Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3802004B2 - Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium - Google Patents
[go: Go Back, main page]

JP3802004B2 - Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium - Google Patents

Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium Download PDF

Info

Publication number
JP3802004B2
JP3802004B2 JP2003114714A JP2003114714A JP3802004B2 JP 3802004 B2 JP3802004 B2 JP 3802004B2 JP 2003114714 A JP2003114714 A JP 2003114714A JP 2003114714 A JP2003114714 A JP 2003114714A JP 3802004 B2 JP3802004 B2 JP 3802004B2
Authority
JP
Japan
Prior art keywords
inspection
packet
terminal
data
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003114714A
Other languages
Japanese (ja)
Other versions
JP2004320644A (en
Inventor
亮介 佐藤
文之 種茂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003114714A priority Critical patent/JP3802004B2/en
Publication of JP2004320644A publication Critical patent/JP2004320644A/en
Application granted granted Critical
Publication of JP3802004B2 publication Critical patent/JP3802004B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置におけるフィルタリングルールの検査を行う発明に関する。
【0002】
【従来の技術】
近年、インターネット接続時のセキュリティを確保するにあたっては、外部ネットワークからのアクセスをフィルタリングするファイアウォール装置が正しく設定されていることが重要であり、これを検査する必要が生じている。従来のファイアウォール検査方法の一例が、下記文献に記載されている(非特許文献1参照)。
【0003】
ファイアウォール装置におけるパケットの通過・非通過を制御しているフィルタリングルールに係る従来のフィルタリングルール検査方法は、図12に示すようにファイアウォール装置302に検査端末301のIPアドレス、特定ポートとホスト(コンピュータ)303のIPアドレス、特定ポートに対してどのようなフィルタリングルールが設定されているかを確認する為に検査端末301が検査パケット304をホスト303のIPアドレスと特定のポートに向けて送出する。すると、ファイアウォール装置302で検査パケット304の通過を許可されていれば、検査パケット304はホスト303に到達する。そして、ホスト303が検査パケット304の宛先ポートでサービスを提供していれば、ホスト303が検査パケット304に対して応答パケット305を返すので、応答パケット305を受信した検査端末301は、応答パケット305の受信をもって、ファイアウォール装置302の検査端末301のIPアドレス、特定ポートとホスト303のIPアドレス、特定ポートに対してパケットを通過させるようなフィルタリングルールが設定されていると判断する。
【0004】
【非特許文献1】
クラッキング防衛大全(翔泳社,2000,ISBN4−88135−881−2)の287頁〜290頁「ファイアウォールを通過するスキャン」
【0005】
【発明が解決しようとする課題】
しかしながら、ファイアウォール装置302のフィルタリングルール検査において、検査パケットに対する応答パケットが得られなかった場合には、上記従来技術では、検査パケット304がファイアウォール装置302を通過しなかったのか、或いは、相手ホスト303が従来方法の想定しているような応答パケットを返す設定になっていなかったのかを判断することが出来ない。即ち、ファイアウォール装置302の反対側に接続されているホスト303が、必ずしも従来技術の方法が望ような応答パケットを返していないのか、ファイアウォール装置302のフィルタリングルールで通過が許可されていなかったのかを正確に判断できない。このため、ファイアウォール装置302のフィルタリングルールのうち、パケットを通過させない設定になっている部分の検査が正確に行えないという問題が生じていた。
【0006】
本発明は上述した事情に鑑みてなされたもので、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことの出来る発明を公開することを目的とする。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査システムにおいて、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信手段と、前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信手段と、前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、前記第1の検査端末は、前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有することを特徴とするファイアウォール検査システムである。
【0010】
また、本発明は、前記管理装置の解析手段は、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項に記載のファイアウォール検査システムである。
【0011】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とすることを特徴とする請求項1又は2に記載のファイアウォール検査システムである。
【0014】
また、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査方法において、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信ステップと、前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信ステップと、前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、前記第1の検査端末は、前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行することを特徴とするファイアウォール検査方法。
【0015】
また、本発明は、前記管理装置の解析ステップは、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項に記載のファイアウォール検査方法である。
【0016】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とすることを特徴とする請求項4又は5に記載のファイアウォール検査方法である。
【0017】
また、本発明は、前記ファイアウォール検査方法で利用する装置及び検査端末に、請求項4乃至6のいずれかに記載の各ステップを実行させるためのファイアウォール検査用プログラムである。
【0018】
ここで、本発明における「プログラム」とは、コンピュータによる処理に適した命令の順番付けられた列からなるものをいい、コンピュータのHD(Hard Disk)、CD−RW等にインストールされているものや、CD−ROM、DVD、FD、半導体メモリ、コンピュータのHDD等の各種記録媒体に記録されているものや、インターネット等の外部ネットワークを介して配信されるものも含まれる。
【0019】
また、本発明は、請求項に記載のファイアウォール検査用プログラムを記録した、コンピュータ読み取り可能な記録媒体である。
【0020】
ここで、本発明における「記録媒体」とは、上記コンピュータで上記ステップを実行させるためのプログラムの読み取りに使用することができればよく、情報を媒体の物理的特性を利用してどのように記録するか等の物理的な記録方法には依存しない。例えば、FD(Flexible Disk)、CD−ROM(R,RW)(Compact Disc Read Only Memory(CD Recordable,CD Rewritable))、DVD−ROM(RAM,R,RW)(Digital Versatile Disk Read Only Memory(DVD Random Access Memory,DVD Recordable,DVD Rewritable))、半導体メモリ、MO(Magneto Optical Disk)、MD(Mini Disk)、磁気テープ等が該当する。
【0021】
【発明の実施の形態】
以下、図面を用いて、本発明の第1の実施形態について説明する。
【0022】
図1は、本実施形態に係るファイアウォール検査システム1の全体構成図である。図1に示すように、各内部ネットワーク100a,b,c(以下、これらの総称を示す場合は「内部ネットワーク100」という)には、それぞれファイアウォール装置43a,b,c(以下、これらの総称を示す場合は「ファイアウォール装置43」という)を挟んで各内部ネットワーク100内で、それぞれ検査端末A41a,b,c(以下、これらの総称を示す場合は「検査端末A41」という)と検査端末B42a,b,c(以下、これらの総称を示す場合は「検査端末B42」という)が接続されている。また、検査端末A41及び検査端末B42に、本方法専用の管理用ネットワーク200で接続された管理装置40と、管理装置40のユーザインタフェースを介して本方法の利用者がそれぞれ使用する管理端末44a,b,c(以下、これらの総称を示す場合には「管理端末44」という)によって構成されている。これらの管理端末44a,b,cは、それぞれファイアウォール装置43a,b,cの検査に使用される。尚、管理端末44aは、ファイアウォール装置43b,cの検査に使用される等、どの管理端末44から、どのファイアウォール装置43を管理してもよい。
【0023】
図2は、図1に示すファイアウォール検査システム1におけるデータ等の流れを示した概略構成図である。また、図3は、図2中のファイアウォール装置43のフィルタリングルールを示した図である。このようなルールをファイアウォール装置43に設定している場合、発信元IPアドレスが192.168.0.1、発信元ポートが任意(any)のポート、送信先IPアドレスが10.0.0.1、送信先ポート番号が80のパケットはファイアウォール装置43を通過することができ、発信元のIPアドレス、ポート番号、及び送信先IPアドレスが全て任意(any)で、送信先ポート番号が110のパケットはファイアウォール装置43を通過することができない。
【0024】
この場合、検査端末A41は、192.168.0.0/24のネットワークに接続され、検査端末B42は、10.0.0.0/8のネットワークに接続されている。このことは、検査端末A41,B42が持つIPアドレスを制限するものではない。
【0025】
また、管理端末44は、利用者が管理装置40に、図3に示すようなフィルタリングルール45の入力を行うためのコンピュータである。管理装置44は、管理装置44から入力を受け付けたフィルタリングルール45に基づいて、ファイアウォール装置の検査に必要な検査パケットの内容、検査パケットの数、検査パケットの送受信タイミング、及び、想定される検査パケットの通過・非通過の状態を分析し、図4に示すような検査シーケンスデータ46を作成し、管理用ネットワーク200を介して検査端末A41と検査端末B42に渡すためのコンピュータである。本実施形態では、図4に示すように、検査シーケンスデータ46として、送信元IPアドレスが192.168.0.1、発信元ポート番号が任意、送信先IPアドレスが10.0.0.1、送信先ポート番号が1〜65535を作成する。
【0026】
また、検査シーケンスデータ46を受け取った検査端末A41は、検査シーケンスデータ46に従い、検査端末B42に対して、検査パケット47(発信元IPアドレス:192.168.0.1、発信元ポート番号:仮にxxxとする、送信先IPアドレス:10.0.0.1、送信先ポート番号:80)を送信する一方、検査シーケンスデータ46を受け取った検査端末B42では、検査シーケンスデータ46に従い、検査端末A41から送られて来るはずの検査パケット47を、予め決められた所定時間待ち受ける。そして、図3に示すフィルタリングルール45により、検査パケット47はファイアウォール装置43を通過し、所定時間内に検査端末B42が検査パケット47を受信出来れば、検査端末B42では、受信した旨の受信結果を記録しておく。この受信結果は、第2の検査結果データ50として管理端末40に送信される。これにより、管理端末40では、検査パケット47が持っていたパラメータを持つパケットは、ファイアウォール装置43の通過が許可されたと解析する。
【0027】
次に、管理装置40から検査シーケンスデータ46を受け取った検査端末A41が、検査シーケンスデータ46に従い、検査パケット47(発信元アドレス:192.168.0.1発信元ポート番号:xxx送信先アドレス:10.0.0.1送信先ポート番号:110)を送出する。一方で検査端末B42は、検査シーケンスデータ46に従って、検査端末A41から送られてくるはずの検査パケット47を決められた時間待ち受ける。図5のフィルタリングルールにより、検査パケット47はファイアウォールを通過できない。その後、時間内に検査端末B42が検査パケット47を受信出来なかった場合には、検査端末B42はファイアウォール装置43によって検査パケット47が通過を許可されずに遮断された(非通過)と判断し、その判断を記録する。
【0028】
以上のようにして、検査端末A41が、図4に示されている検査シーケンスデータ46のパケットを全て送出し終えると、管理装置40は、管理端末44に、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先アドレス:10.0.0.1、送信先ポート番号:80のパケットは、ファイアウォール装置43を通過し、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先IPアドレス:10.0.0.1、送信先ポート番号:110のパケットは、ファイアウォール装置を通過しなかったという報告を管理端末44に送信して、管理端末44で、結果表示が行われる。また、管理装置40は、利用者が入力したフィルタリングルール45と実際に検査した結果が異なっている場合には、その点についても結果報告に含めて利用者に通知する。
【0029】
尚、ファイアウォール装置43における検査パケットの通過・非通過の解析は、検査端末B42で行って、解析結果を管理装置に送信してもよい。
【0030】
続いて、図5及び図6を用いて、本実施形態の動作について説明する。図5は、本実施形態に係るファイアウォール検査方法を示したシーケンス図である。また、図6は、本実施形態に係る装置及び端末での処理を示した処理フロー図である。
【0031】
尚、下記ステップは、管理装置40に記録されたプログラム(p0)、検査端末Aに記録されたプログラム(p1)、検査端末Bに記録されたプログラム(p2)を実行することで、行うことができる。
【0032】
まず、図6に示すように、利用者が管理端末44の画面に表示されたGUI(Graphical User Interface)を使って、検査対象となるファイアウォール装置43のフィルタリングルール45(図3)を入力する(ステップS1)。これにより、図5に示すように、入力データが管理装置40に送られる。
【0033】
次に、管理装置40は、フィルタリングルール45に基づいて、検査シーケンスデータ46(図4)を作成する。ここで作成される検査シーケンスデータ45は、複数のシーケンスを含むものであるが、それぞれの検査パターンは1組のパケットに関するやり取りしか示されておらず、正常なTCP,ICMP,UDPのプロトコルシーケンスに沿ったものとなっている。
【0034】
次に、図5及び図6に示すように、管理装置40は、検査端末A41、検査端末B42に、上記作成された検査シーケンスデータ45を送信して、配布する(ステップS3)。
【0035】
次に、図6に示すように、検査端末A41は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部161に記憶すると共に、検査端末B42と検査開始の同期を取るための検査開始信号を検査端末B42に送信する(ステップS4)。この検査シーケンスデータ記憶部161は、検査端末A41内の不図示のHD(Hard Disk)の一部領域に構築されている。同様に、検査端末B42は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部162に記憶する(ステップS5)。この検査シーケンスデータ記憶部162は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0036】
次に、検査端末A41では、検査シーケンスデータ記憶部161に記憶した検査シーケンスデータ46の内容(検査シーケンスデータ46で示されている送信元IPアドレス及び送信先IPアドレスの指定)に従い、ファイアウォール装置43を介して検査端末B42に検査パケット47を送信する(ステップS6)。
【0037】
次に、検査端末B42では、図5に示すように、検査シーケンスデータ記憶部162に記憶した検査シーケンスデータ46の内容に従い、検査端末A41から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、検査パケット47を受信するか否かを判断する(ステップS7)。そして、検査パケット47を所定時間内に受信したと判断した場合には(YES)、検査シーケンスデータで示されているIPアドレスを使って、検査パケット47を受信したことを検査端末A41に通知するための応答パケットを、ファイアフォール装置43を介して検査端末A41に送信する(ステップS8)。
【0038】
一方、検査端末A41では、上記ステップS6によって検査パケット47を送信したことを契機とした所定時間内に、上記応答パケット48を受信するか否かを判断する(ステップS9)。そして、所定時間内に応答パケット48を受信したと判断した場合には(YES)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS10)。また、上記ステップS9において、所定時間内に応答パケット48を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS11)。尚、受信結果記録部151は、検査端末A41内の不図示のHDの一部領域に構築されている。
【0039】
一方、検査端末B42では、上記ステップS8により、検査パケット47を受信した場合には、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS12)。また、上記ステップS7において、所定時間内に検査パケット47を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS13)。尚、受信結果記録部152は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0040】
一方、検査端末A41では、上記ステップS10,11後に、検査シーケンスデータ記憶部161内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS14)。そして、まだ残っていると判断した場合には(YES)、上記ステップS6へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部151内にこれまで記録された受信結果を検査結果データ49として、管理装置40に送信する(ステップS16)。
【0041】
一方、検査端末B42では、上記ステップS12,13後に、検査シーケンスデータ記憶部162内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS15)。そして、まだ残っていると判断した場合には(YES)、上記ステップS7へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部152内にこれまで記録された受信結果を検査結果データ50として、管理装置40に送信する(ステップS17)。尚、上記ステップS6,S7へ進んで同じ処理を繰り返す場合には、図5に示すように、検査パケット47’及び応答パケット48’の送受信を再び行う。
【0042】
次に、管理装置40は、検査端末A61と検査端末B63から受け取った、検査結果データ(IPアドレス、ポート番号の組に対するパケットの通過状況等)49,50を精査し、特定のIPアドレス、ポート番号の組に対するファイアウォール装置43のフィルタリングルールの設定が、利用者が入力したポリシ通りか否かを解析し、この結果報告データ51を管理端末44に送信して、管理端末44で解析結果を表示する(ステップS18)。これにより、例えば、検査結果データ50が所定時間内に検査パケット47を受信しなかった旨の受信結果である場合には、ファイアウォール装置43によって検査パケット47の通過が阻まれたと解析することができる。
【0043】
以上説明したように本実施形態によれば、内部ネットワーク内で検査端末A41,B42によってファイアウォール装置43を挟むと共に、管理装置40から、内部ネットワーク100とは別の管理用ネットワーク200を介して、検査端末A41,B42に対して検査シーケンスデータ46と検査結果データ49,50の送受信を行い、しかも、検査端末B42で所定時間だけ検査パケット47の到着を待っているため、ファイアウォール装置43で検査パケット47が阻止されたのか、或いは、検査端末B42で検査パケット47が阻止されたのかを認識することができる。これにより、ファイアウォール装置43のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【0044】
尚、本実施形態において、検査端末A41で、送信元IPアドレスを任意のアドレスに設定し、送信元IPアドレスを任意に設定して、任意の送信元IPアドレスと任意の送信先IPアドレスを組み合わせた検査パケットを送出することによって、全てのIPアドレスの組に対するファイアウォール装置43のフィルタリングルールの検査を実施することができる。相手先のIPアドレスを実際に利用しているホストが、内部ネットワーク上に存在していない場合には、IPの仕様によりarp(Address Resolution Protocol)アドレスの解決が出来ないためにパケットが送出されないという問題があるが、この方法を採用すれば、検査対象となっているIPアドレスが内部ネットワーク上で利用されているか否かを検査端末B42が認識しており、利用されていないIPアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行う場合には、検査端末B42のIPアドレスを検査対象の利用されていないIPアドレスに自動的に変更して検査を実施することにより、内部ネットワーク上で利用されていないアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行うことが可能である。
【0045】
即ち、検査端末A41からファイアウォール装置43を挟んで反対側に、特定のIPアドレスを使っているホストコンピュータが実在しない場合でも、全てのパケットを取得することができ、しかも、検査端末A41,B42が検査シーケンスデータ46を共有しているため、検査端末B42では、検査端末A41から送られてくる検査パケットの種類と数を正確に知ることができる。このため、全てのIPアドレスの組の検査パケットによりファイアウォール装置43で通過許可、非許可の検査を行うことができるという効果を奏する。
〔第2の実施形態〕
以下、図7乃至図11を用いて、本発明の第2の実施形態について説明する。
【0046】
尚、上記第1の実施形態と同一構成、同一処理、同一機能等については、同一の符号を付して、その説明を省略する。
【0047】
本実施形態は、ステートフルファイアウォール装置にも使用することができる例を示したものである。そのため、まず、図7及び図8を用い、ステートフルファイアウォール装置について説明する。
【0048】
図7に示すように、特定のパケット203が検査端末Aから検査端末B宛に送信されたときに、ステートフルファイアウォール装置でパケット203の通過が拒否される場合であっても、図8に示すように、まず通過可能な特定のパケット201を送信し、その応答パケット202がステートフルファイアウォール装置を通過すると、ステートフルファイアウォール装置内部で自動的にパケット203を通過させるようにフィルタリングルールが変更される。ステートフルファイアウォール装置は、このような高度なフィルタリングルールを記述することが可能なファイアウォール装置である。
【0049】
次に、図9乃至図11を用いて、本実施形態の内容について説明する。
【0050】
図9は、ファイアウォール検査システム1’におけるデータ等の流れを示した概略構成図である。
【0051】
本実施形態は、検査シーケンスデータ46’に、検査端末A41,B42の計算機資源の許す限りのパケットのやり取りに関するデータを記述することによって、ステートフルファイアウォール装置43’の検査も実施できるものである。
【0052】
上記第1の実施形態では、検査端末A41,B42間の1往復のパケットの通過した状態でのファイアウォールにおける検査パケットの通過、非通過だけでなく、図10に示すように複数のパケットのやり取りに関して記述されているシーケンスを複数持つ検査シーケンスデータ46’を用いることによって、単一若しくは多数のパケットが通過した後の状態でのステートフルファイアウォール装置43’における検査パケット47の通過、非通過に関する状態も正確に認識することができる。
【0053】
続いて、図11を用いて、本実施形態の動作について説明する。
【0054】
まず、本実施実施形態におけるステップS21〜S33は、上記第1の実施形態におけるステップS1〜S13とそれぞれ同じ処理を行う。但し、検査シーケンスデータ46’が、利用者により入力されたステートフルファイアウォール装置43’用のフィルタリングルール45’に従って、図10に示すような内容になっている。この検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれている。
【0055】
そして、検査端末A41では、ステップS30,S31の後に、検査シーケンスデータ記憶部161に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS34)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS26に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS36に進む。
【0056】
一方、検査端末B42においても、ステップS32,S33の後に、検査シーケンスデータ記憶部162に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS35)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS27に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS37に進む。
【0057】
そして、その後のステップS36〜S40は、上記第1の実施形態におけるステップS14〜S18とそれぞれ同じ処理を行う。
【0058】
以上説明したように本実施形態によれば、上記第1の実施形態の効果に加え、更に、図10に示すように、検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれているため、過去の通信状態を加味してパケットの通過の可否を決定するような高度なフィルタリングルールを持ったステートフルファイアウォール装置43’の検査も行うことができるという効果を奏する。
【0059】
尚、第1及び第2の実施形態では、図1に示すように、1つの管理装置40によって一組の検査端末A,Bを管理しているが、一組、二組、或いは、四組以上の検査端末A,Bを管理してもよい。
【0060】
また、第1及び第2の実施形態では、検査端末A,Bの2台を一組としてが、これに限るものではなく、3台、或いは4台以上の検査端末を一組として、同じ内部ネットワーク100内で、様々な検査を行うようにしてもよい。更に、第1及び第2の実施形態においては、TCP,UDP,ICMPパケットにおける各種パラメータを任意の値に設定した検査パケットを送信してもよい。これにより、通常のやり取りでは生成されないパラメータを有したTCP,UDP,ICMPを検査パケットとして生成して、異常なパラメータを有したTCP,UDP,ICMPパケットがファイアウォール装置43,43’の通過を許可されるか否かを検査することが出来る。異常なパラメータとして設定できる項目例を表1に示している。
【0061】
【表1】

