That is why other security functions (such as intrusion detection and monitoring, and computer virus scanning) should be used together. However, it is observed that the boundary between firewall and other security measures is becoming blurred as firewall manufacturers continuously incorporate additional features, e.g. Virtual Private Network (VPN), encryption, etc. to firewall.
Two packet-filtering routers (one external and one internal) are used to filter and route the selected traffic to the firewall from either external side or internal network. In order to connect to the Internet, the external packet-filtering router should be set up. The internal packet-filtering router is used to separate the DMZ segment
二つのパケットフィルタリングルータ(一つは外部用、一つは内部用)は外部入力と内部ネットワークからファイアウォールへの選択されたやりとりをフィルタリングして通すのに使われます。インターネットに接続するために、外部パケットフィルタリングルータがセットアップされます。内部パケットフィルタリングルータは、DMZセグメントを切り離すために使われます。
ファイヤウォールを外側からと内側からと通過するトラフィックをルーティングしたりフィルタリングするために、2台のパケットフィルタリングルータ(内側向けと外側向け)が使われる。インターネットに接続するには、外向けパケットフィルタリングルータを適切に設定する必要がある。内向けパケットフィルタリングルータは、DMZセグメントを分離するために使う。
(which will be explained in later sub-section) from the internal network. Unlike firewalls, these routers are normally considered as network devices with value-added security features rather than as security products.
The intrusion detection and monitoring stated above refers to any means, such as tools or procedures, that can provide such functions, but may not be necessary a physical device. The use of IDS/IPS tools can help to automate, speed up and facilitate the intrusion detection and monitoring process. The actual use of such tools is subject to our department’s own requirements but the gateway should accommodate with at least a procedure-based mechanism to detect and monitor intrusions.Apart from that,
上述の侵入検出およびモニタリングは、例えばツールや手順といった、何であれ、そのような機能の提供はできるが、物理的な機器である必要がないかもしれない手段に属するものとされています。IDS/IPSツールの使用は、侵入検出およびモニタリング・プロセスを自動化し、スピードアップし、容易にする役に立つことがあります。そうしたツールの実際の使用は、我々の部門自体の要件次第ですが、そのゲートウェイは、少なくとも、侵入を検出およびモニターするための手順ベースのメカニズムに適合していなければなりません。それを除けば、
上で述べた侵入検知および監視は、目的の機能を達成できるのであればツールや手動による作業などでもよく、物理的なデバイスでおこなう必要はない。IDS/IPSツールを使うことで、侵入検知および監視処理を自動化し、スピードアップを図る助けになる。こういったツールの利用は、あくまでセキュリティ部門自身の都合によるものであり、ゲートウェイは、最低限人的処理による侵入検出および監視の仕組みを整えておかなければならない。
a set of security policy and procedures should be developed for controlling and monitoring the Internet gateway. There is a need to perform security audit regularly, after major changes or prior to implementation to ensure that the Internet gateway is set up properly in accordance with the security policy. Even if there is no internal network connection, it would still be better to have the above recommended security protection.
Illustrated below is a sample logical network diagram for an Internet gateway. Our departments may revise the network architecture according to their own requirements, services offered and existing network structure. The relative position of network components may need to be altered.
インターネット・ゲートウェイのための実例論理ネットワーク図を、下記で例証します。我々の部門では、自身の必要条件、提供サービス、および現在のネットワーク構造に従って、ネットワーク・アーキテクチャを修正することができます。ネットワーク構成要素の相対的な位置は、変える必要があるかもしれません。
下図はインターネットゲートウェイの論理ネットワーク図の例である。本部門は、個別の要望やサービス、既存ネットワーク構成にもとづいてネットワークアーキテクチャを変更することになるだろう。ネットワーク機器の相対的な場所も変更することが想定される。
Great!