[go: up one dir, main page]

JP3591753B2 - ファイアウォール方式およびその方法 - Google Patents

ファイアウォール方式およびその方法 Download PDF

Info

Publication number
JP3591753B2
JP3591753B2 JP01702797A JP1702797A JP3591753B2 JP 3591753 B2 JP3591753 B2 JP 3591753B2 JP 01702797 A JP01702797 A JP 01702797A JP 1702797 A JP1702797 A JP 1702797A JP 3591753 B2 JP3591753 B2 JP 3591753B2
Authority
JP
Japan
Prior art keywords
terminal
access
connection
protocol
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP01702797A
Other languages
English (en)
Other versions
JPH10215248A (ja
Inventor
秀育 印牧
丈志 岡本
聡 札立
利勝 新
英太郎 平賀
稔 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP01702797A priority Critical patent/JP3591753B2/ja
Priority to US09/015,826 priority patent/US6353856B1/en
Publication of JPH10215248A publication Critical patent/JPH10215248A/ja
Application granted granted Critical
Publication of JP3591753B2 publication Critical patent/JP3591753B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/166IP fragmentation; TCP segmentation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/169Special adaptations of TCP, UDP or IP for interworking of IP based networks with other networks 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0478Provisions for broadband connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5638Services, e.g. multimedia, GOS, QOS
    • H04L2012/5665Interaction of ATM with other protocols
    • H04L2012/5667IP over ATM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5687Security aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ファイアウォールに係わり、特に、IP over ATM プロトコルを使用する通信におけるファイアウォールに関する。
【0002】
【従来の技術】
近年、急速に普及してきているインターネットは、その標準プロトコルとしてTCP/IPを採用しているが、TCP/IPプロトコルに従った通信をATM ネットワーク上で実現するシステムが検討されている。このようなシステムは、IP over ATM と呼ばれている。この技術が確立されれば、たとえば、ATM ネットワークを利用したインターネットを実現できる。
【0003】
ところで、インターネットの普及に伴い、コンピュータ等の端末を公衆網に接続する機会が増えてきているが、このような状況では、公衆網側からの不正なアクセスから端末(端末が格納する情報)を守る技術が重要である。この場合、特定種類のトラフィックを遮断する機能が必要になる。特定種類のトラフィックを遮断することによってコンピュータ等のセキュリティを向上させる機能、またはその機能を実現する装置はファイアウォールと呼ばれている。
【0004】
図33は、上述したIP over ATM においてファイアウォールを設ける例を示す図である。図33に示す例では、端末(DTE: Data Terminal Equipment)102、107は、TCP/IPプロトコルに従った通信を行うことができ、ATM ネットワーク101に収容されている。LAN103は、TCP/IPプロトコルを利用したイーサネットであり、ルータ105を介してATM ネットワーク101に接続される。ルータ105は、ファイアウォール機能を有し、ATM ネットワーク101からLAN103へのアクセスを選択的に許可する。
【0005】
上記システムにおいて、端末102から端末107へTCP/IPプロトコルでアクセスする場合には、まず、端末102から端末107間にATM コネクションを確立し、そのATM コネクション上にTCP/IPコネクションを確立して通信を行う。
【0006】
端末102からTCP/IPプロトコルによる通信でLAN104内に設けられた端末104へアクセスする場合は、まず、端末102とルータ105との間にATM コネクションを確立する。そして、端末102は、そのATM コネクションを介して端末104へのアクセス要求をルータ105へ転送する。ルータ105は、アクセス要求を受け取ると、IPアドレスやTCP のポート番号などに従ってそのアクセス要求を許容するか否かを判断する。アクセス要求を許容する場合には、ルータ105は、端末102とルータ105との間に確立したATM コネクションを利用して端末102と端末104との間にTCP/IPコネクションを確立し、TCP/IPプロトコルによる通信が開始される。一方、アクセス要求を許容しない場合には、ルータ105は、端末102とルータ105との間に確立したATM コネクションパケットを切断する。
【0007】
このように、従来のシステムでは、ルータ105にファイアウォール機能を設け、ATM ネットワーク101からLAN103へのアクセスを選択的に許可することによって、LAN103内の資源への不正アクセスを防いでいた。
【0008】
【発明が解決しようとする課題】
上述のように、IP over ATM システムにおいてTCP/IPプロトコルレベルでアクセス要求を許容するか否かを判断するためには、許容されるであろうアクセス要求(許容アクセス)であっても、拒絶されるであろうアクセス要求(非許容アクセス)であっても、必ずいったんATM コネクションが確立される。図33に示す例では、端末102とルータ105との間にATM コネクションが確立される。
【0009】
ATM ネットワーク101は、通常、ATM コネクションが確立されるとその呼に対して課金する。したがって、たとえば、端末102から端末104へのアクセス要求がルータ105によって規制される(拒絶される)場合であっても、端末102とルータ105との間にいったんATM コネクションが確立されるので、端末102は、サービスを受けられないにも係わらず課金されてしまう。
【0010】
また、上述のように、非許容アクセスであっても、いったんATM コネクションが確立されるので、網リソースが無駄使いされてしまう。たとえば、端末102から端末104へのアクセス要求が非許容アクセスであった場合でも、端末102とルータ105との間にはATM コネクションが確立され、ATM ネットワーク101とルータ105との間を接続する回線106の帯域がそのATM コネクションに割り当てられてしまう。この場合、非許容アクセスによって回線106の使用可能帯域が小さくなってしまう。回線106の使用可能帯域が不足すると、回線106上にATM コネクションを確立できなくなるので、許容アクセスであってもLAN103内へのアクセスができなくなってしまう。このように、非許容アクセスによって許容アクセスが妨害されてしまう恐れがある。
【0011】
なお、上記問題は、IP over ATM のみに起因するものではなく、イーサネットやトークンリング等のLAN 上で転送されるデータをATM ネットワークを介して転送するシステム(LAN エミュレーションと呼ばれることがある)においても発生する。
【0012】
本発明の課題は、網リソースを有効に利用できるファイアウォールを構築することである。
【0013】
【課題を解決するための手段】
図1は、本発明の原理図である。本発明のファイアウォール方式は、第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワーク3を介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制する。
【0014】
交換ノード1は、例えば、ネットワーク3の交換機であり、固定長パケットを交換するとともに、受信した固定長パケットのなかから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを抽出する。
【0015】
エージェントユニット2は、ネットワーク3内に設けられ、交換ノード1によって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断し、アクセスを許容する場合にのみ、上記第1の端末またはその第1の端末を収容する端末と上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立する。第1または第2の端末を収容する端末とは、たとえば、ルータ装置である。
【0016】
上記構成によれば、交換ノードと第2の端末(またはその第2の端末を収容する端末装置)との間にコネクションを確立することなく第2の端末へのアクセスを許容するか否かを判断できる。すなわち、この判断のためにネットワーク3と第2の端末(またはその第2の端末を収容する端末装置)とを接続する回線の資源(帯域)を使うことはない。
【0017】
本発明の他の態様のファイアウォール方式は、第1の端末と第2の端末との間に上記第1のプロトコルによるコネクションが確立されている状況において、そのコネクションを介して他のサービスを要求する場合を前提とする。
【0018】
交換ノード1は、第2のプロトコルによる第1の端末から第2の端末へのアクセスのために上記コネクションの帯域変更を要求する情報を含んだ固定長パケットを抽出する。
【0019】
エージェントユニット2は、ネットワーク3内に設けられ、交換ノード1によって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断し、その要求を許容する場合にのみ上記コネクションの帯域を変更する。
【0020】
上記構成によれば、第2のプロトコルによるアクセスが許容されない場合には上記コネクションの帯域が変更されないので、ネットワーク資源(帯域)の無駄使いをを防ぐことができる。
【0021】
【発明の実施の形態】
以下、本発明の実施形態について図面を参照しながら説明する。
図2は、本実施形態の全体システム構成図である。以下では、IP over ATM システムを前提に説明する。IP over ATM システムでは、各端末はIPプロトコルに従った通信を行うが、ここでは、一例として、TCP/IPプロトコルに従った通信を行い、ATM ネットワーク内では、ATM コネクション上にTCP/IPコネクションが確立されるものとする。本実施形態では、ATM ネットワーク内にファイアウォールを設け、そのファイアウォールにおいてTCP/IPコネクションを確立することを許可するか否かを判断する。そして、TCP/IPコネクションの確立を許容する通信に対してのみ、着信端末との間にATM コネクションを確立する。
