ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム
【課題】ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにポリシ情報を表示する方法、管理装置及びプログラムを提供する。
【解決手段】ファイアウォール装置に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示する。ポリシ識別子、送信元/宛先アドレス範囲、ポート番号範囲及びアクションを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。次に、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する。次に、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示し、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する。
【解決手段】ファイアウォール装置に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示する。ポリシ識別子、送信元/宛先アドレス範囲、ポート番号範囲及びアクションを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。次に、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する。次に、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示し、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラムに関する。
【背景技術】
【0002】
ファイアウォール(Firewall)装置は、管理対象ネットワークと外部ネットワークとの接続点に設置されるルータの一種である。ファイアウォール装置は、管理対象ネットワークの安全性を高めるために、組織毎のトラヒック疎通方針(セキュリティ・ポリシ、以下「ポリシ情報」という)に基づいて必要なパケットのみを通過させ、危険なパケットを阻止する。従って、ファイアウォール装置の構成情報(ルール情報)は、そのポリシ情報に基づいて適切に設定される必要がある。尚、ファイアウォール装置は、管理対象ネットワーク内のセグメントネットワーク同士の間(例えば部署Aのイントラネットと部署Bのイントラネットとの間)に配置されるものであってもよい。
【0003】
一般に、ネットワーク管理者は、各部署(例えば各イントラネットの管理者)から、「オーダシート」を受け取る。ネットワーク管理者は、それらオーダシートと基本方針とに基づいて、「ポリシ情報」を作成する。ポリシ情報は、複数の「ポリシ要素」の順列によって構成される。ファイアウォール管理装置は、そのポリシ情報に基づいて、ファイアウォール装置毎に「ルール情報」を作成する。ルール情報も、複数の「ルール要素」の順列によって構成される。そして、ファイアウォール管理装置は、ファイアウォール装置毎に、ルール情報を送信する。
【0004】
ファイアウォール装置は、外部ネットワーク(又は他のセグメントネットワーク)から受信したパケットが、いずれのルール要素に該当するか照合する。そして、該当するルール要素に記述されるアクションに基づいて、そのパケットの転送可否が決定される。ファイアウォール装置は、パケット毎の疎通結果を、「アクセスログ」として記録する。「アクセスログ」とは、どのパケットに対し、どのルール要素によって、どのアクションを採ったかの表す記録である。
【0005】
ファイアウォール装置のパケット転送性能は、ルール要素の数や評価順序に密接に関係する。ルール要素の数については、同一の送信元/宛先アドレス及びポート番号に対して、複数のルール要素が冗長的に設定されている場合がある。また、評価順序については、アクセスされないルール要素が上位順序で評価される場合もある。従って、ファイアウォール装置のルール情報について、不要ルール要素の整理が必要となる。
【0006】
例えば、ファイアウォール装置におけるパケット転送性能を高めるために、以下の2つの方法でルール情報を整理することができる。
【0007】
第1に、ルール情報内のルール要素の数を少なくし、受信したパケットに対するルール要素の照合回数を全体的に少なくする。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数0(又は0に近い)のルール要素を不要として削除する技術がある(例えば特許文献1参照)。
【0008】
第2に、受信される複数のパケットについて、ルール情報の中で「適合」しやすいルール要素を上位に並べ、照合回数を全体的に少なくする。これによって、ファイアウォール装置におけるパケット転送性能を上げる。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数が多いルール要素ほど、上位の順列に移動させる技術がある(例えば特許文献2参照)。
【0009】
また、ネットワーク管理者に対して、ルール評価順序の変更案を自動的に提示する技術もある(例えば非特許文献1参照)。この技術によれば、アクセスログを解析し、カウント数が少ないルール要素を下位へ、カウント数が多いルール要素を上位へ、並べ替えることができる。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】US7,016,980B1
【特許文献2】特許第3568850号公報
【非特許文献】
【0011】
【非特許文献1】株式会社クレディスト、「AlgoSecファイアウォールアナライザー」、[online]、[平成21年9月15日検索]、インターネット<URL:http://www.credist.co.jp/product/algosec.html>
【発明の概要】
【発明が解決しようとする課題】
【0012】
特定のアプリケーションやホスト又はルータが除去された場合、ネットワークとして、そのトラヒックの開放を意味するポリシ要素が、不要となることもある。この場合、その不要ポリシ要素に対応するルール要素も、不要ルール要素となり、ファイアウォール装置の中で全く適合しない。このような不要ルール要素を放置することは、セキュリティホールに繋がる。
【0013】
また、非特許文献1に記載された技術によれば、オーダシートに基づいて設定されたポリシ要素と、そのポリシ要素を実現するルール要素とが、紐付けされていない。具体的には、オーダシートの情報を、データとして保持していない。また、オーダシートと、ポリシ要素やルール要素との紐付け情報を保持していないために、それらを更新することもできない。
【0014】
そのため、ネットワーク管理者が、アクセスログに基づいて不要ルール要素を削除しようとした場合、そのルール要素に関連するポリシ要素は不明である。即ち、削除しようとする不要ルール要素に関連するオーダシートも不明である。結局、ネットワーク管理者は、ルール要素内のアドレスの項目等に基づいて、関連するオーダシートを、人手によって検索する必要がある。
【0015】
ルール要素と、ポリシ要素と、オーダシートとの対応関係の管理は、必ずしも容易ではない。これは、ルール要素とポリシ要素とが、必ずしも1対1関係に対応付けられないことに基づく。例えば、複数のファイアウォール装置を含むネットワークであっても、ネットワーク管理者の視点からの管理を容易にするために、1つのポリシ情報によって管理される場合がある。この場合、1つのポリシ要素が、複数のファイアウォール装置の複数のルール要素に対応付けられる。
【0016】
また、特許文献1及び特許文献2に記載された技術のように、ファイアウォール装置毎にそのルール情報を整理することによって、複数のポリシ要素が1つのルール要素で実現されているといった状態も生じ得る。
【0017】
ネットワーク管理者は、アクセスログに基づいて不要ルール要素を検出し、その不要ルール要素に対応する1つ又は複数のポリシ要素を検出しなければならない。次に、ネットワーク管理者は、そのポリシ要素に関係する1つ又は複数のファイアウォール装置のルール要素を検出しなければならない。1つのポリシ要素の削除は、他のファイアウォール装置のルール要素に対するパケットの通過に影響を与えるからである。
【0018】
ネットワークが大規模になるほど、各ファイアウォール装置によって保持されるルール要素の数は、数千個単位になる場合もある。この場合、不要ルール要素の検出と、その不要ルール要素に基づくポリシ要素の検出とは、容易ではない。更に、ポリシ情報におけるポリシ要素の削除及び移動は、ネットワーク全体のポリシ情報に違反する場合もある。特に、ポリシ要素の移動は、ポリシ要素間の干渉関係の変化を伴うため、不要ポリシ要素の削除の判断を誤らせる可能性がある。
【0019】
そこで、本発明は、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにポリシ情報を表示する方法、管理装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0020】
本発明によれば、ファイアウォール装置に対するルール情報を編集し生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とする方法であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有することを特徴とする。
【0021】
本発明のポリシ情報表示方法における他の実施形態によれば、第3のステップは、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することも好ましい。
【0022】
本発明のポリシ情報表示方法における他の実施形態によれば、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることも好ましい。
【0023】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることも好ましい。
【0024】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0025】
本発明のポリシ情報表示方法における他の実施形態によれば、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することも好ましい。
【0026】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、ポリシ情報のポリシ要素のポリシ識別子は、オーダシートのオーダ識別子に対応付けられていることも好ましい。
【0027】
本発明のポリシ情報表示方法における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを有し、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更されることも好ましい。
【0028】
