JP3802004B2 - Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium - Google Patents
Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium Download PDFInfo
- Publication number
- JP3802004B2 JP3802004B2 JP2003114714A JP2003114714A JP3802004B2 JP 3802004 B2 JP3802004 B2 JP 3802004B2 JP 2003114714 A JP2003114714 A JP 2003114714A JP 2003114714 A JP2003114714 A JP 2003114714A JP 3802004 B2 JP3802004 B2 JP 3802004B2
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- packet
- terminal
- data
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置におけるフィルタリングルールの検査を行う発明に関する。
【0002】
【従来の技術】
近年、インターネット接続時のセキュリティを確保するにあたっては、外部ネットワークからのアクセスをフィルタリングするファイアウォール装置が正しく設定されていることが重要であり、これを検査する必要が生じている。従来のファイアウォール検査方法の一例が、下記文献に記載されている(非特許文献1参照)。
【0003】
ファイアウォール装置におけるパケットの通過・非通過を制御しているフィルタリングルールに係る従来のフィルタリングルール検査方法は、図12に示すようにファイアウォール装置302に検査端末301のIPアドレス、特定ポートとホスト(コンピュータ)303のIPアドレス、特定ポートに対してどのようなフィルタリングルールが設定されているかを確認する為に検査端末301が検査パケット304をホスト303のIPアドレスと特定のポートに向けて送出する。すると、ファイアウォール装置302で検査パケット304の通過を許可されていれば、検査パケット304はホスト303に到達する。そして、ホスト303が検査パケット304の宛先ポートでサービスを提供していれば、ホスト303が検査パケット304に対して応答パケット305を返すので、応答パケット305を受信した検査端末301は、応答パケット305の受信をもって、ファイアウォール装置302の検査端末301のIPアドレス、特定ポートとホスト303のIPアドレス、特定ポートに対してパケットを通過させるようなフィルタリングルールが設定されていると判断する。
【0004】
【非特許文献1】
クラッキング防衛大全(翔泳社,2000,ISBN4−88135−881−2)の287頁〜290頁「ファイアウォールを通過するスキャン」
【0005】
【発明が解決しようとする課題】
しかしながら、ファイアウォール装置302のフィルタリングルール検査において、検査パケットに対する応答パケットが得られなかった場合には、上記従来技術では、検査パケット304がファイアウォール装置302を通過しなかったのか、或いは、相手ホスト303が従来方法の想定しているような応答パケットを返す設定になっていなかったのかを判断することが出来ない。即ち、ファイアウォール装置302の反対側に接続されているホスト303が、必ずしも従来技術の方法が望ような応答パケットを返していないのか、ファイアウォール装置302のフィルタリングルールで通過が許可されていなかったのかを正確に判断できない。このため、ファイアウォール装置302のフィルタリングルールのうち、パケットを通過させない設定になっている部分の検査が正確に行えないという問題が生じていた。
【0006】
本発明は上述した事情に鑑みてなされたもので、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことの出来る発明を公開することを目的とする。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査システムにおいて、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信手段と、前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信手段と、前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、前記第1の検査端末は、前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有することを特徴とするファイアウォール検査システムである。
【0010】
また、本発明は、前記管理装置の解析手段は、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項1に記載のファイアウォール検査システムである。
【0011】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とすることを特徴とする請求項1又は2に記載のファイアウォール検査システムである。
【0014】
また、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査方法において、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信ステップと、前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信ステップと、前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、前記第1の検査端末は、前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行することを特徴とするファイアウォール検査方法。
【0015】
また、本発明は、前記管理装置の解析ステップは、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項4に記載のファイアウォール検査方法である。
【0016】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とすることを特徴とする請求項4又は5に記載のファイアウォール検査方法である。
【0017】
また、本発明は、前記ファイアウォール検査方法で利用する装置及び検査端末に、請求項4乃至6のいずれかに記載の各ステップを実行させるためのファイアウォール検査用プログラムである。
【0018】
ここで、本発明における「プログラム」とは、コンピュータによる処理に適した命令の順番付けられた列からなるものをいい、コンピュータのHD(Hard Disk)、CD−RW等にインストールされているものや、CD−ROM、DVD、FD、半導体メモリ、コンピュータのHDD等の各種記録媒体に記録されているものや、インターネット等の外部ネットワークを介して配信されるものも含まれる。
【0019】
また、本発明は、請求項7に記載のファイアウォール検査用プログラムを記録した、コンピュータ読み取り可能な記録媒体である。
【0020】
ここで、本発明における「記録媒体」とは、上記コンピュータで上記ステップを実行させるためのプログラムの読み取りに使用することができればよく、情報を媒体の物理的特性を利用してどのように記録するか等の物理的な記録方法には依存しない。例えば、FD(Flexible Disk)、CD−ROM(R,RW)(Compact Disc Read Only Memory(CD Recordable,CD Rewritable))、DVD−ROM(RAM,R,RW)(Digital Versatile Disk Read Only Memory(DVD Random Access Memory,DVD Recordable,DVD Rewritable))、半導体メモリ、MO(Magneto Optical Disk)、MD(Mini Disk)、磁気テープ等が該当する。
【0021】
【発明の実施の形態】
以下、図面を用いて、本発明の第1の実施形態について説明する。
【0022】
