[go: up one dir, main page]

JP2011035639A - Communication system, vpn device, nic and program - Google Patents

Communication system, vpn device, nic and program Download PDF

Info

Publication number
JP2011035639A
JP2011035639A JP2009179585A JP2009179585A JP2011035639A JP 2011035639 A JP2011035639 A JP 2011035639A JP 2009179585 A JP2009179585 A JP 2009179585A JP 2009179585 A JP2009179585 A JP 2009179585A JP 2011035639 A JP2011035639 A JP 2011035639A
Authority
JP
Japan
Prior art keywords
vpn
terminal
communication
rule
vpn device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009179585A
Other languages
Japanese (ja)
Other versions
JP5433340B2 (en
Inventor
Takahisa Shirakawa
貴久 白川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Embedded Products Ltd
Original Assignee
NEC Embedded Products Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Embedded Products Ltd filed Critical NEC Embedded Products Ltd
Priority to JP2009179585A priority Critical patent/JP5433340B2/en
Publication of JP2011035639A publication Critical patent/JP2011035639A/en
Application granted granted Critical
Publication of JP5433340B2 publication Critical patent/JP5433340B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】イントラネットへのVPN接続に際して端末の通信を制御してイントラネットのセキュリティを確保することができる通信システム等を提供すること。
【解決手段】VPN装置は、自装置とVPN通信を行う端末のネットワークインターフェイス手段に端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段によって、自装置と端末とがVPN通信を行っている間は、端末と自装置以外の機器との通信を制限するルールを設定する。
【選択図】図1An object of the present invention is to provide a communication system or the like that can ensure the security of an intranet by controlling the communication of a terminal during VPN connection to the intranet.
A VPN apparatus is configured such that a self-device and a terminal are connected to each other by a rule setting unit that sets a communication rule for each device connected to the terminal through a network to a network interface unit of the terminal that performs VPN communication with the self-device While performing the VPN communication, a rule is set that restricts communication between the terminal and a device other than the device itself.
[Selection] Figure 1

Description

本発明は、イントラネットへのVPN接続に際しての端末の通信制御技術に関する。   The present invention relates to a communication control technique for a terminal at the time of VPN connection to an intranet.

会社からパーソナルコンピュータ(以下、「PC」という)を支給された従業員は、社外端末としてのPCをイントラネットとしての社内ネットワークに接続して、社内ポータルサイトなどのWebサービスの利用やファイルの共有が可能である。   Employees who have received a personal computer (hereinafter referred to as “PC”) from a company can connect a PC as an external terminal to an internal network as an intranet to use Web services such as an internal portal site and share files. Is possible.

会社側では、データ通信の安全性や信頼性の確保を目的として、VPN(Virtual Private Network)を導入する場合がある。VPNとは、インターネットのような公衆回線を専用回線のように利用できるサービスのことをいう。   A company may introduce a VPN (Virtual Private Network) for the purpose of ensuring safety and reliability of data communication. VPN refers to a service that can use a public line such as the Internet like a dedicated line.

ここで、社内ネットワークに社外端末からインターネット上のVPNを経由した接続(以下、「VPN接続」という)を行う技術が開示されている(例えば、特許文献1参照)。   Here, a technique for performing connection (hereinafter, referred to as “VPN connection”) via a VPN on the Internet from an external terminal to an internal network is disclosed (see, for example, Patent Document 1).

特開2009−64144号公報JP 2009-64144 A

しかしながら、社外端末からイントラネットにVPN接続し、VPN装置とVPN通信を行っている場合において、その社外端末とVPN装置以外のインターネット上の他の装置が直接通信可能であると、イントラネットのセキュリティ上問題がある。   However, when a VPN connection is made from an external terminal to the intranet and VPN communication is performed with the VPN device, if the external terminal and other devices on the Internet other than the VPN device can communicate directly, there is a problem in security of the intranet. There is.

すなわち、イントラネットには一般に、データ通信を管理し、外部からの攻撃(膨大なアクセス数)や不正アクセスから内部ネットワークを守る仕組みであるファイア・ウオールがインターネットとイントラネットとの間に設置される。ところが、イントラネットにVPN接続している社外端末とVPN装置以外のインターネット上の他の装置が直接通信可能であると、不当な目的の第三者が当該他の装置からVPN接続している社外端末を不正に操作すること等により、イントラネットのファイル共有のためのファイルサーバ等にその社外端末を経由してアクセスすることが可能となってしまう。このようにしてファイア・ウオールが無効化されてしまうおそれがある。   That is, in general, a firewall that manages data communication and protects the internal network from external attacks (a large number of accesses) and unauthorized access is installed between the Internet and the intranet. However, if an external terminal that is VPN-connected to the intranet and another device on the Internet other than the VPN device can communicate directly, an external terminal that is illegally connected to the external device by the third party from the other device. It is possible to access a file server or the like for sharing an intranet file via the external terminal by illegally operating the user. In this way, the firewall may be invalidated.

本発明の目的は、イントラネットへのVPN接続に際して端末の通信を制御してイントラネットのセキュリティを確保することができる通信システム、VPN装置、NICおよびプログラムを提供することにある。   An object of the present invention is to provide a communication system, a VPN apparatus, a NIC, and a program capable of ensuring the security of an intranet by controlling communication of a terminal at the time of VPN connection to the intranet.

本発明の第一の通信システムは、VPN装置と該VPN装置とVPN通信を行う端末とを含む通信システムにおいて、
前記VPN装置は、前記端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記VPN装置は、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置以外の機器との通信を制限するルールを設定することを特徴とする。 The first communication system of the present invention is a communication system including a VPN device and a terminal that performs VPN communication with the VPN device.
The VPN apparatus includes rule setting means for setting communication rules for each device connected to the terminal via a network to the network interface means of the terminal,
The VPN device uses the rule setting unit to restrict communication between the terminal and a device other than the VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit. Is set.

また、本発明の第二の通信システムは、VPN装置と該VPN装置とVPN通信を行う端末とを含む通信システムにおいて、
前記VPN装置は、前記端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記VPN装置は、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールを設定し、
前記端末は、前記各機器との通信を行う際に、前記ネットワークインターフェイス手段に設定されているルールを参照し、前記VPN装置とVPN通信を行っている間は前記VPN装置および前記用いられる機器以外の機器との通信は制限されることを特徴とする。 The second communication system of the present invention is a communication system including a VPN device and a terminal that performs VPN communication with the VPN device.
The VPN apparatus includes rule setting means for setting communication rules for each device connected to the terminal via a network to the network interface means of the terminal,
The VPN device does not restrict communication between the terminal and the VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit by the rule setting unit, and Communication between the terminal used for establishing VPN communication between the VPN device and the terminal and the terminal is not restricted, and communication between the device other than the VPN device and the used device and the terminal is restricted. Set rules,
When the terminal communicates with each device, the terminal refers to the rules set in the network interface means, and while performing VPN communication with the VPN device, the terminal other than the VPN device and the device used Communication with other devices is limited.

また、本発明の第一のVPN装置は、自VPN装置とVPN通信を行う端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、自VPN装置と前記端末とがVPN通信を行っている間は、前記端末と自VPN装置以外の機器との通信を制限するルールを設定することを特徴とする。 The first VPN apparatus according to the present invention further includes rule setting means for setting communication rules for each device connected to the terminal via the network in the network interface means of the terminal that performs VPN communication with the own VPN apparatus. ,
The rule setting unit sets a rule for restricting communication between the terminal and a device other than the own VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit. Features.

また、本発明の第二のVPN装置は、自VPN装置とVPN通信を行う端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、自VPN装置と前記端末とがVPN通信を行っている間は、前記端末と自VPN装置との通信を制限せず、かつ、自VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、自VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールを設定することを特徴とする。 The second VPN apparatus of the present invention further includes rule setting means for setting communication rules for each device connected to the terminal via the network in the network interface means of the terminal that performs VPN communication with the own VPN apparatus. ,
While the self VPN apparatus and the terminal are performing VPN communication with the network interface means by the rule setting means, communication between the terminal and the self VPN apparatus is not restricted, and the self VPN apparatus and the terminal Setting a rule that does not restrict communication between the terminal used for establishing the VPN communication of the terminal and the terminal, and restricts communication between the device other than the self-VPN apparatus and the device used and the terminal. It is characterized by.

また、本発明の第一のNICは、VPN装置とVPN通信を行う端末のNICであって、
前記VPN装置のルール設定手段によって、前記端末とネットワークを介して接続される各機器に対する通信のルールを設定され、
前記VPN装置の前記ルール設定手段によって、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置以外の機器との通信を制限するルールが設定されることを特徴とする。 The first NIC of the present invention is a NIC of a terminal that performs VPN communication with a VPN device,
The rule setting means of the VPN device sets communication rules for each device connected to the terminal via a network,
The rule setting means of the VPN device sets a rule for restricting communication between the terminal and a device other than the VPN device while the VPN device and the terminal are performing VPN communication. And

また、本発明の第二のNICは、VPN装置とVPN通信を行う端末のNICであって、
前記VPN装置のルール設定手段によって、前記端末とネットワークを介して接続される各機器に対する通信のルールを設定され、
前記VPN装置の前記ルール設定手段によって、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールが設定され、
前記端末によって、前記各機器との通信を行う際に、設定されているルールが参照されることを特徴とする。 The second NIC of the present invention is a NIC of a terminal that performs VPN communication with a VPN device,
The rule setting means of the VPN device sets communication rules for each device connected to the terminal via a network,
While the VPN device and the terminal are performing VPN communication by the rule setting means of the VPN device, communication between the terminal and the VPN device is not restricted, and the VPN device and the terminal A rule is set that does not restrict communication between the device used to establish VPN communication and the terminal, and restricts communication between the device other than the VPN device and the device used, and the terminal,
When the terminal communicates with each device, a set rule is referred to.

