Internal Segmentation Firewalls 深度解析
東西向流量管控與內網微分段隔離實戰指南
現代企業網路安全面臨一個殘酷的現實:邊界防火牆(Perimeter Firewall)不再是萬能的守門人。隨著零信任架構的興起、雲端混合環境的普及,以及愈發複雜的 APT(進階持續性威脅)攻擊,傳統「城牆式」防禦思維已嚴重失效。攻擊者一旦突破外部邊界,便能在內網如入無人之境,自由進行橫向移動(Lateral Movement)。
這正是 Internal Segmentation Firewalls(ISFWs,內部分段防火牆) 誕生的核心原因。ISFWs 部署於企業內網各安全信任區段之間,專責過濾東西向(East-West)流量,即伺服器對伺服器、工作站對伺服器之間的內部通訊。即使邊界遭突破或內部主機淪陷,ISFW 仍可將威脅精準侷限於單一安全區域,阻斷橫向擴散路徑。
📌 本文適用對象與範圍
- 企業資安架構師、網路工程師、SOC 分析師
- 適用於中大型企業內網、資料中心、混合雲環境
- 參考平台:Fortinet FortiGate ISFW(v7.x)、VMware NSX-T(v3.x)、Cisco Secure Firewall
- Zero Trust Network Access(ZTNA)與微分段(Micro-segmentation)實踐者
一、為什麼傳統防火牆無法解決東西向威脅?
傳統網路安全模型以「南北向(North-South)」流量為核心設計理念,即管控進出企業邊界的流量。然而根據 Gartner 研究報告,超過 70% 的網路攻擊流量發生於內網橫向移動階段,這些流量完全不會觸及外部邊界防火牆,因此傳統架構幾乎視而不見。
以 2017 年的 WannaCry 勒索病毒為例,病毒利用 EternalBlue(MS17-010)漏洞透過 SMB 協定在內網快速複製,短時間內感染數萬台機器。邊界防火牆在此案例中形同虛設,因為攻擊流量完全是東西向的內部傳播。若部署了 ISFW 並設置適當的微分段策略,即便零號病人(Patient Zero)遭感染,病毒的橫向移動路徑也會在第一個內部安全區段邊界被截斷。
傳統 VLAN 分段方案也存在明顯缺陷:VLAN 僅提供二層隔離,缺乏應用層(Layer 7)的深度封包檢測(DPI)能力,無法識別惡意協定行為,也無法動態調整安全策略。ISFW 的核心優勢正在於填補這道鴻溝,提供具備完整 UTM(統一威脅管理)能力的內網安全閘道。
二、Internal Segmentation Firewalls 核心架構解析
ISFWs 在邏輯上將企業內網劃分為多個安全信任區域(Trust Zones),每個區域代表一個獨立的安全邊界。區域之間的所有流量,無論方向,都必須經過 ISFW 的策略引擎進行檢測與決策。這種設計直接實現了最小權限原則(Principle of Least Privilege)在網路層面的落地。
ISFW 的部署模式通常有三種:實體插線模式(Bump-in-the-Wire)將防火牆物理串接於網段之間,適合傳統資料中心;虛擬化部署(Virtual ISFW)以 VM 形態運行於 Hypervisor 層,適合 VMware NSX-T 等 SDN 環境;容器化 / 服務鏈模式則整合於 Kubernetes 的 CNI 網路層,適合微服務架構。
在功能層面,企業級 ISFW(如 FortiGate ISFW)應具備以下核心能力:應用識別與控制(Application Control)、入侵防禦系統(IPS)、SSL/TLS 深度解密檢測(SSL Inspection)、使用者身分整合(User Identity Integration,與 AD/LDAP 連動)、以及動態威脅情報訂閱(Threat Intelligence Feed)。這些能力的組合,使 ISFW 遠超傳統 ACL 型防火牆的防護深度。
▌ 圖示:典型 ISFW 微分段架構(文字示意)
┌─────────────────────────────────────────────────────────┐
│ Enterprise Internal Network │
│ │
│ ┌──────────┐ ISFW-1 ┌──────────┐ ISFW-2 │
│ │ Zone A │◄──────────►│ Zone B │◄──────────►... │
│ │ (HR VLAN)│ East-West │(Finance │ East-West │
│ │10.10.1.0 │ Filtering │VLAN) │ Filtering │
│ │ /24 │ │10.10.2.0 │ │
│ └──────────┘ │ /24 │ │
│ └──────────┘ │
│ │
│ ┌──────────┐ ISFW-3 ┌──────────────────────────┐ │
│ │ Zone C │◄──────────►│ DMZ / Server Zone │ │
│ │(R&D VLAN)│ │ Web / App / DB Servers │ │
│ │10.10.3.0 │ │ 10.10.100.0/24 │ │
│ └──────────┘ └──────────────────────────┘ │
│ │
│ ←─────────────── East-West Traffic ─────────────────→ │
└─────────────────────────────────────────────────────────┘
│
Perimeter
Firewall
│
Internet
(North-South)
三、微分段(Micro-segmentation)設計原則與策略規劃
微分段的設計需以業務資產分類(Asset Classification)為出發點,而非單純的 IP 位址劃分。首先應識別企業的「皇冠資產(Crown Jewels)」——如核心資料庫、ERP 系統、原始碼倉庫——並為其建立獨立的高防護等級安全區域。其次,依據業務功能、資料敏感等級、合規要求(如 PCI-DSS、HIPAA)來定義各區段的存取控制矩陣(ACL Matrix)。
微分段策略規劃建議遵循「預設拒絕(Default Deny)」原則:所有跨區段流量預設封鎖,僅白名單許可的應用協定與通訊埠才被放行。這與傳統「預設允許」的內網信任模型形成根本性轉變。實務上,建議採用分階段導入策略:第一階段僅監控記錄(Monitor Mode),第二階段逐步收緊規則,第三階段全面執行(Enforce Mode),避免因規則設計失誤造成業務中斷。
在 VMware NSX-T 或 Fortinet Security Fabric 等平台中,ISFW 策略可與動態標籤(Dynamic Tags)結合,依據工作負載的業務屬性、作業系統類型、漏洞評分(CVE Score)自動套用對應安全策略,實現策略的自動化生命週期管理。這種意圖驅動的安全策略(Intent-based Security Policy),大幅降低了傳統人工維護 ACL 的管理負擔。
四、實戰部署:FortiGate ISFW 東西向流量管控配置
以下以 Fortinet FortiGate(FortiOS v7.4) 為例,示範如何在企業內網部署 ISFW 以管控東西向流量。此配置假設 FortiGate 以 Bump-in-the-Wire 模式串接於 HR 區段(Zone A)與研發區段(Zone C)之間。
▌ 步驟一:定義內網安全區域(Security Zones)
# FortiGate CLI - 建立內網安全區域
# 適用版本:FortiOS 7.2 / 7.4
# 建立 HR 部門區域(Zone A)
config system zone
edit "ZONE_HR"
set description "HR Department - Trust Zone A"
set intrazone deny # 同區域內流量預設拒絕(強化隔離)
config interface
add port2 # HR VLAN 對應介面
end
next
# 建立研發部門區域(Zone C)
edit "ZONE_RD"
set description "R&D Department - Trust Zone C"
set intrazone deny
config interface
add port4 # R&D VLAN 對應介面
end
next
# 建立伺服器農場區域(Server Zone)
edit "ZONE_SERVER"
set description "Data Center - Server Farm"
set intrazone deny
config interface
add port6 # Server VLAN 對應介面
end
next
end▌ 步驟二:建立應用層東西向流
留言
張貼留言