[go: up one dir, main page]

JP3758482B2 - Medium and apparatus for recording inter-network communication security program - Google Patents

Medium and apparatus for recording inter-network communication security program Download PDF

Info

Publication number
JP3758482B2
JP3758482B2 JP2000258157A JP2000258157A JP3758482B2 JP 3758482 B2 JP3758482 B2 JP 3758482B2 JP 2000258157 A JP2000258157 A JP 2000258157A JP 2000258157 A JP2000258157 A JP 2000258157A JP 3758482 B2 JP3758482 B2 JP 3758482B2
Authority
JP
Japan
Prior art keywords
domain name
address
terminal
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000258157A
Other languages
Japanese (ja)
Other versions
JP2002077252A (en
Inventor
雅彦 山梨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2000258157A priority Critical patent/JP3758482B2/en
Publication of JP2002077252A publication Critical patent/JP2002077252A/en
Application granted granted Critical
Publication of JP3758482B2 publication Critical patent/JP3758482B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はドメインネーム要求解決によるネットワーク間通信におけるセキュリティ確保を実現するネットワーク間通信セキュリティプログラムを記録した媒体および装置に関する。
【0002】
【従来の技術】
送信元端末のアドレスにより通信の可否を判断する方法は従来から、行なわれている。
【0003】
例えば、図2に示すようなネットワークにおいて、端末M−11と端末N−11間の通信だけを行いたい場合、ファイアウォールM−14で、送信元IPアドレスN−11をネットワークMに通過許可させ、ファイアウォールN−14において、送信元IPアドレスM−11をネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0004】
ネットワークM、ネットワークNのどちらか一方もしくは、両方がプライベートアドレスである場合、送信元IPアドレスはゲートウェイにおいてグローバルアドレスに変換された後、送信先ネットワークへ到達する。
【0005】
このような環境において、端末M−11と端末N−11間の通信だけを行ないたい場合、ファイアウォールM−14において、送信元アドレスとしてグローバルアドレスに変換後のN−11のIPアドレスをネットワークMに通過許可させ、ファイアウォールN−14において、送信元アドレスとしてグローバルアドレスに変換後のM−11のIPアドレスをネットワークNに通過許可させ、上記それぞれのファイアウォールにおいて、その他の端末の通信を不許可とすることにより、セキュリティを確保することが可能である。
【0006】
このような、プライベートアドレスからグローバルアドレスへ変換を実施するネットワーク構成において、送信元IPアドレスによりセキュリティを確保するためには、送信元端末のプライべートIPアドレスとその端末がグローバルネットワークに通信する際に変換されるグローバルアドレスとが、固定的に関係付けられている必要がある。
【0007】
これは、プライベートアドレスをグローバルアドレスへ変換する方式として、グローバルアドレスの動的割当を利用する場合においても同様であり、その端末についてはアドレスの対応付けを固定的に行なう必要がある。
【0008】
【発明が解決しようとする課題】
セキュリティを確保するためにグローバルアドレスとプライベートアドレスとの対応を固定的に関連付けると、グローバルネットワークへ接続する端末の台数分だけグローバルアドレスが必要となり、グローバルネットワークを利用する端末の台数が制限されてしまう。
【0009】
グローバルアドレスの動的割当を実施している場合においても、セキュリティを確保する端末の台数分については固定的にアドレスを関連付ける必要があり、グローバルネットワーク利用端末の制限という点では同様の問題である。
【0010】
このようにプライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保するためには、静的あるいは動的に対応させたグローバルアドレスが通信相手から見たとき固定している必要があり、限られたグローバルアドレスの数が不足するということが課題でありその解決策が求められていた。
【0011】
本発明はこのような点にかんがみて、プライベートアドレスの端末をグローバルネットワークに接続して通信させるときにセキュリティを確保する手段を提供することを目的とする。
【0012】
【課題を解決するための手段】
上記の課題は下記の如くに構成された、外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティプログラムを記録した媒体および装置によって解決される。
【0013】
図1は、本発明の構成図である。
【0014】
図において、1は通信の可否を判断する対象の端末を識別するドメインネームを記憶した端末ドメインネーム記憶手段であり、2は受信したパケットの送信元IP(Internet Protocol )アドレスに基づきDNS(Domain Names System )サーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段であり、3は問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して通信の可否を判断する通信可否判断手段である。
【0015】
すなわち、ネットワークの入口のファイアウォールとなるゲートウェイに到来する通信パケットの送信元IPアドレスをあらかじめ設定して記憶したIPアドレスと比較することにより通信の可否を確認する従来技術に加えて、本発明では上記IPアドレスで通信の可否が判断できない場合にも、ドメインネーム問い合わせ手段2により、送信元ネットワークのDNSに送信元の端末のドメインネームを問い合わせて、ドメインネームにより送信元端末を認識し、通信可否判断手段3が、あらかじめ端末ドメインネーム記憶手段1に記憶したドメインネームと比較して通信の可否を判断するようにしている。
【0016】
特に、送信元端末がプライベートアドレスで管理されたネットワークの端末であってインターネット上でユニークなアドレスであるグローバルアドレスを動的に割り当てられて送信されたパケットであっても、上記のような仕組みにより送信元端末の確認を行なうので通信の可否を判断することができる。
【0017】
【発明の実施の形態】
図2には本発明の実施の形態の構成図を示す。
【0018】
本実施の形態においては、パーソナルコンピューター、ワークステーション等の汎用的な目的で使用される計算機上で実行するコンピュータプログラムにより実現する形態を示す。
【0019】
本発明のネットワーク間通信セキュリティ装置は、処理装置、主記憶装置、補助記憶装置、入出力装置などから構成される計算機上で、コンピュータプログラムを実行して実現される。また、コンピュータプログラムは、フロッピーディスクやCD−ROM等の可搬型媒体やネットワーク接続された他の計算機の主記憶装置や補助記憶装置等に格納されて提供される。本発明の記録媒体は、上記可搬型媒体、主記憶装置、補助記憶装置に該当する。
【0020】
提供されたコンピュータプログラムは、可搬型媒体から直接計算機の主記憶装置にロードされ、または、可搬型媒体から一旦補助記憶装置にコピーまたはインストール後に、主記憶装置にロードされて実行する。また、ネットワーク接続された他の装置に格納されて提供された場合も、他の装置からネットワークを経由して受信後に、補助記憶装置にコピー、主記憶装置にロードされ実行するものである。
【0021】
本発明の実施の形態は、ファイアウォールに関する。外部ネットワークから内部ネットワークに対する通信の可否を制御するファイアウォールにおいて、通信可否の判定基準として端末のドメインネームを保持し、外部からの通信要求があったとき、送信元端末のドメインネームを要求し、その回答から送信元端末のドメインネームを識別し、通信可否の判定を行なうようにしている。
【0022】
特に、本実施の形態は、自ネットワークを独自のプライベートアドレスによって管理する端末が、グローバルアドレスによって管理されるインターネットを介して、他の独自のプライベートアドレスによって管理されるネットワークの端末と通信するように構成するネットワークであって、着信側ネットワークの入口において、自ネットワーク内への通信可否を判定するファイアウォールを示す。
【0023】
ここに示す各ファイアウォールによって管理されたネットワーク内部には、外部からのDNS要求に対して回答を行なう機能を有している。また、ネットワーク内の各端末にはグローバルネットワーク全体でユニークなホスト名、すなわち、DNS形式に従ってネットワークのドメイン名とホスト名からなるドメインネームが与えられている。
【0024】
図2の構成を説明する。ネットワークM、ネットワークNはプライベートアドレスが割り当てられたネットワークであり、グローバルアドレスを割り当てられたネットワークを介して接続されている。M−11、M−12およびN−11、N−12は各ネットワークのプライベートアドレスが付与された端末であり、M−13、N−13はネットワーク内部の名前解決を実施する内側DNSサーバ、M−14、N−14はネットワークのセキュリティを確保するためのファイアウォールとアドレス変換機能を兼ね備えたゲートウェイ、M−15、N−15はネットワーク外部からのアドレス解決要求に対して内部端末のグローバルアドレスを返答するとともに、内部からの要求に対して外部グローバルアドレスを解決する外側DNSサーバである。
【0025】
本発明の実施の形態には、セキュリティを確保するためのファイアウォールであるM−14、N−14において、自ネットワークへの通信要求に対して、送信元端末のドメイン名を要求し、その回答を識別して通信の可否を判定するものを示す。
【0026】
ファイアウォールM−14、N−14のグローバルネットワーク接続のポートと、いわゆる非武装地帯 (DMZ:DeMilitarized Zone)接続のポートには固定的に割り当てられたグローバルアドレスが付与され、内部ネットワーク接続のポートはプライベートアドレスが付与されている。
【0027】
外側DNSサーバM−15、N−15にはグローバルアドレスが付与されている。内側DNSサーバM−13、N−13、端末M−11、M−12、およびN−11、N−12にはプライベートアドレスが付与されている。
【0028】
各端末M−11、M−12およびN−11、N−12にはそれらが属するネットワークのDNSサーバのアドレスが登録されている。
【0029】
