網路架構設計

網段分離

控制不同網段間的流量，若要達成完全的網段分離，代表需要與外部網路完全隔離，不會有任何對外線路連線到該網段，所有傳輸都是在同一網段的設備，因此也稱為物理網段分離。

DMZ

非軍事區（Demilitarized Zone，DMZ）指可以被公開存取，但與組織內部網路隔離的區域，例如官網網頁伺服器、Email 等需要對外提供服務的伺服器，就會放置在 DMZ 區域。

VLAN

虛擬專用網路（Virtual Private Network，VLAN），利用 Switch 建立的虛擬網段網路，可以在不改變物理網路拓樸的情況下，對網路進行邏輯分割，分離出不同的網段。

VPN

虛擬私人網路（Virtual Private Network，VPN），是一個專用的 Communication Tunnel，所有流量都由 VPN 代為轉發與轉送，可以在不安全的網路上進行點對點的傳輸和身分驗證。中國常見的「翻牆」即是利用 VPN 代為轉發和轉送流量的特性，避免遭到 DNS 污染的網路長城封鎖。

縱深防禦

實施多種類型的存取控制，幫助組織考慮到多面向的資安防護面。

網路存取控制（NAC）

透過嚴格執行安全政策，控制環境存取權限的概念。