與對出外網連線進行管制,能不開就
不開,針對特定的
Server
僅開放特
定服務,否則一個持續在線上,又能
去任何地方的任何
Port
可是駭客最
愛的目標。
二、以
Port Base
管 理 還 是
IP
Base
管理?
這 個 問 題 的 環 境 是, 管 理
Internet
DMZ
的 方 向 時, 是 以
Port
為基準管理還是以
IP
為基準管理。
1.
Port Base
Port
為基準的管理者大部
份都寫過程式,認為寫
Firewall
Policy
就像在寫程式一樣,如果能以
較少的
Policy
完成一樣的事,這不
僅在設定
Policy
時有效率,
Firewall
的運作上也是很有效率的。例如在
DMZ
區有
10
Web Server
都需
要開放
80
Port
那只需一條
Policy
搞定,如圖一。
而不是每個
IP
一條
Policy
的設
10
Policy
所以
Port Base
理者認為達到相同的防護,自已在設
定上有效率,
Firewall
運作亦有效率。
2.
IP Base
IP
為基準的管理者認為
Port
的開放是基於
IP
而不是
IP
為該
Port
而開放,所以設定上當然是以
IP
為基準來設定。套用這個哲學性的理
論,對上例相同
10
Web Server
開放
80
Port
Policy
則如圖二。
圖中可發現相同的管理目的在
設定上著實多了九條
Policy
在設
定上極度沒有效率。但,
IP Base
理者認為就設定上來說,如果時間拉
長,
DMZ
的主機數一定比
Port
(65535)
少,長期而言
Policy
筆數會
Port Base
少。而就管理面,設定
只是末端的事,管理真正面對的是如
圖二 
IP Base Policy
圖一 
Port Base Policy
198
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用