ファイアウォール装置
【課題】内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を遮断するシステムをファイアウォール上に設け、実用的で信頼性の高いファイアウォールを提供することを課題とする。
【解決手段】ユーザ識別信号および外部端末a特有の認証番号から、アクセス可能な正当なユーザかどうかを判断するログイン制御部7と、予めユーザ毎に接続可能なサーバαおよび通信プロトコルを登録したユーザデータベース9と、前記ログイン制御部で正当ユーザと判断されたユーザに対してユーザデータベース9のデータに基づいて通信ルートを設定するルーティング制御部11と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号の発信から通信路の使用状態を監視するハートビート制御部13とを備えたこと。
【解決手段】ユーザ識別信号および外部端末a特有の認証番号から、アクセス可能な正当なユーザかどうかを判断するログイン制御部7と、予めユーザ毎に接続可能なサーバαおよび通信プロトコルを登録したユーザデータベース9と、前記ログイン制御部で正当ユーザと判断されたユーザに対してユーザデータベース9のデータに基づいて通信ルートを設定するルーティング制御部11と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号の発信から通信路の使用状態を監視するハートビート制御部13とを備えたこと。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部ネットワークから内部ネットワークへの不正アクセスを遮断して、内部ネットワークを不正アクセスから保護するファイアウォール装置に関する。
【背景技術】
【0002】
インターネット等の外部ネットワークとLAN(Local Area Network)等の社内内部ネットワークとの間にファイアウォール装置を設けて、内部ネットワークへの不正アクセスや攻撃に対して防御していることが知られている。
外部ネットワーク上の端末から会社内部のネットワーク(内部ネットワーク)中の各種サーバにアクセスする際に、従来のファイアウォールは、当該端末のIP(Internet Protocol)アドレスやポート番号等をチェックし、内部ネットワークへの通過許可を制御する手段を有していた。
しかし、ファイアウォール自体は、内部ネットワーク上の各種サーバへのアクセス許否を制御する機能は有しておらず、そのため外部ユーザによる各サーバへのアクセス許否は、各サーバ自身が制御しなければならなかった。
【0003】
このため、内部ネットワーク上の各々のサーバにユーザ認証機能やアクセス制限機能を搭載し、アクセスが行なわれる都度各サーバで認証等を行なう必要があり、各サーバの負担が大きかった。
また、ファイアウォールを通過しさえすれば、外部ユーザが内部ネットワーク上を自由に行き来できるという環境は、セキュリティ上問題があった。
【0004】
一方、ファイアウォールに関する発明は種々提案されており、例えば、次の特許文献1(特開2001−236278号公報)、特許文献2(特開2003−85059号公報)に示されているような技術が知られている。
この特許文献1には、図7に示すように、ファイアウォール01のアクセス制御部02がデータベース03内に設定されたデータに基づいて、外部からの情報に含まれる送信元アドレス、宛先アドレス、及び該情報の使用するプロトコルあるいはプロトコルオプションの少なくとも一つの内容が、予めデータベース03内に設定されたものと異なるときに不正アクセスと判断して、システムから切り離すファイアウォールが示されている。
【0005】
また、特許文献2(特開2003−85059号公報)には、図8に示すようファイアウォール010の認証機能部011において、外部端末のアドレスと外部端末の使用者を識別するユーザ識別データとから使用者の認証を行う技術が示され、さらに、認証を受けた使用者は予め設定された複数のサーバから選択的にサービスを受けることができるとともに、その外部端末が変わってもサービスを受けることができる技術が示されている。
さらに、特許文献2には、通信路設定機能部012で通信路のデータ通信状況を監視して、予め設定された期間に通信路をデータが通らないときには通信路の設定を解除する等の技術も示されている。
【0006】
【特許文献1】特許2656181号公報
【特許文献2】特許3676964号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかし、前記特許文献1の技術においては、ファイアウォール上にはユーザの認証機能を搭載していないため、ユーザの認証を各サーバ自身で制御しなければならず、サーバの負担が依然生じる問題を有している。
また、特許文献2においては、ファイアウォール上で外部端末のアドレスからユーザ認証を行うことが示されているが、ユーザ端末のアドレスとして知られているIP(Internet Protocol)アドレスの場合には変更可能であるとともに、重複して設定可能であるため、セキュリティの信頼性の面で劣る。また、ユーザの使用端末が変更されてもアクセスが許可されるため、セキュリティの面で問題がある。
さらに、予め設定された期間に通信路をデータが通らないときには通信路の設定を解除することが示されているが、ユーザ端末が頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合には適切な通信路の解除が出来ない問題も残っており、実用的で高いセキュリティ効果を得ることができるファイアウォール装置が望まれている。
【0008】
そこで、本発明は、このような背景に鑑みなされたものであり、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを提供することを課題とする。
【課題を解決するための手段】
【0009】