【0022】
ATM ネットワーク11は、交換ノード(A) 12および交換ノード(B) 13を有する。交換ノード(A) 12および交換ノード(B) 13は、それぞれATM 交換機であり、ATM セルをそのヘッダに設定されているルーティング情報(VPI/VCI )に基づいてルーティングする。また、交換ノード(A) 12および交換ノード(B) 13は、それぞれエージェント(A) 14およびエージェント(B) 15を有する。エージェント(A) 14およびエージェント(B) 15は、仮想端末であり、それぞれATM アドレスとして”DTExa” および”DTExb” が割り当てられている。エージェント(A) 14およびエージェント(B) 15は、ファイアウォール機能を有し、従来のシステムではルータ装置が行っていたTCP コネクションまたはIPコネクションによるアクセス規制をルータ装置に代わって行う。
【0023】
交換ノード(A) 12は端末(A) 16を収容し、交換ノード(B) 13は端末(B) 17を収容する。端末(A) 16および端末(B) 17は、それぞれTCP/IP端末であり、TCP/IPプロトコルに従って通信を行う。また、端末(A) 16および端末(B) 17は、それぞれ、たとえば、DTE(Data Terminal Equipment )である。端末(A) 16および端末(B) 17は、ATM 対応端末であり、データをATM ネットワークに出力する際にそのデータをATM セルに格納する機能、およびATM ネットワークから受信したATM セルから必用な情報を取り出す機能を有している。なお、非ATM 対応端末18をATM ネットワーク11に接続する場合は、セル分解組立機能を有したTA(Terminal Adaptor)19およびDSU(Data Service Unit )20を用いる。端末(A) 16に対しては、ATM アドレスとして”DTEa”が割り当てられ、IPアドレスとして”133.162.96.a”が割り当てられている。また、端末(B) 17に対しては、ATM アドレスとして”DTEb”が割り当てられ、IPアドレスとして”133.162.96.b”が割り当てられている。
【0024】
上記システムにおいて、端末(A) 16と端末(B) 17との間でTCP/IPプロトコルに従った通信を行う場合には、図3に示すように、送信側において、TCP/IPパケットを複数の固定長データに分解してそれらの固定長データをそれぞれATM セルの情報フィールドに格納し、ATM ネットワーク11を介して転送する。受信側では、ATM セルの情報フィールドから取り出したデータからTCP/IPパケットを再生する。
【0025】
図4は、ATM セルの構成図であり、(a) は、UNI (User Network Interface)におけるフォーマット、(b) は、NNI (Network Network Interface) におけるフォーマットである。ATM セルは、53バイトの固定長パケットであり、5バイトのヘッダと48バイトの情報フィールドとから構成される。
【0026】
UNI におけるATM セルは、図4(a) に示すように、8ビットのVPI (仮想パス識別子)と16ビットのVCI (仮想チャネル識別子)を有する。VPI/VCI は、ルーティング情報である。GFC (一般フロー制御)は、セル同士の衝突を防ぐために使用される情報である。PT(ペイロードタイプ)は、情報フィールドに格納される情報の種類(ユーザ情報、制御情報...)を示す。CLP (セル損失優先表示)は、セルの優先度を表示する。HEC (ヘッダ誤り制御)は、ヘッダ部分の誤り検出とセル同期に使われる。
【0027】
NNI におけるATM セルは、図4(b) に示すように、12ビットのVPI および16ビットのVCI を有する。PT、CLP 、HEC は、UNI におけるATM セルについて説明したものと同じである。
【0028】
図5は、本実施形態のファイアウォールシステムの構成図である。図5において、交換ノード30は、図2の交換ノード(A) 12または交換ノード(B) 13であり、エージェント34は、エージェント(A) 14またはエージェント(B) 15である。
【0029】
ATM スイッチ31は、複数の入力線および複数の出力線を収容し、ATM セルを自律的に交換する。
呼管理制御部32は、ATM コネクションを管理・制御する。呼管理制御部32は、呼の設定時に発呼要求メッセージを取り込んで解析し、呼管理テーブル33を設定する。また、呼管理制御部32は、ATM コネクションの切断や、ATM コネクションの使用帯域の変更など、呼管理処理を行う。
【0030】
呼管理テーブル33は、ATM コネクション毎に、発呼端末のアドレス、着呼端末のアドレス、当該ATM コネクションを介して転送されるデータセル(アイドルセルを含まない)のVPI/VCI 、およびATM スイッチ31のセル転送ポート番号などの通信経路情報を格納する。交換ノード30は、呼管理テーブル33に格納されている情報に従ってATM セルを交換する。
【0031】
たとえば、呼管理テーブル33の1行目に設定されているATM コネクションにおいて、端末(A) 16からVPI/VCI として”aabb”が設定されているATM セルを受信すると、交換ノード30は、そのATM セルの転送先が端末(B) 17であることを認識し、また、ATM スイッチ31は、呼管理テーブル33の設定に従って、そのセルをポート4から出力する。この結果、ATM セルは端末(B) 17へ送出される。一方、端末(B) 17からVPI/VCI として”ccdd”が設定されているATM セルを受信すると、交換ノード30は、そのATM セルの転送先が端末(A) 16であることを認識し、また、ATM スイッチ31は、呼管理テーブル33の設定に従って、そのATM セルをポート3から出力する。この結果、ATM セルは端末(A) 16へ送出される。
【0032】
エージェント34は、ATM セルの情報フィールドに格納されているデータを取り出して解析する。また、エージェント34は、TCP/IPプロトコルのIPヘッダおよびTCP ヘッダを解釈する機能を有する。エージェント34は、仮想的なATM 端末であり、通常のATM 端末と同様に、接続要求(発呼要求)を発行してATM コネクションを確立したり、受信した接続要求に従ってその接続要求を発行した端末とATM コネクションを介して通信を行うことができる。なお、エージェント34は、ATM スイッチ31に収容されている。
【0033】
ファイアウォールテーブル35は、交換ノード30に収容される端末毎にTCP/IPコネクションを確立する際の規制条件を設定する。同図に示す例では、送り元IPアドレス(発IPアドレス)、宛先IPアドレス(着IPアドレス)、およびTCP の宛先ポート番号を設定している。TCP のポート番号は、サービスまたはアプリケーションの種別を表す。
【0034】
エージェント34は、受信したATM セルからTCP/IPパケットを組み立てる。このTCP/IPパケットのIPアドレスおよびポート番号がファイアウォールテーブル35に既に設定されていた場合、エージェント34は、TCP/IPコネクションを確立することを許容し、そのTCP/IPコネクションを確立するためのATM コネクションをアクセス先端末との間に確立する。ATM コネクションを確立する際、エージェント34は、呼管理テーブル33を書き換える。
【0035】
図33に示す従来のシステムでは、着信端末を収容するルータ装置(または着信端末)がTCP/IPコネクションの確立を許容するか否かを判断していたが、本実施形態のシステムでは、交換ノード30内に設けたエージェント34がその判断をする。すなわち、エージェント34は、ファイアウォール機能の実行に際して着信端末を収容するルータ装置(または着信端末)の代理として働く仮想端末である。
【0036】
端末(A) 16から端末(B) 17にTCP/IPプロトコルに従ってアクセスする場合の概略動作を説明する。まず、端末(A) 16は、端末(B) 17への接続要求を発行する。この接続要求は、通信プロトコルとしてTCP/IPを使用することを示す情報を含んでおり、ATM セルに格納されて送出される。
【0037】
交換ノード30は、この接続要求がTCP/IP接続を要求していると認識すると、その接続要求をエージェント34に渡す。このことにより、端末(A) 16とエージェント34との間にATM コネクションが確立される。ただし、端末(A) 16は端末(B) 17との間でATM コネクションが確立されたものとの認識している。端末(A) 16は、端末(B) 17に対してTCP/IPパケットを送出すると、ATM コネクションはエージェント34に接続されているので、そのTCP/IPパケットはエージェント34によって受信される。
【0038】
エージェント34は、受信したTCP/IPパケットに格納されている端末(B) 17のIPアドレス、およびサービス種別(ポート番号)がファイアウォールテーブル35に設定されているかどうかを調べる。設定されていなければ、エージェント34は、上記接続要求を許容せず、端末(B) 17の代理として端末(A) 16に対してTCP/IPコネクションを確立できないことを示すメッセージを送出し、さらに端末(A) 16とエージェント34との間のATM コネクションを切断する。一方、ファイアウォールテーブル35にIPアドレスおよびポート番号が設定されていた場合には、エージェント34は、上記接続要求を許容し、端末(A) 16の代理として端末(B) 17との間にATM コネクションを確立する。その後、エージェント34は、呼管理テーブル33を書き換えることにより、端末(A) 16と端末(B) 17との間にATM コネクションを確立する。このとき、端末(A) 16と端末(B) 17との間には、すでにTCP/IPコネクションが確立されている。
【0039】
次に、ファイアウォールテーブル35の登録手順を説明する。以下では、図6および図7を参照しながら、端末(B) 17からその端末(B) 17を収容する交換ノード(B) 13内のファイアウォールテーブル35に端末(B) 17へのアクセス規制条件を登録する例を説明する。
【0040】
手順1: 端末(B) 17は、発呼要求により、エージェント(B) 15との間にATM コネクションを確立する。この場合、端末(B) 17は、宛先アドレスとしてエージェント(B) 15に割り当てられているATM アドレス(DTExb )を指定し、交換ノード13の呼管理制御部32は、呼制御テーブル33において着アドレスとしてそのATM アドレスを設定する。呼制御テーブル33において着アドレスとしてエージェント15のATM アドレス(DTExb )が設定されると、エージェント(B) 15は、ファイアウォールテーブ35の設定(登録、変更、削除)プログラムを起動し、そのためのインタフェイスを提供する。
【0041】
手順2〜4: エージェント(B) 15は、端末(B) 17に対してパスワード入力要求を送出する。これに対して、端末(B) 17が正しいパスワード(XXXX)を入力すると、エージェント(B) 15は、端末(B) 17に対して、アクセス規制条件登録受付メッセージを送出する。
【0042】
