ファイアウォール装置

【課題】装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置を実現する。
【解決手段】ファイアウォール装置において、ネットワークとの間で通信を行う第１の通信手段と、攻撃対象となる機器との間で通信を行う第２の通信手段と、記憶手段と、第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットの機器へ転送を遮断すると共にパケットを分類して情報を記憶手段に記録する演算制御手段とを設ける。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、ネットワークに接続されたネットワーク機器をＤＤｏｓ攻撃（Distributed Denial of Service attacks：以下、単にＤＤｏｓと呼ぶ。）等から防御するファイアウォール装置に関し、特に装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置に関する。
【背景技術】
【０００２】
従来のネットワークに接続されたネットワーク機器をＤＤｏｓ攻撃等から防御するファイアウォール装置に関連する先行技術文献としては次のようなものがある。
【０００３】
【特許文献１】特開２００３−２７３９３６号公報
【特許文献２】特開２００４−０５４４８８号公報
【特許文献３】特開２００５−２１５９３５号公報
【０００４】
また、Ｗｅｂサーバ等のサーバへのＤＤｏｓ攻撃としては、ＴＣＰ（Transmission Control Protocol）で接続を確立する際の手順において最後のＡＣＫ（ACKnowledgement）パケットを受信するまでサーバ側が応答待ち状態になることを悪用したＳＹＮフラッド攻撃、ひたすらリロードを繰り返す攻撃、アップロード用のフォーム等にデータをＰＯＳＴメッソドを用いて送り続ける攻撃等が存在する。
【０００５】
図４はこのような攻撃を防御するファイアウォール装置が設置されたネットワークシステムの一例を示す構成ブロック図である。図４において１はネットワーク上の不正アクセス等を検知する侵入検知装置（ＩＤＳ：Intrusion Detection System）、２は通信の制限を行うファイアウォール装置、３は攻撃対象となるＷｅｂサーバ等のサーバ、１００はインターネット等の汎用のネットワーク、１０１は外部ネットワークと内部ネットワークとの間に位置するＤＭＺ（DeMilitarized Zone）に設置されたネットワークである。
【０００６】
侵入検知装置１はネットワーク１００に相互に接続され、侵入検知装置１の出力はファイアウォール装置２に接続される。ファイアウォール装置２の一方の通信入出力端はネットワーク１００に相互に接続され、ファイアウォール装置２の他方の通信入出力端はネットワーク１０１に相互に接続される。また、サーバ３はネットワーク１０１に相互に接続される。
【０００７】
ここで、図４に示す従来例の動作を説明する。図４に示す従来例は侵入検知装置１とファアウォール装置２とが連携する構成である。
【０００８】
侵入検知装置１はネットワーク１００上を伝播してサーバ３に送信される攻撃パケットの有無を監視し、もし、侵入検知装置１が攻撃パケットを検知した場合、攻撃パケットの送信元のＩＰ（Internet Protocol）アドレスをファイアウォール装置２に通知する。
【０００９】
このように、侵入検知装置１から攻撃パケットの送信元のＩＰアドレスの通知を受けたファイアウォール装置２は、当該ＩＰアドレスを有するパケットのサーバ３への転送を遮断して、当該パケットがネットワーク１０１に接続されているサーバ３へ伝播しないように制御する。
【００１０】
この結果、侵入検知装置１で攻撃パケットを監視し、攻撃パケットを検知した場合には、ファイアウォール装置２で検知された攻撃パケットと同一のＩＰアドレスを有するパケットのサーバ３への転送を遮断することにより、サーバ３に対する攻撃パケットを防御することが可能になる。
【００１１】
また、図５はファイアウォール装置が設置されたネットワークシステムの他の一例を示す構成ブロック図である。図５において４は通信の制限を行うファイアウォール装置、５は特定サーバの代理として特定サーバへの通信を中継するリバースプロキシサーバ、６は攻撃対象となるＷｅｂサーバ等のサーバ、１００ａはインターネット等の汎用のネットワーク、１０１ａは外部ネットワークと内部ネットワークとの間に位置するＤＭＺに設置されたネットワークである。
【００１２】
ファイアウォール装置４の一方の通信入出力端はネットワーク１００ａに相互に接続され、ファイアウォール装置４の他方の通信入出力端はネットワーク１０１ａに相互に接続される。また、リバースプロキシサーバ５はネットワーク１０１ａに相互に接続され、リバースプロキシサーバ５にはサーバ６が相互に接続される。
【００１３】
ここで、図５に示す従来例の動作を説明する。図５に示す従来例ではリバースプロキシサーバ５がサーバ６の代理としてサーバ６への通信を中継する構成となっている。
【００１４】
