网路架构检视 - 连线存取、防火墙

网路基础架构做完上一篇的分区与 IP 分配後，下一步就要开始针对每一个区域的性质调整各项防护措施，以下列举2个常见的连线限制与防火墙设定。这两项设定可以确保资安事件发生时不会横向感染，也能借由封锁连线不会让受害主机减少可攻击目标。

连线存取

• 每个分区原则上不互通
• 需要互相连线时再申请开通。如果重复性高，则考虑新建一个独立区域，例如公用的列表机。

防火墙

• 对外连线原则上采取白名单。禁止对内连线。
• 一般个人或访客上网对外开放网页即可。配合黑名单管制特定网站
• 主机区对内连线亦尽可能使用白名单，限制可存取的 IP

资安防护措施的基本原则就是零信任，即使内部也一样，因此最佳的状况是所有的连线都在掌握之中。尤其是例外时，必须经过申请知道其需求，以避免不明的连线。