フィルタ装置
【課題】既存設備のアドレス変更を行うことなく導入することのできるフィルタ装置を得る。
【解決手段】ネットワークを介して受信した信号をフィルタリングしてサーバ装置200に送信するフィルタ装置1であって、設定されたフィルタリングルールに基づいて信号をサーバ装置200に送るか否かを判定し、サーバ装置200に送るものと判断した信号を送出するリレー型のフィルタ機能部21と、受信した信号に含まれる宛先アドレスをフィルタ機能部21のアドレスに変換するとともに、フィルタ機能部21から送出された信号に含まれる宛先アドレスをサーバ装置200のアドレスに変換するアドレス変換部13、及び、ネットワークを介して信号を受信するとともにフィルタ機能部21との間で信号を送受信する通信部12を有する透過機能部11と、を備えた。
【解決手段】ネットワークを介して受信した信号をフィルタリングしてサーバ装置200に送信するフィルタ装置1であって、設定されたフィルタリングルールに基づいて信号をサーバ装置200に送るか否かを判定し、サーバ装置200に送るものと判断した信号を送出するリレー型のフィルタ機能部21と、受信した信号に含まれる宛先アドレスをフィルタ機能部21のアドレスに変換するとともに、フィルタ機能部21から送出された信号に含まれる宛先アドレスをサーバ装置200のアドレスに変換するアドレス変換部13、及び、ネットワークを介して信号を受信するとともにフィルタ機能部21との間で信号を送受信する通信部12を有する透過機能部11と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアントとサーバとの間で送受信されるパケットの通過や破棄を選択的に行うパケットフィルタ装置に関する。
【背景技術】
【0002】
従来、サーバとクライアントとを備えるサーバ−クライアントシステムにおいて、インターネットを介した電子メール等のやり取りが行われている。そして、いわゆる迷惑メールが大きな問題となっており、このような迷惑メールの対策技術として、「通常のメールサーバとインターネットの問に、本発明の迷惑メール防止装置であるフィルタ装置を接続し、クライアントから送信された電子メールを前記フィルタ装置によってメールサーバへ中継する。」というものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−150513号公報(第4頁、図1)
【発明の概要】
【発明が解決しようとする課題】
【0004】
企業や家庭等においては、外部から内部へ送信されるウイルスメールやスパムメールを排除し、また、内部から外部へ送信されるメールに対してはコンプライアンスの観点からチェックすることを目的として、フィルタ装置が欠かせないものとなっている。
【0005】
上記特許文献1に記載のものは、サーバとクライアントとの間に介在されるいわゆる「リレー型」のフィルタ装置に関する技術である。このようなリレー型のフィルタ装置は、既存のシステムに導入する際の導入障壁が高いという課題があった。すなわち、サーバとクライアントとの間にフィルタ装置を介在させるため、導入時には、既存設備のアドレス設定等の変更作業が必要であった。具体的には、ドメインネームサーバ(DNSサーバ)においては、MXレコード(Mail Exchanger)を既存のメールサーバからリレー型のフィルタ装置に変更する必要がある。また、公開用のメールサーバにおいては、メールを外部に送信する際のネクストホップ(中継先のIPアドレス)を、リレー型のフィルタ装置とする必要がある。さらに、企業内等において公開用のメールサーバの前段に内部用のメールサーバを備えている場合には、内部用メールサーバの外部送信時のネクストホップ(中継先のIPアドレス)を、公開用のメールサーバからリレー型のフィルタ装置に変更する必要がある。
【0006】
例えば上記のようなアドレス設定の変更作業においてミスが生じた場合には、電子メールの送受信停止等のトラブルが発生し、業務等の社会生活に与える影響が大きかった。また、システムの規模によってはアドレス設定の変更作業に要する作業工数も多大となり、コストも増加していた。このようなトラブルの懸念やコスト高などの理由から、リレー型のフィルタ装置の導入をためらうユーザーも少なくなかった。
また、この種のフィルタ装置は、フィルタ機能の精度や運用・管理の操作性等を検証することを目的として、企業等に本格的に導入される前に、試験的に導入される場合がある。このような試験導入においても、上述したようなアドレス設定変更に伴うトラブルの懸念やコスト高などの課題があり、ユーザーにとっての導入障壁となっていた。
【0007】
したがって、既存機器のアドレス設定等の変更を行うことなく導入することのできる、導入障壁の小さいリレー型のフィルタ装置が望まれていた。
【0008】
本発明は、上記のような課題を解決するためになされたものであり、既存設備のアドレス変更を行うことなく導入することのできるフィルタ装置を提供するものである。
【課題を解決するための手段】
【0009】
本発明に係るフィルタ装置は、ネットワークを介して受信した信号をフィルタリングしてサーバに送信するフィルタ装置であって、設定されたフィルタリングルールに基づいて前記信号を前記サーバに送るか否かを判定し、前記サーバに送るものと判断した信号を送出するリレー型フィルタ手段と、前記受信した信号に含まれる宛先アドレスを前記リレー型フィルタ手段のアドレスに変換する入力アドレス変換部、前記リレー型フィルタ手段から送出された信号に含まれる宛先アドレスを前記サーバのアドレスに変換する出力アドレス変換部、及び、前記ネットワークを介して信号を受信するとともに前記リレー型フィルタ手段との間で信号を送受信する通信部を有するパケット透過手段と、を備えたものである。
【発明の効果】
【0010】
本発明によれば、既存機器のアドレス設定等の変更を行うことなく、サーバとクライアントとの間に導入することができるパケットのフィルタ装置を得ることができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態に係るメールシステムのシステム構成を示すブロック図である。
【図2】実施の形態に係るシステムのネットワーク構成を説明する図である。
【図3】実施の形態に係る電子メール送信時の動作を説明する図である。
【図4】実施の形態に係る電子メール受信時の動作を説明する図である。
【図5】実施の形態に係る管理者用PC−フィルタ機能部間でのHTTP通信時の動作を説明する図である。
【発明を実施するための形態】
【0012】
実施の形態.
