別讓您的入口網站成為駭客的活靶！從國際資安事件看企業隱形防護的新標準

您面臨的遠端連線安全危機：看得見的目標最危險

傳統虛擬專用網路的致命傷：公開的入口網站

在傳統架構下，虛擬專用網路（SSL VPN） 就像一扇裝有無數鎖頭但卻大開在路邊的門。駭客不需具備高深漏洞，只要利用指令碼（Script）進行大規模的密碼填充與潑灑，就能針對防護較弱的帳戶進行突破。這正是近期 Palo Alto 與思科等設備遭受自動化攻擊的主因。

• 登入埠口公開化：傳統設備必須開啟網路埠口（例如 Port 443）來接受連線，這也等於告訴駭客「這裡有門可以闖」 。
   

   

• 設備安全不可控：遠端使用者的設備若資安狀況不明，一旦連線成功，便可能成為駭客進入內網的破口 。
   

• 身分驗證過於單一：僅靠傳統帳號密碼，極易因為員工使用弱密碼或密碼遭竊而導致防線崩潰。

Array ZTAG 的隱形斗篷：單包授權（SPA）技術

讓您的服務在網路「隱身」

Array ZTAG 的核心優勢在於 單包授權（Single Packet Authorization, SPA） 技術 。這不是單純的防火牆阻擋，而是從通訊層級讓您的伺服器對外「不回應」任何未經授權的探測。

• 網路隱身（Network Invisibility）：在使用者未通過授權前，閘道器的服務埠口處於隱藏狀態，掃描工具無法發現任何服務，徹底斷絕密碼潑灑攻擊的發起點 。
   

   

• 單包授權（SPA）敲門機制：使用者開啟用戶端後，會先發送一個經過加密且不可偽造的 單封包（UDP 封包） 進行「敲門」 。唯有正確的敲門訊號，系統才會在極短的時間內動態開啟對該使用者的連線權限。

   

• 預防拒絕服務攻擊（DoS）：由於閘道器不回應非授權封包，大幅降低了伺服器因處理大量惡意請求而導致癱瘓的風險。

永遠驗證，絕不信任：全方位的零信任防禦體系

嚴格控管「人、事、時、地、物」五大面向

除了隱身功能，Array ZTAG 貫徹 零信任（Zero Trust） 精神，對每一次存取請求進行動態評估 。

• 多因素驗證（Multi-Factor Authentication, MFA）：整合 動態密碼（OTP） 與 身分識別通行證（IDPass），支援基於國際標準的 快速線上身分識別（FIDO） 無密碼認證，杜絕帳號密碼遭盜用的風險 。
   

   

• 用戶硬體辨識（HWID）：透過設備指紋檢查連線裝置是否為授權設備，確保「只有特定的電腦」能進行存取 。
   

   

• 動態環境檢測：系統會持續監控用戶端環境（例如防毒軟體是否運作、作業系統版本是否更新），一旦風險等級提高，會立即動態調整或切斷存取資源 。

   

專家觀點：給企業的建議

面對日益頻繁的自動化暴力攻擊，企業在建構遠端存取方案時，建議依循以下三個重點：

1. 優先隱藏入口，其次強化驗證：強化密碼雖然重要，但「不讓駭客找到入口」才是治本之道。具備 單包授權（SPA） 技術的方案應列為首選，這能直接讓自動化掃描工具失效。
    

2. 推動「無密碼化」認證：密碼始終是資安鏈條中最脆弱的一環。導入符合 快速線上身分識別（FIDO）標準的硬體金鑰或生物辨識（如 IDPass），能同時提升使用者體驗並阻斷釣魚攻擊 。
    

3. 實施動態資源授權（Micro-segmentation）：傳統方式往往一連上就具備廣大內網權限。建議採用能精細控管到個別伺服器、網段甚至特定埠口的方案，確保「最小特權存取」原則 。

    

常見問題解答（Q&A）
 

Q：什麼是單包授權（SPA），它與傳統防火牆有何不同？ 傳統防火牆通常會「聆聽」並回應網路請求，這讓駭客能掃描到開啟的埠口。單包授權（SPA） 則要求連線前必須先發送一個隱密的加密封包，只有正確的封包才能觸發埠口開啟。這讓您的閘道器對外就像是完全斷線一樣，達到隱身效果 。

Q：我們員工不擅長記複雜密碼，Array ZTAG 如何兼顧安全與便利？ 我們支援 身分識別通行證（IDPass）與 無密碼（Passwordless） 認證。員工可以透過指紋辨識或授權的硬體金鑰進行登入，這不僅比輸入長密碼更方便，且安全等級更高，完全不受密碼潑灑攻擊的影響 。

Q：Array ZTAG 可以整合現有的帳號系統嗎？ 可以。Array ZTAG 支援多種用戶作業系統與授權整合，並能設置 帳號有效期限 或 帳號空閒鎖定，確保離職員工或閒置帳號不會成為未來的安全隱憂 。