本発明によれば、イントラネットへのVPN接続に際して端末の通信を制御してイントラネットのセキュリティを確保できる。   ADVANTAGE OF THE INVENTION According to this invention, the security of an intranet can be ensured by controlling communication of a terminal at the time of VPN connection to an intranet.

本発明の実施の形態に係るシステム構成を示す図である。It is a figure which shows the system configuration | structure which concerns on embodiment of this invention. 本発明の実施の形態に係るモバイルPC端末1の機能ブロック図である。It is a functional block diagram of mobile PC terminal 1 concerning an embodiment of the invention. 本発明の実施の形態に係るVPN装置2の機能ブロック図である。It is a functional block diagram of the VPN apparatus 2 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン1のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 1 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン1の<1>VPN装置2とのVPN通信を確立するまでのルールの一例を示す図である。It is a figure which shows an example of a rule until establishing the VPN communication with <1> VPN apparatus 2 of the pattern 1 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン1の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 1 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン1の<3>VPN装置2とのVPN通信正常終了時のルールの一例を示す図である。It is a figure which shows an example of the rule at the time of the VPN communication normal end with the <3> VPN apparatus 2 of the pattern 1 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン2のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 2 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン2の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 2 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その1)のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 3 (the 1) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その1)の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 3 (the 1) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その2)のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 3 (the 2) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その2)の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 3 (the 2) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン4(その1)のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 4 (the 1) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン4(その1)の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 4 (the 1) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン4(その2)のルールにより設定されるセキュリティポリシーの一例を示す図である。It is a figure which shows an example of the security policy set by the rule of the pattern 4 (the 2) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン4(その2)の<2>VPN装置2とのVPN通信中のルールの一例を示す図である。It is a figure which shows an example of the rule in VPN communication with the <2> VPN apparatus 2 of the pattern 4 (the 2) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン1について処理動作を説明するフローチャートである。It is a flowchart explaining the processing operation about the pattern 1 which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その1)について処理動作を説明するフローチャートである。It is a flowchart explaining processing operation | movement about the pattern 3 (the 1) which concerns on embodiment of this invention. 本発明の実施の形態に係るパターン3(その2)について処理動作を説明するフローチャートである。It is a flowchart explaining processing operation | movement about the pattern 3 (the 2) which concerns on embodiment of this invention.

以下、本発明の実施の形態について図面を参照して詳細に説明する。図1に示す本実施の形態における通信システムは、インターネット100上のモバイルPC端末1と、イントラネット200上の特定のVPN装置2と、その特定のVPN装置2以外のイントラネット200上の他のVPN装置3と、社内ポータルサイトのWebサービス・ファイルの共有・従業員の在席状況を示すプレゼンス情報などを提供する社内装置4と、ルータ5と、モバイルPC端末1にIPアドレスを割り当てるためのDHCPサーバ6と、インターネット100上の情報処理装置7と、ファイア・ウオール8とから構成されている。
なお、VPN装置2はモバイルPC端末1と当初のVPN通信を行うVPN装置であり、VPN装置3はモバイルPC端末1と当初はVPN通信を行っていないVPN装置である。VPN装置3はイントラネット200上の他のVPN装置の代表として例示したにすぎず、その他多数のイントラネット200上の他のVPN装置が追加される構成も当然考えられる。
また、ルータ5およびDHCPサーバ6は、モバイルPC端末1にIPアドレスを割り当て、モバイルPC端末1が当初のVPN通信を行うVPN装置2とのVPN通信を確立するまでに用いられる機器の例示であり、いずれか一方であったり、その他の機器が追加される構成であってもよい。
また、インターネット100上の情報処理装置7は、インターネット100上の種々の多数の機器の代表として例示したにすぎず、その他多数のインターネット100上の情報処理装置が追加される構成も当然考えられる。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. The communication system in the present embodiment shown in FIG. 1 includes a mobile PC terminal 1 on the Internet 100, a specific VPN device 2 on the intranet 200, and other VPN devices on the intranet 200 other than the specific VPN device 2. 3, an in-house portal site Web service, file sharing, in-house device 4 providing presence information indicating the presence of employees, a router 5, and a DHCP server for assigning an IP address to the mobile PC terminal 1 6, an information processing device 7 on the Internet 100, and a fire wall 8.
The VPN apparatus 2 is a VPN apparatus that performs initial VPN communication with the mobile PC terminal 1, and the VPN apparatus 3 is a VPN apparatus that does not initially perform VPN communication with the mobile PC terminal 1. The VPN apparatus 3 is merely illustrated as a representative of other VPN apparatuses on the intranet 200, and a configuration in which other VPN apparatuses on a number of other intranets 200 are added is naturally conceivable.
The router 5 and the DHCP server 6 are examples of devices used until an IP address is assigned to the mobile PC terminal 1 and the mobile PC terminal 1 establishes VPN communication with the VPN apparatus 2 that performs initial VPN communication. , Either one or a configuration in which other devices are added may be used.
In addition, the information processing apparatus 7 on the Internet 100 is merely illustrated as a representative of various devices on the Internet 100, and a configuration in which many other information processing apparatuses on the Internet 100 are added is naturally conceivable.

モバイルPC端末1の機能ブロック図を図2に示す。図2を参照すると、モバイルPC端末1は、アプリケーション(AP)11と、Windows(登録商標)2000/XP/VistaなどのOS(Operating System)12と、無線LAN等のネットワークインターフェイス手段としてのNIC(Network Interface Card)13と、制御手段としてのCPU14と、通信部15とを備えている可搬情報処理装置である。なお、OS12にはVPNクライアント機能が標準に装備されている場合もあるし、後から追加する場合もある。このVPNクライアント機能を利用することによってVPN接続環境を構築し、イントラネット200へVPN接続する。VPN接続環境を構築するためには、VPN装置2やVPN装置3−nのIPアドレスやポート番号の設定および認証IDやパスワードの指定が必要とされる。
モバイルPC端末1は、イントラネット200にVPN接続し、VPN装置2とVPN通信を行う場合、IPアドレスを割り当ててもらうべく、ルータ5やDHCPサーバ6と通信し、その後VPN装置2との通信を確立する。
NIC13には、通信が許可される相手機器のリストであるホワイトリストや通信が許可されるパケットの量やサイズ等の各種のセキュリティポリシーとしてのルールが設定される。このルールはVPN通信を行うVPN装置2やVPN装置3によって設定内容が書き換えられる。 A functional block diagram of the mobile PC terminal 1 is shown in FIG. Referring to FIG. 2, a mobile PC terminal 1 includes an application (AP) 11, an OS (Operating System) 12 such as Windows (registered trademark) 2000 / XP / Vista, and a NIC (Network Interface Unit) such as a wireless LAN. The portable information processing apparatus includes a network interface card 13, a CPU 14 as control means, and a communication unit 15. The OS 12 may be equipped with a VPN client function as standard, or may be added later. By using this VPN client function, a VPN connection environment is constructed and VPN connection to the intranet 200 is established. In order to construct a VPN connection environment, it is necessary to set the IP address and port number of the VPN apparatus 2 and VPN apparatus 3-n and specify the authentication ID and password.
When the mobile PC terminal 1 makes a VPN connection to the intranet 200 and performs VPN communication with the VPN apparatus 2, the mobile PC terminal 1 communicates with the router 5 and the DHCP server 6 to establish an IP address, and then establishes communication with the VPN apparatus 2. To do.
The NIC 13 is set with various security policy rules such as a white list, which is a list of counterpart devices that are permitted to communicate, and the amount and size of packets that are permitted to communicate. The setting contents of this rule are rewritten by the VPN device 2 and the VPN device 3 that perform VPN communication.

VPN装置2の機能ブロック図を図3に示す。なお、VPN装置2はモバイルPC端末1と当初のVPN通信を行うVPN装置であり、VPN装置3はモバイルPC端末1と当初はVPN通信を行っていないVPN装置であると区別しているに過ぎず基本的な構成は同様であるので、ここではVPN装置2を例として説明する。なお、イントラネットには複数のVPN装置が設置されていることも多く、例えば、東京支店と北京支店が同一のイントラネット上にある場合、日本国内からのモバイルPC端末1からのVPN接続は東京支店のVPN装置との間で確立される例が挙げられる。
図3を参照すると、VPN装置2は、アプリケーション(AP)21と、OS(Operating System)22と、制御手段としてのCPU23と、モバイルPC端末1のNIC13にセキュリティポリシーとしての通信制限のルールを設定するルール設定部24と、モバイルPC端末1との少量のデータのやりとりでVPN通信を確立する確立部25とVPN通信を行う通信部26とを備えている情報処理装置である。なお、社内装置4は、VPN装置2を介してモバイルPC端末1から社内ポータルサイトや共有ファイルを送るよう指示されると、社内ポータルサイトや共有ファイルをモバイルPC端末1に送る。 A functional block diagram of the VPN apparatus 2 is shown in FIG. Note that the VPN device 2 is a VPN device that performs initial VPN communication with the mobile PC terminal 1, and the VPN device 3 is merely distinguished from the mobile PC terminal 1 as a VPN device that is not initially performing VPN communication. Since the basic configuration is the same, the VPN apparatus 2 will be described as an example here. In many cases, a plurality of VPN devices are installed in the intranet. For example, when the Tokyo branch and the Beijing branch are on the same intranet, the VPN connection from the mobile PC terminal 1 from Japan is connected to the Tokyo branch. An example is established with a VPN device.
Referring to FIG. 3, the VPN apparatus 2 sets an application (AP) 21, an OS (Operating System) 22, a CPU 23 as a control unit, and a communication restriction rule as a security policy in the NIC 13 of the mobile PC terminal 1. The information processing apparatus includes a rule setting unit 24 that performs communication, a establishing unit 25 that establishes VPN communication by exchanging a small amount of data with the mobile PC terminal 1, and a communication unit 26 that performs VPN communication. When the in-house device 4 is instructed to send the in-house portal site and the shared file from the mobile PC terminal 1 via the VPN device 2, the in-house device 4 sends the in-house portal site and the shared file to the mobile PC terminal 1.

