21. 公司於國內希望統一控管對外連線，所有的網際網路流量可以被監控，下列何項方案最「不」適切？
(A) 於總部及生產基地各自佈署防火牆並集中管理規則與日誌
(B) 總部及生產基地各自租賃網際網路服務存取網際網路直接對外連線
(C) 租用專線(Leased Line)連接總部與生產基地，對外連線統一從總部出口
(D) 生產基地透過站台對站台虛擬私人網路(Site-to-Site VPN)，將流量全部導向公司總部

這道題目的情境重點在於公司希望在國內（總部與生產基地）實施**「統一控管對外連線」，並確保「所有的網際網路流量可以被監控」**。

基於這個資安治理與網路架構的需求，我們來分析各個選項：

• (A) 於總部及生產基地各自佈署防火牆並集中管理規則與日誌：

  這是適切的。雖然有兩個出口，但透過「集中管理 (Centralized Management)」系統，可以確保兩地的資安政策一致，且日誌（Logs）被統一收集，符合統一控管與監控的需求。

• (B) 總部及生產基地各自租賃網際網路服務存取網際網路直接對外連線：

  這是最不適切的。這種架構稱為直接網際網路存取（DIA, Direct Internet Access），各據點「各自」獨立連網。在沒有額外說明搭配集中控管機制（如選項 A 所述）的情況下，這代表兩邊的流量是分散、獨立且互不相關的。這與題目要求的「統一控管」與「流量監控」背道而馳，因為管理者無法在單一點或是透過單一政策有效地監控所有進出的流量。

• (C) 租用專線(Leased Line)連接總部與生產基地，對外連線統一從總部出口：

  這是適切的。這是一種將流量回傳（Backhaul）的架構。生產基地的流量透過專線傳到總部，再統一由總部的防火牆出去。這樣只有唯一的出口，非常容易進行統一監控與管理。

• (D) 生產基地透過站台對站台虛擬私人網路(Site-to-Site VPN)，將流量全部導向公司總部：

  這是適切的。這與選項 (C) 的邏輯相同，只是連線方式由物理專線改為加密的 VPN 通道。透過強制通道（Force Tunneling）將流量導回總部統一出去，同樣能達到完美的統一控管效果。

結論：

選項 (B) 採取分散式架構且未提及集中管理機制，最難達成「統一控管」與「全流量監控」的目標，因此是最不適切的方案。

正確答案：(B)