[go: up one dir, main page]

JP2019201247A - Communication system, communication device, and management device - Google Patents

Communication system, communication device, and management device Download PDF

Info

Publication number
JP2019201247A
JP2019201247A JP2018093208A JP2018093208A JP2019201247A JP 2019201247 A JP2019201247 A JP 2019201247A JP 2018093208 A JP2018093208 A JP 2018093208A JP 2018093208 A JP2018093208 A JP 2018093208A JP 2019201247 A JP2019201247 A JP 2019201247A
Authority
JP
Japan
Prior art keywords
address
user terminal
global
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018093208A
Other languages
Japanese (ja)
Other versions
JP6985209B2 (en
Inventor
祐紀 澤田
Yuki Sawada
祐紀 澤田
淳志 榎本
Atsushi Enomoto
淳志 榎本
将之 古田
Masayuki Furuta
将之 古田
大二郎 池田
Daijiro Ikeda
大二郎 池田
直人 日高
Naoto Hidaka
直人 日高
孝浩 市原
Takahiro Ichihara
孝浩 市原
大司 矢原
Daiji Yahara
大司 矢原
大介 任田
Daisuke Toda
大介 任田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2018093208A priority Critical patent/JP6985209B2/en
Publication of JP2019201247A publication Critical patent/JP2019201247A/en
Application granted granted Critical
Publication of JP6985209B2 publication Critical patent/JP6985209B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うこと。【解決手段】管理装置10は、各ユーザ端末40が属する企業NW50ごとに、NAT装置20が割り当てるグローバルIPアドレスを記憶する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。そして、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。【選択図】図1PROBLEM TO BE SOLVED: To provide a service at low cost by sharing one security device for a plurality of user networks without impairing the flexibility of address management of each user network. A management device 10 stores a global IP address assigned by a NAT device 20 for each company NW 50 to which each user terminal 40 belongs. Further, the management device 10 instructs the NAT device 20 to allocate a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs in response to a request from the user terminal 40. Then, in response to the request from the user terminal 40, the management device 10 sets the security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs to the security device 30. [Selection diagram] Figure 1

Description

本発明は、通信システム、通信装置および管理装置に関する。   The present invention relates to a communication system, a communication device, and a management device.

従来、ファイアウォール(以下、FWと記載)やUTM(Unified Threat Management)等のセキュリティ機能を有するセキュリティ機器が知られている。FWやUTMは、例えば、企業の社内LAN(Local Area Network)等のユーザネットワーク(以下、適宜企業NWと記載)とインターネット等の外部ネットワークとの境界に設置され、セキュリティゲートウェイとして使用される。なお、ユーザネットワークには、VPN(Virtual Private Network)を経由して接続されるLAN等も含まれるものとする。   Conventionally, security devices having a security function such as a firewall (hereinafter referred to as FW) and UTM (Unified Threat Management) are known. The FW and UTM are installed at the boundary between a user network (hereinafter referred to as a company NW as appropriate) such as a company's internal LAN (Local Area Network) and an external network such as the Internet, for example, and used as a security gateway. Note that the user network includes a LAN connected via a VPN (Virtual Private Network).

FWの主な役割は、IPアドレスやポート番号を基にしたパケットフィルタリングと、不正なTCP(Transmission Control Protocol)通信のブロックである。また、UTMでは、FWでは対処することが難しいウィルスやスパムメールに対するセキュリティ対策を実施するために、複数のセキュリティ機能を有する。このようなFWやUTMを含むシステムでは、1つのユーザネットワークに対して1つのセキュリティ機器が設けられていれる。   The main role of the FW is to block packet filtering based on an IP address and a port number and illegal TCP (Transmission Control Protocol) communication. In addition, UTM has a plurality of security functions in order to implement security measures against viruses and spam mail that are difficult to deal with by FW. In such a system including FW and UTM, one security device is provided for one user network.

特開2001−306421号公報JP 2001-306421 A

しかしながら、上記した従来の手法では、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことが出来なかった。つまり、上記した従来の技術では、1つのユーザネットワークに対して1つのセキュリティ機器を設けるので、複数のユーザネットワークで一つのセキュリティ機器を共用する場合に比べて、コストがかかるという課題があった。   However, the conventional method described above cannot provide a service at a low cost by sharing one security device for a plurality of user networks without impairing the flexibility of address management of each user network. It was. That is, in the above-described conventional technology, since one security device is provided for one user network, there is a problem that costs are increased as compared with the case where one security device is shared by a plurality of user networks.

なお、複数のユーザネットワークで1つのセキュリティ機器を共有するために、ユーザネットワーク毎にアドレスブロックを指定して複数のユーザネットワークを収容することも考えられるが、この場合には、ユーザネットワーク間でアドレスの重複が出来ないため、ネットワーク運用に制約が発生し、各ユーザネットワークのアドレス管理の柔軟性を損なうという課題があった。   In order to share a single security device among a plurality of user networks, it may be possible to accommodate a plurality of user networks by specifying an address block for each user network. Since the network cannot be duplicated, there is a problem that the network operation is restricted and the address management flexibility of each user network is impaired.

上述した課題を解決し、目的を達成するために、本発明の通信システムは、ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器と、前記ユーザネットワークを収容するNAT装置とを有する通信システムであって、前記NAT装置は、収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部とを有し、前記セキュリティ機器は、前記NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部を有することを特徴とする。   In order to solve the above-described problems and achieve the object, a communication system according to the present invention includes a security device provided at a boundary between a user network and an external network, and a NAT device that accommodates the user network. When the NAT device receives an assignment unit for assigning a global IP address for each user network to be accommodated and communication data to the external network from a user terminal belonging to the user network, the NAT device And converting the communication data based on a security policy corresponding to the global IP address converted by the NAT device. line It characterized by having a filtering portion.

また、本発明の通信装置は、収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部と、前記変換部によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部とを有することを特徴とする。   The communication apparatus according to the present invention, when receiving communication data from the user terminal belonging to the user network to the external network, the assigning unit that assigns a global IP address for each user network to be accommodated. A conversion unit that converts the private IP address of the communication IP address into a corresponding global IP address, and a filtering unit that filters the communication data based on a security policy corresponding to the global IP address converted by the conversion unit. Features.

また、本発明の管理装置は、各ユーザ端末が属するユーザネットワークごとに、前記ユーザネットワークを収容するNAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器に対して設定する設定部とを有することを特徴とする。   In addition, the management device of the present invention includes, for each user network to which each user terminal belongs, a storage unit that stores a global IP address assigned by a NAT device that accommodates the user network, and the user according to a request from the user terminal. An instruction unit that instructs the NAT device to assign a global IP address corresponding to the user network to which the terminal belongs, and a security policy for the global IP address of the user network to which the user terminal belongs in response to a request from the user terminal. And a setting unit configured to set a security device provided at a boundary between the user network and the external network.

本発明によれば、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことができるという効果を奏する。   According to the present invention, it is possible to provide a service at a low cost by sharing one security device for a plurality of user networks without impairing the flexibility of address management of each user network. .

図1は、第1の実施形態に係る通信システムの構成例を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration example of a communication system according to the first embodiment. 図2は、第1の実施形態に係る管理装置の構成例を示すブロック図である。FIG. 2 is a block diagram illustrating a configuration example of the management apparatus according to the first embodiment. 図3は、ユーザ情報記憶部に記憶されるデータの一例を示す図である。FIG. 3 is a diagram illustrating an example of data stored in the user information storage unit. 図4は、制御情報記憶部に記憶されるデータの一例を示す図である。FIG. 4 is a diagram illustrating an example of data stored in the control information storage unit. 図5は、ポリシ情報記憶部に記憶されるデータの一例を示す図である。FIG. 5 is a diagram illustrating an example of data stored in the policy information storage unit. 図6は、第1の実施形態に係る管理装置においてNAT装置で割り当てるグローバルIPアドレスを指示する処理を説明する図である。FIG. 6 is a diagram for explaining processing for instructing a global IP address to be assigned by the NAT device in the management device according to the first embodiment. 図7は、第1の実施形態に係る管理装置においてセキュリティ機器にセキュリティポリシを設定する処理を説明する図である。FIG. 7 is a diagram for explaining processing for setting a security policy in a security device in the management apparatus according to the first embodiment. 図8は、第1の実施形態に係る通信システムにおけるグローバルIPアドレスの払出処理の流れの一例を示すシーケンス図である。FIG. 8 is a sequence diagram illustrating an example of a flow of a global IP address issue process in the communication system according to the first embodiment. 図9は、第1の実施形態に係る通信システムにおけるセキュリティポリシの設定処理の流れの一例を示すシーケンス図である。FIG. 9 is a sequence diagram illustrating an example of a flow of security policy setting processing in the communication system according to the first embodiment. 図10は、従来の通信システムの構成を説明する図である。FIG. 10 is a diagram for explaining the configuration of a conventional communication system. 図11は、従来の通信システムの課題を説明する図である。FIG. 11 is a diagram for explaining a problem of a conventional communication system. 図12は、第1の実施形態に係る通信システムの効果を説明する図である。FIG. 12 is a diagram for explaining the effect of the communication system according to the first embodiment. 図13は、その他の実施形態に係る通信システムの構成例を示すブロック図である。FIG. 13 is a block diagram illustrating a configuration example of a communication system according to another embodiment. 図14は、プログラムを実行するコンピュータを示す図である。FIG. 14 is a diagram illustrating a computer that executes a program.

以下に、本願に係る通信システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る通信システムが限定されるものではない。   Hereinafter, an embodiment of a communication system according to the present application will be described in detail with reference to the drawings. The communication system according to the present application is not limited by this embodiment.

[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る通信システム100の構成、管理装置10の構成、通信システム100の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。 [First Embodiment]
In the following embodiments, the configuration of the communication system 100 according to the first embodiment, the configuration of the management apparatus 10, and the processing flow of the communication system 100 will be described in order, and finally the effects of the first embodiment will be described. .

[通信システムの構成]
図1は、第1の実施形態に係る通信システムの構成例を示すブロック図である。第1の実施形態に係る通信システム100は、管理装置10、NAT装置20、セキュリティ機器30および複数のユーザ端末40を有する。また、NAT装置20は、複数の企業NW50A〜50Xを収容する。また、セキュリティ機器30は、インターネット60接続点に設置されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、複数の企業NW50A〜50Xについて、特に区別なく説明する場合には、企業NW50と記載する。 [Configuration of communication system]
FIG. 1 is a block diagram illustrating a configuration example of a communication system according to the first embodiment. The communication system 100 according to the first embodiment includes a management device 10, a NAT device 20, a security device 30, and a plurality of user terminals 40. The NAT device 20 accommodates a plurality of companies NW50A to 50X. The security device 30 is installed at the connection point of the Internet 60. The configuration illustrated in FIG. 1 is merely an example, and the specific configuration and the number of devices are not particularly limited. In addition, when a plurality of companies NW50A to 50X are described without particular distinction, they are described as company NW50.

管理装置10は、各ユーザ端末40が属する企業NW50ごとに、NAT装置が割り当てるグローバルIPアドレスを管理する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。なお、管理装置10の具体的な構成については、図2を用いて後述する。   The management device 10 manages a global IP address assigned by the NAT device for each company NW 50 to which each user terminal 40 belongs. In response to a request from the user terminal 40, the management apparatus 10 instructs the NAT apparatus 20 to assign a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs. Further, in response to a request from the user terminal 40, the management apparatus 10 sets a security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs to the security device 30. The specific configuration of the management apparatus 10 will be described later with reference to FIG.

NAT装置20は、複数の企業NW50A〜50Xを収容し、プライベートIPアドレスとグローバルIPアドレスのアドレス変換処理を実行する。例えば、NAT装置20は、ユーザ端末40から受信したパケットのプライベートIPアドレスをグローバルIPアドレスに変換し、アドレス変換後のパケットをセキュリティ機器30に送信する。また、NAT装置20は、セキュリティ機器30から受信したパケットのグローバルIPアドレスをプライベートIPアドレスに変換し、アドレス変換後のパケットをユーザ端末40に送信する。   The NAT device 20 accommodates a plurality of companies NWs 50A to 50X, and executes an address conversion process between a private IP address and a global IP address. For example, the NAT device 20 converts the private IP address of the packet received from the user terminal 40 into a global IP address, and transmits the packet after the address conversion to the security device 30. Further, the NAT device 20 converts the global IP address of the packet received from the security device 30 into a private IP address, and transmits the packet after the address conversion to the user terminal 40.

NAT装置20は、割当部21および変換部22を有する。割当部21は、収容する企業NW50ごとに、グローバルIPアドレスをそれぞれ割り当てる。具体的には、割当部21は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW50に対してグローバルIPアドレスをそれぞれ割り当てる。   The NAT device 20 includes an allocation unit 21 and a conversion unit 22. The allocation unit 21 allocates a global IP address for each company NW 50 to be accommodated. Specifically, the assigning unit 21 assigns a global IP address to each company NW 50 to be accommodated based on the global IP address instructed by the management apparatus 10.

変換部22は、企業NW50に属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。   When receiving communication data from the user terminal 40 belonging to the company NW 50 to the Internet 60, the conversion unit 22 converts the private IP address of the communication data into a corresponding global IP address.

セキュリティ機器30は、企業NW50A〜50Xとインターネット60との境界に設置されたFWまたはUTM等のセキュリティ機能を有する機器である。セキュリティ機器30は、フィルタリング部31を有する。フィルタリング部31は、NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、通信データのフィルタリングを行う。   The security device 30 is a device having a security function such as FW or UTM installed at the boundary between the companies NW 50A to 50X and the Internet 60. The security device 30 has a filtering unit 31. The filtering unit 31 filters communication data based on a security policy corresponding to the global IP address converted by the NAT device.

ユーザ端末40は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、スマートフォン、携帯電話機、PDA(Personal Digital Assistant)等の情報処理装置である。ユーザ端末40は、NAT装置20、セキュリティ機器30および企業NW50を介してインターネット60へパケットを送信する。また、ユーザ端末40は、NAT装置20、セキュリティ機器30および企業NW50を介してインターネット60からパケットを受信する。また、ユーザ端末40は、管理装置10のポータルサイトからログインして、開通の要求やセキュリティポリシの設定変更の要求を管理装置10へ通知する。   The user terminal 40 is an information processing apparatus such as a desktop PC, a tablet PC, a notebook PC, a smartphone, a mobile phone, and a PDA (Personal Digital Assistant). The user terminal 40 transmits a packet to the Internet 60 via the NAT device 20, the security device 30, and the company NW 50. Further, the user terminal 40 receives a packet from the Internet 60 via the NAT device 20, the security device 30, and the corporate NW 50. In addition, the user terminal 40 logs in from the portal site of the management apparatus 10 and notifies the management apparatus 10 of a request for opening and a request for changing a security policy setting.

[管理装置の構成]
次に、図2を用いて、管理装置10の構成を説明する。図2は、第1の実施形態に係る管理装置の構成例を示すブロック図である。図2に示すように、この管理装置10は、通信処理部11、制御部12および記憶部13を有する。以下に管理装置10が有する各部の処理を説明する。なお、管理装置10の各機能を複数の装置に分散して持たせるようにしてもよい。 [Configuration of management device]
Next, the configuration of the management apparatus 10 will be described with reference to FIG. FIG. 2 is a block diagram illustrating a configuration example of the management apparatus according to the first embodiment. As illustrated in FIG. 2, the management device 10 includes a communication processing unit 11, a control unit 12, and a storage unit 13. The processing of each unit included in the management apparatus 10 will be described below. Note that each function of the management apparatus 10 may be distributed among a plurality of apparatuses.

通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は、NAT装置20、セキュリティ機器30およびユーザ端末40との間で行われる通信を制御する。   The communication processing unit 11 controls communication related to various types of information. For example, the communication processing unit 11 controls communication performed between the NAT device 20, the security device 30, and the user terminal 40.

記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、ユーザ情報記憶部13a、制御情報記憶部13bおよびポリシ情報記憶部13cを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。   The storage unit 13 stores data and programs necessary for various types of processing by the control unit 12, and particularly those closely related to the present invention include a user information storage unit 13a, a control information storage unit 13b, and a policy information storage unit. 13c. For example, the storage unit 13 is a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk.

ユーザ情報記憶部13aは、各ユーザのユーザ端末40が属する企業NW50を記憶する。例えば、図3に例示するように、ユーザ情報記憶部13aは、各ユーザを一意に識別する「ユーザID」と、各ユーザのユーザ端末40が属する企業NW50を一意に識別する「NW ID」とを対応付けて記憶する。図3は、ユーザ情報記憶部に記憶されるデータの一例を示す図である。   The user information storage unit 13a stores the company NW 50 to which the user terminal 40 of each user belongs. For example, as illustrated in FIG. 3, the user information storage unit 13 a includes a “user ID” that uniquely identifies each user, and a “NW ID” that uniquely identifies the company NW 50 to which the user terminal 40 of each user belongs. Are stored in association with each other. FIG. 3 is a diagram illustrating an example of data stored in the user information storage unit.

制御情報記憶部13bは、各ユーザ端末40が属する企業NW50ごとに、NAT装置20が割り当てるグローバルIPアドレスを記憶する。また、制御情報記憶部13bは、グローバルIPアドレスに対応付けて、適用するセキュリティポリシを記憶する。例えば、制御情報記憶部13bは、図4に例示するように、企業NW50を一意に識別する「NW ID」と、企業NW50に割り当てる「グローバルIPアドレス」と、該当するグローバルIPアドレスのパケットに対して適用するポリシIDを示す「セキュリティポリシ」とを対応付けて記憶する。   The control information storage unit 13b stores a global IP address assigned by the NAT device 20 for each company NW 50 to which each user terminal 40 belongs. In addition, the control information storage unit 13b stores a security policy to be applied in association with the global IP address. For example, as illustrated in FIG. 4, the control information storage unit 13 b performs the “NW ID” for uniquely identifying the company NW 50, the “global IP address” assigned to the company NW 50, and the packet with the corresponding global IP address. Are stored in association with the “security policy” indicating the policy ID to be applied.

ポリシ情報記憶部13cは、セキュリティポリシの内容を記憶する。例えば、ポリシ情報記憶部13cは、図5に例示するように、セキュリティポリシを一意に識別するIDを示す「ポリシID」と、セキュリティポリシの適用対象を示す「グローバルIPアドレス」と、フィルタリングを実行するアクセス先のURLを示す「アクセス先URL」と、フィルタリングを実行するアクセス先のIPアドレスを示す「アクセス先IPアドレス」と、フィルタリングを実行するアクセス先のポート番号を示す「アクセス先ポート番号」と、フィルタリングの動作の内容を示す「動作」とを対応付けて記憶する。なお、「アクセス先URL」、「アクセス先IPアドレス」および「アクセス先ポート番号」については、1つのポリシのうち、いずれか一つだけ設定してもよいし、複数設定してもよい。例えば、図5の例では、「Policy1」において、フィルタリングを実行するアクセス先として、「アクセス先URL」のみが設定されている。また、図5の例では、セキュリティポリシの適用対象を特定するための情報として、グローバルIPアドレスのみを記載しているが、トラフィックの方向、ポート番号、URL等の情報も参照するようにしてもよい。   The policy information storage unit 13c stores the contents of the security policy. For example, as illustrated in FIG. 5, the policy information storage unit 13 c performs filtering with “policy ID” indicating an ID for uniquely identifying a security policy, “global IP address” indicating an application target of the security policy, and filtering "Access destination URL" indicating the URL of the access destination to be filtered, "Access destination IP address" indicating the IP address of the access destination performing filtering, and "Access destination port number" indicating the port number of the access destination performing filtering And “operation” indicating the content of the filtering operation are stored in association with each other. Note that only one or a plurality of “access destination URL”, “access destination IP address”, and “access destination port number” may be set in one policy. For example, in the example of FIG. 5, only “access destination URL” is set as an access destination for executing filtering in “Policy 1”. In the example of FIG. 5, only the global IP address is described as the information for specifying the security policy application target. However, information such as the traffic direction, port number, and URL may be referred to. Good.

制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、受付部12a、指示部12bおよび設定部12cを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。   The control unit 12 has an internal memory for storing a program that defines various processing procedures and necessary data, and performs various processes using them, and particularly as closely related to the present invention, It has a reception unit 12a, an instruction unit 12b, and a setting unit 12c. Here, the control unit 12 is an electronic circuit such as a CPU (Central Processing Unit) or MPU (Micro Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array).

受付部12aは、ユーザ端末40に対して、該ユーザ端末40が属する企業NW50に対応する画面を表示し、ユーザ端末40から企業NW50の要求を受け付ける。例えば、受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから読み出し、NW IDに応じたページをユーザ端末40に表示させる。そして、受付部12aは、ユーザ端末40に表示されたページから企業NW50の開通要求を受け付ける。   The accepting unit 12 a displays a screen corresponding to the company NW 50 to which the user terminal 40 belongs to the user terminal 40, and accepts a request for the company NW 50 from the user terminal 40. For example, when the user terminal 40 logs in from the portal site, the reception unit 12a reads out the NW ID of the company NW 50 corresponding to the user ID used for login from the user information storage unit 13a, and the page corresponding to the NW ID Is displayed on the user terminal 40. And the reception part 12a receives the opening request of the company NW50 from the page displayed on the user terminal 40.

また、受付部12aは、ユーザ端末40からの要求に応じて、企業NW50ごとのセキュリティポリシを設定する設定画面をユーザ端末40に表示させ、ユーザ端末40からセキュリティポリシに関する設定指示を受け付ける。   In response to a request from the user terminal 40, the reception unit 12 a displays a setting screen for setting a security policy for each company NW 50 on the user terminal 40, and receives a setting instruction regarding the security policy from the user terminal 40.

例えば、受付部12aは、ユーザがセキュリティポリシを変更するために、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから取得し、取得したNW IDに対応する企業NW50に現在設定されているセキュリティポリシの内容を含む設定画面をユーザ端末40に表示させる。つまり、ユーザ端末40には、自装置が属さない他の企業NW50のセキュリティポリシの内容は表示されず、自装置が属する企業NW50のセキュリティポリシの内容のみが表示される。   For example, when the user terminal 40 logs in from a portal site in order for the user to change the security policy, the reception unit 12a displays the NW ID of the company NW 50 corresponding to the user ID used for login as the user information storage unit The setting screen including the contents of the security policy currently set in the company NW 50 corresponding to the acquired NW ID is displayed on the user terminal 40. That is, the content of the security policy of the other company NW50 to which the own device does not belong is not displayed on the user terminal 40, but only the content of the security policy of the company NW50 to which the own device belongs is displayed.

そして、受付部12aは、ユーザ端末40に表示された設定画面へのユーザの操作に基づいて、ユーザ端末40からセキュリティポリシに関する設定指示を受け付ける。このように、1つのセキュリティ機器30の管理ポータルを複数ユーザが利用可能な構成に分割し、その分割した管理ポータルの設定が一元的に1つのセキュリティ機器30に反映される。   Then, the accepting unit 12 a accepts a setting instruction related to the security policy from the user terminal 40 based on a user operation on the setting screen displayed on the user terminal 40. In this way, the management portal of one security device 30 is divided into a configuration that can be used by a plurality of users, and the settings of the divided management portal are reflected on one security device 30 in a unified manner.

指示部12bは、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。例えば、指示部12bは、受付部12aによって開通要求が受け付けられた場合には、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。   In response to a request from the user terminal 40, the instruction unit 12b instructs the NAT device 20 to assign a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs. For example, when the acceptance request is accepted by the acceptance unit 12a, the instruction unit 12b instructs the NAT device 20 to assign a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs.

ここで、図6を用いて、管理装置10が各企業NW50に対して割り当てるグローバルIPアドレスをNAT装置20に指示する処理を説明する。図6は、第1の実施形態に係る管理装置においてNAT装置で割り当てるグローバルIPアドレスを指示する処理を説明する図である。なお、図6では、管理装置10およびユーザ端末40の図示を省略している。   Here, a process of instructing the NAT device 20 about a global IP address that the management device 10 assigns to each company NW 50 will be described with reference to FIG. FIG. 6 is a diagram for explaining processing for instructing a global IP address to be assigned by the NAT device in the management device according to the first embodiment. In FIG. 6, the management device 10 and the user terminal 40 are not shown.

図6に例示するように、管理装置10は、NAT装置20において各企業NW50に対して割り当てるグローバルIPアドレスを予め記憶する。図6の例を用いて具体的に説明すると、管理装置10は、企業NW1に対応するNW ID「1001」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.10.3」を記憶し、企業NW2に対応するNW ID「1002」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.10.4」を記憶し、企業NWxに対応するNW ID「2000」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.13.240」を記憶する。   As illustrated in FIG. 6, the management apparatus 10 stores in advance a global IP address assigned to each company NW 50 in the NAT apparatus 20. More specifically, the management apparatus 10 stores “210.100.10.3” as the global IP address assigned by the NAT apparatus 20 for the NW ID “1001” corresponding to the company NW1. Then, for the NW ID “1002” corresponding to the company NW2, “210.100.10.4” is stored as the global IP address assigned by the NAT device 20, and for the NW ID “2000” corresponding to the company NWx, the NAT device “210.100.13.240” is stored as the global IP address to be assigned at 20.

そして、管理装置10は、各企業NW1〜企業NWxに対して割り当てるグローバルIPアドレスをNAT装置20に指示する。NAT装置20は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW1〜企業NWxに対してグローバルIPアドレスをそれぞれ割り当てる。そして、NAT装置20は企業NW1〜企業NWxに属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。   Then, the management device 10 instructs the NAT device 20 about a global IP address to be assigned to each of the companies NW1 to NWx. The NAT device 20 assigns a global IP address to each of the enterprises NW1 to NWx to be accommodated based on the global IP address designated by the management device 10. When the NAT device 20 receives communication data from the user terminals 40 belonging to the company NW1 to the company NWx to the Internet 60, the NAT device 20 converts the private IP address of the communication data into a corresponding global IP address.

図2の説明に戻って、設定部12cは、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。例えば、設定部12cは、受付部12aによって受け付けた設定指示に応じて、セキュリティポリシをセキュリティ機器30に対して設定する。   Returning to the description of FIG. 2, in response to a request from the user terminal 40, the setting unit 12 c sets a security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs to the security device 30. For example, the setting unit 12c sets a security policy for the security device 30 in accordance with the setting instruction received by the receiving unit 12a.

また、設定部12cは、例えば、予め用意された推奨設定として、各企業NW50に対して共通のセキュリティポリシを企業NW50が開通する際にセキュリティ機器30に設定するようにしてもよい。また、設定部12cは、ポリシ情報記憶部13cを参照し、各企業NW50に設定されているセキュリティポリシを基に、セキュリティポリシを動的に追加するようにしてもよい。例えば、設定部12cは、定期的にポリシ情報記憶部13cを参照し、各企業NW50のセキュリティポリシにおいて、一定以上の割合(例えば、9割以上)で共通して設定されているものについては、全企業NW50において共通するセキュリティポリシとして自動的に追加するようにしてもよい。   For example, the setting unit 12c may set a security policy common to each company NW50 in the security device 30 when the company NW50 opens as a recommended setting prepared in advance. Further, the setting unit 12c may dynamically add a security policy based on the security policy set for each company NW 50 with reference to the policy information storage unit 13c. For example, the setting unit 12c periodically refers to the policy information storage unit 13c, and in the security policy of each company NW50, what is commonly set at a certain ratio (for example, 90% or more) You may make it add automatically as a security policy common in all the company NW50.

ここで、図7を用いて、管理装置10がセキュリティ機器にセキュリティポリシを設定する処理を説明する。図7は、第1の実施形態に係る管理装置においてセキュリティ機器にセキュリティポリシを設定する処理を説明する図である。なお、図7では、管理装置10およびユーザ端末40の図示を省略している。   Here, a process in which the management apparatus 10 sets a security policy in the security device will be described with reference to FIG. FIG. 7 is a diagram for explaining processing for setting a security policy in a security device in the management apparatus according to the first embodiment. In FIG. 7, the management device 10 and the user terminal 40 are not shown.

図7に例示するように、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。図7の例を用いて具体的に説明すると、管理装置10は、Policy1〜PolicyNのN個のセキュリティポリシをセキュリティ機器30に設定している。   As illustrated in FIG. 7, in response to a request from the user terminal 40, the management apparatus 10 sets a security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs to the security device 30. Specifically, the management apparatus 10 sets N security policies of Policy 1 to Policy N in the security device 30.

ここで、例えば、「Policy1」のセキュリティポリシでは、企業NW1に対応するグローバルIPアドレス「210.100.10.3」に対して、URL(Uniform Resource Locator)として「www.xxxxx.com」をアクセス先とする通信を許可することが規定されている。また、例えば、「Policy2」のセキュリティポリシでは、企業NW2に対応するグローバルIPアドレス「210.100.10.4」に対して、のIPアドレスとして「8.8.8.8」をアクセス先とする通信を許可することが規定されている。また、例えば、「PolicyN」のセキュリティポリシでは、企業NWxに対応するグローバルIPアドレス「210.100.13.240」に対して、アクセス先のポート番号として「445ポート」をアクセス先とする通信を禁止することが規定されている。このように、通信システム100では、グローバルIPアドレス単位、すなわち企業NW50単位でセキュリティポリシを設定することが可能である。   Here, for example, in the “Policy 1” security policy, “www.xxxxx.com” is accessed as a URL (Uniform Resource Locator) for the global IP address “210.100.10.3” corresponding to the company NW1. It is stipulated that the first communication is permitted. In addition, for example, in the “Policy 2” security policy, communication with the access destination “8.8.8.8” as the IP address of the global IP address “210.100.10.4” corresponding to the company NW2 is permitted. It is prescribed to do. Further, for example, in the “Policy N” security policy, communication with “445 port” as the access destination port number is performed for the global IP address “210.100.13.240” corresponding to the company NWx. Prohibition is stipulated. Thus, in the communication system 100, it is possible to set a security policy in units of global IP addresses, that is, in units of corporate NWs 50.

[通信システムの処理手順]
次に、図8を用いて、第1の実施形態に係る通信システム100による処理手順の例を説明する。図8は、第1の実施形態に係る通信システムにおけるグローバルIPアドレスの払出処理の流れの一例を示すシーケンス図である。図9は、第1の実施形態に係る通信システムにおけるセキュリティポリシの設定処理の流れの一例を示すシーケンス図である。 [Processing procedure of communication system]
Next, an example of a processing procedure performed by the communication system 100 according to the first embodiment will be described with reference to FIG. FIG. 8 is a sequence diagram illustrating an example of a flow of a global IP address issue process in the communication system according to the first embodiment. FIG. 9 is a sequence diagram illustrating an example of a flow of security policy setting processing in the communication system according to the first embodiment.

まず、図8の例を用いて、通信システム100におけるグローバルIPアドレスの払出処理の流れを説明する。図8に例示するように、通信システム100のユーザ端末40は、企業NW50の開通の要求を行う際に、管理装置10のポータルサイトからログインする(ステップS101)。   First, the flow of a global IP address issue process in the communication system 100 will be described using the example of FIG. As illustrated in FIG. 8, the user terminal 40 of the communication system 100 logs in from the portal site of the management apparatus 10 when making a request for opening the company NW 50 (step S <b> 101).

そして、管理装置10の受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから読み出し、NW IDに応じたページをユーザ端末40に表示させる(ステップS102)。そして、受付部12aは、ユーザ端末40に表示されたページから企業NW50の開通要求を受け付け(ステップS103)、NATへの設定要求を指示部12bに対して通知する(ステップS104)。   Then, when the user terminal 40 logs in from the portal site, the receiving unit 12a of the management apparatus 10 reads out the NW ID of the company NW 50 corresponding to the user ID used for the login from the user information storage unit 13a, and the NW ID A page corresponding to the above is displayed on the user terminal 40 (step S102). Then, the accepting unit 12a accepts the opening request of the company NW 50 from the page displayed on the user terminal 40 (step S103), and notifies the setting unit 12 to the instruction unit 12b (step S104).

続いて、指示部12bは、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して設定指示する(ステップS105)。つまり、言い換えると、指示部12bは、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスをNAT装置20に対して払い出す。   Subsequently, the instruction unit 12b instructs the NAT device 20 to set a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs (step S105). That is, in other words, the instruction unit 12 b pays out to the NAT device 20 a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs.

その後、NAT装置20は、企業NW50に対してグローバルIPアドレスを割り当てると、管理装置10の受付部12aおよび指示部12bを介してユーザ端末40に対して、グローバルIPアドレスの割当が完了したことを報知する完了通知を送信する(ステップS106〜S108)。   Thereafter, when the NAT device 20 assigns a global IP address to the company NW 50, it is confirmed that the assignment of the global IP address to the user terminal 40 is completed via the receiving unit 12a and the instruction unit 12b of the management device 10. A notification of completion of notification is transmitted (steps S106 to S108).

次に、図9の例を用いて、通信システム100におけるセキュリティポリシの設定処理の流れを説明する。図9に例示するように、通信システム100のユーザ端末40は、セキュリティポリシの設定変更を行う際に、管理装置10のポータルサイトからログインする(ステップS201)。   Next, the flow of security policy setting processing in the communication system 100 will be described using the example of FIG. As illustrated in FIG. 9, the user terminal 40 of the communication system 100 logs in from the portal site of the management apparatus 10 when changing the security policy setting (step S201).

管理装置10の受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから取得し、取得したNW IDに対応するセキュリティポリシの内容を含む各種設定に関する設定情報を設定部12cに問い合わせる(ステップS202)。   When the user terminal 40 logs in from the portal site, the reception unit 12a of the management apparatus 10 acquires the NW ID of the company NW 50 corresponding to the user ID used for login from the user information storage unit 13a, and acquires the acquired NW The setting unit 12c is inquired about setting information regarding various settings including the contents of the security policy corresponding to the ID (step S202).

設定部12cは、NW IDに対応するセキュリティポリシのIDを制御情報記憶部13bから取得し、セキュリティポリシのIDに対応するセキュリティポリシの内容をポリシ情報記憶部13cから取得する。そして、設定部12cは、取得したセキュリティポリシの内容を含む設定情報を受付部12aに回答する(ステップS203)。   The setting unit 12c acquires the security policy ID corresponding to the NW ID from the control information storage unit 13b, and acquires the contents of the security policy corresponding to the security policy ID from the policy information storage unit 13c. Then, the setting unit 12c returns setting information including the content of the acquired security policy to the receiving unit 12a (step S203).

そして、受付部12aは、NW IDに応じたページとして、ユーザIDに対応する企業NW50に現在設定されているセキュリティポリシの内容を含むページをユーザ端末40に表示させる(ステップS204)。そして、受付部12aは、ユーザ端末40に表示された設定画面へのユーザの操作に基づいて、ユーザ端末40からセキュリティポリシに関する設定の変更投入を受け付け(ステップS205)、設定の変更依頼を設定部12cに通知する(ステップS206)。   And the reception part 12a displays on the user terminal 40 the page containing the content of the security policy currently set to the company NW50 corresponding to user ID as a page according to NW ID (step S204). Then, the accepting unit 12a accepts a setting change regarding the security policy from the user terminal 40 based on the user's operation on the setting screen displayed on the user terminal 40 (step S205), and sends a setting change request to the setting unit. 12c is notified (step S206).

そして、設定部12cは、設定部12cは、受付部12aからの変更依頼に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシの変更をセキュリティ機器30に対して設定する(ステップS207)。   Then, the setting unit 12c sets the security device 30 to change the security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs in response to the change request from the receiving unit 12a ( Step S207).

その後、セキュリティ機器30は、セキュリティポリシの変更を行うと、管理装置10の受付部12aおよび指示部12bを介してユーザ端末40に対して、セキュリティポリシを変更したことを報知する完了通知を送信する(ステップS208〜S210)。   Thereafter, when the security device 30 changes the security policy, the security device 30 transmits a completion notification for notifying that the security policy has been changed to the user terminal 40 via the receiving unit 12a and the instruction unit 12b of the management apparatus 10. (Steps S208 to S210).

(第1の実施形態の効果)
第1の実施形態に係る通信システム100は、企業NW50とインターネット60との境界に設けられたセキュリティ機器30と、企業NW50を収容するNAT装置20と、セキュリティ機器30およびNAT装置20を制御する管理装置10とを有する。管理装置10は、各ユーザ端末40が属する企業NW50ごとに、NAT装置20が割り当てるグローバルIPアドレスを記憶する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。そして、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。 (Effects of the first embodiment)
The communication system 100 according to the first embodiment includes a security device 30 provided at the boundary between the corporate NW 50 and the Internet 60, a NAT device 20 that accommodates the corporate NW 50, and a management that controls the security device 30 and the NAT device 20. Device 10. The management device 10 stores a global IP address assigned by the NAT device 20 for each company NW 50 to which each user terminal 40 belongs. In response to a request from the user terminal 40, the management apparatus 10 instructs the NAT apparatus 20 to assign a global IP address corresponding to the company NW 50 to which the user terminal 40 belongs. Then, in response to a request from the user terminal 40, the management device 10 sets a security policy for the global IP address of the company NW 50 to which the user terminal 40 belongs to the security device 30.

また、NAT装置20は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW50に対してグローバルIPアドレスをそれぞれ割り当てる。また、NAT装置20は、企業NW50に属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。また、セキュリティ機器30は、NAT装置20によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、通信データのフィルタリングを行う。このため、第1の実施形態に係る通信システム100では、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことが可能である。   The NAT device 20 assigns a global IP address to each company NW 50 accommodated based on the global IP address instructed by the management device 10. Further, when the NAT device 20 receives communication data from the user terminal 40 belonging to the company NW 50 to the Internet 60, the NAT device 20 converts the private IP address of the communication data into a corresponding global IP address. The security device 30 filters communication data based on the security policy corresponding to the global IP address converted by the NAT device 20. For this reason, in the communication system 100 according to the first embodiment, a single security device is shared for a plurality of user networks and the service is provided at a low cost without impairing the flexibility of address management of each user network. Can be done.

ここで、図10および図11の例を用いて、従来の通信システムの構成および課題を説明する。図10に例示するように、従来の通信システムでは、一つの企業NW500に対して、1つのセキュリティ機器300がインターネット600の接続点に設けられていた。また、図11に例示するように、従来の通信システムにおいて、複数の企業NW500500A〜500Xで1つのセキュリティ機器300を共有するために、プライベートIPアドレスについて、10.11.0.0/16の範囲で各企業NW500500A〜500Xにアドレスブロックを指定して収容するため、ユーザネットワーク間でアドレスの重複が出来ないという課題があった。   Here, the configuration and problems of a conventional communication system will be described using the examples of FIGS. 10 and 11. As illustrated in FIG. 10, in the conventional communication system, one security device 300 is provided at the connection point of the Internet 600 for one company NW 500. In addition, as illustrated in FIG. 11, in the conventional communication system, in order to share one security device 300 among a plurality of enterprises NWs 500500A to 500X, a range of 10.11.0.0/16 for a private IP address Therefore, there is a problem that addresses cannot be duplicated between user networks because each company NW 500500A to 500X designates and accommodates an address block.

これに対して、第1の実施形態に係る通信システム100では、図12に例示するように、複数の企業NW50A〜50XをNAT装置20が収容し、セキュリティ機器30が、NAT装置20が変換するグローバルIPアドレスに基づきフィルタリングを実施するので、企業NW50A〜50X間でアドレスの重複が可能となり、各ユーザのプライベートIPアドレス管理の柔軟性を損なうことなく、複数の企業NW50A〜50Xを一つのセキュリティ機器30で利用できることが可能である。UTM等のセキュリティ機器は、内からの脅威と外からの脅威との双方を監視するものであり、NAT装置20によるアドレス変換を行えば脅威の発見に影響を与えるため、従来では通常はこのような構成は取られてなかった。   On the other hand, in the communication system 100 according to the first embodiment, as illustrated in FIG. 12, the NAT device 20 accommodates a plurality of companies NW 50 </ b> A to 50 </ b> X, and the security device 30 is converted by the NAT device 20. Since filtering is performed based on the global IP address, duplication of addresses is possible between the corporate NWs 50A to 50X, and a plurality of corporate NWs 50A to 50X can be combined into one security device without impairing the flexibility of private IP address management for each user. 30 can be available. A security device such as UTM monitors both internal threats and external threats. If address translation by the NAT device 20 is performed, threat detection will be affected. The structure was not taken.

このように、第1の実施形態に係る通信システム100では、利用ユーザのネットワーク環境を変更することなく、セキュリティ機器30を共用利用が可能となる。また、これにより、セキュリティサービスを提供する事業者において、1つのセキュリティ機器30を利用して複数ユーザへのサービス提供が可能となり、コストを抑えてサービス提供を行うことが可能となる。   Thus, in the communication system 100 according to the first embodiment, the security device 30 can be shared and used without changing the network environment of the user. In addition, this makes it possible for a provider providing security services to provide services to a plurality of users by using one security device 30, and to provide services at a reduced cost.

(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 (System configuration etc.)
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.

例えば、図1の例では、NAT装置20とセキュリティ機器30とを別々のハードウェアとして独立して存在する場合を説明したが、一つのハードウェアにNAT装置20とセキュリティ機器30との機能が含まれるようにしてもよい。そこで、図13の例を用いて、NAT装置20とセキュリティ機器30の機能を有する通信装置70を備えたシステムを、その他の実施形態に係る通信システム100Aとして説明する。   For example, in the example of FIG. 1, the case where the NAT device 20 and the security device 30 exist independently as separate hardware has been described, but the functions of the NAT device 20 and the security device 30 are included in one hardware. You may be made to do. Therefore, a system including the communication device 70 having the functions of the NAT device 20 and the security device 30 will be described as a communication system 100A according to another embodiment, using the example of FIG.

図13は、その他の実施形態に係る通信システムの構成例を示すブロック図である。図13に例示するように、通信システム100Aの通信装置70は、企業NW50A〜50Xとインターネット60との境界に設置され、割当部21、変換部22およびフィルタリング部31を有する。なお、割当部21、変換部22およびフィルタリング部31については、上述で説明したものと同様であるため、説明を省略する。このような通信装置70は、セキュリティ機能を有するとともに、複数の企業NW50A〜50Xを収容し、プライベートIPアドレスとグローバルIPアドレスのアドレス変換処理を実行する機能も有する。   FIG. 13 is a block diagram illustrating a configuration example of a communication system according to another embodiment. As illustrated in FIG. 13, the communication device 70 of the communication system 100 </ b> A is installed at the boundary between the corporate NWs 50 </ b> A to 50 </ b> X and the Internet 60 and includes an assignment unit 21, a conversion unit 22, and a filtering unit 31. The assignment unit 21, the conversion unit 22, and the filtering unit 31 are the same as those described above, and thus the description thereof is omitted. Such a communication device 70 has a security function and also has a function of accommodating a plurality of companies NWs 50A to 50X and executing an address conversion process between a private IP address and a global IP address.

また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。   In addition, among the processes described in this embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed All or a part of the above can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.

(プログラム)
また、上記実施形態において説明した各装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る管理装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。 (program)
In addition, it is possible to create a program in which processing executed by each device described in the above embodiment is described in a language that can be executed by a computer. For example, it is possible to create a program in which processing executed by the management apparatus 10 according to the embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed to execute the same processing as in the above embodiment.

図14は、プログラムを実行するコンピュータを示す図である。図14に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。   FIG. 14 is a diagram illustrating a computer that executes a program. As illustrated in FIG. 14, the computer 1000 includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.

メモリ1010は、図14に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図14に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図14に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図14に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図14に例示するように、例えばディスプレイ1130に接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012 as illustrated in FIG. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090 as illustrated in FIG. The disk drive interface 1040 is connected to the disk drive 1100 as illustrated in FIG. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120 as illustrated in FIG. The video adapter 1060 is connected to a display 1130, for example, as illustrated in FIG.

ここで、図14に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。   Here, as illustrated in FIG. 14, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, the above-described program is stored in, for example, the hard disk drive 1090 as a program module in which an instruction to be executed by the computer 1000 is described.

また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。   In addition, various data described in the above embodiment is stored as program data in, for example, the memory 1010 or the hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 as necessary, and executes various processing procedures.

なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the program are not limited to being stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read out by the CPU 1020 via the disk drive or the like. . Alternatively, the program module 1093 and the program data 1094 related to the program are stored in another computer connected via a network (LAN, WAN (Wide Area Network), etc.) and read by the CPU 1020 via the network interface 1070. May be.

上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   The above embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.

10 管理装置
11 通信処理部
12 制御部
12a 受付部
12b 指示部
12c 設定部
13 記憶部
13a ユーザ情報記憶部
13b 制御情報記憶部
13c ポリシ情報記憶部
20 NAT装置
21 割当部
22 変換部
30 セキュリティ機器
31 フィルタリング部
40 ユーザ端末
50A〜50X 企業NW
60 インターネット
70 通信装置
100、100A 通信システム DESCRIPTION OF SYMBOLS 10 Management apparatus 11 Communication processing part 12 Control part 12a Reception part 12b Instruction part 12c Setting part 13 Storage part 13a User information storage part 13b Control information storage part 13c Policy information storage part 20 NAT apparatus 21 Allocation part 22 Conversion part 30 Security apparatus 31 Filtering unit 40 User terminal 50A-50X Corporate NW
60 Internet 70 Communication device 100, 100A Communication system

Claims (6)

ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器と、前記ユーザネットワークを収容するNAT装置とを有する通信システムであって、
前記NAT装置は、
収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、
前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部とを有し、
前記セキュリティ機器は、
前記NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部を有することを特徴とする通信システム。 A communication system having a security device provided at a boundary between a user network and an external network, and a NAT device accommodating the user network,
The NAT device is
An assigning unit that assigns a global IP address to each user network accommodated;
A conversion unit that converts a private IP address of the communication data to a corresponding global IP address when receiving communication data from the user terminal belonging to the user network to the external network;
The security device is:
A communication system, comprising: a filtering unit configured to filter the communication data based on a security policy corresponding to a global IP address converted by the NAT device. 各ユーザ端末が属するユーザネットワークごとに、前記NAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記セキュリティ機器に対して設定する設定部と
を有する管理装置をさらに備え、
前記割当部は、前記指示部によって指示されたグローバルIPアドレスに基づいて、収容する各ユーザネットワークに対してグローバルIPアドレスをそれぞれ割り当てることを特徴とする請求項1に記載の通信システム。 A storage unit for storing a global IP address assigned by the NAT device for each user network to which each user terminal belongs;
An instruction unit for instructing the NAT device to assign a global IP address corresponding to a user network to which the user terminal belongs, in response to a request from the user terminal;
A management device further comprising: a setting unit configured to set a security policy for the global IP address of the user network to which the user terminal belongs in response to a request from the user terminal;
The communication system according to claim 1, wherein the assigning unit assigns a global IP address to each user network to be accommodated based on the global IP address instructed by the instructing unit. 前記管理装置は、
前記ユーザ端末に対して、該ユーザ端末が属するユーザネットワークに対応する画面を表示させ、前記ユーザ端末から前記ユーザネットワークの要求を受け付ける受付部をさらに有し、
前記指示部は、前記受付部によって前記要求が受け付けられた場合には、前記ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示することを特徴とする請求項2に記載の通信システム。 The management device
The user terminal further includes a reception unit that displays a screen corresponding to a user network to which the user terminal belongs, and receives a request for the user network from the user terminal,
The instruction unit, when the request is received by the reception unit, instructs the NAT device to assign a global IP address corresponding to a user network to which the user terminal belongs. 2. The communication system according to 2. 前記管理装置は、
前記ユーザ端末からの要求に応じて、前記ユーザネットワークごとのセキュリティポリシを設定する設定画面を前記ユーザ端末に表示させ、前記ユーザ端末からセキュリティポリシに関する設定指示を受け付ける受付部をさらに有し、
前記設定部は、前記受付部によって受け付けた設定指示に応じて、セキュリティポリシを前記セキュリティ機器に対して設定することを特徴とする請求項2に記載の通信システム。 The management device
In response to a request from the user terminal, a setting screen for setting a security policy for each user network is displayed on the user terminal, and further includes a reception unit that receives a setting instruction regarding the security policy from the user terminal,
The communication system according to claim 2, wherein the setting unit sets a security policy for the security device in accordance with a setting instruction received by the receiving unit. 収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、
前記ユーザネットワークに属するユーザ端末から外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部と、
前記変換部によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部と
を有することを特徴とする通信装置。 An assigning unit that assigns a global IP address to each user network accommodated;
A conversion unit that converts a private IP address of the communication data into a corresponding global IP address when receiving communication data from the user terminal belonging to the user network to the external network;
And a filtering unit that filters the communication data based on a security policy corresponding to the global IP address converted by the conversion unit. 各ユーザ端末が属するユーザネットワークごとに、前記ユーザネットワークを収容するNAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器に対して設定する設定部と
を有することを特徴とする管理装置。 For each user network to which each user terminal belongs, a storage unit that stores a global IP address assigned by a NAT device that accommodates the user network;
An instruction unit for instructing the NAT device to assign a global IP address corresponding to a user network to which the user terminal belongs, in response to a request from the user terminal;
A setting unit that sets a security policy for a global IP address of a user network to which the user terminal belongs to a security device provided at a boundary between the user network and an external network in response to a request from the user terminal. Management device characterized by.
JP2018093208A 2018-05-14 2018-05-14 Communication system, communication equipment and management equipment Active JP6985209B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018093208A JP6985209B2 (en) 2018-05-14 2018-05-14 Communication system, communication equipment and management equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018093208A JP6985209B2 (en) 2018-05-14 2018-05-14 Communication system, communication equipment and management equipment

Publications (2)

Publication Number Publication Date
JP2019201247A true JP2019201247A (en) 2019-11-21
JP6985209B2 JP6985209B2 (en) 2021-12-22

Family

ID=68613251

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018093208A Active JP6985209B2 (en) 2018-05-14 2018-05-14 Communication system, communication equipment and management equipment

Country Status (1)

Country Link
JP (1) JP6985209B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (en) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> Method and apparatus for communication between networks
JP2001292163A (en) * 2000-04-04 2001-10-19 Fujitsu Ltd Communication data relay device
JP2001306421A (en) * 2000-04-27 2001-11-02 Nippon Telegr & Teleph Corp <Ntt> Centralized firewall device
JP2001358775A (en) * 2000-06-14 2001-12-26 Nippon Telegr & Teleph Corp <Ntt> Centralized address translator
JP2002261788A (en) * 2001-02-27 2002-09-13 Mitsubishi Electric Corp Firewall management apparatus and method
JP2003244216A (en) * 2002-02-21 2003-08-29 Mitsubishi Electric Corp Computer-readable recording medium and program for recording specific frame forced discard system, specific frame forced discard method and program
US20060078096A1 (en) * 2004-07-23 2006-04-13 Nokia Corporation Systems and methods for encapsulation based session initiation protocol through network address translation

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001016255A (en) * 1999-06-29 2001-01-19 Nippon Telegr & Teleph Corp <Ntt> Method and apparatus for communication between networks
JP2001292163A (en) * 2000-04-04 2001-10-19 Fujitsu Ltd Communication data relay device
JP2001306421A (en) * 2000-04-27 2001-11-02 Nippon Telegr & Teleph Corp <Ntt> Centralized firewall device
JP2001358775A (en) * 2000-06-14 2001-12-26 Nippon Telegr & Teleph Corp <Ntt> Centralized address translator
JP2002261788A (en) * 2001-02-27 2002-09-13 Mitsubishi Electric Corp Firewall management apparatus and method
JP2003244216A (en) * 2002-02-21 2003-08-29 Mitsubishi Electric Corp Computer-readable recording medium and program for recording specific frame forced discard system, specific frame forced discard method and program
US20060078096A1 (en) * 2004-07-23 2006-04-13 Nokia Corporation Systems and methods for encapsulation based session initiation protocol through network address translation

Also Published As

Publication number Publication date
JP6985209B2 (en) 2021-12-22

Similar Documents

Publication Publication Date Title
US12107829B2 (en) Localization at scale for a cloud-based security service
US11089021B2 (en) Private network layering in provider network environments
US11943297B2 (en) Distributed network security system providing isolation of customer data
EP1859354B1 (en) System for protecting identity in a network environment
EP2499787B1 (en) Smart client routing
CN101447956B (en) Cross-GAP communication method and communication system using same
JP5031826B2 (en) Distributed firewall implementation and control
US10609081B1 (en) Applying computer network security policy using domain name to security group tag mapping
KR20110132973A (en) How to Automate Network Reconfiguration During Migrations
CN114389886B (en) Access method, device, equipment and storage medium of virtual private cloud service
US12166760B2 (en) Systems and methods for controlling accessing and storing objects between on-prem data center and cloud
CN113014680B (en) Broadband access method, device, equipment and storage medium
JP2009500968A (en) Integrated architecture for remote network access
US20250088485A1 (en) Cloud-based egress filtering system
CN115037551B (en) Connection authority control method and device, electronic equipment and storage medium
US20160127475A1 (en) Leak-Proof Classification for an Application Session
WO2024188087A1 (en) Security management and control method for cloud desktop, and device, storage medium and system
CN118368243A (en) Method, device, equipment, storage medium and program product for realizing flow scheduling
CN105635335A (en) Social resource access method, apparatus, and system
CN106605390A (en) Control device, control system, control method, and control program
US20250126137A1 (en) System and method for providing cybersecurity services in dual-stack traffic processing within communication networks
JP6985209B2 (en) Communication system, communication equipment and management equipment
CN115767792A (en) 5G edge gateway server
US20260025362A1 (en) Methods for a virtual private network (vpn) client operating as a pass-through vpn client for private applications
US20250007881A1 (en) Method of secure compartmentalization for iot application and iot gateway using the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211125

R150 Certificate of patent or registration of utility model

Ref document number: 6985209

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350