次に、VPN装置2等のルール設定部24によってモバイルPC端末1のNIC13に設定されるセキュリティポリシーとしてのルールの内容を説明する。以下では、パターン1〜パターン4について述べる。
パターン1は、モバイルPC端末1は仕事用なのでネットサーフィン等のインターネット100へのVPN未利用時も含みファイア・ウオール8を介さない直接の接続は認めないケースである。
パターン2は、モバイルPC端末1のネットサーフィン等のインターネット100へのVPN未利用時も含みファイア・ウオール8を介さない直接の接続を認めるケースである。
パターン3(その1、その2を含む)は、パターン1のケースでVPN接続の異常終了を考慮したケースである。
パターン4(その1、その2を含む)は、パターン2のケースでVPN接続の異常終了を考慮したケースである。 Next, the contents of the rule as the security policy set in the NIC 13 of the mobile PC terminal 1 by the rule setting unit 24 of the VPN device 2 or the like will be described. Hereinafter, Pattern 1 to Pattern 4 will be described.
Pattern 1 is a case where the mobile PC terminal 1 is used for work, and direct connection without using the firewall 8 is not permitted, including when the VPN 100 is not used, such as surfing the Internet.
Pattern 2 is a case in which direct connection without using the firewall 8 is permitted even when the VPN is not used to the Internet 100 such as surfing the mobile PC terminal 1.
Pattern 3 (including part 1 and part 2) is a case in which abnormal termination of the VPN connection is considered in the case of pattern 1.
Pattern 4 (including 1 and 2) is a case in which abnormal termination of the VPN connection is considered in the case of Pattern 2.

まず、パターン1として、モバイルPC端末1とVPN装置2以外のインターネット100上の情報処理装置7等が直接通信可能であると、ウイルスなどの不正プログラムに感染したり、業務に無関係なサイトの閲覧など業務効率の低下が起きるリスクがある。このようなリスクを回避すべく、VPN装置2のIPアドレス以外のIPアドレスとの通信を制限する場合について説明する。   First, as the pattern 1, if the information processing device 7 on the Internet 100 other than the mobile PC terminal 1 and the VPN device 2 can communicate directly, a site that is infected with a malicious program such as a virus or that is not related to business is browsed. There is a risk that business efficiency will decrease. A case will be described in which communication with an IP address other than the IP address of the VPN device 2 is restricted in order to avoid such a risk.

このパターン1のルールにより設定されるセキュリティポリシーの一例を、図4の表に示した。図4を参照すると、ルールの対象機器として、(1)モバイルPC端末1と当初のVPN通信を行うVPN装置2、(2)モバイルPC端末1にIPアドレスを割り当て、モバイルPC端末1が当初のVPN通信を行うVPN装置2とのVPN通信を確立するまでに用いられる機器であるルータ5およびDHCPサーバ6、(3)モバイルPC端末1と当初はVPN通信を行っていないVPN装置3、(4)インターネット100上の情報処理装置7がある。   An example of the security policy set by the rule of pattern 1 is shown in the table of FIG. Referring to FIG. 4, as a target device of the rule, (1) a VPN device 2 that performs initial VPN communication with the mobile PC terminal 1, (2) an IP address is assigned to the mobile PC terminal 1, and the mobile PC terminal 1 The router 5 and the DHCP server 6, which are devices used until the establishment of the VPN communication with the VPN device 2 that performs the VPN communication, (3) the VPN device 3 that does not initially perform the VPN communication with the mobile PC terminal 1, (4 There is an information processing device 7 on the Internet 100.

また、図4を参照すると、時系列として、<1>VPN装置2とのVPN通信を確立するまで、<2>VPN装置2とのVPN通信中、<3>VPN装置2とのVPN通信正常終了時がある。   Referring to FIG. 4, <3> VPN communication with the VPN apparatus 2 is normal during <2> VPN communication with the VPN apparatus 2 until <1> VPN communication with the VPN apparatus 2 is established as time series. There is an end time.

図4の表に示す記号の意味として、「○」は、通信が許可されるパケットの量やサイズに制限がないことを意味している。また、「△」は、通信が許可されるパケットの量やサイズに制限(非常に小さい値、例えば、VPN装置2との少量のデータのやりとりでVPN通信を確立するために必要な値である。)があることを意味している。また、「×」は、通信が許可されるパケットの量やサイズがゼロに制限、すなわち通信がまったく許可されないことを意味している。   As the meaning of the symbols shown in the table of FIG. 4, “◯” means that there is no limit on the amount or size of packets that are allowed to be communicated. Further, “Δ” is limited to the amount and size of packets permitted for communication (very small value, for example, a value necessary for establishing VPN communication by exchanging a small amount of data with the VPN apparatus 2). .) Means that there is. Further, “x” means that the amount or size of packets permitted for communication is limited to zero, that is, communication is not permitted at all.

以下では、図4に示すパターン1のルールにより設定されるセキュリティポリシーが適用された場合の各対象機器の通信状況を時系列に沿って説明する。   In the following, the communication status of each target device when the security policy set by the rule of pattern 1 shown in FIG. 4 is applied will be described in time series.

まず、<1>VPN装置2とのVPN通信を確立するまで
上記(2)のルータ5およびDHCPサーバ6は「○」である。これは、モバイルPC端末1にIPアドレスを割り当てる等のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。逆に言えば、ルータ5およびDHCPサーバ6以外の機器は「△」であれば十分となり、ネットサーフィン等のインターネット100への接続は認めないのであるから「△」でよい。
具体的には、図5に示すように、ルール1により、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズに制限(小さい値)があり(「△」)が設定され、ルール2の第一のホワイトリストにより、ポート番号で指定されるルータ5およびDHCPサーバ6に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。ここでのルール1およびルール2の内容は、出荷時の初期設定や予め所定のVPN装置等により設定されているものとする。 First, <1> Until the VPN communication with the VPN apparatus 2 is established, the router 5 and the DHCP server 6 in the above (2) are “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for the exchange of assigning an IP address to the mobile PC terminal 1. In other words, “Δ” is sufficient for devices other than the router 5 and the DHCP server 6, and “Δ” is sufficient because connection to the Internet 100 such as Internet surfing is not permitted.
Specifically, as shown in FIG. 5, if rule 1 does not conform to other rules, there is a restriction (small value) on the amount and size of packets that are allowed to be communicated for all devices (“Δ”). ”) Is set, and the router 5 and the DHCP server 6 specified by the port numbers are not limited in the amount or size of packets permitted to be communicated by the first white list of the rule 2 (“ ◯ ”). It may be realized by setting. The contents of rule 1 and rule 2 here are assumed to be set by the initial setting at the time of shipment or by a predetermined VPN device or the like.

次に、<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的である。
具体的には、図6に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズがゼロに制限(「×」)に書き換え、ルール2を停止し、ルール3の第二のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Next, <2> VPN communication with the VPN device 2 The VPN device 2 in (1) is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. Ideally, the device other than is “x”.
Specifically, as shown in FIG. 6, if rule 1 does not conform to other rules, the amount and size of packets permitted to be communicated for all devices are limited to zero ("x"). The rule 2 is stopped, and the VPN device 2 specified by the IP address and the port number is not limited by the second white list of the rule 3 with respect to the amount or size of packets permitted to be communicated (“◯”). May be realized by setting.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。そして、ルータ5およびDHCPサーバ6は上記の<1>の状態に戻すべく、「○」となり、VPN装置2とルータ5およびDHCPサーバ6以外の機器は上記の<1>の状態に戻すべく、「△」となる。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりVPN装置2は「○」から「×」となる。
具体的には、図7に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズに制限(小さい値)があり(「△」)に書き換え、ルール2の停止を解除し、ルール3をそのままの設定とすることで実現されてよい。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. Then, the router 5 and the DHCP server 6 become “◯” to return to the above <1> state, and the devices other than the VPN device 2 and the router 5 and the DHCP server 6 return to the above <1> state. “△”. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the VPN apparatus 2 is changed from “◯” to “X” by the process <2>.
Specifically, as shown in FIG. 7, if rule 1 does not conform to other rules, there is a restriction (small value) on the amount and size of packets that are allowed to be communicated for all devices (“Δ”). ]), The suspension of the rule 2 is canceled, and the rule 3 is set as it is.

次に、パターン2について説明する。このパターン2のルールにより設定されるセキュリティポリシーの一例を、図8の表に示した。基本的には上述のパターン1と同様であり、重複する説明は省略する。   Next, the pattern 2 will be described. An example of the security policy set by the rule of pattern 2 is shown in the table of FIG. Basically, it is the same as the above-described pattern 1, and a duplicate description is omitted.

