孔明看訖，拍案叫苦曰：「是何人教主上如此下寨？可斬此人！」
──《三國演義》──

昨天探討兩個可能位置可能收集到的資料，今天繼續看其他的選項。同樣利用下圖範例公司網路環境，有防火牆，有Switch A的DMZ伺服器區域；有主要的switch B，有Switch E 的Server伺服器區域(裡面還有台ESXi主機)、Switch D的一般電腦主機區域、 Switch C可接筆電 的無線網路區域。昨天提到的防火牆前和Switch A的DMZ區，都無法監控到內網間流量，那麼今天就看看什麼地方可以看到內網間網路流量。

*範例公司網路環境示意圖

B

在B這地點進行網路安全監控，可以看到大量內網的流量：首先任何來自內網對外去Internet的流量，無論是E 的Server伺服器區域、D的一般電腦主機區域、C 的無線網路區都會通過B這一點；任何由內往向A的DMZ區網路流量也會通過B點；來自Internet或來自 A 的DMZ區向內的網路流量，無論是前往E 的Server伺服器區域、D的一般電腦主機區域、C 的無線網路區，也都會通過B點。

在B點進行網路安全監控大幅提升能見度Visibility，最重要的是能見到內網間彼此的網路流量：例如一台電腦主機從D區要存取E區的檔案伺服器，或者C區的筆電要存取E區的ERP伺服器，這些流量都會通過B點。這是在A點或防火牆外設置監控所看不到的。所以通常選購商用設備例如NIPS (Network Intrusion Prevention SYstem) 或其他需要監控網路流量的內容控制軟體(Content Filtering Software)都會設置在B點，很多購買前需要進行POC測試時也都會選在B點，因為能看到大量網路流量。

但是若在網路環境中有NAT﹝網絡地址轉換Network Address Translation)，當網路流量離開D區時原始IP位址已經被轉換過了，到達B點已經不是原始IP位址，而我們需要知道原始IP位址，那該怎麼辦呢？

C、D、E

當我們直接在CDE三點進行網路安全監控，除了可見到原始IP位址，當網路流量只限於同網段，例如一台電腦甲和同在D區間的電腦乙，兩者經過D的網路流量，因為沒有網B點，所以就要在D直接進行監控。C、D同網段區域內的其他網路設備例如印表機或者小型NAS等等亦是同理。

就算是在E點進行監控，以範例公司網路示意圖來看，有分實體和虛擬伺服器，依照情況和環境不同想要監控也可能需要不同的設定。

明天繼續分析在虛擬環境下要怎麼進行。