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有することを特徴とする。
【0029】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することも好ましい。
【0030】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することも好ましい。
【0031】
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
干渉関係検出手段及び表示制御手段は、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることも好ましい。
【0032】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0033】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ルールとして検討させるために、当該ポリシ要素を強調的に表示することも好ましい。
【0034】
本発明のファイアウォール管理装置における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、表示制御手段は、ポリシ情報のポリシ要素のポリシ識別子を、オーダシートのオーダ識別子に対応付けることも好ましい。
【0035】
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを記憶する経路情報記憶手段と、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することも好ましい。
【0036】
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムであって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させることを特徴とする。
【発明の効果】
【0037】
本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。
【図面の簡単な説明】
【0038】
【図1】ファイアウォール装置及びファイアウォール管理装置を有するシステム構成図である。
【図2】オーダシートが入力されたファイアウォール管理装置のフローチャートである。
【図3】ポリシ要素間の干渉関係タイプを表す説明図である。
【図4】本発明における第1のポリシ情報の表示イメージである。
【図5】ポリシ要素に対して順序が変更された際におけるファイアウォール管理装置のフローチャートである。
【図6】本発明における第2のポリシ情報の表示イメージである。
【図7】ポリシ要素の干渉関係の計算を表す説明図である。
【図8】本発明におけるファイアウォール管理装置の機能構成図である。
【発明を実施するための形態】
【0039】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。
【0040】
図1は、ファイアウォール装置及びファイアウォール管理装置を有するシステム構成図である。
【0041】
図1によれば、管理対象ネットワーク(イントラネット4)と、外部ネットワーク(インターネット5又は他企業のネットワーク6)との間に、ファイアウォール装置2及びルータ3が接続されている。ファイアウォール装置2は、管理対象ネットワークに対するポリシ情報に基づいたルール情報を保持する。尚、ファイアウォール装置2は、ファイアウォールとして独立した装置であってもよいし、アクセスコントロールリストに基づくパケット転送制御機能を有する汎用のルータであってもよい。また、ファイアウォール・ソフトウェアを搭載した汎用の計算機であってもよい。
【0042】
図1のような大規模ネットワークの場合、多数のファイアウォール装置2が配置される。このような場合、その膨大なルール情報を一元管理するファイアウォール管理装置1を配置することが好ましい。ファイアウォール管理装置1は、各ファイアウォール装置2に保持されるルール情報を設定管理する。ファイアウォール管理装置1は、複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定する。
【0043】
ファイアウォール管理装置1には、ネットワーク管理者によってオーダシートが電子帳票として入力される。図1によれば、例えば、部署Aから、「他の部署Bへのアプリケーションhttpのトラヒックについて、TCPポート21を開放してほしい」というオーダシートが入力されている。
【0044】
図1のポリシ情報によれば、部署A[140.192.37.0/8]から部署B[161.120.33.0/24]への[http]のパケットについて、[allow]が設定されている。例えば、送信元アドレス(SrcIP)"140.192.37.0/8"は、ビット列のネットマスクが8ビットであり、IPアドレス範囲を意味する。また、図1によれば、部署Aから部署Bへの経路に、2つのファイアウォール装置2が含まれている。従って、両方のファイアウォール装置2に対して、そのポリシ要素に基づくルール要素を設定しなければならない。
【0045】
図2は、オーダシートが入力されたファイアウォール管理装置のフローチャートである。
【0046】
図2によれば、オーダシートは、以下のオーダ要素を含む。
・オーダID(IDentifier)(オーダに応じた一意な識別番号)
・送信元アドレス(SrcIP) 「ホスト・グループ」
・宛先アドレス(DstIP) 「ホスト・グループ」
・送信元ポート番号(SrcPort) 「サービス・グループ」
・宛先ポート番号(DstPort) 「サービス・グループ」
・プロトコル(Proto) 「サービス・グループ」
・アクション(Action) 転送許可(allow)又は転送禁止(deny)
【0047】
「ホスト・グループ」として、送信元アドレス(SrcIP)及び宛先アドレス(DstIP)は、特定のIPアドレスであってもよいし、一定のIPアドレス範囲であってもよい。「サービス・グループ」として、送信元ポート番号(SrcPort)と、宛先ポート番号(DstPort)と、プロトコル(Proto)とがある。プロトコルは、例えばtcp(transport control protocol)又はudp(user datagram protocol)である。
【0048】
ポリシ情報のポリシ要素も、オーダシートと同様の構成要素を有する。従って、「ポリシID」「送信元アドレス」「宛先アドレス」「送信元ポート番号」「宛先ポート番号」「プロトコル」「アクション」を有する。ポリシIDは、オーダIDと同一であることが好ましい。
【0049】
(S21)ファイアウォール管理装置1は、最初に、ポリシ情報記憶部に対して、オーダシートO(k)のポリシ要素P(k)を、適切な評価順序に挿入する。ネットワーク管理者によって配置されるポリシ要素の評価順序によって、干渉関係が変化する。
(S22)ファイアウォール管理装置1は、ポリシ情報記憶部から、ポリシ要素P(k)と干渉関係(conflict)にあるポリシ要素P(i)を検出する。「干渉関係(conflict)」とは、オーダシートO(j)とポリシ要素P(i)とが、プロトコル、IPアドレス及びポート番号が、互いに共通部分を持つ、即ち互いに素でない関係をいう。
(S23)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシID(識別子)と、その干渉関係タイプとを表示する。
(S24)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。ルール情報RL(j)は、複数のルール要素を照合順に並べたものである。
(S25)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
【0050】
図3は、ポリシ要素間の干渉関係タイプを表す説明図である。
【0051】
図3によれば、7つの干渉関係タイプが表されている。「干渉関係(conflict)」とは、2つのポリシ要素におけるIPアドレス、ポート番号及びプロトコルが、互いに共通部分を持つ、即ち互いに素(disjoint)でない関係をいう。具体的には、2つのポリシ要素が、以下の全ての条件を満たす関係にあることをいう。
・送信元アドレス(SrcIP)が、共通部分を持つ。
宛先アドレス(DstIP)が、共通部分を持つ。
・送信元ポート番号(SrcPort)が、共通部分を持つ。
・宛先ポート番号(DstPort)が、共通部分を持つ。
・プロトコル(Proto)が、同一である。
【0052】
図3(a)は、第1のタイプ(redundancy)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する。この場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となる。
【0053】
図3(b)は、第2のタイプ(shadowing1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲から見て、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲から見て、上位ポリシ要素fの範囲でdenyとなる。
【0054】
図3(c)は、第3のタイプ(shadowing2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
【0055】
図3(d)は、第4のタイプ(generalization1)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素g:deny
下位ポリシ要素f:allow
※下位ポリシ要素fの範囲から見て、上位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素g:allow
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。
【0056】
図3(e)は、第5のタイプ(generalization2)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素fのアクションが、上位ポリシ要素gのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素g:allow
下位ポリシ要素f:allow
※上位ポリシ要素fは、下位ポリシ要素gによって実現され、不要ポリシ要素と
判定される。上位ポリシ要素fの実現IDは、下位ポリシ要素gを指示する。
(2)上位ポリシ要素g:deny
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。上位ポリシ要素gの実現IDは、下位ポリシ要素fを指示する。
【0057】
例えば、[generalization2]の場合、下位ポリシ要素gでヒットすべきパケットが、上位ポリシ要素fにおけるヒットに見える恐れがある。下位ポリシ要素gのログカウントが0になっているからといって、ネットワーク管理者が、下位ポリシ要素gを削除することは、誤判断となる可能性がある。