Figure 0003802004
また、上記プログラム(p0)、(p1)、(p2)が記録されたCD−ROM等の記録媒体を用いて、コンピュータ(管理装置、検査端末A41,B42)に、それぞれプログラム(p0)、(p1)、(p2)を記録して使用してもよい。
【0062】
【発明の効果】
以上説明したように本発明によれば、内部ネットワーク内で第1及び第2の検査端末によってファイアウォール装置を挟むと共に、管理装置から、内部ネットワークとは別の管理用ネットワークを介して、第1及び第2の検査端末に対して検査シーケンスデータと検査結果データの送受信を行い、しかも、第2の検査端末で所定時間だけ検査パケットの到着を待っているため、ファイアウォール装置で検査パケットが阻止されたのか、或いは、第2の検査端末で検査パケットが阻止されたのかを認識することができる。これにより、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明に係るファイアウォール検査システム1、1’の全体構成図。
【図2】第1の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図3】図2中のファイアウォール装置43のフィルタリングルールを示した図。
【図4】第1の実施形態に係る検査シーケンスデータの内容を示した図。
【図5】第1の実施形態に係るファイアウォール検査方法を示したシーケンス図。
【図6】第1の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図7】ステートフルファイアウォール装置の説明に使用する図。
【図8】ステートフルファイアウォール装置の説明に使用する図。
【図9】第2の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図10】第2の実施形態に係る検査シーケンスデータの内容を示した図。
【図11】第2の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図12】従来のファイアウォール検査システムにおけるデータ等の流れを示した概略構成図。
【符号の説明】
40 管理装置
41 検査端末A
42 検査端末B
43 ファイアウォール装置
44 管理端末
45 フィルタリングルール
46 検査シーケンスデータ
47 検査パケット
48 応答パケット
49 検査結果データ
50 検査結果データ
51 結果報告[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an invention for inspecting a filtering rule in a firewall apparatus that protects an internal network from unauthorized access from the outside.
[0002]
[Prior art]
In recent years, in order to ensure security when connected to the Internet, it is important that a firewall device for filtering access from an external network is set correctly, and it is necessary to inspect this. An example of a conventional firewall inspection method is described in the following document (see Non-Patent Document 1).
[0003]
As shown in FIG. 12, the conventional filtering rule inspection method related to the filtering rule that controls the passage / non-passage of packets in the firewall apparatus is performed by using the firewall apparatus 302 with the IP address, specific port and host (computer) of the inspection terminal 301. In order to confirm what filtering rule is set for the IP address and specific port of 303, the inspection terminal 301 sends out an inspection packet 304 toward the IP address of host 303 and the specific port. Then, if the firewall device 302 is permitted to pass the inspection packet 304, the inspection packet 304 reaches the host 303. If the host 303 provides a service at the destination port of the inspection packet 304, the host 303 returns a response packet 305 to the inspection packet 304. Therefore, the inspection terminal 301 that has received the response packet 305 receives the response packet 305. , It is determined that the filtering rule is set so that the packet is allowed to pass through the IP address of the inspection terminal 301 of the firewall apparatus 302, the specific port and the IP address of the host 303, and the specific port.
[0004]
[Non-Patent Document 1]
Page 287-290, “Scanning through the firewall” of the cracking defense encyclopedia (Shosuisha, 2000, ISBN4-88135-881-2)
[0005]
[Problems to be solved by the invention]
However, if a response packet to the inspection packet is not obtained in the filtering rule inspection of the firewall device 302, in the above-described conventional technology, the inspection packet 304 has not passed through the firewall device 302 or the partner host 303 has It cannot be determined whether the response packet is not set to return as expected by the conventional method. That is, whether the host 303 connected to the opposite side of the firewall apparatus 302 does not necessarily return a response packet as desired by the prior art method or whether the filtering rule of the firewall apparatus 302 does not permit passage. Cannot judge accurately. For this reason, there has been a problem in that the filtering rule of the firewall apparatus 302 cannot be accurately inspected for the part that is set not to pass the packet.
[0006]
The present invention has been made in view of the above-described circumstances, and an object thereof is to disclose an invention capable of accurately inspecting a portion of a filtering rule of a firewall device that is set to prevent a packet from passing.
[0009]
[Means for Solving the Problems]
To achieve the above objective,The invention provides a firewall inspection system for inspecting a firewall device that protects an internal network from unauthorized access from the outside, and the like, and a first inspection terminal and a second inspection that can be connected across the firewall device in the network And a management device that manages the operation of the first and second inspection terminals. The management device further controls the first and second inspection terminals with respect to the first and second inspection terminals. Data transmission means for transmitting inspection sequence data for the inspection terminal to operate according to a predetermined algorithm, wherein the first inspection terminal includes first data receiving means for receiving the inspection sequence data; First data storage means for storing the inspection sequence data received by the first data receiving means, and the second inspection terminal Second data receiving means for receiving inspection sequence data; and second data storage means for storing inspection sequence data received by the second data receiving means; and In accordance with the contents of the inspection sequence data stored in the first data storage means, the inspection apparatus has inspection packet transmission means for transmitting an inspection packet to the second inspection terminal via the firewall device, and the second inspection terminal includes: According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. Check packet reception determination means for determining whether or not the packet is received, and a second reception result record for recording the reception result determined by the check packet reception determination means. Means, a second inspection result transmission means for transmitting the reception result recorded in the second reception result recording means to the management apparatus as second inspection result data, and the inspection packet reception determination means If it is determined that it has been received, the fact that the inspection packet has been received by the first inspection terminal via the firewall device according to the content of the inspection sequence data stored in the second data storage means Response packet transmitting means for transmitting a response packet for notifying the first inspection terminal, and the first inspection terminal is a predetermined time triggered by transmission of the inspection packet by the inspection packet transmission means A response packet reception determination means for determining whether or not to receive the response packet, and a response packet reception determination means First reception result recording means for recording the determined reception result, and first inspection result transmission means for transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data And the management device includes an analysis means for analyzing the inspection result based on the first and second inspection result data sent from the first and second inspection terminals. Inspection system.
[0010]
Also bookThe invention is such that the analysis unit of the management device, when the first inspection result data is a reception result indicating that a response packet has not been received within a predetermined time by the first inspection terminal, And the second inspection result data is a reception result indicating that the inspection packet is not received within a predetermined time by the second inspection terminal, The analysis is that the inspection packet is blocked by a firewall device.1It is a firewall inspection system described in.
[0011]
Also bookIn the invention, the inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal, and further transmitting inspection packets of the first inspection terminal. The means transmits an inspection packet in which all IP addresses are used as a transmission source and all IP addresses are used as a transmission destination, and the inspection packet receiving means of the second inspection terminal is capable of receiving all inspection packets. Claims1 or 2It is a firewall inspection system described in.
[0014]
Also bookThe present invention relates to a firewall inspection method for inspecting a firewall device that protects an internal network from unauthorized access from the outside, and the like, and a first inspection terminal and a second inspection that can be connected across the firewall device in the network A first terminal that uses the terminal and a management device that manages the operation of the first and second inspection terminals, and further that the first inspection terminal stores inspection sequence data sent from the management device; Data storage means and first reception result recording means for recording the reception result of the packet sent from the second inspection terminal, the second inspection terminal being sent from the management device Second data storage means for storing the coming inspection sequence data, and a second reception result for recording a reception result of the packet sent from the first inspection terminal. The management device transmits inspection sequence data for the first and second inspection terminals to operate according to a predetermined algorithm to the first and second inspection terminals. A first data receiving step for receiving the test sequence data, and the test data received in the first data receiving step as the first data. The second inspection terminal executes the step of storing in the storage means, and the second inspection terminal receives the inspection sequence data received in the second data reception step and the second data reception step. Storing the data in the first data storage means, and the first inspection terminal stores the inspection sequence data stored in the first data storage means. The inspection packet transmission step of transmitting an inspection packet to the second inspection terminal via the firewall device is performed according to the contents of the data, and the second inspection terminal stores the inspection data stored in the second data storage means A test packet reception determination step for determining whether or not to receive the test packet within a predetermined time triggered by the reception of the test start signal transmitted from the first test terminal according to the contents of the sequence data Recording the reception result determined in the inspection packet reception determination step in a second reception result recording unit, and managing the reception result recorded in the second reception result recording unit as second inspection result data. The inspection packet is received by the second inspection result transmission step transmitted to the apparatus and the inspection packet reception determination step. If it is determined that the inspection packet has been received, the first inspection terminal has received the inspection packet via the firewall device according to the content of the inspection sequence data stored in the second data storage means. A response packet transmission step of transmitting a response packet for notifying the inspection terminal of the inspection terminal, and the first inspection terminal within a predetermined time triggered by the transmission of the inspection packet by the inspection packet transmission step A response packet reception determination step for determining whether or not to receive the response packet; a step of recording the reception result determined in the response packet reception determination step in the first reception result recording unit; A first inspection for transmitting the reception result recorded in the reception result recording means to the management apparatus as first inspection result data A result transmission step, and the management device executes an analysis step for analyzing the inspection result based on the first and second inspection result data transmitted from the first and second inspection terminals. A firewall inspection method characterized by:
[0015]
Also bookIn the invention, when the analysis step of the management device is a reception result indicating that the first inspection result data has not been received by the first inspection terminal within a predetermined time, the firewall device And the second inspection result data is a reception result indicating that the inspection packet is not received within a predetermined time by the second inspection terminal, The analysis is that the inspection packet is blocked by a firewall device.4It is a firewall inspection method described in.
[0016]
Also bookIn the invention, the inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal, and further transmitting inspection packets of the first inspection terminal. The step transmits an inspection packet in which all IP addresses are used as transmission sources and all IP addresses are used as transmission destinations, and the inspection packet reception step of the second inspection terminal is capable of receiving all inspection packets. Claims4 or 5It is a firewall inspection method described in.
[0017]
Also bookThe present invention provides an apparatus and an inspection terminal used in the firewall inspection method.Any of 4-6It is a firewall inspection program for executing each step described in 1.
[0018]
Here, the “program” in the present invention means an ordered sequence of instructions suitable for processing by a computer, such as those installed in a computer's HD (Hard Disk), CD-RW, etc. , Recorded on various recording media such as CD-ROM, DVD, FD, semiconductor memory, and computer HDD, and distributed via an external network such as the Internet.
[0019]
Also bookThe invention claims7A computer-readable recording medium on which the firewall inspection program described in 1 is recorded.
[0020]
Here, the “recording medium” in the present invention only needs to be used for reading a program for causing the computer to execute the above steps, and how information is recorded using physical characteristics of the medium. It does not depend on the physical recording method. For example, FD (Flexible Disk), CD-ROM (R, RW) (Compact Disc Read Only Memory (CD Recordable, CD Rewritable)), DVD-ROM (RAM, R, RW) (Digital Versatile Disk Read Only Memory (DVD) Random Access Memory, DVD Recordable, DVD Rewritable)), semiconductor memory, MO (Magneto Optical Disk), MD (Mini Disk), magnetic tape, and the like.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings.
[0022]
FIG. 1 is an overall configuration diagram of a firewall inspection system 1 according to the present embodiment. As shown in FIG. 1, each of the internal networks 100a, b, c (hereinafter referred to as “internal network 100” when referring to these generic names) has firewall devices 43a, b, c (hereinafter referred to as generic names). In the respective internal networks 100 with the “firewall device 43” in between, the inspection terminals A41a, b, c (hereinafter referred to as “inspection terminal A41” in the case of indicating these generic names) and the inspection terminals B42a, b and c (hereinafter referred to as “inspection terminal B42” when referring to these generic names) are connected. In addition, a management device 40 connected to the inspection terminal A41 and the inspection terminal B42 via a management network 200 dedicated to the method, and management terminals 44a and 44a used by users of the method via the user interface of the management device 40, respectively. b, c (hereinafter referred to as “management terminal 44” when referring to these generic names). These management terminals 44a, b and c are used for inspection of the firewall devices 43a, b and c, respectively. The management terminal 44a may manage any firewall device 43 from any management terminal 44, such as being used for inspection of the firewall devices 43b and 43c.
[0023]
FIG. 2 is a schematic configuration diagram showing a flow of data and the like in the firewall inspection system 1 shown in FIG. FIG. 3 is a diagram showing filtering rules of the firewall device 43 in FIG. When such a rule is set in the firewall device 43, the source IP address is 192.168.0.1, the source port is any port, and the destination IP address is 10.0.0. 1. A packet with a destination port number of 80 can pass through the firewall device 43, and the source IP address, port number, and destination IP address are all arbitrary, and the destination port number is 110. The packet cannot pass through the firewall device 43.
[0024]
In this case, the inspection terminal A41 is connected to the 192.168.0.0/24 network, and the inspection terminal B42 is connected to the 10.0.0.0/8 network. This does not limit the IP addresses of the inspection terminals A41 and B42.
[0025]
The management terminal 44 is a computer for the user to input a filtering rule 45 as shown in FIG. Based on the filtering rule 45 received from the management device 44, the management device 44 includes the contents of the inspection packets necessary for the inspection of the firewall device, the number of inspection packets, the transmission / reception timing of the inspection packets, and the expected inspection packets. 4 is a computer for analyzing the passing / non-passing state of the user, creating inspection sequence data 46 as shown in FIG. 4 and passing it to the inspection terminal A41 and the inspection terminal B42 via the management network 200. In this embodiment, as shown in FIG. 4, as the inspection sequence data 46, the source IP address is 192.168.0.1, the source port number is arbitrary, and the destination IP address is 10.0.0.1. The destination port numbers 1 to 65535 are created.
[0026]
The inspection terminal A41 that has received the inspection sequence data 46 transmits the inspection packet 47 (source IP address: 192.168.0.1, transmission source port number: tentatively) to the inspection terminal B42 according to the inspection sequence data 46. xxx, transmission destination IP address: 10.0.0.1, transmission destination port number: 80), while the inspection terminal B42 that has received the inspection sequence data 46 follows the inspection sequence data 46 and inspects the terminal A41. The inspection packet 47 that should be sent from is waited for a predetermined time. Then, according to the filtering rule 45 shown in FIG. 3, if the inspection packet 47 passes through the firewall device 43 and the inspection terminal B42 can receive the inspection packet 47 within a predetermined time, the inspection terminal B42 displays a reception result indicating that the inspection packet 47 has been received. Record it. This reception result is transmitted to the management terminal 40 as second inspection result data 50. As a result, the management terminal 40 analyzes that the packet having the parameter that the inspection packet 47 has is permitted to pass through the firewall device 43.
[0027]
Next, the inspection terminal A41 that has received the inspection sequence data 46 from the management device 40, in accordance with the inspection sequence data 46, checks the inspection packet 47 (source address: 192.168.0.1 transmission source port number: xxx transmission destination address: 10.0.0.1 destination port number: 110) is transmitted. On the other hand, the inspection terminal B42 waits for a predetermined time in accordance with the inspection sequence data 46 for the inspection packet 47 that should be sent from the inspection terminal A41. According to the filtering rule of FIG. 5, the inspection packet 47 cannot pass through the firewall. Thereafter, when the inspection terminal B42 cannot receive the inspection packet 47 within the time, the inspection terminal B42 determines that the inspection packet 47 is blocked without being allowed to pass by the firewall device 43 (non-passing), Record the decision.
[0028]
As described above, when the inspection terminal A41 finishes sending all the packets of the inspection sequence data 46 shown in FIG. 4, the management apparatus 40 sends the source IP address: 192.168 .. The packet of 0.1, the source port number: xxx, the destination address: 10.0.0.1, the destination port number: 80 passes through the firewall device 43, and the source IP address: 192.168.8.0 .1, transmission source port number: xxx, transmission destination IP address: 10.0.0.1, transmission destination port number: 110 report to the management terminal 44 that the packet did not pass through the firewall device The result is displayed on the management terminal 44. In addition, when the filtering rule 45 input by the user is different from the actually inspected result, the management device 40 also notifies the user of this point in the result report.
[0029]
Note that the analysis of the inspection packet passing / non-passing in the firewall device 43 may be performed by the inspection terminal B42 and the analysis result may be transmitted to the management device.
[0030]
Subsequently, the operation of the present embodiment will be described with reference to FIGS. 5 and 6. FIG. 5 is a sequence diagram illustrating the firewall inspection method according to the present embodiment. FIG. 6 is a process flow diagram showing processing in the apparatus and terminal according to the present embodiment.
[0031]
The following steps can be performed by executing the program (p0) recorded in the management device 40, the program (p1) recorded in the inspection terminal A, and the program (p2) recorded in the inspection terminal B. it can.
[0032]
First, as shown in FIG. 6, the user inputs a filtering rule 45 (FIG. 3) of the firewall device 43 to be inspected using a GUI (Graphical User Interface) displayed on the screen of the management terminal 44 (see FIG. 3). Step S1). As a result, the input data is sent to the management apparatus 40 as shown in FIG.
[0033]
Next, the management device 40 creates inspection sequence data 46 (FIG. 4) based on the filtering rule 45. The inspection sequence data 45 created here includes a plurality of sequences, but each inspection pattern shows only exchanges for one set of packets, and is in accordance with normal TCP, ICMP, and UDP protocol sequences. It has become a thing.
[0034]
Next, as shown in FIGS. 5 and 6, the management device 40 transmits and distributes the created inspection sequence data 45 to the inspection terminals A41 and B42 (step S3).
[0035]
Next, as shown in FIG. 6, the inspection terminal A41 stores the received inspection sequence data 46 in the inspection sequence data storage unit 161, and outputs an inspection start signal for synchronizing the inspection start with the inspection terminal B42. It transmits to inspection terminal B42 (step S4). The inspection sequence data storage unit 161 is constructed in a partial area of an HD (Hard Disk) (not shown) in the inspection terminal A41. Similarly, the inspection terminal B42 stores the received inspection sequence data 46 in the inspection sequence data storage unit 162 (step S5). The inspection sequence data storage unit 162 is constructed in a partial area of HD (not shown) in the inspection terminal B42.
[0036]
Next, in the inspection terminal A 41, the firewall device 43 according to the contents of the inspection sequence data 46 stored in the inspection sequence data storage unit 161 (designation of the transmission source IP address and transmission destination IP address indicated by the inspection sequence data 46). The inspection packet 47 is transmitted to the inspection terminal B42 via (step S6).
[0037]
Next, as shown in FIG. 5, the inspection terminal B42 is triggered by the reception of the inspection start signal transmitted from the inspection terminal A41 according to the contents of the inspection sequence data 46 stored in the inspection sequence data storage unit 162. It is determined whether or not the inspection packet 47 is received within the predetermined time (step S7). If it is determined that the inspection packet 47 is received within the predetermined time (YES), the inspection terminal A 41 is notified that the inspection packet 47 has been received using the IP address indicated by the inspection sequence data. A response packet is transmitted to the inspection terminal A41 via the firewall device 43 (step S8).
[0038]
On the other hand, the inspection terminal A41 determines whether or not the response packet 48 is received within a predetermined time triggered by the transmission of the inspection packet 47 in step S6 (step S9). If it is determined that the response packet 48 has been received within a predetermined time (YES), a reception result indicating that fact is recorded in the reception result recording unit 151, and then this reception result is managed as inspection result data 49. By transmitting to the device 40, the reception result is notified to the management device 40 (step S10). If it is determined in step S9 that the response packet 48 has not been received within the predetermined time (NO), a reception result indicating that fact is recorded in the reception result recording unit 151, and then this reception result is recorded. By transmitting the inspection result data 49 to the management apparatus 40, the reception result is notified to the management apparatus 40 (step S11). The reception result recording unit 151 is constructed in a partial area of HD (not shown) in the inspection terminal A41.
[0039]
On the other hand, in the inspection terminal B42, when the inspection packet 47 is received in step S8, the reception result indicating that fact is recorded in the reception result recording unit 152, and then this reception result is managed as the inspection result data 50. By transmitting to the device 40, the reception result is notified to the management device 40 (step S12). If it is determined in step S7 that the inspection packet 47 has not been received within a predetermined time (NO), a reception result indicating that is recorded in the reception result recording unit 152, and then this reception result is displayed. By transmitting the inspection result data 50 to the management apparatus 40, the reception result is notified to the management apparatus 40 (step S13). The reception result recording unit 152 is constructed in a partial area of HD (not shown) in the inspection terminal B42.
[0040]
On the other hand, the inspection terminal A41 checks the inspection sequence data storage unit 161 after Steps S10 and S11 and determines whether inspection sequence data still remains (Step S14). If it is determined that it still remains (YES), the process proceeds to step S6 and the same processing is repeated. If it is determined that it does not remain anymore (NO), the reception result recording unit 151 has been processed so far. The recorded reception result is transmitted to the management device 40 as inspection result data 49 (step S16).
[0041]
On the other hand, the inspection terminal B42 checks the inspection sequence data storage unit 162 after Steps S12 and S13 to determine whether inspection sequence data still remains (Step S15). If it is determined that it still remains (YES), the process proceeds to step S7 and the same processing is repeated. If it is determined that it does not remain (NO), the reception result recording unit 152 has been processed so far. The recorded reception result is transmitted to the management device 40 as inspection result data 50 (step S17). When the process proceeds to steps S6 and S7 and the same processing is repeated, the inspection packet 47 'and the response packet 48' are transmitted and received again as shown in FIG.
[0042]
Next, the management device 40 examines the inspection result data (IP address, packet passing status for a set of port numbers, etc.) 49 and 50 received from the inspection terminal A61 and the inspection terminal B63, and specifies a specific IP address and port. Analyzes whether the filtering rule setting of the firewall device 43 for the set of numbers is in accordance with the policy input by the user, transmits the result report data 51 to the management terminal 44, and displays the analysis result on the management terminal 44 (Step S18). Thereby, for example, when the inspection result data 50 is a reception result indicating that the inspection packet 47 has not been received within a predetermined time, it can be analyzed that the passage of the inspection packet 47 is blocked by the firewall device 43. .
[0043]
As described above, according to the present embodiment, the firewall device 43 is sandwiched between the inspection terminals A41 and B42 in the internal network, and the inspection is performed from the management device 40 via the management network 200 different from the internal network 100. The inspection sequence data 46 and the inspection result data 49 and 50 are transmitted to and received from the terminals A41 and B42, and the inspection terminal 47 waits for the arrival of the inspection packet 47 for a predetermined time. It is possible to recognize whether or not the inspection packet 47 is blocked by the inspection terminal B42. As a result, there is an effect that it is possible to accurately inspect the portion of the filtering rule of the firewall device 43 that is set not to pass the packet.
[0044]
In this embodiment, in the inspection terminal A41, the source IP address is set to an arbitrary address, the source IP address is arbitrarily set, and the arbitrary source IP address and the arbitrary destination IP address are combined. By sending the inspection packet, the filtering rule of the firewall device 43 can be inspected for all the IP address sets. If the host that actually uses the other party's IP address does not exist on the internal network, the arp (Address Resolution Protocol) address cannot be resolved according to the IP specifications, and no packets are sent out. Although there is a problem, if this method is adopted, the inspection terminal B42 recognizes whether or not the IP address to be inspected is used on the internal network, and the firewall apparatus for the IP address that is not used When checking the filtering rule 43, the IP address of the inspection terminal B42 is automatically changed to an unused IP address to be inspected, and is not used on the internal network. Checking the filtering rules of the firewall device 43 related to the address Possible it is.
[0045]
That is, even if there is no host computer using a specific IP address on the opposite side across the firewall device 43 from the inspection terminal A41, all packets can be acquired, and the inspection terminals A41 and B42 Since the inspection sequence data 46 is shared, the inspection terminal B42 can accurately know the type and number of inspection packets sent from the inspection terminal A41. For this reason, there is an effect that the firewall device 43 can perform pass permission / non-permission inspection with the inspection packets of all IP address sets.
[Second Embodiment]
Hereinafter, a second embodiment of the present invention will be described with reference to FIGS.
[0046]
Note that the same configuration, the same process, the same function, and the like as those in the first embodiment are denoted by the same reference numerals, and the description thereof is omitted.
[0047]
This embodiment shows an example that can also be used for a stateful firewall device. Therefore, first, the stateful firewall apparatus will be described with reference to FIGS.
[0048]
As shown in FIG. 7, when a specific packet 203 is transmitted from the inspection terminal A to the inspection terminal B, even if the passage of the packet 203 is rejected by the stateful firewall device, as shown in FIG. First, a specific packet 201 that can be passed is transmitted, and when the response packet 202 passes through the stateful firewall device, the filtering rule is changed so that the packet 203 is automatically passed inside the stateful firewall device. The stateful firewall device is a firewall device capable of describing such advanced filtering rules.
[0049]
Next, the contents of the present embodiment will be described with reference to FIGS.
[0050]
FIG. 9 is a schematic configuration diagram showing a flow of data and the like in the firewall inspection system 1 ′.
[0051]
In the present embodiment, the inspection of the stateful firewall device 43 ′ can also be performed by describing, in the inspection sequence data 46 ′, data relating to packet exchange as much as the computer resources of the inspection terminals A 41 and B 42 allow.
[0052]
In the first embodiment, not only the inspection packet passes and does not pass through the firewall in a state where one round-trip packet passes between the inspection terminals A41 and B42, but also the exchange of a plurality of packets as shown in FIG. By using the inspection sequence data 46 ′ having a plurality of described sequences, the state regarding the passage and non-passing of the inspection packet 47 in the stateful firewall device 43 ′ in a state after a single or a large number of packets have passed is also accurate. Can be recognized.
[0053]
Subsequently, the operation of the present embodiment will be described with reference to FIG.
[0054]
First, steps S21 to S33 in the present embodiment perform the same processes as steps S1 to S13 in the first embodiment, respectively. However, the inspection sequence data 46 ′ has the contents shown in FIG. 10 according to the filtering rule 45 ′ for the stateful firewall device 43 ′ input by the user. The inspection sequence data 46 ′ further includes packet information for transmitting various inspection packets in a plurality of sequences constituting the inspection sequence data.
[0055]
Then, the inspection terminal A41 refers to the inspection sequence data 46 ′ stored in the inspection sequence data storage unit 161 after steps S30 and S31, and determines whether or not an inspection packet remains (step S34). . If the result of this determination is that an inspection packet remains (NO), the process returns to step S26 and the process is repeated. If no inspection packet remains and all packets in the sequence have been processed (YES), the process proceeds to step S36.
[0056]
On the other hand, also in the inspection terminal B42, after steps S32 and S33, the inspection sequence data 46 ′ stored in the inspection sequence data storage unit 162 is referred to and it is determined whether or not inspection packets remain (step S35). ). If the result of this determination is that an inspection packet remains (NO), the process returns to step S27 and the process is repeated. If no inspection packet remains and all packets in the sequence have been processed (YES), the process proceeds to step S37.
[0057]
Then, subsequent steps S36 to S40 perform the same processes as steps S14 to S18 in the first embodiment.
[0058]
As described above, according to the present embodiment, in addition to the effects of the first embodiment, as shown in FIG. 10, the inspection sequence data 46 ′ includes a plurality of sequences constituting the inspection sequence data. Furthermore, since packet information for transmitting various inspection packets is included, a stateful firewall device having advanced filtering rules that determine whether or not packets can be passed in consideration of past communication states 43 'can be inspected.
[0059]
In the first and second embodiments, as shown in FIG. 1, one set of inspection terminals A and B is managed by one management device 40, but one set, two sets, or four sets are managed. The above inspection terminals A and B may be managed.
[0060]
In the first and second embodiments, two inspection terminals A and B are set as one set, but the present invention is not limited to this. Various inspections may be performed in the network 100. Furthermore, in the first and second embodiments, an inspection packet in which various parameters in the TCP, UDP, and ICMP packets are set to arbitrary values may be transmitted. As a result, TCP, UDP, ICMP having parameters that are not generated by normal exchange are generated as inspection packets, and TCP, UDP, ICMP packets having abnormal parameters are allowed to pass through the firewall devices 43, 43 ′. It can be checked whether or not. Table 1 shows examples of items that can be set as abnormal parameters.
[0061]
[Table 1]
Figure 0003802004
Further, using a recording medium such as a CD-ROM in which the programs (p0), (p1), and (p2) are recorded, the programs (p0), ( p1) and (p2) may be recorded and used.
[0062]
【The invention's effect】
As described above, according to the present invention, the firewall device is sandwiched between the first and second inspection terminals in the internal network, and the first and second inspection devices are connected from the management device via the management network different from the internal network. Inspection sequence data and inspection result data are transmitted to and received from the second inspection terminal, and the inspection packet is blocked by the firewall device because the second inspection terminal waits for the arrival of the inspection packet for a predetermined time. Or whether the inspection packet is blocked by the second inspection terminal. Thereby, there is an effect that it is possible to accurately inspect a portion of the filtering rule of the firewall device that is set not to pass the packet.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a firewall inspection system 1, 1 'according to the present invention.
FIG. 2 is a schematic configuration diagram showing a flow of data and the like in the firewall inspection system 1 according to the first embodiment.
3 is a diagram showing filtering rules of the firewall device 43 in FIG. 2. FIG.
FIG. 4 is a view showing the contents of inspection sequence data according to the first embodiment.
FIG. 5 is a sequence diagram showing a firewall inspection method according to the first embodiment.
FIG. 6 is a processing flowchart showing processing in the device and the terminal according to the first embodiment.
FIG. 7 is a diagram used for explaining a stateful firewall device.
FIG. 8 is a diagram used for explaining a stateful firewall device.
FIG. 9 is a schematic configuration diagram showing a flow of data and the like in the firewall inspection system 1 according to the second embodiment.
FIG. 10 is a view showing the contents of inspection sequence data according to the second embodiment.
FIG. 11 is a processing flowchart showing processing in an apparatus and a terminal according to the second embodiment.
FIG. 12 is a schematic configuration diagram showing a flow of data and the like in a conventional firewall inspection system.
[Explanation of symbols]
40 Management device
41 Inspection terminal A
42 Inspection terminal B
43 Firewall device
44 Management terminal
45 Filtering rules
46 Inspection sequence data
47 Inspection packet
48 response packets
49 Test result data
50 Test result data
51 Result report

Claims (8)

外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査システムにおいて、
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信手段と、
前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信手段と、
前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、
前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、
前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、
前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、
前記第1の検査端末は、
前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、
前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、 前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有する
ことを特徴とするファイアウォール検査システム。
In the firewall inspection system to inspect the firewall device that protects the internal network from unauthorized access from outside,
A first inspection terminal and a second inspection terminal that are connectable across the firewall device in the network, and a management device that manages the operation of the first and second inspection terminals,
The management device
Data transmission means for transmitting inspection sequence data for the first and second inspection terminals to operate according to a predetermined algorithm to the first and second inspection terminals,
The first inspection terminal includes:
First data receiving means for receiving the inspection sequence data;
First data storage means for storing inspection sequence data received by the first data receiving means;
The second inspection terminal is
Second data receiving means for receiving the inspection sequence data;
Second data storage means for storing inspection sequence data received by the second data receiving means;
The first inspection terminal includes:
In accordance with the contents of the inspection sequence data stored in the first data storage means, the inspection packet transmission means for transmitting an inspection packet to the second inspection terminal via the firewall device,
The second inspection terminal is
According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. Inspection packet reception determination means for determining whether or not,
Second reception result recording means for recording the reception result determined by the inspection packet reception determination means;
Second inspection result transmission means for transmitting the reception result recorded in the second reception result recording means to the management apparatus as second inspection result data;
When it is determined that the inspection packet is received by the inspection packet reception determination means, the first inspection terminal is passed through the firewall device according to the content of the inspection sequence data stored in the second data storage means. In contrast, response packet transmission means for transmitting a response packet for notifying the first inspection terminal that the inspection packet has been received,
The first inspection terminal includes:
Response packet reception determination means for determining whether or not to receive the response packet within a predetermined time triggered by transmission of the inspection packet by the inspection packet transmission means;
First reception result recording means for recording the reception result determined by the response packet reception determination means;
First inspection result transmission means for transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data; and
A firewall inspection system comprising analysis means for analyzing an inspection result based on first and second inspection result data sent from the first and second inspection terminals.
前記管理装置の解析手段は、
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項に記載のファイアウォール検査システム。
The analysis means of the management device includes:
If the first inspection result data is a reception result indicating that the first inspection terminal has not received a response packet within a predetermined time, it is analyzed that passage of the response packet is blocked by the firewall device. And
If the second inspection result data is a reception result indicating that the second inspection terminal has not received the inspection packet within a predetermined time, it is analyzed that the passage of the inspection packet is blocked by the firewall device. The firewall inspection system according to claim 1 , wherein:
前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、
前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とする
ことを特徴とする請求項1又は2に記載のファイアウォール検査システム。
The inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal,
The inspection packet transmission means of the first inspection terminal transmits an inspection packet in which all IP addresses are combined as a transmission source and all IP addresses are combined as a transmission destination,
The firewall inspection system according to claim 1 or 2 , wherein the inspection packet receiving means of the second inspection terminal is capable of receiving all inspection packets.
外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査方法において、
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、
前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、
前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信ステップと、
前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信ステップと、
前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、 前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、
前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、
前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、
前記第1の検査端末は、
前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、
前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、
前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行する ことを特徴とするファイアウォール検査方法。
In the firewall inspection method to inspect the firewall device that protects the internal network from unauthorized access from outside,
Utilizing a first inspection terminal and a second inspection terminal that can be connected across the firewall device in the network, and a management device that manages the operation of the first and second inspection terminals,
The first inspection terminal has a first data storage means for storing inspection sequence data sent from the management device, and a first reception record for a packet sent from the second inspection terminal. Receiving result recording means,
The second inspection terminal has second data storage means for storing inspection sequence data sent from the management device, and second reception information for recording a packet sent from the first inspection terminal. With a reception result recording means,
The management device
A data transmission step of transmitting inspection sequence data for the first and second inspection terminals to operate with a predetermined algorithm is performed on the first and second inspection terminals,
The first inspection terminal includes:
A first data receiving step for receiving the inspection sequence data;
Storing the inspection sequence data received in the first data receiving step in the first data storage means; and
The second inspection terminal is
A second data receiving step for receiving the inspection sequence data;
Storing the inspection sequence data received in the second data receiving step in the second data storage means, and the first inspection terminal comprises:
In accordance with the content of the inspection sequence data stored in the first data storage means, an inspection packet transmission step of transmitting an inspection packet to the second inspection terminal via the firewall device is performed.
The second inspection terminal is
According to the content of the inspection sequence data stored in the second data storage means, the inspection packet is received within a predetermined time triggered by the reception of the inspection start signal transmitted from the first inspection terminal. An inspection packet reception determination step for determining whether or not,
Recording the reception result determined in the inspection packet reception determination step in a second reception result recording unit;
A second inspection result transmission step of transmitting the reception result recorded in the second reception result recording means to the management device as second inspection result data;
When it is determined in the inspection packet reception determination step that the inspection packet is received, the first inspection terminal is passed through the firewall device according to the content of the inspection sequence data stored in the second data storage means. On the other hand, performing a response packet transmission step of transmitting a response packet for notifying the first inspection terminal that the inspection packet has been received,
The first inspection terminal includes:
A response packet reception determination step for determining whether or not to receive the response packet within a predetermined time triggered by the transmission of the inspection packet in the inspection packet transmission step;
Recording the reception result determined in the response packet reception determination step in the first reception result recording unit;
A first inspection result transmission step of transmitting the reception result recorded in the first reception result recording means to the management apparatus as first inspection result data;
The management device
A firewall inspection method, comprising: executing an analysis step of analyzing an inspection result based on first and second inspection result data sent from the first and second inspection terminals.
前記管理装置の解析ステップは、
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項に記載のファイアウォール検査方法。
The analysis step of the management device includes:
If the first inspection result data is a reception result indicating that the first inspection terminal has not received a response packet within a predetermined time, it is analyzed that passage of the response packet is blocked by the firewall device. And
If the second inspection result data is a reception result indicating that the second inspection terminal has not received the inspection packet within a predetermined time, it is analyzed that the passage of the inspection packet is blocked by the firewall device. The firewall inspection method according to claim 4 , wherein:
前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、
前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とする
ことを特徴とする請求項4又は5に記載のファイアウォール検査方法。
The inspection sequence data is data for notifying the second inspection terminal of the type and number of inspection packets to be transmitted to the first inspection terminal,
The inspection packet transmission step of the first inspection terminal transmits an inspection packet in which all IP addresses are combined as a transmission source and all IP addresses are combined as a transmission destination,
6. The firewall inspection method according to claim 4, wherein the inspection packet reception step of the second inspection terminal enables reception of all inspection packets.
前記ファイアウォール検査方法で利用する装置及び検査端末に、請求項4乃至6のいずれかに記載の各ステップを実行させるためのファイアウォール検査用プログラム。A firewall inspection program for causing a device and an inspection terminal used in the firewall inspection method to execute each step according to any one of claims 4 to 6 . 請求項に記載のファイアウォール検査用プログラムを記録した、コンピュータ読み取り可能な記録媒体。A computer-readable recording medium on which the firewall inspection program according to claim 7 is recorded.
JP2003114714A 2003-04-18 2003-04-18 Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium Expired - Lifetime JP3802004B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003114714A JP3802004B2 (en) 2003-04-18 2003-04-18 Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003114714A JP3802004B2 (en) 2003-04-18 2003-04-18 Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium

Publications (2)

Publication Number Publication Date
JP2004320644A JP2004320644A (en) 2004-11-11
JP3802004B2 true JP3802004B2 (en) 2006-07-26

Family

ID=33474205

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003114714A Expired - Lifetime JP3802004B2 (en) 2003-04-18 2003-04-18 Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium

Country Status (1)

Country Link
JP (1) JP3802004B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114374569B (en) * 2022-03-22 2022-07-05 北京指掌易科技有限公司 Message detection method and device, electronic equipment and storage medium

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10285165A (en) * 1997-03-31 1998-10-23 Mitsubishi Electric Corp Network test system
JP2000151602A (en) * 1998-11-18 2000-05-30 Hitachi Ltd Network setting inspection system
US7016980B1 (en) * 2000-01-18 2006-03-21 Lucent Technologies Inc. Method and apparatus for analyzing one or more firewalls
US6473763B1 (en) * 2000-03-31 2002-10-29 International Business Machines Corporation System, method and computer program for filtering multi-action rule set
JP3851164B2 (en) * 2001-12-28 2006-11-29 沖電気工業株式会社 Device continuity test method and device

Also Published As

Publication number Publication date
JP2004320644A (en) 2004-11-11

Similar Documents

Publication Publication Date Title
US11588841B2 (en) Generating malicious network traffic detection models using cloned network environments
JP4658340B2 (en) Network gateway analysis method and apparatus
CN111585845B (en) A method, device, device and readable medium for detecting the performance of a network card node
US9491052B2 (en) Topology aware smart merge
US11616793B2 (en) System and method for device context and device security
US20110138470A1 (en) Automated testing for security vulnerabilities of devices
EP3420700A1 (en) Systems and methods for attack simulation on a production network
CN106603507A (en) Method and system for automatically completing network security self checking
CN109286511B (en) Data processing method and device
CN107809433A (en) Assets management method and device
US10523549B1 (en) Method and system for detecting and classifying networked devices
CN115086208A (en) Network card detection method and device, electronic equipment and storage medium
JP3802004B2 (en) Firewall inspection system, firewall inspection method, firewall inspection program, and firewall inspection recording medium
EP4128666B1 (en) Network traffic capture
Wala et al. “Off-Label” Use of DNS
CN104468861B (en) The method, apparatus and system of terminal recognition
CN119210808A (en) A method, device and related equipment for detecting terminal intranet external connection
CN102457430B (en) Network packet processing method and routing device
CN112019361A (en) Access control list migration method and device, storage medium and electronic device
JP5994459B2 (en) Information processing apparatus, communication control method, and communication control program
CN112468356B (en) Router interface test methods, devices, electronic equipment and storage media
JP5655185B2 (en) Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program
CN114827086A (en) Method, device, equipment and storage medium for detecting IP discovery
CN115065613A (en) Network connectivity analysis system and analysis method based on firewall configuration
CN115022217A (en) Network card detection method and device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060411

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060426

R150 Certificate of patent or registration of utility model

Ref document number: 3802004

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090512

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140512

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term