前記課題を解決するため、請求項1記載の発明は、外部ネットワークから内部ネットワークへの不正アクセスを遮断するファイアウォール装置において、ユーザ名とパスワードとを含んだユーザ識別信号および外部端末特有の認証番号からアクセス可能な正当なユーザかどうかを判断するログイン制御部と、予めユーザ毎に接続可能な内部ネットワークのサーバおよび該サーバで利用可能な通信プロトコルを登録したユーザデータベースと、前記ログイン制御部で正当なユーザと判断したとき前記ユーザデータベースから接続可能なサーバへの通信ルートを設定するルーティング制御部と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するハートビート制御部とを備えて構成されることを特徴とするファイアウォール装置を提供する。
【0010】
かかる発明によれば、ログイン制御部で外部端末の使用者を識別するユーザ名とパスワードとを含んでなるユーザ識別信号、および外部端末特有の認証番号からユーザが正当であるかを判断するため、特に、外部端末特有の自己認証番号によって、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等よって、ユーザ端末が識別されるため、ユーザの認証精度が高まりセキュリティの信頼性が向上する。すなわち、これら自己認証番号は原則的に変更、重複して設定されていないため信頼性が向上するものである。
【0011】
さらに、ユーザ識別信号からの識別と、外部端末特有の認証番号からの識別との両方の信号に基づいてユーザを認証するため、セキュリティの信頼性が高い。
【0012】
また、ハートビート制御部によって、ユーザに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するため、ユーザ端末が頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合であっても、適切に通信路が閉じられていることを判断して通信ルートの設定解除が可能になるので、通信ルートの監視が効果的になされセキュリティが向上する。
【0013】
また、好ましくは請求項2記載の発明のように、前記ユーザ側で実施されるハートビート用プログラムによって発生するハートビート信号の間隔時間が前記ユーザ毎に可変設定されることを特徴とし、また、請求項3記載の発明のように前記ハートビート信号の間隔時間が前記ユーザデータベースに登録されていることを特徴とする。
【0014】
係る請求項2、3記載の発明によれば、予めユーザ毎に接続可能なサーバ、および通信プロトコルが設定されるため、ユーザと接続可能サーバとの関係から、データの使用状況が考えられるため、通信ルートの使用状況を監視するハートビート信号の間隔時間を適切な時間、例えば30秒、60秒のようにユーザ毎に設定することで、ユーザに応じた通信ルートの監視ができ、通信ルートの遮断を効果的に行なうことができる。
さらに、その間隔時間のデータをユーザデータベースに登録しておくことで、間隔時間の管理及び変更を容易に行なうことができる。
【0015】
また、請求項4記載の発明は、前記ハートビート用プログラムの送信を、前記ユーザ名とパスワードの情報入力画面を外部端末で表示させるためのプログラムとともに外部端末へ送信することを特徴とし、請求項5記載の発明は、前記ハートビート用プログラムの送信を、内部ネットワークのサーバから送付するデータとともに外部端末へ送信することを特徴とする。
【0016】
このように請求項4記載の発明によれば、ファイアウォールからユーザ端末へユーザ名/パスワードの入力画面用のプログラムを送ると同時に、また請求項5記載の発明によれば、内部ネットワークのサーバから実際のデータを送付すると同時にハートビート用プログラムを送付するため、ユーザは新たな操作を必要とせずにユーザ側の端末で実施されるハートビートプログラムをユーザに送付することができる。
【0017】
また、請求項6記載の発明は、前記ユーザ識別信号が、前記ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であることを特徴とし、かかる発明によれば、ユーザ認証をより高い精度をもって行うことができセキュリティを向上することができる。
【発明の効果】
【0018】
本発明によれば、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを得ることができる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して本発明の好適な実施の形態を例示的に詳しく説明する。但しこの実施の形態に記載されている構成部品の寸法、材質、形状、その相対的配置等は特に特定的な記載がない限りは、この発明の範囲をそれに限定する趣旨ではなく、単なる説明例に過ぎない。
【0020】
本発明の実施の形態について、適宜図面を参照しながら詳細に説明する。
参照する図面において、図1は本発明が適用されるネットワークの概要図である。図2は本発明に係るファイアウォール装置の構成図である。図3はログイン制御部のフローチャートである。図4はルーティング制御部のフローチャートである。図5はユーザデータベース内のデータテーブルの概要を示す説明図である。図6はハートビート制御部のフローチャートである。
【0021】
図1は、本実施形態に係るネットワークの概略構成図であり、インターネット1等の外部ネットワーク2とLAN等の社内の内部ネットワーク3との間にファイアウォール装置5を設けて構成されている。
外部ネットワーク2の外部端末a、b、cはインターネット1を介して内部ネットワーク3のサーバα、β、γへアクセスできるようになっている。つまり、後に詳述するが、概要はaが正当なユーザである場合には、外部端末aから送信された情報はインターネット1を介して、ファイアウォール装置5のログイン制御部7に入力され、ユーザ認証を行って正当なユーザと判断されて、ルーティング制御部11で予め登録されているアクセス可能なサーバαに通信ルートが設定され、サーバαと外部端末aとの間に通信路が形成されるようになるものである。
【0022】
ファイアウォール装置5の全体構成は、図2に示すようにユーザ名とパスワードとを含んだユーザ識別信号から、および外部端末特有のID(認証番号)からアクセス可能な正当なユーザかどうかを判断するログイン制御部7と、正当なユーザ毎に予めアクセス可能な内部ネットワーク3のサーバα、β、γおよび該サーバα、β、γで利用可能な通信プロトコルを登録したユーザデータベース9と、前記ログイン制御部7で正当なユーザと判断したときに前記ユーザデータベース9から接続可能なサーバα、β、γへの通信ルートを設定するルーティング制御部11と、外部端末aに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を外部端末aから発信させてユーザ側の使用状態を監視するハートビート制御部13とを備えて構成されている。
【0023】
ログイン制御部7の作動について、図3のフローチャートを参照して説明する。ステップS1で制御を開始すると、まずステップS2で外部ネットワーク2に接続された外部端末aから、内部ネットワーク3のサーバαへのアクセス信号を受信する。そして、次にステップS3でユーザ名とパスワードの入力画面表示用の専用プログラムを外部端末aに送信する。
【0024】
その後、ステップS4で、外部端末aで前記専用プログラムが作動して、その端末a特有のID(認証番号)、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等、および使用者によるユーザ名およびパスワードの入力情報を受信する。
【0025】
そして、ステップS5で、受信したID番号およびユーザ名とパスワードの入力情報を、ユーザデータベース9に登録されているデータと比較し、合致しなければステップS6で外部端末aからのアクセスを不正アクセスとして拒否する。合致していればステップS7でユーザを特定してアクセスを許可する。そしてステップS8で終了する。
【0026】
以上のような動作によって、ログイン制御部7では、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等よって、ユーザ端末が識別されるため、ユーザの認証精度が高まりセキュリティの信頼性が向上する。すなわち、これらMACアドレスやボリュームシリアル番号のような自己認証番号は原則的に変更、重複して設定されていないためIPアドレスよりも認証精度が高まり信頼性が向上する。
さらに、ユーザ名とパスワードとからなるユーザ識別信号からの識別と、外部端末特有のID番号(認証番号)からの識別との両方の信号に基づいて、ユーザが正当であるかを判断しているため、セキュリティの信頼性が高い。
【0027】
また、ユーザ識別信号が、ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であってもよく、この場合には、ユーザ認証をより高い精度をもって行うことができセキュリティを向上することができる。
【0028】
次に、ルーティング制御部11について図4のフローチャートを参照して説明する。
まず、ステップS10でスタートし、ステップS11でログイン制御部7で許可した例えば外部端末aのユーザの特定を行い、ステップS12で外部端末aのユーザに対して、許可できる接続先サーバ、そのサーバに適用して許可できるサービス名(通信プロトコル)を、ユーザデータベース9に登録されているデータから選択する。そして、ステップS13でその選択したサーバ及び通信プロトコルによって通信ルートを設定する。
【0029】
図5に、ユーザデータベース9に収納されているデータテーブルの例を示す。例えば、許可された外部端末a、この外部端末aはID番号によって特定され、さらにその端末の使用者(ユーザ)Aはユーザ名とパスワードによって特定される。そして、使用者がAで端末がaの場合には、テーブルの設定条件でサーバとの接続が許可される。なお、端末bで使用者がBの場合に許可され、端末aで使用者Bの場合や、端末aで使用者Bの場合には、許可されない。
そして、許可されると、ユーザAによる外部端末aの使用に対しては、ハートビート信号が30秒ごとの設定となる。そして許可サーバがα、βであり、サーバαでは許可プロトコルがHTTP(Hyper Text Transfer Protocol)であり、サーバβでは許可プロトコルがHTTPとFTP(File Transfer Protocol)である。
【0030】
この例では、アクセス要求時のプロトコルがFTPの場合には、サーバβに通信ルートが設定される。また、アクセス要求時のプロトコルがHTTPの場合には、サーバα、βの何れにも接続できるようになっている。この通信ルートの設定において各サーバのIPアドレス、ポートNoが、ユーザデータベース9内に登録されているため、該データをルーティング制御部11で設定して許可サーバαまたはβへの通信ルートが接続される。
【0031】
そして、ステップS14において、設定された通信ルート(図2の点線)によって、外部端末aとサーバαとの通信が実行されて、サーバαからユーザにデータ表示用HTML(Hyper Text Markup Language)が送られる。
ステップS15で外部端末aとサーバαとの通信が終了すると通信ルートの設定が解除されて、ステップS16で終了する。
なお、ステップS15で通信ルートの設定が解除されると、前記ログイン制御部7でのユーザ認証および前記ステップS12、13で選択、設定した条件が全て解除されるため、再度ログインする場合には、改めてログイン制御部7でのユーザ認証から入る必要がある。
【0032】
次に、ハートビート制御部13について説明する。このハートビート制御部13は、図2に示すように、ログイン制御部7から信号を受けて、外部端末aにハートビート用プログラムを送信して、その信号を受信して通信ルートの状況を監視し、ハートビート信号が途絶えたときにハートビート制御部13からルーティング制御部11に通信ルートを遮断する指示を行っている。
