JP3802004B2 - ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 - Google Patents
ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 Download PDFInfo
- Publication number
- JP3802004B2 JP3802004B2 JP2003114714A JP2003114714A JP3802004B2 JP 3802004 B2 JP3802004 B2 JP 3802004B2 JP 2003114714 A JP2003114714 A JP 2003114714A JP 2003114714 A JP2003114714 A JP 2003114714A JP 3802004 B2 JP3802004 B2 JP 3802004B2
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- packet
- terminal
- data
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置におけるフィルタリングルールの検査を行う発明に関する。
【0002】
【従来の技術】
近年、インターネット接続時のセキュリティを確保するにあたっては、外部ネットワークからのアクセスをフィルタリングするファイアウォール装置が正しく設定されていることが重要であり、これを検査する必要が生じている。従来のファイアウォール検査方法の一例が、下記文献に記載されている(非特許文献1参照)。
【0003】
ファイアウォール装置におけるパケットの通過・非通過を制御しているフィルタリングルールに係る従来のフィルタリングルール検査方法は、図12に示すようにファイアウォール装置302に検査端末301のIPアドレス、特定ポートとホスト(コンピュータ)303のIPアドレス、特定ポートに対してどのようなフィルタリングルールが設定されているかを確認する為に検査端末301が検査パケット304をホスト303のIPアドレスと特定のポートに向けて送出する。すると、ファイアウォール装置302で検査パケット304の通過を許可されていれば、検査パケット304はホスト303に到達する。そして、ホスト303が検査パケット304の宛先ポートでサービスを提供していれば、ホスト303が検査パケット304に対して応答パケット305を返すので、応答パケット305を受信した検査端末301は、応答パケット305の受信をもって、ファイアウォール装置302の検査端末301のIPアドレス、特定ポートとホスト303のIPアドレス、特定ポートに対してパケットを通過させるようなフィルタリングルールが設定されていると判断する。
【0004】
【非特許文献1】
クラッキング防衛大全(翔泳社,2000,ISBN4−88135−881−2)の287頁〜290頁「ファイアウォールを通過するスキャン」
【0005】
【発明が解決しようとする課題】
しかしながら、ファイアウォール装置302のフィルタリングルール検査において、検査パケットに対する応答パケットが得られなかった場合には、上記従来技術では、検査パケット304がファイアウォール装置302を通過しなかったのか、或いは、相手ホスト303が従来方法の想定しているような応答パケットを返す設定になっていなかったのかを判断することが出来ない。即ち、ファイアウォール装置302の反対側に接続されているホスト303が、必ずしも従来技術の方法が望ような応答パケットを返していないのか、ファイアウォール装置302のフィルタリングルールで通過が許可されていなかったのかを正確に判断できない。このため、ファイアウォール装置302のフィルタリングルールのうち、パケットを通過させない設定になっている部分の検査が正確に行えないという問題が生じていた。
【0006】
本発明は上述した事情に鑑みてなされたもので、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことの出来る発明を公開することを目的とする。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査システムにおいて、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信手段と、前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信手段と、前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、前記第1の検査端末は、前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有することを特徴とするファイアウォール検査システムである。
【0010】
また、本発明は、前記管理装置の解析手段は、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項1に記載のファイアウォール検査システムである。
【0011】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とすることを特徴とする請求項1又は2に記載のファイアウォール検査システムである。
【0014】
また、本発明は、外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査方法において、前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、前記管理装置は、前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、前記第1の検査端末は、前記検査シーケンスデータを受信する第1のデータ受信ステップと、前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、前記第2の検査端末は、前記検査シーケンスデータを受信する第2のデータ受信ステップと、前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、前記第1の検査端末は、前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、前記第2の検査端末は、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、前記第1の検査端末は、前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、前記管理装置は、前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行することを特徴とするファイアウォール検査方法。
【0015】
また、本発明は、前記管理装置の解析ステップは、前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析することを特徴とする請求項4に記載のファイアウォール検査方法である。
【0016】
また、本発明は、前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とすることを特徴とする請求項4又は5に記載のファイアウォール検査方法である。
【0017】
また、本発明は、前記ファイアウォール検査方法で利用する装置及び検査端末に、請求項4乃至6のいずれかに記載の各ステップを実行させるためのファイアウォール検査用プログラムである。
【0018】
ここで、本発明における「プログラム」とは、コンピュータによる処理に適した命令の順番付けられた列からなるものをいい、コンピュータのHD(Hard Disk)、CD−RW等にインストールされているものや、CD−ROM、DVD、FD、半導体メモリ、コンピュータのHDD等の各種記録媒体に記録されているものや、インターネット等の外部ネットワークを介して配信されるものも含まれる。
【0019】
また、本発明は、請求項7に記載のファイアウォール検査用プログラムを記録した、コンピュータ読み取り可能な記録媒体である。
【0020】
ここで、本発明における「記録媒体」とは、上記コンピュータで上記ステップを実行させるためのプログラムの読み取りに使用することができればよく、情報を媒体の物理的特性を利用してどのように記録するか等の物理的な記録方法には依存しない。例えば、FD(Flexible Disk)、CD−ROM(R,RW)(Compact Disc Read Only Memory(CD Recordable,CD Rewritable))、DVD−ROM(RAM,R,RW)(Digital Versatile Disk Read Only Memory(DVD Random Access Memory,DVD Recordable,DVD Rewritable))、半導体メモリ、MO(Magneto Optical Disk)、MD(Mini Disk)、磁気テープ等が該当する。
【0021】
【発明の実施の形態】
以下、図面を用いて、本発明の第1の実施形態について説明する。
【0022】
図1は、本実施形態に係るファイアウォール検査システム1の全体構成図である。図1に示すように、各内部ネットワーク100a,b,c(以下、これらの総称を示す場合は「内部ネットワーク100」という)には、それぞれファイアウォール装置43a,b,c(以下、これらの総称を示す場合は「ファイアウォール装置43」という)を挟んで各内部ネットワーク100内で、それぞれ検査端末A41a,b,c(以下、これらの総称を示す場合は「検査端末A41」という)と検査端末B42a,b,c(以下、これらの総称を示す場合は「検査端末B42」という)が接続されている。また、検査端末A41及び検査端末B42に、本方法専用の管理用ネットワーク200で接続された管理装置40と、管理装置40のユーザインタフェースを介して本方法の利用者がそれぞれ使用する管理端末44a,b,c(以下、これらの総称を示す場合には「管理端末44」という)によって構成されている。これらの管理端末44a,b,cは、それぞれファイアウォール装置43a,b,cの検査に使用される。尚、管理端末44aは、ファイアウォール装置43b,cの検査に使用される等、どの管理端末44から、どのファイアウォール装置43を管理してもよい。
【0023】
図2は、図1に示すファイアウォール検査システム1におけるデータ等の流れを示した概略構成図である。また、図3は、図2中のファイアウォール装置43のフィルタリングルールを示した図である。このようなルールをファイアウォール装置43に設定している場合、発信元IPアドレスが192.168.0.1、発信元ポートが任意(any)のポート、送信先IPアドレスが10.0.0.1、送信先ポート番号が80のパケットはファイアウォール装置43を通過することができ、発信元のIPアドレス、ポート番号、及び送信先IPアドレスが全て任意(any)で、送信先ポート番号が110のパケットはファイアウォール装置43を通過することができない。
【0024】
この場合、検査端末A41は、192.168.0.0/24のネットワークに接続され、検査端末B42は、10.0.0.0/8のネットワークに接続されている。このことは、検査端末A41,B42が持つIPアドレスを制限するものではない。
【0025】
また、管理端末44は、利用者が管理装置40に、図3に示すようなフィルタリングルール45の入力を行うためのコンピュータである。管理装置44は、管理装置44から入力を受け付けたフィルタリングルール45に基づいて、ファイアウォール装置の検査に必要な検査パケットの内容、検査パケットの数、検査パケットの送受信タイミング、及び、想定される検査パケットの通過・非通過の状態を分析し、図4に示すような検査シーケンスデータ46を作成し、管理用ネットワーク200を介して検査端末A41と検査端末B42に渡すためのコンピュータである。本実施形態では、図4に示すように、検査シーケンスデータ46として、送信元IPアドレスが192.168.0.1、発信元ポート番号が任意、送信先IPアドレスが10.0.0.1、送信先ポート番号が1〜65535を作成する。
【0026】
また、検査シーケンスデータ46を受け取った検査端末A41は、検査シーケンスデータ46に従い、検査端末B42に対して、検査パケット47(発信元IPアドレス:192.168.0.1、発信元ポート番号:仮にxxxとする、送信先IPアドレス:10.0.0.1、送信先ポート番号:80)を送信する一方、検査シーケンスデータ46を受け取った検査端末B42では、検査シーケンスデータ46に従い、検査端末A41から送られて来るはずの検査パケット47を、予め決められた所定時間待ち受ける。そして、図3に示すフィルタリングルール45により、検査パケット47はファイアウォール装置43を通過し、所定時間内に検査端末B42が検査パケット47を受信出来れば、検査端末B42では、受信した旨の受信結果を記録しておく。この受信結果は、第2の検査結果データ50として管理端末40に送信される。これにより、管理端末40では、検査パケット47が持っていたパラメータを持つパケットは、ファイアウォール装置43の通過が許可されたと解析する。
【0027】
次に、管理装置40から検査シーケンスデータ46を受け取った検査端末A41が、検査シーケンスデータ46に従い、検査パケット47(発信元アドレス:192.168.0.1発信元ポート番号:xxx送信先アドレス:10.0.0.1送信先ポート番号:110)を送出する。一方で検査端末B42は、検査シーケンスデータ46に従って、検査端末A41から送られてくるはずの検査パケット47を決められた時間待ち受ける。図5のフィルタリングルールにより、検査パケット47はファイアウォールを通過できない。その後、時間内に検査端末B42が検査パケット47を受信出来なかった場合には、検査端末B42はファイアウォール装置43によって検査パケット47が通過を許可されずに遮断された(非通過)と判断し、その判断を記録する。
【0028】
以上のようにして、検査端末A41が、図4に示されている検査シーケンスデータ46のパケットを全て送出し終えると、管理装置40は、管理端末44に、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先アドレス:10.0.0.1、送信先ポート番号:80のパケットは、ファイアウォール装置43を通過し、発信元IPアドレス:192.168.0.1、発信元ポート番号:xxx、送信先IPアドレス:10.0.0.1、送信先ポート番号:110のパケットは、ファイアウォール装置を通過しなかったという報告を管理端末44に送信して、管理端末44で、結果表示が行われる。また、管理装置40は、利用者が入力したフィルタリングルール45と実際に検査した結果が異なっている場合には、その点についても結果報告に含めて利用者に通知する。
【0029】
尚、ファイアウォール装置43における検査パケットの通過・非通過の解析は、検査端末B42で行って、解析結果を管理装置に送信してもよい。
【0030】
続いて、図5及び図6を用いて、本実施形態の動作について説明する。図5は、本実施形態に係るファイアウォール検査方法を示したシーケンス図である。また、図6は、本実施形態に係る装置及び端末での処理を示した処理フロー図である。
【0031】
尚、下記ステップは、管理装置40に記録されたプログラム(p0)、検査端末Aに記録されたプログラム(p1)、検査端末Bに記録されたプログラム(p2)を実行することで、行うことができる。
【0032】
まず、図6に示すように、利用者が管理端末44の画面に表示されたGUI(Graphical User Interface)を使って、検査対象となるファイアウォール装置43のフィルタリングルール45(図3)を入力する(ステップS1)。これにより、図5に示すように、入力データが管理装置40に送られる。
【0033】
次に、管理装置40は、フィルタリングルール45に基づいて、検査シーケンスデータ46(図4)を作成する。ここで作成される検査シーケンスデータ45は、複数のシーケンスを含むものであるが、それぞれの検査パターンは1組のパケットに関するやり取りしか示されておらず、正常なTCP,ICMP,UDPのプロトコルシーケンスに沿ったものとなっている。
【0034】
次に、図5及び図6に示すように、管理装置40は、検査端末A41、検査端末B42に、上記作成された検査シーケンスデータ45を送信して、配布する(ステップS3)。
【0035】
次に、図6に示すように、検査端末A41は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部161に記憶すると共に、検査端末B42と検査開始の同期を取るための検査開始信号を検査端末B42に送信する(ステップS4)。この検査シーケンスデータ記憶部161は、検査端末A41内の不図示のHD(Hard Disk)の一部領域に構築されている。同様に、検査端末B42は、上記受信した検査シーケンスデータ46を検査シーケンスデータ記憶部162に記憶する(ステップS5)。この検査シーケンスデータ記憶部162は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0036】
次に、検査端末A41では、検査シーケンスデータ記憶部161に記憶した検査シーケンスデータ46の内容(検査シーケンスデータ46で示されている送信元IPアドレス及び送信先IPアドレスの指定)に従い、ファイアウォール装置43を介して検査端末B42に検査パケット47を送信する(ステップS6)。
【0037】
次に、検査端末B42では、図5に示すように、検査シーケンスデータ記憶部162に記憶した検査シーケンスデータ46の内容に従い、検査端末A41から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、検査パケット47を受信するか否かを判断する(ステップS7)。そして、検査パケット47を所定時間内に受信したと判断した場合には(YES)、検査シーケンスデータで示されているIPアドレスを使って、検査パケット47を受信したことを検査端末A41に通知するための応答パケットを、ファイアフォール装置43を介して検査端末A41に送信する(ステップS8)。
【0038】
一方、検査端末A41では、上記ステップS6によって検査パケット47を送信したことを契機とした所定時間内に、上記応答パケット48を受信するか否かを判断する(ステップS9)。そして、所定時間内に応答パケット48を受信したと判断した場合には(YES)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS10)。また、上記ステップS9において、所定時間内に応答パケット48を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部151に記録し、その後、この受信結果を検査結果データ49として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS11)。尚、受信結果記録部151は、検査端末A41内の不図示のHDの一部領域に構築されている。
【0039】
一方、検査端末B42では、上記ステップS8により、検査パケット47を受信した場合には、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS12)。また、上記ステップS7において、所定時間内に検査パケット47を受信しなかったと判断した場合には(NO)、その旨を示す受信結果を受信結果記録部152に記録し、その後、この受信結果を検査結果データ50として管理装置40に送信することで、受信結果を管理装置40に通知する(ステップS13)。尚、受信結果記録部152は、検査端末B42内の不図示のHDの一部領域に構築されている。
【0040】
一方、検査端末A41では、上記ステップS10,11後に、検査シーケンスデータ記憶部161内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS14)。そして、まだ残っていると判断した場合には(YES)、上記ステップS6へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部151内にこれまで記録された受信結果を検査結果データ49として、管理装置40に送信する(ステップS16)。
【0041】
一方、検査端末B42では、上記ステップS12,13後に、検査シーケンスデータ記憶部162内をチェックして、まだ検査シーケンスデータが残っているか否かを判断する(ステップS15)。そして、まだ残っていると判断した場合には(YES)、上記ステップS7へ進んで同じ処理を繰り返し、もう残っていないと判断した場合には(NO)、受信結果記録部152内にこれまで記録された受信結果を検査結果データ50として、管理装置40に送信する(ステップS17)。尚、上記ステップS6,S7へ進んで同じ処理を繰り返す場合には、図5に示すように、検査パケット47’及び応答パケット48’の送受信を再び行う。
【0042】
次に、管理装置40は、検査端末A61と検査端末B63から受け取った、検査結果データ(IPアドレス、ポート番号の組に対するパケットの通過状況等)49,50を精査し、特定のIPアドレス、ポート番号の組に対するファイアウォール装置43のフィルタリングルールの設定が、利用者が入力したポリシ通りか否かを解析し、この結果報告データ51を管理端末44に送信して、管理端末44で解析結果を表示する(ステップS18)。これにより、例えば、検査結果データ50が所定時間内に検査パケット47を受信しなかった旨の受信結果である場合には、ファイアウォール装置43によって検査パケット47の通過が阻まれたと解析することができる。
【0043】
以上説明したように本実施形態によれば、内部ネットワーク内で検査端末A41,B42によってファイアウォール装置43を挟むと共に、管理装置40から、内部ネットワーク100とは別の管理用ネットワーク200を介して、検査端末A41,B42に対して検査シーケンスデータ46と検査結果データ49,50の送受信を行い、しかも、検査端末B42で所定時間だけ検査パケット47の到着を待っているため、ファイアウォール装置43で検査パケット47が阻止されたのか、或いは、検査端末B42で検査パケット47が阻止されたのかを認識することができる。これにより、ファイアウォール装置43のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【0044】
尚、本実施形態において、検査端末A41で、送信元IPアドレスを任意のアドレスに設定し、送信元IPアドレスを任意に設定して、任意の送信元IPアドレスと任意の送信先IPアドレスを組み合わせた検査パケットを送出することによって、全てのIPアドレスの組に対するファイアウォール装置43のフィルタリングルールの検査を実施することができる。相手先のIPアドレスを実際に利用しているホストが、内部ネットワーク上に存在していない場合には、IPの仕様によりarp(Address Resolution Protocol)アドレスの解決が出来ないためにパケットが送出されないという問題があるが、この方法を採用すれば、検査対象となっているIPアドレスが内部ネットワーク上で利用されているか否かを検査端末B42が認識しており、利用されていないIPアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行う場合には、検査端末B42のIPアドレスを検査対象の利用されていないIPアドレスに自動的に変更して検査を実施することにより、内部ネットワーク上で利用されていないアドレスに関するファイアウォール装置43のフィルタリングルールの検査を行うことが可能である。
【0045】
即ち、検査端末A41からファイアウォール装置43を挟んで反対側に、特定のIPアドレスを使っているホストコンピュータが実在しない場合でも、全てのパケットを取得することができ、しかも、検査端末A41,B42が検査シーケンスデータ46を共有しているため、検査端末B42では、検査端末A41から送られてくる検査パケットの種類と数を正確に知ることができる。このため、全てのIPアドレスの組の検査パケットによりファイアウォール装置43で通過許可、非許可の検査を行うことができるという効果を奏する。
〔第2の実施形態〕
以下、図7乃至図11を用いて、本発明の第2の実施形態について説明する。
【0046】
尚、上記第1の実施形態と同一構成、同一処理、同一機能等については、同一の符号を付して、その説明を省略する。
【0047】
本実施形態は、ステートフルファイアウォール装置にも使用することができる例を示したものである。そのため、まず、図7及び図8を用い、ステートフルファイアウォール装置について説明する。
【0048】
図7に示すように、特定のパケット203が検査端末Aから検査端末B宛に送信されたときに、ステートフルファイアウォール装置でパケット203の通過が拒否される場合であっても、図8に示すように、まず通過可能な特定のパケット201を送信し、その応答パケット202がステートフルファイアウォール装置を通過すると、ステートフルファイアウォール装置内部で自動的にパケット203を通過させるようにフィルタリングルールが変更される。ステートフルファイアウォール装置は、このような高度なフィルタリングルールを記述することが可能なファイアウォール装置である。
【0049】
次に、図9乃至図11を用いて、本実施形態の内容について説明する。
【0050】
図9は、ファイアウォール検査システム1’におけるデータ等の流れを示した概略構成図である。
【0051】
本実施形態は、検査シーケンスデータ46’に、検査端末A41,B42の計算機資源の許す限りのパケットのやり取りに関するデータを記述することによって、ステートフルファイアウォール装置43’の検査も実施できるものである。
【0052】
上記第1の実施形態では、検査端末A41,B42間の1往復のパケットの通過した状態でのファイアウォールにおける検査パケットの通過、非通過だけでなく、図10に示すように複数のパケットのやり取りに関して記述されているシーケンスを複数持つ検査シーケンスデータ46’を用いることによって、単一若しくは多数のパケットが通過した後の状態でのステートフルファイアウォール装置43’における検査パケット47の通過、非通過に関する状態も正確に認識することができる。
【0053】
続いて、図11を用いて、本実施形態の動作について説明する。
【0054】
まず、本実施実施形態におけるステップS21〜S33は、上記第1の実施形態におけるステップS1〜S13とそれぞれ同じ処理を行う。但し、検査シーケンスデータ46’が、利用者により入力されたステートフルファイアウォール装置43’用のフィルタリングルール45’に従って、図10に示すような内容になっている。この検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれている。
【0055】
そして、検査端末A41では、ステップS30,S31の後に、検査シーケンスデータ記憶部161に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS34)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS26に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS36に進む。
【0056】
一方、検査端末B42においても、ステップS32,S33の後に、検査シーケンスデータ記憶部162に記憶されている検査シーケンスデータ46’を参照して、検査パケットが残っているか否かを判断する(ステップS35)。この判断の結果、検査パケットが残っている場合には(NO)、ステップS27に戻って処理を繰り返す。また、検査パケットが残っておらず、シーケンス中のパケットが全て処理し終わった場合には(YES)、ステップS37に進む。
【0057】
そして、その後のステップS36〜S40は、上記第1の実施形態におけるステップS14〜S18とそれぞれ同じ処理を行う。
【0058】
以上説明したように本実施形態によれば、上記第1の実施形態の効果に加え、更に、図10に示すように、検査シーケンスデータ46’は、検査シーケンスデータを構成する複数のシーケンスの中に、更に、様々な検査パケットを送信するためのパケット情報が含まれているため、過去の通信状態を加味してパケットの通過の可否を決定するような高度なフィルタリングルールを持ったステートフルファイアウォール装置43’の検査も行うことができるという効果を奏する。
【0059】
尚、第1及び第2の実施形態では、図1に示すように、1つの管理装置40によって一組の検査端末A,Bを管理しているが、一組、二組、或いは、四組以上の検査端末A,Bを管理してもよい。
【0060】
また、第1及び第2の実施形態では、検査端末A,Bの2台を一組としてが、これに限るものではなく、3台、或いは4台以上の検査端末を一組として、同じ内部ネットワーク100内で、様々な検査を行うようにしてもよい。更に、第1及び第2の実施形態においては、TCP,UDP,ICMPパケットにおける各種パラメータを任意の値に設定した検査パケットを送信してもよい。これにより、通常のやり取りでは生成されないパラメータを有したTCP,UDP,ICMPを検査パケットとして生成して、異常なパラメータを有したTCP,UDP,ICMPパケットがファイアウォール装置43,43’の通過を許可されるか否かを検査することが出来る。異常なパラメータとして設定できる項目例を表1に示している。
【0061】
【表1】
また、上記プログラム(p0)、(p1)、(p2)が記録されたCD−ROM等の記録媒体を用いて、コンピュータ(管理装置、検査端末A41,B42)に、それぞれプログラム(p0)、(p1)、(p2)を記録して使用してもよい。
【0062】
【発明の効果】
以上説明したように本発明によれば、内部ネットワーク内で第1及び第2の検査端末によってファイアウォール装置を挟むと共に、管理装置から、内部ネットワークとは別の管理用ネットワークを介して、第1及び第2の検査端末に対して検査シーケンスデータと検査結果データの送受信を行い、しかも、第2の検査端末で所定時間だけ検査パケットの到着を待っているため、ファイアウォール装置で検査パケットが阻止されたのか、或いは、第2の検査端末で検査パケットが阻止されたのかを認識することができる。これにより、ファイアウォール装置のフィルタリングルールのうちパケットを通過させない設定になっている部分の検査を正確に行うことができるという効果を奏する。
【図面の簡単な説明】
【図1】本発明に係るファイアウォール検査システム1、1’の全体構成図。
【図2】第1の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図3】図2中のファイアウォール装置43のフィルタリングルールを示した図。
【図4】第1の実施形態に係る検査シーケンスデータの内容を示した図。
【図5】第1の実施形態に係るファイアウォール検査方法を示したシーケンス図。
【図6】第1の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図7】ステートフルファイアウォール装置の説明に使用する図。
【図8】ステートフルファイアウォール装置の説明に使用する図。
【図9】第2の実施形態に係るファイアウォール検査システム1におけるデータ等の流れを示した概略構成図。
【図10】第2の実施形態に係る検査シーケンスデータの内容を示した図。
【図11】第2の実施形態に係る装置及び端末での処理を示した処理フロー図。
【図12】従来のファイアウォール検査システムにおけるデータ等の流れを示した概略構成図。
【符号の説明】
40 管理装置
41 検査端末A
42 検査端末B
43 ファイアウォール装置
44 管理端末
45 フィルタリングルール
46 検査シーケンスデータ
47 検査パケット
48 応答パケット
49 検査結果データ
50 検査結果データ
51 結果報告
Claims (8)
- 外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査システムにおいて、
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを有し、更に、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信手段を有し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信手段と、
前記第1のデータ受信手段で受信した検査シーケンスデータを記憶する第1のデータ記憶手段とを有し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信手段と、
前記第2のデータ受信手段で受信した検査シーケンスデータを記憶する第2のデータ記憶手段とを有し、
前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信手段を有し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断手段と、
前記検査パケット受信判断手段によって判断した受信結果を記録する第2の受信結果記録手段と、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信手段と、
前記検査パケット受信判断手段によって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信手段とを有し、
前記第1の検査端末は、
前記検査パケット送信手段によって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断手段と、
前記応答パケット受信判断手段によって判断した受信結果を記録する第1の受信結果記録手段と、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信手段と、 前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析手段を有する
ことを特徴とするファイアウォール検査システム。 - 前記管理装置の解析手段は、
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項1に記載のファイアウォール検査システム。 - 前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、
前記第1の検査端末の検査パケット送信手段は、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信手段は、全ての検査パケットを受信可能とする
ことを特徴とする請求項1又は2に記載のファイアウォール検査システム。 - 外部からの不正アクセスなどから内部ネットワークを守るファイアウォール装置の検査を行うためのファイアウォール検査方法において、
前記ネットワーク内で前記ファイアウォール装置を挟んで接続可能な第1の検査端末及び第2の検査端末と、当該第1及び第2の検査端末の動作を管理する管理装置とを利用し、更に、
前記第1の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第1のデータ記憶手段と、前記第2の検査端末から送られたパケットの受信結果を記録する第1の受信結果記録手段とを有し、
前記第2の検査端末は、前記管理装置から送られてくる検査シーケンスデータを記憶する第2のデータ記憶手段と、前記第1の検査端末から送られたパケットの受信結果を記録する第2の受信結果記録手段とを有した状態で、
前記管理装置は、
前記第1及び第2の検査端末に対して、前記第1及び第2の検査端末が所定のアルゴリズムで動作するための検査シーケンスデータを送信するデータ送信ステップを実行し、
前記第1の検査端末は、
前記検査シーケンスデータを受信する第1のデータ受信ステップと、
前記第1のデータ受信ステップで受信した検査シーケンスデータを前記第1のデータ記憶手段に記憶するステップと実行し、
前記第2の検査端末は、
前記検査シーケンスデータを受信する第2のデータ受信ステップと、
前記第2のデータ受信ステップで受信した検査シーケンスデータを前記第2のデータ記憶手段に記憶するステップとを実行し、 前記第1の検査端末は、
前記第1のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第2の検査端末に検査パケットを送信する検査パケット送信ステップを実行し、
前記第2の検査端末は、
前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記第1の検査端末から送信されてきた検査開始信号を受信したことを契機とした所定時間内に、前記検査パケットを受信するか否かを判断する検査パケット受信判断ステップと、
前記検査パケット受信判断ステップによって判断した受信結果を第2の受信結果記録手段に記録するステップと、
前記第2の受信結果記録手段に記録した受信結果を第2の検査結果データとして前記管理装置に送信する第2の検査結果送信ステップと、
前記検査パケット受信判断ステップによって前記検査パケットを受信したと判断した場合には、前記第2のデータ記憶手段に記憶した検査シーケンスデータの内容に従い、前記ファイアウォール装置を介して前記第1の検査端末に対し、前記検査パケットを受信したことを前記第1の検査端末に通知するための応答パケットを送信する応答パケット送信ステップとを実行し、
前記第1の検査端末は、
前記検査パケット送信ステップによって検査パケットを送信したことを契機とした所定時間内に、前記応答パケットを受信するか否かを判断する応答パケット受信判断ステップと、
前記応答パケット受信判断ステップによって判断した受信結果を前記第1の受信結果記録手段に記録するステップと、
前記第1の受信結果記録手段に記録した受信結果を第1の検査結果データとして前記管理装置に送信する第1の検査結果送信ステップとを実行し、
前記管理装置は、
前記第1及び第2の検査端末から送られてきた第1及び第2の検査結果データに基づいて、検査結果の解析を行う解析ステップを実行する ことを特徴とするファイアウォール検査方法。 - 前記管理装置の解析ステップは、
前記第1の検査結果データが前記第1の検査端末によって所定時間内に応答パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記応答パケットの通過が阻まれたと解析し、
前記第2の検査結果データが前記第2の検査端末によって所定時間内に検査パケットを受信しなかった旨の受信結果である場合には、前記ファイアウォール装置によって前記検査パケットの通過が阻まれたと解析する
ことを特徴とする請求項4に記載のファイアウォール検査方法。 - 前記検査シーケンスデータは、第1の検査端末に送信させる検査パケットの種類と数を第2の検査端末に通知するためのデータであり、更に、
前記第1の検査端末の検査パケット送信ステップは、全てのIPアドレスを送信元とすると共に全てのIPアドレスを送信先として組み合わせた検査パケットを送信し、
前記第2の検査端末の検査パケット受信ステップは、全ての検査パケットを受信可能とする
ことを特徴とする請求項4又は5に記載のファイアウォール検査方法。 - 前記ファイアウォール検査方法で利用する装置及び検査端末に、請求項4乃至6のいずれかに記載の各ステップを実行させるためのファイアウォール検査用プログラム。
- 請求項7に記載のファイアウォール検査用プログラムを記録した、コンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003114714A JP3802004B2 (ja) | 2003-04-18 | 2003-04-18 | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003114714A JP3802004B2 (ja) | 2003-04-18 | 2003-04-18 | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004320644A JP2004320644A (ja) | 2004-11-11 |
| JP3802004B2 true JP3802004B2 (ja) | 2006-07-26 |
Family
ID=33474205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003114714A Expired - Lifetime JP3802004B2 (ja) | 2003-04-18 | 2003-04-18 | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3802004B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374569B (zh) * | 2022-03-22 | 2022-07-05 | 北京指掌易科技有限公司 | 一种报文的检测方法、装置、电子设备和存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285165A (ja) * | 1997-03-31 | 1998-10-23 | Mitsubishi Electric Corp | ネットワーク試験システム |
| JP2000151602A (ja) * | 1998-11-18 | 2000-05-30 | Hitachi Ltd | ネットワーク設定検査システム |
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| US6473763B1 (en) * | 2000-03-31 | 2002-10-29 | International Business Machines Corporation | System, method and computer program for filtering multi-action rule set |
| JP3851164B2 (ja) * | 2001-12-28 | 2006-11-29 | 沖電気工業株式会社 | 装置間導通試験方法および装置 |
-
2003
- 2003-04-18 JP JP2003114714A patent/JP3802004B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004320644A (ja) | 2004-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11588841B2 (en) | Generating malicious network traffic detection models using cloned network environments | |
| JP4658340B2 (ja) | ネットワークゲートウェイの解析方法及び装置 | |
| CN111585845B (zh) | 一种网卡节点性能的检测方法、装置、设备及可读介质 | |
| US9491052B2 (en) | Topology aware smart merge | |
| US11616793B2 (en) | System and method for device context and device security | |
| US20110138470A1 (en) | Automated testing for security vulnerabilities of devices | |
| EP3420700A1 (en) | Systems and methods for attack simulation on a production network | |
| CN106603507A (zh) | 一种自动化完成网络安全自检的方法及系统 | |
| CN109286511B (zh) | 数据处理的方法及装置 | |
| CN107809433A (zh) | 资产管理方法及装置 | |
| US10523549B1 (en) | Method and system for detecting and classifying networked devices | |
| CN115086208A (zh) | 一种网卡检测方法、装置及电子设备和存储介质 | |
| JP3802004B2 (ja) | ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体 | |
| EP4128666B1 (en) | Network traffic capture | |
| Wala et al. | “Off-Label” Use of DNS | |
| CN104468861B (zh) | 终端识别的方法、装置及系统 | |
| CN119210808A (zh) | 一种检测终端内网外联的方法、装置及相关设备 | |
| CN102457430B (zh) | 网络封包处理方法及路由设备 | |
| CN112019361A (zh) | 访问控制列表的迁移方法及装置,存储介质和电子设备 | |
| JP5994459B2 (ja) | 情報処理装置、通信制御方法及び通信制御プログラム | |
| CN112468356B (zh) | 路由器接口测试方法、装置、电子设备和存储介质 | |
| JP5655185B2 (ja) | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム | |
| CN114827086A (zh) | 一种探测ip发现方法、装置、设备及存储介质 | |
| CN115065613A (zh) | 一种基于防火墙配置的网络连通性分析系统及分析方法 | |
| CN115022217A (zh) | 一种网卡检测方法、装置及电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051102 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060411 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060426 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3802004 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090512 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100512 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100512 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110512 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120512 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130512 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140512 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |