傳統邊界防火牆已無法應對現代內網威脅。Internal Segmentation Firewalls(ISFWs)專責管控東西向流量,即使攻擊者突破邊界,也能將橫向移動鎖死在單一區段內。
什麼是 ISFW 與東西向流量管控
ISFW 部署於企業內網各安全信任區段(Trust Zone)之間,而非網路邊界。傳統防火牆攔截南北向(外部進出)流量;ISFW 則專注東西向——即伺服器對伺服器、工作負載對工作負載的內部通訊。透過在財務區段、開發區段、OT 網路等之間插入 ISFW,每個區段形成獨立隔離域。即使單一主機遭入侵,攻擊者的橫向移動(Lateral Movement)會立即被 ISFW 的存取控制策略攔截,威脅範圍被強制侷限於受感染的微分段內。
微分段隔離策略設計原則
微分段設計遵循最小權限原則(Least Privilege),預設拒絕所有跨區流量,僅開放業務明確需要的路徑。常見策略包含三層:首先依業務功能劃分區段(如 PCI 範圍、HR 系統);其次在 ISFW 上定義細粒度 ACL,指定來源 IP、目的埠及協定;最後啟用 ISFW 的深度封包檢測(DPI)與應用識別,攔截偽裝成合法協定的惡意流量。Fortinet FortiGate 的 ISFW 模式支援 VDOM 多租戶隔離,可同時管理多組獨立策略集而不互相干擾。
config firewall policy
edit 100
set name "block-lateral-rdp"
set srcintf "zone-finance"
set dstintf "zone-ops"
set action deny
set service "RDP"
next
end💡 重點整理
- ISFW 插入內網區段之間,專責攔截東西向橫向移動流量。
- 微分段採「預設拒絕」策略,僅開放業務必要的最小通訊路徑。
- DPI 與應用識別可揭露偽裝成合法協定(如 HTTP/RDP)的攻擊行為。
- VDOM 或類似多租戶機制讓不同業務單位的策略彼此完全隔離。
ISFW 將「假設已遭入侵」的 Zero Trust 理念落實於內網架構。微分段不是一次性設定,而是隨業務演進持續調整的動態策略,這才是真正有效的縱深防禦。
📚 參考文獻
- Fortinet — Internal Segmentation Firewall (ISFW) 官方說明
- NIST SP 800-207: Zero Trust Architecture(微分段核心框架)
- FortiGate 7.4 Administration Guide — ISFW 部署設定
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言