地址变换方法、访问控制方法及使用这些方法的装置的制作方法

专利名称：地址变换方法、访问控制方法及使用这些方法的装置的制作方法
技术领域：
本发明涉及用于不具备全球网中的地址的专用网的终端通过所述全球网进行通信的地址变换技术以及访问控制技术(防火墙技术)。
背景技术：
以往，具有地址变换技术(NAT(Network Address Translation，网络地址翻译)技术)，配置在全球网和专用网(private network)之间，例如因特网等广域通信网(WANWide Area Network)和以太网(注册商标)等局域网(LAN)之间，通过将从WAN向LAN内的终端装置的分组的接收方地址从全球IP地址变换为专用地址，将从LAN内的终端装置向WAN的分组的发送元地址从专用地址变换为全球IP地址，从而仅具备LAN内的专用地址的多个终端装置可以共享一个全球IP地址来对WAN进行访问。此外，为了保护LAN内的资源，有对来自WAN的分组的接收方和发送元进行检查，仅使根据设定的安全性策略而许可的分组通过LAN内的访问控制技术(防火墙技术)。而且，已知具备地址变换功能和访问控制功能的中继装置、仅具备地址变换功能的地址变换装置、仅具备访问控制功能的防火墙装置。
在现有的地址变换技术中，具有通过将来自因特网侧的地址根据TCP(Transmission Control Protocol，传输控制协议)或UDP(User DatagramProtocol，用户数据报协议)的端口号而分配到终端装置，从而可以进行从因特网向LAN内的终端装置的访问的技术(例如，参照专利文献1)。但是，在这样的将来自因特网的访问根据TCP或UDP的端口号而分配到终端装置的地址变换装置，从因特网访问LAN内的终端装置时，由于使用TCP或UDP的端口号，所以仅能使一个终端装置对应于一个端口号，不能用相同的端口号访问多个终端装置。例如，存在由http(HyperText Transpoft Protocol，超文本传输协议)的默认端口号——80号不能公开多个服务器的问题。此外，在不是以TCP或UDP的协议，进行没有端口号等的通信的情况下(IPsec(Security Architecture for Internet Protocol，因特网协议的安全体系)或ICMP(Internet Control Message Protocol，网间控制报文协议)等情况)，也不能公开多个终端装置，例如，由于IPsec的分组仅能设定到一个终端装置，因此不能由多个终端装置同时使用IPsec。这在从LAN内向因特网侧进行通信的情况下也同样产生，所以难以由LAN内的终端装置使用IPsec。为了解决该问题，也有将IPsec的分组封装(capsule)为UDP的分组来传送的技术(例如参照专利文献2)。但是，在这样的使用封装的地址变换技术中，需要在进行IPsec通信的双方中对应于对UDP分组的封装，不能与不对应于对DP分组的封装的终端进行通信。
另一方面，在访问控制技术中，还有通过来自由认证而确认的用户的访问，即使从因特网也可以变更防火墙装置中设定的安全性策略的技术(例如参照专利文献3)。参照图1说明该专利文献3所示的技术。连接到因特网(WAN)200的用户终端220的用户在要变更防火墙装置900内的访问控制表900a内的访问控制规则的情况下，从用户终端220对连接于LAN300的认证服务器390进行认证委托。认证服务器390的端口号在访问控制表900a中作为使任何分组通过的条件被记录。认证委托中包含用户的ID(识别信息)和用户的署名数据、作为要执行的访问内容的自身的IP地址或端口号以及访问对象的IP地址或端口号。
认证服务器390进行对接收到的认证委托的验证，如果验证合格，则委托防火墙装置900，以将该认证委托中的要执行的访问内容设定于访问控制表900a中。从而，该委托例如如果是从用户终端220对于连接到LAN300的网络(Web)服务器310的访问，则用户从用户终端220访问网络服务器310，例如可以下载内容。这样，在经过了规定期间的情况下或者访问超过规定期间时，从防火墙装置外对访问控制表900a设定的访问的许可复原。
专利文献1特开2002-185517号公报专利文献2特开2002-232450号公报专利文献3特开2003-132020号公报在现有的地址变换技术中，在不对应于封装的终端间，仅能使一个终端装置对应于一个端口号，不能以相同的端口号访问多个终端装置。
此外，在现有的访问控制技术中，可以动态变更安全性策略，很便利。但是，进行该认证委托的用户装置或冒充该利用装置的装置，利用在作为当初的访问的目的的通信结束之后(例如在结束了从LAN内的网络服务器的内容下载之后)，被设定为可通过规定期间的情况，从而有可能进行非法的访问。在这一点上，存在不能确保安全性的问题。

发明内容
在本发明中，关于地址变换技术，其目的在于，提供一种地址变换技术，即使在不对应于封装的终端间，也以相同的端口号公开多个服务器，即使用没有端口号的协议也可以进行多个通信。此外，其目的在于，关于访问控制技术，提供一种访问控制技术，即使动态地改变安全性策略、即通过条件，也可以确保安全性。
本发明在数据库部中记录有对全球网侧的每个发送元的装置或发送元的网络决定的访问控制规则、对每个发送元的装置决定的地址变换规则。在接收到来自全球网侧的分组时，根据包含发送元信息的访问控制规则，限制从全球网对专用网的访问。此外，根据包含了发送元信息的地址变换规则，进行接收方地址的变换，将来自全球网侧的信息传送到专用网侧。在接收到来自专用网侧的分组时，根据包含了发送元信息的地址变换规则进行发送元地址的变换，将来自专用网侧的信息传送到全球网侧。
对于来自全球网侧的访问请求，在数据库部中追加、删除希望通信的接收方和发送元之间的访问控制规则和地址变换规则的情况下，进行认证。在认证合格的情况下，对每个发送元的装置或每个发送元的网络决定访问控制规则，对每个发送元的装置决定地址变换规则并记录在数据库部中。在通信结束时，从数据库部删除追加的访问控制规则和地址变换规则。
对于来自专用网侧的访问请求，在数据库部中没有希望通信的接收方和发送元之间的访问控制规则和地址变换规则的情况下，决定每个发送元的访问控制规则和地址变换规则并记录在数据库部中。在通信结束时，从数据库部删除追加的访问控制规则和地址变换规则。
关于所述认证，有在中继装置内部的认证处理部中进行的方法，以及在全球网内设置认证服务器，仅由认证服务器进行对中继装置的访问控制规则(设定对防火墙装置的通过条件)追加委托的方法。
此外，将所述方法仅应用于地址变换规则而形成地址变换方法，仅用访问控制规则而形成防火墙方法。进而，对于防火墙技术，在确立安全的对话(session)中，通过该安全的对话对请求元通知该对话的通信状况。
根据本发明，对于发送元地址不同的分组可以应用不同的访问控制规则和地址变换规则。从而，可以用相同的端口号公开专用网的多个服务器，以及专用网的多个终端可以通过没有端口号的协议同时进行通信。
在接收到来自专用网的终端的分组的情况下，如果没有注册对于该分组的访问控制规则和地址变换规则，则追加对于该分组的访问控制规则和访问变换规则。从而，可以自动地注册从专用网的终端开始的通信的访问控制规则和地址变换规则，并可以进行通信而不进行事先的访问控制规则和地址变换规则的注册。
关于访问控制技术，从防火墙装置外部动态地变更防火墙装置的通过条件，从而来自对应用户终端的分组可以通过防火墙装置。而且，在该安全的对话切断时，该通过许可(访问控制规则)被解除。从而，该对话切断后的非法的分组不能通过防火墙。此外，在将确立的对话的通信状况通知请求元的情况下，可以由请求元监视非法的通信。
而且，在仅接受来自规定的认证服务器的请求，变更防火墙装置的设定或地址变更规则的情况下，可以从全球网变更访问控制或地址变换而不通过端口扫描来检测装置的存在或服务器的提供等。


图1是表示用于说明现有的防火墙装置的系统结构的图。
图2是表示实施例1的中继装置的功能结构例的图。
图3是表示实施例1中的访问控制表的初始状态的图。
图4是表示实施例1中的地址变换表的初始状态的图。
图5是表示实施例1的处理流程的图。
图6是表示实施例1中的访问控制规则追加后的访问控制表的图。
图7是表示实施例1中的地址变换规则追加后的地址变换表的图。
图8是表示可经由因特网进行通信的第一中继装置和第二中继装置以及与它们连接的LAN和终端的结构的图。
图9是表示实施例2的处理流程的图。
图10是表示实施例2中对第一中继装置追加的访问控制表的图。
图11是表示实施例2中对第一中继装置追加的地址变换表的图。
图12是表示实施例2中对第二中继装置追加的访问控制表的图。
图13是表示实施例2中对第二中继装置追加的地址变换表的图。
图14是表示使用了实施例3的WAN上的认证服务器的情况下的中继装置的功能结构例的图。
图15是表示实施例3的访问控制表的初始状态的图。
图16是表示实施例3的地址变换表的初始状态的图。
图17是表示实施例3的因特网上的认证服务器和终端以及LAN上的终端或服务器的结构的图。
图18是表示实施例3的处理流程的图。
图19是表示实施例3的认证服务器要求追加的访问控制规则的图。
图20是表示实施例3的认证服务器要求追加的地址变换规则的图。
图21是表示实施例3的访问控制规则追加后的访问控制表的图。
图22是表示实施例3的地址变换规则追加后的地址变换表的图。
图23是表示实施例4的地址变换装置的功能结构例的图。
图24是表示实施例4的地址变换表的初始状态的图。
图25是表示实施例4的地址变换表追加后的地址变换表的图。
图26是表示实施例4的地址变换装置的通信开通之前的处理的流程的图。
图27是表示实施例4的地址变换装置的通信开通后的处理流程的图。
图28是表示防火墙装置的功能结构例的图。
图29是表示防火墙装置的处理流程的图。
图30是表示实施例5的访问控制表(通过条件表)的初始状态的图。
图31是表示实施例5的访问控制规则(通过条件)追加后的访问控制表(通过条件表)的图。
图32是表示实施例6的访问控制规则(通过条件)追加后的访问控制表(通过条件表)的图。
图33是表示实施例7的访问控制规则(通过条件)追加后的访问控制表(通过条件表)的图。
图34是表示实施例8的防火墙装置的处理流程的图。
具体实施例方式
以下参照附图来说明本发明的实施例，对于各图中的同一结构要素赋予同一参照标号并省略重复说明。
图2是表示实施例1的中继装置10的功能结构例的图。
在图2中，本实施例的中继装置10包括WAN接口部11，进行与因特网等广域通信网(WAN(Wide Area Network))200的分组的发送接收；LAN接口部12，进行与LAN300的分组的发送接收；访问控制部13，对WAN接口部11以及LAN接口部12接收到的分组进行分析，并进行访问控制；地址变换部14，对访问控制部13许可了通过的分组以及从LAN内对WAN侧发送的分组进行分析，并进行地址变换；以及数据库部16，存储用于访问控制的数据或用于地址变换的数据或认证的数据。
该中继装置10具备访问控制功能(防火墙功能)，访问控制部13基于数据库部16中记录的如图3所示的访问控制表，决定是否经由LAN接口部12对LAN侧发送由WAN接口部11接收的分组。
在图3中，‘源IP地址’的列，表示由WAN接口部11接收到的分组的发送元IP地址；‘协议、源端口号’的列，表示由WAN接口部11接收到的分组的协议名以及以该协议使用端口号的情况下的发送元端口号；‘目的地IP地址’的列，表示由WAN接口部11接收到的分组的接收方IP地址；‘协议、目的地端口号’的列，表示由WAN接口部11接收到的分组的协议名以及以该协议使用端口号的情况下的接收方端口号；‘动作’的列，表示在由WAN接口部11接收到的分组的发送元以及接收方与当前行的各个的值一致时对该分组进行的动作。
另外，作为‘协议、源端口号’以及‘协议、目的地端口号’的列中使用的协议名，可以使用与预先设定的协议名和端口号对应的协议名。
例如，图3的第一行表示与发送元IP地址、端口号无关，接收方IP地址为‘111.111.111.2’并且协议名为‘http(HyperText Transport Protocol，例如TCP(Transmission Control Protocol)80)’的分组被发送到LAN侧的情况(通过accept)。
同样，在图3的第二行，发送元IP地址为‘123.123.123.1’，接收方IP地址为‘111.111.111.2’并且协议名为‘SSH(Secure Shell，例如TCP22)’的分组被发送到LAN侧，在第三行，所有的分组被废弃(废弃drop)。
访问控制部13从上面的行开始验证这样的表是否与接收到的分组一致，如果一致，则进行指定的动作，对于该分组的处理结束。即，在图3的表中，上面的行中设定的条件成为更优先地被处理的条件。
中继装置10在数据库部16中记录有如图4所示的地址变换表。地址变换部14基于该地址变换表，将由WAN接口部11接收并通过访问控制部13的分组的目的地IP地址变换为LAN的内部的IP地址，并经由LAN接口部12发送到LAN侧。
此外，将由LAN接口部12接收到的分组的源IP地址变换为WAN的IP地址(全球地址)并对访问控制部13输出。访问控制部13将被许可的分组经由WAN接口部11发送到WAN侧。
在图4中，‘源IP地址’的列，表示由WAN接口部11接收到的分组的发送元IP地址；‘目的地IP地址’的列，表示由WAN接口部11接收到的分组的接收方IP地址；‘协议、目的地端口号’的列，表示由WAN接口部11接收到的分组的协议名以及以该协议使用端口号的情况下的接收方端口号；‘内部IP地址’的列，表示在由WAN接口部11接收到的分组的发送元以及接收方与该行的各个值一致时对该分组的接收方IP地址设定的LAN的专用网地址；‘协议以及端口号’的列，表示在由WAN接口部11接收到的分组的发送元以及接收方与该行的各个值一致时，对该分组的接收方端口号设定的端口号。其中‘any’的情况为任意的地址都可以。
例如，图4的第一行表示与发送元IP地址无关，接收方IP地址为‘111.111.111.2’、并且接收方端口号为‘TCP80(http)’的分组在接收方IP地址被改写为‘192.168.100.5’、接收方端口号不变的方式被发送到LAN侧，而。
图4的第二行表示发送元IP地址为‘123.123.123.1’、接收方IP地址为‘111.111.111.2’并且接收方端口号为‘TCP22(SSH)’的分组以接收方IP地址改写为‘192.168.100.5’、接收方端口号不变的方式被发送到LAN侧。
通过这样设定，可以对LAN内的终端分配从WAN侧对特定端口的访问或者对不具备端口的协议的访问。
这里，地址变换部14从上面的行开始对如图4所示的地址变换表进行检索，如果接收到的分组一致则进行指定的动作，对于该分组的处理结束。即，在图4的地址变换表，在上面的行中设定的条件被更优先地处理。
图4表示地址变换表的初始状态(没有通信中的终端的状态)。中继装置10根据来自LAN内的终端的通信请求或来自WAN侧的终端的请求，对图3的访问控制表追加访问控制规则，对图4的地址变换表追加地址变换规则。
具体地用图5进行说明。访问控制部13经由WAN接口部11接收对装置自身的全球地址的https(HyperText Transfer Protocol Security)的访问请求分组时(步骤S1)，进行发送元的终端和SSL(Secure Socket Layer)对话的确立(步骤S2)。如果对话被正常地确立，则存储在确立对话时取得的发送元终端的IP地址(步骤S3)。接着，为了进行用户的认证，将输入用户的识别信息和口令的HTML文件加密并经由WAN接口部11发送到请求元的终端(步骤S4)。
访问控制部13从请求元的终端接收被加密的用户的识别信息和口令(步骤S5)。接着，访问控制部13进行解密，并将用户的识别信息和口令发送到认证处理部15，请求用户的认证。
认证处理部15如接收到用户的识别信息和口令，则从数据库部16中存储的用户的信息中检索具有与接收到的用户识别信息一致的识别信息的用户。如果发现一致的用户，则将存储的该用户的口令和接收到的口令进行比较(步骤S6)。如果口令一致，则认证处理部15将认证正常发送到访问控制部13。在未发现一致的用户的情况下或口令不一致的情况下，将认证异常发送到访问控制部13(步骤S7)。
访问控制部13从认证处理部15接收到认证正常时，将输入要访问的服务器的LAN内部的专用地址或协议或端口号等的HTML文件加密，并将其经由WAN接口部11发送到请求元的终端(步骤S9)。
访问控制部13从请求元的终端接收被加密的专用地址或协议或端口号(步骤S10)。接着，访问控制部13进行解密，将以存储的https的访问请求分组的发送元IP地址作为‘源IP地址’、将接收到的协议、端口号作为‘协议、目的地端口号’的访问控制规则追加到数据库部16的访问控制表中(步骤S11)。此外，访问控制部13对地址变换部14发送https的地址请求分组的发送元IP地址、接收到的专用地址、协议、端口号，并请求地址变换规则的追加。地址变换部14收到地址变换规则的追加请求时，将以https的访问请求分组的发送元IP地址作为‘源IP地址’、以接收到的专用地址作为‘内部IP地址’、以协议、端口号作为‘协议、目的地端口号’的地址变换规则追加到数据库部16的地址变换表中(步骤S12)。
例如，在根据来自发送元IP地址‘111.222.234.123’的终端的https的访问请求分组，将接收方IP地址‘111.111.111.2’、接收方端口号‘TCP22’的分组的接收方IP地址改写为内部IP地址‘192.168.100.4’的情况下，如图6所示，访问控制表对图3的表的最上行追加通过https访问的终端的访问控制规则。此外，如图7所示，地址变换表在图4的表的首行上追加可通过https访问的终端的地址变换表。
由此，发送元IP地址‘111.222.234.123’、接收方IP地址‘111.111.111.2’、接收方端口号‘TCP22’的分组通过访问控制部13。此外，由地址变换部14将接收方IP地址改写为192.168.100.4并发送到LAN。除此以外的发送元IP地址的接收方端口号为‘TCP22’的分组被访问控制部13废弃。
然后，访问控制部13将认证正常且设定了地址变换的情况和显示变换目的地的LAN内部的专用地址、协议和端口号等的HTML文件加密并发送到终端(步骤S13)。另外，HTML文件中嵌入用于终端每隔预定的一定时间对中继装置10进行访问的程序。
在终端，通过对发送的HTML文件解码并进行显示，可以确认设定的地址变换的信息。此外，通过HTML文件中嵌入的程序，终端每隔一定时间开始对中继装置10发送信号。
这样，设定访问控制规则以及地址变换规则，并进行与LAN内的终端的通信。在用户结束通信时，从由从中继装置10接收到的HTML文件显示的画面选择通信的结束按钮，或者关闭显示HTML文件的浏览器，或结束显示HTML文件的终端(电源关闭、中止连接等)。
中继装置10的访问控制部13在接收到通信结束的分组的情况下，在根据一定时间没有发送来来自终端的信号的情况检测出浏览器被关闭或终端结束的情况下(步骤S14)，如图6所示，将改写的表返回如图3所示的原来的状态，对地址变换部14发送元IP地址、目的地IP地址、协议，并通知该通信结束了的情况(步骤S15)。地址变换部14如接收到通信结束的通知，则如图7所示，将改写了的表返回如图4所示的原来的状态(步骤S16)。
如上所述，在本实施例，将使用源IP地址的访问控制规则和地址变换规则设定为访问控制表和地址变换表。从而，即使在接收方为相同的端口号的情况下，也可以根据源IP地址对各个服务器进行分配，即使是没有端口号的协议，也可以根据源IP地址进行与各个终端的通信。
另外，在本实施例中，通过https的访问接受地址变换规则、访问控制规则的追加，但也可以使用http或SIP(Session Initiation Protocol)或SSH或telnet等。
实施例1所示的中继装置10在从LAN(局域网)内的终端接收到IPsec通信的最初的分组时，通过将接收方IP地址和发送元IP地址(专用网侧成为发送元。)的地址变换表追加到地址变换表中，可LAN内的多个终端以通过进行IPsec通信。图8表示可经由因特网通信的第一中继装置10a和第二中继装置10b、以及与它们连接的LAN和终端的结构。以下，使用图9说明LAN300的终端和LAN400的终端间的IPsec通信的情况。
首先，终端410a为了对第一中继装置10a追加与LAN300内的终端310a的IPsec通信所需的地址变换表，而对第一中继装置10a发送https的访问请求分组。
第一中继装置10a接收到https的访问请求分组时，与发送元的终端进行SSL对话的确立(步骤S21)，并进行用户的认证(步骤S22)，如果被认证，则将输入要访问的服务器的LAN内部的专用地址或协议或端口号等的HTML文件发送到请求元的终端410a。另外，该HTML文件中嵌入用于终端每隔预定的一定时间对中继装置10a进行访问的程序。
终端410a显示接收到的HTML文件(步骤S23)，使用户输入访问目的地的信息。在该情况下，输入要连接的终端310a的专用IP地址192.168.100.2，并输入IPsec作为协议。终端410a将输入的专用地址和协议发送到第一中继装置10a。
第一中继装置10a接收到专用地址和协议时，追加以数据库部16中记录的https的访问请求分组的发送元IP地址(第二中继装置10b的IP地址111.222.234.123)作为‘源IP地址’、以IPsec作为‘协议、源端口号’、以装置自身的全球地址211.250.250.100作为‘目的地IP地址’、以IPsec作为‘协议、目的地端口号’的图10所示的访问控制规则。此外，追加以https的访问请求分组的发送元IP地址作为‘源IP地址’、以装置自身的全球地址211.250.250.100作为‘目的地IP地址’、以IPsec作为‘协议、目的地端口号’、以192.168.100.2作为‘内部IP地址’的图11所示的地址变换规则(步骤S24)。
终端410a对第二中继装置10b发送最初的IPsec分组时，第二中继装置10b的地址变换部14调查关于IPsec通信的地址变换表是否被注册在地址变换表中。具体来说，检索是否有分组的接收方IP地址和地址变换表的源IP地址一致，并且分组的发送元IP地址、地址变换表和内部IP地址一致的地址变换表(步骤S26)。
如果有与该条件一致的地址变换表，则将发送元IP地址改写为该地址变换表的目的地IP地址的地址(步骤S27)，并通过访问控制部13发送被改写的分组。
如果没有与该条件一致的地址变换表，则追加以接收方IP地址作为‘源IP地址’、以及装置自身的IP地址(该情况下为111.222.234.123)作为‘目的地IP地址’、以IPsec作为‘协议、目的地端口号’、以发送元IP地址(该情况下为192.168.20.2)作为‘内部IP地址’的图12所示的地址变换规则。此外，对访问控制部13请求追加许可发送元IP地址为211.250.250.100、且接收方IP地址为111.222.234.123的IPsec分组的通过的访问控制规则。访问控制部13追加图13所示的访问控制规则。
访问控制部13的访问控制规则的追加结束时，地址变换部14将接收到的分组的发送元IP地址改写为装置自身的全球IP地址(在该情况下为111.222.234.123)，并将改写后的分组经由访问控制部13发送。此后，在终端310a和终端410a之间进行通过IPsec的通信。
通过IPsec的通信结束时，终端410a的用户从由从第一中继装置10a接收到的HTML文件显示的画面中选择通信结束的按钮，或关闭显示HTML文件的窗口，或将显示HTML文件的终端关闭(步骤S30)。
第一中继装置10a的访问控制部13根据通信结束的分组的接收、一定时间没有发送来自终端410a的信号的情况检测浏览器被关闭的情况或终端结束了的情况时(步骤S31)，删除图10所示的访问控制规则。此外，通知对地址变换部14通知源IP地址111.222.234.123、目的地IP地址211.250.250.100、协议IPsec的通信结束了的情况。地址变换部14接收到通信结束的通知时，删除图11所示的地址变换规则(步骤S32)。
第二中继装置10b的访问控制部13根据通信结束的分组的接收、一定时间没有发送来自终端410a的信号的情况检测浏览器被关闭的情况或终端关闭的情况时(步骤S33)，删除图13所示的访问控制规则。此外，对地址变换部14通知源IP地址211.250.250.100、目的地IP地址111.222.234.123、协议IPsec的通信结束了的情况。地址变换部14接收到通信结束的通知时，删除图12所示的地址变换规则(步骤S34)。
如上所述，在本实施例，将使用源IP地址的访问控制规则和地址变换规则分别设定为访问控制表和地址变换表。从而，可以即使在接收方为相同的端口号的情况下，也按每个源IP地址分配到各个服务器，即使是没有端口号的协议的情况下，也按每个源IP地址与各个终端进行通信。
此外，即使在没有注册对于从LAN侧接收到的IPsec的分组的接收方IP地址和发送元IP地址的地址变换规则的情况下，也可以自动注册从LAN内的终端开始的IPsec通信的地址变换规则，所以可以进行IPsec通信而不必事先注册地址变换规则。
另外，在本实施例中，根据IPsec通信的最初的分组追加地址变换规则、访问控制规则，但也可以根据IKE(Internet Key Exchange)的最初的分组等追加地址变换规则、访问控制规则。
在实施例1和实施例2，由中继装置10内的认证处理部15进行WAN侧的终端的认证，但也可以经由WAN上的认证服务器，由该认证服务器进行认证，根据来自该认证服务器的请求追加、删除访问控制规则以及地址变换规则。通过这样，可以从WAN上隐蔽地(隐蔽可访问的协议或端口号)运用。
图14是表示使用了WAN上的认证服务器的情况下的中继装置的功能结构例的图。图14的中继装置20包括WAN接口部11，与因特网等广域通信网(WAN)连接，并进行与WAN的分组的发送接收；LAN接口部12，进行与LAN的分组的发送接收；访问控制部23，对WAN接口部11以及LAN接口部12接收的分组进行分析，并进行访问控制；地址变换部24，对从LAN内向WAN侧的分组的发送元地址进行变换；以及数据库部26，存储有用于访问控制的数据或用户地址变换的数据。此外，具有在WAN上进行WAN侧的终端的认证，并对中继装置20请求访问控制规则的追加等的认证服务器100。认证服务器100包括接口部101，与WAN侧的终端以及中继装置20进行通信；控制部102，进行认证服务器100的控制；认证处理部105，进行认证处理；以及数据库部106，记录认证信息或通信中的信息等。
中继装置20包括防火墙功能。具体来说，访问控制部23基于数据库部26中记录的图15所示的访问控制表，决定是否对LAN内发送从WAN侧接收的分组。
在图15中，‘源IP地址’的列，表示由WAN接口部11接收到的分组的发送元IP地址；‘源端口号’的列，表示由WAN接口部11接收到的分组发送元端口号；‘目的地IP地址’的列，表示由WAN接口部11接收到的分组的接收方IP地址；‘协议、目的地端口号’的列表示由WAN接口部11接收到的分组的协议名以及以该协议使用端口号的情况下的接收方端口号；‘动作’的列表示在由WAN接口部11接收到的分组的发送元以及接收方与当前行的各个的值一致时对该分组进行的动作。
另外，作为‘协议、目的地端口号’的列所使用的协议名，可以使用与预先设定的协议名和端口号对应的协议名。
例如，图15的第一行，与发送元IP地址、端口号无关，接收方IP地址为‘123.123.123.123’并且协议名为‘https(HyperText Transport ProtocolSecurity，例如TCP443)’的分组表示被发送到LAN侧的情况(通过accept)。
同样，在图15的第二行，发送元IP地址为‘211.250.250.100’，接收方IP地址为‘123.123.123.123’并且协议名为‘SSH(Secure Shell，例如TCP22)’的分组被发送到LAN侧，在第三行，所有的分组被废弃(drop)。
访问控制部23从上面的行开始对这样的表验证接收到的分组是否一致，如果一致，则进行指定的动作，对于该分组的处理结束。即，在图15的表，上面的行中设定的条件成为优先地被处理的条件。
中继装置20在数据库部26中记录有如图16所示的地址变换表，地址变换部24基于该表，将从WAN侧接收到的分组的目的地IP地址变换为LAN的内部的IP地址，并发送到LAN内。此外，将从LAN侧接收到的分组的源IP地址变换为WAN的IP地址(全球地址)，并发送到WAN侧。
在图16中，‘源IP地址’的列，表示由WAN接口部11接收到的分组的发送元IP地址；‘目的地IP地址’的列，表示由WAN接口部11接收到的分组的接收方IP地址；‘协议、目的地端口号’的列，表示由WAN接口部11接收到的分组的协议名以及以该协议使用端口号的情况下的接收方端口号；‘内部IP地址’的列，表示在由WAN接口部11接收到的分组的发送元以及接收方与该行的各个值一致时对该分组的接收方IP地址设定的LAN的专用网地址；‘协议以及端口号’的列，表示在由WAN接口部11接收到的分组的发送元以及接收方与该行的各个值一致时对该分组的接收方端口号设定的端口号。
例如，在图16的第一行，表示与发送元IP地址无关，接收方IP地址为‘123.123.123.123’并且接收方端口号为‘TCP443(https)’的分组以接收方IP地址改写为‘192.168.100.5’、而接收方端口号不变被发送到LAN侧。
同样，在图16的第二行，表示发送元IP地址为‘211.250.250.100’、接收方IP地址为‘123.123.123.123’并且接收方端口号为‘TCP22(SSH)’的分组以接收方IP地址改写为‘192.168.100.5’、而接收方端口号不变被发送到LAN侧。
通过这样设定，可以对LAN内的终端分配从WAN侧对特定端口的访问或者对不具备端口的协议的访问。
此外，地址变换部24从上面的行开始对这样的表验证接收到的分组是否一致，如果一致则进行指定的动作，对于该分组的处理结束。即，在图16的表中，成为在上面的行中设定的条件被更优先地处理的条件。
此外，图16所示的状态是初始状态(没有通信中的终端的状态)。根据来自LAN内的终端的通信请求，或根据来自后述的WAN侧的服务器的请求，追加地址变换规则，从LAN向WAN侧的分组、从WAN侧向LAN内的分组的各个地址根据图16的表而被变换、发送。
图17表示因特网上的认证服务器和终端以及LAN上的终端或服务器的结构。中继装置20连接到LAN300，LAN300上连接有终端310a、310b以及服务器311a、311b。中继装置20仅根据来自因特网200上的认证服务器100的请求，可以对图15的访问控制表追加访问控制规则，并对图16的地址变换表追加地址变换规则。
认证服务器100将用于认证可访问中继装置200的用户的认证信息，或对每个用户许可访问的中继装置20的地址、追加的访问控制规则以及地址变换规则等访问信息记录在数据库部106中。在有来自因特网200上的终端的请求时，认证服务器100基于数据库部106中记录的认证信息进行用户的认证，如果认证正常，则对中继装置请求访问控制规则以及地址变换规则的追加。
例如，使用图18说明要在因特网200上的终端220a和服务器311a之间进行通信的情况。操作终端220a的用户连接到因特网200上的认证服务器100，并接受认证。该认证可以是从识别信息(ID)和口令的简易的认证，到通过一次口令或体貌信息的由高度的软件功能进行的认证。另外，这样的认证所使用的信息为了防止在因特网上的信息泄漏，最好加密发送。
认证服务器100接受请求认证时，将请求认证了的终端220a的地址作为发送元地址存储(步骤S41)，并基于认证信息进行用户的认证(步骤S42)。
如果用户被认证(步骤S43)，则认证服务器100请求中继装置20追加以记录的终端220a的地址作为发送元地址的访问控制规则和地址变换规则。例如，在仅许可从终端220a向服务器311a的http访问的情况下，认证服务器100请求以图19所示的终端220a的地址(111.222.234.123)作为发送元来许可http访问的访问控制规则的追加，和将图20所示的终端220a的地址(111.222.234.123)为发送元的http的分组的发送目的地变更为服务器311a的地址(192.168.100.4)的地址变换规则的追加。
中继装置20的访问控制部23接收到来自认证服务器100的访问控制规则的追加请求以及地址变换规则的追加请求时，则对数据库部26的访问控制表追加接收到的地访问控制表。此外，访问控制部23对地址变换部24请求追加从认证服务器100接收到的地址变换规则。地址变换部24如从访问控制部23接收到地址变换规则的追加请求，则将接收到的地址变换规则追加到数据库部26的地址变换表中(步骤S44)。例如，在许可从上述终端220a向服务器311a的http访问的情况下，对图15的访问控制表追加图19的访问控制规则，使访问控制表如图21那样。此外，对图16的地址变换表追加图20的地址变换规则，使地址变换表如图22所示。
访问控制规则以及地址变换规则的追加结束时，访问控制部23向认证服务器100发回追加完毕。
认证服务器100从中继装置20接收到追加完毕时，将存储的终端220a的地址、中继装置20的地址、追加的访问控制规则以及地址变换规则建立关联而作为通信中信息存储(步骤S45)。此外，认证服务器100对终端220a发送成为可访问的情况、许可了访问的服务名(例如，网络照相机等、IP地址和端口号也可以)等作为可访问信息。
在终端220a，通过显示接收到的信息(步骤S46)，对用户通知可访问的情况和可访问信息。
这样，来自终端220a的http访问被分配给服务器311a，来自其它的终端的http访问被拒绝。知道可进行访问的用户与LAN300内的终端或服务器开始通信。
进行与LAN300内的终端或服务器的通信的用户在结束通信时，从终端220a输入结束信息(步骤S51)，并对认证服务器100通知通信结束。
认证服务器100接收到通信结束通知时，从通信结束同时的发送元的地址检索是否有与通信中信息的终端侧的地址一致的地址(步骤S52)。如果有与通信中信息一致的信息(步骤S53)，则对关联的中继装置20请求删除关联的访问控制规则和地址变换规则。
中继装置20的访问控制部23接收到访问控制规则和地址变换规则的删除请求时，从数据库部26的访问控制表中删除接收到的访问控制规则。此外，访问控制部23对地址变换部24请求删除从认证服务器100接收到的地址变换规则。地址变换部24如从访问控制部23接收到地址变换规则的删除请求，则从数据库26的地址变换表中删除相应的地址变换规则(步骤S54)。
这样，通过来自用户的通信结束通知，中继装置20的访问控制表返回到如图15所示，地址变换表返回到如图16所示。从而，可以防止利用追加的访问控制规则以及地址变换规则的非法的访问。
此外，中继装置20仅从认证服务器100接受访问控制规则和地址变换规则的追加或删除的请求即可，可以变更访问控制规则和地址变换规则而不必通过端口扫描来检测端口。
进而，因为由认证服务器100进行认证，所以可以容易地进行从通过ID和口令的认证到更高级的认证。
另外，根据来自终端220a的通信结束通知删除了访问控制规则和地址变换规则，但在一定时间以上没有分组的发送接收的时，或从开始通信经过了一定时间时，判断为通信结束，并删除访问控制规则和地址变换规则也可以。
此外，也可以使认证服务器100具有作为http服务器的功能，并可以在主页上进行认证的接受或可访问信息的显示或通信结束的通知。此外，也可以使用SIP(Session Initiation Protocol)服务器作为认证服务器100。
此外，通过设定为将访问控制规则对所有的访问通过，可以作为地址变换装置起作用。
从实施例1至3，使用地址控制技术和地址变换技术表示中继装置的功能结构和处理流程。在本实施例中，仅使用地址变换技术表示地址变换装置和处理流程。图23表示地址变换装置的功能结构例。地址变换装置30包括WAN接口部11、LAN接口部12、数据库部33、地址变换部34、认证处理部35。
数据库部33存储有包含地址变换表的用于地址变换的数据、用于认证用户的数据等。
图24表示地址变换表的一例。此外，图25表示对图24的地址变换表追加了作为源IP地址包含后述的发送元IP地址的地址变换规则后的地址变换表的一例。
在图24、图25中，‘源IP地址’的列，表示由WAN接口部11接收的分组的发送元IP地址(其中，‘any’的情况是任意的地址都可以。)。‘目的地IP地址’的列，表示由WAN接口部11接收的分组的接收方IP地址。‘协议、目的地端口号’的列，表示由WAN接口部11接收到的分组的协议以及接收方端口号。‘内部IP地址’的列，表示由WAN接口部11接收的分组的发送元以及接收方与该行的各个值一致时，对该分组的接收方IP地址设定的LAN内的专用地址。‘协议以及端口号’的列，表示在由WAN接口部11接收的分组的发送元以及接收方与该行的各个值一致时，对该分组的接收方端口号设定的端口号。地址变换部34进行对地址变换表的地址变换规则的追加和删除，同时基于该地址变换表进行由WAN接口部11以及LAN接口部12接收的分组的地址变换。
即，地址变换部34对于由WAN接口部11接收的分组，根据发送元IP地址和接收方IP地址，参照所述地址变换表，将接收方IP地址变换为LAN内的IP地址(内部IP地址)，并经由LAN接口部12发送到LAN侧。
例如，在图24的第一行，与发送元IP地址无关，接收方IP地址为‘123.123.123.123’并且接收方端口号为‘TCP443(https)’的分组以接收方IP地址改写为‘192.168.100.5’、接收方端口号不变被发送到LAN侧。
同样，在图24的第二行，与发送元IP地址无关，接收方IP地址为‘123.123.123.123’并且接收方端口号为‘TCP22(SSH)’的分组以接收方IP地址改写为‘192.168.100.5’、接收方端口号不变被发送到LAN侧。
此外，地址变换部34对于由LAN接口部12接收的分组，将分组的接收方IP地址改读为源IP地址，在地址变换表内检索与分组的发送元IP地址相同的内部IP地址，并将分组的发送元IP地址变换为WAN内的全球IP地址，经由WAN接口部11发送到WAN侧。
在地址变换部34，根据接收到的分组的内容从上面的行开始参照所述地址变换表，如果一致则进行指定的动作，与该分组对应的处理结束。即，在图24、图25的地址变换表中，上面的行中设定的条件成为被更优先地处理的条件。
认证处理部35根据地址变换部34的请求，进行用户的认证处理。
图26、图27是表示地址变换装置的处理流程的流程图，以下据此详细地说明本地址变换装置的动作。
地址变换部34从WAN侧的终端装置220经由WAN接口部11接收对装置自身的地址的http的访问请求(通信的开始请求)(步骤S61)，将访问请求分组的发送元IP地址作为发送元的终端装置的IP地址存储(步骤S62)，经由WAN接口部11对访问请求元的终端装置220发送用于输入用户的认证所需的用户的识别信息以及口令的HTML(Hyper Text Markup Language)文件(步骤S63)。
地址变换部34从访问请求元的终端装置220接收到用户的识别信息以及口令(步骤S64)时，将接收到的用户的识别信息以及口令传送到认证处理部35，并请求用户的认证(步骤S65)。
认证处理部35接收到用户的识别信息以及口令时，从数据库部33中蓄积的用户的信息中检索具有与接收到的用户识别信息一致的识别信息的用户。如果发现一致的用户，则将存储的该用户的口令和接收到的口令进行比较，如果一致，则对地址变换部部34发送认证正常(步骤S66)。在未发现一致的用户的情况下或口令不一致的情况下，对地址变换部34发送认证异常。此时，要求用户再次输入用户的识别信息或口令，在重复了规定的次数也不一致的情况下，作为认证异常也可以。
地址变换部34从认证处理部35接收到认证正常时，将输入要访问的服务器的LAN内部的专用地址或协议、端口号等的HTML文件经由WAN接口部11发送到请求元的终端装置220(步骤S67)。
从访问请求元的终端装置220接收到专用地址协议、端口号等时(步骤S68)，地址变换部34将以记录的http的访问请求分组的发送元IP地址作为源IP地址、以接收到的专用地址作为内部IP地址、以协议以及端口号作为协议以及目的地端口号的地址变换规则追加到数据库部33的地址变换表中(步骤S69)。
例如，在将http的访问请求分组的发送元IP地址为‘111.222.234.123’、接收方IP地址为‘123.123.123.123’、接收方端口号为‘TCP22’的分组的接收方IP地址改写为内部IP地址‘192.168.100.4’的情况下，如图25所示，在图24的表的最上行中追加通过http访问的终端的地址变换规则。
由此，发送元IP地址为‘111.222.234.123’、接收方端口号为‘TCP22’的分组的接收方IP地址被改写为‘192.168.100.4’，并被发送到LAN，除此以外的发送元IP地址的接收方端口号为‘TCP22’的分组的接收方IP地址被改写为‘198.168.100.5’并被发送到LAN。
然后，地址变换部34对请求元的终端装置220发送HTML文件，该文件显示认证正常的情况、地址变换协议被设定了的情况、变换目的地的LAN内部的专用地址、协议和端口号等(步骤S70)。另外，HTML文件中嵌入用于终端每隔预定的一定时间对中继装置10a进行访问的程序。
在请求元的终端装置220，通过对发送的HTML文件进行显示，可以确认设定的地址变换的信息。此外，然后通过HTML文件中嵌入的程序，请求元的终端装置220每隔一定时间自动地对地址变换装置30进行http通信。
在地址变换规则设定后，地址变换部34从WAN接口部11接收到分组时(步骤S72、步骤S74)，根据该发送元IP地址以及接收方IP地址，参照所述地址变换表(步骤S75)，将接收方IP地址变换为LAN内的IP地址(内部IP地址)(步骤S76)，经由LAN接口部12发送到LAN。
此外，地址变换部34从LAN接口部12接收到分组时(步骤S72、步骤S74)，根据该内部IP地址，参照所述地址变换表(步骤S77)。接着，地址变换部34将分组的发送元IP地址从内部IP地址变换为WAN内的全球IP地址(步骤S78)，并经由WAN接口部11发送到WAN。
这样，进行与LAN内的服务器(终端装置)的通信。此外，在终端装置220的用户结束了通信的情况下，从地址变换装置30接收到的HTML文件的画面中选择通信结束的按钮，发送通信结束的分组，或关闭该画面本身。
地址变换装置30的地址变换部34根据访问请求元的终端装置220的HTML画面的结束检测通信的切断(步骤S71)，或接收到通信结束的分组时(步骤S73)，如图25所示，从被改写了的地址变换表中删除追加的地址变换表(步骤S79)，返回图24的初始状态。
这样，在本实施例中，可以根据包含源IP地址的条件设定地址变换规则，所以即使在对相同的端口号的的分组，也可以按每个源IP地址向各个服务器分配，即使是没有端口号的协议，也按每个源IP地址与各个终端进行通信。
此外，根据用户的请求，或者根据通信的切断，将变更后的地址变换规则的设定复原，所以可以防止变更的设定引起的错误的访问。
另外，在本实施例，对从终端对地址变换装置的访问使用http，但也可以使用https或telnet或SIP(Session Initiation Protocol)等。此外，在本实施例中，进行了用户的认证，但也可以对于来自预先设定的终端的请求不进行请求认证。
在本实施例，表示仅使用本发明的访问控制技术的技术。图28和图29表示防火墙装置的功能结构例和防火墙方法的步骤例。
该实施方式的防火墙装置40包括WAN接口部11，与因特网等广域通信网(WAN(Wide Area Network))200连接，进行与WAN200的分组的发送接收；LAN接口部12，进行与LAN300的分组的发送接收；访问控制部46，对WAN接口部11以及LAN接口部12接收到的分组进行分析，并进行访问控制；认证处理部47，根据访问控制部46的请求，进行用户(user)的认证处理；以及数据库部16，存储用于访问控制的数据或认证的数据。
数据库部48的访问控制表(通过条件表)48a中存储如图30所述的表，访问控制部46基于该表决定是否经由LAN接口部12将WAN接口部11接收的分组传送到LAN300侧。
在图30中，‘源IP地址’的列，表示由WAN接口部11接收到的分组的发送元IP地址；‘源端口号’的列，表示由WAN接口部11接收到的分组的发送元端口号；‘目的地IP地址’的列，表示由WAN接口部11接收到的分组的接收方IP地址；‘协议、目的地端口号’的列，表示由WAN接口部11接收的分组的接收方端口号(这里，由与端口号对应的协议名表示)；‘动作’的列，表示对该分组进行在由WAN接口部11接收的分组的发送元信息和接收方信息与通过条件表(访问控制表)48a中的源IP地址以及源端口号和目的地IP地址以及协议、目的地端口号分别一致时呈现的动作。
另外，‘协议、目的地端口号’的列中使用的协议名和端口号的对应被预先设定。此外，‘协议、目的地端口号’的列中也可以设定数值、即端口号本身。
例如，在图30的通过条件的第一行，由于源IP地址以及源端口号为‘any(任意)’，因此与这些IP地址以及端口号无关，接收方IP地址为‘111.111.111.2’并且接收方端口号为‘http(HyperText Transport Protocol，例如TCP(Transmission Control Protocol)80)’的分组被发送到LAN12(通过accept)。
在图3的第二行，发送元IP地址为‘123.123.123.1’，接收方IP地址的上位为‘111.111.111’并且接收方端口号为‘https(Hypertext Transfer ProtocolSecurity，例如TCP443)’的分组被发送到LAN300，由于‘动作’的栏为‘废弃’，所以所有的分组被废弃(废弃drop)。
访问控制部46中的检索部46a从上面的行开始对这样的通过条件表48a验证是否与接收到的分组的发送元以及发送目的地信息一致，如果一致，则由传送控制部46b进行指定的动作，对于该分组的处理结束。在本例中，对于图30的通过条件表48a，在上面的行中设定的条件成为被更优先地处理的条件。
再参照图29来具体地说明访问控制部46的动作。在接收到向防火墙装置40的地址的https的通过条件设定请求分组时(步骤S81)，由确立对话/切断部46c与连接到WAN200的发送元的用户终端220进行安全的对话(SSL(Secure Socket Layer)对话)的确立(步骤S82)。如果对话被正常地确立，则将确立对话时取得的发送元用户终端220的IP地址例如存储在数据库部48中(步骤S83)。此外，通过通知信息生成部46d的请求部46d1对用户终端220发送认证信息请求(步骤S84)。例如，将输入用户的识别信息和口令的HTML文件加密，并经由WAN接口部11发送到请求元的用户终端220。在本例中，除了请求元的用户终端220的IP地址之外，该条件设定请求分组中包含的其它的条件也存储在数据库部的通过条件表(访问控制表)48a中。
在从请求元用户终端220接收到被加密了的用户的识别信息和口令时(步骤S85)，由解密部46e对该加密了的认证信息进行解密(步骤S86)，将解密后的用户的识别信息和口令发送到认证处理部47，并请求进行用户的认证(步骤S87)。
认证处理部47接收到用户的识别信息和口令时，根据数据库部48中的认证信息部48b中存储的用户的信息检索具有与接收到的用户识别信息一致的识别信息的用户。如果发现一致的用户，则将存储在认证信息部48b中的该用户的口令和接收到的口令进行比较，如果一致，则对访问控制部46发送认证正常。在没有一致的用户的情况下或口令不一致的情况下，认证处理部47将认证异常发送到访问控制部46。
访问控制部46从认证处理部47接收到认证正常时(合格)(步骤S88)，基于成为认证正常的用户的通过条件设定请求的信息，将许可分组通过的行追加在通过条件表(访问控制表)48a中(步骤S89)。
例如，在对成为认证正常的IP地址‘123.123.111.1’的请求元用户终端200许可(通过)对IP地址‘111.111.111.3’的服务器(例如与LAN300连接的网络服务器310)的ftp(File Transfer Protocol，文件传输协议)的访问的情况下，如图31所示，在图30的通过条件表28a的最上行中追加请求元用户终端220以及网络服务器310的地址信息和‘动作’为‘通过’的访问控制规则(通过条件)。作为一般的通过条件，发送元地址为‘any’也可以，但在本例中，也设定请求元用户终端220的IP地址。
接着，访问控制部46，由其通知信息生成部46d的许可部46d2以及状况部46d3生成表示认证正常、访问被许可、可访问信息(访问被许可的服务名(例如网络照相机)或者IP地址和端口号)、通信状况(IP地址‘123.123.111.1’的用户终端220、IP地址‘111.111.111.3’、端口号‘ftp’的服务器310为通信中)等的HTML文件，由加密部46f加密并发送到请求元用户终端220(步骤S90)。
在用户终端220，通过将从该防火墙装置40发送的HTML文件解密并显示，可以显示可访问信息、访问状况。
在这样确立的用户终端220和网络服务器310的SSL对话中，访问控制部46在由监视部46g监视来自用户终端220的访问(步骤S91)，并由异常检测部46g1检测出来自用户终端220的访问的异常时(步骤S92)，由通知信息生成部46d的异常部46d4生成该异常通知，通过该SSL对话对用户终端220进行发送(步骤S93)。具体来说，例如如下那样。
(1)来自用户终端的分组的每单位时间的通信量(例如，MB/s等)对于每个动画服务、声音服务等的服务大致一定。因此，访问控制部46监视来自SSL确立对话了的终端的分组的单位时间的通信量，在发生了超过对于每个服务预先设定的通信量的通信量时，将显示该服务名或发生的通信量等的HTML文件加密后发送到该用户终端220。在用户终端220中，通过将发送的HTML文件解密并显示，可以显示被认为是异常的访问的信息，该用户终端220的用户可以得知有非法的访问。
(2)从用户终端220有对没有被该用户终端220许可的服务的访问请求时，将该数对于每个服务进行计数，在该计数的值超过预先设定的值、例如1时，将显示该服务名或计数值等的HTML文件加密并发送到该用户终端220。在接收到该文件的用户终端220中，通过将发送的HTML文件解密并显示，该用户对于没有与该用户终端220确立对话的服务器或终端，可以知道有非法的访问。
(3)对从同一用户终端220向防火墙装置40的https的访问请求分组(基于通过条件设定请求的认证用户中异常的次数)进行计数，在该计数的值超过预先设定的值时，将显示认证异常的次数异常的情况和其计数值的HTML文件加密并发送到该用户终端220。在接收到这样的异常通知的用户终端220中，将发送的HTML文件解密并显示。通过该显示，在有冒充合法的用户的非法的访问的情况下，合法的用户可以知道有非法的访问。
如上那样被许可访问、进行了与LAN300内的服务器310的通信的用户在结束通信时，从防火墙装置40接收，并从该用户终端220中由HTML文件显示的画面中选择通信结束的按钮，或切断SSL对话。
防火墙装置40的访问控制部46在接收到通信结束的分组的情况下，或检测出SSL对话的切断的情况下(步骤S94)，如图31所示，将改写了的通过条件表48a返回图30所示的原来的状态(步骤S95)。在接收通信结束分组的情况下，将通过条件表48a返回原来的状态，同时切断该SSL对话。
在步骤S94，如果通信没结束或对话没切断，则返回步骤S81。如果在步骤S81中没有通过条件设定请求，则跳至步骤S91进行访问监视。如果在步骤S88中认证合格，则在步骤S96中，通过确立对话/切断不46c切断该SSL对话并跳至步骤S81。
另外，步骤S91、S92以及S93构成通信状况监视步骤。此外，在图28中，控制部49进行依次使各部分动作、或对于数据库部48的读取写入、删除等。
如上所述，在本实施例，在https的对话内进行用户(利用者)的认证，如果认证正常，则将与该用户对应的访问许可(通过条件)追加设定到要求该https对话的IP地址中，所以可以从防火墙装置40的外侧更安全地变更防火墙装置40的安全性策略(通过条件)。而且，如果对话被切断，则立即删除该追加设定的通过条件，因此可以访问非法的访问。
此外，在本实施例，由于追加认证的通过条件中包含认证的通过条件设定请求元的终端的IP地址信息，所以从这一点来说，也可以防止非法访问。
进而，由于对用户显示对该https对话许可访问的服务名或与许可访问的IP地址的通信状况，所以通过用户对此进行确认，可以防止非法的访问。
此外，根据用户的请求或https对话的切断，如果利用该https对话的通信结束，则立即将变更了的访问许可(通过条件)的设定状态复原，所以可以防止利用变更了的通过条件设定的非法的访问。
实施例1至5以用户的终端单位来决定访问控制规则(通过条件)，但对于以网络(network)单位的访问控制规则的追加请求(通过条件设定请求)也可以应用本发明。
在本实施例，表示将以网络单位的访问控制规则(通过条件)的追加方法应用于实施例5所示的结构的例子。例如，图28中，由虚线表示的家庭内的家庭网络210与WAN200连接，并对该家庭网络210连接多个用户终端220。在该情况下，在认证时，与用户的识别信息和口令同时发送以网络单位的通过条件设定请求，基于用户的访问信息，进行许可以网络单位的访问的设定。换言之，访问控制部46对在SSL确立对话时取得的IP地址的网络地址，设定访问的许可(将‘动作’设为‘通过’的通过条件)。
例如，对于连接到网络210的用户终端(IP地址为123.123.111.0/24(上位24比特为123.123.111，下位比特为0、1、2、...、254的其中一个))，在许可对IP地址111.111.111.3的服务器310的ftp(File Transfer Protocol)的访问的情况下，在图30所示的通过条件表48a的最上行追加以网络210的网络地址(IP地址的上位24比特为123.123.111的IP地址)作为源IP地址的通过条件。在追加后成为图32那样。
由此，在SSL对话的确立中，即使是来自网络210内的用户终端220的任何一个的访问也都可以许可，而且从不具有网络210内的浏览器的用户终端也可以对许可的接收方进行访问。另外，通信状况发送到具有进行该SSL确立对话请求、即通过条件设定请求的浏览器的用户终端。
实施例6，对实施例5的防火墙装置40进行了以网络单位的访问控制规则(通过条件)的追加，而在本实施例，表示对实施例1的中继装置10进行以网络单位的访问控制规则(通过条件)的追加的情况。
例如，图2中以虚线表示的家庭内的家庭网络210与WAN200连接，对该家庭网络210连接多个用户终端220。在该情况下，在认证时，与用户的识别信息和口令同时发送以网络单位的通过条件设定请求，基于用户的访问信息，进行许可以网络单位的访问的设定。换言之，访问控制部13对在SSL确立对话时取得的IP地址的网络地址，设定访问的许可(将‘动作’设为‘通过’的通过条件)。
例如，对于连接到网络210的用户终端(IP地址为123.123.111.0/24(上位24比特为123.123.111，下位比特为0、1、2、...、254的其中一个))，在许可对IP地址111.111.111.3的服务器310的ftp(File Transfer Protocol)的访问的情况下，在图3所示的访问控制表的最上行追加以网络210的网络地址(IP地址的上位24比特为123.123.111的IP地址)作为源IP地址的通过条件。在追加后成为图33那样。
还有在进行了这样的以网络单位的访问控制规则的追加后，对网络210的每个的终端220追加地址变换规则的方法。
由此，在SSL对话的确立中，即使来自网络210内的用户终端220的任何一个的访问也都可以许可，而且从不具有网络210内的浏览器的用户终端也可以对许可的接收方进行访问。
作为对实施例5或6追加的处理有以下的处理。追加对于用户终端220的IP地址或网络地址的通过条件，且与用户终端220的SSL确立对话时，也考虑接收从该用户终端220请求对不同的接收方的连接的分组。具体来说，与防火墙装置40确立了对话的用户终端的用户例如有时要接受当前接受的服务以外的服务等。在这样的情况下，根据已经确立的SSL对话，询问该用户终端也可以。
具体来说，用户终端220使用确立中的SSL对话对访问控制部46发送新的通过条件设定请求。访问控制部46如虚线所述，接着图29中的步骤S81进行追加设定处理S97。图34表示该追加设定步骤(步骤S97)的例子。访问控制部46调查接收到的通过条件设定请求的请求元IP地址是否是来自确立中的SSL对话的用户终端220的追加设定请求(步骤S97a)。如果是来自确立中的SSL对话的用户终端220的追加设定请求，则对该用户终端220f，由通知信息生成部46d生成HTML文件，在加密后使用该SSL对话发送到用户终端220(步骤S97b)，HTML文件表示与可访问信息或访问状况等同时接收到追加设定请求的分组的情况、该追加设定请求的接收方的IP地址以及端口号、选择是否许可该追加设定请求的按钮。
在接收到该文件的用户终端220中，通过将该发送的HTML文件解密并显示，对用户终端220的用户通知接收到追加设定请求。从而，可以是用户确认该追加设定请求是否为用户已知。
如接收到对于请求的应答(步骤S97c)，对访问控制部46中的应答进行检查。来自该用户终端220的应答如果为‘许可该追加设定。(承认追加通过条件设定。)’(步骤S97d)，则访问控制部46对通过条件表48a追加设定该追加设定请求的通过条件(步骤S97e)。然后，满足追加的通过条件的分组通过已经确立了的SSL对话被发送到LAN内的接收方的服务器。另外，如果在步骤S97d中，来自用户终端的应答为‘拒绝连接。’，则访问控制部46废弃新的连接请求(追加设定请求)的分组(步骤S97f)。
在上述方法，为了与提供不同的服务的服务器连接，利用确立完毕的SSL对话对通过条件表48a追加新的通过条件。作为其它的方法，也可以如下处理。访问控制部46进行如图34所示的步骤S97a、S97b、S97c以及S97d的处理，如果许可步骤S97d的应答，则将该服务请求分组发送到对应的服务器(步骤S97e的括号)也可以。换言之，使用确立了的SSL对话，对于来自请求元的用户终端220的追加条件设定请求或对其它接收方的访问请求等，不必特别进行认证处理，也可以使用已经确立完毕的SSL对话向接收方服务器传送。
上述方法由于使用SSL对话对该用户终端220的用户询问SSL对话，所以可以防止非法的访问。
另外，在该实施例5至7中，作为来自用户终端的安全的访问使用https，但也可以使用通过SSH(Secure Shell)等的安全的对话。此外，如图28中虚线所示，也可以对防火墙装置40直接连接服务器310。此外，如果由通过条件设定请求，则首先与该请求元终端确立安全的对话，然后进行认证处理，但也可以先进行认证处理。换言之，在步骤S81中，如果接收到通过条件设定请求，如则图29中虚线所示，立即转移到步骤S84，进行认证处理，如果该认证合格，则在步骤S89中，对数据库部48设定其通过条件，并且在与请求元终端之间确立安全的对话也可以。此外，虽然在防火墙装置40内设置了认证处理部47，但也可以在外部设置，例如，可以是与LAN300连接的认证服务器。在该情况下，省略数据库部48到认证信息部48b。进而作为认证处理，请求用户识别信息以及口令，根据其是否在认证信息部48b内来决定是否认证合格，但也可以通过使用认证服务器，而使用安全性更高的认证方法。
实施例1至8所示的中继装置、地址变换装置、防火墙装置(访问控制装置)也可以通过计算机来功能化。在该情况下，由计算机执行各处理流程的程序从CD-ROM、磁盘、半导体存储装置等记录介质安装到计算机内，或经由通信线路下载，并由该计算机执行该程序即可。
权利要求
1.一种中继装置，用于不具有全球网中的地址的专用网的终端或服务器经由所述全球网进行通信，它包括WAN接口部，进行与所述全球网的通信；LAN接口部，进行与所述专用网的通信；访问控制部，具有根据对每个发送元的装置或发送元的网络决定的访问控制规则，控制从所述全球网对所述专用网的访问的部件；地址变换部，具有根据对每个发送元的装置决定的地址变换规则，为了将来自所述全球网侧的终端的信息传送到所述专用网侧的终端而进行地址变换的部件，和根据对每个发送元的装置决定的地址变换规则，为了将来自所述专用网侧的终端的信息传送到所述全球网侧的终端而进行地址变换的部件；以及数据库部，记录所述访问控制规则和所述地址变换规则。
2.如权利要求1所述的中继装置，其中包括认证处理部，接受来自所述全球网侧的终端的访问许可的委托时，进行认证处理；其中所述数据库部还记录所述认证处理部为了进行认证而使用的用户信息；所述访问控制部，具有在所述认证正常地结束了的情况下，对所述数据库部追加对每个发送元的装置或发送元的网络决定的访问控制规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的访问控制规则的部件，所述地址变换部还具有在所述认证正常地结束了的情况下，对所述数据库部追加对每个发送元的装置决定的地址变换规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的地址变换规则的部件。
3.如权利要求1所述的中继装置，其中所述访问控制部还具有在有来自进行全球网侧的终端的认证的认证处理服务器的请求时，对所述数据库部追加对每个发送元的装置或发送元的网络决定的访问控制规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的访问控制规则的部件，所述地址变换部还具有在有来自所述认证服务器的请求时，对所述数据库部追加对每个发送元的装置决定的地址变换规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的地址变换规则的部件。
4.一种认证服务器，许可对权利要求3所述的中继装置的访问，它包括接口部，进行与所述全球网侧的终端及所述中继装置的通信；认证处理部，在接受从所述全球网的终端对所述中继装置的访问许可的委托时，进行认证处理；控制部，具有在所述认证处理部中的认证合格的情况下，对所述中继装置请求追加来自所述全球网的终端的分组的访问控制规则和地址变换规则的部件，和在满足预定的通信结束的判断基准时，对所述中继装置请求删除该追加的访问控制规则和地址变换规则的部件；以及数据库部，记录将所述认证处理部为了进行认证而使用的用户信息和将请求了追加的访问控制规则和地址变换规则建立关联的信息。
5.如权利要求1至3的任何一项所述的中继装置，其中所述访问控制部还具有在有来自专用网侧的终端的开始通信的请求时，对所述数据库部追加对每个发送元的装置决定的访问控制规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的访问控制规则的部件，所述地址变换部还具有在有来自专用网侧的终端的开始通信的请求时，对所述数据库部追加对每个发送元的装置决定的地址变换规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的地址变换规则的部件。
6.一种地址变换装置，用于不具有全球网中的地址的专用网的终端或服务器通过所述全球网进行通信，它包括WAN接口部，进行与所述全球网的通信；LAN接口部，进行与所述专用网的通信；地址变换部，具有根据对每个发送元的装置决定的地址变换规则，为了将来自所述全球网侧的终端的信息传送到所述专用网侧的终端而进行地址的变换的部件，和根据对每个发送元的装置决定的地址变换规则，为了将来自所述专用网侧的终端的信息传送到所述全球网侧的终端而进行地址的变换的部件；以及数据库部，记录所述地址变换规则。
7.如权利要求6所述的地址变换装置，其中所述地址变换部还具有在有来自全球网侧的终端或来自专用网侧的终端的开始通信的请求时，对所述数据库部追加对每个发送元的装置决定的地址变换规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的地址变换规则的部件。
8.如权利要求7所述的地址变换装置，包括认证处理部，在有来自全球网侧的终端的开始通信的请求时，进行认证处理；其中所述数据库部还记录所述认证处理部为了进行认证而使用的用户信息，所述地址变换部，对于来自全球网侧的终端的开始通信的请求，仅在所述认证正常地结束的情况下，对所述数据库部追加所述地址变换规则。
9.如权利要求7所述的地址变换装置，其中所述地址变换部，对于来自全球网侧的终端的开始通信的请求，仅在有来自进行认证处理的认证处理服务器的请求的情况下，对所述数据库部追加所述地址变换规则。
10.一种认证服务器，许可对权利要求9所述的地址变换装置的访问，它包括接口部，进行与所述全球网侧的终端以及所述中继装置的通信；认证处理部，在接受从所述全球网的终端对所述中继装置的访问许可的委托时，进行认证处理；控制部，具有在所述认证处理部中的认证合格的情况下，对所述地址变换装置请求追加来自所述全球网的终端的分组的地址变换规则的部件，和在满足预定的通信结束的判断基准时，对所述地址变换装置请求删除该追加的地址变换规则的部件；以及数据库部，记录将所述认证处理部为了进行认证而使用的用户信息。
11.一种防火墙装置，在来自防火墙装置外的全球网的分组满足数据库部中设定的通过条件时，使该分组通过防火墙装置内的专用网，它包括WAN接口部，进行与所述全球网的通信；LAN接口部，进行与所述专用网的通信；访问控制部，具有根据对每个发送元的装置或发送元的网络决定的访问控制规则，控制从所述全球网对所述专用网的访问的部件；认证处理部，在接受来自所述全球网的访问许可的委托时，进行认证处理；以及数据库部，记录所述访问控制规则和所述认证处理部为了进行认证而使用的用户信息。
12.如权利要求11所述的防火墙装置，其中所述访问控制部还具有在与来自所述全球网的装置的访问许可的委托对应的访问控制规则未记录于所述数据库部中的情况下，在所述认证处理部中的认证正常地结束时，对所述数据库部追加对每个发送元的装置或发送元的网络决定的访问控制规则的部件，和在满足预定的通信结束的判断基准时，从所述数据库部删除该追加的访问控制规则的部件。
13.如权利要求12所述的防火墙装置，其中所述访问控制部还具有在确立安全的对话中，有来自使用该对话的全球网的装置的新的访问许可的委托的情况下，使用所述安全的对话，对所述全球网的装置发送用于确认所述委托的内容的通知的部件，和在得到来自所述全球网的装置的拒绝的应答的情况下，与所述访问控制规则无关，拒绝新的访问的部件。
14.如权利要求11至13的任何一项所述的防火墙装置，其中所述访问控制部还具有进行通信状况的监视的部件，和在满足预定的通信异常的基准的情况下，对所述全球网的装置通知通信异常的部件。
15.一种地址变换方法，用于不具有全球网中的地址的专用网的终端通过所述全球网进行通信，其特征在于，将预先对每个发送元的装置决定的地址变换规则记录在数据库部中，在WAN接口部接收到来自所述全球网侧的分组时，根据所述地址变换规则，由地址变换部变换接收方地址，LAN接口部将该地址变换过的分组传送到所述专用网侧，在LAN接口部接收到来自所述专用网侧的分组时，根据所述地址变换规则，由地址变换部变换发送元地址，WAN接口部将该地址变换过的分组传送到所述全球网侧。
16.一种地址变换方法，用于不具有全球网中的地址的专用网的终端通过所述全球网进行通信，其特征在于，将预先对每个发送元的装置决定的地址变换规则记录在数据库部中，在WAN接口部接收到来自所述全球网侧的分组的情况下，由认证处理部进行认证处理，在认证合格时，由所述地址变换部调查所述分组的发送元信息和接收方信息一致的地址变换规则被记录于数据库部中的情况，在存在一致的地址变换规则的情况下，根据该地址变换规则来变换所述分组的地址，在不存在一致的地址变换规则的情况下，对所述数据库部追加地址变换规则，从而根据该追加的地址变换规则来变换所述分组的地址，LAN接口部将该地址变换后的分组传送到所述专用网侧，在LAN接口部接收到来自所述专用网侧的分组的情况下，由所述地址变换部调查与所述分组的发送元信息和接收方信息一致的地址变换规则被记录于数据库部中的情况，在存在一致的地址变换规则的情况下，根据该地址变换规则来变换所述分组的地址，在不存在一致的地址变换规则的情况下，对所述数据库部追加地址变换规则，从而根据该追加的地址变换规则来变换所述分组的地址，WAN接口部将该被地址变换后的分组传送到所述全球网侧，在满足预定的通信结束的判断基准，则在有所述地址变换部追加的地址变换规则的情况下，从所述数据库部删除该地址变换规则。
17.如权利要求16所述的地址变换方法，其特征在于，取代由认证处理部进行认证处理，在有来自进行所述全球网侧的终端的认证的认证服务器的请求时，判断为认证合格。
18.一种访问控制方法，在来自防火墙外的全球网的分组满足数据库部中设定的访问控制规则时，使该分组通过防火墙内的专用网，其特征在于，将预先对每个发送元的装置或发送元的网络决定的访问控制规则记录在数据库部中，在WAN接口部接收到来自所述全球网侧的连接请求时，由访问控制部调查与连接请求一致的访问控制规则被记录在所述数据库部中的情况，在存在访问控制规则的情况下，许可通信。
19.一种访问控制方法，在来自防火墙外的全球网的分组满足数据库部中设定的访问控制规则时，使该分组通过防火墙内的专用网，其特征在于，将预先对每个发送元的装置或发送元的网络决定的访问控制规则记录在数据库部，在WAN接口部接收到来自所述全球网侧的连接请求的情况下，由认证处理部进行认证处理，在认证合格时，由访问控制部调查与连接请求一致的访问控制规则被记录在所述数据库部中的情况，在存在一致的访问控制规则的情况下，许可通信，在不存在一致的访问控制规则的情况下，对所述数据库部追加对每个发送元的装置或发送元的网络决定的访问控制规则，从而许可通信，在LAN接口部接收到来自所述专用网侧的分组的情况下，由访问控制部调查与连接请求一致的访问控制规则被记录在所述数据库部中的情况，在存在一致的访问控制规则的情况下，许可通信，在不存在一致的地址变换规则的情况下，对所述数据库部追加对每个发送元装置决定的访问控制规则，从而许可通信，在满足预定的通信结束的判断基准时，在有所述访问控制部追加的访问控制规则的情况下，从所述数据库部删除该访问控制规则。
20.如权利要求19所述的访问控制方法，其特征在于，取代由认证处理部进行认证处理，在有来自进行所述全球网侧的终端的认证的认证服务器的请求时，判断为认证合格。
21.如权利要求18至20的任何一项所述的访问控制方法，其特征在于，在确立安全的对话中，监视其通信状况，在符合预定的基准的情况下，对确立了该安全的对话的全球网的装置通知异常的发生。
22.如权利要求18至20的任何一项所述的访问控制方法，其特征在于，在确立安全的对话中，WAN接口部接收到来自确立该安全的对话的全球网的装置的新的连接请求的情况下，对确立了该安全的对话的全球网的装置通知该连接请求的内容，在从该装置有拒绝的应答的情况下，与数据库部中记录的访问控制规则无关，拒绝连接。
全文摘要
在现有的地址变换技术中，在不对应于密封式的终端间，仅能使一个终端装置对应于一个端口号，不能以相同的端口号对多个终端装置进行访问。在本发明中，根据对每个分组的发送元的装置或发送元的网络决定的访问控制规则，限制从全球网对专用网的访问。此外，根据对每个发送元的装置决定的地址变换规则进行地址变换，并进行全球网和专用网的通信。此外，在有来自全球网侧的连接请求，并且认证上合格的情况下，对每个发送元的装置或每个发送元的网络决定访问控制规则，并对每个发送元的装置决定并记录地址变换规则。通信结束时，删除追加的访问控制规则和地址变换规则。
文档编号G06F15/00GK1774705SQ200580000330
公开日2006年5月17日 申请日期2005年4月14日 优先权日2004年4月14日
发明者松浦克智 申请人:日本电信电话株式会社