図1は、本発明の実施の形態に係るメールシステム100のシステム構成を説明する図である。以下、図1を用いて、実施の形態に係るシステム構成について説明する。
【0013】
[システム構成]
図1に示すように、実施の形態に係るメールシステム100は、フィルタ装置1と、企業等の組織のサーバ装置200と、組織内端末300と、組織外端末500と、インターネット等のネットワーク600と、ルータ800とを備えている。サーバ装置200は、フィルタ装置1及びルータ800を介してネットワーク600に接続されている。また、フィルタ装置1と、サーバ装置200と、組織内端末300は、企業内等のLAN400に接続されている。本実施の形態では、ルータ800に対してネットワーク600側を組織外、LAN400側を組織内と称する場合がある。また、本実施の形態では、フィルタ装置1に対する各種設定等を行う管理者用端末700がネットワーク600に接続されている。なお、図示しないが、ネットワーク600とフィルタ装置1との間に、ファイアウォールを介在させてもよい。なお、本発明でいう「ネットワーク」とは、本実施の形態におけるネットワーク600とLAN400の双方を含むものである。
【0014】
サーバ装置200は、例えばワークステーションやパーソナルコンピュータ等のコンピュータ装置により構成される。サーバ装置200は、組織外端末500を含む図示しない複数のメールクライアントから送信されたサーバ装置200宛の電子メールを受信してサーバ装置200の所定のメールボックス(図示せず)に格納し、組織内端末300からの要求により組織内端末300へ当該メールを配信する機能を有する。また、サーバ装置200は、組織内端末300から外部宛のメールを受信して所定のメールボックス(図示せず)に格納し、メール配信機能により組織外の所定のメールサーバに当該メールを配信する機能も有する。
【0015】
組織内端末300は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。組織内端末300は、メールを作成し、メールを送受信する機能を持つメールソフトウェア(図示せず)を備えている。
【0016】
組織外端末500は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。組織外端末500は、メールを作成し、メールを送受信する機能を持つメールソフトウェア(図示せず)を備えている。
【0017】
組織内端末300と組織外端末500は、サーバ装置200を介して、互いにメールの送受信が可能である。
【0018】
フィルタ装置1は、サーバ装置200に対して送信されるメールに対するフィルタリング処理を行う機能を有する。フィルタ装置1は、例えばワークステーションやパーソナルコンピュータ等のコンピュータ装置により構成されており、本実施の形態においては仮想マシンモニタ30がインストールされている。
【0019】
仮想マシンモニタ30は、パーソナルコンピュータ(PC)のハードウェア環境をエミュレートして、オペレーションシステム(OS)の上で他のOSを動作させる。仮想マシンモニタ30は、通常はソフトウェアで実現されるが、例えば、ハードウェア、ソフトウェア、ファームウェア又はこれらの技術の組み合わせにより実現してもよい。本実施の形態では、仮想マシンモニタ30上で、仮想マシン10と仮想マシン20とが動作している。仮想マシン10は、サーバ装置200に対して、仮想マシン20よりも前段に位置している。すなわち、仮想マシン10とサーバ装置200との間に、仮想マシン20が位置している。
【0020】
仮想マシン20は、フィルタ機能部21を備えている。フィルタ機能部21は、通信部22と、フィルタ処理部23と、記憶部24と、フィルタ管理部25とを備える。
【0021】
フィルタ機能部21は、全体として、いわゆるリレー型のメールフィルタリング装置を構成している。フィルタ機能部21は、リレー型のメールフィルタリング機能を実現できるものであれば、市販のものを用いることができる。本実施の形態で述べるフィルタ機能部21の具体的な構成は、一例である。
【0022】
通信部22は、通信部12を介して送信された信号をフィルタ処理部23が処理できる形式の信号に変換する。特に断らない限り、フィルタ機能部21における通信は、通信部22を介して行われることとする。
【0023】
フィルタ処理部23は、通信部22がパケット(信号)を受信すると、受信したパケットに対してフィルタリングを行い、フィルタリング結果に応じてパケットを破棄、通過、あるいは所定の記憶領域に保持する。パケットをフィルタリングする際の条件は、記憶部24に格納されている。
【0024】
記憶部24は、仮想マシン20のIPアドレス及びポート番号と、フィルタ処理部23により実行されるメールのフィルタリング条件を、フィルタ装置1が備える記憶用の物理リソース(ハードディスク、RAM、ROMなど。図示せず。)に記憶させる機能を有する。本実施の形態では、記憶部24が司る物理リソースによる記憶を、単に、「記憶部24が記憶する」のように表現する。
【0025】
フィルタ管理部25は、フィルタリング条件を含むフィルタ処理部23に対する各種設定を行う機能を有する。フィルタ管理部25は、管理者用端末700にインストールされたWebアプリケーション(図示せず)からの要求に応答して、設定画面やフィルタリングに関する情報をWebアプリケーションに送信する機能を有する。また、フィルタ管理部25は、管理者用端末700のWebアプリケーション(図示せず)からの要求に応答して、フィルタリング条件等のフィルタ処理に関する設定を記憶部24に記憶させる機能を提供する。
【0026】
仮想マシン10は、透過機能部11を備えている。透過機能部11は、通信部12と、アドレス変換部13と、記憶部14とを備える。
【0027】
透過機能部11は、ネットワーク600に対してフィルタ機能部21よりも前段に位置し、サーバ装置200宛のパケットのアドレス変換を行うことにより、パケットをフィルタ機能部21に転送する機能を有する。透過機能部11は、本発明のパケット透過手段に相当する。
【0028】
通信部12は、LAN400やネットワーク600を介して送信された信号をアドレス変換部13が処理できる形式の信号に変換する。特に断らない限り、透過機能部11におけるLAN400やネットワーク600を介した通信は、通信部12を介して行われることとする。また、通信部12は、通信部22との間で信号のやり取りを行う機能も有する。
【0029】
アドレス変換部13は、サーバ装置200宛のパケットのアドレス変換を行うことにより、パケットをフィルタ機能部21に転送する。なお、アドレス変換部13によるアドレス変換処理については後述する。アドレス変換部13は、本発明の入力アドレス変換部及び出力アドレス変換部に相当する。
【0030】
記憶部14は、仮想マシン10のIPアドレス及びポート番号と、アドレス変換部13によるアドレス変換処理において使用されるアドレス等の情報を、フィルタ装置1が備える記憶用の物理リソース(ハードディスク、RAM、ROM等。図示せず。)に記憶させる機能を有する。本実施の形態では、記憶部14が司る物理リソースによる記憶を、単に、「記憶部14が記憶する」のように表現する。
なお、アドレス変換処理において使用される情報とは、具体的には、仮想マシン20のWAN側送信用アドレス、WAN側受信用アドレス、LAN側送信用アドレス、LAN側受信用アドレス、及びサーバ装置200のアドレスである。また、記憶部14は、アドレス変換処理の対象となるパケットの宛先アドレス及び送信元アドレスを、一時的に記憶する。
【0031】
上記のような構成を備えたフィルタ装置1は、ハードウェアとして、主に、CPUと、ROMと、RAMと、ハードディスク等のストレージ装置と、ネットワーク600やLAN400に接続するための通信カード等の通信装置とを備えている。
通信部12と通信部22は、主に、CPU、通信装置等により構成される。アドレス変換部13、フィルタ処理部23、記憶部14、記憶部24、及びフィルタ管理部25は、主に、CPU、ROM、RAM等により構成される。
【0032】
管理者用端末700は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。管理者用端末700は、フィルタ機能部21のフィルタ管理部25に対してフィルタリング条件等の設定を行わせることができるとともに、フィルタ管理部25が管理する情報を取得する端末である。本実施の形態では、管理者用端末700は、フィルタリング条件の設定やフィルタリングに関する情報を閲覧するためのWebアプリケーション(図示せず)を備えている。このWebアプリケーションを介してフィルタ管理部25と通信を行う。また、管理者用端末700は、本実施の形態では、ネットワーク600に接続されており、ネットワーク600を介してフィルタ管理部25にアクセスする。なお、管理者用端末700は、LAN400に接続されていてもよいし、管理者用端末700を設けない構成としてもよい。
【0033】
[ネットワーク構成]