図1は、本実施形態に係るファイアウォール検査システム1の全体構成図である。図1に示すように、各内部ネットワーク100a,b,c(以下、これらの総称を示す場合は「内部ネットワーク100」という)には、それぞれファイアウォール装置43a,b,c(以下、これらの総称を示す場合は「ファイアウォール装置43」という)を挟んで各内部ネットワーク100内で、それぞれ検査端末A41a,b,c(以下、これらの総称を示す場合は「検査端末A41」という)と検査端末B42a,b,c(以下、これらの総称を示す場合は「検査端末B42」という)が接続されている。また、検査端末A41及び検査端末B42に、本方法専用の管理用ネットワーク200で接続された管理装置40と、管理装置40のユーザインタフェースを介して本方法の利用者がそれぞれ使用する管理端末44a,b,c(以下、これらの総称を示す場合には「管理端末44」という)によって構成されている。これらの管理端末44a,b,cは、それぞれファイアウォール装置43a,b,cの検査に使用される。尚、管理端末44aは、ファイアウォール装置43b,cの検査に使用される等、どの管理端末44から、どのファイアウォール装置43を管理してもよい。
【0023】
図2は、図1に示すファイアウォール検査システム1におけるデータ等の流れを示した概略構成図である。また、図3は、図2中のファイアウォール装置43のフィルタリングルールを示した図である。このようなルールをファイアウォール装置43に設定している場合、発信元IPアドレスが192.168.0.1、発信元ポートが任意(any)のポート、送信先IPアドレスが10.0.0.1、送信先ポート番号が80のパケットはファイアウォール装置43を通過することができ、発信元のIPアドレス、ポート番号、及び送信先IPアドレスが全て任意(any)で、送信先ポート番号が110のパケットはファイアウォール装置43を通過することができない。
【0024】
この場合、検査端末A41は、192.168.0.0/24のネットワークに接続され、検査端末B42は、10.0.0.0/8のネットワークに接続されている。このことは、検査端末A41,B42が持つIPアドレスを制限するものではない。
【0025】
また、管理端末44は、利用者が管理装置40に、図3に示すようなフィルタリングルール45の入力を行うためのコンピュータである。管理装置44は、管理装置44から入力を受け付けたフィルタリングルール45に基づいて、ファイアウォール装置の検査に必要な検査パケットの内容、検査パケットの数、検査パケットの送受信タイミング、及び、想定される検査パケットの通過・非通過の状態を分析し、図4に示すような検査シーケンスデータ46を作成し、管理用ネットワーク200を介して検査端末A41と検査端末B42に渡すためのコンピュータである。本実施形態では、図4に示すように、検査シーケンスデータ46として、送信元IPアドレスが192.168.0.1、発信元ポート番号が任意、送信先IPアドレスが10.0.0.1、送信先ポート番号が1〜65535を作成する。
【0026】
また、検査シーケンスデータ46を受け取った検査端末A41は、検査シーケンスデータ46に従い、検査端末B42に対して、検査パケット47(発信元IPアドレス:192.168.0.1、発信元ポート番号:仮にxxxとする、送信先IPアドレス:10.0.0.1、送信先ポート番号:80)を送信する一方、検査シーケンスデータ46を受け取った検査端末B42では、検査シーケンスデータ46に従い、検査端末A41から送られて来るはずの検査パケット47を、予め決められた所定時間待ち受ける。そして、図3に示すフィルタリングルール45により、検査パケット47はファイアウォール装置43を通過し、所定時間内に検査端末B42が検査パケット47を受信出来れば、検査端末B42では、受信した旨の受信結果を記録しておく。この受信結果は、第2の検査結果データ50として管理端末40に送信される。これにより、管理端末40では、検査パケット47が持っていたパラメータを持つパケットは、ファイアウォール装置43の通過が許可されたと解析する。
【0027】
次に、管理装置40から検査シーケンスデータ46を受け取った検査端末A41が、検査シーケンスデータ46に従い、検査パケット47(発信元アドレス:192.168.0.1発信元ポート番号:xxx送信先アドレス:10.0.0.1送信先ポート番号:110)を送出する。一方で検査端末B42は、検査シーケンスデータ46に従って、検査端末A41から送られてくるはずの検査パケット47を決められた時間待ち受ける。図5のフィルタリングルールにより、検査パケット47はファイアウォールを通過できない。その後、時間内に検査端末B42が検査パケット47を受信出来なかった場合には、検査端末B42はファイアウォール装置43によって検査パケット47が通過を許可されずに遮断された(非通過)と判断し、その判断を記録する。
【0028】
以上のようにして、検査端末A41が、図4に示されている検査シーケンスデータ46のパケットを全て送出し終えると、管理装置40は、管理端末44に、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先アドレス:10.0.0.1、送信先ポート番号:80のパケットは、ファイアウォール装置43を通過し、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先IPアドレス:10.0.0.1、送信先ポート番号:110のパケットは、ファイアウォール装置を通過しなかったという報告を管理端末44に送信して、管理端末44で、結果表示が行われる。また、管理装置40は、利用者が入力したフィルタリングルール45と実際に検査した結果が異なっている場合には、その点についても結果報告に含めて利用者に通知する。
【0029】
尚、ファイアウォール装置43における検査パケットの通過・非通過の解析は、検査端末B42で行って、解析結果を管理装置に送信してもよい。
【0030】
続いて、図5及び図6を用いて、本実施形態の動作について説明する。図5は、本実施形態に係るファイアウォール検査方法を示したシーケンス図である。また、図6は、本実施形態に係る装置及び端末での処理を示した処理フロー図である。
【0031】
尚、下記ステップは、管理装置40に記録されたプログラム(p0)、検査端末Aに記録されたプログラム(p1)、検査端末Bに記録されたプログラム(p2)を実行することで、行うことができる。
【0032】
まず、図6に示すように、利用者が管理端末44の画面に表示されたGUI(Graphical User Interface)を使って、検査対象となるファイアウォール装置43のフィルタリングルール45(図3)を入力する(ステップS1)。これにより、図5に示すように、入力データが管理装置40に送られる。
【0033】
次に、管理装置40は、フィルタリングルール45に基づいて、検査シーケンスデータ46(図4)を作成する。ここで作成される検査シーケンスデータ45は、複数のシーケンスを含むものであるが、それぞれの検査パターンは1組のパケットに関するやり取りしか示されておらず、正常なTCP,ICMP,UDPのプロトコルシーケンスに沿ったものとなっている。
【0034】
次に、図5及び図6に示すように、管理装置40は、検査端末A41、検査端末B42に、上記作成された検査シーケンスデータ45を送信して、配布する(ステップS3)。
【0035】
次に、図6に示すように、検査端末A41は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部161に記憶すると共に、検査端末B42と検査開始の同期を取るための検査開始信号を検査端末B42に送信する(ステップS4)。この検査シーケンスデータ記憶部161は、検査端末A41内の不図示のHD(Hard Disk)の一部領域に構築されている。同様に、検査端末B42は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部162に記憶する(ステップS5)。この検査シーケンスデータ記憶部162は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0036】
次に、検査端末A41では、検査シーケンスデータ記憶部161に記憶した検査シーケンスデータ46の内容(検査シーケンスデータ46で示されている送信元IPアドレス及び送信先IPアドレスの指定)に従い、ファイアウォール装置43を介して検査端末B42に検査パケット47を送信する(ステップS6)。
【0037】