【0058】
図3(f)は、第6のタイプ(correlation1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲の一部が、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲の一部が、上位ポリシ要素fの範囲でdenyとなる。
【0059】
図3(g)は、第7のタイプ(correlation2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、allowとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、denyとなる。
【0060】
図4は、本発明における第1のポリシ情報の表示イメージである。
【0061】
図4によれば、ポリシ情報の各ポリシ要素が、順列に並べて表示されている。ここで、ポリシ要素P(4)とポリシ要素P(5)について注目する。
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"は、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"に含まれる。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(4)と下位のポリシ要素P(5)とは、「generalization2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
【0062】
また、ポリシ要素毎に、「実現ポリシID」「ログカウント」「順序変更アイコン」が表示される。「実現ポリシID」は、当該ポリシ要素のアクションが、実際に実現されている他のポリシ要素のポリシIDである。図4によれば、上位のポリシ要素P(4)のアクションは、実際にそのポリシ要素P(4)によって実現される。また、下位のポリシ要素P(5)のアクションは、その一部がポリシ要素P(4)によって実現されるけれども、全体としては実際にそのポリシ要素P(5)によって実現される。
【0063】
「ログカウント」は、ファイアウォール装置から受信したルール要素毎の「アクセスログ」を集計したものである。ログカウントによって、そのポリシ要素によって照合されたパケット数を知ることができる。
【0064】
図4によれば、ポリシ要素P(5)のログカウントは、0となっている。しかしながら、ポリシ要素P(5)は、ポリシ要素P(4)と「generalization2」の干渉関係にあるために、ポリシ要素P(5)にヒットすべきアクセスログが、ポリシ要素P(4)のログカウントに加算されている可能性がある。この場合、ネットワーク管理者が、「ログカウントが0であるポリシ要素P(5)を、不要ポリシ要素として削除する」との判断は、誤っている可能性がある。
【0065】
このとき、本発明によれば、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する。図4によれば、ポリシ要素P(5)が強調的に表示される。
【0066】
「順序変更アイコン」は、そのポリシ要素を、1つ上位へ又は1つ下位へ移動させるために、ネットワーク管理者によって操作されるアイコンである。勿論、アイコンでなくても、操作可能なオブジェクトであってもよい。図4によれば、ネットワーク管理者は、不要ポリシ要素として検討すべきポリシ要素P(5)を、ポリシ要素P(4)と評価順序を入れ替えている。
【0067】
尚、ポリシ情報は、ルール情報と同様に「オーダ・センシティブ」である。即ち、ファイアウォール装置のルール情報におけるルール要素の評価順序は、ポリシ情報のポリシ要素の順序に基づく。受信されたパケット毎に、ルール情報内に記述された先頭のルール要素から順次、末尾のルール要素へ、「適合(ヒット)」/「不適合」を照合していく。そして、最初に「適合」したルール要素のアクションが実行される。それ以降のルール要素については、照合されることなく(無視され)、処理を終了する。そのために、通常、ルール情報の末尾に記述されたルール要素には、あらゆるパケットに適合するべく、デフォルト・アクションが記述される。
【0068】
図5は、ポリシ要素に対して順序が変更された際におけるファイアウォール管理装置のフローチャートである。
【0069】
ネットワーク管理者の操作によって、干渉関係にある第1のポリシ要素と第2のポリシ要素との順序が変更された場合、ポリシの内容が変更される場合がある。
(S51)ファイアウォール管理装置1は、ネットワーク管理者の操作に応じて、ポリシ情報記憶部に対して、第1のポリシ要素と第2のポリシ要素との評価順序を入れ替える。
(S52)ファイアウォール管理装置1は、ポリシ情報記憶部から、第1のポリシ要素と第2のポリシ要素との干渉関係を検出する。図3に基づくいずれか1つの干渉関係タイプを検出する。
(S53)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシIDと、その干渉関係タイプとを表示する。
(S54)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。
(S55)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
【0070】
図6は、本発明における第2のポリシ情報の表示イメージである。
【0071】
図6によれば、ポリシ要素P(5)とP(4)とが入れ替わっている。このとき、干渉関係タイプも変更される。
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"は、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"を含む。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(5)と下位のポリシ要素P(4)とは、「shadowing2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
【0072】
また、図6によれば、上位のポリシ要素P(5)のアクションは、実際にそのポリシ要素P(5)によって実現される。また、下位のポリシ要素P(4)のアクションは、実際にポリシ要素P(5)によって実現される。従って、下位のポリシ要素P(4)の「実現ポリシID」は、ポリシID5となる。
【0073】
その後、ポリシ要素毎のログカウントを、再度、カウントする。例えば、図6のように、ポリシ要素P(4)について、実現ポリシID5であって且つログカウントが0であれば、そのポリシ要素P(4)は、不要ポリシ要素として削除することができる。
【0074】
図7は、ポリシ要素の干渉関係の計算を表す説明図である。
【0075】
図7によれば、ポリシ要素の干渉関係は、「プロトコル」「送信元アドレス」「送信元ポート番号」「宛先アドレス」「宛先ポート番号」を順にノードに展開したツリーによって表される。同じ値のノードの下には、子ノードが生成される。
【0076】
図7のツリーは、ポリシ要素P(1)から順に展開されている。展開済みのノードと比較し、差分箇所がある場合に、新たな部分ツリーへ分岐される。例えば、ポリシ要素P(1)及びP(2)は、宛先ポート番号が異なるのみであるので、宛先ポート番号が443のノードで分岐される。また、ポリシ要素P(2)及びP(3)は、宛先アドレスが異なるので、宛先アドレス192.168.1.0/24のノードで分岐される。更に、ポリシ要素P(3)及びP(4)は、送信元アドレスが異なるので、送信元アドレス192.168.3.0/24で分岐される。
【0077】
ここで、ツリーを展開する際、ポリシ要素間の干渉関係が検出される。例えば、ポリシ要素P(5)を展開する際に、ポリシ要素P(5)の宛先アドレス[192.168.0.0/16]とポリシ要素P(1)の宛先アドレス[192.168.0.0/24]とを比較する。下位の宛先アドレス[192.168.0.0/16]は、上位の宛先アドレス[192.168.0.0/24]を包含する。従って、ポリシ要素P(1)及びP(5)は、generalizationの関係になる。また、ポリシ要素P(5)のアクション[deny]と、ポリシ要素P(1)のアクション[allow]とは相違するため、を比較する。ポリシ要素P(1)及びP(5)は、generalization1の関係になる。
【0078】
図8は、本発明におけるファイアウォール管理装置の機能構成図である。
【0079】
図8によれば、ファイアウォール管理装置1は、ディスプレイ部101と、オペレータ操作部102と、オーダシート入力部103と、通信インタフェース部104とを有する。ファイアウォール管理装置1は、ファイアウォール装置2に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイ部101に、ポリシ情報を表示する。オペレータ操作部102は、ネットワーク管理者によって操作可能であって、ポリシ情報のポリシ要素の評価順序が変更される。オーダシート入力部103は、電子帳票としてのオーダシートを入力する。オーダシート入力部103は、光学スキャナによる読み取りであってもよいし、Webサーバを用いたフォームの入力であってもよいし、テキストファイルやCSV(Comma Separated Values)形式ファイルのアップロードであってもよい。通信インタフェース部104は、ファイアウォール装置2と、ネットワーク又はシリアルケーブルを介して通信する。
【0080】
また、図8によれば、ファイアウォール管理装置1は、ポリシ情報記憶部110と、干渉関係検出部111と、表示制御部112と、経路情報記憶部113と、ルール情報生成部114と、ルール情報記憶部115とを有する。これら機能構成部は、ファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
【0081】
ポリシ情報記憶部110は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。ポリシ情報記憶部110は、オーダシート入力部103からオーダシートを入力し、そのオーダシートをポリシ要素P(i)に対応付けて記憶する。
【0082】
干渉関係検出部111は、ポリシ情報記憶部110を用いて、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する。
【0083】
表示制御部112は、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシIDとを表示する。また、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシIDとを表示する。表示制御部112は、ポリシ要素のポリシIDを、オーダシートのオーダIDに対応付ける。
【0084】
また、表示制御部112は、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースを表示する。ネットワーク管理者は、その操作インタフェースを認識しながら、オペレータ操作部102を操作する。オペレータ操作部102を介したネットワーク管理者の操作に基づいて、干渉関係検出部111が実行される。具体的には、当該ポリシ要素の評価順序が変更された際に、干渉関係検出部111が実行される。
【0085】
更に、表示制御部112は、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシIDを表示する。具体的には、「実現ポリシID」として表示される。
【0086】
更に、表示制御部112は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示する。ネットワーク管理者は、アクセスログのカウント数が所定閾値以下となるポリシ要素について、不要ルールとして検討することができる。また、このようなポリシ要素を強調的に表示することによって、ネットワーク管理者の視覚に訴えることができる。
【0087】
尚、表示制御部112は、ルール要素毎に、当該ルール要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0088】
経路情報記憶部113は、ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する。尚、経路情報記憶部113は、ファイアウォール装置2及びルータ3から構成情報を収集し、これら構成情報から経路情報を自動的に推定するものであってもよい。
【0089】
ルール情報生成部114は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更する。ポリシ情報から、ファイアウォール装置毎のルール情報を生成する技術は、既存技術である。
【0090】
ルール情報記憶部115は、ファイアウォール装置j毎のルール情報RL(j)を記憶する。ルール情報記憶部115は、通信インタフェース部104を介して、各ファイアウォール装置jへルール情報RL(j)を送信する。又は、ファイアウォール管理装置における、ネットワーク管理者によって閲覧可能なディスプレイに、ルール情報RL(j)を表示させるものであってもよい。ネットワーク管理者は、ルール情報RL(j)を参照しながら、ファイアウォール装置の管理コンソールに直接的に手動で入力することもできる。
【0091】
以上、詳細に説明したように、本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。
【0092】
特に、本発明によれば、オーダシートとポリシ要素とが対応付けられると共に、ネットワーク管理者は、ポリシ情報のみの整理によって、複数のファイアウォール装置に保持されるルール情報を整理することができる。アクセスされていないポリシ要素について、オーダシートを依頼した管理者への確認・照会が容易となる。また、ファイアウォール装置の不要ルール要素の削除及び順序移動をする際に、不要ルール要素の誤判断を防止することができる。本発明によれば、ICT(Information Communication Technologies)ソリューション事業(例えばデータセンタ)におけるファイアウォール管理ソリューションに要する工数・コストを削減することができる。
【0093】
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
【符号の説明】
【0094】
1 ファイアウォール管理装置
101 ディスプレイ部
102 オペレータ操作部
103 オーダシート入力部
104 通信インタフェース部
110 ポリシ情報記憶部
111 干渉関係検出部
112 表示制御部
113 経路情報記憶部
114 ルール情報生成部
115 ルール情報記憶部
2 ファイアウォール装置
3 ルータ
4 イントラネット
5 インターネット
6 他の企業のネットワーク
【技術分野】
【0001】
本発明は、ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラムに関する。
【背景技術】
【0002】
ファイアウォール(Firewall)装置は、管理対象ネットワークと外部ネットワークとの接続点に設置されるルータの一種である。ファイアウォール装置は、管理対象ネットワークの安全性を高めるために、組織毎のトラヒック疎通方針(セキュリティ・ポリシ、以下「ポリシ情報」という)に基づいて必要なパケットのみを通過させ、危険なパケットを阻止する。従って、ファイアウォール装置の構成情報(ルール情報)は、そのポリシ情報に基づいて適切に設定される必要がある。尚、ファイアウォール装置は、管理対象ネットワーク内のセグメントネットワーク同士の間(例えば部署Aのイントラネットと部署Bのイントラネットとの間)に配置されるものであってもよい。
【0003】
一般に、ネットワーク管理者は、各部署(例えば各イントラネットの管理者)から、「オーダシート」を受け取る。ネットワーク管理者は、それらオーダシートと基本方針とに基づいて、「ポリシ情報」を作成する。ポリシ情報は、複数の「ポリシ要素」の順列によって構成される。ファイアウォール管理装置は、そのポリシ情報に基づいて、ファイアウォール装置毎に「ルール情報」を作成する。ルール情報も、複数の「ルール要素」の順列によって構成される。そして、ファイアウォール管理装置は、ファイアウォール装置毎に、ルール情報を送信する。
【0004】
ファイアウォール装置は、外部ネットワーク(又は他のセグメントネットワーク)から受信したパケットが、いずれのルール要素に該当するか照合する。そして、該当するルール要素に記述されるアクションに基づいて、そのパケットの転送可否が決定される。ファイアウォール装置は、パケット毎の疎通結果を、「アクセスログ」として記録する。「アクセスログ」とは、どのパケットに対し、どのルール要素によって、どのアクションを採ったかの表す記録である。
【0005】
ファイアウォール装置のパケット転送性能は、ルール要素の数や評価順序に密接に関係する。ルール要素の数については、同一の送信元/宛先アドレス及びポート番号に対して、複数のルール要素が冗長的に設定されている場合がある。また、評価順序については、アクセスされないルール要素が上位順序で評価される場合もある。従って、ファイアウォール装置のルール情報について、不要ルール要素の整理が必要となる。
【0006】
例えば、ファイアウォール装置におけるパケット転送性能を高めるために、以下の2つの方法でルール情報を整理することができる。
【0007】
第1に、ルール情報内のルール要素の数を少なくし、受信したパケットに対するルール要素の照合回数を全体的に少なくする。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数0(又は0に近い)のルール要素を不要として削除する技術がある(例えば特許文献1参照)。
【0008】
第2に、受信される複数のパケットについて、ルール情報の中で「適合」しやすいルール要素を上位に並べ、照合回数を全体的に少なくする。これによって、ファイアウォール装置におけるパケット転送性能を上げる。そのために、「アクセスログ」におけるルール要素毎のログ記録回数をカウントし、その記録回数が多いルール要素ほど、上位の順列に移動させる技術がある(例えば特許文献2参照)。
【0009】
また、ネットワーク管理者に対して、ルール評価順序の変更案を自動的に提示する技術もある(例えば非特許文献1参照)。この技術によれば、アクセスログを解析し、カウント数が少ないルール要素を下位へ、カウント数が多いルール要素を上位へ、並べ替えることができる。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】US7,016,980B1
【特許文献2】特許第3568850号公報
【非特許文献】
【0011】
【非特許文献1】株式会社クレディスト、「AlgoSecファイアウォールアナライザー」、[online]、[平成21年9月15日検索]、インターネット<URL:http://www.credist.co.jp/product/algosec.html>
【発明の概要】
【発明が解決しようとする課題】
【0012】
特定のアプリケーションやホスト又はルータが除去された場合、ネットワークとして、そのトラヒックの開放を意味するポリシ要素が、不要となることもある。この場合、その不要ポリシ要素に対応するルール要素も、不要ルール要素となり、ファイアウォール装置の中で全く適合しない。このような不要ルール要素を放置することは、セキュリティホールに繋がる。
【0013】
また、非特許文献1に記載された技術によれば、オーダシートに基づいて設定されたポリシ要素と、そのポリシ要素を実現するルール要素とが、紐付けされていない。具体的には、オーダシートの情報を、データとして保持していない。また、オーダシートと、ポリシ要素やルール要素との紐付け情報を保持していないために、それらを更新することもできない。
【0014】
そのため、ネットワーク管理者が、アクセスログに基づいて不要ルール要素を削除しようとした場合、そのルール要素に関連するポリシ要素は不明である。即ち、削除しようとする不要ルール要素に関連するオーダシートも不明である。結局、ネットワーク管理者は、ルール要素内のアドレスの項目等に基づいて、関連するオーダシートを、人手によって検索する必要がある。
【0015】
ルール要素と、ポリシ要素と、オーダシートとの対応関係の管理は、必ずしも容易ではない。これは、ルール要素とポリシ要素とが、必ずしも1対1関係に対応付けられないことに基づく。例えば、複数のファイアウォール装置を含むネットワークであっても、ネットワーク管理者の視点からの管理を容易にするために、1つのポリシ情報によって管理される場合がある。この場合、1つのポリシ要素が、複数のファイアウォール装置の複数のルール要素に対応付けられる。
【0016】
また、特許文献1及び特許文献2に記載された技術のように、ファイアウォール装置毎にそのルール情報を整理することによって、複数のポリシ要素が1つのルール要素で実現されているといった状態も生じ得る。
【0017】
ネットワーク管理者は、アクセスログに基づいて不要ルール要素を検出し、その不要ルール要素に対応する1つ又は複数のポリシ要素を検出しなければならない。次に、ネットワーク管理者は、そのポリシ要素に関係する1つ又は複数のファイアウォール装置のルール要素を検出しなければならない。1つのポリシ要素の削除は、他のファイアウォール装置のルール要素に対するパケットの通過に影響を与えるからである。
【0018】
ネットワークが大規模になるほど、各ファイアウォール装置によって保持されるルール要素の数は、数千個単位になる場合もある。この場合、不要ルール要素の検出と、その不要ルール要素に基づくポリシ要素の検出とは、容易ではない。更に、ポリシ情報におけるポリシ要素の削除及び移動は、ネットワーク全体のポリシ情報に違反する場合もある。特に、ポリシ要素の移動は、ポリシ要素間の干渉関係の変化を伴うため、不要ポリシ要素の削除の判断を誤らせる可能性がある。
【0019】
