高考申論題
106年
[統計] 資料處理
第 一 題
📖 題組:
假設你身為某公司的資訊部門主管,被要求將臺北總公司及高雄工廠之區域網路連結成企業內部網路(Intranet),也被賦予在臺北總公司區域網路規劃資訊安全防禦的任務,在臺北總公司的區域網路內有網頁伺服器(Web server)、應用伺服器(Application server)、網域名稱伺服器(DNS server)、郵件伺服器(SMTP server)、企業資源規劃伺服器(ERP server)及檔案傳輸協定伺服器(FTP server),而你所擁有的工具為數個防火牆(Firewall)、小型入侵偵測系統(IDS)及虛擬私有網路閘道(VPN Gateway),你將如何規劃一套最符合成本效益且安全的網路架構來達成這個任務?(為了說明上的方便,你可以自行做一些數值的假設。)
假設你身為某公司的資訊部門主管,被要求將臺北總公司及高雄工廠之區域網路連結成企業內部網路(Intranet),也被賦予在臺北總公司區域網路規劃資訊安全防禦的任務,在臺北總公司的區域網路內有網頁伺服器(Web server)、應用伺服器(Application server)、網域名稱伺服器(DNS server)、郵件伺服器(SMTP server)、企業資源規劃伺服器(ERP server)及檔案傳輸協定伺服器(FTP server),而你所擁有的工具為數個防火牆(Firewall)、小型入侵偵測系統(IDS)及虛擬私有網路閘道(VPN Gateway),你將如何規劃一套最符合成本效益且安全的網路架構來達成這個任務?(為了說明上的方便,你可以自行做一些數值的假設。)
📝 此題為申論題,共 3 小題
小題 (一)
請畫圖展示以上每個設備安置的位置並說明你的設計理念。(15 分)
思路引導 VIP
面對企業網路架構設計題,考生應首先根據伺服器的「對外開放程度」進行網段劃分(區分 DMZ 與 Intranet)。接著,利用雙防火牆建構深度防禦、透過 Site-to-Site VPN 達成低成本且安全的跨廠區連線,並將 IDS 部署於關鍵網段(如 DMZ 旁路監聽)以兼顧效能與資安監控。
小題 (二)
針對防火牆請說明你的過濾規則。(5 分)
思路引導 VIP
看到防火牆規則考題,首要步驟是建立「網路區域劃分(DMZ 與 Intranet)」架構。將對外服務(Web, DNS, SMTP, FTP)置於 DMZ,核心業務伺服器(Application, ERP)置於內部網路;接著依據「最小權限原則(Default Deny)」,針對各區域間的進出流量,具體列出允許的通訊埠(Port)與預設阻擋規則。
小題 (三)
如果虛擬私有網路閘道你選擇使用 IPsec 規格,請描述你的 IP 設定。(5 分)
思路引導 VIP
面對IPsec VPN設定題,首先確認連線情境為總公司對分支機構(Site-to-Site VPN),因此必須選擇「通道模式(Tunnel Mode)」。接著,自行假設兩端的公有IP與私有網段,具體說明封包在傳輸時「內部IP(真實端點)」與「外部IP(VPN閘道)」的封裝對應關係。