複選題

40. 情境如附圖所示。承上題參如本系統情境架構， XYZ 公司為提升安全防護計劃建置防火牆，並且將網路分 割為不同網段以管理網路通訊，同時提供維護廠商得以用 VPN 進行連線作業，參考附圖中的網路區塊規劃，請問依以 下路由管理項目，防火牆應建立的基本資安政策組合有下列哪些項目？

(A) 丙庚壬
(B) 丁己辛
(C) 癸丑卯乙
(D) 戊子寅甲

逐一檢視四個選項

(A) 丙庚壬

• 丙：Allow LAN to WAN
• 庚：Allow LAN to OT
• 壬：Deny OT to LAN

這三條規則對「辦公室 ↔ OT ↔ WAN」的互通有明確設定：

1. 允許 LAN → WAN（正常上網）。
2. 允許 LAN → OT（辦公室人員可連到工廠系統，例如遠端監控或維護）。
3. 拒絕 OT → LAN（工廠區域不可反向存取辦公室）。

這正是工控常見的「單向連線」策略，確保工廠比較封閉，減少風險往辦公室端蔓延。
然而 (A) 沒有明說 DMZ 與 VPN 相關規則，但或許題意是「(A) 只負責 LAN/OT/WAN 之間」的基本政策。

(B) 丁己辛

• 丁：Deny WAN to LAN
• 己：Deny OT to VPN
• 辛：Allow OT to LAN

1. 拒絕 WAN → LAN：外網不能直接進辦公室 (這和 (A) 丙庚壬有些重複或類似功能)。
2. 拒絕 OT → VPN：工廠不能直通 VPN（避免工廠主動穿隧道出去？）。
3. 允許 OT → LAN：這卻和 (A) 的壬衝突(那裡是禁止 OT→LAN)。如果在工廠確實需要回送資料到辦公室，也有可能開啟，但風險較高。

通常工控環境比較常見的作法是「壬 (Deny OT→LAN)」，而不是「辛 (Allow OT→LAN)」。因此 (B) 在許多資安建議中不太常被當作『標準做法』。

(C) 癸丑卯乙

• 癸：Deny DMZ to OT
• 丑：Deny OT to LAN
• 卯：Deny DMZ to VPN
• 乙：Allow All

同時有多個 Deny，又出現一個 Allow All，其邏輯非常矛盾：如果最後是 Allow All，那前面那些 Deny 幾乎被覆蓋。故 (C) 典型被排除。

(D) 戊子寅甲

• 戊：Allow VPN to DMZ
• 子：Allow DMZ to OT
• 寅：Allow DMZ to VPN
• 甲：Deny All

這四條對「VPN ↔ DMZ ↔ OT」之間的通訊提供了雙向放行（VPN ↔ DMZ ↔ OT），並以 「Deny All」(甲) 做為其他流量的預設封鎖。
這正是「廠商要遠端維護 OT，需要先透過 VPN 進 DMZ，再由 DMZ 進 OT」的常見設計，且不允許任何多餘流量。