内側DNSサーバM−13、N−13には自ネットワークのドメインネームと外側DNSサーバのグローバルアドレスが登録されている。
【0030】
ゲートウェイM−14、N−14のアドレス変換部は、従来技術における構成のものと同様にIPアドレスの変換を行い、さらに、外部からの送信要求に対し、内部プライベートアドレスに対応するグローバルアドレスを付与する機能を有し、上記ゲートウェイのファイアウォール部は送信元端末識別機能として従来技術の送信元IPアドレスによるチェック機能の他に送信元ドメインネームをチェックする機能を有する。
【0031】
以下に図2に示すネットワークNのプライベートアドレスで管理された端末N−11からグローバルアドレスで管理されるインターネットを経由してやはりプライベートアドレスで管理されるネットワークMの端末M−11に通信する時のパケットの動き、受信側ファイアウォールM−14に設けられたテーブル内のデータの動きとをあわせて通信のセキュリティの確保の動作を説明する。
【0032】
図3はテーブルの構成図であり、(a)は通信可否判定テーブル(以下説明ではテーブルAという)と(b)はドメインネーム問い合わせ中管理テーブル(説明ではテーブルBと呼ぶ)を示し、ともに受信側ネットワークMのゲートウェイM−14のファイアウォール機能として備えるものである。同様のテーブルはそれぞれのファイアウォールに備えられ、同様に通信の管理、セキュリティの確保に使用される。
【0033】
テーブルAはパケットを送信されたネットワークの入口にあるファイアウォールが、従来技術によるセキュリティ確保を行なうために備える通信を可とする相手端末のIPアドレスのテーブルとは別に、本発明の実施において追加して備えたテーブルであり、あらかじめ通信を可とする相手端末のドメインネームを記憶するようにしたテーブルである。各ドメインネームに対応して送信元端末のIPアドレスが判明したときにそれを記憶するように構成されている。例えば、図3(a)に示すように送信元端末ドメインネームが「no.pqr.st」は通信可能な状態で、送信元端末のIPアドレスは「130.1.1.1」であることを示している。
【0034】
テーブルBは送信されて来たパケットのIPアドレスを持つ端末のドメインネームを問い合わせているときに、問い合わせに答えたパケットが送信されて来たときに、回答のパケットであることを確認するために問い合わせ中IPアドレスを一時記憶するものである。例として、図3(b)に示してある「130.1..2.1」、「133.5.1.2」などは現在それぞれのドメインネームを相手のネットワークのDNSサーバに問い合わせている状態であることを示している。
【0035】
図4〜図6の通信開始の動作フローチャートの流れに沿って端末N−11から端末M−11に向けて通信開始するときの動作の説明を行なう。送信先の端末もプライベートアドレスで管理されておりM−11のドメインネームを入力して処理が始まる。ステップS41からステップS48は通常行なわれる処理であるが、ドメインネームで指定された相手端末のIPアドレスを得る処理を示している。
【0036】
ステップS41では、入力されたドメインネームをもとに、データ送信端末N−11が送信先端末M−11のアドレスを内部DNSサーバN−13に問い合わせる。
【0037】
ステップS42では、N−13は外部DNSサーバN−15に対し送信先端末M−11のアドレスを問い合わせる。
【0038】
ステップS43においては、N−15は送信先ドメインのDNSサーバM−15に対し、アドレス要求パケットを送信する。
【0039】
ステップS44は、M−14はN−15のIPアドレスで通信可と判定するものとしている。すなわち、ゲートウェイのセキュリティ機能として外部ネットワークから到来したアドレス要求パケットについてもセキュリティ確保を行なうがここでは従来技術によりN−15についてはそのIPアドレスが別途保持されていてそれに基づいて確認されるものとした。これも、後に説明するようにあらかじめIPアドレスが登録されていない場合にもセキュリティの確保を行なうためにドメインネームで確認することもできる。
【0040】
ステップS45では、通過してきたパケットを受け取ったDNSサーバM−15はゲートウェイM−14に対してM−11のグローバルアドレス割当を指示する。
【0041】
ステップS46では、M−14はM−11に対してグローバルアドレスを付与して、そのアドレスをM−15に回答する。
【0042】
ステップS47では、M−15はM−11のアドレスをN−15へ回答し、ステップS48で、N−15はN−13にM−11のアドレスを回答する。
【0043】
このようにして、送信元の端末N−11は送信先の相手端末M−11のIPアドレスを知ることができる。以降、N−11はこのアドレスを用いてM−11にパケットを送り出すことができる。しかし、各ネットワークは外部から送信されてくるパケットについてセキュリティを確保するようにしているので、IPアドレスが分かって通信を開始してもファイアウォールのチェックを受けなければならない。図5および図6のフローチャートによってファイアウォールM−14における本発明の実施の形態の動作を説明する。
【0044】
ステップS51において、データ送信端末N−11が、判明した送信先端末M−11のアドレスを用いて通信パケットをM−11に送信する。
【0045】
ステップS52で、まず、ネットワークMのファイアウォールM−14は従来技術で送信元N−11のアドレスの通信可否判定を行なう。OKであれば、直ちにステップS64以降に示すように通信パケットを通過させる。
【0046】
従来技術の通信可否を判定するIPアドレスが設定されていないときには、ステップS53に進み、テーブルAにIPアドレスが登録済かを調べる。すなわち、テーブルAには後で説明するように送信元ドメインネームに対応する送信元IPアドレスが判明したときにはそれが記憶されるようになっており、このIPアドレスが登録されているときにはステップS64に進みファイアウォールは通信パケットを通過させる。
【0047】
テーブルAにIPアドレスが登録されていないときには、ステップS54で、このパケットの送信元アドレスは調査中であるか否かを、テーブルBに記憶されているアドレス情報を調べることで判定する。
【0048】
調査中の送信元アドレスでないとき、すなわち、ドメインネームを調べることで送信元を確認する必要のあるものであると判断したときには、ステップS55で、送信元アドレスが調査中である旨テーブルBに記憶し、ステップS56で、送信元アドレスに基づいてドメインネームの逆引きを要求することにより、送信元アドレスのドメインネームを尋ねステップS51でその回答を待つようにしている。
【0049】
ステップS54で調査中のアドレスを持ったパケットであったときには、ステップS57でその内容が逆引きDNS解決の回答のパケットかを確認し、そうでないときはエラーとしてパケットを破棄してステップS51において次のパケットを待つ。
【0050】
逆引きDNS解決の回答のパケットであったときには、ステップS61でテーブルBに記憶した該当の送信元アドレスをクリアし調査中の状態を取り消す。
【0051】
ステップS62では、送信元のドメインネームが分かったので、それがあらかじめテーブルAに設定して記憶されている通信可能な端末を示すドメインネームと一致するか調べる。一致するものがないときにはステップS67でパケットを廃棄して終了する。
【0052】
一致が確認できたときにはステップS63で、送信元パケットのアドレスをテーブルAの該当のドメインネームに対応させて記憶する。このようにして、テーブルAに記憶されたIPアドレスは他のネットワークから受信したパケットの送信元IPアドレスと比較することにより通信可否のセキュリティチェックが可能となる。
【0053】
ステップS64ではセキュリティの確認ができた場合にはその通信パケットを通過させて宛先の端末に届けられる。
【0054】
以後、上記と同様の処理により各受信したパケットはセキュリティを確保した上で宛先の端末に届けられる。ステップS65では、無通信などを検出して通信を終了するまで繰り返されることを示している。
【0055】
通信の終了を確認するとステップS66で、テーブルAに記憶されていた通信終了の相手端末のIPアドレスをクリアする。さらに、フローチャートには記していないが、ファイアウォールM−14は通信の終了を検知して、割り当てられているグローバルアドレスを開放するとともに、これを外部ドメインネームサーバM−15に通知することになる。
【0056】
上記説明において、通信の可否を判定するときテーブルに設定したIPアドレスあるいは相手端末のドメインネームは通信を可とするものを記憶するようにしたが、逆に通信を否とするものを設定して可否を判定してもよい。
【0057】
また、他のネットワークに備えられた外向きのDNSサーバからのアドレス解決要求のパケットについては従来技術による登録されたIPアドレスの照合により通信の確認をしたが、上記説明したと同様にドメインネームの確認を用いてもよい。
【0058】
さらに、上記説明は自ネットワークおよび相手ネットワークともプライベートアドレスを使用して管理されたネットワークであることを前提としたが、いずれも、グローバルアドレスを持ったネットワークの端末であっても同様に機能するものである。
【0059】
以上のような仕組みを利用することにより、企業間の自由な接続がそれぞれの安全なネットワーク運用を確保しながら実現できる。例えば、複数の企業ネットワークの監視サービスを実施している会社が、リモートメンテナンス等他社のネットワークに属している端末に通信する際に、ファイアウォールで外部ネットワークからの通信を制限している場合、ドメインネームを登録して通信を許可された端末は、プライベートアドレスで管理されている監視サービス会社のネットワークからその時々に割り当てられたグローバルアドレスで通信しても本発明の機能を搭載したファイアウォールを通過することができる。同様に、各企業独自のネットワークを構築している場合でも、セキュリティ確保しながら企業間の各種商取引が自由に構築できる手段として有効となるものである。
【0060】
【発明の効果】
以上の説明から明らかなように本発明によれば送信元端末をそのドメインネームで認識することにより、グローバルアドレス不足を解決するために、プライベートアドレスで管理された端末を通信の開始時に動的にグローバルアドレスを割り当てる場合でも通信の可否を判定してセキュリティを確保することができるので、各企業が構築したそれぞれのネットワークをインターネットで接続した自由なネットワークの構成が可能となり、安全で便利なネットワーク社会の発展に寄与する、という工業的、経済的効果が得られる。
【図面の簡単な説明】
【図1】 本発明の構成図
【図2】 本発明の実施の形態の構成図
【図3】 テーブルの構成図
【図4】 通信開始の動作フローチャート(その1)
【図5】 通信開始の動作フローチャート(その2)
【図6】 通信開始の動作フローチャート(その3)
【符号の説明】
1 端末ドメインネーム記憶手段
2 ドメインネーム問い合わせ手段
3 通信可否判断手段[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a medium and apparatus for recording an inter-network communication security program for realizing security in inter-network communication by domain name request resolution.
[0002]
[Prior art]
