A firewall system, intrusion detection mechanism and computer virus scanning tools should be maintained to provide security protection for Internet access service. Depending on the services to be provided, the following network devices may be deployed with:
• Authentication servers (for user identification and access control)
• Remote Access Server (RAS) and modem pools (for remote dial-in and access)
• Domain Name System (DNS) servers (for host name and address mapping)
• Simple Mail Transfer Protocol (SMTP) gateway and mail servers (for Internet email)
• Web servers (for information publishing)
• Proxy servers (for caching, network address hiding, access control)
ファイアウォールシステム、侵入検知機構、及びコンピュータウイルススキャンツールは、インターネット•アクセス•サービス向けのセキュリティ保護のために維持されるべきである。提供されるサービスに応じて、以下のネットワークデバイスが配置されているかもしれない。
•認証サーバ(ユーザ識別・アクセス制御用)
•リモートアクセスサーバー(RAS)とモデムプール(ダイヤルインおよびアクセスリモート用)
•ドメインネームシステム(DNS)サーバ(ホスト名とアドレスのマッピング用)
•簡易メール転送プロトコル(SMTP)ゲートウェイとメールサーバ(インターネット電子メール用)
•ウェブサーバ(情報公開用)
•プロキシサーバ(キャッシュ、ネットワークアドレスの隠蔽、アクセス制御用)
Nonetheless, some security guidelines on the above components will be explained in later sections with focus on their security measures.
This architecture can separate the internal network from the external one, and can hide the information about the internal network. Separate segments may be assigned within the DMZ for better access control and protection.
In fact, Internet gateway architecture for different services may require specific tailoring depending on many factors such as network infrastructure, services provided, performance, mode of operations, cost and so on.
Web Servers
Separate web servers should be used to restrict access when providing different information to internal and external users.
なお、上記のいくつかのコンポーネントに関するセキュリティガイドラインについては、セキュリティ対策に焦点を当てた後のセクションで説明する。
このアーキテクチャは、外部ネットワークと内部ネットワークを分離することができ、内部ネットワークに関する情報を隠すことができる。アクセス制御・保護を強化するために、別セグメントをDMZ内に割り当てることができる。
実際には、別サービス用インターネットゲートウェイのアーキテクチャは、ネットワークインフラストラクチャ、提供されるサービス、パフォーマンス、作動形態、コストなどの多くの要因に応じ、スペックのテーラリングを要することがある。
• Web servers can be placed inside or outside the internal network. Web servers, which are placed inside the internal network, are normally used for providing information to internal users, while web servers outside the internal network are used for disseminating information to the public or external users. All outside web servers need to be connected to the firewall in the DMZ with a separate network interface.
• A dedicated host should be assigned for running a web server, a mail server or any critical service separately. In case of being compromised, this can reduce the impact to other services.
•Webサーバは、内部ネットワークの内部または外部に配置することができる。Webサーバは内部ネットワーク内に置かれ、通常、内部ユーザーに情報を提供するために使用される。一方で、内部ネットワーク外のWebサーバは、パブリックまたは外部のユーザに情報を広めるために使用される。外部Webサーバはすべて別々のネットワークインタフェースを持つDMZ内のファイアウォールに接続する必要がある。
•専用ホストはそれぞれ、Webサーバ、メールサーバまたは重要なサービスを実行するために割り当てるべきである。コンプロマイズする場合は他のサービスへの影響を低減することができる。