【0033】
図6のフローチャートを参照して、さらに説明する。
ステップS20で制御を開始すると、まずステップS21で外部ネットワーク2に接続された外部端末aから、内部ネットワーク3のサーバαへのアクセス信号を受信する。
そして、ステップS22で、ハートビート用プログラムを外部端末aへ送信する。この送信は、ログイン制御部7のフローチャート(図3参照)のステップS3でユーザ名とパスワードの入力画面表示用の専用プログラムを外部端末aに送付するのと同時に送信されるか、または、ルーティング制御部11のフローチャート(図4参照)のステップS14でルート設定された後に実際のデータをサーバαが外部端末aに送信するのと同時に送信される。
【0034】
そして、次のステップS23によって、ユーザデータベース9に登録されている端末aに対応したハートビート時間によって、端末aとサーバαとが接続されているときには、その間隔でハートビート信号が端末aからサーバαに送信されてくるため、ハートビート制御部13ではこの信号を受信して通信ルートがつながっていることが確認する。
なお、このハービート信号とは、一般にネットワーク上で、コンピュータやネットワーク機器が自身が正常に稼動していることを外部に知らせるために送る信号のことをいう。
【0035】
次に、ステップS24で、ハートビート信号が途絶えたかどうかが判断され、途絶えていなければ、ステップS25で通信ルートがまだ維持されているため、そのままの状態を維持して、ステップS27で終了する。また、ステップS24で、ハートビート信号が途絶えたと判断した場合には、ハートビート制御部13からルーティング制御部11へ通信ルートの遮断を指示し、ルーティング制御部11が通信ルートを閉じてステップS27で終了する。
【0036】
以上のように、ハートビート制御部13によって、ユーザに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめてユーザ側の使用状態を監視するため、外部端末aが頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合であっても、適切に通信ルートが閉じられていることを判断して、通信ルートの設定解除が可能になるので、通信ルートの監視が効果的になされセキュリティが向上する。
【0037】
さらに、予めユーザ毎に接続可能なサーバ、および通信プロトコルが設定されるため、ユーザと接続可能サーバとの関係から、データの使用状況が考えられるため、通信ルートの使用状況を監視するハートビート信号の間隔時間を適切な時間、例えば30秒、60秒のように設定することで、ユーザに応じた通信ルートの監視ができ、通信ルートの解除を効果的に行なうことができる。また、その間隔時間のデータをユーザデータベース9に登録しておくことで、間隔時間の管理及び変更を容易に行なうことができる。
【0038】
さらに、ファイアウォール側からユーザ端末へユーザ名/パスワードの入力画面用のプログラムを送ると同時に、また内部ネットワークのサーバから実際のデータを送付すると同時にハートビート用プログラムを送付するため、ユーザに新たな操作を必要とせずにユーザ端末で実施されるハートビートプログラムをユーザに送付することができる。
【産業上の利用可能性】
【0039】
本発明によれば、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを得ることができるので、ファイアウォール装置への適用に際して有益である。
【図面の簡単な説明】
【0040】
【図1】本発明のファイアウォール装置が適用されるネットワークの概要図である。
【図2】本発明のファイアウォール装置の構成図である。
【図3】ログイン制御部のフローチャートである。
【図4】ルーティング制御部のフローチャートである。
【図5】ユーザデータベース内のデータテーブルの概要を示す説明図である。
【図6】ハートビート制御部のフローチャートである。
【図7】従来技術の全体構成説明図である。
【図8】従来技術の全体構成説明図である。
【符号の説明】
【0041】
1 インターネット
2 外部ネットワーク
3 内部ネットワーク
5 ファイアウォール装置
7 ログイン制御部
9 ユーザデータベース
11 ルーティング制御部
13 ハートビート制御部
a、b、c 外部端末
α、β、γ サーバ
【技術分野】
【0001】
本発明は、外部ネットワークから内部ネットワークへの不正アクセスを遮断して、内部ネットワークを不正アクセスから保護するファイアウォール装置に関する。
【背景技術】
【0002】
インターネット等の外部ネットワークとLAN(Local Area Network)等の社内内部ネットワークとの間にファイアウォール装置を設けて、内部ネットワークへの不正アクセスや攻撃に対して防御していることが知られている。
外部ネットワーク上の端末から会社内部のネットワーク(内部ネットワーク)中の各種サーバにアクセスする際に、従来のファイアウォールは、当該端末のIP(Internet Protocol)アドレスやポート番号等をチェックし、内部ネットワークへの通過許可を制御する手段を有していた。
しかし、ファイアウォール自体は、内部ネットワーク上の各種サーバへのアクセス許否を制御する機能は有しておらず、そのため外部ユーザによる各サーバへのアクセス許否は、各サーバ自身が制御しなければならなかった。
【0003】
このため、内部ネットワーク上の各々のサーバにユーザ認証機能やアクセス制限機能を搭載し、アクセスが行なわれる都度各サーバで認証等を行なう必要があり、各サーバの負担が大きかった。
また、ファイアウォールを通過しさえすれば、外部ユーザが内部ネットワーク上を自由に行き来できるという環境は、セキュリティ上問題があった。
【0004】