まず、<1>VPN装置2とのVPN通信を確立するまで
すべての機器は「○」である。上記(2)のルータ5およびDHCPサーバ6は、モバイルPC端末1にIPアドレスを割り当てる等のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。さらに、ルータ5およびDHCPサーバ6以外の機器についても、ネットサーフィン等のインターネット100への接続を認めるのであるから「○」でよい。
なお具体的な設定は不要である。 First, <1> All devices are “O” until VPN communication with the VPN apparatus 2 is established. This is because it is not appropriate for the router 5 and the DHCP server 6 in the above (2) to limit the amount and size of packets that are allowed to be communicated for exchange such as assigning an IP address to the mobile PC terminal 1. . Furthermore, since devices other than the router 5 and the DHCP server 6 are permitted to connect to the Internet 100 such as surfing the Internet, “o” is acceptable.
No specific setting is required.

次に、<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的である。
具体的には、図9に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズがゼロに制限(「×」)に設定し、ルール2のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Next, <2> VPN communication with the VPN device 2 The VPN device 2 in (1) is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. Ideally, the device other than is “x”.
Specifically, as shown in FIG. 9, if rule 1 does not conform to other rules, the amount and size of packets that are permitted to be communicated for all devices are set to zero ("x"). This is realized by setting the number and size of packets permitted to be communicated to the VPN device 2 specified by the IP address and port number according to the white list of rule 2 (“◯”). Good.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。そして、VPN装置2以外の機器は上記の<1>の状態に戻すべく、「○」となる。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりVPN装置2は「○」から「×」となる。
具体的には、図9に示すようなルール1およびルール2を削除することで実現されてよい。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. Then, devices other than the VPN device 2 become “◯” to return to the above state <1>. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the VPN apparatus 2 is changed from “◯” to “X” by the process <2>.
Specifically, it may be realized by deleting rule 1 and rule 2 as shown in FIG.

次に、パターン3(その1)について説明する。このパターン3(その1)のルールにより設定されるセキュリティポリシーの一例を、図10の表に示した。基本的には上述のパターン1と同様であり、重複する説明は省略する。
パターン3(その1、その2を含む)は、パターン1のケースでVPN接続の異常終了を考慮したケースである。すなわち、NIC13はハードウェアであり異常終了してもルールにより設定されるセキュリティポリシーは保持されたままであり、VPN装置2以外の機器は「×」であるので、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信が不可能となり再度VPN接続できないこととなる。パターン3は、モバイルPC端末1やVPN装置2のシャットダウン、意図せぬ電源OFF等によりVPN接続が異常終了した場合に再度VPN接続を可能とする。 Next, pattern 3 (part 1) will be described. An example of the security policy set by the rule of pattern 3 (part 1) is shown in the table of FIG. Basically, it is the same as the above-described pattern 1, and a duplicate description is omitted.
Pattern 3 (including part 1 and part 2) is a case in which abnormal termination of the VPN connection is considered in the case of pattern 1. That is, since the NIC 13 is hardware and the security policy set by the rule is retained even if it terminates abnormally, the devices other than the VPN device 2 are “x”. Communication with the router 5 and the DHCP server 6 when trying to do so becomes impossible and VPN connection cannot be made again. The pattern 3 enables the VPN connection again when the VPN connection is abnormally terminated due to the shutdown of the mobile PC terminal 1 or the VPN apparatus 2 or the unintended power-off.

以下、パターン3(その1)についてパターン1との相違点を説明する。
<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的である。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。
具体的には、図11に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズがゼロに制限(「×」)に書き換え、ルール2をそのままの設定とし、ルール3の第二のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Hereinafter, the difference between the pattern 3 (part 1) and the pattern 1 will be described.
<2> During VPN communication with the VPN apparatus 2 The VPN apparatus 2 of (1) above is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. Ideally, the device other than is “x”. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.
Specifically, as shown in FIG. 11, if rule 1 does not conform to other rules, the amount and size of packets permitted to be communicated for all devices are limited to zero ("x"). The rule 2 is set as it is, and according to the second white list of the rule 3, there is no restriction on the amount or size of packets permitted to be communicated to the VPN apparatus 2 specified by the IP address and the port number (“◯ “)” May be set.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。そして、ルータ5およびDHCPサーバ6は上記の<1>の状態に戻すべく、「○」となり、VPN装置2とルータ5およびDHCPサーバ6以外の機器は上記の<1>の状態に戻すべく、「△」となる。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりVPN装置2は「○」から「×」となる。
具体的には、図7に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズに制限(小さい値)があり(「△」)に書き換え、ルール2をそのままの設定とし、ルール3を削除することで実現されてよい。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. Then, the router 5 and the DHCP server 6 become “◯” to return to the above <1> state, and the devices other than the VPN device 2 and the router 5 and the DHCP server 6 return to the above <1> state. “△”. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the VPN apparatus 2 is changed from “◯” to “X” by the process <2>.
Specifically, as shown in FIG. 7, if rule 1 does not conform to other rules, there is a restriction (small value) on the amount and size of packets that are allowed to be communicated for all devices (“Δ”). ”), The rule 2 is set as it is, and the rule 3 is deleted.

次に、パターン3(その2)について説明する。このパターン3(その2)のルールにより設定されるセキュリティポリシーの一例を、図12の表に示した。基本的には上述のパターン1と同様であり、重複する説明は省略する。
パターン3は、パターン1のケースでVPN接続の異常終了を考慮したケースであるが、上述のパターン3(その1)では、モバイルPC端末1と当初のVPN通信を行うVPN装置2としか再度のVPN接続ができない。なぜならVPN装置2以外のVPN装置3は<2>VPN装置2とのVPN通信中は「×」の設定であり、VPN接続を確立するための最小限の通信のやりとりすら不可能だからである。パターン3(その2)は、モバイルPC端末1やVPN装置2のシャットダウン、意図せぬ電源OFF等によりVPN接続が異常終了した場合であってVPN装置2が復旧しないとき等に再度のVPN接続をVPN装置2以外のVPN装置3と可能とする。 Next, pattern 3 (part 2) will be described. An example of the security policy set by the rule of pattern 3 (part 2) is shown in the table of FIG. Basically, it is the same as the above-described pattern 1, and a duplicate description is omitted.
Pattern 3 is a case in which abnormal termination of the VPN connection is considered in the case of pattern 1, but in the above-described pattern 3 (part 1), only the VPN apparatus 2 that performs the initial VPN communication with the mobile PC terminal 1 is used again. VPN connection is not possible. This is because the VPN apparatus 3 other than the VPN apparatus 2 is set to “x” during the VPN communication with the <2> VPN apparatus 2 and even the minimum communication for establishing the VPN connection is impossible. Pattern 3 (No. 2) is a case where the VPN connection is terminated abnormally due to the shutdown of the mobile PC terminal 1 or the VPN apparatus 2 or the power supply is turned off unintentionally, and the VPN apparatus 2 is not restored. A VPN apparatus 3 other than the VPN apparatus 2 can be used.

以下、パターン3(その2)についてパターン3(その1)との相違点を説明する。
<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的であるが、VPN通信を確立するための最小限のデータのやりとりを許可すべく、VPN装置2以外の機器は「△」のままとする。したがって、VPN装置3も「△」のままである。なお、情報処理装置7ともデータのやりとりが可能となってしまうが、「△」であり最小限のデータのやりとりのみ許可されるにすぎなく、モバイルPC端末1をのっとった形によりファイア・ウオールの無効化を可能とするまでの大幅なデータのやりとりは禁止されるのでセキュリティ上の問題はない。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。
具体的には、図13に示すように、ルール1およびルール2をそのままの設定とし、ルール3の第二のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Hereinafter, the difference between the pattern 3 (part 2) and the pattern 3 (part 1) will be described.
<2> During VPN communication with the VPN apparatus 2 The VPN apparatus 2 of (1) above is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. The devices other than the VPN device 2 are ideally set to “x”, but the devices other than the VPN device 2 remain “Δ” in order to allow the minimum data exchange for establishing the VPN communication. Therefore, the VPN apparatus 3 also remains “Δ”. Although data exchange with the information processing device 7 is possible, only “minimum” is allowed and only minimal data exchange is permitted. Since a large amount of data exchange until the invalidation is possible is prohibited, there is no security problem. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.
Specifically, as shown in FIG. 13, rule 1 and rule 2 are set as they are, and communication is permitted to VPN apparatus 2 specified by the IP address and port number by the second white list of rule 3. This may be realized by setting no limit (“◯”) on the amount or size of the packet to be transmitted.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりルール3が書き換えられてVPN装置2は「○」から「△」となる。
なお具体的な設定は不要である。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the rule 3 is rewritten by the process <2>, and the VPN apparatus 2 changes from “◯” to “Δ”.
No specific setting is required.

次に、パターン4(その1)について説明する。このパターン4(その1)のルールにより設定されるセキュリティポリシーの一例を、図14の表に示した。基本的には上述のパターン2と同様であり、重複する説明は省略する。
パターン4は、パターン2のケースでVPN接続の異常終了を考慮したケースである。すなわち、NIC13はハードウェアであり異常終了してもルールにより設定されるセキュリティポリシーは保持されたままであり、VPN装置2以外の機器は「×」であるので、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信が不可能となり再度VPN接続できないこととなる。パターン3は、モバイルPC端末1やVPN装置2のシャットダウン、意図せぬ電源OFF等によりVPN接続が異常終了した場合に再度VPN接続を可能とする。 Next, pattern 4 (part 1) will be described. An example of the security policy set by the rule of pattern 4 (part 1) is shown in the table of FIG. Basically, it is the same as the above-described pattern 2, and a duplicate description is omitted.
Pattern 4 is a case in which abnormal termination of the VPN connection is considered in the case of Pattern 2. That is, since the NIC 13 is hardware and the security policy set by the rule is retained even if it terminates abnormally, the devices other than the VPN device 2 are “x”. Communication with the router 5 and the DHCP server 6 when trying to do so becomes impossible and VPN connection cannot be made again. The pattern 3 enables the VPN connection again when the VPN connection is abnormally terminated due to the shutdown of the mobile PC terminal 1 or the VPN apparatus 2 or the unintended power-off.