ネットワーク１００ａ上を伝播するパケットはファイアウォール装置４を通過し、ネットワーク１０１ａを介してリバースプロキシサーバ５に一旦蓄積される。この時、クライアント（図示せず。）との間で、接続が一旦確立される。
【００１５】
そして、リバースプロキシサーバ５は蓄積されているパケットの内容を検査して正常なパケットのみをサーバ６に転送して、クライアント（図示せず。）との間で接続を確立させる。
【００１６】
この結果、リバースプロキシサーバ５が送信されてきたパケットを一旦蓄積し、蓄積されたパケットの内容を検査して、正常なパケットのみをサーバ６に転送することにより、サーバ６に対する攻撃パケットを防御することが可能になる。
【発明の開示】
【発明が解決しようとする課題】
【００１７】
しかし、図４に示す従来例では侵入検知装置１でどのようなパケットを攻撃パケットとして検知するかの設定や、攻撃パケットを検知した場合の動作を行うファームウェアの設定等の様々な設定作業が必要であるものの、当該設定作業には熟練を要するため、設定作業が煩雑であると言った問題点があった。
【００１８】
また、誤った設定作業を行った場合には、正常パケットの誤検知や攻撃パケットの不検知等が生じてしまい正常に機能しないといった問題点があった。
【００１９】
また、図５に示す従来例ではリバースプロキシサーバ５が、送信されてきたパケットを一旦蓄積するので、蓄積されるパケットの容量がリバースプロキシサーバ５の記憶容量を超過した場合には動作できなくなってしまうと言った問題点があった。
【００２０】
また、パケットを一旦蓄積する際に、クライアント（図示せず。）との間で接続を一旦確立するので、正常パケットのみならず、攻撃パケットに対しても接続確立（無駄なトラフィック）に伴う通信料金が発生してしまうと言った問題点があった。
従って本発明が解決しようとする課題は、装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置を実現することにある。
【課題を解決するための手段】
【００２１】
このような課題を達成するために、本発明のうち請求項１記載の発明は、
ファイアウォール装置において、
ネットワークとの間で通信を行う第１の通信手段と、攻撃対象となる機器との間で通信を行う第２の通信手段と、記憶手段と、前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段とを備えたことにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２２】
請求項２記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２３】
請求項３記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケットに分類されたパケットの送信元ＩＰアドレスを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２４】
請求項４記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートからのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２５】
請求項５記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２６】
請求項６記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２７】
請求項７記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算して当該ＳＵＭ値を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２８】
請求項８記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算し、前記メソッド、前記バージョン及び前記ＳＵＭ値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元ＩＰアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００２９】
請求項９記載の発明は、
請求項１記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、ＷＷＷポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、ＷＷＷポートへのパケットに分類されたパケットの送信元ＩＰアドレスを前記記憶手段に記録し、ＷＷＷポートからのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算し、前記メソッド、前記バージョン及び前記ＳＵＭ値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元ＩＰアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００３０】
請求項１０記載の発明は、
請求項１乃至請求項９のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のＩＰアドレスからＰＯＳＴメソッド以外のメソッドで同じＵＲＬに対して繰り返しアクセスする場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００３１】
請求項１１記載の発明は、
請求項１乃至請求項９のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のＩＰアドレスからＰＯＳＴメソッドで同じＵＲＬに大量のデータを送信する場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００３２】
請求項１２記載の発明は、
請求項１乃至請求項９のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のＩＰアドレスから適当なＵＲＬに大量のアクセスを行う場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【発明の効果】
【００３３】
本発明によれば次のような効果がある。
請求項１，２，３，４，５，６，７，８，９，１０，１１及び請求項１２の発明によれば、ファイアウォール装置（具体的には、演算制御手段）が、不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送をフィルタリング（遮断）すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【発明を実施するための最良の形態】
【００３４】
以下本発明を図面を用いて詳細に説明する。図１は本発明に係るファイアウォール装置が設置されたネットワークシステムの一実施例を示す構成ブロック図である。
【００３５】
図１において７は通信の制限を行うファイアウォール装置、８は攻撃対象となる機器であるＷｅｂサーバ等のサーバ、１００ｂはインターネット等の汎用のネットワークである。ファイアウォール装置７の一方の通信入出力端はネットワーク１００ｂに相互に接続され、ファイアウォール装置７の他方の通信入出力端はサーバ８が相互に接続される。
【００３６】
また、図２はファイアウォール装置７の具体例を示す構成ブロック図である。図２において９はネットワーク１０１ｂとの間で通信を行う通信手段、１０はＣＰＵ（Central Processing Unit）等のファイアウォール装置全体を制御する演算制御手段、１１はＲＡＭ（Random Access Memory）、フラッシュメモリ、ハードディスク等の記憶手段、１２はサーバ８との間で通信を行う通信手段である。
【００３７】
また、９，１０，１１及び１２はファイアウォール装置５０を構成している。さらに、記憶手段１１にはファイアウォール装置５０全体を制御するためのプログラムが格納されている。
【００３８】
通信手段９の通信入出力端はネットワーク１０１ｂ（図示せず。）と相互に接続され、通信手段９の入出力は演算制御手段１０に相互に接続される。また、通信手段１２の通信入出力端はサーバ８の通信手段（図示せず。）と相互に接続され、通信手段１２の入出力は演算制御手段１０に相互に接続される。また、記憶手段１１も演算制御手段１０に相互に接続される。
【００３９】
ここで、図１及び図２に示す実施例の動作を図３を用いて説明する。図３はファイアウォール装置５０を構成する演算制御手段１０の動作を説明するフロー図である。
【００４０】
図３中”Ｓ００１”において演算制御手段１０は、通信手段９において受信されネットワーク１００ｂからサーバ８への通信を監視して、サーバ８に対して不自然なアクセスがあったか否かを判断する。例えば、具体的には不自然なアクセスとは下記に示すような３つのパターンを想定する。
（１）特定のＩＰアドレスからＰＯＳＴメソッド以外のメソッドで同じＵＲＬ（Uniform Resource Locator）やＵＲＩ（Uniform Resource Identifier）等（以下、単にＵＲＬとして表記する。）に対して繰り返しアクセスする。
（２）特定のＩＰアドレスからＰＯＳＴメソッドで同じＵＲＬに大量のデータを送信する。
（３）特定のＩＰアドレスから適当なＵＲＬに大量のアクセスを行う。
【００４１】
図３中”Ｓ００１”においてサーバ８に対して不自然なアクセスがあったと判断した場合には、図３中”Ｓ００２”において演算制御手段１０は、不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得し、演算制御手段１０は一定期間当該ＩＰアドレスからのパケットのサーバ８への転送をフィルタリング（遮断）する。
【００４２】
そして、図３中”Ｓ００３”において演算制御手段１０は、不自然なアクセスと判断されたパケットの種類を分類する。具体的には、演算制御手段１０は、不自然なアクセスと判断されたパケットを”ＷＷＷ（World Wide Web）ポートへのパケット”、”ＷＷＷポートからのパケット”、或いは、”それ以外のパケット”に分類する。
【００４３】
さらに、演算制御手段１０は、先に分類された”ＷＷＷポートへのパケット”と、”ＷＷＷポートからのパケット”を”データパケット”、或いは、”ＨＴＴＰ（HyperText Transfer Protocol）リプライパケット”に分類する。
【００４４】
図３中”Ｓ００４”において演算制御手段１０は、”ＷＷＷポートへのパケット”且つ”データパケット”に分類されたパケットのデータ量を計測すると共に当該データ量を記憶手段１１に記録する。
【００４５】
図３中”Ｓ００５”において演算制御手段１０は、”ＷＷＷポートへのパケット”に分類されたパケットの送信元ＩＰアドレスを記憶手段１１に記録し、”ＷＷＷポートからのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットの応答コードを記憶手段１１に記録する。
【００４６】
図３中”Ｓ００６”において演算制御手段１０は。”ＷＷＷポートへのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットのメソッド及びバージョンを判定する。
【００４７】
例えば、演算制御手段１０は、”ＷＷＷポートへのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットが”ＰＯＳＴメソッド”、”ＧＥＴメソッド”、”ＨＥＡＤメソッド”、或いは、”その他のメソッド”であるか等を判定する。
【００４８】
また、例えば、演算制御手段１０は、”ＷＷＷポートへのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットが”ＨＴＴＰ０．９”、”ＨＴＴＰ１．０”、”ＨＴＴＰ１．１”、或いは、”その他のバージョン”であるか等を判定する。
【００４９】
図３中”Ｓ００７”において演算制御手段１０は、”ＷＷＷポートへのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットがターゲットとするＵＲＬのアスキー文字列のＳＵＭ値を演算する。
【００５０】
最後に、図３中”Ｓ００８”において演算制御手段１０は、”ＷＷＷポートへのパケット”且つ”ＨＴＴＰリプライパケット”に分類されたパケットの判定されたメソッド、バージョン及びＳＵＭ値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元ＩＰアドレスに対応付けて記憶手段１１に記録する。
【００５１】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数（ハッシュ値）を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【００５２】
このように、メソッド、バージョン及びＳＵＭ値等の複数の情報をハッシュ値として記録しておくことにより、記憶手段１１の記憶容量を節約することが可能になる。また、新たに取得したパケットのメソッド、バージョン及びＳＵＭ値等の複数の情報から生成されたハッシュ値が記憶手段１１に記憶されているハッシュ値と一致すれば同一のパケットであると判断することができる。
【００５３】
すなわち、ファイアウォール装置５０（具体的には、演算制御手段１０）は、不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバ８への転送をフィルタリング（遮断）すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録する。
【００５４】
このように記憶された情報は必要に応じてＩＳＰ（Internet Service Provider）の情報収集サーバ等にアップロードして提供することができ、攻撃パケットの対応に活用することが可能になる。
【００５５】
また、リバースプロキシサーバを用いないので、パケットを一旦蓄積する際に、クライアントとの間で接続を一旦確立する必要性はなく無駄なトラフィックを低減することができる。
【００５６】
この結果、ファイアウォール装置５０（具体的には、演算制御手段１０）が、不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバ８への転送をフィルタリング（遮断）すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
【００５７】
なお、図１に示す実施例の説明に際しては、分類されたパケットの判定されたメソッド、バージョン及びＳＵＭ値にハッシュ関数を適用してハッシュ値を生成する旨記載されているが、メソッド、バージョン及びＳＵＭ値それぞれにハッシュ関数を適用してハッシュ値を生成しても構わない。
【００５８】
また、記憶手段１１の記憶容量に余裕があれば、ハッシュ値に変換することなく、そのまま情報を記録しておいても構わない。
【００５９】
また、図１に示す実施例の説明では、記憶手段１１に記憶する情報としてはデータ量、送信元ＩＰアドレス、応答コード、ハッシュ値（具体的には、メソッド、バージョン及びＳＵＭ値）が例示されているが、勿論、これに限定される訳ではなく、データ量、送信元ＩＰアドレス、応答コード、或いは、ハッシュ値のうち少なくとも一つを記憶手段１１に記録するものであっても構わない。
【図面の簡単な説明】
【００６０】
【図１】本発明に係るファイアウォール装置が設置されたネットワークシステムの一実施例を示す構成ブロック図である。
【図２】ファイアウォール装置の具体例を示す構成ブロック図である。
【図３】ファイアウォール装置を構成する演算制御手段の動作を説明するフロー図である。
【図４】ファイアウォール装置が設置されたネットワークシステムの一例を示す構成ブロック図である。
【図５】ファイアウォール装置が設置されたネットワークシステムの他の一例を示す構成ブロック図である。
【符号の説明】
【００６１】
１侵入検知装置
２，４，７，５０ファイアウォール装置
３，６，８サーバ
５リバースプロキシサーバ
９，１２通信手段
１０演算制御手段
１１記憶手段
１００，１００ａ，１００ｂ，１０１，１０１ａネットワーク

【特許請求の範囲】
【請求項１】
ファイアウォール装置において、
ネットワークとの間で通信を行う第１の通信手段と、
攻撃対象となる機器との間で通信を行う第２の通信手段と、
記憶手段と、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段と
を備えたことを特徴とするファイアウォール装置。
【請求項２】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項３】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケットに分類されたパケットの送信元ＩＰアドレスを前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項４】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートからのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項５】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項６】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項７】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算して当該ＳＵＭ値を前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項８】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算し、
前記メソッド、前記バージョン及び前記ＳＵＭ値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元ＩＰアドレスに対応付けて前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項９】
前記演算制御手段が、
前記第１の通信手段で受信され不自然なアクセスと判断されたパケットの送信元ＩＰアドレスを取得して一定期間当該ＩＰアドレスからのパケットのサーバへの転送を遮断し、
不自然なアクセスと判断された前記パケットをＷＷＷポートへのパケット、ＷＷＷポートからのパケット、或いは、それ以外のパケットに分類し、
ＷＷＷポートへのパケットと、ＷＷＷポートからのパケットをデータパケット、或いは、ＨＴＴＰリプライパケットに分類し、
ＷＷＷポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、
ＷＷＷポートへのパケットに分類されたパケットの送信元ＩＰアドレスを前記記憶手段に記録し、
ＷＷＷポートからのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットのメソッド及びバージョンを判定し、
ＷＷＷポートへのパケット、且つ、ＨＴＴＰリプライパケットに分類されたパケットがターゲットとするＵＲＬのアスキー文字のＳＵＭ値を演算し、
前記メソッド、前記バージョン及び前記ＳＵＭ値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元ＩＰアドレスに対応付けて前記記憶手段に記録することを特徴とする
請求項１記載のファイアウォール装置。
【請求項１０】
前記演算制御手段が、
特定のＩＰアドレスからＰＯＳＴメソッド以外のメソッドで同じＵＲＬに対して繰り返しアクセスする場合、不自然なアクセスであると判断することを特徴とする
請求項１乃至請求項９のいずれかに記載のファイアウォール装置。
【請求項１１】
前記演算制御手段が、
特定のＩＰアドレスからＰＯＳＴメソッドで同じＵＲＬに大量のデータを送信する場合、不自然なアクセスであると判断することを特徴とする
請求項１乃至請求項９のいずれかに記載のファイアウォール装置。
【請求項１２】
前記演算制御手段が、
特定のＩＰアドレスから適当なＵＲＬに大量のアクセスを行う場合、不自然なアクセスであると判断することを特徴とする
請求項１乃至請求項９のいずれかに記載のファイアウォール装置。

【図１】