一方、ファイアウォールに関する発明は種々提案されており、例えば、次の特許文献1(特開2001−236278号公報)、特許文献2(特開2003−85059号公報)に示されているような技術が知られている。
この特許文献1には、図7に示すように、ファイアウォール01のアクセス制御部02がデータベース03内に設定されたデータに基づいて、外部からの情報に含まれる送信元アドレス、宛先アドレス、及び該情報の使用するプロトコルあるいはプロトコルオプションの少なくとも一つの内容が、予めデータベース03内に設定されたものと異なるときに不正アクセスと判断して、システムから切り離すファイアウォールが示されている。
【0005】
また、特許文献2(特開2003−85059号公報)には、図8に示すようファイアウォール010の認証機能部011において、外部端末のアドレスと外部端末の使用者を識別するユーザ識別データとから使用者の認証を行う技術が示され、さらに、認証を受けた使用者は予め設定された複数のサーバから選択的にサービスを受けることができるとともに、その外部端末が変わってもサービスを受けることができる技術が示されている。
さらに、特許文献2には、通信路設定機能部012で通信路のデータ通信状況を監視して、予め設定された期間に通信路をデータが通らないときには通信路の設定を解除する等の技術も示されている。
【0006】
【特許文献1】特許2656181号公報
【特許文献2】特許3676964号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかし、前記特許文献1の技術においては、ファイアウォール上にはユーザの認証機能を搭載していないため、ユーザの認証を各サーバ自身で制御しなければならず、サーバの負担が依然生じる問題を有している。
また、特許文献2においては、ファイアウォール上で外部端末のアドレスからユーザ認証を行うことが示されているが、ユーザ端末のアドレスとして知られているIP(Internet Protocol)アドレスの場合には変更可能であるとともに、重複して設定可能であるため、セキュリティの信頼性の面で劣る。また、ユーザの使用端末が変更されてもアクセスが許可されるため、セキュリティの面で問題がある。
さらに、予め設定された期間に通信路をデータが通らないときには通信路の設定を解除することが示されているが、ユーザ端末が頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合には適切な通信路の解除が出来ない問題も残っており、実用的で高いセキュリティ効果を得ることができるファイアウォール装置が望まれている。
【0008】
そこで、本発明は、このような背景に鑑みなされたものであり、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを提供することを課題とする。
【課題を解決するための手段】
【0009】
前記課題を解決するため、請求項1記載の発明は、外部ネットワークから内部ネットワークへの不正アクセスを遮断するファイアウォール装置において、ユーザ名とパスワードとを含んだユーザ識別信号および外部端末特有の認証番号からアクセス可能な正当なユーザかどうかを判断するログイン制御部と、予めユーザ毎に接続可能な内部ネットワークのサーバおよび該サーバで利用可能な通信プロトコルを登録したユーザデータベースと、前記ログイン制御部で正当なユーザと判断したとき前記ユーザデータベースから接続可能なサーバへの通信ルートを設定するルーティング制御部と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するハートビート制御部とを備えて構成されることを特徴とするファイアウォール装置を提供する。
【0010】
かかる発明によれば、ログイン制御部で外部端末の使用者を識別するユーザ名とパスワードとを含んでなるユーザ識別信号、および外部端末特有の認証番号からユーザが正当であるかを判断するため、特に、外部端末特有の自己認証番号によって、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等よって、ユーザ端末が識別されるため、ユーザの認証精度が高まりセキュリティの信頼性が向上する。すなわち、これら自己認証番号は原則的に変更、重複して設定されていないため信頼性が向上するものである。
【0011】
さらに、ユーザ識別信号からの識別と、外部端末特有の認証番号からの識別との両方の信号に基づいてユーザを認証するため、セキュリティの信頼性が高い。
【0012】
また、ハートビート制御部によって、ユーザに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するため、ユーザ端末が頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合であっても、適切に通信路が閉じられていることを判断して通信ルートの設定解除が可能になるので、通信ルートの監視が効果的になされセキュリティが向上する。
【0013】
また、好ましくは請求項2記載の発明のように、前記ユーザ側で実施されるハートビート用プログラムによって発生するハートビート信号の間隔時間が前記ユーザ毎に可変設定されることを特徴とし、また、請求項3記載の発明のように前記ハートビート信号の間隔時間が前記ユーザデータベースに登録されていることを特徴とする。
【0014】
係る請求項2、3記載の発明によれば、予めユーザ毎に接続可能なサーバ、および通信プロトコルが設定されるため、ユーザと接続可能サーバとの関係から、データの使用状況が考えられるため、通信ルートの使用状況を監視するハートビート信号の間隔時間を適切な時間、例えば30秒、60秒のようにユーザ毎に設定することで、ユーザに応じた通信ルートの監視ができ、通信ルートの遮断を効果的に行なうことができる。
さらに、その間隔時間のデータをユーザデータベースに登録しておくことで、間隔時間の管理及び変更を容易に行なうことができる。
【0015】
また、請求項4記載の発明は、前記ハートビート用プログラムの送信を、前記ユーザ名とパスワードの情報入力画面を外部端末で表示させるためのプログラムとともに外部端末へ送信することを特徴とし、請求項5記載の発明は、前記ハートビート用プログラムの送信を、内部ネットワークのサーバから送付するデータとともに外部端末へ送信することを特徴とする。
【0016】
このように請求項4記載の発明によれば、ファイアウォールからユーザ端末へユーザ名/パスワードの入力画面用のプログラムを送ると同時に、また請求項5記載の発明によれば、内部ネットワークのサーバから実際のデータを送付すると同時にハートビート用プログラムを送付するため、ユーザは新たな操作を必要とせずにユーザ側の端末で実施されるハートビートプログラムをユーザに送付することができる。
【0017】
また、請求項6記載の発明は、前記ユーザ識別信号が、前記ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であることを特徴とし、かかる発明によれば、ユーザ認証をより高い精度をもって行うことができセキュリティを向上することができる。
【発明の効果】
【0018】
本発明によれば、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを得ることができる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して本発明の好適な実施の形態を例示的に詳しく説明する。但しこの実施の形態に記載されている構成部品の寸法、材質、形状、その相対的配置等は特に特定的な記載がない限りは、この発明の範囲をそれに限定する趣旨ではなく、単なる説明例に過ぎない。
【0020】
本発明の実施の形態について、適宜図面を参照しながら詳細に説明する。
参照する図面において、図1は本発明が適用されるネットワークの概要図である。図2は本発明に係るファイアウォール装置の構成図である。図3はログイン制御部のフローチャートである。図4はルーティング制御部のフローチャートである。図5はユーザデータベース内のデータテーブルの概要を示す説明図である。図6はハートビート制御部のフローチャートである。
【0021】
図1は、本実施形態に係るネットワークの概略構成図であり、インターネット1等の外部ネットワーク2とLAN等の社内の内部ネットワーク3との間にファイアウォール装置5を設けて構成されている。
外部ネットワーク2の外部端末a、b、cはインターネット1を介して内部ネットワーク3のサーバα、β、γへアクセスできるようになっている。つまり、後に詳述するが、概要はaが正当なユーザである場合には、外部端末aから送信された情報はインターネット1を介して、ファイアウォール装置5のログイン制御部7に入力され、ユーザ認証を行って正当なユーザと判断されて、ルーティング制御部11で予め登録されているアクセス可能なサーバαに通信ルートが設定され、サーバαと外部端末aとの間に通信路が形成されるようになるものである。
【0022】
ファイアウォール装置5の全体構成は、図2に示すようにユーザ名とパスワードとを含んだユーザ識別信号から、および外部端末特有のID(認証番号)からアクセス可能な正当なユーザかどうかを判断するログイン制御部7と、正当なユーザ毎に予めアクセス可能な内部ネットワーク3のサーバα、β、γおよび該サーバα、β、γで利用可能な通信プロトコルを登録したユーザデータベース9と、前記ログイン制御部7で正当なユーザと判断したときに前記ユーザデータベース9から接続可能なサーバα、β、γへの通信ルートを設定するルーティング制御部11と、外部端末aに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を外部端末aから発信させてユーザ側の使用状態を監視するハートビート制御部13とを備えて構成されている。
【0023】
ログイン制御部7の作動について、図3のフローチャートを参照して説明する。ステップS1で制御を開始すると、まずステップS2で外部ネットワーク2に接続された外部端末aから、内部ネットワーク3のサーバαへのアクセス信号を受信する。そして、次にステップS3でユーザ名とパスワードの入力画面表示用の専用プログラムを外部端末aに送信する。
【0024】
その後、ステップS4で、外部端末aで前記専用プログラムが作動して、その端末a特有のID(認証番号)、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等、および使用者によるユーザ名およびパスワードの入力情報を受信する。
【0025】
そして、ステップS5で、受信したID番号およびユーザ名とパスワードの入力情報を、ユーザデータベース9に登録されているデータと比較し、合致しなければステップS6で外部端末aからのアクセスを不正アクセスとして拒否する。合致していればステップS7でユーザを特定してアクセスを許可する。そしてステップS8で終了する。
【0026】
以上のような動作によって、ログイン制御部7では、例えば、MACアドレス(Media Access Control Address)、ボリュームシリアル番号等よって、ユーザ端末が識別されるため、ユーザの認証精度が高まりセキュリティの信頼性が向上する。すなわち、これらMACアドレスやボリュームシリアル番号のような自己認証番号は原則的に変更、重複して設定されていないためIPアドレスよりも認証精度が高まり信頼性が向上する。
さらに、ユーザ名とパスワードとからなるユーザ識別信号からの識別と、外部端末特有のID番号(認証番号)からの識別との両方の信号に基づいて、ユーザが正当であるかを判断しているため、セキュリティの信頼性が高い。
【0027】
また、ユーザ識別信号が、ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であってもよく、この場合には、ユーザ認証をより高い精度をもって行うことができセキュリティを向上することができる。
【0028】
次に、ルーティング制御部11について図4のフローチャートを参照して説明する。
まず、ステップS10でスタートし、ステップS11でログイン制御部7で許可した例えば外部端末aのユーザの特定を行い、ステップS12で外部端末aのユーザに対して、許可できる接続先サーバ、そのサーバに適用して許可できるサービス名(通信プロトコル)を、ユーザデータベース9に登録されているデータから選択する。そして、ステップS13でその選択したサーバ及び通信プロトコルによって通信ルートを設定する。
【0029】
図5に、ユーザデータベース9に収納されているデータテーブルの例を示す。例えば、許可された外部端末a、この外部端末aはID番号によって特定され、さらにその端末の使用者(ユーザ)Aはユーザ名とパスワードによって特定される。そして、使用者がAで端末がaの場合には、テーブルの設定条件でサーバとの接続が許可される。なお、端末bで使用者がBの場合に許可され、端末aで使用者Bの場合や、端末aで使用者Bの場合には、許可されない。
そして、許可されると、ユーザAによる外部端末aの使用に対しては、ハートビート信号が30秒ごとの設定となる。そして許可サーバがα、βであり、サーバαでは許可プロトコルがHTTP(Hyper Text Transfer Protocol)であり、サーバβでは許可プロトコルがHTTPとFTP(File Transfer Protocol)である。
【0030】
この例では、アクセス要求時のプロトコルがFTPの場合には、サーバβに通信ルートが設定される。また、アクセス要求時のプロトコルがHTTPの場合には、サーバα、βの何れにも接続できるようになっている。この通信ルートの設定において各サーバのIPアドレス、ポートNoが、ユーザデータベース9内に登録されているため、該データをルーティング制御部11で設定して許可サーバαまたはβへの通信ルートが接続される。
【0031】
そして、ステップS14において、設定された通信ルート(図2の点線)によって、外部端末aとサーバαとの通信が実行されて、サーバαからユーザにデータ表示用HTML(Hyper Text Markup Language)が送られる。
ステップS15で外部端末aとサーバαとの通信が終了すると通信ルートの設定が解除されて、ステップS16で終了する。
なお、ステップS15で通信ルートの設定が解除されると、前記ログイン制御部7でのユーザ認証および前記ステップS12、13で選択、設定した条件が全て解除されるため、再度ログインする場合には、改めてログイン制御部7でのユーザ認証から入る必要がある。
【0032】
次に、ハートビート制御部13について説明する。このハートビート制御部13は、図2に示すように、ログイン制御部7から信号を受けて、外部端末aにハートビート用プログラムを送信して、その信号を受信して通信ルートの状況を監視し、ハートビート信号が途絶えたときにハートビート制御部13からルーティング制御部11に通信ルートを遮断する指示を行っている。
【0033】
図6のフローチャートを参照して、さらに説明する。
ステップS20で制御を開始すると、まずステップS21で外部ネットワーク2に接続された外部端末aから、内部ネットワーク3のサーバαへのアクセス信号を受信する。
そして、ステップS22で、ハートビート用プログラムを外部端末aへ送信する。この送信は、ログイン制御部7のフローチャート(図3参照)のステップS3でユーザ名とパスワードの入力画面表示用の専用プログラムを外部端末aに送付するのと同時に送信されるか、または、ルーティング制御部11のフローチャート(図4参照)のステップS14でルート設定された後に実際のデータをサーバαが外部端末aに送信するのと同時に送信される。
【0034】
そして、次のステップS23によって、ユーザデータベース9に登録されている端末aに対応したハートビート時間によって、端末aとサーバαとが接続されているときには、その間隔でハートビート信号が端末aからサーバαに送信されてくるため、ハートビート制御部13ではこの信号を受信して通信ルートがつながっていることが確認する。
なお、このハービート信号とは、一般にネットワーク上で、コンピュータやネットワーク機器が自身が正常に稼動していることを外部に知らせるために送る信号のことをいう。
【0035】
次に、ステップS24で、ハートビート信号が途絶えたかどうかが判断され、途絶えていなければ、ステップS25で通信ルートがまだ維持されているため、そのままの状態を維持して、ステップS27で終了する。また、ステップS24で、ハートビート信号が途絶えたと判断した場合には、ハートビート制御部13からルーティング制御部11へ通信ルートの遮断を指示し、ルーティング制御部11が通信ルートを閉じてステップS27で終了する。
【0036】
以上のように、ハートビート制御部13によって、ユーザに対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめてユーザ側の使用状態を監視するため、外部端末aが頻繁に信号を発する使用機器でない場合、または頻繁にデータのやり取りをしないサービス提供の場合であっても、適切に通信ルートが閉じられていることを判断して、通信ルートの設定解除が可能になるので、通信ルートの監視が効果的になされセキュリティが向上する。
【0037】
さらに、予めユーザ毎に接続可能なサーバ、および通信プロトコルが設定されるため、ユーザと接続可能サーバとの関係から、データの使用状況が考えられるため、通信ルートの使用状況を監視するハートビート信号の間隔時間を適切な時間、例えば30秒、60秒のように設定することで、ユーザに応じた通信ルートの監視ができ、通信ルートの解除を効果的に行なうことができる。また、その間隔時間のデータをユーザデータベース9に登録しておくことで、間隔時間の管理及び変更を容易に行なうことができる。
【0038】