次に、検査端末B42では、図5に示すように、検査シーケンスデータ記憶部162に記憶した検査シーケンスデータ46の内容に従い、検査端末A41から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、検査パケット47を受信するか否かを判断する(ステップS7)。そして、検査パケット47を所定時間内に受信したと判断した場合には(YES)、検査シーケンスデータで示されているIPアドレスを使って、検査パケット47を受信したことを検査端末A41に通知するための応答パケットを、ファイアフォール装置43を介して検査端末A41に送信する(ステップS8)。
【0038】
一方、検査端末A41では、上記ステップS6によって検査パケット47を送信したことを契機とした所定時間内に、上記応答パケット48を受信するか否かを判断する(ステップS9)。そして、所定時間内に応答パケット48を受信したと判断した場合には(YES)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS10)。また、上記ステップS9において、所定時間内に応答パケット48を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS11)。尚、受信結果記録部151は、検査端末A41内の不図示のHDの一部領域に構築されている。
【0039】
一方、検査端末B42では、上記ステップS8により、検査パケット47を受信した場合には、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS12)。また、上記ステップS7において、所定時間内に検査パケット47を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS13)。尚、受信結果記録部152は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0040】
一方、検査端末A41では、上記ステップS10,11後に、検査シーケンスデータ記憶部161内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS14)。そして、まだ残っていると判断した場合には(YES)、上記ステップS6へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部151内にこれまで記録された受信結果を検査結果データ49として、管理装置40に送信する(ステップS16)。
【0041】
一方、検査端末B42では、上記ステップS12,13後に、検査シーケンスデータ記憶部162内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS15)。そして、まだ残っていると判断した場合には(YES)、上記ステップS7へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部152内にこれまで記録された受信結果を検査結果データ50として、管理装置40に送信する(ステップS17)。尚、上記ステップS6,S7へ進んで同じ処理を繰り返す場合には、図5に示すように、検査パケット47’及び応答パケット48’の送受信を再び行う。
【0042】
次に、管理装置40は、検査端末A61と検査端末B63から受け取った、検査結果データ(IPアドレス、ポート番号の組に対するパケットの通過状況等)49,50を精査し、特定のIPアドレス、ポート番号の組に対するファイアウォール装置43のフィルタリングルールの設定が、利用者が入力したポリシ通りか否かを解析し、この結果報告データ51を管理端末44に送信して、管理端末44で解析結果を表示する(ステップS18)。これにより、例えば、検査結果データ50が所定時間内に検査パケット47を受信しなかった旨の受信結果である場合には、ファイアウォール装置43によって検査パケット47の通過が阻まれたと解析することができる。
【0043】
以上説明したように本実施形態によれば、内部ネットワーク内で検査端末A41,B42によってファイアウォール装置43を挟むと共に、管理装置40から、内部ネットワーク100とは別の管理用ネットワーク200を介して、検査端末A41,B42に対して検査シーケンスデータ46と検査結果データ49,50の送受信を行い、しかも、検査端末B42で所定時間だけ検査パケット47の到着を待っているため、ファイアウォール装置43で検査パケット47が阻止されたのか、或いは、検査端末B42で検査パケット47が阻止されたのかを認識することができる。これにより、ファイアウォール装置43のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【0044】
尚、本実施形態において、検査端末A41で、送信元IPアドレスを任意のアドレスに設定し、送信元IPアドレスを任意に設定して、任意の送信元IPアドレスと任意の送信先IPアドレスを組み合わせた検査パケットを送出することによって、全てのIPアドレスの組に対するファイアウォール装置43のフィルタリングルールの検査を実施することができる。相手先のIPアドレスを実際に利用しているホストが、内部ネットワーク上に存在していない場合には、IPの仕様によりarp(Address Resolution Protocol)アドレスの解決が出来ないためにパケットが送出されないという問題があるが、この方法を採用すれば、検査対象となっているIPアドレスが内部ネットワーク上で利用されているか否かを検査端末B42が認識しており、利用されていないIPアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行う場合には、検査端末B42のIPアドレスを検査対象の利用されていないIPアドレスに自動的に変更して検査を実施することにより、内部ネットワーク上で利用されていないアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行うことが可能である。
【0045】
即ち、検査端末A41からファイアウォール装置43を挟んで反対側に、特定のIPアドレスを使っているホストコンピュータが実在しない場合でも、全てのパケットを取得することができ、しかも、検査端末A41,B42が検査シーケンスデータ46を共有しているため、検査端末B42では、検査端末A41から送られてくる検査パケットの種類と数を正確に知ることができる。このため、全てのIPアドレスの組の検査パケットによりファイアウォール装置43で通過許可、非許可の検査を行うことができるという効果を奏する。
〔第2の実施形態〕
以下、図7乃至図11を用いて、本発明の第2の実施形態について説明する。
【0046】
尚、上記第1の実施形態と同一構成、同一処理、同一機能等については、同一の符号を付して、その説明を省略する。
【0047】
本実施形態は、ステートフルファイアウォール装置にも使用することができる例を示したものである。そのため、まず、図7及び図8を用い、ステートフルファイアウォール装置について説明する。
【0048】
図7に示すように、特定のパケット203が検査端末Aから検査端末B宛に送信されたときに、ステートフルファイアウォール装置でパケット203の通過が拒否される場合であっても、図8に示すように、まず通過可能な特定のパケット201を送信し、その応答パケット202がステートフルファイアウォール装置を通過すると、ステートフルファイアウォール装置内部で自動的にパケット203を通過させるようにフィルタリングルールが変更される。ステートフルファイアウォール装置は、このような高度なフィルタリングルールを記述することが可能なファイアウォール装置である。
【0049】
次に、図9乃至図11を用いて、本実施形態の内容について説明する。
【0050】
図9は、ファイアウォール検査システム1’におけるデータ等の流れを示した概略構成図である。
【0051】
本実施形態は、検査シーケンスデータ46’に、検査端末A41,B42の計算機資源の許す限りのパケットのやり取りに関するデータを記述することによって、ステートフルファイアウォール装置43’の検査も実施できるものである。
【0052】
上記第1の実施形態では、検査端末A41,B42間の1往復のパケットの通過した状態でのファイアウォールにおける検査パケットの通過、非通過だけでなく、図10に示すように複数のパケットのやり取りに関して記述されているシーケンスを複数持つ検査シーケンスデータ46’を用いることによって、単一若しくは多数のパケットが通過した後の状態でのステートフルファイアウォール装置43’における検査パケット47の通過、非通過に関する状態も正確に認識することができる。
【0053】
続いて、図11を用いて、本実施形態の動作について説明する。
【0054】
