前言:Firewall 不只是一台設備
許多企業對防火牆(Firewall)的認知停留在「在網路邊界擺一台設備」的層面。然而,現代企業面對的威脅早已超越單純的外部攻擊,內部橫向移動(Lateral Movement)、供應鏈攻擊、雲端服務的存取管控,都需要更縝密的防火牆架構設計。本文說明企業 Firewall 架構的核心設計原則。
一、網路分區(Network Segmentation)
網路分區是企業資安架構的基礎。透過將網路劃分為多個具備不同信任等級的區域,可大幅降低單點被攻破後的橫向擴散風險。
建議分區規劃
- Internet Zone:對外網路,完全不信任
- DMZ(非軍事區):對外提供服務的伺服器(Web、Mail、DNS)
- Internal LAN:一般辦公室使用者網路
- Server Zone:應用伺服器、資料庫伺服器,高度敏感
- Management Zone:網路設備管理、IPMI/BMC,僅限 IT 人員存取
- OT/IoT Zone(製造業):工控系統、設備網路,與 IT 網路隔離
各區域之間的流量均需經過防火牆策略審查,落實「預設拒絕(Default Deny)」原則,只允許明確授權的流量通過。
二、DMZ 設計
DMZ 是企業對外服務的緩衝區,設計目標是讓外部使用者能存取必要服務,同時確保即使 DMZ 內的伺服器被攻陷,攻擊者也無法直接進入內部網路。
雙防火牆 DMZ 架構
最安全的 DMZ 設計採用兩台防火牆:外層防火牆(External Firewall)位於 Internet 與 DMZ 之間,內層防火牆(Internal Firewall)位於 DMZ 與 Internal LAN 之間。兩台防火牆建議採用不同廠牌,避免同一漏洞被同時利用。
DMZ 規則設計原則
- Internet → DMZ:僅開放 HTTP/HTTPS(Port 80/443)等必要服務
- DMZ → Internal:嚴格限制,僅允許必要的資料庫存取(如 TCP 1433/3306)
- DMZ → Internet:限制主動對外連線,防止 C&C 通訊
- Internal → DMZ:允許管理流量(SSH、RDP),但需限制來源 IP
三、VPN 規劃
遠端存取 VPN(Remote Access VPN)
提供員工遠端安全存取內部資源。建議採用 SSL VPN 或 IPsec VPN,並強制啟用多因素驗證(MFA)。現代趨勢傾向採用 ZTNA(Zero Trust Network Access)取代傳統 VPN,提供更細粒度的存取控制。
站對站 VPN(Site-to-Site VPN)
連接多個分支機構或合作夥伴網路。使用 IPsec IKEv2 協定,加密演算法建議採用 AES-256 + SHA-256 以上等級。
四、高可用架構(HA)
關鍵業務的防火牆必須部署高可用架構,避免單點故障造成網路中斷。
主動-被動(Active-Passive)HA
主機台(Active)處理所有流量,備機台(Passive)即時同步狀態。主機台故障時,備機台自動接管,切換時間通常在 1~3 秒內。適合大多數企業環境。
主動-主動(Active-Active)HA
兩台設備同時處理流量,負載分擔,整體吞吐量為單台的兩倍。設定較複雜,適合高流量環境。切換時間更短(通常低於 1 秒)。
五、常見設計錯誤
以下是企業 Firewall 架構中最常見的設計失誤,需特別注意避免。
- Allow Any Any 規則:圖省事開放所有流量,完全失去防火牆意義
- 未分區的平坦網路(Flat Network):一旦任何設備被攻陷,攻擊者可自由橫向移動
- 管理介面對外開放:防火牆管理介面(WebUI/SSH)不應可從 Internet 直接存取
- 規則從不審查:隨時間累積大量廢棄規則,降低安全性且難以維護
- 日誌未保存:防火牆日誌是事件調查的關鍵,建議保存至少 90 天
- 未啟用 IPS/IDS 功能:現代 NGFW(次世代防火牆)提供的 IPS 功能可攔截已知攻擊特徵,應予啟用
重點摘要
- 縱深防禦:邊界 NGFW(南北向)+ 微分段(東西向)+ WAF(應用層)
- 50-200 人企業防火牆設備預算約 15-50 萬元
- 防火牆威脅訂閱必須持續續約,否則等於沒有防護
- Fortinet 與 Palo Alto 是台灣企業最主流的兩個選擇
有任何問題,歡迎與我們討論。
預約免費架構盤點 →