以下、パターン4(その1)についてパターン2との相違点を説明する。
<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的である。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。
具体的には、図15に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズがゼロに制限(「×」)に設定し、ルール2の第一のホワイトリストにより、ポート番号で指定されるルータ5およびDHCPサーバ6に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定され、ルール3のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Hereinafter, the difference between the pattern 4 (part 1) and the pattern 2 will be described.
<2> During VPN communication with the VPN apparatus 2 The VPN apparatus 2 of (1) above is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. Ideally, the device other than is “x”. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.
Specifically, as shown in FIG. 15, if rule 1 does not conform to other rules, the amount and size of packets permitted to be communicated for all devices are set to zero (“×”). Then, according to the first white list of rule 2, the router 5 and the DHCP server 6 specified by the port number are set to have no limit (“◯”) on the amount or size of packets permitted to be communicated. According to the white list of No. 3, the VPN device 2 specified by the IP address and the port number may be set to have no restriction (“◯”) on the amount and size of packets permitted for communication.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。そして、ルータ5およびDHCPサーバ6は上記の<1>の状態に戻すべく、「○」となり、VPN装置2とルータ5およびDHCPサーバ6以外の機器は上記の<1>の状態に戻すべく、「○」となる。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりVPN装置2は「○」から「×」となる。
具体的には、ルール1、ルール2およびルール3を削除することで実現されてよい。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. Then, the router 5 and the DHCP server 6 become “◯” to return to the above <1> state, and the devices other than the VPN device 2 and the router 5 and the DHCP server 6 return to the above <1> state. “○”. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the VPN apparatus 2 is changed from “◯” to “X” by the process <2>.
Specifically, it may be realized by deleting rule 1, rule 2, and rule 3.

次に、パターン4(その2)について説明する。このパターン4(その2)のルールにより設定されるセキュリティポリシーの一例を、図16の表に示した。基本的には上述のパターン2と同様であり、重複する説明は省略する。
パターン4は、パターン2のケースでVPN接続の異常終了を考慮したケースであるが、上述のパターン4(その1)では、モバイルPC端末1と当初のVPN通信を行うVPN装置2としか再度のVPN接続ができない。なぜならVPN装置2以外のVPN装置3は<2>VPN装置2とのVPN通信中は「×」の設定であり、VPN通信を確立するための最小限のデータのやりとりすら不可能だからである。パターン4(その2)は、モバイルPC端末1やVPN装置2のシャットダウン、意図せぬ電源OFF等によりVPN接続が異常終了した場合であってVPN装置2が復旧しないとき等に再度のVPN接続をVPN装置2以外のVPN装置3と可能とする。 Next, pattern 4 (part 2) will be described. An example of the security policy set by the rule of pattern 4 (part 2) is shown in the table of FIG. Basically, it is the same as the above-described pattern 2, and a duplicate description is omitted.
Pattern 4 is a case in which abnormal termination of the VPN connection is considered in the case of pattern 2, but in the above-described pattern 4 (part 1), only the VPN apparatus 2 that performs the initial VPN communication with the mobile PC terminal 1 is used again. VPN connection is not possible. This is because the VPN apparatus 3 other than the VPN apparatus 2 is set to “x” during the VPN communication with the <2> VPN apparatus 2 and cannot exchange even the minimum data for establishing the VPN communication. Pattern 4 (No. 2) is a case where the VPN connection is terminated abnormally due to the shutdown of the mobile PC terminal 1 or the VPN apparatus 2 or the power supply is turned off unintentionally, and the VPN apparatus 2 is not restored. A VPN apparatus 3 other than the VPN apparatus 2 can be used.

以下、パターン4(その2)についてパターン4(その1)との相違点を説明する。
<2>VPN装置2とのVPN通信中
上記(1)のVPN装置2は「○」である。これは、モバイルPC端末1とのVPN接続中のやりとりのために、通信が許可されるパケットの量やサイズに制限を設けることは適当でないからである。そして、このときに、インターネット100上の情報処理装置7を含む他の機器と直接通信可能であると、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的であるが、VPN通信を確立するための最小限のデータのやりとりを許可すべく、VPN装置2以外の機器は「△」のままとする。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。
具体的には、図17に示すように、ルール1を、他のルールに適合しなければ、すべての機器について通信が許可されるパケットの量やサイズに制限(小さい値)があり(「△」)に設定し、ルール2の第一のホワイトリストにより、ポート番号で指定されるルータ5およびDHCPサーバ6に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定され、ルール3のホワイトリストにより、IPアドレスおよびポート番号で指定されるVPN装置2に、通信が許可されるパケットの量やサイズに制限がない(「○」)が設定さることで実現されてよい。 Hereinafter, the difference between the pattern 4 (part 2) and the pattern 4 (part 1) will be described.
<2> During VPN communication with the VPN apparatus 2 The VPN apparatus 2 of (1) above is “◯”. This is because it is not appropriate to limit the amount and size of packets that are allowed to be communicated for exchange during the VPN connection with the mobile PC terminal 1. At this time, if communication with other devices including the information processing device 7 on the Internet 100 is possible, there is a possibility that a security problem that invalidates the firewall occurs. The devices other than the VPN device 2 are ideally set to “x”, but the devices other than the VPN device 2 remain “Δ” in order to allow the minimum data exchange for establishing the VPN communication. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.
Specifically, as shown in FIG. 17, if rule 1 does not conform to other rules, there is a limit (small value) in the amount and size of packets that are allowed to be communicated for all devices (“Δ”). )), And according to the first white list of rule 2, there is no restriction on the amount or size of packets permitted for communication in the router 5 and the DHCP server 6 specified by the port numbers (“◯”). This is realized by setting the number and size of packets permitted to be communicated to the VPN device 2 specified by the IP address and port number according to the white list of rule 3 (“◯”). It's okay.

そして、<3>VPN装置2とのVPN通信正常終了時
上記(1)のVPN装置2は「○」である。これは、次回もVPN装置2をVPN接続する場合にそのまま設定を有効活用するためである。なお、次回にVPN装置2以外のVPN装置3とVPN接続する場合には上記<2>の処理によりルール3が書き換えられてVPN装置2は「○」から「△」となる。
具体的には、ルール1、ルール2およびルール3を削除することで実現されてよい。 <3> When VPN communication with the VPN apparatus 2 is normally completed The VPN apparatus 2 of (1) is “◯”. This is because the setting is effectively used as it is when the VPN apparatus 2 is connected to the VPN next time. When the VPN connection is made with the VPN apparatus 3 other than the VPN apparatus 2 next time, the rule 3 is rewritten by the process <2>, and the VPN apparatus 2 changes from “◯” to “Δ”.
Specifically, it may be realized by deleting rule 1, rule 2, and rule 3.

次に、本実施の形態における上記のパターン1〜パターン4について処理動作を説明する。   Next, the processing operation for the patterns 1 to 4 in the present embodiment will be described.

パターン1について図18のフローチャートを参照して説明する。
モバイルPC端末1は、NIC13に設定されているセキュリティポリシーとしてのルールに従った通信のみ可能である。すなわち、図18に記載の通信以外は実施できないことが前提となる。
モバイルPC端末1の通信部15は、「○」であるルータ5およびDHCPサーバ6とIPアドレスを割り当ててもらうためのデータのやりとりを行い(S1801)、その割り当てられたIPアドレスを用いて「△」であるVPN装置2の確立部25とVPN通信を確立するための少量のデータのやりとりでVPN通信の接続を確立する(S1802)。 The pattern 1 is demonstrated with reference to the flowchart of FIG.
The mobile PC terminal 1 can only perform communication in accordance with a rule as a security policy set in the NIC 13. That is, it is assumed that communication other than that shown in FIG. 18 cannot be performed.
The communication unit 15 of the mobile PC terminal 1 exchanges data for assigning an IP address to the router 5 and the DHCP server 6 that are “◯” (S1801), and “△” using the assigned IP address. VPN connection is established by exchanging a small amount of data for establishing VPN communication with the establishment unit 25 of the VPN apparatus 2 (S1802).

次に、VPN装置2のルール設定部24はモバイルPC端末1のNIC13にセキュリティポリシーとしてのルールを設定する(S1803)。このルールは図4の「<2>VPN装置2とのVPN通信中」に示すものであり、具体的な設定方法は上述したとおりである。VPN装置2は「○」であり、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」となる。   Next, the rule setting unit 24 of the VPN apparatus 2 sets a rule as a security policy in the NIC 13 of the mobile PC terminal 1 (S1803). This rule is shown in “<2> VPN communication with VPN device 2” in FIG. 4, and the specific setting method is as described above. Since the VPN apparatus 2 is “◯” and there is a risk of a security problem that disables the firewall, devices other than the VPN apparatus 2 are “x”.

そして、モバイルPC端末1の通信部15は、「○」であるVPN装置2の通信部26とVPN通信を行う(S1804)。   And the communication part 15 of the mobile PC terminal 1 performs VPN communication with the communication part 26 of the VPN apparatus 2 which is "(circle)" (S1804).

