top of page
搜尋

企業多層次網段規劃與防火牆 ACL 設計指南-以中小型製造業IT/OT為例

  • 2025年12月11日
  • 讀畢需時 8 分鐘

「大內網」是不夠的!

許多中型企業在創業初期為了快速部署,習慣把所有伺服器、使用者電腦、甚至工廠設備全部放在同一個網段。這種「大內網」架構雖然簡單,卻在資安事件發生時付出極高代價。也是艾斯飛利在服務客戶時經常看到的問題。(即便不是100%的「大內網」,也會是經多任網管人員改造後不甚完備的架構。

這樣的架構使得一旦某台使用者電腦遭受勒索軟體感染,攻擊者可以在整個網路中橫向移動,輕易打到 ERP 資料庫、HMI 控制台、甚至財務系統。

正確的做法是「網段分隔(Network Segmentation)」,也就是依據業務功能與安全等級,把不同系統與使用者分配到不同網段(VLAN/Subnet),並在網段之間部署防火牆,精確控制哪些流量可以通過、哪些必須拒絕。

小編在這邊以一家擁有研發、行政(HR / 財務 / 法務)、IT/Security、產線等部門的製造型企業為例,從網段命名到防火牆 ACL 設定原則,做完整示範。


網段架構總覽

假設情境:具備研發、行政、IT/Security、產線等多部門的製造業或科技業;資訊系統含 ERP、官方網站、Shopfloor;需同時管理 IT 與 OT 環境的企業。

建議將企業網路拆分為以下 8 個Zone:

縮寫

全名

主要用途

DMZ

Demilitarized Zone

對外公開服務:官網前端、ERP Web Front-End、Shopfloor Portal

PRD

Production

正式生產系統:ERP App Server / DB、官網後端、支付介接

UAT

User Acceptance Testing

模擬正式環境的測試區:Staging Web Server、Staging DB

DAV

Development

開發環境:Dev Web Server、Dev DB、CI/CD Runner

OA

Office Automation

辦公區:HR、財務、法務、研發工作站、一般員工

Infra/Security

Infrastructure & Security

管理網段:Jump Server、SIEM、NMS、備份系統

OT

Operational Technology

產線控制:PLC、HMI、SCADA 工作站、工業感測器

IDMZ

Industrial DMZ

IT/OT 資料交換橋梁:Historian、Data Exchange Server、OT 跳板機


設計核心原則:Deny-All,再依業務流向單向開放。所有 Zone 之間預設禁止通訊,只有明確定義的業務需求才能開放,且流量方向、來源/目的 IP、Port 三者必須同時指定。


各網段設計說明與 ACL 原則

DMZ — 對外服務前哨站

放置哪些系統: 官網前端 Web Server、Shopfloor 公共入口(B2B Portal)、ERP Web Front-End(如有對外需求)、Mail Relay / Anti-Spam Server。

對外(Internet-facing)ACL:

·       僅允許 HTTPS(443)、視需要開放 HTTP(80) 並強制 301 重導至 443。

·       Mail Relay 才開放 SMTP(25/587/465)。

·       原則上 DMZ 主機禁止主動連出 Internet;若需 OS 更新,須指定 Proxy Server,不得使用 any → Internet 規則。

對內 ACL:

·       PRD / Infra/Security → DMZ:僅允許來自跳板機的 SSH/RDP 管理連線。

·       DMZ → PRD:僅允許 Web → App 的後端 API Port(例如 TCP/8443)、App → DB 的資料庫 Port(例如 TCP/1433、3306、1521),且來源/目的需綁定至個別 Server IP。

·       嚴禁 DMZ 任何主機直接連 OT 網段。


PRD — 生產系統核心

放置哪些系統: ERP Application Server、ERP Database、官網 / Shopfloor 正式後端、支付閘道介接服務、第三方 API Gateway。

對外(Internet-facing)ACL:

·       不開放任何 Inbound;PRD 主機不直接暴露 Internet。

·       Outbound 僅允許連線至:授權憑證伺服器、支付機構特定固定 IP、必要 SaaS API;全部走 HTTP/HTTPS Proxy,並啟用 URL/Domain 白名單控管。

對內 ACL:

·       DMZ → PRD:只允許 Web → App → DB 的服務鏈,不允許 DMZ 直接 SSH/RDP 到 PRD。

·       OA → PRD:允許業務人員透過 Web(443) 使用 ERP、Shopfloor Portal;禁止 OA 直接連 PRD DB。

·       Infra/Security → PRD:允許跳板機 SSH/RDP/WinRM、監控 Agent Port(如 Wazuh 1514/1515)、備份 Agent Port。

·       IDMZ → PRD(或 PRD → IDMZ):僅允許 ERP / Shopfloor 資料交換 API 的特定 TCP Port,不允許 PRD 直接連 OT。


UAT — 用戶驗收測試環境

放置哪些系統: UAT Web Server、Staging Application Server、Staging Database、測試版 Shopfloor Front-End。

對外(Internet-facing)ACL:

·       一般不對外開放服務;若需外部使用者測試,建議以 SSL VPN + MFA 控管。

·       Outbound 走 Proxy;可較 PRD 略寬鬆,但仍禁止未定義的高風險 Port(如 Telnet、任意 RDP outbound)。

對內 ACL:

·       OA → UAT:允許測試人員透過 Web(443) 存取,URL 需與 PRD 不同以避免誤操作。

·       DAV → UAT:允許 CI/CD Pipeline 部署。

·       嚴禁 UAT 直接連 PRD DB;測試所需的資料需由 PRD 匯出、去識別化後匯入 UAT(規則為 PRD→UAT 單向傳輸、限定 SFTP 或 API)。

·       Infra/Security → UAT:管理、監控、掃描(漏洞掃描建議在 UAT 先行,確認後再套用至 PRD)。

DAV — 開發環境

放置哪些系統: 開發用 Web Server、Dev Database、Git Self-Hosted、CI/CD Runner(Jenkins / GitLab Runner / SonarQube)、Container。

對外(Internet-facing)ACL:

·       透過 Dev Proxy,開放 GitHub / GitLab / PyPI / npm / Docker Hub 等 Domain 白名單。

·       禁止對外提供任何 Inbound 服務。

對內 ACL:

·       DAV → UAT:CI/CD Runner 允許 push/deploy 到 UAT 的特定端點。

·       嚴禁開發人員工作站或 CI/CD 直接連 PRD;如需緊急 Hot-fix 部署,必須走 Change Management 流程並由 Infra 執行。

·       Infra/Security → DAV:管理、監控、弱點掃描。

·       DAV → Infra:僅允許回傳log。

OA / Office — 辦公自動化區

放置哪些系統: 一般員工工作站、HR / 財務 / 法務 PC、印表機、IP Phone、研發工程師工作站(若與 DAV 分開計算)、AD DC(若非獨立管理網段)。

對外(Internet-facing)ACL:

·       走 Secure Web Gateway / Proxy;允許 HTTP/HTTPS、必要的 VoIP / Video 服務。

·       禁止高風險協定:P2P、未受管 RDP Outbound、Tor 等。

·       OA 不接受來自 Internet 的任何 Inbound 連線。

對內 ACL:

·       OA → PRD:僅允許 ERP/Portal Web(443);禁止 OA 直接連 PRD DB、SSH 到 PRD Server。

·       OA → UAT:同上,僅 Web 存取。

·       OA → DAV:研發人員可連 Git Server、Dev Portal;一般行政員工禁止。

·       OA → Infra/Security:一般使用者禁止直接連 Jump Server;IT 人員需透過 VPN + MFA 後才能存取。

·       OA → OT / IDMZ:完全禁止,OA 使用者不應有任何路徑能觸及工控系統。

Infra / Security — 集中管理網段

放置哪些系統: Jump Server / Bastion Host、SIEM(如 Wazuh / Splunk / Sentinel)、NMS / 監控系統(如 Zabbix)、Patch Management Server、EDR Management Console(如 Palo Alto Cortex XDR)、備份系統(Backup Server)。

對外(Internet-facing)ACL:

·       禁止一般 Web Surfing;僅允許連至 Threat Intelligence Feed、更新伺服器(OS Patch / AV 定義)、雲端 SIEM / EDR 管理端點的特定 IP / Domain。

·       建議管理終端機與管理網段的 Internet 存取完全隔離,或透過獨立 Proxy。

對內 ACL(全 Zone 管理出口):

·       Infra/Security → All Zones:允許 Jump Server 對各 Zone 的管理 Port(SSH/22、RDP/3389、WinRM/5985/5986),但以最小必要範圍綁定目的主機白名單。

·       All Zones → Infra/Security:允許日誌回傳(Syslog/514、Beats/5044、Wazuh Agent/1514)、監控回傳(SNMP/161、ICMP)、備份 Agent。

·       禁止其他 Zone 之間透過 Infra/Security 作為中繼,互相管理對方的主機;所有管理路徑必須以 Jump Server 為唯一入口。[1]

OT — 產線控制系統

放置哪些系統: PLC(可程式邏輯控制器)、HMI(人機介面)、SCADA 工作站、DCS、工業感測器、產線機器人控制器。視規模可再細分 Subnet,例如 OT-LINE-AOT-LINE-B

對外(Internet-facing)ACL:

·       完全禁止;OT 設備不得有任何直接或間接的 Internet 連線路徑。這是最高優先級的絕對限制。

對內 ACL:

·       OT → IDMZ:允許 OT 系統(Historian / Data Collector)主動推送資料到 IDMZ 的 Data Exchange Server(OPC-UA/4840、特定 TCP/HTTPS),方向為 OT → IDMZ。

·       IDMZ → OT(Inbound):原則上禁止;若需遠端工程維護,必須透過 IDMZ 跳板機,且規則需加上:來源限定跳板機 IP + 目的限定特定 OT 主機 + 限定工控協定 Port,並以維護視窗時段限制。

·       Infra/Security → OT:建議採被動監控(Port Mirroring + 工業級 IDS,如 Claroty / Dragos),避免主動掃描影響 PLC 穩定性。

IDMZ — IT/OT 工業隔離區

IDMZ(Industrial Demilitarized Zone)是整個架構最關鍵的一個區段。其核心設計理念來自 ISA/IEC 62443 與 Purdue Model:所有 IT ↔ OT 的資料交換都在此終止並重建,任何 IT 端的 Session 不得直接貫穿至 OT,反之亦然。

放置哪些系統: ERP / Shopfloor Data Exchange Server、OSIsoft PI / Historian Mirror、Message Queue(如 Kafka / RabbitMQ)、OT 專用跳板機(隔離於一般 IT 跳板機)、防毒掃描閘道(File Inspection Proxy)。

對外(Internet-facing)ACL:

·       原則禁止;若必須(例如 NTP 時間同步),來源需是 IDMZ 特定 Server,目的只允許 NTP Server IP,並且不允許 HTTP/HTTPS Browse。

對內 ACL:

·       IT / PRD → IDMZ:允許 ERP 或 IT 系統透過 API / File Share / MQ 取得 IDMZ 資料交換伺服器的資料,Port 綁定,來源限定。

·       OT → IDMZ:允許 OT 資料主動推送到 IDMZ Historian / Exchange Server,Port 綁定。

·       IDMZ → IT / PRD:允許 Data Exchange Server 推資料至 PRD ERP,單向、Port 綁定。

·       IDMZ → OT:原則禁止 Inbound;例外為 OT 跳板機連線(須有授權記錄與session time-out限制)。

·       IDMZ 跳板機:

o   IT 端:允許 Infra/Security 管理人員從 Jump Server 連至 IDMZ 跳板機(VPN + MFA)。

o   OT 端:從 IDMZ 跳板機到 OT 設備的維護連線,需具備完整的 Session 錄影(PAM 功能)。


其他觀念補充

最小權限原則(Least Privilege Principle)

每一條防火牆規則必須指定最小化的來源 IP、目的 IP、目的 Port、通訊協定,避免使用 any。定期(建議每季)審查 ACL,移除已不再使用的規則。

禁止對稱規則(No Symmetric Rules Unless Explicitly Needed)

開放 A → B 某 Port,不代表 B → A 同 Port 也應該開放。只有應用層確實需要雙向連線(如需要 callback 的服務)才例外。

IT / OT 橋梁唯一化

IT 與 OT 之間不得有任何「捷徑路由」。所有資料交換必須經過 IDMZ;若發現任何 OT 設備可以不經 IDMZ 而直接被 IT 端存取,視為高嚴重性架構缺陷,需立即整改。

管理路徑集中化

所有 Zone 的管理工作(SSH、RDP、管理 API)必須以 Infra/Security 網段的 Jump Server 為唯一入口;禁止管理人員直接從 OA 工作站連線至 PRD、OT 等環境。Jump Server 需啟用 MFA 與 Session 錄影。

OT 安全監控

工控設備(PLC/HMI)對主動掃描極為敏感,強烈建議採被動監控模式,例如在 OT 核心交換器啟用 Port Mirroring,將流量送至工業級 IDS進行分析,避免主動掃描導致設備當機或誤動作。

紀錄與告警

防火牆應對所有 Deny 事件記錄 Log,並將 Log 轉發至 Infra/Security 網段的 SIEM。建議針對以下情境設定高優先告警:

·       任何 OT / IDMZ 的 Deny-Inbound 事件

·       DMZ 主機嘗試主動連線 Internet(非 Proxy)

·       OA → PRD DB 的直連嘗試

·       Infra/Security 區段以外的主機嘗試連線 Jump Server

結語

製造業的資訊安全挑戰在於必須同時保護 IT 與 OT 兩個截然不同的世界:IT 側重機密性與完整性,OT 首要保障可用性與安全性(Functional Safety)。透過清晰的 Zone 劃分、IDMZ 作為 IT/OT 橋梁、以及 Deny-All 為基礎的 ACL 設計,可以有效將攻擊面最小化,即使 IT 環境發生資安事件,也能防止橫向移動波及產線控制系統,保障生產連續性與人員安全。

 
 
 

留言

©2026 by Asfalis International Ltd.

bottom of page