[发明专利]安全网关系统及其方法以及程序

说明书

技术领域

本发明涉及对于分别利用进行了标准化且公开了规格的标准协议的多个网络间进行连接的安全网关系统及其方法以及程序。 

背景技术

在网络通信技术领域，利用事实标准的互联网协议(IP)来进行通信，从而可以从对于利用了制造商各自的通信协议的独立网络/特定的组的服务，向互联网整体提供服务，能够向全世界的人们提供服务(例如，参照非专利文献1)。 

该互联网协议(IP)是开放型相互连接系统(Open SystemsInterconnection)的一个例子，其规格公开，任何人都能获取。另外，基于利用该公开的技术来进行通信的硬件或软件，提供标准性的互联网上的服务，这些也是任何人都能够获取并利用的(例如，参照非专利文献2、3)。 

这种进行了标准化而任何人都能够获得享受服务的手段的状况，在适用于企业活动等的情况下，有可能损害通信的秘密性、企业的计算机系统的安全性，所以也大量提出了用于避免这些问题的安全方式并进行了实用化。 

在一般的安全装置中，采用了与用于实现开放型相互连接系统的分层化的通信分层相对应的安全方式。 

在互联网协议(IP)中，通过附加了向进行通信的计算机分配的固有的IP地址和协议号码、通信端口等的数据(包)的收发来进行通信。为了确保安全性，利用对来自未许可的计算机的通信进行屏蔽(包过滤)的方法。 

在该包过滤中，对于连接网络间的装置(路由器)，设定许可的IP地址、协议号码、通信端口等。然后，通过路由器，根据许可设定的信息，决定是否使数据通过，从而进行安全性的确保。但是，在位于开放型相互 连接系统的低层的数据链路层或网络层上实施的包过滤由于无法进行复杂的条件的设定和控制，因此存在安全性的强度低的缺点。 

另一方面，防火墙是安全性的强度比进行网络的相互连接的路由器更高的装置。防火墙为了解决IP过滤的安全性确保的缺点，在位于开放型相互连接系统的通信层的更高位置的通信分层上进行安全性的确保。 

作为该防火墙，例如存在用于在传输层等确保安全性的传输等级代理服务器，而作为用于更高层的方法，存在用于在应用层等确保安全性的应用等级代理服务器。该应用代理服务器也称为应用网关，是在代理服务器功能之中安全性最高的智能的防火墙功能。 

在非专利文献4中，公开了一种方法，用来进行用于面对网络上的威胁(计算机犯罪、隐私问题)等来保护企业数据或个人信息的适当处理，以执行适当的企业活动。其代表性的例子是如上所述的防火墙。 

在与互联网连接的企业网络的连接点上设置防火墙，对通过网络的包进行过滤或对要提供的互联网服务加以制约，从而能够面对外部的威胁来保护企业内网络。 

该防火墙也由计算机构成，由软件(也包括固件)处理并实现。 

一般地，在软件中内部存在不佳情况，若发现了恶意利用该不佳情况的安全漏洞，则防火墙的功能受损，致使企业内的网络的安全性崩溃。因此，需要定期性的维护等(例如，参照非专利文献5)。 

另外，防火墙仅仅限制包的数据的通过，所以虽然能够对于来自外部的非法攻击进行防御，但在许可了来自外部的访问的情况下，难以防止入侵。因此，作为与防火墙不同的进行非法入侵的检测的系统，使用非法入侵检测系统(Intrusion Detection System)。该非法入侵检测系统虽然能够进行非法入侵的检测，但无法防御非法入侵，因此，通过在检测到时使防火墙停止等的组合来构成的例子较多(例如，参照非专利文献6)。 

专利文献1：日本特开2000-172597 

非专利文献1：《基于TCP/IP的网络构架Vol.1原理、协议、构造》，Douglas Comer著，村井纯、楠木博之译，共立出版株式会社，ISBN4-320-02667-5 

非专利文献2：《TCP/IP协议彻底解析》，Paul Simoneau著，都丸庆 介译，日经BP社，ISBN4-8222-8037-3 

非专利文献3：《控制TCP/IP入门第2版》，竹下隆史、村山公保、荒井透、苅田幸雄著，オ一ム(Ohm)社开发局，ISBN4-274-06257-0 

非专利文献4：《内部&互联网安全》，杉本隆洋著，オ一ム(Ohm)社开发局，ISBN4-274-06162-0 

非专利文献5：《与安全漏洞的新战争》，仙石诚，八木玲子、高桥秀和著，ISSN0289-6508，日经BP社，日经バイト2004.7号VOL254