そこで、本発明は、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにポリシ情報を表示する方法、管理装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0020】
本発明によれば、ファイアウォール装置に対するルール情報を編集し生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とする方法であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有することを特徴とする。
【0021】
本発明のポリシ情報表示方法における他の実施形態によれば、第3のステップは、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することも好ましい。
【0022】
本発明のポリシ情報表示方法における他の実施形態によれば、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることも好ましい。
【0023】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることも好ましい。
【0024】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0025】
本発明のポリシ情報表示方法における他の実施形態によれば、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することも好ましい。
【0026】
本発明のポリシ情報表示方法における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、ポリシ情報のポリシ要素のポリシ識別子は、オーダシートのオーダ識別子に対応付けられていることも好ましい。
【0027】
本発明のポリシ情報表示方法における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを有し、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更されることも好ましい。
【0028】
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有することを特徴とする。
【0029】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することも好ましい。
【0030】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することも好ましい。
【0031】
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
干渉関係検出手段及び表示制御手段は、ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることも好ましい。
【0032】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0033】
本発明のファイアウォール管理装置における他の実施形態によれば、表示制御手段は、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ルールとして検討させるために、当該ポリシ要素を強調的に表示することも好ましい。
【0034】
本発明のファイアウォール管理装置における他の実施形態によれば、ポリシ情報に対して、オーダシートが対応付けられており、表示制御手段は、ポリシ情報のポリシ要素のポリシ識別子を、オーダシートのオーダ識別子に対応付けることも好ましい。
【0035】
本発明のファイアウォール管理装置における他の実施形態によれば、
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jと、複数のファイアウォール装置jの構成情報に基づく通過順番とを表す経路情報Rを記憶する経路情報記憶手段と、
ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することも好ましい。
【0036】
本発明によれば、ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムであって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させることを特徴とする。
【発明の効果】
【0037】
本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。
【図面の簡単な説明】
【0038】
【図1】ファイアウォール装置及びファイアウォール管理装置を有するシステム構成図である。
【図2】オーダシートが入力されたファイアウォール管理装置のフローチャートである。
【図3】ポリシ要素間の干渉関係タイプを表す説明図である。
【図4】本発明における第1のポリシ情報の表示イメージである。
【図5】ポリシ要素に対して順序が変更された際におけるファイアウォール管理装置のフローチャートである。
【図6】本発明における第2のポリシ情報の表示イメージである。
【図7】ポリシ要素の干渉関係の計算を表す説明図である。
【図8】本発明におけるファイアウォール管理装置の機能構成図である。
【発明を実施するための形態】
【0039】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。
【0040】
図1は、ファイアウォール装置及びファイアウォール管理装置を有するシステム構成図である。
【0041】
図1によれば、管理対象ネットワーク(イントラネット4)と、外部ネットワーク(インターネット5又は他企業のネットワーク6)との間に、ファイアウォール装置2及びルータ3が接続されている。ファイアウォール装置2は、管理対象ネットワークに対するポリシ情報に基づいたルール情報を保持する。尚、ファイアウォール装置2は、ファイアウォールとして独立した装置であってもよいし、アクセスコントロールリストに基づくパケット転送制御機能を有する汎用のルータであってもよい。また、ファイアウォール・ソフトウェアを搭載した汎用の計算機であってもよい。
【0042】
図1のような大規模ネットワークの場合、多数のファイアウォール装置2が配置される。このような場合、その膨大なルール情報を一元管理するファイアウォール管理装置1を配置することが好ましい。ファイアウォール管理装置1は、各ファイアウォール装置2に保持されるルール情報を設定管理する。ファイアウォール管理装置1は、複数のイントラネット4を含む管理対象ネットワーク全体のポリシ情報を維持するように、各ファイアウォール装置2に対してルール情報を設定する。
【0043】
ファイアウォール管理装置1には、ネットワーク管理者によってオーダシートが電子帳票として入力される。図1によれば、例えば、部署Aから、「他の部署Bへのアプリケーションhttpのトラヒックについて、TCPポート21を開放してほしい」というオーダシートが入力されている。
【0044】
図1のポリシ情報によれば、部署A[140.192.37.0/8]から部署B[161.120.33.0/24]への[http]のパケットについて、[allow]が設定されている。例えば、送信元アドレス(SrcIP)"140.192.37.0/8"は、ビット列のネットマスクが8ビットであり、IPアドレス範囲を意味する。また、図1によれば、部署Aから部署Bへの経路に、2つのファイアウォール装置2が含まれている。従って、両方のファイアウォール装置2に対して、そのポリシ要素に基づくルール要素を設定しなければならない。
【0045】
図2は、オーダシートが入力されたファイアウォール管理装置のフローチャートである。
【0046】
図2によれば、オーダシートは、以下のオーダ要素を含む。
・オーダID(IDentifier)(オーダに応じた一意な識別番号)
・送信元アドレス(SrcIP) 「ホスト・グループ」
・宛先アドレス(DstIP) 「ホスト・グループ」
・送信元ポート番号(SrcPort) 「サービス・グループ」
・宛先ポート番号(DstPort) 「サービス・グループ」
・プロトコル(Proto) 「サービス・グループ」
・アクション(Action) 転送許可(allow)又は転送禁止(deny)
【0047】
「ホスト・グループ」として、送信元アドレス(SrcIP)及び宛先アドレス(DstIP)は、特定のIPアドレスであってもよいし、一定のIPアドレス範囲であってもよい。「サービス・グループ」として、送信元ポート番号(SrcPort)と、宛先ポート番号(DstPort)と、プロトコル(Proto)とがある。プロトコルは、例えばtcp(transport control protocol)又はudp(user datagram protocol)である。
【0048】
ポリシ情報のポリシ要素も、オーダシートと同様の構成要素を有する。従って、「ポリシID」「送信元アドレス」「宛先アドレス」「送信元ポート番号」「宛先ポート番号」「プロトコル」「アクション」を有する。ポリシIDは、オーダIDと同一であることが好ましい。
【0049】
(S21)ファイアウォール管理装置1は、最初に、ポリシ情報記憶部に対して、オーダシートO(k)のポリシ要素P(k)を、適切な評価順序に挿入する。ネットワーク管理者によって配置されるポリシ要素の評価順序によって、干渉関係が変化する。
(S22)ファイアウォール管理装置1は、ポリシ情報記憶部から、ポリシ要素P(k)と干渉関係(conflict)にあるポリシ要素P(i)を検出する。「干渉関係(conflict)」とは、オーダシートO(j)とポリシ要素P(i)とが、プロトコル、IPアドレス及びポート番号が、互いに共通部分を持つ、即ち互いに素でない関係をいう。
(S23)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシID(識別子)と、その干渉関係タイプとを表示する。
(S24)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。ルール情報RL(j)は、複数のルール要素を照合順に並べたものである。
(S25)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
【0050】
図3は、ポリシ要素間の干渉関係タイプを表す説明図である。
【0051】
図3によれば、7つの干渉関係タイプが表されている。「干渉関係(conflict)」とは、2つのポリシ要素におけるIPアドレス、ポート番号及びプロトコルが、互いに共通部分を持つ、即ち互いに素(disjoint)でない関係をいう。具体的には、2つのポリシ要素が、以下の全ての条件を満たす関係にあることをいう。
・送信元アドレス(SrcIP)が、共通部分を持つ。
宛先アドレス(DstIP)が、共通部分を持つ。
・送信元ポート番号(SrcPort)が、共通部分を持つ。
・宛先ポート番号(DstPort)が、共通部分を持つ。
・プロトコル(Proto)が、同一である。
【0052】
図3(a)は、第1のタイプ(redundancy)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する。この場合、下位ポリシ要素gは、不要ポリシ要素と判定され、オーダミスに基づく削除の対象となる。
【0053】
図3(b)は、第2のタイプ(shadowing1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲から見て、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲から見て、上位ポリシ要素fの範囲でdenyとなる。
【0054】
図3(c)は、第3のタイプ(shadowing2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※下位ポリシ要素gは、上位ポリシ要素fによって実現され、不要ポリシ要素と
判定される。下位ポリシ要素gの実現IDは、上位ポリシ要素fを指示する。
【0055】
図3(d)は、第4のタイプ(generalization1)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素g:deny
下位ポリシ要素f:allow
※下位ポリシ要素fの範囲から見て、上位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素g:allow
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。
【0056】
図3(e)は、第5のタイプ(generalization2)を表す。これは、下位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素fのアクションが、上位ポリシ要素gのアクションと同一である。以下の2つの場合が想定される。
(1)上位ポリシ要素g:allow
下位ポリシ要素f:allow
※上位ポリシ要素fは、下位ポリシ要素gによって実現され、不要ポリシ要素と
判定される。上位ポリシ要素fの実現IDは、下位ポリシ要素gを指示する。
(2)上位ポリシ要素g:deny
下位ポリシ要素f:deny
※下位ポリシ要素fの範囲でdenyとなり、上位ポリシ要素gは不要ポリシ要素
と判定される。上位ポリシ要素gの実現IDは、下位ポリシ要素fを指示する。
【0057】
例えば、[generalization2]の場合、下位ポリシ要素gでヒットすべきパケットが、上位ポリシ要素fにおけるヒットに見える恐れがある。下位ポリシ要素gのログカウントが0になっているからといって、ネットワーク管理者が、下位ポリシ要素gを削除することは、誤判断となる可能性がある。
【0058】
図3(f)は、第6のタイプ(correlation1)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと相違している。以下の2つの場合が想定される。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:deny
※上位ポリシ要素fの範囲の一部が、下位ポリシ要素gの範囲でdenyとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:allow
※下位ポリシ要素gの範囲の一部が、上位ポリシ要素fの範囲でdenyとなる。
【0059】
図3(g)は、第7のタイプ(correlation2)を表す。これは、下位ポリシ要素gの送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素fの送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素gのアクションが、上位ポリシ要素fのアクションと同一である。
(1)上位ポリシ要素f:allow
下位ポリシ要素g:allow
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、allowとなる。
(2)上位ポリシ要素f:deny
下位ポリシ要素g:deny
※上位ポリシ要素fと下位ポリシ要素gとの範囲で、denyとなる。
【0060】
図4は、本発明における第1のポリシ情報の表示イメージである。
【0061】
図4によれば、ポリシ情報の各ポリシ要素が、順列に並べて表示されている。ここで、ポリシ要素P(4)とポリシ要素P(5)について注目する。
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"は、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"に含まれる。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(4)と下位のポリシ要素P(5)とは、「generalization2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
【0062】
また、ポリシ要素毎に、「実現ポリシID」「ログカウント」「順序変更アイコン」が表示される。「実現ポリシID」は、当該ポリシ要素のアクションが、実際に実現されている他のポリシ要素のポリシIDである。図4によれば、上位のポリシ要素P(4)のアクションは、実際にそのポリシ要素P(4)によって実現される。また、下位のポリシ要素P(5)のアクションは、その一部がポリシ要素P(4)によって実現されるけれども、全体としては実際にそのポリシ要素P(5)によって実現される。
【0063】
「ログカウント」は、ファイアウォール装置から受信したルール要素毎の「アクセスログ」を集計したものである。ログカウントによって、そのポリシ要素によって照合されたパケット数を知ることができる。
【0064】
図4によれば、ポリシ要素P(5)のログカウントは、0となっている。しかしながら、ポリシ要素P(5)は、ポリシ要素P(4)と「generalization2」の干渉関係にあるために、ポリシ要素P(5)にヒットすべきアクセスログが、ポリシ要素P(4)のログカウントに加算されている可能性がある。この場合、ネットワーク管理者が、「ログカウントが0であるポリシ要素P(5)を、不要ポリシ要素として削除する」との判断は、誤っている可能性がある。
【0065】
このとき、本発明によれば、当該ポリシ要素について、アクセスログのカウント数が所定閾値以下である場合、ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示する。図4によれば、ポリシ要素P(5)が強調的に表示される。
【0066】
「順序変更アイコン」は、そのポリシ要素を、1つ上位へ又は1つ下位へ移動させるために、ネットワーク管理者によって操作されるアイコンである。勿論、アイコンでなくても、操作可能なオブジェクトであってもよい。図4によれば、ネットワーク管理者は、不要ポリシ要素として検討すべきポリシ要素P(5)を、ポリシ要素P(4)と評価順序を入れ替えている。
【0067】
尚、ポリシ情報は、ルール情報と同様に「オーダ・センシティブ」である。即ち、ファイアウォール装置のルール情報におけるルール要素の評価順序は、ポリシ情報のポリシ要素の順序に基づく。受信されたパケット毎に、ルール情報内に記述された先頭のルール要素から順次、末尾のルール要素へ、「適合(ヒット)」/「不適合」を照合していく。そして、最初に「適合」したルール要素のアクションが実行される。それ以降のルール要素については、照合されることなく(無視され)、処理を終了する。そのために、通常、ルール情報の末尾に記述されたルール要素には、あらゆるパケットに適合するべく、デフォルト・アクションが記述される。
【0068】
図5は、ポリシ要素に対して順序が変更された際におけるファイアウォール管理装置のフローチャートである。
【0069】
ネットワーク管理者の操作によって、干渉関係にある第1のポリシ要素と第2のポリシ要素との順序が変更された場合、ポリシの内容が変更される場合がある。
(S51)ファイアウォール管理装置1は、ネットワーク管理者の操作に応じて、ポリシ情報記憶部に対して、第1のポリシ要素と第2のポリシ要素との評価順序を入れ替える。
(S52)ファイアウォール管理装置1は、ポリシ情報記憶部から、第1のポリシ要素と第2のポリシ要素との干渉関係を検出する。図3に基づくいずれか1つの干渉関係タイプを検出する。
(S53)ネットワーク管理者に対して、ディスプレイにポリシ情報を表示する。ここで、各ポリシ要素に、干渉関係にある他のポリシ要素のポリシIDと、その干渉関係タイプとを表示する。
(S54)次に、ポリシ情報Pに基づいて、ファイアウォール装置j毎に、ルール情報RL(j)が生成される。
(S55)生成されたルール情報RL(j)は、各ファイアウォール装置jへ送信される。
【0070】
図6は、本発明における第2のポリシ情報の表示イメージである。
【0071】
図6によれば、ポリシ要素P(5)とP(4)とが入れ替わっている。このとき、干渉関係タイプも変更される。
P(5):tcp, 1.2.3.0/24, 1.2.3.0/24, any, 80, http, allow
P(4):tcp, 1.2.3.0/24, 1.2.3.1/32, any, 80, http, allow
ポリシ要素P(5)の送信元アドレス"1.2.3.0/24"は、ポリシ要素P(4)の送信元アドレス"1.2.3.0/24"と共通する。また、ポリシ要素P(5)の宛先アドレス"1.2.3.0/24"は、ポリシ要素P(4)の宛先アドレス"1.2.3.1/32"を含む。更に、ポリシ要素P(4)及びP(5)のポート番号及びプロトコルは共通する。このように、上位のポリシ要素P(5)と下位のポリシ要素P(4)とは、「shadowing2」の干渉関係にある。この干渉関係が、ポリシ情報のポリシ要素P(4)及びP(5)に表示される。
【0072】
また、図6によれば、上位のポリシ要素P(5)のアクションは、実際にそのポリシ要素P(5)によって実現される。また、下位のポリシ要素P(4)のアクションは、実際にポリシ要素P(5)によって実現される。従って、下位のポリシ要素P(4)の「実現ポリシID」は、ポリシID5となる。
【0073】
その後、ポリシ要素毎のログカウントを、再度、カウントする。例えば、図6のように、ポリシ要素P(4)について、実現ポリシID5であって且つログカウントが0であれば、そのポリシ要素P(4)は、不要ポリシ要素として削除することができる。
【0074】
図7は、ポリシ要素の干渉関係の計算を表す説明図である。
【0075】
図7によれば、ポリシ要素の干渉関係は、「プロトコル」「送信元アドレス」「送信元ポート番号」「宛先アドレス」「宛先ポート番号」を順にノードに展開したツリーによって表される。同じ値のノードの下には、子ノードが生成される。
【0076】
図7のツリーは、ポリシ要素P(1)から順に展開されている。展開済みのノードと比較し、差分箇所がある場合に、新たな部分ツリーへ分岐される。例えば、ポリシ要素P(1)及びP(2)は、宛先ポート番号が異なるのみであるので、宛先ポート番号が443のノードで分岐される。また、ポリシ要素P(2)及びP(3)は、宛先アドレスが異なるので、宛先アドレス192.168.1.0/24のノードで分岐される。更に、ポリシ要素P(3)及びP(4)は、送信元アドレスが異なるので、送信元アドレス192.168.3.0/24で分岐される。
【0077】
ここで、ツリーを展開する際、ポリシ要素間の干渉関係が検出される。例えば、ポリシ要素P(5)を展開する際に、ポリシ要素P(5)の宛先アドレス[192.168.0.0/16]とポリシ要素P(1)の宛先アドレス[192.168.0.0/24]とを比較する。下位の宛先アドレス[192.168.0.0/16]は、上位の宛先アドレス[192.168.0.0/24]を包含する。従って、ポリシ要素P(1)及びP(5)は、generalizationの関係になる。また、ポリシ要素P(5)のアクション[deny]と、ポリシ要素P(1)のアクション[allow]とは相違するため、を比較する。ポリシ要素P(1)及びP(5)は、generalization1の関係になる。
【0078】
図8は、本発明におけるファイアウォール管理装置の機能構成図である。
【0079】
図8によれば、ファイアウォール管理装置1は、ディスプレイ部101と、オペレータ操作部102と、オーダシート入力部103と、通信インタフェース部104とを有する。ファイアウォール管理装置1は、ファイアウォール装置2に対するルール情報を生成する際に、ネットワーク管理者によって閲覧可能なディスプレイ部101に、ポリシ情報を表示する。オペレータ操作部102は、ネットワーク管理者によって操作可能であって、ポリシ情報のポリシ要素の評価順序が変更される。オーダシート入力部103は、電子帳票としてのオーダシートを入力する。オーダシート入力部103は、光学スキャナによる読み取りであってもよいし、Webサーバを用いたフォームの入力であってもよいし、テキストファイルやCSV(Comma Separated Values)形式ファイルのアップロードであってもよい。通信インタフェース部104は、ファイアウォール装置2と、ネットワーク又はシリアルケーブルを介して通信する。
【0080】
また、図8によれば、ファイアウォール管理装置1は、ポリシ情報記憶部110と、干渉関係検出部111と、表示制御部112と、経路情報記憶部113と、ルール情報生成部114と、ルール情報記憶部115とを有する。これら機能構成部は、ファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムを実行することによって実現される。
【0081】
ポリシ情報記憶部110は、ポリシIDと、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する。ポリシ情報記憶部110は、オーダシート入力部103からオーダシートを入力し、そのオーダシートをポリシ要素P(i)に対応付けて記憶する。
【0082】
干渉関係検出部111は、ポリシ情報記憶部110を用いて、送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する。
【0083】
表示制御部112は、第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシIDとを表示する。また、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシIDとを表示する。表示制御部112は、ポリシ要素のポリシIDを、オーダシートのオーダIDに対応付ける。
【0084】
また、表示制御部112は、ポリシ要素毎に、ネットワーク管理者によって評価順序を変更する操作インタフェースを表示する。ネットワーク管理者は、その操作インタフェースを認識しながら、オペレータ操作部102を操作する。オペレータ操作部102を介したネットワーク管理者の操作に基づいて、干渉関係検出部111が実行される。具体的には、当該ポリシ要素の評価順序が変更された際に、干渉関係検出部111が実行される。
【0085】
更に、表示制御部112は、下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシIDを表示する。具体的には、「実現ポリシID」として表示される。
【0086】
更に、表示制御部112は、ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示する。ネットワーク管理者は、アクセスログのカウント数が所定閾値以下となるポリシ要素について、不要ルールとして検討することができる。また、このようなポリシ要素を強調的に表示することによって、ネットワーク管理者の視覚に訴えることができる。
【0087】
尚、表示制御部112は、ルール要素毎に、当該ルール要素によって判定されたパケット数を、アクセスログのカウント数として表示することも好ましい。
【0088】
経路情報記憶部113は、ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する。尚、経路情報記憶部113は、ファイアウォール装置2及びルータ3から構成情報を収集し、これら構成情報から経路情報を自動的に推定するものであってもよい。
【0089】
ルール情報生成部114は、ポリシ情報に基づいて、経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報のルール要素の照合順序を変更する。ポリシ情報から、ファイアウォール装置毎のルール情報を生成する技術は、既存技術である。
【0090】
ルール情報記憶部115は、ファイアウォール装置j毎のルール情報RL(j)を記憶する。ルール情報記憶部115は、通信インタフェース部104を介して、各ファイアウォール装置jへルール情報RL(j)を送信する。又は、ファイアウォール管理装置における、ネットワーク管理者によって閲覧可能なディスプレイに、ルール情報RL(j)を表示させるものであってもよい。ネットワーク管理者は、ルール情報RL(j)を参照しながら、ファイアウォール装置の管理コンソールに直接的に手動で入力することもできる。
【0091】
以上、詳細に説明したように、本発明のポリシ情報表示方法、管理装置及びプログラムによれば、ポリシ要素間の干渉関係を表示することによって、ネットワーク管理者が、不要ポリシ要素を誤って判断しないようにすることができる。
【0092】
特に、本発明によれば、オーダシートとポリシ要素とが対応付けられると共に、ネットワーク管理者は、ポリシ情報のみの整理によって、複数のファイアウォール装置に保持されるルール情報を整理することができる。アクセスされていないポリシ要素について、オーダシートを依頼した管理者への確認・照会が容易となる。また、ファイアウォール装置の不要ルール要素の削除及び順序移動をする際に、不要ルール要素の誤判断を防止することができる。本発明によれば、ICT(Information Communication Technologies)ソリューション事業(例えばデータセンタ)におけるファイアウォール管理ソリューションに要する工数・コストを削減することができる。
【0093】
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
【符号の説明】
【0094】
1 ファイアウォール管理装置
101 ディスプレイ部
102 オペレータ操作部
103 オーダシート入力部
104 通信インタフェース部
110 ポリシ情報記憶部
111 干渉関係検出部
112 表示制御部
113 経路情報記憶部
114 ルール情報生成部
115 ルール情報記憶部
2 ファイアウォール装置
3 ルータ
4 イントラネット
5 インターネット
6 他の企業のネットワーク
【特許請求の範囲】
【請求項1】
ファイアウォール装置に対するルール情報を編集し生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とする方法であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有することを特徴とするポリシ情報表示方法。
【請求項2】
第3のステップは、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、
下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することを特徴とする請求項1に記載のポリシ情報表示方法。
【請求項3】
前記干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることを特徴とする請求項1又は2に記載のポリシ情報表示方法。
【請求項4】
前記ポリシ要素毎に、前記ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることを特徴とする請求項1から3のいずれか1項に記載のポリシ情報表示方法。
【請求項5】
前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することを特徴とする請求項1から4のいずれか1項に記載のポリシ情報表示方法。
【請求項6】
当該ポリシ要素について、前記アクセスログのカウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することを特徴とする請求項1から5のいずれか1項に記載のポリシ情報表示方法。
【請求項7】
前記ポリシ情報に対して、オーダシートが対応付けられており、
前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子は、前記オーダシートのオーダ識別子に対応付けられていることを特徴とする請求項1から6のいずれか1項に記載のポリシ情報表示方法。
【請求項8】
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを有し、
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更される
ことを特徴とする請求項1から7のいずれか1項に記載のポリシ情報表示方法。
【請求項9】
ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有することを特徴とするファイアウォール管理装置。
【請求項10】
前記表示制御手段は、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、
下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することを特徴とする請求項9に記載のファイアウォール管理装置。
【請求項11】
前記表示制御手段は、前記干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することを特徴とする請求項9又は10に記載のファイアウォール管理装置。
【請求項12】
前記ポリシ要素毎に、前記ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
前記干渉関係検出手段及び前記表示制御手段は、前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることを特徴とする請求項9から11のいずれか1項に記載のファイアウォール管理装置。
【請求項13】
前記表示制御手段は、前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することを特徴とする請求項9から12のいずれか1項に記載のファイアウォール管理装置。
【請求項14】
前記表示制御手段は、当該ポリシ要素について、前記アクセスログのカウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ルールとして検討させるために、当該ポリシ要素を強調的に表示することを特徴とする請求項9から13のいずれか1項に記載のファイアウォール管理装置。
【請求項15】
前記ポリシ情報に対して、オーダシートが対応付けられており、
前記表示制御手段は、前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子を、前記オーダシートのオーダ識別子に対応付けることを特徴とするファイアウォール管理装置。
【請求項16】
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する経路情報記憶手段と、
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することを特徴とする請求項9から15のいずれか1項に記載のファイアウォール管理装置。
【請求項17】
ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムであって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させることを特徴とするファイアウォール管理装置用のプログラム。
【請求項1】
ファイアウォール装置に対するルール情報を編集し生成する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とする方法であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶する第1のステップと、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある、第1のポリシ要素及び第2のポリシ要素を検出する第2のステップと、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する第3のステップと
を有することを特徴とするポリシ情報表示方法。
【請求項2】
第3のステップは、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、
下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することを特徴とする請求項1に記載のポリシ情報表示方法。
【請求項3】
前記干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つが表示されることを特徴とする請求項1又は2に記載のポリシ情報表示方法。
【請求項4】
前記ポリシ要素毎に、前記ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、第2のステップ及び第3のステップが実行されることを特徴とする請求項1から3のいずれか1項に記載のポリシ情報表示方法。
【請求項5】
前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することを特徴とする請求項1から4のいずれか1項に記載のポリシ情報表示方法。
【請求項6】
当該ポリシ要素について、前記アクセスログのカウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ポリシ要素として検討させるために、当該ポリシ要素を強調的に表示することを特徴とする請求項1から5のいずれか1項に記載のポリシ情報表示方法。
【請求項7】
前記ポリシ情報に対して、オーダシートが対応付けられており、
前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子は、前記オーダシートのオーダ識別子に対応付けられていることを特徴とする請求項1から6のいずれか1項に記載のポリシ情報表示方法。
【請求項8】
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを有し、
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序が変更される
ことを特徴とする請求項1から7のいずれか1項に記載のポリシ情報表示方法。
【請求項9】
ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置であって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
を有することを特徴とするファイアウォール管理装置。
【請求項10】
前記表示制御手段は、第1のポリシ要素及び第2のポリシ要素の評価順序に基づいて、
下位ポリシ要素が、上位ポリシ要素によって当該アクションが実際に実現されている場合、下位ポリシ要素に、上位ポリシ要素のポリシ識別子を表示することを特徴とする請求項9に記載のファイアウォール管理装置。
【請求項11】
前記表示制御手段は、前記干渉関係タイプとして、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と完全に一致する第1のタイプ(redundancy)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第2のタイプ(shadowing1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲に完全に含まれており、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第3のタイプ(shadowing2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第4のタイプ(generalization1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲を完全に含んでおり、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第5のタイプ(generalization2)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと相違している第6のタイプ(correlation1)と、
下位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲が、上位ポリシ要素の送信元/宛先アドレス範囲及びポート番号範囲と一部の共通部分を有し、下位ポリシ要素のアクションが、上位ポリシ要素のアクションと同一である第7のタイプ(correlation2)と
のいずれか1つを表示することを特徴とする請求項9又は10に記載のファイアウォール管理装置。
【請求項12】
前記ポリシ要素毎に、前記ネットワーク管理者によって評価順序を変更する操作インタフェースが表示されており、
前記干渉関係検出手段及び前記表示制御手段は、前記ネットワーク管理者の操作に基づいて当該ポリシ要素の評価順序が変更された際に、実行されることを特徴とする請求項9から11のいずれか1項に記載のファイアウォール管理装置。
【請求項13】
前記表示制御手段は、前記ポリシ要素毎に、当該ポリシ要素によって判定されたパケット数を、アクセスログのカウント数として表示することを特徴とする請求項9から12のいずれか1項に記載のファイアウォール管理装置。
【請求項14】
前記表示制御手段は、当該ポリシ要素について、前記アクセスログのカウント数が所定閾値以下である場合、前記ネットワーク管理者に対して当該ポリシ要素を不要ルールとして検討させるために、当該ポリシ要素を強調的に表示することを特徴とする請求項9から13のいずれか1項に記載のファイアウォール管理装置。
【請求項15】
前記ポリシ情報に対して、オーダシートが対応付けられており、
前記表示制御手段は、前記ポリシ情報の前記ポリシ要素の前記ポリシ識別子を、前記オーダシートのオーダ識別子に対応付けることを特徴とするファイアウォール管理装置。
【請求項16】
ポリシ情報の対象となるパケットが通過すると想定される、複数のファイアウォール装置jの構成情報に基づいて計算された各ファイアウォール装置jの通過順番を表す経路情報R、又は、ネットワーク管理者によって与えられた、各ファイアウォール装置jの通過順番を表す経路情報Rを記憶する経路情報記憶手段と、
前記ポリシ情報に基づいて、前記経路情報に含まれる上流のファイアウォール装置jから順に、ルール情報におけるルール要素の照合順序を変更するルール情報生成手段と
を有することを特徴とする請求項9から15のいずれか1項に記載のファイアウォール管理装置。
【請求項17】
ファイアウォール装置に対するルール情報を生成し編集する際に、ネットワーク管理者によって閲覧可能なディスプレイにポリシ情報を表示し編集可能とするファイアウォール管理装置に搭載されたコンピュータを機能させるプログラムであって、
ポリシ識別子と、送信元/宛先アドレス範囲と、ポート番号範囲と、プロトコルと、アクションとを含む複数のポリシ要素P(i)を評価順序に並べたポリシ情報を記憶するポリシ情報記憶手段と、
前記送信元/宛先アドレス範囲及びポート番号範囲について共通部分を有する干渉関係(conflict)にある第1のポリシ要素及び第2のポリシ要素を検出する干渉関係検出手段と、
第1のポリシ要素に、第2のポリシ要素に対する干渉関係タイプと、第2のポリシ要素のポリシ識別子とを表示すると共に、第2のポリシ要素に、第1のポリシ要素に対する干渉関係タイプと、第1のポリシ要素のポリシ識別子とを表示する表示制御手段と
してコンピュータを機能させることを特徴とするファイアウォール管理装置用のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−60249(P2011−60249A)
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願番号】特願2009−212578(P2009−212578)
【出願日】平成21年9月15日(2009.9.15)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願日】平成21年9月15日(2009.9.15)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]