手順5〜8: 端末(B) 17は、アクセス規制条件を送出する。この場合、たとえば、FTP (ファイル転送プロトコル)でデータを転送する。ここでは、アクセスを許容するサービスとして、NNTP(ニュース転送プロトコル:ポート番号=119)、SMTP(簡易メール転送プロトコル:ポート番号=25)、およびHTTP(ハイパーテキスト転送プロトコル:ポート番号=80)を登録することを要求する。エージェント(B) 15は、端末(B) 17から受信した要求に従い、アクセス規制条件として端末(B) 17のIPアドレスと共にサービス種別(ポート番号)をファイアウォールテーブル35に登録する。尚、アクセス規制条件として送り元アドレス(発アドレス)を登録することもできる。そして、エージェント(B) 15は、端末(B) 17にアクセス規制条件登録完了メッセージを送出した後、端末(B) 17との間に確立されていたATM コネクションを切断する。
【0043】
なお、上記の例では、端末(B) 17へのアクセス規制条件を端末(B) 17から登録したが、他の端末から登録することもできる。たとえば、LAN 管理者が、そのLAN に収容される各端末へのアクセス規制条件をある所定の端末から一括して登録してもよい。あるいは、通信事業者が、その通信事業者と契約した端末のアクセス規制条件をATM コネクションを介することなく直接エージェントに登録してもよい。
【0044】
次に、交換ノードでTCP/IPプロトコルによるアクセスを許容するか否かを判断する場合の手順を説明する。システム構成としては、宛先端末を収容する交換ノードにてその判断をする構成と、任意の交換ノードでその判断をする構成とが考えられるが、まず、宛先端末を収容する交換ノードにおいてその判断をする構成を説明する。
【0045】
以下の説明では、図2において、端末(A) 16から端末(B) 17へTCP/IPプロトコルによるアクセス要求が発行されたときに、端末(B) 17を収容する交換ノード(B) 13においてそのアクセスを許容するか否かを判断する例を示す。ここで、エージェント(B) 15内のファイアウォールテーブル35には、図6および図7を参照しながら説明した手順でアクセス規制条件が登録され、図8(a) に示す状態になっているものとする。
【0046】
TCP/IPプロトコルによるアクセスが許容されるときの手順を図9を参照しながら説明する。
手順1: 端末(A) 16は、端末(B) 17にアクセスする際、ATM ネットワーク11上に設けられた不図示のネームサーバを利用し、端末(B) 17のIPアドレス(133.162.96.b)から端末(B) 17のATM アドレス(DTEb)を得る。この手順は、IP over ATM プロトコルに従う。
【0047】
手順2: 端末(A) 16は、端末(B) 17への発呼要求メッセージ(接続要求メッセージ)を、図10に示すようにATM セルに格納して送出する。すなわち、端末(A) 16は、ATM アドレスDTEbを宛先アドレスとして発呼する。この発呼要求メッセージは、たとえば、ITU 勧告のQ.931(または、Q.931を同等の規定)に準拠しており、情報伝送能力(要求帯域)などを申告する。この発呼要求メッセージの付加情報フィールドには、TCP/IPコネクションによる通信を行うこと示す情報が設定されている。なお、発呼要求はシグナリング手順であり、発呼要求メッセージ格納したATM セルに割り当てられるVPI/VCI は、制御セルであることを示す値である。
【0048】
手順3: 各交換ノードは、このATM セルを受信すると、そのVPI/VCI 値が制御セルを示しているので、情報フィールドを参照し、発呼要求メッセージに従って端末(A) 16と端末(B) 17との間にATM コネクションを確立しようとする。このとき、アクセス先の端末である端末(B) 17を収容する交換ノード(B) 13は、受信した発呼メッセージの付加情報フィールドを参照し、TCP/IPコネクションによる通信を行うこと示す情報が設定されていると、その発呼メッセージを格納したATM セルをエージェント(B) 15に渡す。すなわち、交換ノード(B) 13の呼管理制御部32は、この時点で使用されていないVPI/VCI (VPI/VCI =xaxbとする)を取り出し、そのVPI/VCI をエージェント(B) 15へのルートを指定する情報として交換ノード(B) 13内の呼管理テーブル33に設定する。このときの呼管理テーブル33の状態を図11(a) に示す。この設定により、交換ノード(B) 13は、VPI/VCI =aabbが設定されているATM セルを受信すると、そのATM セルをエージェント(B) 15に転送するようになる。
【0049】
手順4: エージェント(B) 15は、端末(B) 17への発呼要求メッセージを受け取ったので、端末(B) 17の代わりに呼受付メッセージを端末(A) 16に送出する。この呼受付メッセージには、ATM コネクションが確立されたときに使用するVPI/VCI として”xaxb”が設定されている。このことにより、端末(A) 16とエージェント(B) 15との間にATM コネクションが確立される。なお、エージェント(B) 15は、”aabb”と端末(B) 17とを対応づけて記憶する。すなわち、エージェント(B) 15は、VPI/VCI として”aabb”が設定されているATM セルは本来は端末(B) 17へ転送されるべきであったことを記憶しておく。
【0050】
手順5: 端末(A) 16は、呼受付メッセージを受信すると、実際にはエージェント(B) 15との間にATM コネクションが確立されているが、端末(B) 17との間にATM コネクションが確立したと認識する。すなわち、端末(A) 16は、以降、VPI/VCI =aabbを設定したATM セルを送出すれば、そのATM セルは端末(B) 17に転送されるものと認識する。
【0051】
手順6: 端末(A) 16は、端末(B) 17にTCP/IPパケットを送出する。すなわち、端末(A) 16は、端末(B) 17に対してTCP/IPコネクション確立要求(アクセス要求)を送出する。ここでは、ポート番号80で指定されるサービスを要求するものとする。なお、TCP/IPパケットは、VPI/VCI =aabbが設定されたATM セルに格納されて転送される。
【0052】
手順7: 交換ノード(B) 13は、VPI/VCI =aabbが設定されているATM セルを受信すると、図11(a) に示す状態の呼管理テーブル33を参照し、そのATM セルをエージェント(B) 15に転送する
手順8: エージェント(B) 15は、受信したATM セルからTCP/IPパケットを読み出す。このTCP/IPパケットは、図8(b) に示す情報を含んでいる。また、受信したATM セルのVPI/VCI が”aabb”であるので、エージェント(B) 15は、そのATM セルは端末(B) 17に転送されるべきセルであることを認識する。したがって、エージェント(B) 15は、端末(B) 17について登録されたファイアウォールテーブル35を参照し、TCP/IPパケットに設定されている情報と同じ情報が登録されているかどうか調べる。なお、アクセス要求が許容された場合には、上記TCP/IPパケットを端末(b) 17に転送するので、エージェント(B) 15は、そのTCP/IPパケットを保持しておく。
【0053】
手順9: エージェント(B) 15は、TCP/IPパケットに設定されている情報がファイアウォールテーブル35に登録されていることを認識すると、端末(b) 17へのアクセス要求を許容する。このとき、交換ノード(b) 13と端末(b) 17との間にはATM コネクションは確立されていない。すなわち、交換ノード(b) 13と端末(b) 17との間にATM コネクションを確立する前に、端末(A) 16と端末(b) 17との間のATM コネクション上でのTCP/IPコネクションによるアクセスを許容するか否かの判断ができたことになる。
【0054】
エージェント(B) 15は、端末(b) 17へのアクセスが許容されたと認識すると、端末(A) 16と端末(b) 17とをATM コネクションで接続する。すなわち、端末(A) 16とエージェント(b) 15との間には既にATM コネクションが確立されているので、エージェント(b) 15は、エージェント(b) 15と端末(b) 17との間にATM コネクションを確立する。したがって、エージェント(b) 15は、端末(A) 16の代わりに端末(b) 17に対して発呼要求メッセージ(接続要求メッセージ)を送出する。この場合、送り元アドレス(発アドレス)は、端末(A) 16のATM アドレスDTEaである。また、ATM コネクションが確立した後に使用するVPI/VCI として、その時点で使用されていない値(VPI/VCI =xaxc)を呼管理テーブル33に設定する。
【0055】
手順10: 交換ノード(B) 13は、エージェント(B) 15から端末(B) 17への発呼要求メッセージを受け取ると、現在使用されていなVPI/VCI (VPI/VCI =ccdd)を取り出し、端末(B) 17へのルートを指定する識別子として呼管理テーブル33に設定する。この結果、呼管理テーブル33は、図11(b) に示す状態になる。交換ノード(B) 13は、発呼要求メッセージを格納したATM セルにVPI/VCI =ccddを割り当てて送出する。
【0056】
手順11〜13: 端末(B) 17は、交換ノード(B) 13から発呼要求メッセージを受け取ると、そのメッセージを端末(A) 16による発呼要求であると認識し、端末(A) 16に対して呼受付メッセージを送出する。この呼受付メッセージは、VPI/VCI =ccddが割り当てられたATM セルに格納して送出される。交換ノード(B) 13は、呼受付メッセージを受信すると、図11(b) の状態にある呼管理テーブル33を参照し、その呼受付メッセージを端末(A) 16に送出することなくエージェント(B) 15に渡す。このことにより、エージェント(B) 15と端末(b) 17との間にATM コネクションが確立されたことになる。この後、エージェント(B) 15は、手順8で保持しておいたTCP/IPパケットをATM セルに格納し、そのATM セルにVPI/VCI =xaxcを割り当てて送出する。
【0057】
手順14〜16: 交換ノード(B) 13は、手順13で送出されたATM セルを受信すると、図11(b) の状態にある呼管理テーブル33を参照し、そのセルを端末(B) 17へ転送する。エージェント(B) 15は、端末(A) 16と端末(B) 17とをエージェント(B) 15を介することなく接続するように、交換ノード(B) 13内の呼管理テーブル33を書き換える。この結果、呼管理テーブル33は、図11(c) に示す状態に移る。
【0058】
上記手順1〜16により、端末(A) 16と端末(B) 17との間にATM コネクションが確立されるが、このとき既にTCP/IPプロトコルによるアクセス要求はエージェント(B) 15によって許容されている。以降、端末(A) 16と端末(B) 17との間でTCP/IPコネクションを介した通信が行われる。
【0059】
TCP/IPプロトコルによるアクセスが許可されないときの手順を図12を参照しながら説明する。以下の例では、端末(B) 17に関するファイアウォールテーブル35が図8(a) に示す状態であり、端末(A) 16から端末(B) 17に対してテルネットサービス(TCP ポート番号=23)を要求するものとする。
【0060】
手順1〜5: 手順1〜5は、図9を参照しながら説明した手順1〜5と同じである。
手順6〜7: 端末(A) 16は、端末(B) 17にTCP/IPパケットを送出する。すなわち、端末(A) 16は、端末(B) 17に対してTCP/IPコネクション確立要求(アクセス要求)を送出する。ここでは、ポート番号23で指定されるサービスを要求するものとする。なお、TCP/IPパケットは、VPI/VCI =aabbが設定されたATM セルに格納されて転送される。交換ノード(B) 13は、VPI/VCI =aabbが設定されているATM セルを受信すると、図13(a) に示す状態の呼管理テーブル33を参照し、そのATM セルをエージェント(B) 15に転送する
