|實習筆記

← 時間軸

2026/7/3

警政署網路架構示意圖解析

背景

這份筆記是針對警政署(本署)網路架構示意圖(製表日期約 115 年 1 月)的解析與報告寫法整理。核心目的不是記錄實際 IP、線路或設備規則等敏感細節,而是理解**大型政府機關網路架構「為什麼要這樣分區設計」**的邏輯:以內外網分離、網路分區、多層防火牆(縱深防禦)、三層式(WEB/AP/DB)架構、收口區集中管理與備援機制,達成分層防禦、最小權限與資料保護的資安設計原則。

知識架構圖

本署網路架構
├─ 一、外部連線來源(多元入口)
│   ├─ GSN(政府服務網路)/GSN VPN(縣市、機關、跨機關連線)
│   ├─ MDVPN/M-Police 行動警政連線
│   ├─ GSN/FET 電信專線
│   ├─ 視訊 GSN VPN
│   ├─ 專線連外機關區
│   └─ Google Map 等外部服務

├─ 二、邊界防護層(多層防火牆/縱深防禦)
│   ├─ 跨縣市調閱防火牆、收口區防火牆
│   ├─ 視訊防火牆、外網防火牆、內網防火牆
│   ├─ 內外網間防火牆
│   └─ 內網資料區防火牆、外網資料區防火牆、測試區防火牆

├─ 三、核心交換與管理層
│   ├─ 網管/骨幹核心交換器(內網、外網分別設置)
│   ├─ 科室交換器
│   └─ Switch/Router/DDoS 防護設備

├─ 四、服務應用層(三層式架構:WEB → AP → DB)
│   ├─ 內網 WEB/內網 AP  外網 WEB/外網 AP
│   ├─ Proxy Server/Mail Server(收口區集中管理)
│   ├─ AD/DHCP/NAC(身分、位址、設備存取控管)
│   └─ 公文系統/WebSense(上網控管與紀錄)

├─ 五、主機與資料層
│   ├─ 內網/外網 VM 虛擬作業區、測試區 VM Host、實體伺服器
│   └─ 內網/外網資料庫、檔案伺服器(各自有獨立資料區防火牆保護)

└─ 六、分區設計目的
    ├─ 內外網分離:外部攻擊不易直接進入內網,權責可分區管理
    ├─ 收口區集中管理:Proxy/Mail/AD/DHCP/NAC 統一出入口,便於稽核紀錄
    ├─ 視訊區獨立:連線來源複雜,需獨立防火牆與隔離
    ├─ 資料區獨立保護:資料庫不直接暴露,僅授權 AP 可連線
    ├─ 測試區隔離:避免未修補漏洞、暫時開放服務影響正式環境
    └─ 核心交換集中管理:拓樸清楚、流量易分流、故障易定位

串聯邏輯:為什麼會這樣設計?

大型政府機關(如警政署)業務系統多、資料敏感度高,且需與縣市機關、行動警政、視訊系統與外部服務多點連線 → 若所有連線混雜進出同一網段,一旦其中一個來源被攻破,風險會擴散到整個網路 → 因此先做內外網分離,把「對外服務」與「內部核心業務」隔開 → 再依業務性質做網路分區(內網、外網、收口區、視訊區、資料區、測試區) → 各區之間一律以防火牆管制,形成多層(縱深)防禦,並採正面表列開放必要服務 → 應用系統本身採 WEB → AP → DB 三層式架構,讓使用者不直接碰觸資料庫 → 上網、郵件、代理等對外行為集中到收口區,方便統一紀錄與稽核 → 跨機關與行動連線(GSN VPN、MDVPN、專線)只能進入指定服務區域,不可直通整個內網 → 最後搭配 HA、備援與異地備援等維運機制,形成兼顧安全與可用性的整體架構。

重點摘要(可放入實習心得)

本署網路架構主要採取內外網分離與多層防火牆防護設計。外部連線來源包含 GSN、GSN VPN、MDVPN、FET 專線、視訊 VPN、專線連外機關及外部服務等,所有外部連線均須先經由路由設備、防火牆或 VPN 管制後,才能進入指定服務區域。內部網路透過內網防火牆、內網骨幹核心交換器、內網 WEB、內網 AP、VM Host 及資料區防火牆等元件,形成內部業務系統運作環境;外網區則提供對外服務,並透過外網防火牆與資料區防火牆與內網隔離。整體架構同時設有收口區防火牆、Proxy Server、Mail Server、AD、DHCP、NAC、公文系統及 WebSense 等管理與控管服務,達到連線集中、權限控管、紀錄留存與資安防護的目的。

這張圖最重要的結論是:網路架構並非單純把設備互相連接,而是依照業務性質與資安風險進行分區。外部連線先經由 VPN、專線、路由器與防火牆進入,再依用途分流至內網、外網、視訊區、收口區或專線連外機關區;內外網之間以防火牆隔離,資料庫區與測試區也另設防火牆保護。整體設計符合分層防禦、最小權限、服務隔離與資料保護原則——簡單說,就是讓每一種連線都有自己的入口、每一個區域都有防線、每一項核心資料都有額外保護。

事實查核與用語修正表

原用語/說法判斷建議修正/報告寫法
內外網分離、多層防火牆、三層式(WEB/AP/DB)架構、Proxy/AD/DHCP/NAC 收口管理、GSN/VPN/專線跨機關連線、HA/備援機制方向皆正確可直接作為報告主線邏輯
「分階防禦」用詞不精確應為「分層防禦」/「縱深防禦」
「網路分面」用詞不精確應為「網路分區」
「防火牆正面序列」用詞錯誤應為「防火牆正面表列」(即僅開放必要服務,其餘預設拒絕)
「資料庫防火牆」不夠精確防火牆通常保護的是「資料區」而非資料庫本體,應寫「資料區防火牆」
「內外網完全不連通才安全」過於絕對實務上是「受控互通」,並非完全不通,而是僅開放必要服務並受防火牆管制
「有 HA 就安全」過於絕對HA(高可用性)僅是提升系統韌性的一環,仍需搭配監控、設備汰換、設定備份與演練
資通安全責任等級 A~E已確認資通安全責任等級由高至低分為 A、B、C、D、E 五級;特定機關實際責任等級仍應以主管機關核定資料為準,不宜自行認定
GSN 全稱已確認GSN 為 Government Service Network(政府網際服務網)

敏感內容書寫提醒

類型可以寫不建議寫
機關資安等級「大型機關通常具較高資安防護需求。」「本署是 A 級機關。」(未經主管機關核定不可逕稱)
線路與節點「連外採多種 VPN 與專線管道。」「本署有幾條線路」「某 VPN 節點連到某設備」
系統間連線「AP 層依授權連接資料庫。」「某 AP 可以連某 DB」的具體對應關係
防火牆規則「防火牆採正面表列,僅開放必要服務。」實際防火牆規則設定細節
備援機制「維運設計上納入高可用性與異地備援概念。」異地備援的實際地點與切換路徑

三個反思點

  1. 網路架構設計的核心不是把設備連起來,而是「依風險分區」。 內外網分離、資料區獨立防火牆、測試區隔離,背後的共同邏輯都是「風險越高或資產越重要的區域,保護層數越多」。
  2. 收口區集中管理(Proxy/Mail/AD/DHCP/NAC)體現了「集中稽核」的資安思維。 與其讓每台設備各自對外連線難以追蹤,不如統一出口、統一留存紀錄,事後才能有效追溯。
  3. 架構圖本身就是敏感資料。 這次練習也提醒我,畫出、討論網路架構時,必須自覺區分「可以寫進報告的設計邏輯」與「不能外流的實際線路、IP、節點與規則細節」,這種分寸拿捏本身就是資安素養的一部分。