32.上述情境中，為統一網路資安防護管理，新廠網路必須經由總廠才能上網，且新產線不能由工廠外部直接連接，並依作業需求將內網分為 2 個安全管理區域（Security Zone），LAN1 為生產三課、品管部門與客服部門使用的辦公室子網段，LAN2 為新產線 SCADA 系統設備使用的子網段，並且只限使用 TCP 1499 Port 與總廠 MES（Manufacturing Execution System）製造執行管理系統連接，與使用 TCP 1599 port 來操作新廠 HMI（Human Machine Interface）人機界面。在新廠閘道端的 UTM 設備考量規劃將設定下列防火牆安全政策：
(1) Deny All
(2) Allow Any to IPSec
(3) Allow LAN1 to WAN
(4) Allow LAN1 to DMZ
(5) Allow LAN1 to IPSec
(6) Allow LAN2 to IPSec
(7) Allow IPSec to LAN1
(8) Allow IPSec to LAN2
(9) Deny IPSec to LAN2 tcp port 1499
(10) Deny IPSec to LAN2 tcp port 1599
(11) Allow LAN1 to IPSec tcp port 1499
(12) Allow LAN2 to IPSec tcp port 1499
(13) Allow LAN1 to IPSec tcp port 1599
(14) Allow LAN2 to IPSec tcp port 1599
(15) Deny IPSec to LAN2 tcp port 1499
(16) Allow IPSec to LAN2 tcp port 1499
(17) Deny IPSec to LAN2 tcp port 1599
(18) Allow Any to LAN2 tcp port 1599
(19) Allow SSL to LAN1
(20) Allow Any to SSL
請問這幾項防火牆安全政策排列次序由左到右何者為最佳？
(A)(5)(6)(7)(8)(12)(18)(1)
(B) (4)(3)(9)(13)(17)(19)(20)
(C) (5)(7)(12)(16)(19)(20)(1)
(D)(3)(2)(7)(18)(12)(16)(19)(20)(1)

答案：登入後查看
統計： A(99), B(33), C(295), D(48), E(0) #2434974

ciao (邀請碼220387)

B1 · 2026/03/06

#7309990

我們要從題目給出的複雜政策中，挑選出能達成目標且邏輯正確的排列：

關鍵需求 1：區域間的連線
- LAN1（辦公區） 需要連回總廠操作 ERP/CRM：對應 (5) Allow LAN1 to IPSec 與 (7) Allow IPSec to LAN1。這建立了辦公區與總廠間的 VPN 隧道。
關鍵需求 2：新產線（LAN2）的嚴格限制
- SCADA 連接 MES：只限 TCP 1499。對應 (12) Allow LAN2 to IPSec tcp port 1499。
- 總廠操作 HMI：對應 (16) Allow IPSec to LAN2 tcp port 1499（此處題目設計可能隱含雙向或管理連線的邏輯，在選項 C 中被納入）。
關鍵需求 3：遠端存取與安全性
- 提供遠端連入機制：對應 (19) Allow SSL to LAN1 與 (20) Allow Any to SSL（通常用於 SSL VPN 撥入）。
關鍵需求 4：結尾防禦
- 最重要的一環：防火牆最後必須補上 (1) Deny All（隱含拒絕），確保沒被明確允許的流量通通擋掉。