モバイルPC端末1とVPN装置2とのVPN通信が正常に終了する場合、VPN装置2のルール設定部24はモバイルPC端末1のNIC13にセキュリティポリシーとしてのルールを設定する(S1805)。このルールは図4の「<3>VPN装置2とのVPN通信正常終了時」に示すものであり、具体的な設定方法は上述したとおりである。VPN装置2は「○」であり、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」となる。VPN装置2は「○」である。ルータ5およびDHCPサーバ6は当初の状態に戻すべく、「○」となり、VPN装置2とルータ5およびDHCPサーバ6以外の機器は当初のネットサーフィン等のインターネット100への接続は認めない状態に戻すべく、「△」となる。   When the VPN communication between the mobile PC terminal 1 and the VPN apparatus 2 ends normally, the rule setting unit 24 of the VPN apparatus 2 sets a rule as a security policy in the NIC 13 of the mobile PC terminal 1 (S1805). This rule is shown in “<3> When VPN communication with VPN device 2 is normally terminated” in FIG. 4, and the specific setting method is as described above. Since the VPN apparatus 2 is “◯” and there is a risk of a security problem that disables the firewall, devices other than the VPN apparatus 2 are “x”. The VPN apparatus 2 is “◯”. In order to return the router 5 and the DHCP server 6 to the original state, “○” is indicated, and the VPN apparatus 2 and the devices other than the router 5 and the DHCP server 6 return to the state in which the connection to the Internet 100 such as the initial surfing is not permitted. Therefore, it becomes “△”.

パターン2については、上記のパターン1とはVPN装置2とルータ5およびDHCPサーバ6以外の機器の機器についても、ネットサーフィン等のインターネット100への接続を認めるのであるから「○」でよいとする点のみが異なり、上記のパターン1の図18のフローチャートと同様であるので重複する説明は省略する。   Regarding pattern 2, since the above-described pattern 1 permits connection to the Internet 100 such as net surfing for devices other than the VPN device 2, the router 5, and the DHCP server 6, it can be determined to be “◯”. Since only the point is different and it is the same as the flowchart of FIG.

次に、パターン3(その1)について図19のフローチャートを参照して説明する。なお、基本的には上述のパターン1と同様であり、重複する説明は省略する。パターン3(その1、その2を含む)は、パターン1のケースでVPN接続の異常終了を考慮したケースであるので、異常終了の場合の処理動作を中心に説明する。パターン3(その1)は、異常終了の場合、VPN装置2と再度VPN接続を図る点が特徴である。   Next, pattern 3 (part 1) will be described with reference to the flowchart of FIG. In addition, it is the same as that of the above-mentioned pattern 1 fundamentally, and the overlapping description is abbreviate | omitted. Since pattern 3 (including part 1 and part 2) is a case in which abnormal termination of the VPN connection is considered in the case of pattern 1, the processing operation in the case of abnormal termination will be mainly described. The pattern 3 (part 1) is characterized in that, in the case of abnormal termination, the VPN connection with the VPN device 2 is attempted again.

ステップS1901〜ステップS1902は、図18のステップS1801〜ステップS1802と同様である。   Steps S1901 to S1902 are the same as steps S1801 to S1802 in FIG.

次に、VPN装置2のルール設定部24はモバイルPC端末1のNIC13にセキュリティポリシーとしてのルールを設定する(S1903)。このルールは図10の「<2>VPN装置2とのVPN通信中」に示すものであり、具体的な設定方法は上述したとおりである。VPN装置2は「○」であり、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的である。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。   Next, the rule setting unit 24 of the VPN apparatus 2 sets a rule as a security policy in the NIC 13 of the mobile PC terminal 1 (S1903). This rule is shown in “<2> VPN communication with VPN device 2” in FIG. 10, and the specific setting method is as described above. Since the VPN apparatus 2 is “◯” and there is a risk of a security problem that disables the firewall, it is ideal that the devices other than the VPN apparatus 2 be “X”. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.

ステップS1904は、図18のステップS1804と同様である。   Step S1904 is the same as step S1804 in FIG.

VPN通信の終了が正常であったか否かを判定し(S1905)、モバイルPC端末1とVPN装置2とのVPN通信が正常に終了する場合(S1905/Yes)、ステップS1908は図17のステップS1807と同様である。
一方、モバイルPC端末1とVPN装置2とのVPN通信が異常終了する場合(S1905/No)、まず、モバイルPC端末1のCPU14は、NIC13に設定されているセキュリティポリシーとしてのルールを参照する(S1907)。このとき、NIC13はハードウェアであり異常終了してもルールにより設定されるセキュリティポリシーは保持されたままであり、図10の「<2>VPN装置2とのVPN通信中」に示すもののままである。
モバイルPC端末1の通信部15は、「○」であるルータ5およびDHCPサーバ6とIPアドレスを割り当ててもらうためのデータのやりとりを行い(S1908)、その割り当てられたIPアドレスを用いて「○」であるVPN装置2の確立部25と再度VPN通信を確立するための少量のデータのやりとりでVPN通信の接続を確立する(S1909)。以降は上記のステップS1904以降の処理と同様となる。 It is determined whether the end of the VPN communication is normal (S1905), and when the VPN communication between the mobile PC terminal 1 and the VPN device 2 ends normally (S1905 / Yes), step S1908 is the same as step S1807 in FIG. It is the same.
On the other hand, when the VPN communication between the mobile PC terminal 1 and the VPN apparatus 2 ends abnormally (S1905 / No), first, the CPU 14 of the mobile PC terminal 1 refers to a rule as a security policy set in the NIC 13 ( S1907). At this time, the NIC 13 is hardware, and the security policy set by the rule is retained even if it terminates abnormally, and remains as shown in “<2> VPN communication with VPN device 2” in FIG. .
The communication unit 15 of the mobile PC terminal 1 exchanges data for assigning an IP address to the router 5 and the DHCP server 6 that are “◯” (S1908), and uses the assigned IP address to “ VPN connection is established by exchanging a small amount of data for establishing VPN communication again with the establishment unit 25 of the VPN apparatus 2 (S1909). The subsequent processing is the same as the processing after step S1904.

次に、パターン3(その2)について図20のフローチャートを参照して説明する。なお、基本的には上述のパターン1ないしパターン3(その1)と同様であり、重複する説明は省略する。パターン3(その1、その2を含む)は、パターン1のケースでVPN接続の異常終了を考慮したケースであるので、異常終了の場合の処理動作を中心に説明する。パターン3(その2)は、異常終了の場合、VPN装置2が復旧しないとき等に再度のVPN接続をVPN装置2以外のVPN装置3と可能とする点が特徴である。   Next, pattern 3 (part 2) will be described with reference to the flowchart of FIG. The description is basically the same as the above-described pattern 1 to pattern 3 (part 1), and a duplicate description is omitted. Since pattern 3 (including part 1 and part 2) is a case in which abnormal termination of the VPN connection is considered in the case of pattern 1, the processing operation in the case of abnormal termination will be mainly described. The pattern 3 (part 2) is characterized in that, in the case of abnormal termination, when the VPN device 2 is not restored, the VPN connection with the VPN device 3 other than the VPN device 2 is possible again.

ステップS2001〜ステップS2002は、図19のステップS1901〜ステップS1902と同様である。   Steps S2001 to S2002 are the same as steps S1901 to S1902 in FIG.

次に、VPN装置2のルール設定部24はモバイルPC端末1のNIC13にセキュリティポリシーとしてのルールを設定する(S2003)。このルールは図12の「<2>VPN装置2とのVPN通信中」に示すものであり、具体的な設定方法は上述したとおりである。VPN装置2は「○」であり、ファイア・ウオールが無効化されるセキュリティ上の問題が発生するおそれがあるので、VPN装置2以外の機器は「×」とすることが理想的であるが、VPN通信を確立するための最小限のデータのやりとりを許可すべく、VPN装置2以外の機器は「△」のままとする。したがって、VPN装置3も「△」のままである。ただし、端末の異常終了などで再度VPN接続を図るときのルータ5およびDHCPサーバ6との通信を可能とすべくこれらは「○」のままとする。   Next, the rule setting unit 24 of the VPN apparatus 2 sets a rule as a security policy in the NIC 13 of the mobile PC terminal 1 (S2003). This rule is shown in “<2> VPN communication with VPN device 2” in FIG. 12, and the specific setting method is as described above. Since the VPN apparatus 2 is “◯” and there is a possibility that a security problem that the firewall will be invalidated may occur, it is ideal that devices other than the VPN apparatus 2 be “X”. Devices other than the VPN device 2 remain “Δ” to allow minimum data exchange for establishing VPN communication. Therefore, the VPN apparatus 3 also remains “Δ”. However, in order to enable communication with the router 5 and the DHCP server 6 when the VPN connection is attempted again due to abnormal termination of the terminal or the like, these remain “O”.

ステップS2004〜ステップS2006は、図19のステップS1904〜ステップS1906と同様である。   Steps S2004 to S2006 are the same as steps S1904 to S1906 in FIG.

モバイルPC端末1とVPN装置2とのVPN通信が異常終了する場合(S2005/No)、まず、モバイルPC端末1のCPU14は、NIC13に設定されているセキュリティポリシーとしてのルールを参照する(S2007)。このとき、NIC13はハードウェアであり異常終了してもルールにより設定されるセキュリティポリシーは保持されたままであり、図12の「<2>VPN装置2とのVPN通信中」に示すもののままである。
モバイルPC端末1の通信部15は、「○」であるルータ5およびDHCPサーバ6とIPアドレスを割り当ててもらうためのデータのやりとりを行い(S2008)、その割り当てられたIPアドレスを用いて「○」であるVPN装置2の確立部25と再度VPN通信を確立するための少量のデータのやりとりでVPN通信を確立しようとするが、VPN装置2が復旧しない等の理由でVPN装置2とは再度VPN通信を確立することができない(S2009/No)。そこで、その割り当てられたIPアドレスを用いて「△」であるVPN装置3の確立部25と再度VPN通信を確立するための少量のデータのやりとりでVPN通信を確立する(S2010)。以降はモバイルPC端末1とVPN装置3とのVPN通信として上記のステップS2004以降の処理においてVPN装置2とVPN装置3を置き換えて考えると同様となる。 When VPN communication between the mobile PC terminal 1 and the VPN apparatus 2 ends abnormally (S2005 / No), first, the CPU 14 of the mobile PC terminal 1 refers to a rule as a security policy set in the NIC 13 (S2007). . At this time, the NIC 13 is hardware, and the security policy set by the rule is retained even if it terminates abnormally, and remains as shown in “<2> VPN communication with the VPN device 2” in FIG. .
The communication unit 15 of the mobile PC terminal 1 exchanges data for assigning IP addresses to the router 5 and the DHCP server 6 that are “◯” (S2008), and “○” using the assigned IP address. The VPN unit 2 tries to establish the VPN communication by exchanging a small amount of data for establishing the VPN communication again with the establishment unit 25 of the VPN device 2, but the VPN device 2 is re-established again because the VPN device 2 is not restored. VPN communication cannot be established (S2009 / No). Therefore, using the assigned IP address, VPN communication is established by exchanging a small amount of data for establishing VPN communication again with the establishing unit 25 of the VPN apparatus 3 which is “Δ” (S2010). Thereafter, the VPN communication between the mobile PC terminal 1 and the VPN apparatus 3 is the same as the case where the VPN apparatus 2 and the VPN apparatus 3 are replaced in the processing after step S2004.

パターン4(その1)、パターン4(その2)については、上記のパターン3(その1)、パターン3(その2)とはVPN装置2とルータ5およびDHCPサーバ6以外の機器の機器についても、ネットサーフィン等のインターネット100への接続を認めるのであるから「○」でよいとする点のみが異なり、上記のパターン3(その1)、パターン3(その2)の図19、図20のフローチャートと同様であるので重複する説明は省略する。   Regarding the pattern 4 (part 1) and the pattern 4 (part 2), the pattern 3 (part 1) and the pattern 3 (part 2) are the same as those of the devices other than the VPN device 2, the router 5, and the DHCP server 6. Since the connection to the Internet 100 such as surfing is permitted, only “○” is necessary, and the flowcharts of FIG. 19 and FIG. 20 of the above pattern 3 (part 1) and pattern 3 (part 2). Since it is the same as that, the overlapping description is omitted.

なお、上記の本実施の形態では、ルール1〜ルール3を適宜上書きして書き換える形態について述べたが、既存のルール1〜ルール3を停止し、ルール4等として新たに設定することであってもよい。さらに、ルール1〜ルール3であっても不要なルールの上に一時的に上書きして書き換えること等であってもよい。   In the above-described embodiment, the mode in which the rules 1 to 3 are overwritten and rewritten as appropriate has been described. However, the existing rules 1 to 3 are stopped and newly set as the rules 4 and the like. Also good. Further, even rule 1 to rule 3 may be rewritten by temporarily overwriting unnecessary rules.

上述する実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、VPN装置2、VPN装置3の機能を実現するためのプログラムを各装置に読込ませて実行することにより各装置の機能を実現する処理を行ってもよい。さらに、そのプログラムは、コンピュータ読み取り可能な記録媒体であるCD−ROMまたは光磁気ディスクなどを介して、または伝送媒体であるインターネット、電話回線などを介して伝送波により他のコンピュータシステムに伝送されてもよい。また、各装置の機能が他の装置によりまとめて実現されたり、追加の装置により機能が分散されて実現される形態も本発明の範囲内である。   The above-described embodiment is a preferred embodiment of the present invention, and various modifications can be made without departing from the gist of the present invention. For example, a process for realizing the function of each device may be performed by causing each device to read and execute a program for realizing the functions of the VPN device 2 and the VPN device 3. Further, the program is transmitted to another computer system by a transmission wave via a computer-readable recording medium such as a CD-ROM or a magneto-optical disk, or via a transmission medium such as the Internet or a telephone line. Also good. In addition, it is also within the scope of the present invention that the functions of each device are realized by other devices collectively or the functions are distributed by additional devices.

100 インターネット
200 イントラネット
1 モバイルPC端末
11 アプリケーション
12 OS
13 NIC
14 CPU
15 通信部
2 VPN装置
21 アプリケーション
22 OS
23 CPU
24 ルール設定部
25 確立部
26 通信部
3 VPN装置
4 社内装置
5 ルータ
6 DHCPサーバ
7 情報処理装置
8 ファイア・ウオール 100 Internet 200 Intranet 1 Mobile PC terminal 11 Application 12 OS
13 NIC
14 CPU
15 Communication unit 2 VPN device 21 Application 22 OS
23 CPU
24 rule setting unit 25 establishing unit 26 communication unit 3 VPN device 4 in-house device 5 router 6 DHCP server 7 information processing device 8 fire wall

Claims (18)

VPN装置と該VPN装置とVPN通信を行う端末とを含む通信システムにおいて、
前記VPN装置は、前記端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記VPN装置は、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置以外の機器との通信を制限するルールを設定することを特徴とする通信システム。 In a communication system including a VPN device and a terminal that performs VPN communication with the VPN device,
The VPN apparatus includes rule setting means for setting communication rules for each device connected to the terminal via a network to the network interface means of the terminal,
The VPN device uses the rule setting unit to restrict communication between the terminal and a device other than the VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit. The communication system characterized by setting. VPN装置と該VPN装置とVPN通信を行う端末とを含む通信システムにおいて、
前記VPN装置は、前記端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記VPN装置は、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールを設定し、
前記端末は、前記各機器との通信を行う際に、前記ネットワークインターフェイス手段に設定されているルールを参照し、前記VPN装置とVPN通信を行っている間は前記VPN装置および前記用いられる機器以外の機器との通信は制限されることを特徴とする通信システム。 In a communication system including a VPN device and a terminal that performs VPN communication with the VPN device,
The VPN apparatus includes rule setting means for setting communication rules for each device connected to the terminal via a network to the network interface means of the terminal,
The VPN device does not restrict communication between the terminal and the VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit by the rule setting unit, and Communication between the terminal used for establishing VPN communication between the VPN device and the terminal and the terminal is not restricted, and communication between the device other than the VPN device and the used device and the terminal is restricted. Set rules,
When the terminal communicates with each device, the terminal refers to the rules set in the network interface means, and while performing VPN communication with the VPN device, the terminal other than the VPN device and the device used A communication system characterized in that communication with other devices is restricted. 前記端末と前記VPN装置以外の機器との通信を制限するルールは、前記端末が前記VPN装置以外の機器へパケット送信することを禁止することであることを特徴とする請求項1または2記載の通信システム。   3. The rule for restricting communication between the terminal and a device other than the VPN device is to prohibit the terminal from transmitting a packet to a device other than the VPN device. Communications system. 前記VPN装置は、前記端末とのVPN通信が正常終了した場合、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置及び前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記端末が前記VPN装置および前記用いられる機器以外の機器と通信することを制限するルールを設定することを特徴とする請求項1から3のいずれか1項に記載の通信システム。   The VPN device does not restrict communication between the terminal and the VPN device with respect to the network interface means by the rule setting means when VPN communication with the terminal is normally completed, and the VPN device and the VPN device A rule is set that does not restrict communication between the terminal used to establish the VPN communication of the terminal and the terminal, and restricts the terminal from communicating with the VPN apparatus and devices other than the used apparatus. The communication system according to any one of claims 1 to 3, wherein: 前記VPN装置は、前記端末とのVPN通信が正常終了した場合、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記端末と前記各機器との通信を制限しないルールを設定することを特徴とする請求項1から3のいずれか1項に記載の通信システム。   When the VPN communication with the terminal is normally completed, the VPN device sets a rule that does not restrict communication between the terminal and each device for the network interface unit by the rule setting unit. The communication system according to any one of claims 1 to 3. 前記ルール設定手段によって設定されたルールは、前記端末により変更できないことを特徴とする請求項1から5のいずれか1項に記載の通信システム。   The communication system according to any one of claims 1 to 5, wherein the rule set by the rule setting means cannot be changed by the terminal. 自VPN装置とVPN通信を行う端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、自VPN装置と前記端末とがVPN通信を行っている間は、前記端末と自VPN装置以外の機器との通信を制限するルールを設定することを特徴とするVPN装置。 A rule setting means for setting a communication rule for each device connected to the terminal via the network in the network interface means of the terminal that performs VPN communication with the own VPN device;
The rule setting unit sets a rule for restricting communication between the terminal and a device other than the own VPN device while the VPN device and the terminal are performing VPN communication with the network interface unit. A VPN device characterized. 自VPN装置とVPN通信を行う端末のネットワークインターフェイス手段に前記端末とネットワークを介して接続される各機器に対する通信のルールを設定するルール設定手段を備え、
前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、自VPN装置と前記端末とがVPN通信を行っている間は、前記端末と自VPN装置との通信を制限せず、かつ、自VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、自VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールを設定することを特徴とするVPN装置。 A rule setting means for setting a communication rule for each device connected to the terminal via the network in the network interface means of the terminal that performs VPN communication with the own VPN device;
While the self VPN apparatus and the terminal are performing VPN communication with the network interface means by the rule setting means, communication between the terminal and the self VPN apparatus is not restricted, and the self VPN apparatus and the terminal Setting a rule that does not restrict communication between the terminal used for establishing the VPN communication of the terminal and the terminal, and restricts communication between the device other than the self-VPN apparatus and the device used and the terminal. VPN device characterized by the above. 前記端末と自VPN装置以外の機器との通信を制限するルールは、前記端末が自VPN装置以外の機器へパケット送信することを禁止することであることを特徴とする請求項7または8記載のVPN装置。   9. The rule for restricting communication between the terminal and a device other than the own VPN device is to prohibit the terminal from transmitting a packet to a device other than the own VPN device. VPN device. 前記端末とのVPN通信が正常終了した場合、前記ルール設定手段によって前記ネットワークインターフェイス手段に、前記端末と自VPN装置との通信を制限せず、かつ、自VPN装置及び前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記端末が自VPN装置および前記用いられる機器以外の機器と通信することを制限するルールを設定することを特徴とする請求項7から9のいずれか1項に記載のVPN装置。   When the VPN communication with the terminal is normally completed, the rule setting unit does not restrict the communication between the terminal and the own VPN device to the network interface unit, and establishes the VPN communication between the own VPN device and the terminal. A rule is set that does not restrict communication between a device used for communication with the terminal and restricts the terminal from communicating with a device other than its own VPN apparatus and the device used. Item 10. The VPN device according to any one of Items 7 to 9. 前記VPN装置は、前記端末とのVPN通信が正常終了した場合、前記ルール設定手段によって前記ネットワークインターフェイス手段に対し、前記端末と前記各機器との通信を制限しないルールを設定することを特徴とする請求項7から9のいずれか1項に記載のVPN装置。   When the VPN communication with the terminal is normally completed, the VPN device sets a rule that does not restrict communication between the terminal and each device for the network interface unit by the rule setting unit. The VPN apparatus according to any one of claims 7 to 9. VPN装置とVPN通信を行う端末のNICであって、
前記VPN装置のルール設定手段によって、前記端末とネットワークを介して接続される各機器に対する通信のルールを設定され、
前記VPN装置の前記ルール設定手段によって、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置以外の機器との通信を制限するルールが設定されることを特徴とするNIC。 A NIC of a terminal that performs VPN communication with a VPN device,
The rule setting means of the VPN device sets communication rules for each device connected to the terminal via a network,
The rule setting means of the VPN device sets a rule for restricting communication between the terminal and a device other than the VPN device while the VPN device and the terminal are performing VPN communication. NIC. VPN装置とVPN通信を行う端末のNICであって、
前記VPN装置のルール設定手段によって、前記端末とネットワークを介して接続される各機器に対する通信のルールを設定され、
前記VPN装置の前記ルール設定手段によって、前記VPN装置と前記端末とがVPN通信を行っている間は、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置および前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記VPN装置および前記用いられる機器以外の機器と前記端末との通信を制限するルールが設定され、
前記端末によって、前記各機器との通信を行う際に、設定されているルールが参照されることを特徴とするNIC。 A NIC of a terminal that performs VPN communication with a VPN device,
The rule setting means of the VPN device sets communication rules for each device connected to the terminal via a network,
While the VPN device and the terminal are performing VPN communication by the rule setting means of the VPN device, communication between the terminal and the VPN device is not restricted, and the VPN device and the terminal A rule is set that does not restrict communication between the device used to establish VPN communication and the terminal, and restricts communication between the device other than the VPN device and the device used, and the terminal,
The NIC refers to a set rule when communicating with each device by the terminal. 前記端末と自VPN装置以外の機器との通信を制限するルールは、前記端末が前記VPN装置以外の機器へパケット送信することを禁止することであることを特徴とする請求項12または13記載のNIC。   14. The rule for restricting communication between the terminal and a device other than the own VPN device is to prohibit the terminal from transmitting a packet to a device other than the VPN device. NIC. 前記VPN装置と前記端末とのVPN通信が正常終了した場合、前記VPN装置の前記ルール設定手段によって、前記端末と前記VPN装置との通信を制限せず、かつ、前記VPN装置及び前記端末のVPN通信を確立するために用いられる機器と前記端末との通信を制限せず、かつ、前記端末が前記VPN装置および前記用いられる機器以外の機器と通信することを制限するルールが設定されることを特徴とする請求項12から15のいずれか1項に記載のNIC。   When VPN communication between the VPN device and the terminal is normally completed, the rule setting unit of the VPN device does not restrict communication between the terminal and the VPN device, and the VPN of the VPN device and the terminal A rule is set that does not restrict communication between the device used to establish communication and the terminal, and restricts the terminal from communicating with devices other than the VPN device and the device used. The NIC according to any one of claims 12 to 15, characterized in that 前記VPN装置と前記端末とのVPN通信が正常終了した場合、前記VPN装置の前記ルール設定手段によって、前記端末と前記各機器との通信を制限しないルールが設定されることを特徴とする請求項12から15のいずれか1項に記載のNIC。   The rule that does not restrict communication between the terminal and each device is set by the rule setting unit of the VPN device when VPN communication between the VPN device and the terminal is normally completed. The NIC according to any one of 12 to 15. 前記ルール設定手段によって設定されたルールは、前記端末により変更できないことを特徴とする請求項12から16のいずれか1項に記載のNIC。   The NIC according to any one of claims 12 to 16, wherein the rule set by the rule setting unit cannot be changed by the terminal. コンピュータに請求項7乃至11のいずれか1項に記載の機能を実現させることを特徴とするプログラム。   A program for causing a computer to realize the function according to any one of claims 7 to 11.
JP2009179585A 2009-07-31 2009-07-31 Communication system, VPN device, NIC and program Active JP5433340B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009179585A JP5433340B2 (en) 2009-07-31 2009-07-31 Communication system, VPN device, NIC and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009179585A JP5433340B2 (en) 2009-07-31 2009-07-31 Communication system, VPN device, NIC and program

Publications (2)

Publication Number Publication Date
JP2011035639A true JP2011035639A (en) 2011-02-17
JP5433340B2 JP5433340B2 (en) 2014-03-05

Family

ID=43764280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009179585A Active JP5433340B2 (en) 2009-07-31 2009-07-31 Communication system, VPN device, NIC and program

Country Status (1)

Country Link
JP (1) JP5433340B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018608A (en) * 2004-07-01 2006-01-19 Japan Communication Inc Terminal device, communication control method, and program
JP2006260027A (en) * 2005-03-16 2006-09-28 Nippon Telegraph & Telephone East Corp Quarantine system and quarantine method using VPN and firewall
WO2007116605A1 (en) * 2006-03-30 2007-10-18 Nec Corporation Communication terminal, rule distribution apparatus and program
JP2008160709A (en) * 2006-12-26 2008-07-10 Hitachi Ltd Computer system
JP2008234410A (en) * 2007-03-22 2008-10-02 Nec Corp Remote access system, information processing device, remote access program, and remote access method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018608A (en) * 2004-07-01 2006-01-19 Japan Communication Inc Terminal device, communication control method, and program
JP2006260027A (en) * 2005-03-16 2006-09-28 Nippon Telegraph & Telephone East Corp Quarantine system and quarantine method using VPN and firewall
WO2007116605A1 (en) * 2006-03-30 2007-10-18 Nec Corporation Communication terminal, rule distribution apparatus and program
JP2008160709A (en) * 2006-12-26 2008-07-10 Hitachi Ltd Computer system
JP2008234410A (en) * 2007-03-22 2008-10-02 Nec Corp Remote access system, information processing device, remote access program, and remote access method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND200800688003; 山崎 洋一: '3.5G+aで実現 もっとノートPCを持ち歩こう' 日経コミュニケーション 第515号 NIKKEI COMMUNICATIONS , 20080801, 日経BP社 Nikkei Business Publications,Inc. *
JPN6013022907; 山崎 洋一: '3.5G+aで実現 もっとノートPCを持ち歩こう' 日経コミュニケーション 第515号 NIKKEI COMMUNICATIONS , 20080801, 日経BP社 Nikkei Business Publications,Inc. *

Also Published As

Publication number Publication date
JP5433340B2 (en) 2014-03-05

Similar Documents

Publication Publication Date Title
US20210136037A1 (en) Endpoint security domain name server agent
US11539695B2 (en) Secure controlled access to protected resources
JP5112806B2 (en) Wireless LAN communication method and communication system
WO2009087702A1 (en) Virtual machine execution program, user authentication program and information processor
RU2726879C2 (en) System and method of connecting secure dns resolution protocol
US20150074769A1 (en) Method of accessing a network securely from a personal device, a personal device, a network server and an access point
JP2008015786A (en) Access control system and access control server
CN100525304C (en) Network system, internal server, terminal device, storage medium and packet relay method
KR20060128015A (en) Internal network protection system and security method
JP2006262141A (en) IP address application method, VLAN changing device, VLAN changing system, and quarantine processing system
JP4630896B2 (en) Access control method, access control system, and packet communication apparatus
JP4575696B2 (en) Network zone
Kravets et al. Mobile security solution for enterprise network
JP4636345B2 (en) Security policy control system, security policy control method, and program
JP2006074705A (en) Device for controlling communication service
US20210136106A1 (en) Ssl/tls spoofing using tags
CN202652534U (en) Mobile terminal security access platform
CN201252570Y (en) Security gateway client end device
JP2008263445A (en) Connection setting system, authentication device, wireless terminal, and connection setting method
JP5433340B2 (en) Communication system, VPN device, NIC and program
CN100556027C (en) An Address Update Method Based on Network Key Exchange Protocol
WO2011125638A1 (en) Network system, port forward forming apparatus and reverse proxy server
JP4720576B2 (en) Network security management system, encrypted communication remote monitoring method and communication terminal.
JP4728871B2 (en) Device quarantine method, quarantine device, aggregate client management device, aggregate client management program, network connection device, and user terminal
JP5540679B2 (en) Network device, communication control method, and program

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20110830

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120713

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131209

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5433340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250