図2は、実施の形態に係るメールシステム100のネットワーク構成を説明する図である。なお、図2では、説明のため、通信部12や通信部22等、フィルタ装置1内の一部の構成の記載を省略しているが、フィルタ装置1の構成については図1と同様である。
【0034】
図2に示すように、メールシステムの各構成には、以下のIPアドレスが割り当てられているものとする。
組織外端末500のIPアドレスは、”10.0.0.1”とする。
仮想マシン10のWAN側のIPアドレスは、”172.16.254.254”とする。
仮想マシン10のLAN側のIPアドレスは、”172.16.253.254”とする。
仮想マシン20のWAN側送信用のIPアドレスは、”172.16.254.201/24”とする。
仮想マシン20のWAN側受信用のIPアドレスは、”172.16.254.202/32”とする。
仮想マシン20のLAN側送信用のIPアドレスは、”172.16.253.201/24”とする。
仮想マシン20のLAN側受信用のIPアドレスは、”172.16.253.202/32”とする。
サーバ装置200のIPアドレスは、”160.14.237.67”とする。
組織内端末300のIPアドレスは、”160.14.112.157”とする。
【0035】
[電子メール送信時の動作]
図3は、組織外端末500からサーバ装置200宛にメールを送信する際の動作を説明する図である。以下、図3に付したステップS10〜S15にしたがって、組織外端末500からサーバ装置200宛にメールを送信する場合の動作について説明する。
【0036】
まず、組織外端末500のユーザーが、組織外端末500に備えられたメールソフトウェアを用いて電子メールを作成し、電子メールの送信操作を行ったものとする。
【0037】
(ステップS10)
組織外端末500は、サーバ装置200宛に電子メールを送信する。この電子メールのパケットには、送信元のIPアドレスとして組織外端末500のIPアドレス(10.0.0.1)が記載されている。また、このパケットには、宛先のIPアドレスとしてサーバ装置200のIPアドレス(160.14.237.67)が記載されている。
【0038】
組織外端末500から送出されたパケットは、組織外端末500とサーバ装置200との間に介在するフィルタ装置1の、仮想マシン10の通信部12により受信される。
【0039】
(ステップS11)
透過機能部11は、パケットの宛先のIPアドレスを、サーバ装置200のアドレス(160.14.237.67)から、仮想マシン20のWAN側受信用アドレス(172.16.254.202)に書き換える。
なお、このとき、パケットの送信元IPアドレスの書き換えは行わないが、後述するステップS14におけるアドレス変換処理のため、送信元のIPアドレス(組織外端末500のアドレス:10.0.0.1)を、記憶部14により保持しておく。
【0040】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。すなわち、組織外端末500からサーバ装置200宛に送出されたパケットは、サーバ装置200に直接転送されずに、仮想マシン20に転送される。このため、組織外端末500のユーザーは、フィルタ装置1のフィルタ機能部21(リレー型のフィルタ装置)の存在を意識することなく、サーバ装置200宛にメールを送信することができる。
【0041】
(ステップS12)
フィルタ機能部21のフィルタ処理部23は、記憶部24に保持されたフィルタリング条件にしたがって、メールのフィルタリング処理を行う。この場合、組織外から組織内に送信されるメールであるので、例えば、ウイルスやスパムメールであるか否か等が、チェック対象となる。そして、フィルタリング結果に基づいて、削除するメール、転送するメールなど、予め設定された事項にしたがってメールを分類する。
【0042】
(ステップS13)
仮想マシン20の通信部22は、フィルタリング後のメールを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン10のLAN側IPアドレス(172.16.253.254)とする。なお、仮想マシン20の通信部22には、自身からLAN側に送出するパケットの宛先を常に仮想マシン10のLAN側IPアドレスとする設定がなされているものとする。
【0043】
仮想マシン20から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0044】
(ステップS14)
透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このメールの本来の送信元である組織外端末500のIPアドレス(10.0.0.1)に書き換える。この組織外端末500のIPアドレスは、ステップS11にて記憶部14に保持しておいたアドレスである。さらに、パケットの宛先のIPアドレスを、仮想マシン10のLAN側IPアドレス(172.16.253.254)から、このメールの本来の宛先であるサーバ装置200のIPアドレス(160.14.237.67)に書き換える。
【0045】
なお、透過機能部11は、フィルタ機能部21にてフィルタリング(破棄)されたメール以外のメールのパケットを、アドレス変換の対象とする。
【0046】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを、LAN400を介してサーバ装置200へ送出する。
【0047】
(ステップS15)
サーバ装置200は、宛先IPアドレスが自身のIPアドレス(160.14.237.67)であるパケットを受信する。
【0048】
以上述べたように、組織外端末500は、フィルタ装置1が存在しない場合と同様に、サーバ装置200宛のメールを送信することができる。そして、サーバ装置200も、フィルタ装置1の存在を意識することなく、組織外端末500からのメールを受信することができる。
従来であれば、本実施の形態においてフィルタ機能部21により実現されているようないわゆるリレー型のメールフィルタ装置をメールシステムに導入した場合、組織外端末500からサーバ装置200宛にメールを送信する際には、組織外端末500はサーバ装置200ではなくフィルタ装置のIPアドレスを宛先アドレスとしてメールを送信しなければならず、また、サーバ装置200から送出されるメールはフィルタ装置を宛先として送信しなければならなかった。このため、フィルタ装置を介在させるか否かにより、宛先のIPアドレスが異なり、アドレス設定の変更作業が必要であった。
しかし、本実施の形態によれば、上述のようにリレー型のフィルタ装置(仮想マシン20のフィルタ機能部21)を導入する場合であっても、透過機能部11がアドレス変換を行うことにより、フィルタ装置の存在を意識することなくメールの送受信を行うことができる。
【0049】
[電子メール受信時の動作]
図4は、組織内端末300から、組織外(例えば、組織外端末500)宛にメールを送信する際の動作を説明する図である。以下、図4に付したステップS20〜S25にしたがって、組織内端末300から組織外宛にメールを送信する場合の動作を説明する。
【0050】
まず、組織内端末300のユーザーが、組織内端末300に備えられたメールソフトウェアを用いて電子メールを作成し、電子メールの送信操作を行ったものとする。
【0051】
(ステップS20)
組織内端末300は、パケットをLAN400経由で送出する。このとき送出されるパケットには、組織内のメールサーバであるサーバ装置200のIPアドレスが、宛先アドレスとして記載されている。
【0052】
組織内端末300から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0053】
(ステップS21)
仮想マシン10の透過機能部11は、パケットの宛先のIPアドレスを、サーバ装置200のアドレス(160.14.237.67)から、仮想マシン20のLAN側受信用IPアドレス(172.16.253.202)に書き換える。
なお、このとき、パケットの送信元IPアドレスの書き換えは行わないが、後述するステップS24でのアドレス変換処理のため、送信元のIPアドレス(組織内端末300のアドレス:160.14.112.157)を、記憶部14に保持しておく。
【0054】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。すなわち、組織内端末300からサーバ装置200宛に送出されたパケットは、サーバ装置200に直接転送されずに、仮想マシン20に転送される。このため、組織内端末300のユーザーは、フィルタ装置1のフィルタ機能部21(リレー型のフィルタ装置)の存在を意識することなく、サーバ装置200宛にメールを送信することができる。
【0055】
(ステップS22)
フィルタ機能部21のフィルタ処理部23は、記憶部24に保持されたフィルタリング条件にしたがって、メールのフィルタリング処理を行う。この場合、組織内から組織外宛に送信されるメールであるので、例えば、企業内コンプライアンスに適合したメールであるか否か等が、チェック対象となる。そして、フィルタリング結果に基づいて、削除するメール、転送するメールなど、予め設定された事項にしたがってメールを分類する。
【0056】
(ステップS23)
仮想マシン20の通信部22は、フィルタリング後のメールを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン10のLAN側IPアドレス(172.16.253.254)である。なお、仮想マシン20の通信部22は、自身からLAN側に送出するパケットの宛先を常に仮想マシン10のLAN側IPアドレスとする設定がなされているものとする。
【0057】
仮想マシン20から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0058】
(ステップS24)
仮想マシン10の透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このメールの本来の送信元である組織内端末300のIPアドレス(160.14.112.157)に書き換える。この組織内端末300のIPアドレスは、ステップS21にて記憶部14に保持しておいたアドレスである。さらに、パケットの宛先のIPアドレスを、仮想マシン10のLAN側IPアドレス(172.16.253.254)から、このメールの本来の宛先であるサーバ装置200のIPアドレス(160.14.237.67)に書き換える。
【0059】
なお、透過機能部11は、フィルタ機能部21にてフィルタリング(破棄)されたメール以外のメールのパケットを、アドレス変換の対象とする。
【0060】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを、LAN400を介してサーバ装置200へ送出する。
【0061】
(ステップS25)
サーバ装置200は、送信元IPアドレスが自身のIPアドレス(160.14.237.67)であるパケットを受信する。
【0062】
なお、図示しないが、サーバ装置200が受信したパケットは、サーバ装置200の有するメール配信機能により、宛先の組織外のメールサーバに配信され、その組織外のメールサーバを経由して例えば組織外端末500等の最終的な宛先に到達する。
【0063】
以上述べたように、組織内端末300は、フィルタ装置1が存在しない場合と同様に、サーバ装置200宛のメールを送信することができる。そして、サーバ装置200も、フィルタ装置1の存在を意識することなく、組織内端末300からのメールを受信することができる。
【0064】
[管理者用PC−フィルタ機能部間でのHTTP通信時の動作]
図5は、管理者用端末700から、仮想マシン20に対してHTTP通信する場合の動作を説明する図である。具体的には、仮想マシン20のフィルタ機能部21のフィルタ管理部25に対して、管理者用端末700のWebアプリケーションを用いてHTTP通信によりフィルタリング条件の設定やフィルタリング情報のモニタなどを行う場合に行われる通信を説明する図である。以下、図5に付したステップS30〜S35にしたがって、管理者用端末700から仮想マシン20に対してHTTP通信する場合の動作について説明する。
【0065】
まず、管理者用端末700のユーザーが、管理者用端末700に備えられたWebアプリケーションを用いて、フィルタ管理部25に対するHTTP通信での要求を行ったものとする。
【0066】
(ステップS30)
管理者用端末700は、フィルタ機能部21宛にパケットを送信する。このパケットには、送信元のIPアドレスとして、管理者用端末700のIPアドレス(160.14.112.157)が記載されている。また、このパケットには、宛先のIPアドレスとして、フィルタ機能部21のIPアドレス(160.14.90.62)が記載されている。
【0067】
管理者用端末700から送出されたパケットは、管理者用端末700と仮想マシン20との間に介在する仮想マシン10の通信部12により受信される。
【0068】
(ステップS31)
透過機能部11は、パケットの宛先のIPアドレスを、フィルタ機能部21のIPアドレス(160.14.90.62)から、仮想マシン20のLAN側送信用IPアドレス(172.16.253.201)に書き換える。
なお、このとき、パケットの送信元のIPアドレスの書き換えは行わないが、後述するステップS34でのアドレス変換処理のため、送信元のIPアドレス(管理者用端末700のアドレス:160.14.112.157)を、記憶部14に保持しておく。
【0069】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。
【0070】
(ステップS32)
フィルタ機能部21のフィルタ管理部25は、受信したHTTPパケットからの要求に応じた処理を行う。ここでいう処理とは、例えば、フィルタリング条件の設定や、フィルタリング実施に関する情報の取得などである。
【0071】
(ステップS33)
仮想マシン20の通信部22は、受信したHTTPパケットに対する応答のHTTPパケットを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン20がステップS32で受信したパケットの送信元IPアドレスである、管理者用端末700のアドレス(160.14.112.157)である。
【0072】
仮想マシン20から送出されたHTTPパケットは、仮想マシン10の通信部12により受信される。
【0073】
(ステップS34)
仮想マシン10の透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このHTTPパケットの本来の送信元であるフィルタ機能部21のIPアドレス(160.14.90.62)に書き換える。このフィルタ機能部21のIPアドレスは、ステップS31にて記憶部14に保持しておいたアドレスである。
【0074】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを管理者用端末700へ送出する。
【0075】
(ステップS35)
管理者用端末700は、宛先IPアドレスが自身のIPアドレス(160.14.112.157)であるHTTPパケットを受信する。
すなわち、管理者用端末700からフィルタ機能部21宛に送出された要求パケットは、フィルタ機能部21に転送され、フィルタ機能部21からの応答パケットは管理者用端末700へと配信される。このため、管理者用端末700のユーザーは、直接フィルタリング機能部21に都度接続するための設定作業をすることなく、フィルタリング機能の設定や、フィルタリング結果の確認を行うことができる。
【0076】
なお、図5では、HTTP通信を行う場合を例に説明したが、管理者用端末700と仮想マシン20との間でTCP通信あるいはUDP通信を行う場合であっても、同様にして、透過機能部11はアドレス変換処理を行うことができ、同様の効果を得ることができる。
【0077】
[フィルタ装置の導入/撤去について]
既存のシステム(例えば、図1においてフィルタ装置1が存在しない状態のシステム)に、新たにフィルタ装置1を導入する場合には、ユーザーは、透過機能部11においてアドレス変換に用いる変換前/変換後に対応するアドレスのほか、アドレス変換処理に用いる各種データを記憶部14に記憶させる。また、ユーザーは、フィルタ機能部21のフィルタ管理部25を介してフィルタリング条件等を記憶部24に記憶させるなど、フィルタ機能部21の仕様に応じた設定を行う。このようなフィルタ装置1に対する設定を行った後、このフィルタ装置1を、サーバ装置200の前段にLAN結線する。このようにすることで、サーバ装置200等に対しては何らアドレス変更を行うことなく、図3〜図5で示した動作を実行できる。
【0078】
また、図1のようにフィルタ装置1が導入された状態において、フィルタ装置1を撤去する際には、フィルタ装置1からLAN結線を取り外すだけでよい。フィルタ装置1を撤去した後においても、サーバ装置200等に対してアドレス変更を行うことなくメールシステムを運用できる。
【0079】
このように、フィルタ装置1を導入する際にも撤去する際にも、サーバ装置200等の既存の設備に対するアドレス変更等の設定は不要である。
【0080】
以上のように、本実施の形態に係るフィルタ装置1の透過機能部11は、組織内のサーバ装置200宛のパケットのアドレス変換を行うことにより仮想マシン20のフィルタ機能部21にパケットを転送するとともに、仮想マシン20から送出されるパケットの宛先アドレスのアドレス変換を行って、本来の宛先であるサーバ装置200にフィルタリング処理後のパケットを転送する。
これにより、メールの送信側は、フィルタ装置1の存在を意識することなく、サーバ装置200宛にメールを送信することができる。したがって、組織外端末500やサーバ装置200、組織内端末300は、フィルタ装置1の有無にかかわらず、同じアドレス設定を行った状態でメールの送受信を行うことができる。このため、組織外端末500やサーバ装置200、組織内端末300のアドレス設定等の変更を行うことなく、いわゆるリレー型のフィルタ装置(フィルタ機能部21)を導入することができる。したがって、フィルタ装置1を導入する際の障壁を低減することができる。
【符号の説明】
【0081】
1 フィルタ装置
10 仮想マシン
11 透過機能部
12 通信部
13 アドレス変換部
14 記憶部
20 仮想マシン
21 フィルタ機能部
22 通信部
23 フィルタ処理部
24 記憶部
25 フィルタ管理部
30 仮想マシンモニタ
100 メールシステム
200 サーバ装置
300 組織内端末
400 LAN
500 組織外端末
600 ネットワーク
700 管理者用端末
800 ルータ
【技術分野】
【0001】
本発明は、クライアントとサーバとの間で送受信されるパケットの通過や破棄を選択的に行うパケットフィルタ装置に関する。
【背景技術】
【0002】
従来、サーバとクライアントとを備えるサーバ−クライアントシステムにおいて、インターネットを介した電子メール等のやり取りが行われている。そして、いわゆる迷惑メールが大きな問題となっており、このような迷惑メールの対策技術として、「通常のメールサーバとインターネットの問に、本発明の迷惑メール防止装置であるフィルタ装置を接続し、クライアントから送信された電子メールを前記フィルタ装置によってメールサーバへ中継する。」というものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−150513号公報(第4頁、図1)
【発明の概要】
【発明が解決しようとする課題】
【0004】
企業や家庭等においては、外部から内部へ送信されるウイルスメールやスパムメールを排除し、また、内部から外部へ送信されるメールに対してはコンプライアンスの観点からチェックすることを目的として、フィルタ装置が欠かせないものとなっている。
【0005】
上記特許文献1に記載のものは、サーバとクライアントとの間に介在されるいわゆる「リレー型」のフィルタ装置に関する技術である。このようなリレー型のフィルタ装置は、既存のシステムに導入する際の導入障壁が高いという課題があった。すなわち、サーバとクライアントとの間にフィルタ装置を介在させるため、導入時には、既存設備のアドレス設定等の変更作業が必要であった。具体的には、ドメインネームサーバ(DNSサーバ)においては、MXレコード(Mail Exchanger)を既存のメールサーバからリレー型のフィルタ装置に変更する必要がある。また、公開用のメールサーバにおいては、メールを外部に送信する際のネクストホップ(中継先のIPアドレス)を、リレー型のフィルタ装置とする必要がある。さらに、企業内等において公開用のメールサーバの前段に内部用のメールサーバを備えている場合には、内部用メールサーバの外部送信時のネクストホップ(中継先のIPアドレス)を、公開用のメールサーバからリレー型のフィルタ装置に変更する必要がある。
【0006】
例えば上記のようなアドレス設定の変更作業においてミスが生じた場合には、電子メールの送受信停止等のトラブルが発生し、業務等の社会生活に与える影響が大きかった。また、システムの規模によってはアドレス設定の変更作業に要する作業工数も多大となり、コストも増加していた。このようなトラブルの懸念やコスト高などの理由から、リレー型のフィルタ装置の導入をためらうユーザーも少なくなかった。
また、この種のフィルタ装置は、フィルタ機能の精度や運用・管理の操作性等を検証することを目的として、企業等に本格的に導入される前に、試験的に導入される場合がある。このような試験導入においても、上述したようなアドレス設定変更に伴うトラブルの懸念やコスト高などの課題があり、ユーザーにとっての導入障壁となっていた。
【0007】
したがって、既存機器のアドレス設定等の変更を行うことなく導入することのできる、導入障壁の小さいリレー型のフィルタ装置が望まれていた。
【0008】
本発明は、上記のような課題を解決するためになされたものであり、既存設備のアドレス変更を行うことなく導入することのできるフィルタ装置を提供するものである。
【課題を解決するための手段】
【0009】
本発明に係るフィルタ装置は、ネットワークを介して受信した信号をフィルタリングしてサーバに送信するフィルタ装置であって、設定されたフィルタリングルールに基づいて前記信号を前記サーバに送るか否かを判定し、前記サーバに送るものと判断した信号を送出するリレー型フィルタ手段と、前記受信した信号に含まれる宛先アドレスを前記リレー型フィルタ手段のアドレスに変換する入力アドレス変換部、前記リレー型フィルタ手段から送出された信号に含まれる宛先アドレスを前記サーバのアドレスに変換する出力アドレス変換部、及び、前記ネットワークを介して信号を受信するとともに前記リレー型フィルタ手段との間で信号を送受信する通信部を有するパケット透過手段と、を備えたものである。
【発明の効果】
【0010】
本発明によれば、既存機器のアドレス設定等の変更を行うことなく、サーバとクライアントとの間に導入することができるパケットのフィルタ装置を得ることができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態に係るメールシステムのシステム構成を示すブロック図である。
【図2】実施の形態に係るシステムのネットワーク構成を説明する図である。
【図3】実施の形態に係る電子メール送信時の動作を説明する図である。
【図4】実施の形態に係る電子メール受信時の動作を説明する図である。
【図5】実施の形態に係る管理者用PC−フィルタ機能部間でのHTTP通信時の動作を説明する図である。
【発明を実施するための形態】
【0012】
実施の形態.
図1は、本発明の実施の形態に係るメールシステム100のシステム構成を説明する図である。以下、図1を用いて、実施の形態に係るシステム構成について説明する。
【0013】
[システム構成]
図1に示すように、実施の形態に係るメールシステム100は、フィルタ装置1と、企業等の組織のサーバ装置200と、組織内端末300と、組織外端末500と、インターネット等のネットワーク600と、ルータ800とを備えている。サーバ装置200は、フィルタ装置1及びルータ800を介してネットワーク600に接続されている。また、フィルタ装置1と、サーバ装置200と、組織内端末300は、企業内等のLAN400に接続されている。本実施の形態では、ルータ800に対してネットワーク600側を組織外、LAN400側を組織内と称する場合がある。また、本実施の形態では、フィルタ装置1に対する各種設定等を行う管理者用端末700がネットワーク600に接続されている。なお、図示しないが、ネットワーク600とフィルタ装置1との間に、ファイアウォールを介在させてもよい。なお、本発明でいう「ネットワーク」とは、本実施の形態におけるネットワーク600とLAN400の双方を含むものである。
【0014】
サーバ装置200は、例えばワークステーションやパーソナルコンピュータ等のコンピュータ装置により構成される。サーバ装置200は、組織外端末500を含む図示しない複数のメールクライアントから送信されたサーバ装置200宛の電子メールを受信してサーバ装置200の所定のメールボックス(図示せず)に格納し、組織内端末300からの要求により組織内端末300へ当該メールを配信する機能を有する。また、サーバ装置200は、組織内端末300から外部宛のメールを受信して所定のメールボックス(図示せず)に格納し、メール配信機能により組織外の所定のメールサーバに当該メールを配信する機能も有する。
【0015】
組織内端末300は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。組織内端末300は、メールを作成し、メールを送受信する機能を持つメールソフトウェア(図示せず)を備えている。
【0016】
組織外端末500は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。組織外端末500は、メールを作成し、メールを送受信する機能を持つメールソフトウェア(図示せず)を備えている。
【0017】
組織内端末300と組織外端末500は、サーバ装置200を介して、互いにメールの送受信が可能である。
【0018】
フィルタ装置1は、サーバ装置200に対して送信されるメールに対するフィルタリング処理を行う機能を有する。フィルタ装置1は、例えばワークステーションやパーソナルコンピュータ等のコンピュータ装置により構成されており、本実施の形態においては仮想マシンモニタ30がインストールされている。
【0019】
仮想マシンモニタ30は、パーソナルコンピュータ(PC)のハードウェア環境をエミュレートして、オペレーションシステム(OS)の上で他のOSを動作させる。仮想マシンモニタ30は、通常はソフトウェアで実現されるが、例えば、ハードウェア、ソフトウェア、ファームウェア又はこれらの技術の組み合わせにより実現してもよい。本実施の形態では、仮想マシンモニタ30上で、仮想マシン10と仮想マシン20とが動作している。仮想マシン10は、サーバ装置200に対して、仮想マシン20よりも前段に位置している。すなわち、仮想マシン10とサーバ装置200との間に、仮想マシン20が位置している。
【0020】
仮想マシン20は、フィルタ機能部21を備えている。フィルタ機能部21は、通信部22と、フィルタ処理部23と、記憶部24と、フィルタ管理部25とを備える。
【0021】
フィルタ機能部21は、全体として、いわゆるリレー型のメールフィルタリング装置を構成している。フィルタ機能部21は、リレー型のメールフィルタリング機能を実現できるものであれば、市販のものを用いることができる。本実施の形態で述べるフィルタ機能部21の具体的な構成は、一例である。
【0022】
通信部22は、通信部12を介して送信された信号をフィルタ処理部23が処理できる形式の信号に変換する。特に断らない限り、フィルタ機能部21における通信は、通信部22を介して行われることとする。
【0023】
フィルタ処理部23は、通信部22がパケット(信号)を受信すると、受信したパケットに対してフィルタリングを行い、フィルタリング結果に応じてパケットを破棄、通過、あるいは所定の記憶領域に保持する。パケットをフィルタリングする際の条件は、記憶部24に格納されている。
【0024】
記憶部24は、仮想マシン20のIPアドレス及びポート番号と、フィルタ処理部23により実行されるメールのフィルタリング条件を、フィルタ装置1が備える記憶用の物理リソース(ハードディスク、RAM、ROMなど。図示せず。)に記憶させる機能を有する。本実施の形態では、記憶部24が司る物理リソースによる記憶を、単に、「記憶部24が記憶する」のように表現する。
【0025】
フィルタ管理部25は、フィルタリング条件を含むフィルタ処理部23に対する各種設定を行う機能を有する。フィルタ管理部25は、管理者用端末700にインストールされたWebアプリケーション(図示せず)からの要求に応答して、設定画面やフィルタリングに関する情報をWebアプリケーションに送信する機能を有する。また、フィルタ管理部25は、管理者用端末700のWebアプリケーション(図示せず)からの要求に応答して、フィルタリング条件等のフィルタ処理に関する設定を記憶部24に記憶させる機能を提供する。
【0026】
仮想マシン10は、透過機能部11を備えている。透過機能部11は、通信部12と、アドレス変換部13と、記憶部14とを備える。
【0027】
透過機能部11は、ネットワーク600に対してフィルタ機能部21よりも前段に位置し、サーバ装置200宛のパケットのアドレス変換を行うことにより、パケットをフィルタ機能部21に転送する機能を有する。透過機能部11は、本発明のパケット透過手段に相当する。
【0028】
通信部12は、LAN400やネットワーク600を介して送信された信号をアドレス変換部13が処理できる形式の信号に変換する。特に断らない限り、透過機能部11におけるLAN400やネットワーク600を介した通信は、通信部12を介して行われることとする。また、通信部12は、通信部22との間で信号のやり取りを行う機能も有する。
【0029】
アドレス変換部13は、サーバ装置200宛のパケットのアドレス変換を行うことにより、パケットをフィルタ機能部21に転送する。なお、アドレス変換部13によるアドレス変換処理については後述する。アドレス変換部13は、本発明の入力アドレス変換部及び出力アドレス変換部に相当する。
【0030】
記憶部14は、仮想マシン10のIPアドレス及びポート番号と、アドレス変換部13によるアドレス変換処理において使用されるアドレス等の情報を、フィルタ装置1が備える記憶用の物理リソース(ハードディスク、RAM、ROM等。図示せず。)に記憶させる機能を有する。本実施の形態では、記憶部14が司る物理リソースによる記憶を、単に、「記憶部14が記憶する」のように表現する。
なお、アドレス変換処理において使用される情報とは、具体的には、仮想マシン20のWAN側送信用アドレス、WAN側受信用アドレス、LAN側送信用アドレス、LAN側受信用アドレス、及びサーバ装置200のアドレスである。また、記憶部14は、アドレス変換処理の対象となるパケットの宛先アドレス及び送信元アドレスを、一時的に記憶する。
【0031】
上記のような構成を備えたフィルタ装置1は、ハードウェアとして、主に、CPUと、ROMと、RAMと、ハードディスク等のストレージ装置と、ネットワーク600やLAN400に接続するための通信カード等の通信装置とを備えている。
通信部12と通信部22は、主に、CPU、通信装置等により構成される。アドレス変換部13、フィルタ処理部23、記憶部14、記憶部24、及びフィルタ管理部25は、主に、CPU、ROM、RAM等により構成される。
【0032】
管理者用端末700は、例えばパーソナルコンピュータ、携帯端末等のコンピュータ装置により構成される。管理者用端末700は、フィルタ機能部21のフィルタ管理部25に対してフィルタリング条件等の設定を行わせることができるとともに、フィルタ管理部25が管理する情報を取得する端末である。本実施の形態では、管理者用端末700は、フィルタリング条件の設定やフィルタリングに関する情報を閲覧するためのWebアプリケーション(図示せず)を備えている。このWebアプリケーションを介してフィルタ管理部25と通信を行う。また、管理者用端末700は、本実施の形態では、ネットワーク600に接続されており、ネットワーク600を介してフィルタ管理部25にアクセスする。なお、管理者用端末700は、LAN400に接続されていてもよいし、管理者用端末700を設けない構成としてもよい。
【0033】
[ネットワーク構成]
図2は、実施の形態に係るメールシステム100のネットワーク構成を説明する図である。なお、図2では、説明のため、通信部12や通信部22等、フィルタ装置1内の一部の構成の記載を省略しているが、フィルタ装置1の構成については図1と同様である。
【0034】
図2に示すように、メールシステムの各構成には、以下のIPアドレスが割り当てられているものとする。
組織外端末500のIPアドレスは、”10.0.0.1”とする。
仮想マシン10のWAN側のIPアドレスは、”172.16.254.254”とする。
仮想マシン10のLAN側のIPアドレスは、”172.16.253.254”とする。
仮想マシン20のWAN側送信用のIPアドレスは、”172.16.254.201/24”とする。
仮想マシン20のWAN側受信用のIPアドレスは、”172.16.254.202/32”とする。
仮想マシン20のLAN側送信用のIPアドレスは、”172.16.253.201/24”とする。
仮想マシン20のLAN側受信用のIPアドレスは、”172.16.253.202/32”とする。
サーバ装置200のIPアドレスは、”160.14.237.67”とする。
組織内端末300のIPアドレスは、”160.14.112.157”とする。
【0035】
[電子メール送信時の動作]
図3は、組織外端末500からサーバ装置200宛にメールを送信する際の動作を説明する図である。以下、図3に付したステップS10〜S15にしたがって、組織外端末500からサーバ装置200宛にメールを送信する場合の動作について説明する。
【0036】
まず、組織外端末500のユーザーが、組織外端末500に備えられたメールソフトウェアを用いて電子メールを作成し、電子メールの送信操作を行ったものとする。
【0037】
(ステップS10)
組織外端末500は、サーバ装置200宛に電子メールを送信する。この電子メールのパケットには、送信元のIPアドレスとして組織外端末500のIPアドレス(10.0.0.1)が記載されている。また、このパケットには、宛先のIPアドレスとしてサーバ装置200のIPアドレス(160.14.237.67)が記載されている。
【0038】
組織外端末500から送出されたパケットは、組織外端末500とサーバ装置200との間に介在するフィルタ装置1の、仮想マシン10の通信部12により受信される。
【0039】
(ステップS11)
透過機能部11は、パケットの宛先のIPアドレスを、サーバ装置200のアドレス(160.14.237.67)から、仮想マシン20のWAN側受信用アドレス(172.16.254.202)に書き換える。
なお、このとき、パケットの送信元IPアドレスの書き換えは行わないが、後述するステップS14におけるアドレス変換処理のため、送信元のIPアドレス(組織外端末500のアドレス:10.0.0.1)を、記憶部14により保持しておく。
【0040】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。すなわち、組織外端末500からサーバ装置200宛に送出されたパケットは、サーバ装置200に直接転送されずに、仮想マシン20に転送される。このため、組織外端末500のユーザーは、フィルタ装置1のフィルタ機能部21(リレー型のフィルタ装置)の存在を意識することなく、サーバ装置200宛にメールを送信することができる。
【0041】
(ステップS12)
フィルタ機能部21のフィルタ処理部23は、記憶部24に保持されたフィルタリング条件にしたがって、メールのフィルタリング処理を行う。この場合、組織外から組織内に送信されるメールであるので、例えば、ウイルスやスパムメールであるか否か等が、チェック対象となる。そして、フィルタリング結果に基づいて、削除するメール、転送するメールなど、予め設定された事項にしたがってメールを分類する。
【0042】
(ステップS13)
仮想マシン20の通信部22は、フィルタリング後のメールを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン10のLAN側IPアドレス(172.16.253.254)とする。なお、仮想マシン20の通信部22には、自身からLAN側に送出するパケットの宛先を常に仮想マシン10のLAN側IPアドレスとする設定がなされているものとする。
【0043】
仮想マシン20から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0044】
(ステップS14)
透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このメールの本来の送信元である組織外端末500のIPアドレス(10.0.0.1)に書き換える。この組織外端末500のIPアドレスは、ステップS11にて記憶部14に保持しておいたアドレスである。さらに、パケットの宛先のIPアドレスを、仮想マシン10のLAN側IPアドレス(172.16.253.254)から、このメールの本来の宛先であるサーバ装置200のIPアドレス(160.14.237.67)に書き換える。
【0045】
なお、透過機能部11は、フィルタ機能部21にてフィルタリング(破棄)されたメール以外のメールのパケットを、アドレス変換の対象とする。
【0046】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを、LAN400を介してサーバ装置200へ送出する。
【0047】
(ステップS15)
サーバ装置200は、宛先IPアドレスが自身のIPアドレス(160.14.237.67)であるパケットを受信する。
【0048】
以上述べたように、組織外端末500は、フィルタ装置1が存在しない場合と同様に、サーバ装置200宛のメールを送信することができる。そして、サーバ装置200も、フィルタ装置1の存在を意識することなく、組織外端末500からのメールを受信することができる。
従来であれば、本実施の形態においてフィルタ機能部21により実現されているようないわゆるリレー型のメールフィルタ装置をメールシステムに導入した場合、組織外端末500からサーバ装置200宛にメールを送信する際には、組織外端末500はサーバ装置200ではなくフィルタ装置のIPアドレスを宛先アドレスとしてメールを送信しなければならず、また、サーバ装置200から送出されるメールはフィルタ装置を宛先として送信しなければならなかった。このため、フィルタ装置を介在させるか否かにより、宛先のIPアドレスが異なり、アドレス設定の変更作業が必要であった。
しかし、本実施の形態によれば、上述のようにリレー型のフィルタ装置(仮想マシン20のフィルタ機能部21)を導入する場合であっても、透過機能部11がアドレス変換を行うことにより、フィルタ装置の存在を意識することなくメールの送受信を行うことができる。
【0049】
[電子メール受信時の動作]
図4は、組織内端末300から、組織外(例えば、組織外端末500)宛にメールを送信する際の動作を説明する図である。以下、図4に付したステップS20〜S25にしたがって、組織内端末300から組織外宛にメールを送信する場合の動作を説明する。
【0050】
まず、組織内端末300のユーザーが、組織内端末300に備えられたメールソフトウェアを用いて電子メールを作成し、電子メールの送信操作を行ったものとする。
【0051】
(ステップS20)
組織内端末300は、パケットをLAN400経由で送出する。このとき送出されるパケットには、組織内のメールサーバであるサーバ装置200のIPアドレスが、宛先アドレスとして記載されている。
【0052】
組織内端末300から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0053】
(ステップS21)
仮想マシン10の透過機能部11は、パケットの宛先のIPアドレスを、サーバ装置200のアドレス(160.14.237.67)から、仮想マシン20のLAN側受信用IPアドレス(172.16.253.202)に書き換える。
なお、このとき、パケットの送信元IPアドレスの書き換えは行わないが、後述するステップS24でのアドレス変換処理のため、送信元のIPアドレス(組織内端末300のアドレス:160.14.112.157)を、記憶部14に保持しておく。
【0054】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。すなわち、組織内端末300からサーバ装置200宛に送出されたパケットは、サーバ装置200に直接転送されずに、仮想マシン20に転送される。このため、組織内端末300のユーザーは、フィルタ装置1のフィルタ機能部21(リレー型のフィルタ装置)の存在を意識することなく、サーバ装置200宛にメールを送信することができる。
【0055】
(ステップS22)
フィルタ機能部21のフィルタ処理部23は、記憶部24に保持されたフィルタリング条件にしたがって、メールのフィルタリング処理を行う。この場合、組織内から組織外宛に送信されるメールであるので、例えば、企業内コンプライアンスに適合したメールであるか否か等が、チェック対象となる。そして、フィルタリング結果に基づいて、削除するメール、転送するメールなど、予め設定された事項にしたがってメールを分類する。
【0056】
(ステップS23)
仮想マシン20の通信部22は、フィルタリング後のメールを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン10のLAN側IPアドレス(172.16.253.254)である。なお、仮想マシン20の通信部22は、自身からLAN側に送出するパケットの宛先を常に仮想マシン10のLAN側IPアドレスとする設定がなされているものとする。
【0057】
仮想マシン20から送出されたパケットは、仮想マシン10の通信部12により受信される。
【0058】
(ステップS24)
仮想マシン10の透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このメールの本来の送信元である組織内端末300のIPアドレス(160.14.112.157)に書き換える。この組織内端末300のIPアドレスは、ステップS21にて記憶部14に保持しておいたアドレスである。さらに、パケットの宛先のIPアドレスを、仮想マシン10のLAN側IPアドレス(172.16.253.254)から、このメールの本来の宛先であるサーバ装置200のIPアドレス(160.14.237.67)に書き換える。
【0059】
なお、透過機能部11は、フィルタ機能部21にてフィルタリング(破棄)されたメール以外のメールのパケットを、アドレス変換の対象とする。
【0060】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを、LAN400を介してサーバ装置200へ送出する。
【0061】
(ステップS25)
サーバ装置200は、送信元IPアドレスが自身のIPアドレス(160.14.237.67)であるパケットを受信する。
【0062】
なお、図示しないが、サーバ装置200が受信したパケットは、サーバ装置200の有するメール配信機能により、宛先の組織外のメールサーバに配信され、その組織外のメールサーバを経由して例えば組織外端末500等の最終的な宛先に到達する。
【0063】
以上述べたように、組織内端末300は、フィルタ装置1が存在しない場合と同様に、サーバ装置200宛のメールを送信することができる。そして、サーバ装置200も、フィルタ装置1の存在を意識することなく、組織内端末300からのメールを受信することができる。
【0064】
[管理者用PC−フィルタ機能部間でのHTTP通信時の動作]
図5は、管理者用端末700から、仮想マシン20に対してHTTP通信する場合の動作を説明する図である。具体的には、仮想マシン20のフィルタ機能部21のフィルタ管理部25に対して、管理者用端末700のWebアプリケーションを用いてHTTP通信によりフィルタリング条件の設定やフィルタリング情報のモニタなどを行う場合に行われる通信を説明する図である。以下、図5に付したステップS30〜S35にしたがって、管理者用端末700から仮想マシン20に対してHTTP通信する場合の動作について説明する。
【0065】
まず、管理者用端末700のユーザーが、管理者用端末700に備えられたWebアプリケーションを用いて、フィルタ管理部25に対するHTTP通信での要求を行ったものとする。
【0066】
(ステップS30)
管理者用端末700は、フィルタ機能部21宛にパケットを送信する。このパケットには、送信元のIPアドレスとして、管理者用端末700のIPアドレス(160.14.112.157)が記載されている。また、このパケットには、宛先のIPアドレスとして、フィルタ機能部21のIPアドレス(160.14.90.62)が記載されている。
【0067】
管理者用端末700から送出されたパケットは、管理者用端末700と仮想マシン20との間に介在する仮想マシン10の通信部12により受信される。
【0068】
(ステップS31)
透過機能部11は、パケットの宛先のIPアドレスを、フィルタ機能部21のIPアドレス(160.14.90.62)から、仮想マシン20のLAN側送信用IPアドレス(172.16.253.201)に書き換える。
なお、このとき、パケットの送信元のIPアドレスの書き換えは行わないが、後述するステップS34でのアドレス変換処理のため、送信元のIPアドレス(管理者用端末700のアドレス:160.14.112.157)を、記憶部14に保持しておく。
【0069】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを送出する。
仮想マシン10から送出されたパケットは、仮想マシン20の通信部22により受信される。
【0070】
(ステップS32)
フィルタ機能部21のフィルタ管理部25は、受信したHTTPパケットからの要求に応じた処理を行う。ここでいう処理とは、例えば、フィルタリング条件の設定や、フィルタリング実施に関する情報の取得などである。
【0071】
(ステップS33)
仮想マシン20の通信部22は、受信したHTTPパケットに対する応答のHTTPパケットを送信する。このとき送出されるパケットの送信元IPアドレスは、仮想マシン20のLAN側送信用アドレス(172.16.253.201)であり、宛先IPアドレスは、仮想マシン20がステップS32で受信したパケットの送信元IPアドレスである、管理者用端末700のアドレス(160.14.112.157)である。
【0072】
仮想マシン20から送出されたHTTPパケットは、仮想マシン10の通信部12により受信される。
【0073】
(ステップS34)
仮想マシン10の透過機能部11は、受信したパケットの送信元IPアドレスを、仮想マシン20のLAN側送信用アドレス(172.16.253.201)から、このHTTPパケットの本来の送信元であるフィルタ機能部21のIPアドレス(160.14.90.62)に書き換える。このフィルタ機能部21のIPアドレスは、ステップS31にて記憶部14に保持しておいたアドレスである。
【0074】
そして、仮想マシン10の通信部12は、アドレス変換後のパケットを管理者用端末700へ送出する。
【0075】
(ステップS35)
管理者用端末700は、宛先IPアドレスが自身のIPアドレス(160.14.112.157)であるHTTPパケットを受信する。
すなわち、管理者用端末700からフィルタ機能部21宛に送出された要求パケットは、フィルタ機能部21に転送され、フィルタ機能部21からの応答パケットは管理者用端末700へと配信される。このため、管理者用端末700のユーザーは、直接フィルタリング機能部21に都度接続するための設定作業をすることなく、フィルタリング機能の設定や、フィルタリング結果の確認を行うことができる。
【0076】
なお、図5では、HTTP通信を行う場合を例に説明したが、管理者用端末700と仮想マシン20との間でTCP通信あるいはUDP通信を行う場合であっても、同様にして、透過機能部11はアドレス変換処理を行うことができ、同様の効果を得ることができる。
【0077】
[フィルタ装置の導入/撤去について]
既存のシステム(例えば、図1においてフィルタ装置1が存在しない状態のシステム)に、新たにフィルタ装置1を導入する場合には、ユーザーは、透過機能部11においてアドレス変換に用いる変換前/変換後に対応するアドレスのほか、アドレス変換処理に用いる各種データを記憶部14に記憶させる。また、ユーザーは、フィルタ機能部21のフィルタ管理部25を介してフィルタリング条件等を記憶部24に記憶させるなど、フィルタ機能部21の仕様に応じた設定を行う。このようなフィルタ装置1に対する設定を行った後、このフィルタ装置1を、サーバ装置200の前段にLAN結線する。このようにすることで、サーバ装置200等に対しては何らアドレス変更を行うことなく、図3〜図5で示した動作を実行できる。
【0078】
また、図1のようにフィルタ装置1が導入された状態において、フィルタ装置1を撤去する際には、フィルタ装置1からLAN結線を取り外すだけでよい。フィルタ装置1を撤去した後においても、サーバ装置200等に対してアドレス変更を行うことなくメールシステムを運用できる。
【0079】
このように、フィルタ装置1を導入する際にも撤去する際にも、サーバ装置200等の既存の設備に対するアドレス変更等の設定は不要である。
【0080】
以上のように、本実施の形態に係るフィルタ装置1の透過機能部11は、組織内のサーバ装置200宛のパケットのアドレス変換を行うことにより仮想マシン20のフィルタ機能部21にパケットを転送するとともに、仮想マシン20から送出されるパケットの宛先アドレスのアドレス変換を行って、本来の宛先であるサーバ装置200にフィルタリング処理後のパケットを転送する。
これにより、メールの送信側は、フィルタ装置1の存在を意識することなく、サーバ装置200宛にメールを送信することができる。したがって、組織外端末500やサーバ装置200、組織内端末300は、フィルタ装置1の有無にかかわらず、同じアドレス設定を行った状態でメールの送受信を行うことができる。このため、組織外端末500やサーバ装置200、組織内端末300のアドレス設定等の変更を行うことなく、いわゆるリレー型のフィルタ装置(フィルタ機能部21)を導入することができる。したがって、フィルタ装置1を導入する際の障壁を低減することができる。
【符号の説明】
【0081】
1 フィルタ装置
10 仮想マシン
11 透過機能部
12 通信部
13 アドレス変換部
14 記憶部
20 仮想マシン
21 フィルタ機能部
22 通信部
23 フィルタ処理部
24 記憶部
25 フィルタ管理部
30 仮想マシンモニタ
100 メールシステム
200 サーバ装置
300 組織内端末
400 LAN
500 組織外端末
600 ネットワーク
700 管理者用端末
800 ルータ
【特許請求の範囲】
【請求項1】
ネットワークを介して受信した信号をフィルタリングしてサーバに送信するフィルタ装置であって、
設定されたフィルタリングルールに基づいて前記信号を前記サーバに送るか否かを判定し、前記サーバに送るものと判断した信号を送出するリレー型フィルタ手段と、
前記受信した信号に含まれる宛先アドレスを前記リレー型フィルタ手段のアドレスに変換する入力アドレス変換部、前記リレー型フィルタ手段から送出された信号に含まれる宛先アドレスを前記サーバのアドレスに変換する出力アドレス変換部、及び、前記ネットワークを介して信号を受信するとともに前記リレー型フィルタ手段との間で信号を送受信する通信部を有するパケット透過手段と、を備えた
ことを特徴とするフィルタ装置。
【請求項2】
前記リレー型フィルタ手段及び前記パケット透過手段は、前記フィルタ装置内で稼働する仮想マシンにより実現される
ことを特徴とする請求項1記載のフィルタ装置。
【請求項1】
ネットワークを介して受信した信号をフィルタリングしてサーバに送信するフィルタ装置であって、
設定されたフィルタリングルールに基づいて前記信号を前記サーバに送るか否かを判定し、前記サーバに送るものと判断した信号を送出するリレー型フィルタ手段と、
前記受信した信号に含まれる宛先アドレスを前記リレー型フィルタ手段のアドレスに変換する入力アドレス変換部、前記リレー型フィルタ手段から送出された信号に含まれる宛先アドレスを前記サーバのアドレスに変換する出力アドレス変換部、及び、前記ネットワークを介して信号を受信するとともに前記リレー型フィルタ手段との間で信号を送受信する通信部を有するパケット透過手段と、を備えた
ことを特徴とするフィルタ装置。
【請求項2】
前記リレー型フィルタ手段及び前記パケット透過手段は、前記フィルタ装置内で稼働する仮想マシンにより実現される
ことを特徴とする請求項1記載のフィルタ装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−160964(P2012−160964A)
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願番号】特願2011−20067(P2011−20067)
【出願日】平成23年2月1日(2011.2.1)
【出願人】(591057256)株式会社エクサ (36)
【Fターム(参考)】
【公開日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願日】平成23年2月1日(2011.2.1)
【出願人】(591057256)株式会社エクサ (36)
【Fターム(参考)】
[ Back to top ]