手順8〜9: エージェント(B) 15は、受信したATM セルからTCP/IPパケットを読み出す。このTCP/IPパケットは、図8(c) に示す情報を含んでいる。エージェント(B) 15は、図8(a) の状態のファイアウォールテーブル35を参照してTCP/IPパケットに設定されている情報と同じ情報が登録されているかどうか調べる。エージェント(B) 15は、TCP/IPパケットに設定されている情報がファイアウォールテーブル35に登録されていないことを認識すると、端末(b) 17へのアクセス要求を非許容と判断する。このとき、交換ノード(b) 13と端末(b) 17との間にはATM コネクションは確立されていない。即ち、交換ノード(b) 13と端末(b) 17との間にATM コネクションを確立する前に、端末(A) 16と端末(b) 17との間のATM コネクション上でのTCP/IPコネクションによるアクセスを許容するか否かの判断ができたことになる。
【0061】
エージェント(B) 15は、端末(b) 17へのアクセスが非許容であることを認識すると、端末(A) 16に対してTCP/IPコネクション確立不可メッセージを送出する。このメッセージは、ATM セルに格納され、VPI/VCI =xaxbが割り当てられて送出される。
【0062】
手順10: 交換ノード(B) 13は、TCP/IPコネクション確立不可メッセージを格納したATM セルを受信すると、図13(a) の状態にある呼管理テーブル33に従って、そのセルを端末(A) 16へ転送する。
【0063】
手順11: 端末(A) 16は、TCP/IPコネクション確立不可メッセージを受信する。端末(A) 16は、このメッセージを端末(B) 17から転送されてきたものであるとみなす。このメッセージは、端末(A) 16内のTCP/IPアプリケーションプログラムに渡され、TCP/IPアプリケーションプログラムは、このことにより、TCP/IPパケットの送出を停止する。なお、TCP/IPアプリケーションプログラムがTCP/IPコネクションのために確立したATM コネクションの切断を要求することもある。
【0064】
手順12〜13: エージェント(B) 15は、端末(A) 16との間のATM コネクションの切断要求を交換ノード(B) 13内の呼管理制御部32に送出する。このことにより、交換ノード(B) 13内の呼管理テーブル33が書き換えられ、呼管理テーブル33の状態は図13(b) に示すようになる。また、交換ノード(B) 13は、端末(A) 16に対して、ATM コネクション切断指示メッセージを送出する。
手順14〜15: 端末(A) 16は、ATM コネクション切断指示メッセージを受信すると、交換ノード(B) 13に対してATM コネクション切断完了メッセージを送出する。このことにより、交換ノード(B) 13内の呼管理テーブル33が書き換えられ、呼管理テーブル33の状態は図13(c) に示すようになる。
上述した図8〜図13の例では、宛先端末(アクセス先端末)を収容する交換ノードにおいてTCP/IPコネクションによるアクセスを許容するか否かを判断する構成を説明したが、以下では、送信端末(アクセス元端末)を収容する交換ノードにおいてその判断を行う構成を説明する。
【0065】
以下の説明では、図2において、端末(A) 16から端末(B) 17へTCP/IPプロトコルによるアクセス要求が発行されたときに、端末(A) 16を収容する交換ノード(A) 12においてそのアクセスを許容するか否かを判断する例を示す。尚、端末(B) 17に関するアクセス規制条件は、交換ノード(B) 13のファイアウォールテーブルに格納されており、現在、交換ノード(A) 12のファイアウォールテーブルには格納されていないものとする。また、アクセス規制条件をファイアウォールテーブル登録する手順は、図6および図7を参照しながら説明した手順に従う。
【0066】
TCP/IPプロトコルによるアクセスが許可されるときの手順を図14を参照しながら説明する。
図14に示すシーケンスは、後述する手順a〜fを除けば、基本的に図9に示したシーケンスと同じである。ただし、図14に示すシーケンスでは、図9に示したシーケンスにおいて交換ノード(B) 13およびエージェント(B) 15が行っていた処理と同等の処理を、交換ノード(A) 12およびエージェント(A) 14が行う。
【0067】
すなわち、図14に示すシーケンスでは、端末(A) 16が端末(B) 17に対してTCP/IPプロトコルによりアクセス要求を発行すると、端末(A) 16とエージェント(A) 14との間にATM コネクションが確立され、エージェント(A) 14に発呼要求メッセージが転送される。そして、エージェント(A) 14においてTCP/IPプロトコルによるアクセスを許容するか否かを判断し、許容する場合にのみ、エージェント(A) 14が端末(A) 16と端末(B) 17との間にATM コネクションを確立する。以下、手順a〜fについて説明する。
【0068】
手順a: エージェント(A) 14は、端末(B) 17への発呼要求(接続要求)メッセージを受け取ると、エージェント(A) 14内のファイアウォールテーブル35を検索して端末(B) 17に関するアクセス規制条件を探す。端末(B) 17に関するアクセス規制条件が格納されてない場合には、エージェント(A) 14は、端末(B) 17に関するアクセス規制条件を要求するメッセージを送出する。
【0069】
手順b: 交換ノード(A) 12は、手順aにおいて送出されたメッセージを受け取ると、端末(B) 17のATM アドレスより端末(B) 17を収容する交換ノード(交換ノード(B) 13)を認識し、交換ノード(B) 13に対して、端末(B) 17に関するアクセス規制条件を要求するメッセージを送出する。宛先ATM アドレスからその宛先端末を収容する交換ノードを認識する手法は、通常の発呼手順と同じである。
【0070】
手順c〜d: 交換ノード(B) 13は、上記メッセージを受け取ると、そのメッセージをエージェント(B) 15に渡す。エージェント(B) 15は、このメッセージに従い、端末(B) 17に関するアクセス規制条件を交換ノード(A) 12に転送する。
【0071】
手順e〜f: 交換ノード(A) 12は、エージェント(B) 15から転送されてきた端末(B) 17に関するアクセス規制条件をエージェント(A) 14に渡し、エージェント(A) 14は、そのアクセス規制条件をエージェント(A) 14内のファイアウォールテーブルに格納する。
【0072】
上記手順a〜fにより、アクセス要求の送り元端末(端末(A) 16)を収容する交換ノード(交換ノード(A) 12)に、アクセス要求の着信先端末(端末(B) 17)に関するアクセス規制条件を登録できる。このように、アクセス要求の着信先端末に関するアクセス規制条件をいったんアクセス要求の送り元端末を収容する交換ノードに格納すれば、以降、その交換ノードにおいてアクセス要求を許容するか否かを判断できる。
【0073】
図15は、TCP/IPプロトコルによるアクセスが許可されない場合の手順を示す図である。手順a〜fは、図14を参照しながら説明したシーケンスと同じであり、他の手順は、図12を参照しながら説明したシーケンスと同じなので、図15に関する詳細な説明は省略する。
【0074】
なお、アクセス要求の送り元端末を収容する交換ノードにおいてアクセス要求を許容するか否かを判断した後には、他の交換ノードで同様の判断を行う必要はない。
【0075】
上記図14または図15においては、アクセス要求の着信先端末に関するアクセス規制条件をアクセス要求の送り元端末を収容する交換ノードに格納する構成を説明したが、この場合、アクセス規制条件を次々をファイアウォールテーブル35に書き込むことになる。ところが、ファイアウォールテーブル35の規模を大きくするには実用的には限界がある。したがって、他の交換ノードから転送されてきたアクセス規制条件は、使用頻度の低いものをファイアウォールテーブルから削除する必用がある。
【0076】
どのアクセス規制条件をファイアウォールテーブルから削除するのかは、参照回数および参照日時に従って決める。すなわち、ファイアウォールテーブル35は、図16に示すように、アクセス要求の着信先端末ごとに参照回数および参照日時を記録する領域を有し、参照されるごとにこれらのデータを更新する。そして、ファイアウォールテーブル35が満杯の状態でさらに他の交換ノードからアクセス規制条件が転送されてきた場合には、たとえば、以下の条件を満たすアクセス規制条件を削除する。削除条件1:参照回数が10回以下の端末に関するデータ。削除条件2:最後の参照した日時が1ヶ月以上前である端末に関するデータ。
【0077】
このような構成とすることにより、ファイアウォールテーブルから使用頻度の低いアクセス規制条件が削除されるので、ファイアウォールテーブルの使用効率が向上する。
【0078】
次に、本発明の他の実施形態について説明する。他の実施形態では、あるATM コネクション上にTCP/IPコネクションが確立されている状況において、そのATM コネクション上にさらに別のTCP/IPコネクションを確立する場合を想定する。
【0079】
以下では、端末(A) 16と端末(B) 17との間に128kbpsの帯域が割り当てられたATM コネクションkkが確立されており、このATM コネクションkk上にTCP/IPコネクションmmが確立されているものとする。TCP/IPコネクションmmは、簡易メール転送プロトコル(ポート番号=25)を提供する。このような状況において、端末(A) 16が端末(B) 17にTCP/IPプロトコルによる他のサービスを要求し、それに伴ってATM コネクションkk上にさらにTCP/IPコネクションnnを確立する。この場合、ATM コネクションkkの帯域を増加させる必用が生じる。
【0080】
TCP/IPコネクションの追加が許可されるときの手順を図17を参照しながら説明する。ここでは、端末(A) 16が端末(B) 17に対して、HTTP(ポート番号=80)によるサービスを要求するものとする。この場合、追加されるTCP/IPコネクションnnは、帯域として384kbpsを要求し、それに伴ってATM コネクションkkの帯域を128kbpsから512kbpsに増加させる必用があるものとする。
【0081】
手順1: 端末(A) 16は、端末(B) 17との間にTCP/IPコネクションnnを確立するために、端末(B) 17に対して帯域予約要求メッセージを送出する。このメッセージは、発IPアドレス「133.162.96.a」、着IPアドレス「133.162.96.b」およびポート番号「80」を含んでいる。また、このメッセージは、制御セルであることを示すVPI/VCI が割り当てられたATM セルに格納されてATM ネットワーク11に送出される。
【0082】
交換ノード(B) 13は、このATM セルを受信すると、そのVPI/VCI 値が制御セルを示しているので、情報フィールドを参照する。ここでは、情報フィールドに帯域予約要求メッセージが格納されており、このメッセージ内にTCP/IPプロトコルに関する情報が設定されているので、交換ノード(B) 13の呼管理制御部32は、このメッセージを端末(B) 17には転送せずに、エージェント(B) 15に渡す。
【0083】
手順2〜3: エージェント15は、端末(A) 16と端末(B) 17との間の通信に対して設定されているファイアウォールテーブル35を参照し、帯域予約要求メッセージに設定されていたIPアドレスおよびTCP ポート番号がアクセス可能であることを認識する。そして、エージェント15は、端末(A) 16から転送されてきた帯域予約要求メッセージを端末(B) 17へ転送する。
【0084】
