前言:防火牆是網路邊界的核心控制點
防火牆是所有進出網際網路、以及跨安全區域流量的檢查點——它決定了什麼流量可以通過、什麼必須擋下。多數企業的防火牆問題,並不是設備買得不夠好,而是「選型沒有依實際流量與威脅檢測需求評估、安全區域劃分不清、規則多年沒人整理」。本文聚焦於防火牆本身的架構設計:選型與效能評估、安全區域與 DMZ 設計、高可用部署模式、規則生命週期管理,以及常見的設計錯誤。至於涵蓋端點防護、應用安全與監控體系的整體規劃,可參考我們的企業網路安全設計:從邊界防護到縱深防禦一文。
一、NGFW 選型與效能評估
防火牆選型最常見的誤區,是直接拿廠商 datasheet 上標示的「防火牆吞吐量」來估算需求。這個數字通常是在大封包、未開啟任何檢測功能的條件下測得,跟實際上線的使用情境差距很大。
datasheet 標稱值 vs 實效吞吐量
一旦開啟 IPS、防毒與 TLS 解密檢測,防火牆需要對每個封包做深度內容檢查,處理負載大幅增加。這時真正該參考的數字是「威脅防護吞吐量(Threat Protection Throughput)」,而非防火牆吞吐量——開啟完整檢測後的實效吞吐,常只剩 datasheet 標稱值的一到兩成,部分機種甚至不到一成。選型時務必要求廠商提供「開啟全部檢測功能」條件下的實測或官方數據,並依此估算,而不是依標稱值反推。
TLS 檢測的效能代價
現今企業對外流量絕大多數已加密,若防火牆不解密就無法檢查內容,等於形成一塊盲區。但啟用 TLS 解密會顯著消耗運算資源,sizing 時必須把預計要解密檢查的流量比例一併算進去,而不是只看明文流量的處理能力。
其他 sizing 指標
防火牆選型不能只看頻寬與吞吐量,下列幾項指標同樣容易在實際上線後才發現不足:
- 並行連線數(Concurrent Sessions):同時維持的連線數量上限,使用者數與應用型態(如大量小連線的 IoT/VoIP)會大幅影響需求
- 每秒新建連線數(CPS):短連線密集的環境(如對外 API、爬蟲密集網站)容易先撞到 CPS 上限而非頻寬上限
- VPN 加密吞吐:若防火牆同時終結遠端存取或站對站 VPN,加解密運算會額外佔用資源,需獨立估算
- 介面數量與速率:多分區、多分點架構需要足夠的實體或虛擬介面,介面速率也要對應核心網路的規格,避免防火牆成為瓶頸
成長餘裕與生命週期
防火牆設備的使用週期通常是 5~7 年,選型時應依目前對外頻寬與人數推估未來需求,並預留 1.5~2 倍的成長餘裕,避免上線 2、3 年就因效能不足被迫提前汰換。以中小企業經驗值而言:50 人以下企業選桌上型入門款約 3-8 萬元即可;50-200 人建議中階機種約 15-30 萬元;200 人以上或多分點環境則需要高階機種,30 萬元起。價格通常僅含基本授權,威脅防護訂閱另計,年費約為設備價格的 20-30%。
若防火牆同時要終結遠端存取 VPN,記得把 VPN 加密吞吐與同時連線人數一併納入選型;至於遠端存取要繼續用 VPN 還是改採 ZTNA,可參考ZTNA 與傳統 VPN 的比較分析。
二、安全區域(Zone)設計
安全區域設計是防火牆架構的基礎:在防火牆上依信任等級把網路切成多個 Zone,並用 zone-pair policy 控管區域之間的流量,而非只用單一介面把所有內部設備視為同一等級。
建議分區規劃
- Internet Zone:對外網路,完全不信任
- DMZ(非軍事區):對外提供服務的伺服器(Web、Mail、DNS)
- Internal LAN:一般辦公室使用者網路
- Server Zone:應用伺服器、資料庫伺服器,高度敏感
- Management Zone:網路設備管理、IPMI/BMC,僅限 IT 人員存取
- OT/IoT Zone(製造業):工控系統、設備網路,與 IT 網路隔離
各區域之間的流量均需經過防火牆策略審查,落實「預設拒絕(Default Deny)」原則,只允許明確授權的流量通過。
南北向與東西向的分工
邊界防火牆主要負責的是南北向流量(進出網際網路的流量),對內部設備之間的東西向(橫向)流量控管力有未逮。內部 VLAN 劃分與微分段的完整做法,可參考企業網路分段與 VLAN 設計最佳實踐。
三、DMZ 設計
DMZ 是企業對外服務的緩衝區,設計目標是讓外部使用者能存取必要服務,同時確保即使 DMZ 內的伺服器被攻陷,攻擊者也無法直接進入內部網路。
雙防火牆 DMZ 架構
最安全的 DMZ 設計採用兩台防火牆:外層防火牆(External Firewall)位於 Internet 與 DMZ 之間,內層防火牆(Internal Firewall)位於 DMZ 與 Internal LAN 之間。兩台防火牆建議採用不同廠牌,避免同一漏洞被同時利用。
DMZ 規則設計原則
- Internet → DMZ:僅開放 HTTP/HTTPS(Port 80/443)等必要服務
- DMZ → Internal:嚴格限制,僅允許必要的資料庫存取(如 TCP 1433/3306)
- DMZ → Internet:限制主動對外連線,防止 C&C 通訊
- Internal → DMZ:允許管理流量(SSH、RDP),但需限制來源 IP
這四條規則的共同精神是「單向信任」:外部只能存取 DMZ 開放的特定服務,DMZ 到內部的連線範圍要壓到最小,DMZ 對外的主動連線更要嚴格限制,避免 DMZ 伺服器被入侵後淪為跳板。
單防火牆多區域架構
中小企業預算有限時,也可用單台 NGFW 的多介面或虛擬介面切出 DMZ 區域,再以安全策略(Policy)控管各區域間流量。這種架構成本較低,但整台設備形成單點故障,務必搭配下一節的 HA 部署,避免設備異常時對外服務與內部網路同時中斷。
四、高可用(HA)部署模式
關鍵業務的防火牆必須部署高可用架構,避免單點故障造成網路中斷。
主動-被動(Active-Passive)HA
主機台(Active)處理所有流量,備機台(Passive)即時同步 session 與設定狀態。主機台故障時,備機台自動接管,切換時間通常在 1~3 秒內,已建立的連線(含長連線)多半不會中斷。這種模式行為可預期、韌體升級也容易操作(先升級備機 → 手動切換 → 再升級原主機),適合絕大多數企業環境。
主動-主動(Active-Active)HA
兩台設備同時處理流量,理論上可分擔負載,但受限於 session 同步開銷與非對稱路由(去程與回程流量可能各自流經不同設備)等因素,實務上整體吞吐增益常明顯低於直覺想像的兩倍;設定與除錯複雜度也顯著較高。建議只在單台效能確實不足、且短期內無法升級機種時才採用,多數企業並不需要。
HA 設計細節與演練
HA 對之間應使用獨立的心跳線(heartbeat),避免網路壅塞造成誤判裂腦(split brain);兩台設備的韌體版本必須維持一致,避免行為不一致。此外,HA 不是裝了就一勞永逸——建議每半年至一年安排一次計畫性 failover 演練,實際確認切換行為、連線中斷狀況與監控告警是否如預期運作,而不是等到真正故障時才第一次驗證。演練同時也是驗證備援電源、備援線路是否同步生效的機會,避免防火牆本身有 HA、但上游線路或機房電力仍是單點。防火牆之外的交換器、線路與整體網路冗餘設計,可參考企業高可用性網路設計指南。
五、防火牆規則生命週期管理
規則沒有人定期整理,是多數企業防火牆最終變得又肥又難稽核的主因。
規則膨脹的成因
多數防火牆規則庫只增不減:專案上線時加的臨時規則沒有設到期日、系統換掉了但舊規則沒人敢刪、不同人接手後不清楚某條規則還有沒有用。幾年下來累積數百條規則,不僅擴大攻擊面、拖累效能,也讓稽核與除錯變得極為困難。
每條規則的五要素
建立規則時就應記錄:用途註記、申請人/負責人、核准紀錄、到期日(臨時規則必填)、日誌開關是否開啟。規則命名建議包含用途與建立日期,方便日後追蹤。
每季 Recertification
建議每季執行一次規則審查:清查長期零命中(hit count 為 0)的規則、已過期的臨時規則、過寬的來源或目的設定(大網段、any),以及被前面較寬鬆規則遮蔽而永遠不會被命中的 shadow rule。每條規則都應由對應的業務負責人確認「目前仍然需要」才可續留——這也是 NIST SP 800-41 防火牆政策指南等資安框架長期建議的做法:防火牆規則應定期檢視而非一次設定終身沿用。
變更管理與日誌
規則變更應留下申請、核准、實作、驗證四步驟的紀錄;重大變更應避開營業尖峰時段,並事先準備好回退方案。所有規則都應開啟日誌記錄,至少保存 90 天;若企業有個資或合規要求(如正在導入 ISO 27001 的企業,或受主管機關資安規範約束的上市櫃公司),保存期間建議拉長至 6 個月以上。日誌集中收容與告警規則的建置方式,可參考IT 基礎設施監控與告警系統建置指南。
六、常見設計錯誤
以下是企業 Firewall 架構中最常見的設計失誤,需特別注意避免。
- Allow Any-Any 規則:圖省事開放所有流量,完全失去防火牆意義
- 管理介面對外開放:近年多起防火牆管理介面漏洞遭大規模利用的事件,都是因為管理介面(WebUI/SSH)直接暴露在 Internet 上。管理介面應僅綁定管理網段、限制來源 IP 並啟用 MFA,絕不可從網際網路直接存取
- 規則優先序錯誤:把寬鬆規則排在嚴格規則前面,導致後面較細緻的規則被整條遮蔽(shadow),看似有管制、實際上早已放行
- HA 買了沒演練:從未做過計畫性切換測試,真正故障時才發現備機 session 不同步或設定已經漂移
- 日誌未保存:防火牆日誌是事件調查的關鍵,建議保存至少 90 天
- 威脅訂閱過期:NGFW 的 IPS/威脅特徵碼訂閱到期未續約,設備會瞬間退化成傳統防火牆,等於沒有防護
重點摘要
- 選型看「威脅防護吞吐量」:開啟檢測後常只剩標稱值的一到兩成
- 區域間流量預設拒絕(Default Deny),管理介面絕不對外開放
- 多數企業 HA 選 Active/Passive 即可;Active/Active 增益有限且複雜度高
- 規則每季審查一次:清 any-any、殭屍規則與過寬網段
- 威脅防護訂閱必須持續續約,否則等於沒有防護
不確定現況或下一步該怎麼做?凱茂資深工程師用實戰經驗,協助您釐清問題、找出最適合貴公司的做法。
預約免費架構盤點 →常見問題
中小企業需要什麼等級的防火牆?
選型關鍵是看開啟 IPS、防毒與 TLS 檢測後的「威脅防護吞吐量」,而非 datasheet 標稱的防火牆吞吐量,並預留 1.5~2 倍成長餘裕。以經驗值而言:50 人以下企業選桌上型入門款 NGFW(約 3-8 萬元)即可;50-200 人建議中階機種(約 15-30 萬元);200 人以上或多分點環境需要高階機種(30 萬元起)。價格含基本授權,威脅防護訂閱另計。
防火牆跟 UTM 有什麼差別?
UTM(Unified Threat Management)是整合多種資安功能的防火牆,通常包含防火牆、IPS、防毒、URL 過濾、VPN 等。現代的 NGFW(次世代防火牆)已涵蓋 UTM 所有功能,兩者在市場上幾乎同義。差別在於 NGFW 更強調應用層識別與進階威脅防護。
防火牆需要定期更新嗎?
必須。防火牆的威脅特徵碼、IPS 規則、URL 資料庫都需要持續更新才能偵測最新威脅。大多數廠商以年度訂閱方式提供更新服務(FortiGuard、Threat Prevention),年費通常是設備價格的 20-30%。到期未續約的防火牆等於沒有防護。
防火牆 HA 該選 Active/Passive 還是 Active/Active?
大多數企業選 Active/Passive 即可:架構單純、故障切換行為可預期(切換通常 1~3 秒),維護與韌體升級也容易。Active/Active 雖能分擔流量,但受 session 同步與非對稱路由影響,實際吞吐增益常明顯低於理論上的兩倍,設定與除錯複雜度也高得多,建議只在單台效能確實不足且暫時無法升級機種時才採用。
防火牆規則多久要審查一次?
建議每季做一次規則審查(Recertification):清查長期零命中的規則、已過期的臨時規則、過寬的來源與目的設定,並確認每條規則都有用途註記與負責人。若企業有合規要求(如導入 ISO 27001 或受主管機關資安規範約束),審查週期與紀錄保存應依相關規範執行。
訂閱 IT 技術電子報
每月精選 IT 趨勢與實務文章,直接送到你的信箱