まず、本実施実施形態におけるステップS21〜S33は、上記第1の実施形態におけるステップS1〜S13とそれぞれ同じ処理を行う。但し、検査シーケンスデータ46’が、利用者により入力されたステートフルファイアウォール装置43’用のフィルタリングルール45’に従って、図10に示すような内容になっている。この検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれている。
【0055】
そして、検査端末A41では、ステップS30,S31の後に、検査シーケンスデータ記憶部161に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS34)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS26に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS36に進む。
【0056】
一方、検査端末B42においても、ステップS32,S33の後に、検査シーケンスデータ記憶部162に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS35)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS27に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS37に進む。
【0057】
そして、その後のステップS36〜S40は、上記第1の実施形態におけるステップS14〜S18とそれぞれ同じ処理を行う。
【0058】
以上説明したように本実施形態によれば、上記第1の実施形態の効果に加え、更に、図10に示すように、検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれているため、過去の通信状態を加味してパケットの通過の可否を決定するような高度なフィルタリングルールを持ったステートフルファイアウォール装置43’の検査も行うことができるという効果を奏する。
【0059】
尚、第1及び第2の実施形態では、図1に示すように、1つの管理装置40によって一組の検査端末A,Bを管理しているが、一組、二組、或いは、四組以上の検査端末A,Bを管理してもよい。
【0060】
また、第1及び第2の実施形態では、検査端末A,Bの2台を一組としてが、これに限るものではなく、3台、或いは4台以上の検査端末を一組として、同じ内部ネットワーク100内で、様々な検査を行うようにしてもよい。更に、第1及び第2の実施形態においては、TCP,UDP,ICMPパケットにおける各種パラメータを任意の値に設定した検査パケットを送信してもよい。これにより、通常のやり取りでは生成されないパラメータを有したTCP,UDP,ICMPを検査パケットとして生成して、異常なパラメータを有したTCP,UDP,ICMPパケットがファイアウォール装置43,43’の通過を許可されるか否かを検査することが出来る。異常なパラメータとして設定できる項目例を表1に示している。
【0061】
【表1】
また、上記プログラム(p0)、(p1)、(p2)が記録されたCD−ROM等の記録媒体を用いて、コンピュータ(管理装置、検査端末A41,B42)に、それぞれプログラム(p0)、(p1)、(p2)を記録して使用してもよい。
【0062】
【発明の効果】
以上説明したように本発明によれば、内部ネットワーク内で第1及び第2の検査端末によってファイアウォール装置を挟むと共に、管理装置から、内部ネットワークとは別の管理用ネットワークを介して、第1及び第2の検査端末に対して検査シーケンスデータと検査結果データの送受信を行い、しかも、第2の検査端末で所定時間だけ検査パケットの到着を待っているため、ファイアウォール装置で検査パケットが阻止されたのか、或いは、第2の検査端末で検査パケットが阻止されたのかを認識することができる。これにより、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明に係るファイアウォール検査システム1、1’の全体構成図。
【図2】第1の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図3】図2中のファイアウォール装置43のフィルタリングルールを示した図。
【図4】第1の実施形態に係る検査シーケンスデータの内容を示した図。
【図5】第1の実施形態に係るファイアウォール検査方法を示したシーケンス図。
【図6】第1の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図7】ステートフルファイアウォール装置の説明に使用する図。
【図8】ステートフルファイアウォール装置の説明に使用する図。
【図9】第2の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図10】第2の実施形態に係る検査シーケンスデータの内容を示した図。
【図11】第2の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図12】従来のファイアウォール検査システムにおけるデータ等の流れを示した概略構成図。
【符号の説明】
40 管理装置
41 検査端末A
42 検査端末B
43 ファイアウォール装置
44 管理端末
45 フィルタリングルール
46 検査シーケンスデータ
47 検査パケット
48 応答パケット
49 検査結果データ
50 検査結果データ
51 結果報告[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an invention for inspecting a filtering rule in a firewall apparatus that protects an internal network from unauthorized access from the outside.
[0002]
[Prior art]
In recent years, in order to ensure security when connected to the Internet, it is important that a firewall device for filtering access from an external network is set correctly, and it is necessary to inspect this. An example of a conventional firewall inspection method is described in the following document (see Non-Patent Document 1).
[0003]
As shown in FIG. 12, the conventional filtering rule inspection method related to the filtering rule that controls the passage / non-passage of packets in the firewall apparatus is performed by using the
[0004]
[Non-Patent Document 1]
Page 287-290, “Scanning through the firewall” of the cracking defense encyclopedia (Shosuisha, 2000, ISBN4-88135-881-2)
[0005]
[Problems to be solved by the invention]
However, if a response packet to the inspection packet is not obtained in the filtering rule inspection of the
[0006]
The present invention has been made in view of the above-described circumstances, and an object thereof is to disclose an invention capable of accurately inspecting a portion of a filtering rule of a firewall device that is set to prevent a packet from passing.
[0009]
[Means for Solving the Problems]
To achieve the above objective,The invention provides a firewall inspection system for inspecting a firewall device that protects an internal network from unauthorized access from the outside, and the like, and a first inspection terminal and a second inspection that can be connected across the firewall device in the network And a management device that manages the operation of the first and second inspection terminals. The management device further controls the first and second inspection terminals with respect to the first and second inspection terminals. Data transmission means for transmitting inspection sequence data for the inspection terminal to operate according to a predetermined algorithm, wherein the first inspection terminal includes first data receiving means for receiving the inspection sequence data; First data storage means for storing the inspection sequence data received by the first data receiving means, and the second inspection terminal Second data receiving means for receiving inspection sequence data; and second data storage means for storing inspection sequence data received by the second data receiving means; and In accordance with the contents of the inspection sequence data stored in the first data storage means, the inspection apparatus has inspection packet transmission means for transmitting an inspection packet to the second inspection terminal via the firewall device, and the second inspection terminal includes: According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. Check packet reception determination means for determining whether or not the packet is received, and a second reception result record for recording the reception result determined by the check packet reception determination means. Means, a second inspection result transmission means for transmitting the reception result recorded in the second reception result recording means to the management apparatus as second inspection result data, and the inspection packet reception determination means If it is determined that it has been received, the fact that the inspection packet has been received by the first inspection terminal via the firewall device according to the content of the inspection sequence data stored in the second data storage means Response packet transmitting means for transmitting a response packet for notifying the first inspection terminal, and the first inspection terminal is a predetermined time triggered by transmission of the inspection packet by the inspection packet transmission means A response packet reception determination means for determining whether or not to receive the response packet, and a response packet reception determination means First reception result recording means for recording the determined reception result, and first inspection result transmission means for transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data And the management device includes an analysis means for analyzing the inspection result based on the first and second inspection result data sent from the first and second inspection terminals. Inspection system.
[0010]
Also bookThe invention is such that the analysis unit of the management device, when the first inspection result data is a reception result indicating that a response packet has not been received within a predetermined time by the first inspection terminal, And the second inspection result data is a reception result indicating that the inspection packet is not received within a predetermined time by the second inspection terminal, The analysis is that the inspection packet is blocked by a firewall device.1It is a firewall inspection system described in.
[0011]
Also bookIn the invention, the inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal, and further transmitting inspection packets of the first inspection terminal. The means transmits an inspection packet in which all IP addresses are used as a transmission source and all IP addresses are used as a transmission destination, and the inspection packet receiving means of the second inspection terminal is capable of receiving all inspection packets. Claims1 or 2It is a firewall inspection system described in.
[0014]
Also bookThe present invention relates to a firewall inspection method for inspecting a firewall device that protects an internal network from unauthorized access from the outside, and the like, and a first inspection terminal and a second inspection that can be connected across the firewall device in the network A first terminal that uses the terminal and a management device that manages the operation of the first and second inspection terminals, and further that the first inspection terminal stores inspection sequence data sent from the management device; Data storage means and first reception result recording means for recording the reception result of the packet sent from the second inspection terminal, the second inspection terminal being sent from the management device Second data storage means for storing the coming inspection sequence data, and a second reception result for recording a reception result of the packet sent from the first inspection terminal. The management device transmits inspection sequence data for the first and second inspection terminals to operate according to a predetermined algorithm to the first and second inspection terminals. A first data receiving step for receiving the test sequence data, and the test data received in the first data receiving step as the first data. The second inspection terminal executes the step of storing in the storage means, and the second inspection terminal receives the inspection sequence data received in the second data reception step and the second data reception step. Storing the data in the first data storage means, and the first inspection terminal stores the inspection sequence data stored in the first data storage means. The inspection packet transmission step of transmitting an inspection packet to the second inspection terminal via the firewall device is performed according to the contents of the data, and the second inspection terminal stores the inspection data stored in the second data storage means A test packet reception determination step for determining whether or not to receive the test packet within a predetermined time triggered by the reception of the test start signal transmitted from the first test terminal according to the contents of the sequence data Recording the reception result determined in the inspection packet reception determination step in a second reception result recording unit, and managing the reception result recorded in the second reception result recording unit as second inspection result data. The inspection packet is received by the second inspection result transmission step transmitted to the apparatus and the inspection packet reception determination step. If it is determined that the inspection packet has been received, the first inspection terminal has received the inspection packet via the firewall device according to the content of the inspection sequence data stored in the second data storage means. A response packet transmission step of transmitting a response packet for notifying the inspection terminal of the inspection terminal, and the first inspection terminal within a predetermined time triggered by the transmission of the inspection packet by the inspection packet transmission step A response packet reception determination step for determining whether or not to receive the response packet; a step of recording the reception result determined in the response packet reception determination step in the first reception result recording unit; A first inspection for transmitting the reception result recorded in the reception result recording means to the management apparatus as first inspection result data A result transmission step, and the management device executes an analysis step for analyzing the inspection result based on the first and second inspection result data transmitted from the first and second inspection terminals. A firewall inspection method characterized by:
[0015]
Also bookIn the invention, when the analysis step of the management device is a reception result indicating that the first inspection result data has not been received by the first inspection terminal within a predetermined time, the firewall device And the second inspection result data is a reception result indicating that the inspection packet is not received within a predetermined time by the second inspection terminal, The analysis is that the inspection packet is blocked by a firewall device.4It is a firewall inspection method described in.
[0016]
Also bookIn the invention, the inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal, and further transmitting inspection packets of the first inspection terminal. The step transmits an inspection packet in which all IP addresses are used as transmission sources and all IP addresses are used as transmission destinations, and the inspection packet reception step of the second inspection terminal is capable of receiving all inspection packets. Claims4 or 5It is a firewall inspection method described in.
[0017]
Also bookThe present invention provides an apparatus and an inspection terminal used in the firewall inspection method.Any of 4-6It is a firewall inspection program for executing each step described in 1.
[0018]
Here, the “program” in the present invention means an ordered sequence of instructions suitable for processing by a computer, such as those installed in a computer's HD (Hard Disk), CD-RW, etc. , Recorded on various recording media such as CD-ROM, DVD, FD, semiconductor memory, and computer HDD, and distributed via an external network such as the Internet.
[0019]
Also bookThe invention claims7A computer-readable recording medium on which the firewall inspection program described in 1 is recorded.