手順4〜5: 端末(B) 17は、帯域予約要求メッセージで指定されている帯域を確保できると判断すると、帯域確保通知を端末(A) 16に対して送出する。このことにより、端末(B) 17と交換ノード(B) 13との間、交換ノード(B) 13と交換ノード(A) 12との間、および交換ノード(A) 12と端末(A) 16との間において帯域が確保され、ATM コネクションkkに512kbpsの帯域が割り当てられる。そして、端末(A) 16と端末(B) 17との間にTCP/IPコネクションが確立され、このTCP/IPコネクションを介してHTTPが提供される。
【0085】
TCP/IPコネクションの追加が許可されないときの手順を図18を参照しながら説明する。ここでは、端末(A) 16が端末(B) 17に対して、TELNET(ポート番号=23)によるサービスを要求するものとする。
【0086】
手順1: 手順1は、図17に示したシーケンスの手順1と同じである。
手順2〜3: エージェント15は、端末(A) 16と端末(B) 17との間の通信に対して設定されているファイアウォールテーブル35を参照し、帯域予約要求メッセージに設定されていたIPアドレスおよびTCP ポート番号がアクセス非許容能であると判断する。この場合、エージェント15は、端末(A) 16に対して帯域変更不可メッセージを送出する。
【0087】
このように、図17または図18に示すシステムでは、同一ATM コネクション上にTCP/IPコネクションを追加してもよいかどうかをATM ネットワーク11内で判断するので、その判断をするためにATM ネットワーク11とアクセス要求先端末との間のパスを使用する必用がない。
【0088】
従来のシステムでは、TCP/IPコネクションの追加が許可されない場合であっても、アクセス要求先端末とその端末を収容する交換ノードとの間でトラヒックが発生していたが、本実施形態では、そのトラヒックが発生しない。
【0089】
次に、各交換ノードにおける処理フローチャートを示す。図19は、発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その1)である。ここでは、着呼端末(着信先端末)を収容する交換ノードにファイアウォールを設ける場合を示す。
【0090】
ステップS1では、発呼要求(接続要求)メッセージを受信する。ステップS2では、受信した発呼要求メッセージがTCP/IPコネクション用なのかどうかを調べる。TCP/IPコネクション用であれば、ステップS3へ進み、TCP/IPコネクション用でなければステップS7へ進む。
【0091】
ステップS3では、発呼要求メッセージがどこから転送されてきたのかを調べる。中継回線(NNI によって規定される回線)から転送されてきた場合には、ステップS4へ進み、エージェントから転送されてきた場合には、ステップS6へ進み、端末回線(UNI によって規定される回線)から転送されてきた場合には、ステップS7へ進む。
【0092】
発呼要求メッセージが中継回線から転送されてくる場合とは、たとえば、図9の手順2、3に相当する。ステップS4では、発呼端末とエージェントとの間のATM コネクションを呼管理テーブルに登録する。ステップS5では、発呼要求メッセージをエージェントに渡す。なお、ステップS4およびS5は、当該交換ノードが着呼端末を収容している場合に実行され、収容していない場合には、ステップS4およびS5の代わりにステップS7を実行する。
【0093】
発呼要求メッセージがエージェントから転送されてくる場合とは、たとえば、図9の手順9、10に相当する。ステップS6では、エージェントと着呼端末との間のATM コネクションを呼管理テーブルに登録する。ステップS7では、発呼要求メッセージを着呼端末に転送する。
【0094】
図20は、発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その2)である。ここでも、着呼端末(着信先端末)を収容する交換ノードにファイアウォールを設ける場合を示す。
【0095】
ステップS11〜S13は、発呼受付メッセージ(接続要求受付メッセージまたは呼受付メッセージ)を扱うが、基本的には、図19で説明したステップS1〜S3と同じである。ステップS13の判断において、発呼受付メッセージが端末回線から転送されてきた場合には、ステップS14へ進み、中継回線から転送されてきた場合には、ステップS15へ進む。
【0096】
発呼受付メッセージが端末回線から転送されてくる場合とは、たとえば、図9の手順11、12に相当する。ステップS14では、呼管理テーブルにおいて着呼端末とエージェントとの間にATM コネクションが設定されているので、発呼受付メッセージをエージェントに転送する。
【0097】
発呼受付メッセージが中継回線から転送されてくる場合とは、たとえば、図14の手順11、12における交換ノード(B) 13の動作に相当する。ステップS15では、受信した発呼受付メッセージを発呼端末に転送する。
【0098】
図21は、発呼端末とエージェントとの間のATM コネクションを確立する際のエージェントの動作を説明するフローチャートである。
ステップS21では、発呼要求メッセージを受信する。ステップS22では、受信した発呼受付メッセージを発呼端末に転送する。上記ステップの動作は、たとえば、図9の手順4に相当する。
【0099】
図22は、IPパケット受信時の交換ノードの動作を説明するフローチャートである。
ステップS31では、IPパケット(TCP/IPパケット)を受信する。このIPパケットは、ATM セルに格納されている。ステップS32では、受信したIPパケットを呼管理テーブルに設定されている転送先ポートへ転送する。これらのステップの動作は、たとえば、図9の手順7に相当する。
【0100】
図23は、エージェントと着呼端末との間のATM コネクションを確立する際のエージェントの動作を説明するフローチャートである。
ステップS41では、IPパケット(TCP/IPパケット)を受信する。ステップS42では、受信したIPパケットがIPコネクション(TCP/IPコネクション)の確立を要求するメッセージか否かを調べる。IPコネクション確立要求メッセージであれば、ステップS43へ進み、それ以外の場合は、受信したIPパケットをステップS53において廃棄する。
【0101】
ステップS43では、着呼端末に関するファイアウォールテーブルを持っているかどうかを調べる。持っている場合には、ステップS45へ進み、持っていない場合には、ステップS44において、着呼端末を収容する交換ノードから着呼端末に関するファイアウォールテーブルを転送してもらう。なお、ステップS44は、たとえば、図14の手順a〜fに相当する。
【0102】
ステップS45では、受信したIPコネクション確立要求メッセージを許容するか否かを判断する。許容する場合(規制対象でない場合)には、ステップS46へ進み、許容しない場合(規制対象の場合)には、ステップS51へ進む。
【0103】
ステップS46では、発呼要求メッセージを着呼端末へ転送する。ステップS47では、着呼端末から発呼受付メッセージを受信する。ステップS48では、ステップS41で受信したIPコネクション確立要求メッセージを着呼端末へ転送する。ステップS49では、エージェントを介することなく発呼端末と着呼端末との間を接続するATM コネクションを確立するように当該交換ノード内の呼管理制御部に要求する。上記ステップS46〜S48は、たとえば、図9の手順9〜14に相当し、ステップS49は、図9の手順15に相当する。
【0104】
ステップS50では、ステップS49の要求により、呼管理テーブルを書き換える。
ステップS51では、発呼端末に対して、ATM コネクション切断要求メッセージを転送する。ステップS52では、発呼端末からATM コネクション切断完了メッセージを受信する。これらのステップは、たとえば、図12の手順13、14に相当する。
【0105】
図24は、帯域予約要求メッセージを受信した際の交換ノード内の呼管理制御部の動作を説明するフローチャートである。ここでは、着呼端末(着信先端末)を収容する交換ノードにファイアウォールを設ける場合を示す。
【0106】
ステップS61では、帯域予約要求メッセージを受信する。ステップS62では、受信した上記帯域予約要求メッセージがTCP/IPコネクション用なのかどうかを調べる。TCP/IPコネクション用であれば、ステップS63へ進み、TCP/IPコネクション用でなければステップS65へ進む。
【0107】
ステップS63では、帯域予約要求メッセージがどこから転送されてきたのかを調べる。中継回線から転送されてきた場合は、ステップS44へ進み、エージェントまたは端末回線から転送されてきた場合には、ステップS65へ進む。
【0108】
帯域予約要求メッセージが中継回線から転送されてくる場合とは、たとえば、図17の手順1に相当する。ステップS64では、帯域予約要求メッセージをエージェントに渡す。なお、ステップS64は、当該交換ノードが着呼端末を収容している場合に実行され、収容していない場合には、ステップS64の代わりにステップS66を実行する。
【0109】
帯域予約要求メッセージがエージェントから転送されてくる場合とは、たとえば、図17の手順3に相当し、端末回線から転送されてくる場合とは、例えば、図17の手順1における交換ノード(A) 12の動作に相当する。ステップS65では、帯域予約要求メッセージに従って帯域を確保する。ステップS66では、帯域予約要求メッセージを着呼端末へ転送する。
【0110】
図25は、帯域予約完了メッセージを受信した際の交換ノードの動作を説明するフローチャートである。
ステップS71では、帯域予約完了メッセージを受信する。ステップS72では、受信した帯域予約完了メッセージを発呼端末に転送する。これらのステップは、たとえば、図17の手順4に相当する。
【0111】
図26は、帯域予約要求メッセージを受信した際のエージェントの動作を説明するフローチャートである。
ステップS81では、帯域予約要求メッセージを受信する。ステップS82では、受信した帯域予約要求を許容するか否かを判断する。許容する場合(規制対象でない場合)は、ステップS83へ進み、許容しない場合(規制対象の場合)には、ステップS84へ進む。
【0112】
ステップS83では、帯域予約要求メッセージを着呼端末へ転送する。ステップS84では、帯域予約不可メッセージを発呼端末へ転送する。なお、ステップS83は、たとえば、図17の手順3に相当し、ステップS84は、図18の手順3に相当する。
【0113】
図27は、発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その3)である。ここでは、発呼端末を収容する交換ノードにファイアウォールを設ける場合を示す。
【0114】
ステップS91では、発呼要求(接続要求)メッセージを受信する。ステップS92では、受信した発呼要求メッセージがTCP/IPコネクション用なのかどうかを調べる。TCP/IPコネクション用であれば、ステップS93へ進み、TCP/IPコネクション用でなければステップS97へ進む。
【0115】
ステップS93では、発呼要求メッセージがどこから転送されてきたのかを調べる。端末回線から転送されてきた場合には、ステップS94へ進み、エージェントから転送されてきた場合には、ステップS96へ進み、中継回線から転送されてきた場合には、ステップS97へ進む。
【0116】
発呼要求メッセージが端末回線から転送されてくる場合とは、たとえば、図14の手順2、3に相当する。ステップS94では、発呼端末とエージェントとの間のATM コネクションを呼管理テーブルに登録する。ステップS95では、発呼要求メッセージをエージェントに渡す。
【0117】
発呼要求メッセージがエージェントから転送されてくる場合とは、たとえば、図14の手順9、10に相当する。ステップS96では、エージェントと着呼端末との間のATM コネクションを呼管理テーブルに登録する。ステップS97では発呼要求メッセージを着呼端末に転送する。
