在網路邊緣阻擋惡意軟體與網路釣魚
本技術參考指南概述了部署網路級威脅防護的架構、部署方式及業務影響,旨在保護網路邊緣未受託管的訪客和 IoT 設備。它為 IT 領導者提供了主動阻擋惡意軟體與網路釣魚的實用指導。
收聽此指南
查看播客逐字稿

執行摘要
對於管理高人流量場所的 CTO 和網路架構師而言,保護未託管裝置的安全是一項關鍵的營運挑戰。您無法在訪客的智慧型手機上部署端點代理程式,也無法指望使用者主動避開惡意連結。本指南詳細介紹了實施網路級威脅防護如何能在惡意軟體和網路釣魚到達訪客裝置之前,就在網路邊緣將其封鎖。藉由透過 DNS 過濾和威脅情報整合在閘道執行安全原則,場所可以主動保護 BYOD、IoT 和訪客流量。這種方法減少了事件回應的開銷,確保符合 GDPR 和 PCI-DSS 等標準,並為 餐旅 、 零售 和 交通運輸 行業的 Guest WiFi 使用者維持安全的環境。
技術深度剖析
網路邊緣防護架構
網路邊緣惡意軟體防護將安全執行點從端點移至閘道。當裝置連接到場所網路並嘗試解析網域時,DNS 查詢會被邊緣閘道攔截。該查詢不會進行標準解析,而是根據持續更新的威脅情報摘要進行評估。

如果該網域與惡意軟體散播、網路釣魚活動或殭屍網路命令與控制 (C2) 架構相關聯,則該 DNS 請求將會被沉洞處理(sinkholed)。在下載任何惡意承載系統(payload)之前,連線就會被中斷。這種主動封鎖可防止橫向移動並保護場所的 IP 聲譽。
關鍵元件
- DNS 過濾引擎:檢查所有外連的 DNS 請求。配置此引擎以封鎖已知的公共 DoH(DNS over HTTPS)解析器,對於防止使用者規避場所的安全 DNS 至關重要。
- 威脅情報整合:訂閱全球情報摘要,根據聲譽、新註冊網域狀態和已知惡意活動即時對網域進行分類。
- 原則執行:根據使用者角色(例如:員工與訪客)和內容類別套用細粒度規則,確保符合 英國公共 WiFi 網路的 IWF 合規性 。
實施指南
部署網路邊緣防護需要採取分階段的方法,以在將干擾降至最低的同時,實現最大的安全覆蓋範圍。
步驟 1:網路分段
確保使用 VLAN 對您的網路進行適當的分段。訪客流量、企業員工、IoT 設備和 POS 系統必須位於隔離的分段上。這樣可以限制設備在加入網路前受到威脅時的波及範圍。
步驟 2:閘道器設定
設定您的邊緣路由器或防火牆,將所有 DNS 流量轉發到安全的 DNS 過濾服務。實施防火牆規則,封鎖流向已核准的安全解析伺服器以外任何目的地的連接埠 53 (DNS) 和連接埠 853 (DoT) 的外流流量。如需了解更多關於現代網路最佳化的資訊,請參閱 Office Wi Fi: Optimize Your Modern Office Wi-Fi Network 。
步驟 3:策略定義
建立基準策略。在全域封鎖已知的惡意類別。對於內容過濾,請套用特定場所的策略 - 例如,與一般零售相比,在 Healthcare 環境中實施更嚴格的過濾。
最佳實踐
- 細粒度策略套用:避免產生支援工單的全面性封鎖。使用與您的身分識別提供者整合的角色型存取控制 (RBAC)(例如 Purple 的 Connect 授權)。
- 全面記錄:保留 DNS 查詢和被封鎖威脅的完整稽核追蹤。這對於事件回應和合規性報告至關重要。如需詳細需求,請參閱 Explain what is audit trail for IT Security in 2026 。
- 持續監控:使用 WiFi Analytics 即時監控網路效能和安全性事件。
疑難排解與風險緩釋
處理加密的 DNS
現代作業系統越來越多地使用 DoH 和 DoT,這會對 DNS 查詢進行加密,並可能繞過傳統的邊緣過濾。為了緩解這種情況,請維護一份已知公共 DoH 解析伺服器(例如 8.8.8.8 和 1.1.1.1)的最新封鎖清單,以強制設備退回到透過標準連接埠 53 提供服務的場所安全 DNS。
過度封鎖合法流量
主動的威脅情資來源有時會標記合法網域,特別是用於行銷活動的新註冊網域。建立快速的允許清單流程,並授權 IT 營運團隊快速解決誤報。

投資報酬率與商業影響
網路邊緣惡意軟體防護的商業案例是建立在降低風險與提高營運效率的基礎上。透過在閘道端阻擋威脅,場域無需支付與 BYOD 和訪客裝置端點安全相關的單一裝置授權費用。這也大幅減少了 IT 服務台人員調查受侵害裝置或處理被列入黑名單的 IP 位址所花費的時間。由此帶來的安全、可靠連線,不僅提升了訪客體驗,還保護了場域的品牌聲譽。
關鍵定義
網路邊緣 (Network Edge)
區域網路連接到網際網路的邊界,通常由路由器、防火牆或閘道器進行管理。
這是為未受託管設備部署安全控制措施的最佳位置,因為所有流量都必須通過此處。
DNS 過濾
透過攔截 DNS 查詢並對照策略或威脅情報進行評估,進而阻擋對特定網站或 IP 位址之存取的過程。
用於在任何數據傳輸之前,主動阻止設備連接到惡意網域。
沉洞技術 (Sinkholing)
將惡意流量重導向至安全且受控的 IP 位址,而非其原本企圖前往的目的地。
當訪客設備試圖存取惡意軟體伺服器時,邊緣閘道器會對該請求進行沉洞處理以防止感染。
威脅情報來源
持續更新的潛在或當前網路威脅數據流,其中包含已知的惡意網域和 IP 位址。
邊緣閘道器利用這些數據流來即時決定是否允許或阻擋流量。
DoH (DNS over HTTPS)
一種透過 HTTPS 協定執行遠端網域名稱系統解析並對數據進行加密的協定。
雖然 DoH 有助於保護隱私,但除非明確阻擋已知的 DoH 解析器,否則它可能會繞過企業邊緣過濾。
VLAN 區隔
將單一物理網路劃分為多個邏輯網路以隔離流量。
這對於將不受信任的訪客流量與敏感的企業或 POS 系統隔離開來至關重要。
BYOD (員工自攜設備)
允許員工或訪客在組織的網路上使用其個人設備的作法。
BYOD 設備通常未受託管,這使得端點安全防護變得不可能,因此必須進行網路邊緣防護。
稽核軌跡
系統活動的時間順序記錄,包括 DNS 查詢和被阻擋的連線。
為了遵守 PCI DSS 和 GDPR 等框架以證明安全控制措施處於啟用狀態,這是必不可少的。
範例
一間擁有 500 間客房的飯店需要保護訪客 WiFi 的安全,同時確保 IoT 設備(智慧電視、客房控制系統)免受外部命令與控制(C2)伺服器的侵害。
部署具備 DNS 過濾功能的網路邊緣閘道器。將網路劃分為訪客、IoT 和企業 VLAN。設定閘道器攔截來自 IoT 和訪客 VLAN 的所有 DNS 查詢,並將其轉發至安全的 DNS 服務。對 IoT VLAN 套用嚴格的策略,僅允許解析已知且必要的網域(允許清單),同時對訪客 VLAN 套用標準的威脅阻擋策略。
一家大型連鎖零售商因訪客設備在連接店內 WiFi 時發送垃圾郵件,導致 IP 經常被列入黑名單。
實施具備主動威脅情報來源的網路邊緣惡意軟體防護。設定防火牆阻擋所有訪客流量的輸出 SMTP(連接埠 25)。啟用 DNS 過濾,將針對已知殭屍網路和垃圾郵件散播網域的請求進行沉洞(sinkhole)處理。
練習題
Q1. 體育場網路管理員發現,雖然啟用了 DNS 過濾,但某些訪客設備仍能存取已知的惡意網域。最可能的原因是什麼?應該如何解決?
提示:思考可能會繞過標準連接埠 53 過濾的現代協定。
查看標準答案
這些裝置可能正在使用加密的 DNS 協定,例如 HTTPS 加密 DNS (DoH) 或 TLS 加密 DNS (DoT),這會繞過標準的連接埠 53 過濾。管理員應更新防火牆規則,以封鎖已知的公共 DoH/DoT 解析器,並封鎖連接埠 853 上的連外流量,迫使裝置恢復使用場域的安全 DNS。
Q2. 在醫院環境中部署網路邊緣防護時,訪客 WiFi 與醫療 IoT 裝置 VLAN 之間的策略應有何不同?
提示:思考最小權限與可預測行為的概念。
查看標準答案
訪客 WiFi 應使用標準的威脅封鎖策略(根據 IWF 指南封鎖惡意軟體、網路釣魚和不當內容),但一般允許存取網際網路。醫療 IoT VLAN 則應使用嚴格的「預設拒絕」策略搭配允許清單,僅允許與特定、必需的廠商伺服器進行通訊。IoT 裝置具有可預測的流量模式,這使得允許清單非常有效。
Q3. 零售客戶希望實施邊緣過濾,但擔心封鎖剛註冊的合法行銷活動網域。應該實施什麼流程?
提示:專注於營運流程以及在安全與業務需求之間取得平衡。
查看標準答案
實施快速允許清單工作流程。雖然「新註冊網域」是一個常見的威脅類別,但 IT 團隊應該有一個流程,在行銷活動啟動前快速驗證並將行銷團隊提供的網域加入允許清單,以確保安全防護不會阻礙業務營運。
繼續閱讀本系列
DNS Over HTTPS (DoH):對公共 WiFi 過濾的影響
本技術參考指南說明了 DNS over HTTPS (DoH) 如何繞過公共 WiFi 網路上的傳統 port 53 內容過濾。它為網路架構師和 IT 經理提供了具備可行性且不限特定廠商的緩解策略,以重新獲得可視性、強制執行合規性並確保企業環境中的訪客存取安全。
公共 WiFi 法律責任:為何內容過濾是強制性要求
本技術參考指南概述了提供未經過濾的公共 WiFi 所帶來的法律與營運風險,並詳細說明為何內容過濾是場所營運商的強制性部署要求。本指南提供了具體可行的架構策略、實作步驟與風險緩釋策略,以保護網路免受非法活動、著作權侵權和違反法規的影響。場所營運商與 CTO 將能從中獲得具體的案例研究、決策框架與設定指引,以實作具備防禦力且符合規範的 Guest WiFi 環境。
英國公共 WiFi 網路的 IWF 合規指南
本權威指南詳細介紹了在英國場域部署符合 IWF 規範的公共 WiFi 網路之技術要求、架構與部署策略。它為 IT 領導者提供了實用的框架,以在降低法律風險的同時,維持高效能的網路存取。