さらに、ファイアウォール側からユーザ端末へユーザ名/パスワードの入力画面用のプログラムを送ると同時に、また内部ネットワークのサーバから実際のデータを送付すると同時にハートビート用プログラムを送付するため、ユーザに新たな操作を必要とせずにユーザ端末で実施されるハートビートプログラムをユーザに送付することができる。
【産業上の利用可能性】
【0039】
本発明によれば、内部ネットワークの各サーバに認証等の負担を負わせることなく、セキュリティの信頼性の高いユーザ認証機能をファイアウォール上に持たせるとともに、不使用時に通信路の接続を適切に遮断するシステムをファイアウォール上に設けて、実用的で信頼性の高いファイアウォールを得ることができるので、ファイアウォール装置への適用に際して有益である。
【図面の簡単な説明】
【0040】
【図1】本発明のファイアウォール装置が適用されるネットワークの概要図である。
【図2】本発明のファイアウォール装置の構成図である。
【図3】ログイン制御部のフローチャートである。
【図4】ルーティング制御部のフローチャートである。
【図5】ユーザデータベース内のデータテーブルの概要を示す説明図である。
【図6】ハートビート制御部のフローチャートである。
【図7】従来技術の全体構成説明図である。
【図8】従来技術の全体構成説明図である。
【符号の説明】
【0041】
1 インターネット
2 外部ネットワーク
3 内部ネットワーク
5 ファイアウォール装置
7 ログイン制御部
9 ユーザデータベース
11 ルーティング制御部
13 ハートビート制御部
a、b、c 外部端末
α、β、γ サーバ
【特許請求の範囲】
【請求項1】
外部ネットワークから内部ネットワークへの不正アクセスを遮断するファイアウォール装置において、ユーザ名とパスワードとを含んだユーザ識別信号および外部端末特有の認証番号からアクセス可能な正当なユーザかどうかを判断するログイン制御部と、予めユーザ毎に接続可能な内部ネットワークのサーバおよび該サーバで利用可能な通信プロトコルを登録したユーザデータベースと、前記ログイン制御部で正当なユーザと判断したとき前記ユーザデータベースから接続可能なサーバへの通信ルートを設定するルーティング制御部と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するハートビート制御部とを備えて構成されることを特徴とするファイアウォール装置。
【請求項2】
前記ユーザ側で実施されるハートビート用プログラムによって発生するハートビート信号の間隔時間が前記ユーザ毎に可変設定されることを特徴とする請求項1記載のファイアウォール装置。
【請求項3】
前記ハートビート信号の間隔時間が前記ユーザデータベースに登録されていることを特徴とする請求項2記載のファイアウォール装置。
【請求項4】
前記ハートビート用プログラムの送信を、前記ユーザ名とパスワードの情報入力画面を外部端末で表示させるためのプログラムとともに外部端末へ送信することを特徴とする請求項1記載のファイアウォール装置。
【請求項5】
前記ハートビート用プログラムの送信を、内部ネットワークのサーバから送付するデータとともに外部端末へ送信することを特徴とする請求項1記載のファイアウォール装置。
【請求項6】
前記ユーザ識別信号が、前記ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であることを特徴とする前記請求項の何れかに記載のファイアウォール装置。
【請求項1】
外部ネットワークから内部ネットワークへの不正アクセスを遮断するファイアウォール装置において、ユーザ名とパスワードとを含んだユーザ識別信号および外部端末特有の認証番号からアクセス可能な正当なユーザかどうかを判断するログイン制御部と、予めユーザ毎に接続可能な内部ネットワークのサーバおよび該サーバで利用可能な通信プロトコルを登録したユーザデータベースと、前記ログイン制御部で正当なユーザと判断したとき前記ユーザデータベースから接続可能なサーバへの通信ルートを設定するルーティング制御部と、外部端末に対してユーザ側で実施されるハートビートプログラムを送信してハートビート信号を発信せしめて通信路の使用状態を監視するハートビート制御部とを備えて構成されることを特徴とするファイアウォール装置。
【請求項2】
前記ユーザ側で実施されるハートビート用プログラムによって発生するハートビート信号の間隔時間が前記ユーザ毎に可変設定されることを特徴とする請求項1記載のファイアウォール装置。
【請求項3】
前記ハートビート信号の間隔時間が前記ユーザデータベースに登録されていることを特徴とする請求項2記載のファイアウォール装置。
【請求項4】
前記ハートビート用プログラムの送信を、前記ユーザ名とパスワードの情報入力画面を外部端末で表示させるためのプログラムとともに外部端末へ送信することを特徴とする請求項1記載のファイアウォール装置。
【請求項5】
前記ハートビート用プログラムの送信を、内部ネットワークのサーバから送付するデータとともに外部端末へ送信することを特徴とする請求項1記載のファイアウォール装置。
【請求項6】
前記ユーザ識別信号が、前記ユーザ名とパスワードに代えて、または加えて指紋認証等のユーザ固有の信号であることを特徴とする前記請求項の何れかに記載のファイアウォール装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2008−225664(P2008−225664A)
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2007−60474(P2007−60474)
【出願日】平成19年3月9日(2007.3.9)
【出願人】(000006208)三菱重工業株式会社 (10,378)
【Fターム(参考)】
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成19年3月9日(2007.3.9)
【出願人】(000006208)三菱重工業株式会社 (10,378)
【Fターム(参考)】
[ Back to top ]