【0118】
図28は、発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その4)である。ここでも、発呼端末を収容する交換ノードにファイアウォールを設ける場合を示す。
【0119】
ステップS101〜S103は、発呼受付メッセージ(接続要求受付メッセージまたは呼受付メッセージ)を扱うが、基本的には、図27で説明したステップS91〜S93と同じである。ステップS103の判断において、発呼受付メッセージが中継回線から転送されてきた場合には、ステップS104へ進み、端末回線から転送されてきた場合には、ステップS105へ進む。
【0120】
発呼受付メッセージが中継回線から転送されてくる場合とは、たとえば、図14の手順11、12に相当する。ステップS104では、呼管理テーブルにおいて着呼端末とエージェントとの間にATM コネクションが設定されているので、発呼受付メッセージをエージェントに転送する。
【0121】
発呼受付メッセージが端末回線から転送されてくる場合とは、たとえば、図14の手順11、12における交換ノード(B) 13の動作に相当する。ステップS105では、受信した発呼受付メッセージを発呼端末に転送する。
【0122】
なお、上述の実施形態では、ファイアウォールテーブルに着IPアドレスおよびTCP のポート番号を設定してそれらによってアクセス規制条件を決めていたが、図29(a) に示すように、発IPアドレスを登録してもよい。同図に示す例では、FTP (ファイル転送プロトコル)に対して、発IPアドレスが設定されている。この場合、このファイアウォールテーブルに登録されているIPアドレスを持った端末のみがFTP サービスを受けることができる。
【0123】
また、図29(b) に示すように、ファイアウォールテーブルにパスワードを設定してもよい。この場合、パスワードを知っているユーザのみがサービスを受けることができる。すなわち、ATM ネットワークにおいてTCP/IPアクセスに関するユーザ認証を行うことができる。
【0124】
また、上述の実施形態では、エージェントを交換ノード内に設けた仮想端末として説明したが、図30(a) に示すように、エージェントを交換ノードと独立に設ける構成としてもよい。この場合、エージェント34は、交換ノード30に接続されたサーバコンピュータである。エージェント34と交換ノード30との間は、PVC (パーマネント仮想チャネル)またはSVC (スイッチド仮想チャネル)で接続する。
【0125】
さらに、上述の実施形態では、各交換ノードごとにエージェントを設けていたが、図30(b) に示すように、複数の交換ノード30−1〜30−3に対して1つのエージェント41を設けるようにしてもよい。
【0126】
上述の実施例では、IP over ATM システムの一実施形態として、TCP/IPプロトコルのトラヒックをATM ネットワークを介して転送する構成を示したが、本発明は、TCP プロトコル以外の通信プロトコルにも適用可能である。たとえば、本発明をUDP (User Datagram Protcol )に適用可能である。この場合、ファイアウォールテーブルには、IPアドレスおよびUDP のポート番号を登録し、それらの情報に従ってアクセスを規制する。
【0127】
ところで、コンピュータネットワークの世界では、イーサネット、トークンリング、FDDI(Fiber Distributed Data Interface)などのLAN が広く普及している。LAN エミュレーションは、これらのLAN データをATM ネットワークを介して転送する技術である。本発明は、IP over ATM システムだけでなく、LAN エミュレーションシステムにも適用可能である。
【0128】
図31は、本発明をLAN エミュレーションシステムに適用した場合の構成図である。同図に示す例では、ATM ネットワーク11を介してLAN51とLAN52とを接続する構成である。
【0129】
LAN の代表的な通信プロトコルとしては、TCP/IPの他に、例えば、ノベル社のNet Ware(登録商標)で採用されているIPX/SPX 、マイクロソフト社のWindows 95、Windows NT(共に商標)で採用されているNet BEUI、アップルコンピュータ社のMacintosh (商標)で使用されているAppleTalk 等が知られている。
【0130】
LAN は、基本的に、MAC (Media Access Control)アドレスを用いてデータを転送するが、上記の通信プロトコルでは、各プロトコル毎に独自のアドレス体系を有している。たとえば、IPX/SPX では、IPX アドレスを有し、データを転送するときには、図32(a) に示すように、IPX アドレス(発アドレスおよび着アドレス)が設定されたIPX フレームをMAC フレームの中に格納する。そして、ATM ネットワークを介して通信を行う場合には、このフレームをATM セルに格納してネットワークに送出する。
【0131】
ATM ネットワーク11内の交換ノードには、図32(b) に示すようなファイアウォールテーブルを設ける。このように、IPX アドレス毎にアクセス規制条件を設定すれば、発端末(アクセス要求元端末)と着端末(アクセス要求先端末)との間にATM コネクションを確立することなく、着端末にデータを転送するか否かすなわちアクセスを許容するか否かを判断できる。
【0132】
上述した実施例の説明において、図2に示すように、ATM ネットワークに直接接続される端末16、17間の通信では、アクセス要求が許容されれば、端末16と端末17との間にATM コネクションが確立される。ところが、図31に示すように、LAN51、52間の通信では、ルータ53とルータ54との間にATM コネクションが確立される。たとえば、LAN51に収容される端末55からLAN52に収容される端末56にアクセスする際には、ATM ネットワーク11内に設けられたファイアウォール機能によりそのアクセスを許容するか否かを判断し、許容する場合には、ルータ53とルータ54との間にATM コネクションを確立する。このことは、LAN エミュレーションだけでなく、IP over ATM においても同様である。
【0133】
LAN は、基本的に、通信相手との間にコネクションを確立することなくデータを送信するコネクションレス型通信である。一方、ATM は、送受信間でコネクションを確立した後にそのコネクションを介してデータを転送するコネクション型通信である。従って、LAN エミュレーションや、UDP プロトコルによるトラヒックをATM ネットワークを介して転送する技術は、コネクションレス型通信のトラヒックをコネクション型通信のネットワークを介して転送する方式と言える。換言すれば、ATM ネットワークは、コネクション型通信のネットワークの一形態である。
【0134】
【発明の効果】
IP over ATM またはLAN エミュレーションにおいて、ATM ネットワーク内にファイアウォールを設け、そのファイアウォールでアクセス要求を許容するか否かを判断するので、その判断のために着信先端末とその着信先端末を収容する交換ノードとの間にATM コネクションを確立する必要がないので、ネットワーク資源の無駄遣いを防げる。また、着信先端末との間にコネクションを確立することなくアクセスが許容されるか否かの判断がされるので、その判断のために課金が発生しない。
【図面の簡単な説明】
【図1】本発明の原理を説明する図である。
【図2】本実施形態の全体システム構成図である。
【図3】TCP/IPパケットとATM セルとの分解・組立を示す図である。
【図4】ATM セルの構成図であり、(a) は、UNI におけるフォーマット、(b) は、NNI におけるフォーマットである。
【図5】本実施形態のファイアウォールシステムの構成図である。
【図6】交換ノードへアクセス規制条件を登録する方法を説明する図である。
【図7】交換ノードへアクセス規制条件を登録するシーケンスを示す図である。
【図8】(a) は、ファイアウォールテーブルの例であり、(b) および(c) は、受信したTCP/IPパケットの例である。
【図9】アクセスが許容される場合のシーケンスを示す図である。
【図10】発呼要求メッセージをATM セルに格納して転送することを模式的に示す図である。
【図11】(a) 〜(c) は、図9に対応する呼管理テーブルの例である。
【図12】アクセスが許容されない場合のシーケンスを示す図である。
【図13】(a) 〜(c) は、図12に対応する呼管理テーブルの例である。
【図14】アクセス要求元端末を収容する交換ノードにおいてそのアクセスを許容するか否かを判断する場合のシーケンスを示す図(その1)である。
【図15】アクセス要求元端末を収容する交換ノードにおいてそのアクセスを許容するか否かを判断する場合のシーケンスを示す図(その2)である。
【図16】ファイアウォールテーブルから使用頻度の低い情報を削除する構成を説明する図である。
【図17】TCP/IPコネクションの追加が許可されるときのシーケンスを示す図である。
【図18】TCP/IPコネクションの追加が許可されない時のシーケンスを示す図である。
【図19】発呼端末とエージェントとの間またはエージェントと着信先端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その1)である。
【図20】発呼端末とエージェントとの間またはエージェントと着信先端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その2)である。
【図21】発呼端末とエージェントとの間のATM コネクションを確立する際のエージェントの動作を説明するフローチャートである。
【図22】IPパケット受信時の交換ノードの動作を説明するフローチャートである。
【図23】エージェントと着呼端末との間のATM コネクションを確立する際のエージェントの動作を説明するフローチャートである。
【図24】帯域予約要求メッセージを受信したときの交換ノード内の呼管理制御部の動作を説明するフローチャートである。
【図25】帯域予約完了メッセージを受信した際の交換ノード内の動作を説明するフローチャートである。
【図26】帯域予約要求メッセージを受信した際のエージェントの動作を説明するフローチャートである。
【図27】発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その3)である。
【図28】発呼端末とエージェントとの間、またはエージェントと着呼端末との間のATM コネクションを確立する際の交換ノード内の呼管理制御部の動作を説明するフローチャート(その4)である。
【図29】(a) および(b) は、ファイアウォールテーブルの例である。
【図30】(a) および(b) は、エージェントの構成例を示す例である。
【図31】本発明をLAN エミュレーションシステムに適用した場合の構成図である。
【図32】(a) は、LAN プロトコルのフレームを説明する図であり、(b) は、LAN エミュレーションシステムにおけるファイアウォールテーブルの例を示す図である。
【図33】IP over ATM システムにおいてファイアウォールを設ける場合の従来の構成例を示す図である。
【符号の説明】
1 交換ノード
2 エージェントユニット
3 コネクション型通信ネットワーク
11 ATM ネットワーク
12、13 交換ノード
14、15 エージェント
16、17 端末(DTE: Data Terminal Equipment)
30 交換ノード
30−1〜30−3 交換ノード
31 ATM スイッチ
32 呼管理制御部
33 呼管理テーブル
34、41 エージェント
35 ファイアウォールテーブル
51、52 LAN
53、54 端末
55、56 ルータ装置

Claims (25)

  1. 第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォール方式であって、
    固定長パケットを交換するとともに、受信した固定長パケットのなかから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを抽出する交換ノードと、
    上記ネットワーク内に設けられ、上記交換ノードによって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断するエージェントユニットと、を有し、
    上記エージェントユニットは、アクセスを許容する場合は、上記第1の端末またはその第1の端末を収容する端末と上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立し、アクセスを許容しない場合には、上記交換ノードと上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立することなく上記アクセス要求を拒絶する
    ことを特徴とするファイアウォール方式。
  2. 上記エージェントユニットは、上記第1の端末から上記第2の端末へのアクセス要求が発行されると、上記第2の端末の代わりに上記第1の端末に対して応答する請求項1に記載のファイアウォール方式。
  3. 上記エージェントユニットは、上記第2の端末に関する上記第2のプロトコルによるアクセス規制条件を格納したファイアウォールテーブルを有する請求項1に記載のファイアウォール方式。
  4. 上記エージェントユニットは、上記第1のプロトコルによるコネクションを介して転送されてくる指示に従って上記ファイアウォールテーブルの内容を変更する請求項に記載のファイアウォール方式。
  5. 上記交換ノードは、上記第2の端末を収容する交換機である請求項1に記載のファイアウォール方式。
  6. 上記交換ノードは、上記第1の端末を収容する交換機である請求項1に記載のファイアウォール方式。
  7. 上記交換ノードは、上記第2のプロトコルによるアクセス要求を含んだ固定長パケットを受信すると、その固定長パケットを上記エージェントユニットへ転送する請求項1に記載のファイアウォール方式。
  8. 上記エージェントユニットは、上記第2のプロトコルによるアクセス要求を含んだ固定長パケットを受信すると、上記第1の端末またはその第1の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立する請求項に記載のファイアウォール方式。
  9. 上記エージェントユニットは、上記アクセス要求を許容しない場合には、上記第1の端末に対して上記アクセス要求が認められないことを通知する請求項に記載のファイアウォール方式。
  10. 上記エージェントユニットは、上記アクセス要求を許容する場合には、上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立する請求項に記載のファイアウォール方式。
  11. 上記エージェントユニットは、上記第1の端末またはその第1の端末を収容する端末と当該エージェントユニットの間に確立したコネクションおよび上記第2の端末またはその第2の端末を収容する端末と当該エージェントユニットの間に確立したコネクションを、上記第1の端末またはその第1の端末を収容する端末と上記第2の端末またはその第2の端末を収容する端末との間に確立される上記第1のプロトコルによるコネクションに変更するように、上記交換ノードの設定を変更する請求項10に記載のファイアウォール方式。
  12. 第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォール方式であって、
    固定長パケットを交換するとともに、受信した固定長パケットのなかから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを抽出する複数の交換ノードと、
    上記複数の交換ノードの各々に対して設けられ、対応する交換ノードに収容される端末に関する上記第2のプロトコルによるアクセス規制条件を格納し、対応する交換ノードによって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断する複数のエージェントユニットと、を有し、
    上記第2の端末を収容する交換ノードに対応するエージェントユニットから上記第1の端末を収容する交換ノードに対応するエージェントユニットへ上記第2の端末に関するアクセス規制条件を転送し、上記第1の端末を収容する交換ノードに対応するエージェントユニットにおいて上記アクセスを許容するか否かを判断するファイアウォール方式。
  13. 上記第1の端末を収容する交換ノードに対応するエージェントユニットにおいて、参照時刻が最も古いアクセス規制条件を廃棄する請求項12に記載のファイアウォール方式。
  14. 上記第1の端末を収容する交換ノードに対応するエージェントユニットにおいて、参照回数が所定数よりも少ないアクセス規制条件を廃棄する請求項12に記載のファイアウォール方式。
  15. 上記交換ノードは、第1の端末と第2の端末との間に上記第1のプロトコルによるコネクションを確立した後、受信した固定長パケットのなかから上記第2のプロトコルによる第1の端末から第2の端末へのアクセスのために上記コネクションの帯域変更を要求する情報を含んだ固定長パケットを抽出し、
    上記エージェントユニットは、上記交換ノードによって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断する、
    ことを特徴とする請求項1に記載のファイアウォール方式。
  16. 上記エージェントユニットは、上記アクセス要求を許容しない場合には、上記第1の端末に対して上記帯域変更要求が認められないことを通知する請求項15に記載のファイアウォール方式。
  17. 上記エージェントユニットは、上記アクセス要求を許容する場合には、上記第2の端末に対して上記帯域変更要求を含んだ固定長パケットを転送する請求項15に記載のファイアウォール方式。
  18. IP over ATM プロトコルを用いた通信システムにおけるファイアウォール方式であって、
    少なくともアクセス先のIPアドレスに従ってそのアクセスを許容するか否かを判断する機能をATM ネットワーク内の所定の装置に持たせ、
    ATM ネットワークと上記アクセス先との間にATM コネクションを確立することなく上記アクセスを許容するか否かを判断し、
    アクセスを許容する場合は、上記アクセスを要求した第1の端末またはその第1の端末を収容する端末と上記アクセスの要求先である第2の端末またはその第2の端末を収容する端末との間に ATM コネクションを確立し、アクセスを許容しない場合には、上記 ATM ネットワーク内の交換ノードと上記第2の端末またはその第2の端末を収容する端末との間に ATM コネクションを確立することなく上記アクセス要求を拒絶する
    ことを特徴とするファイアウォール方式。
  19. アクセス先のIPアドレスおよびアクセス先のTCP ポート番号を用いて上記アクセスを許容するか否かを判断する請求項18に記載のファイアウォール方式。
  20. コネクションレス型通信のトラヒックをコネクション型通信ネットワークを介して転送するシステムにおいて上記コネクションレス型通信のトラヒックを規制するファイアウォール方式であって、
    少なくとも上記コネクションレス型通信の通信プロトコルによって規定されるアドレス体系のアクセス先アドレスに従ってそのアクセスを許容するか否かを判断する機能を上記コネクション型通信ネットワーク内の所定の装置に持たせ、
    該ネットワークと上記アクセス先との間にコネクションを確立することなく上記アクセスを許容するか否かを判断し、
    アクセスを許容する場合は、上記アクセスを要求した第1の端末またはその第1の端末を収容する端末と上記アクセスの要求先である第2の端末またはその第2の端末を収容する端末との間に上記コネクション型通信の通信プロトコルによるコネクションを確立し、アクセスを許容しない場合には、上記コネクション型通信ネットワーク内の交換ノードと上記第2の端末またはその第2の端末を収容する端末との間に上記コネクション型通信の通信プロトコルによるコネクションを確立することなく上記アクセス要求を拒絶する
    ことを特徴とするファイアウォール方式。
  21. 第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォールとして機能するエージェントユニットであって、
    交換ノードから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを受信する受信手段と、
    該受信手段が受信した固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断する判断手段と、
    アクセスを許容する場合にのみ上記ネットワークと上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立するコネクション設定手段と、を有し、
    上記コネクション設定手段は、アクセスを許容する場合は、上記第1の端末またはその第1の端末を収容する端末と上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立し、アクセスを許容しない場合には、上記交換ノードと上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立することなく上記アクセス要求を拒絶する
    ことを特徴とするエージェントユニット。
  22. 請求項1に記載のファイアウォール方式において第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークに収容される端末装置であって、
    上記ネットワーク内に設けられる第2のプロトコルによるアクセスに対する規制条件を格納したファイアウォールテーブルを格納する装置との間に上記第1のプロトコルによるコネクションを確立する手段と、
    該コネクションを介して上記ファイアウォールテーブルの内容を変更する指示を送出する手段と、
    を有する端末装置。
  23. 第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォール方法であって、
    交換ノードにおいて受信した固定長パケットから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを抽出するステップと、
    上記抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断するステップと、
    アクセスを許容する場合は、上記第1の端末またはその第1の端末を収容する端末と上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクションを確立し、アクセスを許容しない場合には、上記交換ノードと上記第2の端末またはその第2の端末を収容する端末との間に上記第1のプロトコルによるコネクショ ンを確立することなく上記アクセス要求を拒絶するステップ、
    を有するファイアウォール方法。
  24. 第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォール方法であって、
    第1の端末から第2の端末への上記第2のプロトコルによるアクセス要求が発行された際に、上記第1の端末を収容する交換ノードにおいて上記アクセス要求を含んだ固定長パケットを抽出するステップと、
    上記第1の端末を収容する交換ノードに上記第2の端末に関するアクセス規制条件が登録されているか否かを判断するステップと、
    登録されていた場合には、その登録されているアクセス規制条件に従って上記アクセス要求を許容するか否かを判断するステップと、
    登録されていない場合には、他の交換ノードに上記第2の端末に関するアクセス規制条件を転送してくれるよう要求し、その転送されてきたアクセス規制条件に従って上記アクセス要求を許容するか否かを判断するステップと、
    を有するファイアウォール方法。
  25. 上記第1の端末と第2の端末との間に上記第1のプロトコルによるコネクションが確立された後、上記第2のプロトコルによる第1の端末から第2の端末へのアクセスのために上記コネクションの帯域変更を要求する情報を含んだ固定長パケットを抽出するステップと、
    上記抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断するステップと、
    アクセスを許容する場合にのみ、上記帯域変更要求を上記第2の端末に転送するステップと、
    をさらに有する請求項23に記載のファイアウォール方法。
JP01702797A 1997-01-30 1997-01-30 ファイアウォール方式およびその方法 Expired - Fee Related JP3591753B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP01702797A JP3591753B2 (ja) 1997-01-30 1997-01-30 ファイアウォール方式およびその方法
US09/015,826 US6353856B1 (en) 1997-01-30 1998-01-29 Firewall system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP01702797A JP3591753B2 (ja) 1997-01-30 1997-01-30 ファイアウォール方式およびその方法

Publications (2)

Publication Number Publication Date
JPH10215248A JPH10215248A (ja) 1998-08-11
JP3591753B2 true JP3591753B2 (ja) 2004-11-24

Family

ID=11932524

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01702797A Expired - Fee Related JP3591753B2 (ja) 1997-01-30 1997-01-30 ファイアウォール方式およびその方法

Country Status (2)

Country Link
US (1) US6353856B1 (ja)
JP (1) JP3591753B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961748B2 (en) * 1998-10-27 2005-11-01 Murrell Stephen J Uniform network access
US7136387B2 (en) * 1999-08-09 2006-11-14 Mci, Llc Method of and system for providing quality of service in IP telephony
US6832321B1 (en) 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
CA2300066A1 (en) * 2000-03-03 2001-09-03 Paul A. Ventura High speed, high security remote access system
FR2812491B1 (fr) * 2000-07-25 2003-01-10 France Telecom Dispositif de controle d'acces entre des reseaux atm
DE10046240A1 (de) * 2000-09-19 2002-03-28 Deutsche Telekom Ag Verfahren zur Messung der unidirektionalen Übertragungseigenschaften, wie Paketlaufzeit, Laufzeitschwankungen und der hieraus ableitbaren Ergebnisse, in einem Telekommunikationsnetz
KR20030011080A (ko) * 2001-03-16 2003-02-06 마쯔시다덴기산교 가부시키가이샤 방화벽 설정 방법 및 장치
KR20030016733A (ko) * 2001-08-21 2003-03-03 아르파(주) 통신 시스템에서의 동적 서비스 보호 방법
FI20012339A0 (fi) * 2001-11-29 2001-11-29 Stonesoft Corp Palomuurien välillä siirtyvien yhteyksien käsittely
JP3988475B2 (ja) * 2002-02-05 2007-10-10 ソニー株式会社 送信装置、受信装置およびそれらの方法
CN100452715C (zh) * 2002-10-01 2009-01-14 华为技术有限公司 一种智能终端管理方法
WO2005029337A1 (ja) * 2003-09-22 2005-03-31 Japan Media Systems Corp. データ通信システム、プログラム及び記録媒体
US7447211B1 (en) * 2004-03-23 2008-11-04 Avaya Inc. Method and apparatus of establishing a communication channel using protected network resources
EP1840748A4 (en) 2004-12-20 2012-08-22 Fujitsu Ltd RELAY PROGRAM, COMMUNICATION PROGRAM AND FIREWALL SYSTEM
JP4584809B2 (ja) * 2005-10-04 2010-11-24 パナソニック株式会社 制御装置及び被制御装置
US20070171825A1 (en) * 2006-01-20 2007-07-26 Anagran, Inc. System, method, and computer program product for IP flow routing
US8547843B2 (en) * 2006-01-20 2013-10-01 Saisei Networks Pte Ltd System, method, and computer program product for controlling output port utilization
EP2807796B1 (en) 2012-01-27 2021-10-20 Nokia Solutions and Networks Oy Session termination in a mobile packet core network
JP2016154389A (ja) * 2016-05-18 2016-08-25 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 移動パケットコアネットワークにおけるセッション終了

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5138659A (en) * 1991-05-02 1992-08-11 General Instrument Corporation Conversion of television signal formats with retention of common control data stream
US5379297A (en) * 1992-04-09 1995-01-03 Network Equipment Technologies, Inc. Concurrent multi-channel segmentation and reassembly processors for asynchronous transfer mode
JPH07107990B2 (ja) * 1992-11-12 1995-11-15 日本電気株式会社 Atm方式による送信装置及び通信システム
US5452297A (en) * 1993-12-20 1995-09-19 At&T Corp. Access switches for large ATM networks
US5528592A (en) * 1994-01-27 1996-06-18 Dsc Communications Corporation Method and apparatus for route processing asynchronous transfer mode cells
JPH07264207A (ja) 1994-03-24 1995-10-13 Hitachi Ltd Atm交換網へのデータ端末接続方法
US5796829A (en) * 1994-09-09 1998-08-18 The Titan Corporation Conditional access system
US5483527A (en) * 1994-12-21 1996-01-09 At&T Corp. Terminal adapter for interfacing an ATM network with a STM network
US5600644A (en) * 1995-03-10 1997-02-04 At&T Method and apparatus for interconnecting LANs
US5581552A (en) * 1995-05-23 1996-12-03 At&T Multimedia server
US5774670A (en) * 1995-10-06 1998-06-30 Netscape Communications Corporation Persistent client state in a hypertext transfer protocol based client-server system
US5732078A (en) * 1996-01-16 1998-03-24 Bell Communications Research, Inc. On-demand guaranteed bandwidth service for internet access points using supplemental user-allocatable bandwidth network
US5892924A (en) * 1996-01-31 1999-04-06 Ipsilon Networks, Inc. Method and apparatus for dynamically shifting between routing and switching packets in a transmission network
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
JP3131137B2 (ja) * 1996-02-28 2001-01-31 株式会社日立製作所 バーチャルネットワークシステム
US5878043A (en) * 1996-05-09 1999-03-02 Northern Telecom Limited ATM LAN emulation
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5828844A (en) * 1996-10-08 1998-10-27 At&T Corp. Internet NCP over ATM
US5896382A (en) * 1996-11-19 1999-04-20 Scientific-Atlanta, Inc. Method and apparatus for communicating information between a headend and subscriber over a wide area network
US5903559A (en) * 1996-12-20 1999-05-11 Nec Usa, Inc. Method for internet protocol switching over fast ATM cell transport
US5909430A (en) * 1996-12-31 1999-06-01 Northern Telecom Limited Address assignment in an ATM switched network
JP3457493B2 (ja) * 1997-03-18 2003-10-20 富士通株式会社 Arpサーバ
JP3394430B2 (ja) * 1997-09-09 2003-04-07 富士通株式会社 ネットワークシステム及び交換機

Also Published As

Publication number Publication date
US6353856B1 (en) 2002-03-05
JPH10215248A (ja) 1998-08-11

Similar Documents

Publication Publication Date Title
JP3591753B2 (ja) ファイアウォール方式およびその方法
JP3478218B2 (ja) エッジノード交換機と交換機
US5835710A (en) Network interconnection apparatus, network node apparatus, and packet transfer method for high speed, large capacity inter-network communication
US6021263A (en) Management of ATM virtual circuits with resources reservation protocol
JP3338365B2 (ja) パケット交換トラヒックを転送するための改良型システム
EP1110349B1 (en) Atm virtual private networks
EP1215857B1 (en) System and method for operating a communication network on an ATM platform
US6205148B1 (en) Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system
US8018939B2 (en) MPLS implementation of an ATM platform
JP2000124920A (ja) コネクション型ネットワ―クの接続を管理するための方法、およびコネクション型ネットワ―クを介してコネクションレス型通信プロトコルを支持するための方法
US20060114889A1 (en) Multiservice use of network connection capability
CA2341939C (en) Label request packet transmission method, packet transfer network and method thereof, and packet transfer device
US20040153556A1 (en) Connections on demand between subscribers and service providers
JP3261057B2 (ja) Atmスイッチおよび呼受付優先制御方法
JP3394430B2 (ja) ネットワークシステム及び交換機
JP2000022710A (ja) パス設定方法、通信装置及び記憶媒体
KR20010075867A (ko) 프레임릴레이 연동장치의 영구가상연결 제어 방법
KR19990087607A (ko) Atm 네트워크를 통한 atm 셀의 전송 방법
JP3621475B2 (ja) Atm通信システム及びatm交換機およびノード装置
JPH1168782A (ja) シグナリング処理装置およびその方法
KR100613964B1 (ko) 비동기전송모드(atm)망에서 인터넷 아이.피(ip)패킷전송 방법
JP3471136B2 (ja) 制御情報転送方法及びノード装置
JP2001045058A (ja) セッション接続型パケット転送システムおよびその構成装置
JP3548701B2 (ja) ユーザ認証と経路制御機能を備えたセッション接続型パケット転送システム
JP3538018B2 (ja) 通信網

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040820

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080903

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080903

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090903

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees