゲー
トウェイ装置がない場合には,パケットにおける送信元
情報を,クライアント端末を示すものから,ゲートウェ
イ装置を示すものに置き換える。これにより,返答パケ
ットの配送時に,返答パケットがゲートウェイ装置を経
由するようにする。変換前後のセッション情報の対応関
係は,ゲートウェイ装置内に保存される。When the packet transmitted from the client terminal arrives at the gateway device and returns an error message in accordance with the communication policy, the destination address of the packet is converted to that indicating the error message server. Further, it is converted into different destination information or the destination information is embedded according to the type of error message to be returned. Also, when there is no gateway device on the delivery route of the reply packet from the error message server to the user, the transmission source information in the packet is replaced from that indicating the client terminal to that indicating the gateway device. This allows the reply packet to pass through the gateway device when the reply packet is delivered. The correspondence between the session information before and after conversion is stored in the gateway device.
【0007】エラーメッセージサーバ宛のパケットとし
てゲートウェイ装置から送信されたパケットは,エラー
メッセージサーバに配送される。そこで,エラーメッセ
ージサーバは,HTTPリクエストへの返答としてエラ
ーメッセージを生成する。このとき,送信先情報に応じ
て異なるエラーメッセージを生成する。ここで生成され
たエラーメッセージは,返答パケットとして送信され
る。A packet transmitted from the gateway device as a packet addressed to the error message server is delivered to the error message server. Therefore, the error message server generates an error message as a response to the HTTP request. At this time, a different error message is generated according to the destination information. The error message generated here is transmitted as a reply packet.
【0008】この返答パケットは,ゲートウェイ装置に
到着すると,送信元情報が,エラーメッセージサーバを
示すものから,クライアント端末にとっての本来の通信
相手である通信先サーバを示すものに変換される。ま
た,エラーメッセージサーバからの返答パケットが,ゲ
ートウェイ装置を経由するように,送信先情報がゲート
ウェイ装置を示すものになっている場合には,その送信
先情報を,本来の送信先であるクライアント端末を示す
ものに置き換える。When the reply packet arrives at the gateway device, the transmission source information is converted from the one indicating the error message server to the one indicating the communication destination server which is the original communication partner of the client terminal. If the destination information indicates the gateway device so that the reply packet from the error message server passes through the gateway device, the destination information is used as the client terminal which is the original destination. Replace with.
【0009】ゲートウェイ装置を出たパケットは,クラ
イアント端末に向けて送信される。クライアント端末で
は,通信先サーバから送られたパケットであるかのよう
にパケットを受け取り,そのパケットに載せられたエラ
ーメッセージを確認する。The packet leaving the gateway device is transmitted to the client terminal. The client terminal receives the packet as if it was sent from the destination server and checks the error message contained in the packet.
【0010】本発明の作用を,従来技術と対比して説明
する。インターネット等におけるDoS(denial of ser
vice) 攻撃への対策として,ある条件のパケットを通過
させないパケットフィルタリング機構を持ったゲートウ
ェイ装置は知られている。しかし,従来のゲートウェイ
装置は,パケットを単に遮断するだけであるため,上位
プロトコルにより通信しているユーザは,エラーの検知
に時間がかかったり,詳細なエラーの内容がわからない
という問題があった。本発明は,通信ポリシによって通
過させないパケットに対して上位プロトコルの応答を,
通信先装置の代わりに行なう手段を持つことにより,従
来の問題点を解決している。The operation of the present invention will be described in comparison with the prior art. DoS (denial of ser) on the Internet etc.
vice) As a countermeasure against attacks, gateway devices with a packet filtering mechanism that does not allow packets under certain conditions to pass through are known. However, since the conventional gateway device merely cuts off the packet, there is a problem that the user communicating with the upper protocol takes a long time to detect the error and does not know the detailed error content. The present invention provides a response of a higher-layer protocol to a packet that is not passed by a communication policy,
By having a means to perform instead of the communication destination device, the conventional problems have been solved.
【0011】[0011]
【発明の実施の形態】ここで,本発明を実現するシステ
ムの一形態の構成について図1を参照して説明する。図
1中,10はクライアント端末,11はゲートウェイ装
置,12は通信先サーバ,13はエラーメッセージサー
バ,14は通信網を表す。ここで説明する形態において
は,ゲートウェイ装置11とエラーメッセージサーバ1
3とは,異なる装置として実装されており,ゲートウェ
イ装置11は,クライアント端末10と通信先サーバ1
2との間に設置され,ゲートウェイ装置11の設置位置
は,エラーメッセージサーバ13からクライアント端末
10へのパケットの直接の配送経路上ではないものとす
る。BEST MODE FOR CARRYING OUT THE INVENTION Here, a configuration of one mode of a system for realizing the present invention will be described with reference to FIG. In FIG. 1, 10 is a client terminal, 11 is a gateway device, 12 is a communication destination server, 13 is an error message server, and 14 is a communication network. In the mode described here, the gateway device 11 and the error message server 1
3 is installed as a device different from that of the gateway device 3, and the gateway device 11 includes a client terminal 10 and a communication destination server 1
It is assumed that the gateway device 11 is installed between the error message server 13 and the client terminal 10 and that the gateway device 11 is not installed on the direct delivery route of the packet.
【0012】以下に,クライアント端末10から通信網
14を介して送信されたHTTPリクエストが,エラー
メッセージサーバ13に転送され,クライアント端末1
0がエラーメッセージサーバ13からエラーメッセージ
を受け取るまでの流れに従って,ゲートウェイ装置11
およびエラーメッセージサーバ13がどのように機能す
るかについて説明する。Below, the HTTP request transmitted from the client terminal 10 via the communication network 14 is transferred to the error message server 13, and the client terminal 1
0 receives an error message from the error message server 13, and the gateway device 11
And how the error message server 13 works.
【0013】まず,クライアント端末10は,通信先サ
ーバ12に対してHTTPリクエストを送信する(図1
の)。HTTPリクエストは,一つまたは複数のパケ
ットとして送信される。パケットは,通信先サーバ12
に配送される経路上でまずゲートウェイ装置11に到着
する。First, the client terminal 10 sends an HTTP request to the destination server 12 (see FIG. 1).
of). The HTTP request is transmitted as one or a plurality of packets. The packet is the destination server 12
First arrives at the gateway device 11 on the route to be delivered to.
【0014】ゲートウェイ装置11では,あらかじめ設
定された通信ポリシに従って,受け取ったパケットに対
してどのような処理を施すかを決定する。通信ポリシ
は,通常,パケットの送信元アドレスや送信先アドレス
の組,およびプロトコル種別等に従い,ファイアーウォ
ール装置等の上において,通信を通過させたり,破棄し
たりすることに関するルールを記述したものである。本
実施の形態では,通過,破棄に加えて,この通信ポリシ
上で「エラーメッセージの返答(通信先サーバへはパケ
ットを転送しない)」という項目を設定可能であるよう
にする。The gateway device 11 determines what kind of processing should be performed on the received packet according to a preset communication policy. The communication policy usually describes rules relating to passing or discarding communication on a firewall device according to a set of a source address and a destination address of a packet, a protocol type, and the like. is there. In this embodiment, in addition to passing and discarding, an item "error message response (do not transfer packet to communication destination server)" can be set on this communication policy.
【0015】通信ポリシに従いパケットを通過させるの
であれば,パケットをそのまま通信先サーバ12に対し
て配送し(図1の),破棄するのであれば,パケット
を破棄する。If the packet is passed in accordance with the communication policy, the packet is delivered to the communication destination server 12 as it is (in FIG. 1), and if it is discarded, the packet is discarded.
【0016】また,エラーメッセージを送信するのであ
れば,パケットの送信先をエラーメッセージサーバ13
に置き換える。このとき,エラーメッセージサーバ13
からの返答パケットが,再びゲートウェイ装置11に戻
ってくるように,パケットの送信元アドレスをゲートウ
ェイ装置11のアドレスに置き換える。そして,変換前
のセッション情報を変換後のセッション情報と関連付け
て保存する。周知のように,通信におけるセッション
は,送信元アドレス,送信先アドレス,プロトコル種
別,送信元ポート番号,送信先ポート番号等によって識
別される。これらの情報がセッション情報である。以上
のアドレス変換処理が終了すると,パケットは,エラー
メッセージサーバ13に向けて送信される(図1の
)。If an error message is to be sent, the destination of the packet is set to the error message server 13
Replace with. At this time, the error message server 13
The source address of the packet is replaced with the address of the gateway device 11 so that the reply packet from the device returns to the gateway device 11 again. Then, the session information before conversion is stored in association with the session information after conversion. As is well known, a session in communication is identified by a source address, a destination address, a protocol type, a source port number, a destination port number and the like. These pieces of information are session information. When the above address conversion processing is completed, the packet is transmitted to the error message server 13 (in FIG. 1).
【0017】エラーメッセージサーバ13はパケットを
受け取ると,エラーメッセージをHTTPリクエストへ
の返答として生成する。このエラーメッセージは,ゲー
トウェイ装置11宛に送られる(図1の)。Upon receiving the packet, the error message server 13 generates an error message as a reply to the HTTP request. This error message is sent to the gateway device 11 (in FIG. 1).
【0018】ゲートウェイ装置11では,エラーメッセ
ージを載せたパケットを受け取る。そして,パケットの
送信元,送信先のアドレスを,あらかじめ保存しておい
た変換前後のセッション情報の対応関係をもとに,それ
ぞれ本来クライアント端末10が通信をしようと試みて
いた通信先サーバ12のアドレス,およびクライアント
端末10のアドレスに置き換える。その後,パケット
は,クライアント端末10に向けて送信される(図1の
)。The gateway device 11 receives the packet carrying the error message. Then, based on the correspondence relationship between the source and destination addresses of the packet, which is stored in advance, and the session information before and after the conversion, the client server 10 of the communication destination server 12 originally attempted to communicate. The address and the address of the client terminal 10 are replaced. After that, the packet is transmitted to the client terminal 10 (in FIG. 1).
【0019】クライアント端末10は,エラーメッセー
ジサーバ13からのパケットを受け取り,エラーメッセ
ージを確認する。The client terminal 10 receives the packet from the error message server 13 and confirms the error message.
【0020】本実施の形態のゲートウェイ装置11が用
いる通信ポリシにおいて,パケットの通過,破棄の他
に,「エラーメッセージの返答」を設定できるようにし
た目的は,以下のとおりである。例えば,あるユーザが
使用するアドレスが複数種類あり,ユーザの安全度(経
路を暗号化しているかどうか,どれくらいの強度の認証
を行なったかなど)に応じて,そのアドレスが使い分け
られている場合において,そのうちの一つのアドレスだ
けが許可され,あとは廃棄されるように設定されていた
とする。このとき,破棄されるアドレスを使用して通信
を試みた場合,そのユーザは,ネットワーク上のトラブ
ルのため通信ができないのか,それとも通信ポリシにお
いて通信することができないのかを判断することが困難
である。In the communication policy used by the gateway device 11 of the present embodiment, the purpose of enabling the setting of "error message reply" in addition to passing and discarding of packets is as follows. For example, if there are multiple types of addresses used by a certain user, and that address is used differently depending on the security level of the user (whether the route is encrypted, how much authentication was performed, etc.), It is assumed that only one of the addresses is allowed and the rest is discarded. At this time, if communication is attempted using the discarded address, it is difficult for the user to determine whether communication is not possible due to a trouble on the network or communication is not possible according to the communication policy. .
【0021】ここで,そのユーザが使用するアドレスの
うち,通過されているアドレス以外のものに対して「エ
ラーメッセージの返答」を指定すれば,そのユーザは,
通信ポリシにおいて通信ができないということを理解す
ることができる。このように,通信ポリシにおいて「エ
ラーメッセージの返答」をサポートすることの目的は,
ユーザに対して,通信が禁止された理由を通知すること
によってユーザの利便性を向上させることにある。If an "error message reply" is specified for an address used by the user other than the passed address, the user will
It can be understood that communication is not possible in the communication policy. Thus, the purpose of supporting "error message response" in the communication policy is to
It is to improve the convenience of the user by notifying the user of the reason why the communication is prohibited.
【0022】上記処理において,ゲートウェイ装置11
にセッション情報を保存する理由は,以下のとおりであ
る。アドレス変換によって送信元アドレスをゲートウェ
イ装置11のアドレスに置き換えた場合,エラーメッセ
ージサーバ13から返答パケットがゲートウェイ装置1
1に戻ってきたときに,そのアドレスを再変換する必要
がある。このため,セッション情報を保存しておき,変
換前後のセッション情報の対応付けに基づいてアドレス
を再変換できるようにする。In the above processing, the gateway device 11
The reason for saving the session information in is as follows. When the source address is replaced with the address of the gateway device 11 by the address conversion, a reply packet is sent from the error message server 13 to the gateway device 1.
When it returns to 1, the address needs to be retranslated. Therefore, the session information is saved so that the address can be re-converted based on the correspondence between the session information before and after the conversion.
【0023】図2は,ゲートウェイ装置11の処理の流
れを示す。ゲートウェイ装置11は,通信網14を介し
てクライアント端末10から通信先サーバ12宛のHT
TPリクエストのパケット(または通信先サーバ12や
エラーメッセージサーバ13からの返答パケット)を受
信する(ステップ201)。パケットを受信すると,あ
らかじめ設定された通信ポリシを参照し,設定されてい
る通信ポリシ上では,受信したパケットを破棄させると
あるかどうかを判定する(ステップ202)。破棄させ
るとあった場合,そのパケットを破棄し(ステップ20
3),ステップ212へ進む。FIG. 2 shows a processing flow of the gateway device 11. The gateway device 11 receives the HT from the client terminal 10 to the destination server 12 via the communication network 14.
The TP request packet (or the reply packet from the communication destination server 12 or the error message server 13) is received (step 201). When the packet is received, the preset communication policy is referred to, and it is determined whether or not the received packet is to be discarded on the set communication policy (step 202). If the packet is to be discarded, the packet is discarded (step 20
3), go to step 212.
【0024】破棄でない場合,通信ポリシ上では,受信
したパケットを通過させるとあるかどうかを判定する
(ステップ204)。通過させるとある場合,ステップ
211へ進み,そのパケットを通信先サーバ12へ向け
て配送する。If the packet is not discarded, it is determined on the communication policy whether the received packet is allowed to pass (step 204). If the packet is allowed to pass, the process proceeds to step 211 and the packet is delivered to the communication destination server 12.
【0025】通過でもない場合,通信ポリシ上では,受
信したパケットに対して「エラーメッセージを返答」と
あるかどうかを判定する(ステップ205)。「エラー
メッセージを返答」とあった場合,ステップ206へ進
み,そうでない場合,ステップ209へ進む。If the packet is not passed, it is judged whether or not the received packet is "reply error message" on the communication policy (step 205). If there is "reply error message", the process proceeds to step 206, and if not, the process proceeds to step 209.
【0026】エラーメッセージの返答とあった場合に
は,まず送信先アドレスをエラーメッセージサーバ13
のアドレスに変更する(ステップ206)。また,送信
元アドレスをゲートウェイ装置11のアドレスに変更す
る(ステップ207)。次に,変換後パケットのセッシ
ョン情報を,変換前のセッション情報と関連付けて保存
する(ステップ208)。その後,ステップ211へ進
み,そのパケットを配送する。If there is a reply to the error message, the destination address is first set to the error message server 13
(Step 206). Further, the source address is changed to the address of the gateway device 11 (step 207). Next, the session information of the converted packet is stored in association with the session information before conversion (step 208). Then, the process proceeds to step 211, and the packet is delivered.
【0027】ステップ209では,受信パケットは,変
換後パケットに対するエラーメッセージサーバ13から
の返答であるかどうかを判定する。変換後パケットに対
する返答でない場合,ステップ212へ進む。変換後パ
ケットに対する返答であった場合,ステップ208で保
存した変換前後のセッション情報の対応付けに基づい
て,パケットの送信元,送信先アドレスを,それぞれ変
換前アドレスに復元する(ステップ210)。そのパケ
ットをクライアント端末10へ配送する(ステップ21
1)。In step 209, it is determined whether or not the received packet is a reply from the error message server 13 to the converted packet. If the reply is not for the converted packet, the process proceeds to step 212. If the reply is for the post-translation packet, the source and destination addresses of the packet are restored to the pre-translation addresses based on the correspondence between the session information before and after the conversion stored in step 208 (step 210). The packet is delivered to the client terminal 10 (step 21)
1).
【0028】ステップ212では,タイムアウトとなる
変換後パケットのセッション情報および変換前パケット
のセッション情報に関する対応関係があれば,それを削
除し,処理を終了する。以上の処理を,パケットの受信
ごとに繰り返す。In step 212, if there is a correspondence relationship between the session information of the post-translation packet and the session information of the pre-translation packet that have timed out, those correspondences are deleted and the process is terminated. The above processing is repeated each time a packet is received.
【0029】図3は,エラーメッセージサーバ13の処
理の流れを示す。エラーメッセージサーバ13は,ゲー
トウェイ装置11からHTTPリクエストのパケットを
受信すると(ステップ301),エラーメッセージを含
んだHTTPレスポンスを返答する(ステップ30
2)。この処理をパケットの受信ごとに繰り返す。FIG. 3 shows a processing flow of the error message server 13. When the error message server 13 receives the HTTP request packet from the gateway device 11 (step 301), it returns an HTTP response including an error message (step 30).
2). This process is repeated each time a packet is received.
【0030】以上のゲートウェイ装置11およびエラー
メッセージサーバ13が行う処理は,コンピュータとソ
フトウェアプログラムとによって実現することができ,
そのプログラムは,コンピュータが読み取り可能な可搬
媒体メモリ,半導体メモリ,ハードディスク等の適当な
記録媒体に格納して,そこから読み出すことによりコン
ピュータに実行させることができる。The processes performed by the gateway device 11 and the error message server 13 described above can be realized by a computer and a software program.
The program can be stored in an appropriate recording medium such as a computer-readable portable medium memory, a semiconductor memory, or a hard disk, and can be read out from the recording medium to be executed by the computer.
【0031】[その他の実施の形態]図1の例では,ゲ
ートウェイ装置11とエラーメッセージサーバ13とが
異なる装置として実装されているが,エラーメッセージ
サーバ13が,ゲートウェイ装置11の中に内蔵されて
いてもよい。[Other Embodiments] In the example of FIG. 1, the gateway device 11 and the error message server 13 are implemented as different devices, but the error message server 13 is built in the gateway device 11. May be.
【0032】返答するエラーメッセージに応じて異なる
アドレスを持つエラーメッセージサーバ13を用意して
もよい。こうすれば,アドレスを変えることで,クライ
アント端末10へ通知するエラーメッセージを変えるこ
とができる。An error message server 13 having a different address depending on the error message to be returned may be prepared. In this way, the error message notified to the client terminal 10 can be changed by changing the address.
【0033】返答するエラーメッセージに応じて,異な
る宛先情報(HTTPリクエスト中のURL等)を,ゲ
ートウェイ装置11がパケットに書き込んでもよい。そ
の場合,エラーメッセージサーバ13は,宛先情報を見
て異なるエラーメッセージを返答する。The gateway device 11 may write different destination information (such as the URL in the HTTP request) in the packet in accordance with the returned error message. In that case, the error message server 13 looks at the destination information and returns a different error message.
【0034】また,ゲートウェイ装置11から見て,エ
ラーメッセージサーバ13が,通信先サーバ12と同じ
方向に設置されているのであれば,ゲートウェイ装置1
1は,クライアント端末10と,通信先サーバ12との
間の経路上に設置されているため,エラーメッセージサ
ーバ13からの返答アドレスは,ゲートウェイ装置11
を経由する。その場合には,パケットにおけるクライア
ント端末10のアドレスを,ゲートウェイ装置11に置
き換えなくてもよい。If the error message server 13 is installed in the same direction as the communication destination server 12 when viewed from the gateway device 11, the gateway device 1
1 is installed on the route between the client terminal 10 and the communication destination server 12, the reply address from the error message server 13 is the gateway device 11
Via. In that case, the address of the client terminal 10 in the packet does not have to be replaced with the gateway device 11.
【0035】[0035]
【発明の効果】本発明は,パケットフィルタリング等の
アクセス制御時にエラーメッセージを返す方法に関する
ものである。パケットフィルタリング等のネットワーク
層におけるアクセス制御は,高速処理が可能であること
から,サービス拒否攻撃によるリソース消費型の攻撃に
対する耐性が高いという特徴を持つが,十分な情報量を
持つエラーメッセージの返答ができないなどの問題があ
った。本発明により,ネットワーク層におけるアクセス
制御においても,エラーメッセージが返答できるように
なり,ユーザの利便性が向上する。The present invention relates to a method of returning an error message during access control such as packet filtering. Since access control at the network layer such as packet filtering is capable of high-speed processing, it is highly resistant to resource-consuming attacks due to denial of service attacks, but error messages with sufficient information can be returned. There was a problem such as not being able to do it. According to the present invention, an error message can be returned even in access control in the network layer, and user convenience is improved.
【0036】例えば,クライアント端末が,ユーザ認証
の手段に応じて異なるアドレスを使用しているという環
境において,通信ポリシにおいて特定のユーザ認証を利
用した場合の通信を拒否しているとする。ユーザが許可
されていないユーザ認証手段を利用している場合,エラ
ーメッセージがないと,別のユーザ認証手段でアクセス
すればよいのか,ネットワーク上のトラブルが発生して
いるのかの区別が困難である。エラーメッセージによ
り,別の認証手段を受けるように指示されれば,ユーザ
は認証手段を変更してアクセスを試みる行動に移りやす
く,利便性が向上する。For example, suppose that the client terminal refuses communication when a specific user authentication is used in the communication policy in an environment where different addresses are used depending on the user authentication means. If the user is using an unauthorized user authentication method and there is no error message, it is difficult to distinguish whether another user authentication method should be used or whether there is a network problem. . If the error message instructs the user to receive another authentication method, the user can easily change the authentication method and try to access, thus improving the convenience.
【図1】本システムの構成例を示す図である。FIG. 1 is a diagram showing a configuration example of the present system.
【図2】ゲートウェイ装置の処理の流れを示す図であ
る。FIG. 2 is a diagram showing a processing flow of a gateway device.
【図3】エラーメッセージサーバの処理の流れを示す図
である。FIG. 3 is a diagram showing a flow of processing of an error message server.
10 クライアント端末 11 ゲートウェイ装置 12 通信先サーバ 13 エラーメッセージサーバ 14 通信網 10 client terminal 11 Gateway device 12 Communication destination server 13 Error message server 14 Communication network
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AC16 BA06 BG02 BG07 CA02 CA04 CA07 5B089 GA11 GA31 JA32 JB17 KA12 KH03 MC08 MD08 5K030 GA16 GA18 HD03 HD07 JA07 MB18 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5B085 AC16 BA06 BG02 BG07 CA02 CA04 CA07 5B089 GA11 GA31 JA32 JB17 KA12 KH03 MC08 MD08 5K030 GA16 GA18 HD03 HD07 JA07 MB18
Claims (5)
にゲートウェイ装置を有するシステムにおけるアクセス
制御時のエラーメッセージ表示方法であって,前記ゲー
トウェイ装置は,前記クライアント端末から前記通信先
サーバに送信されたリクエストがあらかじめ設定された
通信ポリシにおいて通信先サーバへはパケットを転送を
せずにエラーメッセージを返答すると指定されている場
合に,そのクライアント端末から送信されたリクエスト
のパケットの送信先アドレスをエラーメッセージサーバ
のアドレスに置き換え,前記通信先サーバの代わりに前
記エラーメッセージサーバが,前記クライアント端末の
リクエストを受け取り,そのリクエストに対する返答と
して,エラーメッセージを発行し,前記ゲートウェイ装
置が,前記エラーメッセージサーバからの返答パケット
の送信元情報を前記通信先サーバを示すものに置き換え
て,前記クライアント端末へ配送し,前記クライアント
端末が,その返答パケットによるエラーメッセージを受
け取ることを特徴とするアクセス制御時のエラーメッセ
ージ表示方法。1. A method of displaying an error message during access control in a system having a gateway device between a client terminal and a communication destination server, wherein the gateway device is transmitted from the client terminal to the communication destination server. If the request specifies that an error message is to be returned without forwarding the packet to the destination server in the preset communication policy, the destination address of the request packet sent from the client terminal is set to the error message. The error message server replaces the server address, receives the request from the client terminal instead of the communication destination server, issues an error message in response to the request, and the gateway device causes the error message to be transmitted. In the access control, the sender information of the reply packet from the message server is replaced with the one indicating the communication destination server and delivered to the client terminal, and the client terminal receives an error message by the reply packet. How to display error messages.
ント端末から前記通信先サーバに送信されたリクエスト
があらかじめ設定された通信ポリシにおいてアクセス拒
否であると指定されている場合に,前記クライアント端
末から前記通信先サーバへ送ったパケットの送信元情報
を保存した上で,そのパケットの送信元情報を,当該ゲ
ートウェイ装置を示すものに置き換えることにより,前
記エラーメッセージサーバからの返答パケットが,当該
ゲートウェイ装置に届くようにし,その返答パケットの
送信先情報を,あらかじめ保存した前記クライアント端
末を示すものに置き換えることにより,その返答パケッ
トが前記クライアント端末に配送されるようにすること
を特徴とする請求項1に記載のアクセス制御時のエラー
メッセージ表示方法。2. When the request transmitted from the client terminal to the communication destination server is designated as an access denial in a preset communication policy, the gateway device allows the client terminal to communicate with the communication destination. By storing the source information of the packet sent to the server and replacing the source information of the packet with the one indicating the gateway device, the reply packet from the error message server can reach the gateway device. 2. The reply packet is delivered to the client terminal by replacing the destination information of the reply packet with information indicating the client terminal stored in advance. Error message display method during access control .
きエラーメッセージの内容に応じて,異なるアドレスを
持つエラーメッセージサーバに対して前記クライアント
端末からのリクエストの転送を行なうことを特徴とする
請求項1または請求項2に記載のアクセス制御時のエラ
ーメッセージ表示方法。3. The gateway device transfers a request from the client terminal to an error message server having a different address according to the content of the error message to be returned. Alternatively, the error message display method during access control according to claim 2.
ラーメッセージの内容に応じて,前記クライアント端末
から前記通信先サーバに送られるパケットの宛先情報に
エラーメッセージを特定する情報を埋め込むことを特徴
とする請求項1または請求項2に記載のアクセス制御時
のエラーメッセージ表示方法。4. The gateway device embeds information specifying an error message in the destination information of a packet sent from the client terminal to the communication destination server according to the content of the error message to be returned. An error message display method during access control according to claim 1 or 2.
のゲートウェイ装置であって,前記クライアント端末か
ら前記通信先サーバに送信されたリクエストのパケット
があらかじめ設定された通信ポリシにおいてアクセス拒
否であると指定されている場合に,前記クライアント端
末から送信されたパケットの送信先を,当該ゲートウェ
イ装置内または外部に設けられたエラーメッセージサー
バに置き換える手段と,前記通信先サーバの代わりに前
記エラーメッセージサーバが受け取った前記クライアン
ト端末のリクエストに対する返答として,前記エラーメ
ッセージサーバが発行したエラーメッセージの返答パケ
ットを受信する手段と,前記エラーメッセージサーバか
らの返答パケットの送信元情報を前記通信先サーバを示
すものに置き換えて,その返答パケットを前記クライア
ント端末に配送する手段とを備えることを特徴とするゲ
ートウェイ装置。5. A gateway device between a client terminal and a communication destination server, wherein a request packet transmitted from the client terminal to the communication destination server is designated as an access denial in a preset communication policy. In the case where the packet is transmitted, a means for replacing the transmission destination of the packet transmitted from the client terminal with an error message server provided inside or outside the gateway device, and the error message server receiving instead of the communication destination server. A means for receiving a reply packet of an error message issued by the error message server as a reply to the request from the client terminal, and replacing the sender information of the reply packet from the error message server with one indicating the destination server. hand And a means for delivering the reply packet to the client terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002132437A JP2003324460A (en) | 2002-05-08 | 2002-05-08 | Error message display method during access control and gateway device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002132437A JP2003324460A (en) | 2002-05-08 | 2002-05-08 | Error message display method during access control and gateway device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003324460A true JP2003324460A (en) | 2003-11-14 |
Family
ID=29544506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002132437A Pending JP2003324460A (en) | 2002-05-08 | 2002-05-08 | Error message display method during access control and gateway device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003324460A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006087907A1 (en) * | 2005-02-18 | 2006-08-24 | Duaxes Corporation | Communication control device |
| CN100476771C (en) * | 2005-02-18 | 2009-04-08 | Duaxes株式会社 | Communication control device |
| CN107577550A (en) * | 2017-08-31 | 2018-01-12 | 北京奇安信科技有限公司 | A kind of whether abnormal method and device of response for determining access request |
-
2002
- 2002-05-08 JP JP2002132437A patent/JP2003324460A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006087907A1 (en) * | 2005-02-18 | 2006-08-24 | Duaxes Corporation | Communication control device |
| JPWO2006087907A1 (en) * | 2005-02-18 | 2008-07-03 | デュアキシズ株式会社 | Communication control device |
| CN100476771C (en) * | 2005-02-18 | 2009-04-08 | Duaxes株式会社 | Communication control device |
| CN107577550A (en) * | 2017-08-31 | 2018-01-12 | 北京奇安信科技有限公司 | A kind of whether abnormal method and device of response for determining access request |
| CN107577550B (en) * | 2017-08-31 | 2021-02-09 | 奇安信科技集团股份有限公司 | Method and device for determining whether response of access request is abnormal |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ford et al. | TCP extensions for multipath operation with multiple addresses | |
| US7925693B2 (en) | NAT access control with IPSec | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US8006296B2 (en) | Method and system for transmitting information across a firewall | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| JP3662080B2 (en) | Firewall dynamic control method | |
| US7072933B1 (en) | Network access control using network address translation | |
| JP2008523735A (en) | Electronic message distribution system having network device | |
| GB2401010A (en) | A terminal side component and a server side component collaborate and together constitute a client to a server | |
| US20050144441A1 (en) | Presence validation to assist in protecting against Denial of Service (DOS) attacks | |
| US20110320589A1 (en) | Method and device for processing data in a network | |
| US20040030801A1 (en) | Method and system for a client to invoke a named service | |
| JP2005508059A (en) | Authenticating resource requests in computer systems | |
| WO2004021139A2 (en) | Communicating with an entity inside a private network using an existing connection to initiate communication | |
| JP2008504776A (en) | Method and system for dynamic device address management | |
| GB2401011A (en) | A client terminal and a server are each provided with a message queue to facilitate session independent transfer of messages | |
| US20060212554A1 (en) | Control apparatus, communication control method executed by the control apparatus, communication control program controlling the control apparatus, and data processing system | |
| JP2003324460A (en) | Error message display method during access control and gateway device | |
| JP2003163681A (en) | Packet transfer device, packet transfer method, and program | |
| JP2004005398A (en) | Computer network for providing service and method of providing service with computer network | |
| CN100483383C (en) | Remote proxy server agent | |
| CN115460270B (en) | 5G UPF (high speed uplink packet filter) illegal service blocking method and related equipment | |
| WO2005050926A1 (en) | Network session re-construction | |
| JP2002236627A (en) | How to change firewall dynamic ports | |
| US20100161730A1 (en) | System and method for providing redirections |