[0020]
Here, the “recording medium” in the present invention only needs to be used for reading a program for causing the computer to execute the above steps, and how information is recorded using physical characteristics of the medium. It does not depend on the physical recording method. For example, FD (Flexible Disk), CD-ROM (R, RW) (Compact Disc Read Only Memory (CD Recordable, CD Rewritable)), DVD-ROM (RAM, R, RW) (Digital Versatile Disk Read Only Memory (DVD) Random Access Memory, DVD Recordable, DVD Rewritable)), semiconductor memory, MO (Magneto Optical Disk), MD (Mini Disk), magnetic tape, and the like.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings.
[0022]
FIG. 1 is an overall configuration diagram of a
[0023]
FIG. 2 is a schematic configuration diagram showing a flow of data and the like in the
[0024]
In this case, the inspection terminal A41 is connected to the 192.168.0.0/24 network, and the inspection terminal B42 is connected to the 10.0.0.0/8 network. This does not limit the IP addresses of the inspection terminals A41 and B42.
[0025]
The
[0026]
The inspection terminal A41 that has received the inspection sequence data 46 transmits the inspection packet 47 (source IP address: 192.168.0.1, transmission source port number: tentatively) to the inspection terminal B42 according to the inspection sequence data 46. xxx, transmission destination IP address: 10.0.0.1, transmission destination port number: 80), while the inspection terminal B42 that has received the inspection sequence data 46 follows the inspection sequence data 46 and inspects the terminal A41. The inspection packet 47 that should be sent from is waited for a predetermined time. Then, according to the filtering rule 45 shown in FIG. 3, if the inspection packet 47 passes through the
[0027]
Next, the inspection terminal A41 that has received the inspection sequence data 46 from the
[0028]
As described above, when the inspection terminal A41 finishes sending all the packets of the inspection sequence data 46 shown in FIG. 4, the
[0029]
Note that the analysis of the inspection packet passing / non-passing in the
[0030]
Subsequently, the operation of the present embodiment will be described with reference to FIGS. 5 and 6. FIG. 5 is a sequence diagram illustrating the firewall inspection method according to the present embodiment. FIG. 6 is a process flow diagram showing processing in the apparatus and terminal according to the present embodiment.
[0031]
The following steps can be performed by executing the program (p0) recorded in the
[0032]
First, as shown in FIG. 6, the user inputs a filtering rule 45 (FIG. 3) of the
[0033]
Next, the
[0034]
Next, as shown in FIGS. 5 and 6, the
[0035]
Next, as shown in FIG. 6, the inspection terminal A41 stores the received inspection sequence data 46 in the inspection sequence
[0036]
Next, in the
[0037]
Next, as shown in FIG. 5, the inspection terminal B42 is triggered by the reception of the inspection start signal transmitted from the inspection terminal A41 according to the contents of the inspection sequence data 46 stored in the inspection sequence
[0038]
On the other hand, the inspection terminal A41 determines whether or not the response packet 48 is received within a predetermined time triggered by the transmission of the inspection packet 47 in step S6 (step S9). If it is determined that the response packet 48 has been received within a predetermined time (YES), a reception result indicating that fact is recorded in the reception
[0039]
On the other hand, in the inspection terminal B42, when the inspection packet 47 is received in step S8, the reception result indicating that fact is recorded in the reception
[0040]
On the other hand, the inspection terminal A41 checks the inspection sequence
[0041]
On the other hand, the inspection terminal B42 checks the inspection sequence
[0042]
Next, the
[0043]
As described above, according to the present embodiment, the
[0044]
In this embodiment, in the inspection terminal A41, the source IP address is set to an arbitrary address, the source IP address is arbitrarily set, and the arbitrary source IP address and the arbitrary destination IP address are combined. By sending the inspection packet, the filtering rule of the
[0045]
That is, even if there is no host computer using a specific IP address on the opposite side across the
[Second Embodiment]
Hereinafter, a second embodiment of the present invention will be described with reference to FIGS.
[0046]
Note that the same configuration, the same process, the same function, and the like as those in the first embodiment are denoted by the same reference numerals, and the description thereof is omitted.
[0047]
This embodiment shows an example that can also be used for a stateful firewall device. Therefore, first, the stateful firewall apparatus will be described with reference to FIGS.
[0048]
As shown in FIG. 7, when a specific packet 203 is transmitted from the inspection terminal A to the inspection terminal B, even if the passage of the packet 203 is rejected by the stateful firewall device, as shown in FIG. First, a specific packet 201 that can be passed is transmitted, and when the response packet 202 passes through the stateful firewall device, the filtering rule is changed so that the packet 203 is automatically passed inside the stateful firewall device. The stateful firewall device is a firewall device capable of describing such advanced filtering rules.
[0049]
Next, the contents of the present embodiment will be described with reference to FIGS.
[0050]
FIG. 9 is a schematic configuration diagram showing a flow of data and the like in the
[0051]
In the present embodiment, the inspection of the
[0052]
In the first embodiment, not only the inspection packet passes and does not pass through the firewall in a state where one round-trip packet passes between the inspection terminals A41 and B42, but also the exchange of a plurality of packets as shown in FIG. By using the inspection sequence data 46 ′ having a plurality of described sequences, the state regarding the passage and non-passing of the inspection packet 47 in the
[0053]
Subsequently, the operation of the present embodiment will be described with reference to FIG.
[0054]
First, steps S21 to S33 in the present embodiment perform the same processes as steps S1 to S13 in the first embodiment, respectively. However, the inspection sequence data 46 ′ has the contents shown in FIG. 10 according to the filtering rule 45 ′ for the
[0055]
Then, the inspection terminal A41 refers to the inspection sequence data 46 ′ stored in the inspection sequence
[0056]
On the other hand, also in the inspection terminal B42, after steps S32 and S33, the inspection sequence data 46 ′ stored in the inspection sequence
[0057]
Then, subsequent steps S36 to S40 perform the same processes as steps S14 to S18 in the first embodiment.
[0058]
As described above, according to the present embodiment, in addition to the effects of the first embodiment, as shown in FIG. 10, the inspection sequence data 46 ′ includes a plurality of sequences constituting the inspection sequence data. Furthermore, since packet information for transmitting various inspection packets is included, a stateful firewall device having advanced filtering rules that determine whether or not packets can be passed in consideration of past communication states 43 'can be inspected.
[0059]
In the first and second embodiments, as shown in FIG. 1, one set of inspection terminals A and B is managed by one
[0060]
In the first and second embodiments, two inspection terminals A and B are set as one set, but the present invention is not limited to this. Various inspections may be performed in the network 100. Furthermore, in the first and second embodiments, an inspection packet in which various parameters in the TCP, UDP, and ICMP packets are set to arbitrary values may be transmitted. As a result, TCP, UDP, ICMP having parameters that are not generated by normal exchange are generated as inspection packets, and TCP, UDP, ICMP packets having abnormal parameters are allowed to pass through the
[0061]
[Table 1]
Further, using a recording medium such as a CD-ROM in which the programs (p0), (p1), and (p2) are recorded, the programs (p0), ( p1) and (p2) may be recorded and used.
[0062]
【The invention's effect】
As described above, according to the present invention, the firewall device is sandwiched between the first and second inspection terminals in the internal network, and the first and second inspection devices are connected from the management device via the management network different from the internal network. Inspection sequence data and inspection result data are transmitted to and received from the second inspection terminal, and the inspection packet is blocked by the firewall device because the second inspection terminal waits for the arrival of the inspection packet for a predetermined time. Or whether the inspection packet is blocked by the second inspection terminal. Thereby, there is an effect that it is possible to accurately inspect a portion of the filtering rule of the firewall device that is set not to pass the packet.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a
FIG. 2 is a schematic configuration diagram showing a flow of data and the like in the
3 is a diagram showing filtering rules of the
FIG. 4 is a view showing the contents of inspection sequence data according to the first embodiment.
FIG. 5 is a sequence diagram showing a firewall inspection method according to the first embodiment.
FIG. 6 is a processing flowchart showing processing in the device and the terminal according to the first embodiment.
FIG. 7 is a diagram used for explaining a stateful firewall device.
FIG. 8 is a diagram used for explaining a stateful firewall device.
FIG. 9 is a schematic configuration diagram showing a flow of data and the like in the
FIG. 10 is a view showing the contents of inspection sequence data according to the second embodiment.
FIG. 11 is a processing flowchart showing processing in an apparatus and a terminal according to the second embodiment.
FIG. 12 is a schematic configuration diagram showing a flow of data and the like in a conventional firewall inspection system.
[Explanation of symbols]
40 Management device
41 Inspection terminal A
42 Inspection terminal B
43 Firewall device
44 Management terminal
45 Filtering rules
46 Inspection sequence data
47 Inspection packet
48 response packets
49 Test result data
50 Test result data
51 Result report
Claims (8)
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信手段と、
前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信手段と、
前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、
前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、
前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、
前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、
前記第1の検査端末は、
前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、
前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、 前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有する
ことを特徴とするファイアウォール検査システム。In the firewall inspection system to inspect the firewall device that protects the internal network from unauthorized access from outside,
A first inspection terminal and a second inspection terminal that are connectable across the firewall device in the network, and a management device that manages the operation of the first and second inspection terminals,
The management device
Data transmission means for transmitting inspection sequence data for the first and second inspection terminals to operate according to a predetermined algorithm to the first and second inspection terminals,
The first inspection terminal includes:
First data receiving means for receiving the inspection sequence data;
First data storage means for storing inspection sequence data received by the first data receiving means;
The second inspection terminal is
Second data receiving means for receiving the inspection sequence data;
Second data storage means for storing inspection sequence data received by the second data receiving means;
The first inspection terminal includes:
In accordance with the contents of the inspection sequence data stored in the first data storage means, the inspection packet transmission means for transmitting an inspection packet to the second inspection terminal via the firewall device,
The second inspection terminal is
According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. Inspection packet reception determination means for determining whether or not,
Second reception result recording means for recording the reception result determined by the inspection packet reception determination means;
Second inspection result transmission means for transmitting the reception result recorded in the second reception result recording means to the management apparatus as second inspection result data;
When it is determined that the inspection packet is received by the inspection packet reception determination means, the first inspection terminal is passed through the firewall device according to the content of the inspection sequence data stored in the second data storage means. In contrast, response packet transmission means for transmitting a response packet for notifying the first inspection terminal that the inspection packet has been received,
The first inspection terminal includes:
Response packet reception determination means for determining whether or not to receive the response packet within a predetermined time triggered by transmission of the inspection packet by the inspection packet transmission means;
First reception result recording means for recording the reception result determined by the response packet reception determination means;
First inspection result transmission means for transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data; and
A firewall inspection system comprising analysis means for analyzing an inspection result based on first and second inspection result data sent from the first and second inspection terminals.
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項1に記載のファイアウォール検査システム。The analysis means of the management device includes:
If the first inspection result data is a reception result indicating that the first inspection terminal has not received a response packet within a predetermined time, it is analyzed that passage of the response packet is blocked by the firewall device. And
If the second inspection result data is a reception result indicating that the second inspection terminal has not received the inspection packet within a predetermined time, it is analyzed that the passage of the inspection packet is blocked by the firewall device. The firewall inspection system according to claim 1 , wherein:
前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とする
ことを特徴とする請求項1又は2に記載のファイアウォール検査システム。The inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal,
The inspection packet transmission means of the first inspection terminal transmits an inspection packet in which all IP addresses are combined as a transmission source and all IP addresses are combined as a transmission destination,
The firewall inspection system according to claim 1 or 2 , wherein the inspection packet receiving means of the second inspection terminal is capable of receiving all inspection packets.
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、
前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、
前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信ステップと、
前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信ステップと、
前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、 前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、
前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、
前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、
前記第1の検査端末は、
前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、
前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、
前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行する ことを特徴とするファイアウォール検査方法。In the firewall inspection method to inspect the firewall device that protects the internal network from unauthorized access from outside,
Utilizing a first inspection terminal and a second inspection terminal that can be connected across the firewall device in the network, and a management device that manages the operation of the first and second inspection terminals,
The first inspection terminal has a first data storage means for storing inspection sequence data sent from the management device, and a first reception record for a packet sent from the second inspection terminal. Receiving result recording means,
The second inspection terminal has second data storage means for storing inspection sequence data sent from the management device, and second reception information for recording a packet sent from the first inspection terminal. With a reception result recording means,
The management device
A data transmission step of transmitting inspection sequence data for the first and second inspection terminals to operate with a predetermined algorithm is performed on the first and second inspection terminals,
The first inspection terminal includes:
A first data receiving step for receiving the inspection sequence data;
Storing the inspection sequence data received in the first data receiving step in the first data storage means; and
The second inspection terminal is
A second data receiving step for receiving the inspection sequence data;
Storing the inspection sequence data received in the second data receiving step in the second data storage means, and the first inspection terminal comprises:
In accordance with the content of the inspection sequence data stored in the first data storage means, an inspection packet transmission step of transmitting an inspection packet to the second inspection terminal via the firewall device is performed.
The second inspection terminal is
According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. An inspection packet reception determination step for determining whether or not,
Recording the reception result determined in the inspection packet reception determination step in a second reception result recording unit;
A second inspection result transmission step of transmitting the reception result recorded in the second reception result recording means to the management device as second inspection result data;
When it is determined in the inspection packet reception determination step that the inspection packet is received, the first inspection terminal is passed through the firewall device according to the content of the inspection sequence data stored in the second data storage means. On the other hand, performing a response packet transmission step of transmitting a response packet for notifying the first inspection terminal that the inspection packet has been received,
The first inspection terminal includes:
A response packet reception determination step for determining whether or not to receive the response packet within a predetermined time triggered by the transmission of the inspection packet in the inspection packet transmission step;
Recording the reception result determined in the response packet reception determination step in the first reception result recording unit;
A first inspection result transmission step of transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data;
The management device
A firewall inspection method, comprising: executing an analysis step of analyzing an inspection result based on first and second inspection result data sent from the first and second inspection terminals.
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項4に記載のファイアウォール検査方法。The analysis step of the management device includes:
If the first inspection result data is a reception result indicating that the first inspection terminal has not received a response packet within a predetermined time, it is analyzed that passage of the response packet is blocked by the firewall device. And
If the second inspection result data is a reception result indicating that the second inspection terminal has not received the inspection packet within a predetermined time, it is analyzed that the passage of the inspection packet is blocked by the firewall device. The firewall inspection method according to claim 4 , wherein:
前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とする
ことを特徴とする請求項4又は5に記載のファイアウォール検査方法。The inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal,
The inspection packet transmission step of the first inspection terminal transmits an inspection packet in which all IP addresses are combined as a transmission source and all IP addresses are combined as a transmission destination,
6. The firewall inspection method according to claim 4, wherein the inspection packet reception step of the second inspection terminal enables reception of all inspection packets.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003114714A JP3802004B2 (en) | 2003-04-18 | 2003-04-18 | Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003114714A JP3802004B2 (en) | 2003-04-18 | 2003-04-18 | Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004320644A JP2004320644A (en) | 2004-11-11 |
| JP3802004B2 true JP3802004B2 (en) | 2006-07-26 |
Family
ID=33474205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003114714A Expired - Lifetime JP3802004B2 (en) | 2003-04-18 | 2003-04-18 | Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3802004B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374569B (en) * | 2022-03-22 | 2022-07-05 | 北京指掌易科技有限公司 | Message detection method and device, electronic equipment and storage medium |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285165A (en) * | 1997-03-31 | 1998-10-23 | Mitsubishi Electric Corp | Network test system |
| JP2000151602A (en) * | 1998-11-18 | 2000-05-30 | Hitachi Ltd | Network setting inspection system |
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| US6473763B1 (en) * | 2000-03-31 | 2002-10-29 | International Business Machines Corporation | System, method and computer program for filtering multi-action rule set |
| JP3851164B2 (en) * | 2001-12-28 | 2006-11-29 | 沖電気工業株式会社 | Device continuity test method and device |
-
2003
- 2003-04-18 JP JP2003114714A patent/JP3802004B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004320644A (en) | 2004-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11588841B2 (en) | Generating malicious network traffic detection models using cloned network environments | |
| JP4658340B2 (en) | Network gateway analysis method and apparatus | |
| CN111585845B (en) | A method, device, device and readable medium for detecting the performance of a network card node | |
| US9491052B2 (en) | Topology aware smart merge | |
| US11616793B2 (en) | System and method for device context and device security | |
| US20110138470A1 (en) | Automated testing for security vulnerabilities of devices | |
| EP3420700A1 (en) | Systems and methods for attack simulation on a production network | |
| CN106603507A (en) | Method and system for automatically completing network security self checking | |
| CN109286511B (en) | Data processing method and device | |
| CN107809433A (en) | Assets management method and device | |
| US10523549B1 (en) | Method and system for detecting and classifying networked devices | |
| CN115086208A (en) | Network card detection method and device, electronic equipment and storage medium | |
| JP3802004B2 (en) | Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium | |
| EP4128666B1 (en) | Network traffic capture | |
| Wala et al. | “Off-Label” Use of DNS | |
| CN104468861B (en) | The method, apparatus and system of terminal recognition | |
| CN119210808A (en) | A method, device and related equipment for detecting terminal intranet external connection | |
| CN102457430B (en) | Network packet processing method and routing device | |
| CN112019361A (en) | Access control list migration method and device, storage medium and electronic device | |
| JP5994459B2 (en) | Information processing apparatus, communication control method, and communication control program | |
| CN112468356B (en) | Router interface test methods, devices, electronic equipment and storage media | |
| JP5655185B2 (en) | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program | |
| CN114827086A (en) | Method, device, equipment and storage medium for detecting IP discovery | |
| CN115065613A (en) | Network connectivity analysis system and analysis method based on firewall configuration | |
| CN115022217A (en) | Network card detection method and device, electronic equipment and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051102 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060411 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060426 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3802004 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090512 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100512 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100512 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110512 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120512 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130512 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140512 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |