That is why other security functions (such as intrusion detection and monitoring, and computer virus scanning) should be used together. However, it is observed that the boundary between firewall and other security measures is becoming blurred as firewall manufacturers continuously incorporate additional features, e.g. Virtual Private Network (VPN), encryption, etc. to firewall.
Two packet-filtering routers (one external and one internal) are used to filter and route the selected traffic to the firewall from either external side or internal network. In order to connect to the Internet, the external packet-filtering router should be set up. The internal packet-filtering router is used to separate the DMZ segment
そういうわけで、他のセキュリティ機能(不正侵入防止と監視、コンピュータウイルスのスキャンニング)が同時に用いられるのがよいのです。しかし、ファイアウォールと他のセキュリティ対策との境界線は、ファイアウォールのメーカーが追加的特徴をファイアウォールに常に組み込んでいるためはっきりしなくなっています。例・バーチャル・プライベート・ネットワーク(VPN)など。
二つのパケットフィルタリングルータ(一つは外部用、一つは内部用)は外部入力と内部ネットワークからファイアウォールへの選択されたやりとりをフィルタリングして通すのに使われます。インターネットに接続するために、外部パケットフィルタリングルータがセットアップされます。内部パケットフィルタリングルータは、DMZセグメントを切り離すために使われます。
(which will be explained in later sub-section) from the internal network. Unlike firewalls, these routers are normally considered as network devices with value-added security features rather than as security products.
The intrusion detection and monitoring stated above refers to any means, such as tools or procedures, that can provide such functions, but may not be necessary a physical device. The use of IDS/IPS tools can help to automate, speed up and facilitate the intrusion detection and monitoring process. The actual use of such tools is subject to our department’s own requirements but the gateway should accommodate with at least a procedure-based mechanism to detect and monitor intrusions.Apart from that,
、内部ネットワークから(これはこの後のサブセクションで説明します)。ファイアウォールとは違い、これらのルータは、通常、セキュリティ製品というよりも、むしろ付加価値セキュリティ機能を持つネットワーク機器と見なされています。
上述の侵入検出およびモニタリングは、例えばツールや手順といった、何であれ、そのような機能の提供はできるが、物理的な機器である必要がないかもしれない手段に属するものとされています。IDS/IPSツールの使用は、侵入検出およびモニタリング・プロセスを自動化し、スピードアップし、容易にする役に立つことがあります。そうしたツールの実際の使用は、我々の部門自体の要件次第ですが、そのゲートウェイは、少なくとも、侵入を検出およびモニターするための手順ベースのメカニズムに適合していなければなりません。それを除けば、
a set of security policy and procedures should be developed for controlling and monitoring the Internet gateway. There is a need to perform security audit regularly, after major changes or prior to implementation to ensure that the Internet gateway is set up properly in accordance with the security policy. Even if there is no internal network connection, it would still be better to have the above recommended security protection.
Illustrated below is a sample logical network diagram for an Internet gateway. Our departments may revise the network architecture according to their own requirements, services offered and existing network structure. The relative position of network components may need to be altered.
インターネット・ゲートウェイを制御し、モニターするための、一連のセキュリティ・ポリシーと手順を開発する必要があります。大きな変更の後や実装の前に、インターネット・ゲートウェイがセキュリティ・ポリシーに従ってきちんと準備されていることを確実にするため、定期的にセキュリティ監査を実行する必要があります。たとえ内部ネットワーク接続がない場合でも、上記の望ましいセキュリティ保護を備えていることが望ましいでしょう。
インターネット・ゲートウェイのための実例論理ネットワーク図を、下記で例証します。我々の部門では、自身の必要条件、提供サービス、および現在のネットワーク構造に従って、ネットワーク・アーキテクチャを修正することができます。ネットワーク構成要素の相対的な位置は、変える必要があるかもしれません。
