专利名称::防火墙装置的制作方法
技术领域:
:该发明涉及用于保护与互联网等外部网络连接的用户的防火墙装置。
背景技术:
:作为提高自己的终端或自己的网络的安全性的手段中的一种,具有防火墙(也称为FW)。防火墙被配置在想提高安全性的自己的终端或自己的网络与外部网络之间,实施如下的过滤处理根据预先设定的安全策略,判断从外部网络到自己的终端或网络的分组、或者从自己的终端或网络到外部网络的分组是否可以通过,在可通过的情况下,使该分组通过,在不可通过的情况下,丢弃该分组。安全策略是结合地址、协议类型、端口号、方向、可否通过、或者其它条件作为一种规则,并汇集了多种该规则的策略。另外,防火墙根据设置场所可以分为三种。一种如图1所示,是将防火墙10保持在自己的终端内部的方式(以下,称为基于终端的防火墙),用于从外部网络(例如互联网)12保护自己的终端11。另一种如图2所示,是将防火墙10设置在自己的网络13的边缘,并与外部网络12连接的方式(以下,称为基于CPE的防火墙),用于从外部网络12保护自己的网络13。再一种如图3所示,是使防火墙10收容多个运用独立的策略且想要提高安全性的网络13或终端11,并将其设置在与外部网络12连接的位置上的方式(以下,称为基于NW的防火墙),用于从外部网络12保护各个网络13或终端11。随着常时连接用户的增加,以及安全必要性的提高,从向安全知识不够的用户提供能以低成本解决技能缺乏问题的安全服务的观点来看,上述防火墙中的在网络侧配备防火墙的基于NW的防火墙是有效的。即,利用基于NW的防火墙,可以期待因收容用户的集约而获得的经济化、并通过外部采办而减轻用户的工作。但是,需要为每个用户提供安全策略,在本方法的防火墙中,需要在一台物理防火墙上为每个用户构筑虚拟防火墙的体系结构。图4示出了以往技术的虚拟防火墙的构筑法。以往技术的用户终端或服务器、或者用户网络和虚拟防火墙之间的分配,通过使固定的用户ID与虚拟防火墙ID相对应来实现。这里,所谓的固定用户ID是指用户的终端或服务器所属的网络的VLAN-ID、或者是用户的终端或服务器的IP地址。在图4中,分别将用户#a的服务器211的IP地址[a.a.a.a]、用户#b的服务器212的IP地址[b.b.b.b]作为固定用户ID,另外,分别将它们与虚拟防火墙ID202和203对应起来,预先登录在分配管理表201中。并且,例如,在服务器211与用户#2的连接对方终端213之间进行通信时,对于从服务器211发送的分组221,将其发送源IP地址[a.a.a.a]作为检索关键字,参照分配管理表201,检索与该发送源IP地址[a.a.a.a]对应的虚拟防火墙ID202,将该分组221分配给虚拟防火墙202。另外,对于从连接对方终端213发送的分组222,将其目的地IP地址b.b.b.b作为检索关键字,参照分配管理表201,检索与该目的地IP地址b.b.b.b对应的虚拟防火墙ID203,将该分组222分配给虚拟防火墙203。虚拟防火墙202、203中分别记载着与用户#a、#b确定的安全策略相符的过滤规则,根据该规则,进行分组221和222的通过或丢弃处理。这样,可以过滤掉来自恶意接入者的对服务器211的攻击分组。该以往技术主要应用于数据中心等,这里,由于使用固定的用户ID,所以,可以事先将用户ID登录到分配管理表201中。另外,作为与上述以往技术相关的现有技术文献,有「デ一タセンタにおけるセキュアなコンデンツ·フイルタリンゲ方式の検討」(電子情報通信学会ソサィエティ大会(2002)B-6-382002.8.20发行)。另外,作为设定每个用户的安全通信的另一个以往技术,有「セキュリティ通信方法、通信システム及びその装置」(特開2001-298449号公報)。但是,本以往技术主要假定IPSec通信,因此,所定义的每个用户的安全通信只不过是根据用户的要求来确定用于通信的验证算法和加密算法的强度,与过滤来自恶意接入者的攻击分组的功能不同。在用户利用的常时连接服务中,在建立用户终端和网络的连接时,第一次赋予用户ID(用户IP地址)。具体来讲,在确立PPP(PointtoPointProtocol点对点协议)会话时第一次赋予。另外,用户IP地址一般是可变的。因此,即使想将上述以往技术的虚拟防火墙用于常时连接服务,由于不能事先将用户IP地址登录到分配管理表中,所以很难将以往技术的虚拟防火墙用于常时连接服务。另外,由于常时连接服务的情况与应用于数据中心等的情况相比收容用户数多得多,所以需要基于NW的防火墙装置增大同时收容的用户数。另外,不同于防火墙的配置场所这样的观点,从安全策略的保持方法的观点对防火墙进行分类时,可以分成以下两种。一种是将安全策略保持在防火墙内部的方式,通常的防火墙都使用该方法。另一种如图5、图6、图7所示,是将安全策略15保持在防火墙10的外部,将该安全策略发布给多个防火墙10的方式。之前示出的任意一种防火墙(基于终端的防火墙、基于CPE的防火墙、基于NW的防火墙),其中大部分都是将安全策略保持在防火墙内部。但是,关于使用分配安全策略的方法的防火墙,特表2002-544607号公报示出了在基于终端的防火墙中的应用,另外,文献(「DistributedFirewalls」(1999年11月,Speciallssue0nSecurity,ISSN1044-63971))示出了在基于CPE的防火墙中的应用。另外,即使在基于NW的防火墙中,在静态地连接所收容的网络或终端的情况下,进行与基于CPE的防火墙同样的考虑。但是,在利用基于NW的防火墙动态地连接、切断所收容的网络或终端、或者变更进行收容的基于NW的防火墙的情况下,因为必须与网络或终端的连接、切断无关地保持与防火墙有可能收容的网络或终端相关的全部安全策略,因此在防火墙内部保持安全策略的方法是没有用的。因此,在这种环境下,需要一种基于NW的防火墙装置,其具有根据网络或终端的连接或切断,对要保持的安全策略容量进行最佳保持的单元。另外,由于基于NW的防火墙上连接有多个网络或终端,所以在上述具有根据网络或终端的连接来加载安全策略的单元的基于NW的防火墙中,有时候加载多个安全策略,在该情况下,基于NW的防火墙的CPU的加载用处理变大,不能进行过滤和转送用的处理,对过滤和转送性能产生影响。另外,即使在发布安全策略的装置中,在发布量超过了装置性能的情况下,也不能发布安全策略。另外,即使在用于发布安全策略的线路中,在发布量超过线路容量的情况下,也会产生安全策略的丢失或延迟。因此,需要具有能抑制所要发布的安全策略量的单元的基于NW的防火墙装置。
发明内容本发明的第一目的是提供一种即使对于不能事先进行用户ID和虚拟防火墙ID的对应的通信方式,也能提供服务的防火墙装置。另外,本发明的第二目的是提供一种可以增大同时收容的用户多重数的防火墙装置。进而,本发明的第三目的是提供一种可以根据所收容的网络或终端的连接或切断来保持或丢弃所需的安全策略,并且可以减轻要加载的安全策略量的防火墙装置。通过一种防火墙装置而实现了上述第一目的,该防火墙装置具有多个虚拟防火墙,各虚拟防火墙具有各自独立的过滤策略,该防火墙装置具有管理用户名和虚拟防火墙ID的分配管理表;当接收到来自用户终端的用于网络连接的验证信息时,保持该信息中所记载的用户名的单元;将验证信息通知给验证服务器的单元;以及当从上述验证服务器接收到验证响应时,保持该响应中记载的应当赋予上述用户终端的用户ID的单元,其中上述用户ID与上述用户名相对应地登录在上述分配管理表中。根据本发明,即使对于不能事先进行用户ID和虚拟防火墙ID的对应的通信方式,也能利用来自用户终端的用于连接网络的验证信息,动态地将用户ID和虚拟防火墙ID对应起来。并且,对于该用户ID的用户终端所发送或接收的分组,可以根据与该用户终端对应的安全策略来使用过滤规则。通过一种防火墙装置实现了上述第二目的,该防火墙装置具有对用户名、用户ID、过滤ID进行对应管理的分配管理表;由上述过滤ID指定的、具有各自独立的过滤策略的过滤表;在网络连接开始时,接收由用户终端发行的记载有用户名的验证信息,并保持该用户名的单元;将上述验证信息通知给验证服务器的单元;以及从上述验证服务器接收验证响应,并保持该验证响应中记载的应当赋予上述用户终端的用户ID的单元,其中,上述用户ID与上述用户名对应地登录在上述分配管理表中。根据本发明,由于导入过滤ID,并且利用过滤ID来识别每个用户的过滤策略,所以,例如可以在各虚拟防火墙中管理多个独立的过滤策略,可以提高用户多重数。另外,由于每个用户的分组的检索范围只限于与所赋予的过滤ID的值一致的表,所以可以抑制检索处理时间,使其不会变得过长。另外,在本发明中,将上述过滤ID进一步分成专用过滤ID和共用过滤ID,可以把各用户专用的过滤策略记载在专用过滤表中,把可以多个用户共用的过滤策略记载在共用过滤表中。这样,例如,在10个用户利用2个相同的过滤规则的情况下,如果使用以往技术,则过滤表共要记载20个规则,与此相对,根据本发明,过滤表只要记载2个规则即可,因此,可以高效地进行过滤策略的管理。通过一种防火墙装置实现了上述第三目的,该防火墙装置设置在多个用户终端和网络之间,对多个用户终端进行分组过滤,具有保持每个用户的安全策略的专用过滤表;保持多个用户共用的安全策略的共用过滤表;对用户终端信息、共用过滤表ID、专用过滤表ID进行管理的分配管理表;与判断用户终端能否连接的验证服务器进行通信的通信单元;与管理和用户相关联的共用过滤表ID及专用过滤表ID的标识符管理服务器进行通信的通信单元;以及与管理上述专用过滤表中写入的用户固有的安全策略和用户之间的关系的安全策略管理服务器进行通信的通信单元,上述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从上述验证服务器接收到的验证响应中的用户终端信息,将上述用户名通知给上述标识符管理服务器和上述安全策略服务器,将从上述标识符管理服务器接收到的共用过滤表ID和专用过滤表ID与用户终端信息对应地记载到上述分配管理表中,将从上述安全策略服务器接收到的策略信息和上述专用过滤表ID写入到上述专用过滤表中。根据本发明,可以按照网络或终端的连接开始来加载所需的安全策略。另外,在网络连接开始时,将表示写入安全策略的区域的标识符和通过验证而开始连接的网络或终端上所赋予的用户终端信息关联起来,在连接切断时,根据要切断的网络或终端的用户终端信息,检查标识符,丢弃标识符所表示的区域的安全策略,因此,可以按照网络或终端的连接切断来丢弃安全策略。另外,本发明的防火墙装置将安全策略分为专用安全策略和共用安全策略,共用安全策略固定地保持在防火墙装置中,由于可以在网络或终端的连接开始时只加载专用过滤策略,因此可以减轻要加载的安全策略量。另外,本发明的防火墙装置将发布安全策略的装置和调查上述标识符的装置与所有的防火墙装置连接起来,可以进行上述安全策略的加载,因此,即使变更收容网络或终端的防火墙装置来开始网络连接或者切断,防火墙装置也能适当地加载安全策略。图1是表示以往的防火墙装置的一例的方框图。图2是表示以往的防火墙装置的另一例的方框图。图3是表示以往的防火墙装置的再一例的方框图。图4是表示以往技术中的虚拟防火墙构筑法的图。图5是表示以往的在外部保持安全策略的防火墙装置的一例的方框图。图6是表示以往的在外部保持安全策略的防火墙装置的另一例的方框图。图7是表示以往的在外部保持安全策略的防火墙装置的再一例的方框图。图8是表示本发明的实施例1-1中的防火墙装置的结构的图。图9是表示实施例1-1中的防火墙装置的动作的顺序图。图10是表示实施例1-2中的防火墙装置的动作的顺序图。图11是表示实施例1-3中的分配管理表的例子的图。图12是表示实施例1-3中的防火墙装置的动作的顺序图。图13是表示实施例1-4中的分配管理表的例子的图。图14是表示实施例1-4中的防火墙装置的动作的顺序图。图15是表示实施例1-5中的防火墙装置的动作的顺序图。图16是表示实施例1-5中的分配管理表的例子的图。图17是表示本发明的实施例2-1的防火墙装置的概略结构的方框图。图18是表示实施例2-1的防火墙装置的虚拟防火墙内的过滤表的结构的图。图19是表示实施例2-1的防火墙装置的动作的顺序图。图20是表示本发明的实施例2-2的防火墙装置的概略结构的方框图。图21是表示实施例2-2的防火墙装置的动作的顺序图。图22是表示实施例2-3的分配管理表的初始状态的图。图23是表示实施例2-3的分配管理表的登录了IP地址的状态的图。图24是表示实施例2-3的防火墙装置的虚拟防火墙内的过滤表的结构的图。图25是表示实施例2-4的防火墙装置的动作的顺序图。图26是表示实施例2-5的分配管理表的内容的图。图27是表示实施例2-5的防火墙装置的动作的顺序图。图28是表示实施例2-6的分配管理表的内容的图。图29是表示实施例2-6的防火墙装置的动作的顺序图。图30是表示实施例2-7的分配管理表的内容的图。图31是表示实施例2-7的防火墙装置的动作的顺序图。图32是表示过滤表的内容的图。图33是表示专用过滤表的内容的图。图34是表示本发明的实施例3-1的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图35是表示图34所示的验证服务器内的验证信息的详细情况的图。图36是表示图34所示的验证服务器内的用户终端信息部中所保持的储备表(pooltable)的详细情况的图。图37是表示图34所示的标识符管理服务器内的标识符管理表的详细情况的图。图38是表示图34所示的安全策略服务器内的安全策略表的详细情况的图。图39是表示图34所示的防火墙装置内的初始状态的分配管理表的详细情况的图。图40是表示图34的网络模型的动作的顺序的一例的图。图41是表示图34的网络模型的动作的顺序的一例的图。图42是表示实施例3-2的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图43是表示图42的网络模型的动作的顺序的一例的图。图44是表示实施例3-3的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图45是表示图44的网络模型的动作的顺序的一例的图。图46是表示实施例3-4的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图47是表示图46的网络模型的动作的顺序的一例的图。图48是表示实施例3-5的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图49是表示图48的网络模型的动作的顺序的一例的图。图50是表示实施例3-6的防火墙装置的概略结构和使用该防火墙装置的网络模型的方框图。图51是表示图50所示的验证服务器1内的验证信息的详细情况的图。图52是表示图50所示的验证服务器1内的用户终端信息部内所保持的储备表的详细情况的图。图53是表示图50所示的验证服务器2内的验证信息的详细情况的图。图54是表示图50所示的验证服务器2内的用户终端信息部内所保持的储备表的详细情况的图。图55是表示图50所示的用户(2015-1)通过用户终端(2002-1)发送给防火墙装置的用户名的图。图56是表示图50所示的用户(2015-2)通过用户终端(2002-2)发送给防火墙装置的用户名的图。图57是表示图50所示的标识符管理服务器内的标识符管理表的详细情况的图。图58是表示图50所示的安全策略服务器内的安全策略表的详细情况的图。图59是表示图50的网络模型的动作的顺序的一例的图。图60是表示图50的网络模型的动作的顺序的一例的图。图61是表示计算机系统的结构例的图。具体实施例方式以下,参照附图对本发明的各实施例进行说明。(实施例1-1~实施例1-5)[实施例1-1]首先,使用图8和图9对本发明的实施例1-1进行说明。在本例中,假设用户与网络的连接方式是PPP,验证用通信是RADIUS。防火墙装置100针对每个用户具有虚拟防火墙。例如,在防火墙装置100内存在使用用户#a的安全策略来保护用户#a的终端111的虚拟防火墙102;使用用户#b的安全策略来保护用户#b的终端112的虚拟防火墙103。另外,分配管理表101中登录有可事先设定的用户名和虚拟防火墙ID。即,分配管理表101中登录有用户名#a和虚拟防火墙ID102、用户名#b和虚拟防火墙ID103的对应关系。但是,由于各用户终端的作为用户ID的用户IP地址未确定,所以,此时不能登录(分配管理表101-1的状态)。在本例中,假设用户#a的终端111与互联网110进行网络连接,然后,与连接对方终端113进行IP通信。首先,作为来自用户终端111的网络连接请求,在用户终端111和防火墙装置100之间交换LCP(LinkControlProtocol链路控制协议)信息(139)。通过之后进行的验证信息的交换140,防火墙装置100抽出从用户终端111发送来的用户名#a,保持用户名#a(处理点150)。然后,将验证信息(用户名和密码)通知给RADIUS服务器130(141)。当被RADIUS服务器130验证,且接收到其响应142时,防火墙装置100保持应当赋予该响应142中记载的用户终端的用户IP地址。假设该用户IP地址为[a.a.a.a]。然后,以用户名#a为检索关键字,将该用户IP地址[a.a.a.a]登录到分配管理表101中记载了用户名#a的行上(处理点151。分配管理表101-2的状态)。另外,与此同时,防火墙装置100在用户终端111和防火墙装置100之间交换NCP(NetworkControlProtocol网络控制协议)信息(143)时,将用户IP地址[a.a.a.a]发送给用户终端111,用户终端111识别出自己的IP地址是[a.a.a.a]。NCP结束后,在用户终端和网络之间建立PPP连接。然后,当防火墙装置100接收到从用户终端111向连接对方终端113发送的分组121时,将作为其发送源IP地址而记载的[a.a.a.a]作为检索关键字,参照分配管理表101,抽出在[a.a.a.a]的行中记载的虚拟防火墙ID=102,将该分组121分配给虚拟防火墙102(处理点152)。这样,可以根据与用户#a规定的安全策略对应的过滤规则,对分组121执行通过或丢弃处理。另外,当防火墙装置100接收到从通信对方终端113向用户终端111发送的分组122时,将作为其目的地IP地址而记载的[a.a.a.a]作为检索关键字,参照分配管理表101,抽出在[a.a.a.a]的行中记载的虚拟防火墙ID=102,将该分组122分配给虚拟防火墙102(处理点153)。这样,可以根据与用户#a规定的安全策略对应的过滤规则,对分组122执行通过或丢弃处理。在用户#b的终端112与互联网110进行网络连接,然后与连接对方终端113进行IP通信的情况下,也可以通过相同的步骤,将终端112收发的分组分配给虚拟防火墙103,并且可以根据与用户#b规定的安全策略对应的过滤规则,执行通过或丢弃处理。使用图10对本发明的实施例1-2进行说明。本例示出了如下的情况在实施例1-1中,因从用户#a发送的用户名或密码存在错误等原因,使通过用户名和密码的通知141发送的用户名和密码的组合与登录在RADIUS服务器130中的用户名和密码的组合不一致。另外,由于从LCP139发出用户名和密码的通知141的处理与实施例1-1相同,所以,省略说明。根据上述理由,当从RADIUS服务器130发出了验证错误通知642时,防火墙装置100将验证错误通知643发送给用户终端111,结束PPP的建立处理。此时,防火墙装置100不对分配管理表101进行任何处理。使用图8、图11和图12对本发明的第3实施例进行说明。本例示出了如下的方式在实施例1-1中,未登录防火墙服务的用户#c的终端114与互联网110进行网络连接,然后,与连接对方终端113进行IP通信。另外,未登录防火墙服务的用户#c没有将用户名和虚拟防火墙登录在分配管理表101-3中,但是,可以通过终端114享受到互联网110的通信服务,将用户名和密码登录到RADIUS服务器130中。在图12中,用户IP地址的通知142之前的动作与实施例1-1相同,省略说明。当接收到用户IP地址的通知142时,防火墙装置100保持应当赋予用户IP地址通知142中记载的用户终端的用户IP地址[c.c.c.c]。然后,将用户名作为检索关键字,对分配管理表101-3进行用户名#c的检索,但是,由于不存在用户名#c,所以不将用户IP地址[c.c.c.c]登录到分配管理表101-3中。另外,与此同时,防火墙装置100在用户终端114和防火墙装置100之间交换NCP信息(143)时,将用户IP地址[c.c.c.c]发送给用户终端114,用户终端114识别出自己的IP地址是[c.c.c.c]。NCP结束后,在用户终端和网络之间建立PPP连接。然后,当防火墙装置100接收到从用户终端114向连接对方终端113发送的分组121时,将作为其发送源IP地址而记载的[c.c.c.c]作为检索关键字,参照分配管理表101,其结果可以判明没有登录该发送源IP地址。在没有登录该发送源IP地址的情况下,如位于图11所示的分配管理表101-3的最下行那样,将应当分配的虚拟防火墙记载成虚拟防火墙104,所以将该分组121分配给未登录用户用的虚拟防火墙104(处理点152)。同样,对于从通信对方终端113发送的分组122,也将其目的地用户IP地址[c.c.c.c]作为检索关键字,参照分配管理表101,结果当判明没有登录该目的地IP地址时,将该分组122分配给未登录用户用的虚拟防火墙104(处理点153)。另外,未登录用户用的虚拟防火墙104没有记载过滤规则,所有的分组可以无条件地通过,或者记载着未登录用户全体共用的过滤规则。使用图8、图13和图14对本发明的第4实施例进行说明。本例示出了如下的方式作为与实施例1-3相同的条件,未登录防火墙服务的用户#c的终端114与互联网110进行网络连接,然后,与连接对方终端113进行IP通信。另外,未登录防火墙服务的用户#c没有在分配管理表101-4中登录用户名和虚拟防火墙,但是,可以通过终端114享受到互联网110的通信服务,将用户名和密码登录到RADIUS服务器130中。在图14中,用户IP地址的通知142之前的动作与实施例1-1相同,省略说明。当接收到用户IP地址的通知142时,防火墙装置100保持应当赋予用户IP地址通知142中记载的用户终端的用户IP地址[c.c.c.c]。并且,把用户名作为检索关键字,对分配管理表101-4进行用户名#c的检索,但是,不存在用户名#c。在不存在用户名的情况下,如图13所示,将用户IP地址[c.c.c.c]和未登录用户用的虚拟防火墙104的ID=104登录到分配管理表101-4中。另外,与此同时,防火墙装置100在用户终端114和防火墙装置100之间交换NCP信息(143)时,将用户IP地址[c.c.c.c]发送给用户终端114,用户终端114识别出自己的IP地址是[c.c.c.c]。NCP结束后,在用户终端和网络之间建立PPP连接。然后,当防火墙装置100接收到从用户终端114向连接对方终端113发送的分组121时,将作为其发送源IP地址而记载的[c.c.c.c]作为检索关键字,参照分配管理表101,检索与该发送源IP地址对应的虚拟防火墙ID=104,将该分组121分配给未登录用户用的虚拟防火墙104(处理点152)。同样,对于从通信对方终端113发送的分组122,也将其目的地用户IP地址[c.c.c.c]作为检索关键字,参照分配管理表101-4,检索与该发送源IP地址对应的虚拟防火墙ID=104,将该分组122分配给未登录用户用的虚拟防火墙104(处理点153)。另外,未登录用户用的虚拟防火墙104与实施例1-3同样,没有记载过滤规则,所有的分组可以无条件地通过,或者记载着未登录用户全体共用的过滤规则。另外,在没有登录该发送源IP地址的情况下,如位于图13所示的分配管理表101-4的最下行那样,丢弃分组。这样,在某恶意用户通过IPSpoofing攻击等大量发送具有未被赋予给任何用户的IP地址的分组的情况下,可以通过防火墙装置100丢弃这些分组。使用图8、图15和图16对本发明的实施例1-5进行说明。本例示出了如下的方式在实施例1-1中,未登录防火墙服务的用户#d的终端115与互联网110进行网络连接,然后,与连接对方终端113进行IP通信。另外,用户#d本来是应当登录防火墙服务的用户,但是,在本例中,因防火墙装置100的管理者忘了将其登录到分配管理表101-5中或者进行了错误登录等原因,变成了用户名#d没有正确地登录到分配管理表101-5中的状态。另外,用户名#d和密码正确地登录到了RADIUS服务器130中。在图15中,用户IP地址通知142之前的动作与实施例1-1相同,省略说明。当接收到用户IP地址的通知142时,防火墙装置100保持应当赋予用户IP地址通知142中记载的用户终端的用户IP地址[d.d.d.d]。然后,将用户名作为检索关键字,对分配管理表101-5进行用户名#d的检索,但是,不存在用户名#d。在不存在用户名的情况下,防火墙装置100向用户终端115发出验证错误通知943,结束PPP的建立处理。(实施例1-1~1-5的效果)实施例1-1的防火墙装置具有如下的手段对于象常时连接服务那样,在建立用户终端和网络之间的连接时第一次赋予IP地址,并且用户IP地址的值可变的情况,动态地将用户IP地址登录到分配管理表中。另外,本发明的动态用户标识符对应防火墙装置针对每个用户具有虚拟防火墙。这样,对于不能事先进行用户ID和虚拟防火墙ID的对应的通信方式,可以利用来自用户终端的网络连接用的验证信息,动态地将用户IP地址和虚拟防火墙ID对应起来,对于该用户终端发送或接收的分组,可以使用与该用户规定的安全策略对应的过滤规则。另外,可以实现因收容用户的集约而获得的经济化、并通过外部采办而减轻用户的工作。另外,实施例1-2的防火墙装置在从用户发送的用户名或密码存在错误,且从RADIUS服务器发出了验证错误通知的情况下,不对分配管理表进行任何处理,向用户终端发出验证错误通知。这样,排除了网络连接被拒绝时的分配管理表的检索和登录处理,可以将其剩余的处理能力集中到其它的处理上。另外,实施例1-3和实施例1-4的防火墙装置也可以收容不享受防火墙服务的用户的用户终端,可以排除不享受本防火墙服务的各用户在每次享受服务时产生的物理连接的收容更替的麻烦。另外,在实施例1-3所示的手段的情况下,由于不将未登录用户登录到分配管理表中,而是自动地将未登录用户的收发分组分配给未登录用户用的虚拟防火墙,所以,分配管理表中登录的件数只限于当前建立了网络连接的登录用户,为检索时间的缩短做出了贡献。另一方面,在实施例1-4所示的手段的情况下,将未登录用户登录在分配管理表中,将未登录用户的收发分组自动地分配给未登录用户用的虚拟防火墙,另外,在分配管理表中没有登录的情况下,由于丢弃分组,所以在某恶意用户通过IPSpoofing攻击等大量发送具有未赋予任何用户的IP地址的分组的情况下,可以利用防火墙装置丢弃这些分组。这样,实施例1-3和实施例1-4的各手段可以根据用途分开使用。实施例1-5的防火墙装置可以在防火墙装置的管理者忘记了将用户名和虚拟防火墙登录到分配管理表中或者进行了错误登录的情况下,出于安全的观点,强制结束已经不成立的通信。(实施例2-1~实施例2-7)接下来,对实施例2-1~实施例2-7进行说明。根据实施例1-1的动作,对于不能事先进行用户IP地址和虚拟防火墙ID的对应的通信方式,可以利用来自用户终端的网络连接用的验证信息,动态地将用户IP地址和虚拟防火墙ID对应起来,对于该用户终端发送或接收的分组,可以使用与该用户规定的安全策略对应的过滤规则。但是,常时连接服务的情况与数据中心等中使用的情况相比收容用户数明显地多。作为假定的规模,与数据中心时的收容用户数为几百~几千相对,常时连接服务时的收容用户数为几万~几十万。当前,大多数装置化且作为服务导入的可靠度高的虚拟防火墙装置是面向数据中心而开发的,实际上收容的用户数如上所述,为几百~几千。在开发收容用户数的规模不同的、面向常时连接服务的虚拟防火墙装置时,从开发的效率和利用已有技术的观点来看,以上述面向数据中心的虚拟防火墙装置为基础进行沿用开发或追加开发的方法非常有效。因此,提供面向常时连接服务的虚拟防火墙装置的课题在于提高用户多重数。另外,由于在常时连接服务中用户多重数多,所以在确保对每个用户提供独立的安全策略的服务性的情况下,过滤规则的总数也与用户多重数成比例地增加。但是,实际上,由于各用户的过滤规则中具有很多用户共用的规则,所以,从防火墙装置整体的观点看,规则的重复是没有效率的。其结果是导致过滤表量的增大。如上所述,要想开发面向常时连接服务的虚拟防火墙装置,提高用户多重数和过滤表的效率成为课题。在实施例2-1~实施例2-7中,对提高用户多重数、并且实现过滤表的效率化的防火墙装置进行说明。图17是表示本发明的实施例2-1的防火墙装置的概略结构的方框图,图18是表示本实施例的虚拟防火墙内的过滤表的结构的图。另外,在本实施例中,假设用户的网络连接方式是PPP(PointtoPointProtocol),验证用通信是RADIUS。防火墙装置300具有多个虚拟防火墙(302,303,…,304)。另外,如图18所示,在各虚拟防火墙(302,303)中分别存在由过滤ID指定的多个过滤表(561,562,563),各过滤表(561,562,563)中记载着各用户独立的一个或一个以上的过滤策略。在本实施例中,将用户#a和用户#b确定的安全策略保存在虚拟防火墙302中,将用户#d确定的安全策略保存在虚拟防火墙303中。另外,在虚拟防火墙302中,用户#a将安全策略记载在过滤ID为α的过滤表561中,用户#b将安全策略记载在过滤ID为β的过滤表562中,在虚拟防火墙303中,用户#d将安全策略记载在过滤ID为γ的过滤表563中。这里,将用户#a和用户#b收容在相同的虚拟防火墙302中的原因例如可以列举出如下的情况用户#a和用户#b应当共用的过滤策略是相同的;针对每个互联网提供商来构筑虚拟防火墙,而用户#a和用户#b属于相同的互联网提供商。分配管理表301中登录有可事先设定的用户名、虚拟防火墙ID和过滤ID。即,分配管理表301中登录有用户名#a、虚拟防火墙ID(302)和过滤ID(α)的对应关系;用户名#b、虚拟防火墙ID(302)和过滤ID(β)的对应关系;用户名#d、虚拟防火墙ID(303)和过滤ID(γ)的对应关系。但是,由于各用户终端的作为用户ID的用户IP地址未确定,所以此时不能登录(图19所示的分配管理表301-1的状态)。只要用户IP地址没有登录到分配管理表301中,就不能将来自各用户的分组分配给各个虚拟防火墙,也不能赋予过滤ID。在本实施例中,假设用户#a的终端311与互联网310进行网络连接,然后与连接对方终端313进行IP通信。以下,使用图19,对本实施例的防火墙装置的动作进行说明。图19是表示本实施例的防火墙装置的动作的顺序图。首先,作为来自用户终端311的网络连接请求,在用户终端311和防火墙装置300之间交换LCP(LinkControlProtocol,链路控制协议)信息(图19的839)。通过之后进行的验证信息的交换(图19的840),防火墙装置300抽出从用户终端311发送来的用户名#a,并保持用户名#a(图19的处理点850)。然后,将验证信息(用户名和密码)通知给RADIU服务器S330(图19的841)。当被RADIUS服务器330验证,且接收到其响应时(图19的842),防火墙装置300保持应当赋予该响应中记载的用户终端的用户IP地址。假设该用户IP地址为[a.a.a.a]。然后,以用户名#a为检索关键字,将该用户IP地址[a.a.a.a]登录到分配管理表301中的用户名记载为#a的行中(图19的处理点851,图19的分配管理表301-2的状态)。另外,与此同时,防火墙装置300在用户终端311和防火墙装置300之间交换NCP(NetworkControlProtocol,网络控制协议)信息(843)时,将用户IP地址[a.a.a.a]发送给用户终端311,用户终端311识别出自己的IP地址是[a.a.a.a]。NCP结束后,在用户终端311和互联网310之间建立了PPP连接。然后,当防火墙装置300接收到从用户终端311向连接对方终端313发送的分组321时,将作为其发送源IP地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表(图19的301-2),抽出在[a.a.a.a]的行中记载的虚拟防火墙ID(ID=302)、过滤ID(ID=α),将该分组321分配给虚拟防火墙302,并且,将α的过滤ID赋予该分组321(图19的处理点852)。如图18所示,在所分配的虚拟防火墙302内,根据与过滤ID为α的过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了过滤ID的分组322执行通过或丢弃处理。另外,当防火墙装置300接收到从通信对方终端313向用户终端311发送的分组323时,将作为其目的地地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表(图19的301-2),抽出在[a.a.a.a]的行中记载的虚拟防火墙ID(ID=302)、过滤ID(ID=α),将该分组323分配给虚拟防火墙302,并且,将α的过滤ID赋予该分组323(图19的处理点853)。在所分配的虚拟防火墙302内,根据与过滤ID为α的过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了过滤ID的分组324执行通过或丢弃处理。在用户#b的终端312与互联网310进行网络连接,然后与连接对方终端313进行IP通信的情况下,也通过同样的步骤,将终端312收发的分组分配给虚拟防火墙302,然后,根据与过滤表562中记载的用户#b的安全策略相对应的过滤规则,执行通过或丢弃处理。如以上说明那样,在本实施方式中,通过导入过滤ID(α,β,γ),可以在各虚拟防火墙(302、303、304)中管理多个独立的过滤策略,可以提高用户多重数。另外,由于每个用户的分组的检索范围只限于与所赋予的过滤ID的值一致的表,所以可以抑制检索处理时间,使其不会变得过长。本发明的实施例2-2的防火墙装置在不具有虚拟防火墙这一点上,与上述实施例2-1的防火墙装置不同。以下,以与上述实施例2-1的防火墙装置的不同点为中心,对本实施例的防火墙装置进行说明。另外,在实施例中,也假设用户的网络连接方式是PPP,验证用通信是RADIUS。图20是表示本发明的实施例2-2的防火墙装置的概略结构的方框图。如图20所示,本实施例的防火墙装置300具有过滤ID所指定的多个过滤表(561,562),各过滤表中记载着各用户独立的过滤策略。在本实施例中,用户#a将安全策略记载在过滤ID为α的过滤表561中,用户#b将安全策略记载在过滤ID为β的过滤表562中。分配管理表301中登录有可事先设定的用户名和过滤ID。即,分配管理表301中登录有用户名#a和过滤IDα的对应关系;用户名#b和过滤IDβ的对应关系。但是,由于各用户终端的作为用户ID的用户IP地址未确定,所以此时不能登录(图21所示的分配管理表301-1的状态)。只要用户IP地址没有登录到分配管理表301中,就不能对来自各用户的分组赋予过滤ID。在本实施例中,假设用户#a的终端311与互联网310进行网络连接,然后与连接对方终端313进行IP通信。以下,使用图21,对本实施例的防火墙装置的动作进行说明。图21是表示本实施例的防火墙装置的动作的顺序图。从在用户终端311和防火墙装置300之间交换LCP信息(图21的839)到在用户终端311和防火墙装置300之间交换NCP信息(图21的843)为止的动作与实施例2-1相同,所以省略再次说明。NCP结束后,在用户终端311和互联网310之间建立了PPP连接。然后,当防火墙装置300接收到从用户终端311向连接对方终端313发送的分组321时,将作为其发送源IP地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表(图21的301-2),抽出在[a.a.a.a]的行中记载的过滤ID(ID=α),将α的过滤ID赋予该分组321(图21的处理点852)。根据与过滤ID为α的过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了过滤ID的分组322执行通过或丢弃处理。另外,当防火墙装置300接收到从通信对方终端313向用户终端311发送的分组323时,将作为其目的地IP地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表(图21的301-2),抽出在[a.a.a.a]的行中记载的过滤ID(ID=α),将α的过滤ID赋予该分组323(图21的处理点853)。根据与过滤ID为α的过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了过滤ID的分组324执行通过或丢弃处理。在用户#b的终端312与互联网310进行网络连接,然后与连接对方终端313进行IP通信的情况下,也通过同样的步骤,根据与过滤表562中记载的用户#b的安全策略相对应的过滤规则,对终端312收发的分组执行通过或丢弃处理。本发明的实施例2-3的防火墙装置在将过滤ID分成专用过滤ID和共用过滤ID这一点上,与上述实施例2-1的防火墙装置不同。以下,以与上述实施例2-1的防火墙装置的不同点为中心对本实施例的防火墙装置进行说明。另外,本实施例2-3的防火墙装置的概略结构与图17相同。另外,在本例中,也假设用户的网络连接方式是PPP,验证用通信是RADIUS。在本实施例的防火墙装置中,将上述实施例2-1的过滤ID进一步分成专用过滤ID和共用过滤ID,各用户专用的过滤策略记载在专用过滤表中,多个用户可以共用的过滤策略记载在共用过滤表中。因此,在本实施例中,将图17所示的分配管理表301和图19所示的分配管理表(301-1)置换成图22所示的分配管理表601,将图19所示的分配管理表(301-2)置换成图23的分配管理表1101。图24是表示本实施例的防火墙装置的虚拟防火墙内的过滤表的结构的图。本实施方式的防火墙装置300具有多个虚拟防火墙(302,303,…,304)。另外,如图24所示,各虚拟防火墙(302,303)中分别存在由专用过滤ID指定的多个过滤表(561,562,563),以及由共用过滤ID指定的多个过滤表(571,572)。各用户专用的过滤策略记载在专用过滤表(561,562,563)中,多个用户可共用的过滤策略记载在共用过滤表(571,572)中。另外,随之如图22所示,分配管理表601对用户名、虚拟防火墙ID、专用过滤ID、以及共用过滤ID进行管理。在本实施例中,将用户#a和用户#b确定的安全策略保存在虚拟防火墙302中,将用户#d确定的安全策略保存在虚拟防火墙303中,另外,在虚拟防火墙302中,用户#a的专用过滤策略被记载在过滤ID为α的过滤表561中,用户#b的专用过滤策略被记载在过滤ID为β的过滤表562中,在虚拟防火墙303中,用户#d的专用过滤策略被记载在过滤ID为γ的过滤表563中。另外,用户#a和用户#b也使用过滤ID为I的共用过滤表571中记载的过滤策略。同样,用户#d也使用过滤ID为II的共用过滤表572中记载的过滤策略。分配管理表601中登录有可事先设定的用户名、虚拟防火墙ID、专用过滤ID和共用过滤ID。即,分配管理表601中登录有用户名#a、虚拟防火墙ID(302)、专用过滤ID(α)和共用过滤ID(I)的对应关系;用户名#b、虚拟防火墙ID(302)、专用过滤ID(β)和共用过滤ID(I)的对应关系;用户名#d、虚拟防火墙ID(303)、专用过滤ID(γ)和共用过滤ID(II)的对应关系。但是,由于各用户终端的作为用户ID的用户IP地址未确定,所以此时不能登录(图22所示的分配管理表601的状态)。只要用户IP地址没有登录到分配管理表601中,就不能将来自各用户的分组分配给各个虚拟防火墙,也不能赋予专用过滤ID和共用过滤ID。在本实施例中,假设用户#a的终端311与互联网310进行网络连接,然后与连接对方终端313进行IP通信。以下,使用图19,对本实施例的防火墙装置的动作进行说明。从在用户终端311和防火墙装置300之间交换LCP信息到在用户终端311和防火墙装置300之间交换NCP信息为止的动作与实施例2-1相同,所以省略再次说明。NCP结束后,在用户终端311和互联网310之间建立了PPP连接。然后,如图17所示,当防火墙装置300接收到从用户终端311向连接对方终端313发送的分组321时,将作为其发送源IP地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表1101,抽出在[a.a.a.a]的行中记载的虚拟防火墙ID(ID=302)、专用过滤ID(ID=α)和共用过滤ID(ID=I),将该分组321分配给虚拟防火墙302,并且赋予α的专用过滤ID和I的共用过滤ID(图19的处理点852)。如图24所示,在虚拟防火墙302内,根据与专用过滤ID为α的专用过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了专用过滤ID和共用过滤ID的分组322执行通过或丢弃处理。如果专用过滤表561中记载的过滤策略中不存在要使用的规则,则接下来根据共用过滤ID为I的共用过滤表571中记载的安全策略,对分组322执行通过或丢弃处理。另外,当防火墙装置300接收到从通信对方终端313向用户终端311发送的分组323时,将作为其目的地地址而记载的[a.a.a.a]作为检索关键字,检索分配管理表1101,抽出在[a.a.a.a]的行中记载的虚拟防火墙ID(ID=302)、专用过滤ID(ID=α)和共用过滤ID(ID=I),将该分组323分配给虚拟防火墙302,并且赋予α的专用过滤ID和I的共用过滤ID(图19的处理点853)。根据与专用过滤ID为α的专用过滤表561中记载的用户#a的安全策略相对应的过滤规则,对被赋予了专用过滤ID和共用过滤ID的分组324执行通过或丢弃处理。如果专用过滤表561中记载的过滤策略中不存在要使用的规则,则接下来根据共用过滤ID为I的共用过滤表571中记载的安全策略,对分组324执行通过或丢弃处理。如以上说明那样,根据本实施例,例如,在10个用户利用2个相同的过滤规则的情况下,如果使用以往技术,则过滤表共要记载20个规则,与此相对,在本实施例中,过滤表只要记载2个规则即可。即,通过导入共用过滤ID和共用过滤表,可以高效地管理过滤策略。另外,即使在实施例2-2的不使用虚拟防火墙的方式中,也能导入本实施例的专用过滤表、共用过滤表。在该情况下,在实施例2-2中,在分配管理表中设置与本实施例相同的专用过滤ID和共用过滤ID来代替过滤ID,另外,代替过滤表而具有与本实施例相同的专用过滤表和共用过滤表。本实施例的防火墙装置为如下情况的实施方式在上述实施例2-1、2-2的防火墙装置中,由于从用户#a发送来的用户名或密码存在错误等原因,使得通过用户名和密码的通知而发送的用户名或密码的组合与RADIUS服务器330中登录的用户名和密码的组合不一致。使用图25对实施例2-4的防火墙装置的动作进行说明。图25是表示实施例2-4的防火墙装置的动作的顺序图。另外,从LCP(图25的339)到用户名和密码的通知(图25的341)为止的处理与实施例2-1相同,所以省略再次说明。根据前述的理由,当作为针对向RADIUS服务器330通知用户名和密码(图25的341)的响应,从RADIUS服务器330发出了验证错误通知时(图25的1242),防火墙装置300向用户终端311发出验证错误通知(图25的1243),结束PPP的建立处理。此时,防火墙装置300不对分配管理表301进行任何处理。本发明的实施例2-5的防火墙装置为如下情况的实施方式在上述实施例2-1的防火墙装置中,未登录防火墙服务的用户#c的终端314与互联网310进行网络连接,然后与连接对方终端313进行IP通信。本实施例2-5的防火墙装置的概略结构与图17相同,图26是表示本实施例的分配管理表的内容的图。另外,虽然未登录防火墙服务的用户#c没有在分配管理表(301-3)中登录用户名和虚拟防火墙,但是可以通过终端314享受到互联网110的通信服务,在RADIUS服务器130中登录了用户名和密码。以下,使用图27对本实施例的防火墙装置的动作进行说明。图27是表示本实施例的防火墙装置的动作的顺序图。在图27中,由于从LCP(图27的339)到用户IP地址通知(图27的342)为止的动作与实施例2-1相同,所以省略再次说明。当接收到用户IP地址通知(图27的342)时,防火墙装置300保持应当赋予用户IP地址通知中记载的用户终端的用户IP地址[c.c.c.c]。然后,将用户名作为检索关键字,对分配管理表(301-3)进行用户名#c的检索,但是,由于不存在用户名#c,所以不将用户IP地址[c.c.c.c]登录到分配管理表(301-3)中。另外,与此同时,防火墙装置300在用户终端314和防火墙装置300之间交换NCP信息(图27的343)时,将用户IP地址[c.c.c.c]发送给用户终端314,用户终端314识别出自己的IP地址是[c.c.c.c]。NCP结束后,在用户终端314和网络310之间建立了PPP连接。然后,当防火墙装置300接收到从用户终端314向连接对方终端313发送的分组321时,将作为其发送源IP地址而记载的[c.c.c.c]作为检索关键字,检索分配管理表(301-3),其结果可以判明没有登录该发送源IP地址。在没有登录该发送源IP地址的情况下,如图26所示的分配管理表(301-3)的最下行那样,将所要分配的虚拟防火墙记载成虚拟防火墙304,所以将该分组321分配给未登录用户用的虚拟防火墙304(图27的处理点352)。同样,对于从通信对方终端313发送的分组323,也将其目的地用户IP地址[c.c.c.c]作为检索关键字,检索分配管理表(301-3),结果当判明没有登录该目的地IP地址时,将该分组323分配给未登录用户用的虚拟防火墙304(图27的处理点353)。另外,未登录用户用的虚拟防火墙304没有记载过滤规则,所有的分组可以无条件地通过,或者记载着未登录用户全体共用的过滤规则。另外,本实施例的防火墙装置也可以应用于上述实施例2-2的防火墙装置。在该情况下,来自未登录防火墙服务的用户#c的终端314的分组、以未登录防火墙服务的用户#c的终端314为目的地的分组通过图20所示的迂回路径305。本发明的实施例2-6的防火墙装置为如下方式与上述实施例2-5的防火墙装置同样的条件,未登录防火墙服务的用户#c的终端314与互联网310进行网络连接,然后与连接对方终端313进行IP通信。本实施例的防火墙装置的概略结构与图17相同,图28是表示本实施例的分配管理表的内容的图。另外,虽然未登录防火墙服务的用户#c没有将用户名和虚拟防火墙登录在分配管理表(301-4)中,但是可以通过终端314享受到与互联网110的通信服务,在RADIUS服务器330中登录了用户名和密码。以下,使用图29对本实施例的防火墙装置的动作进行说明。图29是表示本实施例的防火墙装置的动作的顺序图。在图29中,由于从LCP(图29的339)到用户IP地址通知(图29的342)为止的动作与实施例2-1相同,所以省略再次说明。当接收到用户IP地址通知(图29的342)时,防火墙装置300保持应当赋予用户IP地址通知中记载的用户终端的用户IP地址[c.c.c.c]。然后,将用户名作为检索关键字,对分配管理表(301-4)进行用户名#c的检索,但是,不存在用户名#c。在不存在用户名的情况下,如图28所示,将用户IP地址[c.c.c.c]和未登录用户用的虚拟防火墙304的ID(ID=304)登录到分配管理表(301-4)中。另外,与此同时,防火墙装置300在用户终端314和防火墙装置300之间交换NCP信息(图29的343)时,将用户IP地址[c.c.c.c]发送给用户终端314,用户终端314识别出自己的IP地址是[c.c.c.c]。NCP结束后,在用户终端314和互联网310之间建立了PPP连接。然后,当防火墙装置300接收到从用户终端314向连接对方终端313发送的分组321时,将作为其发送源IP地址而记载的[c.c.c.c]作为检索关键字,检索分配管理表(301-4),抽出与该发送源IP地址对应的虚拟防火墙ID(ID=304),将该分组321分配给未登录用户用的虚拟防火墙304(图29的处理点352)。同样,对于从通信对方终端313发送的分组323,也将其目的地IP地址[c.c.c.c]作为检索关键字,检索分配管理表(301-4),抽出与该发送目的地IP地址对应的虚拟防火墙ID(ID=304),将该分组323分配给未登录用户用的虚拟防火墙304(图29的处理点353)。另外,未登录用户用的虚拟防火墙304与上述实施例2-5同样,没有记载过滤规则,所有的分组可以无条件地通过,或者记载着未登录用户全体共用的过滤规则。另外,在没有登录发送源IP地址的情况下,如图28所示的分配管理表3014的最下行那样,丢弃分组。这样,在某恶意用户通过IPSpoofing攻击等大量发送具有未被赋予给任何用户的IP地址的分组的情况下,可以通过防火墙装置300丢弃这些分组。另外,本实施例的防火墙装置也适用于上述实施例2-2的防火墙装置。在该情况下,在分配管理表(301-4)中登录用户IP地址[c.c.c.c]和未登录用户用的过滤ID。并且,来自未登录防火墙服务的用户#c的终端314的分组、以未登录防火墙服务的用户#c的终端314为目的地的分组经过图20所示的迂回路径305。本发明的实施例2-7的防火墙装置表示如下的方式在上述实施例2-1的防火墙装置中,未登录防火墙服务的用户#d的终端315与互联网310进行网络连接,然后与连接对方终端313进行IP通信。本实施例的防火墙装置的概略结构与图17相同,图30是表示本实施例的分配管理表的内容的图。另外,用户#d本来是应当登录防火墙服务的用户,但是,在本例中,因防火墙装置300的管理者忘了将其登录到分配管理表(301-5)中或者进行了错误登录等原因,变成了用户名#d没有正确地登录到分配管理表(301-5)中的状态。另外,用户名#d和密码被正确地登录到RADIUS服务器330中。以下,使用图31对本实施例的防火墙装置的动作进行说明。图31是表示本实施例的防火墙装置的动作的顺序图。在图31中,由于从LCP(图31的339)到用户IP地址通知(图31的342)为止的动作与上述实施例2-1相同,因此省略再次说明。当接收到用户IP地址通知(图31的342)时,防火墙装置300保持应当赋予用户IP地址通知中记载的用户终端的用户IP地址[d.d.d.d]。然后,将用户名作为检索关键字,对分配管理表(301-5)进行用户名#d的检索,但是,不存在用户名#d。在不存在用户名的情况下,防火墙装置300向用户终端315发出验证错误通知(图31的1743),结束了PPP的建立处理。另外,本实施方式的防火墙装置也可以适用于上述实施例2-2的防火墙装置。一般地,如图32所示,根据用户终端侧和连接对方终端侧的IP地址、用户终端侧和连接对方终端侧的端口号等作成过滤表。如上所述,在常时连接服务的情况下,用户终端侧IP地址随每个PPP连接而变化。因此,应当在图32的过滤表1961中登录的用户终端侧IP地址必须随每个PPP连接动态地设定,其设定处理量与规则数成比例地增大。与此相对,图33所示的基于本发明的专用过滤表在分配管理表2001中对分组赋予专用过滤ID,在专用过滤表2061中,取代用户终端侧IP地址而使用专用过滤ID。由于专用过滤ID不取决于用户终端侧IP地址的值,而是固定值,所以不管重复多少次PPP连接,也完全不会对专用过滤表2061产生影响。因每次PPP连接时改变用户终端侧IP地址而带来影响的场所只是分配管理表2001的用户终端侧IP地址和专用过滤ID的对应部分,其不取决于专用过滤表2061的规则数,而只需变更1行即可。这样,过滤ID的导入对抑制过滤装置内部的处理量也做出贡献。另外,通过导入本发明的共用过滤ID,将多个用户可共用的过滤策略集中成1个,能够以共用的方式向相应的用户全体提供过滤表,因此,对削减防火墙装置整体的过滤表量做出贡献。(实施例2-1~2-7的效果)根据实施例2-1~2-7的过滤装置,可以提高用户多重数,并且,可以实现过滤表的高效化。(实施例3-1~3-6)以下,参照附图对实施例3-1~3-6进行详细的说明。图34是表示本发明的实施例3-1的验证协作型分散防火墙装置的概略结构和使用本发明的实施例3-1的验证协作型分散防火墙装置的网络模型的方框图。验证协作型分散防火墙装置(以下,简称为防火墙装置)501收容有通过验证而开始连接的用户(515-1)所使用的用户终端(502-1)、用户(515-2)所使用的用户终端(502-2),并与外部网络(例如,互联网)503连接。另外,防火墙装置501与安全策略服务器504和标识符管理服务器505连接,其中,安全策略服务器504具有保持用户固有的安全策略的安全策略表511;标识符管理服务器505具有保持发布给防火墙装置501的标识符的标识符管理表512。另外,防火墙装置501与具有用户验证信息513和用户终端信息部514的验证服务器506连接,其中,用户终端信息部514保持由验证时赋予用户终端的用户终端信息构成的储备表。这里,上述验证服务器例如可以使用RAIDUS(RemoteAuthenticationDial-inUserService远程拨入用户验证服务)服务器,并且,用户终端信息部514中保存的用户终端信息可以使用赋予用户终端的IP地址。另外,从用户终端(502-1,502-2)到网络的连接使用PPP(PointtoPointProtocol,点对点协议),验证可以使用PAP(PasswordAuthenticationProtocol密码验证协议)或者CHAP(ChallengeHandshakeAuthenticationProtocol问询握手验证协议)。另外,防火墙装置501具有将附在接收分组上的用户终端信息与指示对接收分组进行过滤的过滤表的标识符关联起来的分配管理表507、以及进行实际过滤的防火墙部508。另外,防火墙部508具有保持用户(515-1)和用户(515-2)共用的安全策略的共用过滤表509、以及作为用于保持用户(515-1)或用户(515-2)的专用安全策略的区域的专用过滤表区域。该专用过滤表区域510可以分为写入识别信息的区域、以及与该写入识别信息的区域相关联的写入安全策略的区域。图35是表示图34所示的验证服务器内的验证信息513的详细情况的图,图36是表示图34所示的验证服务器内的用户终端信息部514中所保持的储备表的详细情况的图。另外,图37是表示图34所示的标识符管理服务器内的标识符管理表512的详细情况的图,图38是表示图34所示的安全策略服务器内的安全策略表511的详细情况的图,图39是表示图34所示的防火墙装置内的初始状态下的分配管理表的详细情况的图。图40、图41是表示图34的网络模型的动作的处理序列的一例的图,示出了如下的处理序列用户(515-1)连接到外部网络503上之后,切断,然后,用户(515-2)连接到外部网络503上之后,切断。首先,对用户(515-1)的连接开始处理序列进行说明。首先,用户(515-1)通过用户终端将用户名(用户515-1)和密码(α)发送给防火墙装置501(图40的11-1,11-2)。接收到该用户名(用户515-1)和密码(α)的防火墙装置501保持用户名(用户515-1)(图40的11-3),并且将用户名(用户515-1)和密码(α)发送给验证服务器506(图40的11-4)。在验证服务器506中,根据所接收到的用户名(用户515-1)和密码(α)检索验证信息513,判定为可以验证(图40的11-5)。另外,从用户终端信息部514的储备表中抽出使用中标志为“0”的可使用的用户终端信息(IP_1),将所抽出的可使用标志设为“1”,并将所抽出的用户终端信息(IP)_1)与验证通过通知一并通知给防火墙装置501(图40的11-6,11-7)。防火墙装置501保持所接收的用户终端信息(IP_1),将该用户终端信息和用户终端所连接的线路关联起来(图40的11-8),并且将上述保持的用户名(用户515-1)发送给标识符管理服务器505(图40的11-9)。标识符管理服务器505根据所接收的用户名(用户515-1)检索标识符管理表512,抽出与用户名相关联的共用过滤表ID(共用509)和专用过滤表ID(专用510-1),并将该标识符(共用509、专用510-1)发送给防火墙装置501(图40的11-10、11-11)。防火墙装置501保持所接收的专用过滤表ID(专用510-1),并且将所接收的共用过滤表ID(共用509)、专用过滤表ID(专用510-1)和所保持的用户终端信息(IP_1)写入到图39所示的分配管理表507中(图40的11-12)。另外,将所保持的用户名(用户515-1)发送给安全策略服务器504(图40的11-13)。安全策略服务器504根据所接收的用户名(用户515-1)检索所保持的安全策略表512,抽出与用户名相关联的专用安全策略(规则1-1~规则1-m)(图40的11-14),并发送给防火墙装置501(图40的11-15)。防火墙装置501将所保持的专用过滤表ID(专用510-1)写入到专用过滤表区域510的识别信息中,并且,将所接收的专用安全策略(规则1-1~规则1-m)写入到安全策略区域中(图40的11-16)。实施了该一连串的处理之后,向用户终端(502-1)通知包含所保持的用户终端信息(IP_1)的验证成功通知(图40的11-17)。然后,连接开始处理序列结束,这样,用户(515-1)可以通过用户终端(502-1)与外部网络503连接。接下来,对用户终端(502-1)和外部网络503的通信处理序列进行说明。在从用户终端(502-1)向外部网络503转送分组的情况下,用户终端(502-1)将连接开始处理序列中最后接收的用户终端信息(IP_1)作为自身的地址,将该地址赋予分组,并转送给防火墙装置501(图40的11-18)。防火墙装置501从所接收的分组中抽出用户终端信息(IP_1),并将该用户终端信息(IP_1)作为关键字,检索分配管理表507,抽出共用过滤表ID(共用509)和专用过滤表ID(专用510-1)(图40的11-19)。接着,在防火墙部508中,使用所抽出的共用过滤表ID(共用509)和专用过滤表ID(专用510-1)所表示的过滤表,对分组进行过滤(图40的11-20、11-21)之后,转送到外部网络503(图40的11-22)。另外,在从外部网络503接收到针对用户终端(502-1)的分组(图40的11-23),并转送给用户终端(502-1)的情况下,由于将用户终端信息(IP_1)作为目的地地址赋予来自外部网络503的分组,所以,防火墙装置501从所接收到的分组中抽出该用户终端信息(IP_1)(图40的11-24),通过与从上述用户终端(502-1)向外部网络503转送的分组相同的处理序列,对分组进行过滤(图40的11-25、11-26),然后将分组转送给用户终端(502-1)(图40的11-27)。本实施例的防火墙装置501通过以上的处理,对从用户终端侧和外部网络侧两方向发送的分组进行过滤处理,并转送分组。接着对来自用户(515-1)的切断处理序列进行说明。在切断时,通过用户终端(502-1)从用户(515-1)向防火墙装置501通知切断请求(图40的11-28、11-29)。当防火墙装置501接收到切断请求时,检查接收线路,在进行连接开始处理序列时,导出相关联的用户终端信息(IP_1)。根据该用户终端信息,从分配管理表507的与用户终端信息(IP_1)相关联的条目中抽出专用过滤表ID(专用510-1),然后,删除该条目(图40的11-30)。在防火墙部508的专用过滤表区域510中,删除记录有所抽出的专用过滤表ID(专用510-1)的识别信息和与其相关联的安全策略区域(图40的11-31)。另外,将所导出的用户终端信息(IP_1)发送给验证服务器506(图40的11-32),验证服务器506将与所接收到的用户终端信息相关联的用户终端信息部514的储备表的条目中的使用中标志恢复成“0”(图40的11-33)。这样,将在连接处理序列中进行了变更的各种表内容恢复成连接前的状态,结束切断处理序列。接着,采用与用户(515-1)同样的方法,实施用户(515-2)的连接开始处理序列、通信处理序列、切断处理序列(图41的11-34~11-66)。用户(515-2)的处理序列的特征在于由于用户(515-1)的切断处理序列,防火墙装置501的分配管理表507、专用过滤表区域510中没有与用户(515-1)相关的信息,所以可以在同-区域中写入与用户(515-2)相关的信息,另外,也可以使用用户终端(515-1)所使用的用户终端信息(IP_1),即使用户终端信息是与用户(515-1)相同的用户终端信息(IP_1),也可以按照用户(515-2)用的安全策略来进行过滤。这样,在本发明所要解决的课题中,使用专用过滤表区域510、共用过滤表509,仅加载专用过滤表区域510中写入的安全策略,从而可以减轻加载负荷。另外,仅在连接用户终端时使用专用过滤表区域510和分配管理表507的区域,而在切断时不使用该区域,从而可以只保持与同时连接的用户终端数相当的防火墙装置501的专用过滤表区域510和分配管理表507的内容,因此,可以减少需要保持的安全策略的容量。另外,通过将每次连接中所赋予的用户终端信息与安全策略关联起来,即使与过去的其它用户终端的用户终端信息重复,也能实施与使用用户对应的过滤。图42是表示本发明的实施例3-2的防火墙装置的概略结构和使用本发明的实施例3-2的防火墙装置的网络模型的方框图。在图42所示的网络模型中,对图34所示的网络模型新追加了防火墙装置1201、与该防火墙装置1201连接的用户终端1202。另外,用户(515-1)可以连接到该防火墙装置1201上,并且,防火墙装置1201与外部网络503、安全策略服务器504、标识符管理服务器505、验证服务器506连接。防火墙装置1201具有分配管理表1207以及进行实际过滤的防火墙部1208,分配管理表1207保持了将附在接收分组上的用户终端信息与指示对接收分组进行过滤的表的标识符关联起来的信息。另外,防火墙部1208具有保持包括用户(515-1)在内的多个用户共用的安全策略的共用安全策略表1209、以及作为用于保持用户(515-1)的专用安全策略的区域的专用过滤表区域1210。该专用过滤表区域1210可以分为写入识别信息的区域、以及写入安全策略的区域。图43是表示图42的网络模型的处理序列的一例的图,其示出了如下的处理序列在图40所示的处理序列之后,用户(515-1)从与防火墙装置1201连接的用户终端1202再次连接到外部网络503上,进行通信、切断。由于图43的12-1~12-33所示的用户(515-1)向用户终端1202移动,进行再连接的连接处理序列、进行通信的处理序列、以及进行切断的处理序列与图40所示的防火墙装置501所进行的处理序列是相同的,所以省略再次说明。另外,在防火墙装置1201中,从安全策略服务器504发送的用户(515-1)用的专用安全策略、从标识符管理服务器505发送的各种标识符都与在图40中发送给防火墙装置501的信息相同。这样,在本实施例中,即使用户变更了所收容的防火墙装置,也能使用与该用户对应的安全策略。图44是表示本发明的实施例3-3的防火墙装置的概略结构和使用本发明的实施例3-3的防火墙装置的网络模型的方框图。本实施例在如下方面与上述实施例3-1不同将标识符管理服务器505内所保持的、使用户名和各种标识符对应起来的标识符管理表512保持在防火墙装置501的内部。图45是表示图44的网络模型的处理序列的一例的图,其在如下方面与图40所示的处理序列不同删除与标识符管理服务器505的通信部分,新附加了防火墙装置501内部保持的标识符管理表512的处理序列。与图40的处理序列不同的改变部分的处理序列为在图45的11-8中,保持从验证服务器506接收的用户信息,在将用户终端(502-1)的连接线路与该用户信息关联起来之后,将在图45的11-3中保持的用户名作为检索关键字,检索标识符管理表512,并抽出共用过滤表ID、专用过滤表ID(图45的15-9,15-10,15-11)。在本实施例中,由于防火墙装置501必须保持包含具有收容可能性的所有用户的各种标识符的标识符管理表512,因此,需要格外多的防火墙装置501的存储器容量,或者减少可收容的用户数,但是,无需与标识符管理服务器进行通信就能工作。图46是表示本发明的实施例3-4的防火墙装置的概略结构和使用本发明的实施例3-4的防火墙装置的网络模型的方框图。本实施例在如下方面与上述实施例3-1不同将安全策略服务器504内所保持的、使用户名和专用安全策略对应起来的安全策略表511保持在防火墙装置501的内部。图47是表示图46的网络模型的处理序列的一例的图,其在如下方面与图40所示的处理序列不同删除与安全策略服务器504的通信部分,新附加了防火墙装置501内部保持的安全策略表511的处理序列。与图40的处理序列不同的改变部分的处理序列为在图47的11-12中,将各种标识符写入到分配管理表507中之后,将在图47的11-3中保持的用户名作为检索关键字,检索安全策略表511,并抽出与用户名对应的安全策略(图47的17-13,17-14,17-15)。在本实施例中,由于防火墙装置501必须保持包含具有收容可能性的所有用户的专用安全策略的安全策略表511,因此,需要格外多的防火墙装置501的存储器容量,或者减少可收容的用户数,但是,无需与安全策略服务器进行通信就能工作。图48是表示本发明的实施例3-5的防火墙装置的概略结构和使用本发明的实施例3-5的防火墙装置的网络模型的方框图。本实施例在如下方面与上述实施例3-1不同将安全策略服务器504内所保持的使用户名和专用安全策略对应起来的安全策略表511、和标识符管理服务器505内所保持的使用户名和各种标识符对应起来的标识符管理表512保持在防火墙装置501的内部。图49是表示图48的网络模型的处理序列的一例的图,其在如下方面与图40所示的处理序列不同删除与安全策略服务器504的通信部分、以及与标识符管理服务器505的通信部分,新附加了防火墙装置501内部保持的安全策略表511和标识符管理表512的处理序列。与图40的处理序列不同的改变部分的处理序列为在图49的11-8中,保持从验证服务器506接收的用户信息,在将用户终端(502-1)的连接线路与该用户信息关联起来之后,将图49的11-3中保持的用户名作为检索关键字,检索标识符管理表512,并抽出共用过滤表ID、专用过滤表ID(图49的19-9,19-10,19-11);在图49的11-12中,将各种标识符写入到分配管理表507中之后,将在图49的11-3中保持的用户名作为检索关键字,检索安全策略表511,并抽出与用户名对应的安全策略(图49的19-13,19-14,19-15)。在本实施例中,由于防火墙装置501必须保持包含具有收容可能性的所有用户的专用安全策略的安全策略表511,因此,需要格外多的防火墙装置501的存储器容量,或者减少可收容的用户数,并且,必须保持包含具有收容可能性的所有用户的各种标识符的标识符管理表512,因此,需要格外多的防火墙装置501的存储器容量,或者进一步减少可收容的用户数,但是,无需与安全策略服务器、标识符管理服务器进行通信就能工作。图50是表示本发明的实施例3-6的防火墙装置的概略结构和使用本发明的实施例3-6的防火墙装置的网络模型的方框图。防火墙装置2001收容有通过契约网络1(例如,ISPInternetServiceProvider互联网服务提供商)(2016-1)与外部网络2003连接、并通过验证而开始该连接的用户(2015-1)使用的用户终端(2002-1);以及通过契约网络2(2016-2)与外部网络2003连接、并通过验证而开始该连接的用户(2015-2)使用的用户终端(2002-2)。另外,防火墙装置2001与安全策略服务器2004和标识符管理服务器2005连接,其中,安全策略服务器2004具有保持用户固有的安全策略的安全策略表2011;标识符管理服务器2005具有保持发布给防火墙装置2001的标识符的标识符管理表2012。另外,防火墙装置2001与验证服务器1(2006-1)连接,该验证服务器1(2006-1)具有用户的验证信息(2013-1);和保持由验证时赋予用户终端的用户终端信息构成的储备表的用户终端信息部(2014-1),并且,该验证服务器1(2006-1)对通过契约网络1与外部网络连接的用户进行验证。另外,防火墙装置2001还与验证服务器2(2006-2)连接,该验证服务器2(2006-2)具有用户的验证信息(2013-2);和保持由验证时赋予用户终端的用户终端信息构成的储备表的用户终端信息部(2014-2),并且,该验证服务器2(2006-2)对通过契约网络2与外部网络连接的用户进行验证。另外,防火墙装置2001具有将附在接收分组上的用户终端信息、对接收分组进行过滤的虚拟防火墙(2014-1,2014-2)、以及指示过滤表的标识符关联起来的分配管理表2007。另外,防火墙装置2001具有进行实际过滤的防火墙部2008,该防火墙2008具有对与通过契约网络1(2016-1)与外部网络2003连接的用户终端有关联的分组进行过滤的虚拟防火墙1(2014-1);以及对与通过契约网络2(2016-2)与外部网络2003连接的用户终端有关联的分组进行过滤的虚拟防火墙2(2014-2)。虚拟防火墙1(2014-1)具有保持有利用虚拟防火墙1(2014-1)进行过滤的多个用户共用的安全策略的共用过滤表(2009-1);以及作为保持每个用户专用的安全策略的区域的专用过滤表区域(2010-1)。另外,专用过滤表区域(2010-1)分为写入识别信息的区域、以及与该写入识别信息的区域相关联的写入安全策略的区域。与虚拟防火墙1(2014-1)同样,虚拟防火墙2(2014-2)也具有共用过滤表(2009-2)和专用过滤表区域(2010-2),专用过滤表区域(2010-2)分为写入识别信息的区域、以及与该写入识别信息的区域相关联的写入安全策略的区域。图51是表示图50所示的验证服务器1内的验证信息(2013-1)的详细情况的图,图52是表示图50所示的验证服务器1内的用户终端信息部(2014-1)内所保持的储备表的详细情况的图。同样地,图53是表示图50所示的验证服务器2内的验证信息(2013-2)的详细情况的图,图54是表示图50所示的验证服务器2内的用户终端信息部(2014-2)内所保持的储备表的详细情况的图。图55是表示用户(2015-1)通过用户终端(2002-1)发送给防火墙装置2001的用户名的图,图56是表示用户(2015-2)通过用户终端(2002-2)发送给防火墙装置2001的用户名的图。图57是表示图50所示的标识符管理服务器内的标识符管理表2012的详细情况的图,图58是表示图50所示的安全策略服务器内的安全策略表2011的详细情况的图。图59、图60是表示图50的网络模型的动作的处理序列的一例的图,其示出了如下的处理序列用户(2015-1)通过契约网络1(2016-1)连接到外部网络2003上之后、切断;以及用户(2015-2)通过契约网络2(2016-2)连接到外部网络2003上之后、切断。首先,对用户(2015-1)的连接开始处理序列进行说明。首先,用户(2015-1)通过用户终端(2002-1)将用户名(用户2015-12016-1)和密码(α)发送给防火墙装置2001(图59的21-1,21-2)。接收到该用户名(用户2015-12016-1)和密码(α)的防火墙装置2001保持用户名的前半部(用户2015-1)(图59的21-3),并且根据用户名的后半部(2016-1)确定向验证服务器1(2006-1)发送验证信息,发送用户名的前半部(用户2015-1)和密码(α)(图59的21-4)。在验证服务器1(2003-1)中,根据所接收到的用户名的前半部(用户2015-1)和密码(α)检索验证信息(2013-1),判定为可以验证(图59的21-5)。另外,从用户终端信息部(2014-1)的储备表中抽出使用中标志为“0”的可使用的用户终端信息(IP_1)(图59的21-6),将所抽出的可使用标志设为“1”,并将该用户终端信息(IP_1)与验证通过通知一并通知给防火墙装置2001(图59的21-7)。防火墙装置2001保持所接收的用户终端信息(IP_1)(图59的21-8),将该用户终端信息(IP_1)和用户终端(2002-1)所连接的线路关联起来,并且将所保持的用户名的前半部(用户2015-1)发送给标识符管理服务器2005(图59的21-9)。标识符管理服务器2005根据所接收的用户名的前半部(用户2015-1)检索标识符管理表2012,抽出与用户名的前半部(用户2015-1)相关联的虚拟防火墙ID(虚拟2014-1)、共用过滤表ID(共用2009-1)、和专用过滤表ID(专用2010-1)(图59的21-10),并将该标识符发送给防火墙装置2001(图59的21-11)。防火墙装置2001保持所接收的专用过滤表ID(专用2010-1),并且将所接收的虚拟防火墙ID(虚拟2014-1)、共用过滤表ID(共用2009-1)、专用过滤表ID(专用2010-1)和所保持的用户终端信息(IP_1)写入到分配管理表2007中(图59的21-12)。另外,将所保持的用户名的前半部(用户2015-1)发送给安全策略服务器2004(图59的21-13)。安全策略服务器2004根据所接收的用户名的前半部(用户2015-1)检索所保持的安全策略表2011,抽出与用户名的前半部(用户2015-1)相关联的专用安全策略(规则1-1~规则1-m)(图59的21-14),并发送给防火墙装置2001(图59的21-15)。防火墙装置2001将所保持的专用过滤表ID(专用2010-1)写入到专用过滤表区域(2010-1)的识别信息区域中,并且,将所接收的专用安全策略写入到安全策略区域中(图59的21-16)。实施了该一连串的处理之后,向用户终端(2002-1)通知包含所保持的用户终端信息(IP_1)的验证成功通知(图59的21-17)。然后,连接开始处理序列结束,这样,用户(2015-1)可以通过用户终端(2002-1)与外部网络2003连接。接下来,对用户终端(2002-1)和外部网络2003的通信处理序列进行说明。在从用户终端(2002-1)向外部网络2003转送分组的情况下,用户终端(2002-1)将连接开始处理序列中最后接收的用户终端信息(IP_1)作为自身的地址,将该地址赋予分组,并转送给防火墙装置2001(图59的21-18)。防火墙装置2001从所接收的分组中抽出用户终端信息(IP_1),并将该用户终端信息(IP_1)作为关键字,检索分配管理表2007,抽出虚拟防火墙ID(虚拟2014-1)、共用过滤表ID(共用2009-1)、和专用过滤表ID(专用2010-1)(图59的21-19)。接着,将所接收的分组分配给由所抽出的虚拟防火墙ID(虚拟2014-1)表示的虚拟防火墙(2014-1),并且,使用由所抽出的虚拟防火墙ID(虚拟2014-1)表示的虚拟防火墙的过滤表中的、由所抽出的共用过滤表ID(共用2009-1)和专用过滤表ID(专用2010-1)表示的过滤表,对分组进行过滤(图59的21-20、21-21),然后,通过契约网络1(2016-1)转送到外部网络2003(图59的21-22)。另外,在通过契约网络1(2016-1)从外部网络2003接收到以用户终端(2002-1)为目的地的分组(图59的21-23),并转送给用户终端(2002-1)的情况下,将用户终端信息(IP_1)赋予来自外部网络2003的分组作为目的地地址,防火墙装置2001从所接收到的分组中抽出该用户终端信息(IP_1)(图59的21-24),通过与从上述用户终端(2002-1)到外部网络2003的分组相同的处理序列,对分组进行过滤(图59的21-25、21-26),然后将分组转送给用户终端(2002-1)(图59的21-27)。本实施例的防火墙装置2001通过以上的处理,对从用户终端侧和外部网络侧两方向发送的分组进行过滤处理,并转送分组。接着,对用户(2015-1)的切断处理序列进行说明。在切断时,通过用户终端(2002-1)从用户(2015-1)向防火墙装置2001通知切断请求(图59的21-28、21-29)。当防火墙装置2001接收到切断请求时,检查接收线路,在连接开始处理序列时,导出相关联的用户终端信息(IP_1)。根据该用户终端信息(IP_1),从分配管理表2007的与用户终端信息(IP_1)相关联的条目中抽出虚拟防火墙ID(虚拟2014-1)和专用过滤表ID(专用2010-1),然后,删除该条目(图59的21-30)。接着,在由所抽出的虚拟防火墙ID(虚拟2014-1)表示的虚拟防火墙1(2014-1)的专用过滤表区域(2010-1)中,删除记录有所抽出的专用过滤表ID(专用2010-1)的识别信息和与其相关联的安全策略区域(图59的21-31)。另外,将接收了切断请求而导出的用户终端信息(IP_1)发送给验证服务器1(2006-1)(图59的21-32)。验证服务器1(2006-1)将与所接收到的用户终端信息(IP_1)相关联的用户终端信息部(2014-1)的储备表的条目中的使用中标志恢复成“0”(图59的21-33)。这样,将在连接处理序列中进行了变更的各种表内容恢复成连接前的状态,结束切断处理序列。接着,通过与用户(2015-1)同样的方法,实施用户(2015-2)的连接开始处理序列、通信处理序列、切断处理序列(图60的21-34~21-66)。这样,在本实施例中,使防火墙装置2001作为多个防火墙来工作,针对每个防火墙,通过专用验证服务器(2006-1,2006-2)来验证用户,可以针对每个防火墙,通过契约网络(2016-1,2016-2)与外部网络2003连接,并且,可以针对每个用户加载安全策略。另外,在前述说明中,对安全策略服务器(504,2004)、以及标识符管理服务器(505,2005)为一台的情况进行了说明,但是,本实施例的各防火墙装置也可以与具有相同安全策略表的2台安全策略服务器、或者具有相同标识符管理表的2台安全策略服务器连接。(实施例3-1~3-6的效果)根据实施例3-1~3-6的防火墙装置,在动态地连接、切断所收容的网络或终端、或者变更所收容的防火墙装置的情况下,可以最佳地确保要保持的安全策略容量,可以减轻加载到防火墙装置中的安全策略量。另外,之前说明的各实施例中的防火墙装置例如可以通过将执行在各实施例中说明的处理的程序安装在具有通信装置的计算机系统中来实现。该计算机系统例如如图61所示,具有CPU600、存储器601、硬盘601、输入输出装置603、通信装置604。在各实施例的处理中保持的数据例如保持在存储器601中。另外,将通信装置604用作与其它服务器进行通信的通信单元。另外,在上述计算机系统中也包含路由器等。另外,本发明不限于上述实施例,在权利要求的范围内可以进行各种变更、应用。权利要求1.一种防火墙装置,具有多个虚拟防火墙,各虚拟防火墙具有各自独立的过滤策略,其特征在于,具有管理用户名和虚拟防火墙ID的分配管理表;在接收到来自用户终端的用于网络连接的验证信息时,保持该信息中记载的用户名的单元;将验证信息通知给验证服务器的单元;以及当从所述验证服务器接收到验证响应时,保持该响应中记载的应当赋予所述用户终端的用户ID的单元,其中,所述用户ID与所述用户名相对应地登录在所述分配管理表中。2.根据权利要求1所述的防火墙装置,其特征在于,所述防火墙装置在建立了所述用户终端和网络之间的连接之后,对于从所述用户终端发送的分组,将其发送源用户ID作为检索关键字来参照所述分配管理表,检索与该发送源用户ID相对应的虚拟防火墙ID,并将该分组分配给具有该虚拟防火墙ID的虚拟防火墙;对于从所述用户终端的通信对方终端发送的分组,将其目的地用户ID作为检索关键字来参照所述分配管理表,检索与该目的地用户ID相对应的虚拟防火墙ID,并将该分组分配给具有该虚拟防火墙ID的虚拟防火墙。3.根据权利要求1所述的防火墙装置,其特征在于,所述验证服务器对请求网络连接的用户进行验证,应当赋予所述用户终端的用户ID被通知给所述用户终端,所述用户终端通过所述用户ID的通知而第一次被赋予用户ID。4.根据权利要求1所述的防火墙装置,其特征在于,当来自所述验证服务器的验证响应为验证错误时,不将所述用户ID登录到所述分配管理表中,而是向所述用户终端通知验证错误。5.根据权利要求1所述的防火墙装置,其特征在于,在所述分配管理表中没有登录来自所述用户终端的用于网络连接的验证信息中记载的用户名的情况下,不将来自所述验证服务器的验证响应中记载的用户ID登录到所述分配管理表中,在建立了所述用户终端和网络之间的连接之后,将与所述用户ID对应的所述用户终端所发送的分组分配给未登录用户用的虚拟防火墙,将与所述用户ID对应的所述用户终端的通信对方终端所发送的分组分配给未登录用户用的虚拟防火墙。6.根据权利要求1所述的防火墙装置,其特征在于,在所述分配管理表中没有登录来自所述用户终端的用于网络连接的验证信息中记载的用户名的情况下,将来自所述验证服务器的验证响应中记载的用户ID和未登录用户用的虚拟防火墙ID登录到所述分配管理表中。7.根据权利要求1所述的防火墙装置,其特征在于,在所述分配管理表中没有登录来自所述用户终端的用于网络连接的验证信息中记载的用户名的情况下,向所述用户终端通知验证错误。8.根据权利要求1至7中任意一项所述的防火墙装置,其特征在于,所述验证服务器是Radius服务器,所述用户ID是用户IP地址,所述网络是互联网,所述用户终端的网络连接使用点对点PPP协议。9.一种防火墙装置,其特征在于,具有对用户名、用户ID、过滤ID进行对应管理的分配管理表;由所述过滤ID指定的、具有各自独立的过滤策略的过滤表;在网络连接开始时,接收由用户终端发行的记载了用户名的验证信息,并保持该用户名的单元;将所述验证信息通知给验证服务器的单元;以及从所述验证服务器接收验证响应,并保持该验证响应中记载的应当赋予所述用户终端的用户ID的单元,其中,所述用户ID与所述用户名对应地登录在所述分配管理表中。10.根据权利要求9所述的防火墙装置,其特征在于,在建立了所述用户终端和网络之间的连接之后,对于从所述用户终端发送的分组,将其发送源用户ID作为检索关键字来检索所述分配管理表,抽出与该发送源用户ID对应的过滤ID,并将所述抽出的过滤ID赋予所述用户终端所发送的分组;对于从所述用户终端的通信对方终端发送的分组,将其目的地用户ID作为检索关键字来检索所述分配管理表,抽出与该目的地用户ID对应的过滤ID,并将所述抽出的过滤ID赋予所述用户终端的通信对方终端所发送的分组;根据所述赋予的过滤ID所指定的过滤表中记载的过滤策略,使被赋予了过滤ID的分组通过或丢弃。11.一种防火墙装置,其特征在于,具有对用户名、用户ID、专用过滤ID、共用过滤ID进行对应管理的分配管理表;与所述专用过滤ID对应的专用过滤表;与所述共用过滤ID对应的共用过滤表;在网络连接开始时,接收由用户终端发行的记载了用户名的验证信息,并保持该用户名的单元;将所述验证信息通知给验证服务器的单元;以及从所述验证服务器接收验证响应,并保持该验证响应中记载的应当赋予所述用户终端的用户ID的单元,其中,所述用户ID与所述用户名对应地登录在所述分配管理表中。12.根据权利要求11所述的防火墙装置,其特征在于,所述防火墙装置在建立了所述用户终端和网络之间的连接之后,对于从所述用户终端发送的分组,将其发送源用户ID作为检索关键字来检索所述分配管理表,抽出与该发送源用户ID对应的专用过滤ID和共用过滤ID,并将所述抽出的专用过滤ID和共用过滤ID赋予所述用户终端所发送的分组;对于从所述用户终端的通信对方终端发送的分组,将其目的地用户ID作为检索关键字来检索所述分配管理表,抽出与该目的地用户ID对应的专用过滤ID和共用过滤ID,并将所述抽出的专用过滤ID和共用过滤ID赋予所述用户终端的通信对方终端所发送的分组;根据所述赋予的专用过滤ID所指定的专用过滤表中记载的过滤策略,以及所述赋予的共用过滤ID所指定的共用过滤表中记载的过滤策略,使被赋予了专用过滤ID和共用过滤ID的分组通过或丢弃。13.根据权利要求9所述的防火墙装置,其特征在于,所述防火墙装置在网络连接开始时,在所述分配管理表中没有登录由用户终端发行的验证信息中所包含的用户名的情况下,不将来自所述验证服务器的验证响应中记载的用户ID登录到所述分配管理表中,根据未登录用户用的过滤策略,对与所述用户ID对应的所述用户终端所发送的分组或该用户终端的通信对方终端所发送的分组进行处理。14.根据权利要求9所述的防火墙装置,其特征在于,在网络连接开始时,在所述分配管理表中没有登录由所述用户终端发行的验证信息中记载的用户名的情况下,所述防火墙装置将来自所述验证服务器的验证响应中记载的用户ID、未登录用户用的过滤ID登录到所述分配管理表中。15.一种防火墙装置,其特征在于,具有对用户名、用户ID、虚拟防火墙ID、过滤ID进行对应管理的分配管理表;由所述虚拟防火墙ID指定的、具有所述过滤ID所指定的至少一个过滤表的多个虚拟防火墙;在网络连接开始时,接收由用户终端发行的记载了用户名的验证信息,并保持该用户名的单元;将所述验证信息通知给验证服务器的单元;以及从所述验证服务器接收验证响应,并保持该验证响应中记载的应当赋予所述用户终端的用户ID的单元,其中,所述用户ID与所述用户名对应地登录在所述分配管理表中。16.根据权利要求15所述的防火墙装置,其特征在于,所述防火墙装置在建立了所述用户终端和网络之间的连接之后,对于从所述用户终端发送的分组,将其发送源用户ID作为检索关键字来检索所述分配管理表,抽出与该发送源用户ID对应的虚拟防火墙ID和过滤ID,将所述用户终端所发送的分组分配给所述抽出的虚拟防火墙ID所指定的虚拟防火墙,并且将所述抽出的过滤ID赋予所述用户终端所发送的分组;对于从所述用户终端的通信对方终端发送的分组,将其目的地用户ID作为检索关键字来检索所述分配管理表,抽出与该目的地用户ID对应的虚拟防火墙ID和过滤ID,将所述用户终端的通信对方终端所发送的分组分配给所述抽出的虚拟防火墙ID所指定的虚拟防火墙,并且将所述抽出的过滤ID赋予所述用户终端的通信对方终端所发送的分组;在所述分配的虚拟防火墙内,根据所述赋予的过滤ID所指定的过滤表中记载的过滤策略,使被赋予了过滤ID的分组通过或丢弃。17.一种防火墙装置,其特征在于,具有对用户名、用户ID、虚拟防火墙ID、专用过滤ID、共用过滤ID进行对应管理的分配管理表;具有与所述专用过滤ID对应的专用过滤表、与所述共用过滤ID对应的共用过滤表的虚拟防火墙;在网络连接开始时,接收由用户终端发行的记载了用户名的验证信息,并保持该用户名的单元;将所述验证信息通知给验证服务器的单元;以及从所述验证服务器接收验证响应,并保持该验证响应中记载的应当赋予所述用户终端的用户ID的单元,其中,所述用户ID与所述用户名对应地登录在所述分配管理表中。18.根据权利要求17所述的防火墙装置,其特征在于,所述防火墙装置在建立了所述用户终端和网络之间的连接之后,对于从所述用户终端发送的分组,将其发送源用户ID作为检索关键字来检索所述分配管理表,抽出与该发送源用户ID对应的虚拟防火墙ID、专用过滤ID和共用过滤ID,将所述用户终端所发送的分组分配给所述抽出的虚拟防火墙ID所指定的虚拟防火墙,并且将所述抽出的专用过滤ID和共用过滤ID赋予所述用户终端所发送的分组;对于从所述用户终端的通信对方终端发送的分组,将其目的地用户ID作为检索关键字来检索所述分配管理表,抽出与该目的地用户ID对应的虚拟防火墙ID、专用过滤ID和共用过滤ID,将所述用户终端的通信对方终端所发送的分组分配给所述虚拟防火墙ID所指定的虚拟防火墙,并且将所述抽出的专用过滤ID和共用过滤ID赋予所述用户终端的通信对方终端所发送的分组;在所述分配的虚拟防火墙内,根据所述赋予的专用过滤ID所指定的专用过滤表中记载的过滤策略、以及所述赋予的共用过滤ID所指定的共用过滤表中记载的过滤策略,使被赋予了所述专用过滤ID和共用过滤ID的分组通过或丢弃。19.根据权利要求15所述的防火墙装置,其特征在于,所述防火墙装置在网络连接开始时,在所述分配管理表中没有登录由用户终端发行的验证信息中所包含的用户名的情况下,不将来自所述验证服务器的验证响应中记载的用户ID登录到所述分配管理表中,根据未登录用户用的过滤策略,对与所述用户ID对应的所述用户终端所发送的分组或与所述用户ID对应的所述用户终端的通信对方终端所发送的分组进行处理。20.根据权利要求15所述的防火墙装置,其特征在于,在网络连接开始时,在所述分配管理表中没有登录由所述用户终端发行的验证信息中所记载的用户名的情况下,所述防火墙装置将来自所述验证服务器的验证响应中记载的用户ID、未登录用户用的虚拟防火墙ID登录到所述分配管理表中。21.根据权利要求9所述的防火墙装置,其特征在于,当来自所述验证服务器的验证响应为验证错误时,所述防火墙装置不将所述用户ID登录到所述分配管理表中,而是向所述用户终端通知验证错误。22.根据权利要求9所述的防火墙装置,其特征在于,在网络连接开始时,在所述分配管理表中没有登录由所述用户终端发行的验证信息中所记载的用户名的情况下,所述防火墙装置向所述用户终端通知验证错误。23.根据权利要求9至22中任意一项所述的防火墙装置,其特征在于,所述过滤表不包含应当赋予所述用户终端的用户ID作为其过滤策略的要素。24.根据权利要求9至23中任意一项所述的防火墙装置,其特征在于,所述验证服务器是RADIUS服务器,所述用户ID是用户IP地址,所述网络是互联网,所述用户终端的网络连接使用PPP。25.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有保持每个用户的安全策略的专用过滤表;保持多个用户共用的安全策略的共用过滤表;对用户终端信息、共用过滤表ID、专用过滤表ID进行管理的分配管理表;与判断用户终端可否连接的验证服务器进行通信的通信单元;与管理和用户相关联的共用过滤表ID及专用过滤表ID的标识符管理服务器进行通信的通信单元;以及与管理所述专用过滤表中写入的用户固有安全策略和用户之间的关系的安全策略管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述标识符管理服务器和所述安全策略服务器,将从所述标识符管理服务器接收到的共用过滤表ID和专用过滤表ID与用户终端信息对应起来记载到所述分配管理表中,将从所述安全策略服务器接收到的策略信息和所述专用过滤表ID写入到所述专用过滤表中。26.根据权利要求25所述的防火墙装置,其特征在于,所述防火墙装置在发行了所述连接请求的用户终端和网络之间的连接建立之后,接收该用户终端所发送的分组或者以该用户终端为目的地的分组,将所接收的分组中包含的用户终端信息作为检索关键字,参照所述分配管理表,抽出与该用户终端信息对应的共用过滤表ID和专用过滤表ID,利用与所抽出的共用过滤表ID对应的共用过滤表和与专用过滤表ID对应的专用过滤表,对所述接收的分组进行过滤。27.根据权利要求25所述的防火墙装置,其特征在于,所述防火墙装置在切断与网络的连接时,从用户终端接收切断请求,将所述用户终端信息作为检索关键字,参照所述分配管理表,从与该用户终端信息对应的条目中抽出专用过滤表ID,并且,使与该用户终端信息对应的条目无效,使与所述抽出的专用过滤表ID对应的专用过滤表的内容无效。28.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有对多个用户实施分组过滤的至少一个虚拟防火墙;保持每个用户的安全策略的至少一个专用过滤表;保持多个用户共用的安全策略的至少一个共用过滤表;对用户终端信息、虚拟防火墙ID、共用过滤表ID、专用过滤表ID进行管理的分配管理表;与判断用户终端可否连接的验证服务器进行通信的通信单元;与管理和用户相关联的虚拟防火墙ID、共用过滤表ID及专用过滤表ID的标识符管理服务器进行通信的通信单元;以及与管理所述专用过滤表中写入的用户固有安全策略和用户之间的关系的安全策略管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述标识符管理服务器和安全策略服务器,将从所述标识符管理服务器接收到的虚拟防火墙ID、共用过滤表ID和专用过滤表ID与所述用户终端信息对应起来记载到所述分配管理表中,将从所述安全策略服务器接收到的策略信息和所述专用过滤表ID写入到所述虚拟防火墙ID所指示的所述虚拟防火墙的专用过滤表中。29.根据权利要求28所述的防火墙装置,其特征在于,所述防火墙装置在发行了所述连接请求的用户终端和网络之间的连接建立之后,接收该用户终端所发送的分组或者以该用户终端为目的地的分组,将所接收的分组中包含的用户终端信息作为检索关键字,参照所述分配管理表,抽出与该用户终端信息对应的虚拟防火墙ID、共用过滤表ID和专用过滤表ID,将所述接收到的分组分配给所述抽出的虚拟防火墙ID所指示的虚拟防火墙,并且,利用与所述抽出的共用过滤表ID对应的过滤表和与专用过滤表ID对应的专用过滤表,对该分组进行过滤。30.根据权利要求28所述的防火墙装置,其特征在于,所述防火墙装置在切断与网络的连接时,从用户终端接收切断请求,将所述保持的用户终端信息作为检索关键字,参照所述分配管理表,从与该用户终端信息对应的条目中抽出虚拟防火墙ID和专用过滤表ID,并且,使与该用户终端信息对应的条目无效,使与所抽出的虚拟防火墙ID对应的虚拟防火墙内保持的、与所述专用过滤表ID对应的专用过滤表的内容无效。31.根据权利要求28所述的防火墙装置,其特征在于,所述虚拟防火墙与连接所述网络的契约网络一一对应,所述防火墙装置收容有与所述虚拟防火墙的数目相当的所述契约网络。32.根据权利要求31所述的防火墙装置,其特征在于,对于每个所述契约网络设置有多个所述验证服务器,根据所述用户终端所发送的连接请求中包含的用户名,确定进行验证的验证服务器,以进行验证处理。33.根据权利要求25所述的防火墙装置,其特征在于,所述安全策略服务器具有将用户名和至少一个安全策略对应起来的安全策略表,所述防火墙装置与具有相同安全策略表的至少一台安全策略服务器进行通信。34.根据权利要求25所述的防火墙装置,其特征在于,所述标识符管理服务器具有将用户名、共用过滤表ID、专用过滤表ID对应起来的标识符管理表,所述防火墙装置与具有相同标识符管理表的至少一台标识符管理服务器进行通信。35.根据权利要求28所述的防火墙装置,其特征在于,所述标识符管理服务器具有将用户名、虚拟防火墙ID、共用过滤表ID、专用过滤表ID对应起来的标识符管理表,所述防火墙装置与具有相同标识符管理表的至少一台标识符管理服务器进行通信。36.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有保持每个用户的安全策略的专用过滤表;保持多个用户共用的安全策略的共用过滤表;将用户名和至少一个安全策略对应起来的安全策略表;对用户终端信息、共用过滤表ID、专用过滤表ID进行管理的分配管理表;与判断用户终端可否连接的验证服务器进行通信的通信单元;以及与管理和用户相关联的共用过滤表ID及专用过滤表ID的标识符管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述标识符管理服务器,将从所述标识符管理服务器接收到的共用过滤表ID和专用过滤表ID与用户终端信息对应起来记载到所述分配管理表中,以所述保持的用户名为关键字,参照所述安全策略表,抽出与该用户名对应的策略信息,并将该抽出的策略信息和所述专用过滤表ID写入到所述专用过滤表中。37.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有保持每个用户的安全策略的专用过滤表;保持多个用户共用的安全策略的共用过滤表;对用户终端信息、共用过滤表ID、专用过滤表ID进行管理的分配管理表;将用户名、共用过滤表ID、专用过滤表ID对应起来的标识符管理表;与判断用户终端可否连接的验证服务器进行通信的通信单元;以及与管理所述专用过滤表中写入的用户固有安全策略和用户之间的关系的安全策略管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述安全策略服务器,以所述保持的用户名为关键字,参照所述标识符管理表,抽出与该用户名对应的共用过滤表ID和专用过滤表ID,并将该抽出的共用过滤表ID和专用过滤表ID与用户终端信息对应起来写入到所述分配管理表中,将从所述安全策略服务器接收到的策略信息和所述专用过滤表ID写入到所述专用过滤表中。38.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有保持每个用户的安全策略的专用过滤表;保持多个用户共用的安全策略的共用过滤表;对用户终端信息、共用过滤表ID、专用过滤表ID进行管理的分配管理表;将用户名和至少一个安全策略对应起来的安全策略表;将用户名、共用过滤表ID、专用过滤表ID对应起来的标识符管理表;以及与判断用户终端可否连接的验证服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,以所述保持的用户名为关键字,参照所述标识符管理表,抽出与该用户名对应的共用过滤表ID和专用过滤表ID,并将该抽出的共用过滤表ID和专用过滤表ID与用户终端信息对应起来记载到所述分配管理表中,以所述保持的用户名为关键字,参照所述安全策略表,抽出与该用户名对应的策略信息,并将该抽出的策略信息和所述专用过滤表ID写入到所述专用过滤表中。39.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有对多个用户实施分组过滤的至少一个虚拟防火墙;保持每个用户的安全策略的至少一个专用过滤表;保持多个用户共用的安全策略的至少一个共用过滤表;对用户终端信息、虚拟防火墙ID、共用过滤表ID、专用过滤表ID进行管理的分配管理表;将用户名和至少一个安全策略对应起来的安全策略表;与判断用户终端可否连接的验证服务器进行通信的通信单元;以及与管理和用户相关联的虚拟防火墙ID、共用过滤表ID及专用过滤表ID的标识符管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述标识符管理服务器,将从所述标识符管理服务器接收到的虚拟防火墙ID、共用过滤表ID和专用过滤表ID与所述用户终端信息对应起来记载到所述分配管理表中,以所述保持的用户名为关键字,参照所述安全策略表,抽出与该用户名对应的策略信息,并将该抽出的策略信息和所述专用过滤表ID写入到所述虚拟防火墙ID所指示的所述虚拟防火墙的专用过滤表中。40.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有对多个用户实施分组过滤的至少一个虚拟防火墙;保持每个用户的安全策略的至少一个专用过滤表;保持多个用户共用的安全策略的至少一个共用过滤表;对用户终端信息、虚拟防火墙ID、共用过滤表ID、专用过滤表ID进行管理的分配管理表;将用户名、虚拟防火墙ID、共用过滤表ID、专用过滤表ID对应起来的标识符管理表;与判断用户终端可否连接的验证服务器进行通信的通信单元;以及与管理所述专用过滤表中写入的用户固有安全策略和用户之间的关系的安全策略管理服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,将所述用户名通知给所述安全策略服务器,以所述保持的用户名为关键字,参照所述标识符管理表,抽出与该用户名对应的虚拟防火墙ID、共用过滤表ID和专用过滤表ID,并将该抽出的虚拟防火墙ID、共用过滤表ID和专用过滤表ID与所述用户终端信息对应起来记载到所述分配管理表中,将从所述安全策略服务器接收到的策略信息和所述专用过滤表ID写入到所述虚拟防火墙ID所指示的所述虚拟防火墙的专用过滤表中。41.一种防火墙装置,被设置在多个用户终端和网络之间,对多个用户终端实施分组过滤,其特征在于,具有对多个用户实施分组过滤的至少一个虚拟防火墙;保持每个用户的安全策略的至少一个专用过滤表;保持多个用户共用的安全策略的至少一个共用过滤表;对用户终端信息、虚拟防火墙ID、共用过滤表ID、专用过滤表ID进行管理的分配管理表;将用户名和至少一个安全策略对应起来的安全策略表;将用户名、虚拟防火墙ID、共用过滤表ID、专用过滤表ID对应起来的标识符管理表;以及与判断用户终端可否连接的验证服务器进行通信的通信单元,其中,所述过滤装置在网络连接开始时,从用户终端接收附加了包含用户名的验证信息的连接请求,保持该用户名,并将所保持的用户名通知给验证服务器,保持附加在从所述验证服务器接收到的验证响应上的用户终端信息,以所述保持的用户名为关键字,参照所述标识符管理表,抽出与该用户名对应的虚拟防火墙ID、共用过滤表ID和专用过滤表ID,并将该抽出的虚拟防火墙ID、共用过滤表ID和专用过滤表ID与所述用户终端信息对应起来记载到所述分配管理表中,以所述保持的用户名为关键字,参照所述安全策略表,抽出与该用户名对应的策略信息,并将所抽出的策略信息和所述专用过滤表ID写入到所述虚拟防火墙ID所指示的所述虚拟防火墙的专用过滤表中。42.根据权利要求25至41中任意一项所述的防火墙装置,其特征在于,所述验证服务器是RAIDUS服务器,所述用户终端信息是赋予用户终端的IP地址,从所述用户终端到网络的连接是PPP,验证使用PAP或CHAP。全文摘要一种防火墙装置,具有多个虚拟防火墙,各虚拟防火墙具有各自独立的过滤策略,其具有管理用户名和虚拟防火墙ID的分配管理表;当接收到来自用户终端的用于网络连接的验证信息时,保持该信息中记载的用户名的单元;将验证信息通知给验证服务器的单元;以及当从所述验证服务器接收到验证响应时,保持该响应中记载的应当赋予所述用户终端的用户ID的单元,其中所述用户ID与所述用户名相对应地登录在所述分配管理表中。文档编号H04L12/66GK1748395SQ20048000369公开日2006年3月15日申请日期2004年2月4日优先权日2003年2月5日发明者长田和彦,冈大祐,铃木亮一,池川隆司,市川弘幸,石川忠司申请人:日本电信电话株式会社