Conventionally, a method for determining whether or not communication is possible based on an address of a transmission source terminal has been performed.
[0003]
For example, in the network as shown in FIG. 2, when only communication between the terminal M-11 and the terminal N-11 is to be performed, the firewall M-14 allows the transmission source IP address N-11 to pass through the network M, In the firewall N-14, the transmission source IP address M-11 is allowed to pass through the network N, and the security can be ensured by disabling communication of other terminals in the respective firewalls.
[0004]
When either one or both of the network M and the network N are private addresses, the source IP address is converted into a global address at the gateway and then reaches the destination network.
[0005]
In such an environment, when only communication between the terminal M-11 and the terminal N-11 is to be performed, the firewall M-14 converts the IP address of N-11 after being converted into a global address as a transmission source address to the network M. Permit the passage, and allow the network N to pass the IP address of M-11 after being converted to the global address as the source address in the firewall N-14, and prohibit the communication of other terminals in the respective firewalls. Thus, security can be ensured.
[0006]
In such a network configuration that performs conversion from a private address to a global address, in order to ensure security by the source IP address, the private IP address of the source terminal and the terminal communicate with the global network. It is necessary to have a fixed relationship with the global address to be translated.
[0007]
This is the same in the case of using dynamic global address assignment as a method for converting a private address to a global address, and it is necessary to fix the address correspondence for the terminal.
[0008]
[Problems to be solved by the invention]
If the correspondence between global addresses and private addresses is fixedly associated with each other in order to ensure security, global addresses are required for the number of terminals connected to the global network, and the number of terminals that use the global network is limited. .
[0009]
Even when dynamic allocation of global addresses is performed, it is necessary to associate addresses with each other for the number of terminals for which security is ensured, which is the same problem in terms of restrictions on terminals using the global network.
[0010]
In order to ensure security when connecting a terminal with a private address to the global network in this way, the global address that is statically or dynamically supported must be fixed when viewed from the communication partner. There is a problem that the number of limited global addresses is insufficient, and a solution has been demanded.
[0011]
In view of the above, an object of the present invention is to provide means for ensuring security when a terminal having a private address is connected to a global network for communication.
[0012]
[Means for Solving the Problems]
The above-described problem is solved by a medium and an apparatus that are configured as follows and record an inter-network communication security program for determining whether or not communication with an external network terminal is possible.
[0013]
FIG. 1 is a block diagram of the present invention.
[0014]
In the figure, reference numeral 1 is a terminal domain name storage means for storing a domain name for identifying a terminal for which communication is determined, and 2 is a DNS (Domain Names) based on the source IP (Internet Protocol) address of the received packet. System) Domain name inquiry means for inquiring the domain name of the transmission source terminal to the server, and 3 is used to search the domain name stored in the terminal domain name storage means based on the domain name obtained from the inquiry to determine whether communication is possible. It is a communication availability determination means.
[0015]
That is, in addition to the conventional technique for confirming whether or not communication is possible by comparing the transmission source IP address of a communication packet arriving at a gateway as a firewall at the entrance of the network with an IP address that is set in advance and stored, Even when it is not possible to determine whether communication is possible using the IP address, the domain name inquiry means 2 inquires the DNS of the transmission source network about the domain name of the transmission source terminal, recognizes the transmission source terminal based on the domain name, and determines whether communication is possible. The means 3 judges whether or not communication is possible by comparing with the domain name stored in the terminal domain name storage means 1 in advance.
[0016]
In particular, even if the source terminal is a network terminal managed with a private address and a global address, which is a unique address on the Internet, is dynamically allocated and transmitted, the above mechanism is used. Since the transmission source terminal is confirmed, it is possible to determine whether communication is possible.
[0017]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 2 shows a configuration diagram of an embodiment of the present invention.
[0018]
In the present embodiment, a form realized by a computer program executed on a computer used for general purposes such as a personal computer or a workstation is shown.
[0019]
The inter-network communication security device of the present invention is realized by executing a computer program on a computer including a processing device, a main storage device, an auxiliary storage device, an input / output device, and the like. The computer program is stored and provided in a portable medium such as a floppy disk or CD-ROM, or in a main storage device or auxiliary storage device of another computer connected to the network. The recording medium of the present invention corresponds to the portable medium, the main storage device, and the auxiliary storage device.
[0020]
The provided computer program is loaded directly from the portable medium into the main storage device of the computer, or once copied or installed from the portable medium to the auxiliary storage device, then loaded into the main storage device and executed. In addition, when the data is stored and provided in another device connected to the network, it is copied to the auxiliary storage device after being received from the other device via the network, and loaded into the main storage device for execution.
[0021]
Embodiments of the present invention relate to firewalls. In the firewall that controls whether communication from the external network to the internal network is possible, the terminal domain name is held as a criterion for determining whether communication is possible. When there is a communication request from the outside, the domain name of the source terminal is requested, and The domain name of the transmission source terminal is identified from the answer, and whether or not communication is possible is determined.
[0022]
In particular, in this embodiment, a terminal that manages its own network with its own private address communicates with a terminal of a network that is managed with another unique private address via the Internet that is managed with a global address. 1 shows a firewall that is a constituent network and determines whether communication with the local network is possible or not at an entrance of a terminating network.
[0023]
The network managed by each firewall shown here has a function of responding to a DNS request from the outside. Each terminal in the network is given a host name unique to the entire global network, that is, a domain name composed of a network domain name and a host name according to the DNS format.
[0024]
The configuration of FIG. 2 will be described. Network M and network N are networks to which private addresses are assigned, and are connected via networks to which global addresses are assigned. M-11, M-12 and N-11, N-12 are terminals to which private addresses of the respective networks are assigned. M-13, N-13 are inner DNS servers that perform name resolution inside the network, M -14 and N-14 are gateways having both a firewall and an address translation function for ensuring network security, and M-15 and N-15 return the global address of the internal terminal in response to an address resolution request from outside the network. And an external DNS server that resolves external global addresses for internal requests.
[0025]
In the embodiment of the present invention, in M-14 and N-14 which are firewalls for ensuring security, a domain name of a transmission source terminal is requested in response to a communication request to the own network, and an answer is given. An item that identifies and determines whether communication is possible or not is shown.
[0026]
The global network connection ports of the firewalls M-14 and N-14 and the so-called demilitarized zone (DMZ) connection ports are assigned a fixed global address, and the internal network connection ports are private addresses. Is granted.
[0027]
Global addresses are assigned to the outer DNS servers M-15 and N-15. Private addresses are assigned to the inner DNS servers M-13 and N-13, terminals M-11 and M-12, and N-11 and N-12.
[0028]
Each terminal M-11, M-12 and N-11, N-12 is registered with the address of the DNS server of the network to which they belong.
[0029]
In the inner DNS servers M-13 and N-13, the domain name of the own network and the global address of the outer DNS server are registered.
[0030]
The address translation unit of the gateways M-14 and N-14 translates the IP address in the same way as the configuration in the prior art, and further gives a global address corresponding to the internal private address to the external transmission request The firewall unit of the gateway has a function of checking a source domain name in addition to a conventional check function using a source IP address as a source terminal identification function.
[0031]
When communicating from the terminal N-11 managed by the private address of the network N shown in FIG. 2 to the terminal M-11 of the network M also managed by the private address via the Internet managed by the global address. The operation of ensuring communication security will be described together with the movement of the packet and the movement of the data in the table provided in the reception side firewall M-14.
[0032]
FIG. 3 is a block diagram of the table, where (a) shows a communication availability determination table (hereinafter referred to as table A) and (b) shows a domain name inquiry management table (hereinafter referred to as table B) both received. It is provided as a firewall function of the gateway M-14 of the side network M. A similar table is provided in each firewall, and is similarly used for managing communication and ensuring security.
[0033]
The table A is added to the implementation of the present invention separately from the table of the IP address of the partner terminal that enables the communication at the entrance of the network to which the packet is transmitted to prepare for securing security according to the prior art. The table is a table in which the domain name of the partner terminal that is allowed to communicate is stored in advance. When the IP address of the source terminal is found corresponding to each domain name, it is configured to store it. For example, as shown in FIG. 3A, the source terminal domain name “no.pqr.st” is in a communicable state, and the IP address of the source terminal is “130.1.1.1”. Is shown.
[0034]
Table B is used to confirm that a packet having an IP address of a transmitted packet is a reply packet when a packet that answers the inquiry is transmitted. The IP address being inquired is temporarily stored. As an example, “130.1.2.1”, “133.5.1.2”, etc. shown in FIG. 3B are currently inquiring the DNS server of the partner network for their respective domain names. It shows that it is in a state.
[0035]
The operation when starting communication from the terminal N-11 to the terminal M-11 will be described along the flow of the operation start flowchart shown in FIGS. The destination terminal is also managed by a private address, and the process starts by inputting the domain name of M-11. Steps S41 to S48 are processing normally performed, and show processing for obtaining the IP address of the counterpart terminal specified by the domain name.
[0036]
In step S41, based on the input domain name, the data transmission terminal N-11 inquires of the internal DNS server N-13 about the address of the transmission destination terminal M-11.
[0037]
In step S42, N-13 inquires of the external DNS server N-15 about the address of the destination terminal M-11.
[0038]
In step S43, N-15 transmits an address request packet to DNS server M-15 in the transmission destination domain.
[0039]
In step S44, M-14 determines that communication is possible with the IP address of N-15. In other words, as a security function of the gateway, security is also secured for an address request packet coming from an external network. Here, according to the conventional technique, the IP address of N-15 is separately held and confirmed based on it. . This can also be confirmed by the domain name in order to ensure security even when the IP address is not registered in advance, as will be described later.
[0040]
In step S45, the DNS server M-15 that has received the packet that has passed through instructs the gateway M-14 to assign a global address of M-11.
[0041]
In step S46, M-14 assigns a global address to M-11 and returns the address to M-15.
[0042]
In step S47, M-15 answers the address of M-11 to N-15, and in step S48, N-15 answers the address of M-11 to N-13.
[0043]
In this way, the source terminal N-11 can know the IP address of the destination partner terminal M-11. Thereafter, N-11 can send a packet to M-11 using this address. However, since each network ensures security for packets transmitted from the outside, the firewall must be checked even if the IP address is known and communication is started. The operation of the embodiment of the present invention in the firewall M-14 will be described with reference to the flowcharts of FIGS.
[0044]
In step S51, the data transmission terminal N-11 transmits a communication packet to M-11 using the address of the determined transmission destination terminal M-11.
[0045]
In step S52, first, the firewall M-14 of the network M determines whether or not communication with the address of the transmission source N-11 is possible using the conventional technique. If OK, the communication packet is immediately passed as shown in step S64 and subsequent steps.
[0046]
When the IP address for determining whether communication according to the prior art is not set, the process proceeds to step S53, and it is checked whether the IP address has been registered in Table A. That is, as will be described later, when the source IP address corresponding to the source domain name is found, it is stored in the table A. When this IP address is registered, the process goes to step S64. The forward firewall passes the communication packet.
[0047]
When the IP address is not registered in the table A, it is determined in step S54 by examining the address information stored in the table B whether or not the transmission source address of this packet is being investigated.
[0048]
If it is not the sender address under investigation, that is, if it is determined that the sender needs to be confirmed by examining the domain name, the fact that the sender address is under investigation is stored in table B in step S55. In step S56, a reverse lookup of the domain name is requested based on the source address, and the domain name of the source address is asked to wait for the answer in step S51.
[0049]
If the packet has the address under investigation in step S54, it is checked in step S57 whether the content is a reverse DNS resolution reply packet. If not, the packet is discarded as an error, and in step S51, the next packet is discarded. Wait for the packet.
[0050]
If it is a reverse DNS resolution reply packet, the corresponding transmission source address stored in the table B is cleared in step S61 to cancel the state under investigation.
[0051]
In step S62, since the domain name of the transmission source is known, it is checked whether it matches the domain name indicating the communicable terminal set and stored in the table A in advance. If there is no match, the packet is discarded in step S67 and the process ends.
[0052]
If a match is confirmed, the address of the source packet is stored in correspondence with the corresponding domain name in Table A in step S63. In this way, it is possible to perform a security check as to whether or not communication is possible by comparing the IP address stored in the table A with the source IP address of a packet received from another network.
[0053]
In step S64, if the security can be confirmed, the communication packet is passed and delivered to the destination terminal.
[0054]
Thereafter, each received packet is delivered to the destination terminal after ensuring security by the same processing as described above. Step S65 indicates that the communication is repeated until no communication is detected and communication is terminated.
[0055]
When the end of communication is confirmed, in step S66, the IP address of the partner terminal of the communication end stored in Table A is cleared. Further, although not shown in the flowchart, the firewall M-14 detects the end of communication, releases the assigned global address, and notifies the external domain name server M-15 of this.
[0056]
In the above description, the IP address set in the table when determining whether communication is possible or the domain name of the partner terminal is stored so that communication is permitted. You may determine whether it is possible.
[0057]
In addition, as for the packet of the address resolution request from the outward DNS server provided in the other network, the communication was confirmed by checking the registered IP address according to the prior art. Confirmation may be used.
[0058]
Furthermore, although the above description is based on the assumption that both the local network and the partner network are managed using private addresses, both of them function in the same way even if they are network terminals with global addresses. It is.
[0059]
By using the mechanism as described above, free connection between companies can be realized while securing each secure network operation. For example, if a company that conducts monitoring services for multiple corporate networks communicates with a terminal belonging to another company's network, such as remote maintenance, if a firewall restricts communications from external networks, the domain name Terminals that are allowed to communicate by registering the password must pass through the firewall equipped with the function of the present invention even if they communicate with the global address assigned from the monitoring service company network managed by the private address from time to time. Can do. Similarly, even when each company's own network is constructed, it is effective as a means by which various business transactions between companies can be freely constructed while ensuring security.
[0060]
【The invention's effect】
As is clear from the above description, according to the present invention, by recognizing the source terminal by its domain name, the terminal managed by the private address is dynamically changed at the start of communication in order to solve the shortage of global addresses. Even when a global address is assigned, security can be ensured by determining whether communication is possible. Therefore, it is possible to configure a free network by connecting each network constructed by each company via the Internet, and a safe and convenient network society. Industrial and economic effects can be obtained.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of the present invention. FIG. 2 is a configuration diagram of an embodiment of the present invention. FIG. 3 is a table configuration diagram. FIG.
FIG. 5 is an operation flowchart for communication start (part 2).
FIG. 6 is an operation flowchart of communication start (part 3).
[Explanation of symbols]
1 Terminal domain name storage means 2 Domain name inquiry means 3 Communication availability determination means

Claims (3)

外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティプログラムを記録した媒体であって、コンピュータを、
通信の可否を判断する対象の端末を識別するドメインネームおよび対応するIPアドレスを記憶する端末ドメインネーム記憶手段、
受信したパケットの送信元IPアドレスにより上記端末ドメインネーム記憶手段に記憶された送信元IPアドレスを検索して一致するものが見つからなかったときにはDNSサーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段、
問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して一致するものが見つかったときには該端末ドメインネームに対応させて上記問い合わせた送信元IPアドレスを記憶させ、上記端末ドメインネーム記憶手段に送信元IPアドレスあるいは送信元端末のドメインネームのいずれかに一致するものが見つかったか否かに基づき通信の可否を判断する通信可否判断手段、
として機能させるためのネットワーク間通信セキュリティプログラムを記録したコンピュータ読み取り可能な記録媒体。A medium in which an inter-network communication security program for determining whether or not communication with an external network terminal is possible, comprising:
A terminal domain name storage means for storing a domain name for identifying a target terminal for judging whether communication is possible and a corresponding IP address ;
Domain name inquiry means for querying the DNS server for the domain name of the transmission source terminal when a search is made for the transmission source IP address stored in the terminal domain name storage means based on the transmission source IP address of the received packet. ,
When the domain name stored in the terminal domain name storage means is searched by the domain name obtained by the inquiry and a match is found, the inquired source IP address is stored in correspondence with the terminal domain name, Communication enable / disable determining means for determining whether or not communication is possible based on whether or not a terminal IP address or a domain name of the sender terminal is found in the terminal domain name storage means;
A computer-readable recording medium in which an inter-network communication security program for functioning as a computer is recorded. 上記受信したパケットは、プライベートアドレスで管理されたネットワークの端末が動的に割り当てられたグローバルアドレスを送信元IPアドレスとして送信したパケットであることを特徴とする請求項1記載のネットワーク間通信セキュリティプログラムを記録したコンピュータ読み取り可能な記録媒体。  2. The inter-network communication security program according to claim 1, wherein the received packet is a packet transmitted from a terminal of a network managed by a private address using a global address dynamically assigned as a source IP address. A computer-readable recording medium on which is recorded. 外部ネットワーク端末との通信の可否を判断するネットワーク間通信セキュリティ装置であって、
通信の可否を判断する対象の端末を識別するドメインネームおよび対応するIPアドレスを記憶する端末ドメインネーム記憶手段と、
受信したパケットの送信元IPアドレスにより上記端末ドメインネーム記憶手段に記憶された送信元IPアドレスを検索して一致するものが見つからなかったときにはDNSサーバに送信元端末のドメインネームを問い合わせるドメインネーム問い合わせ手段と、
問い合わせて得られたドメインネームにより端末ドメインネーム記憶手段に記憶されたドメインネームを検索して一致するものが見つかったときには該端末ドメインネームに対応させて上記問い合わせた送信元IPアドレスを記憶させ、上記端末ドメインネーム記憶手段に送信元IPアドレスあるいは送信元端末のドメインネームのいずれかに一致するものが見つかったか否かに基づき通信の可否を判断する通信可否判断手段と、
を備えることを特徴とするネットワーク間通信セキュリティ装置。An inter-network communication security device that determines whether communication with an external network terminal is possible,
A terminal domain name storage means for storing a domain name for identifying a target terminal for judging whether communication is possible and a corresponding IP address ;
Domain name inquiry means for querying the DNS server for the domain name of the transmission source terminal when a search is made for the transmission source IP address stored in the terminal domain name storage means based on the transmission source IP address of the received packet. When,
When the domain name stored in the terminal domain name storage means is searched by the domain name obtained by the inquiry and a match is found, the inquired source IP address is stored in correspondence with the terminal domain name, Communication enable / disable determining means for determining whether or not communication is possible based on whether or not a terminal IP address or a domain name of the sender terminal is found in the terminal domain name storage means ;
An inter-network communication security device comprising:
JP2000258157A 2000-08-28 2000-08-28 Medium and apparatus for recording inter-network communication security program Expired - Fee Related JP3758482B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000258157A JP3758482B2 (en) 2000-08-28 2000-08-28 Medium and apparatus for recording inter-network communication security program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000258157A JP3758482B2 (en) 2000-08-28 2000-08-28 Medium and apparatus for recording inter-network communication security program

Publications (2)

Publication Number Publication Date
JP2002077252A JP2002077252A (en) 2002-03-15
JP3758482B2 true JP3758482B2 (en) 2006-03-22

Family

ID=18746509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000258157A Expired - Fee Related JP3758482B2 (en) 2000-08-28 2000-08-28 Medium and apparatus for recording inter-network communication security program

Country Status (1)

Country Link
JP (1) JP3758482B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4986266B2 (en) * 2008-01-31 2012-07-25 日本電気株式会社 Terminal with communication restriction function, method and program thereof
WO2014000303A1 (en) 2012-06-30 2014-01-03 华为技术有限公司 Method for receiving message, and deep packet inspection device and system
JP6122168B1 (en) * 2016-03-08 2017-04-26 西日本電信電話株式会社 Communication system, server, communication device, and firmware setting changing method
WO2024237347A1 (en) * 2023-05-18 2024-11-21 株式会社サイバー・ソリューションズ Unauthorized access detection system

Also Published As

Publication number Publication date
JP2002077252A (en) 2002-03-15

Similar Documents

Publication Publication Date Title
US8769661B2 (en) Virtual private network node information processing method, relevant device and system
JP4045936B2 (en) Address translation device
US7830878B2 (en) Virtual network connection system, virtual network connection apparatus, and computer-readable medium
CN101465856B (en) Method and system for controlling user access
US6813715B2 (en) Method for accessing home-network using home-gateway and home-portal server and apparatus thereof
EP2380309B1 (en) Remote access to private network resources from outside the network
US20060056420A1 (en) Communication apparatus selecting a source address
CA2672642C (en) Remote roaming controlling system, visitor based network server, and method of controlling remote roaming of user devices
JPH10247946A (en) Network connection method and method and name server
JP4077351B2 (en) Name / address converter
JP3006504B2 (en) Authentication method of wireless terminal in wireless network and wireless network
CN101119274A (en) Method for improving treatment efficiency of SSL gateway and SSL gateway
US7522617B2 (en) Inter-node connection method and apparatus
JP2003289340A (en) Identifier inquiry method, communication terminal and network system
CN102055816A (en) Communication method, business server, intermediate equipment, terminal and communication system
US6477577B1 (en) Network connection system and connection substitute correspondence client
US20020199015A1 (en) Communications system managing server, routing server, mobile unit managing server, and area managing server
CN101321128A (en) Communication device, communication network system and communication method
JP2005295217A (en) Communication device, name resolution method and program
JP3612049B2 (en) How to use a unique internet protocol address in a private internet protocol address domain
US8102762B2 (en) Communication control system and communication control method
JP3758482B2 (en) Medium and apparatus for recording inter-network communication security program
JP2013171371A (en) Packet filtering method and device
KR102307030B1 (en) Internet of Things Communication System with Packet Safety Verification
JP3509848B2 (en) Communication control device and recording medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050905

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051226

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100113

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120113

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees