DHCP 伺服器#
DHCP(Dynamic Host Configuration Protocol) 自動分配 IP 位址與網路設定給用戶端,免除手動設定的負擔。
運作流程(DORA)#
sequenceDiagram
participant C as 用戶端
participant S as DHCP 伺服器
C->>S: Discover(廣播尋找 DHCP)
S->>C: Offer(提供 IP 位址)
C->>S: Request(請求使用該 IP)
S->>C: Acknowledge(確認分配)
Note over C,S: 用戶端取得 IP,租約開始計時位址池(Address Pool)#
DHCP 伺服器從預先設定的位址池中分配 IP,管理員可設定:
| 設定項目 | 說明 | 範例 |
|---|---|---|
| 位址範圍 | 可分配的 IP 區段 | 192.168.1.100 – 192.168.1.200 |
| 租約時間 | IP 使用期限 | 8 小時 / 24 小時 |
| 排除位址 | 保留給伺服器的固定 IP | 192.168.1.1 – 192.168.1.99 |
| 預設閘道 | 路由器 IP | 192.168.1.1 |
| DNS 伺服器 | 域名解析伺服器 | 192.168.1.10 |
DNS 伺服器#
DNS(Domain Name System) 負責將域名解析為 IP 位址,是所有網路服務的基礎。
解析流程#
graph LR
A[用戶端] -->|1. 查詢 www.example.com| B[本地 DNS]
B -->|2. 查詢| C[根域 DNS]
C -->|3. 回覆 .com DNS 位址| B
B -->|4. 查詢| D[.com DNS]
D -->|5. 回覆 example.com DNS 位址| B
B -->|6. 查詢| E[example.com DNS]
E -->|7. 回覆 IP 位址| B
B -->|8. 回覆 IP| A常見記錄類型#
| 記錄類型 | 功能 | 範例 |
|---|---|---|
| A | 域名對應 IPv4 | www → 203.0.113.1 |
| AAAA | 域名對應 IPv6 | www → 2001:db8::1 |
| CNAME | 域名別名 | blog → www.example.com ↗ |
| MX | 郵件伺服器 | @ → mail.example.com |
| PTR | 反向解析(IP → 域名) | 203.0.113.1 → www |
工作群組與 AD 網域#
工作群組 vs. AD 網域#
| 特性 | 工作群組 | AD 網域 |
|---|---|---|
| 帳號管理 | 各電腦獨立管理 | 集中管理於網域主控站 |
| 規模 | 小型(< 10 台) | 中大型(數十至數千台) |
| 認證方式 | 本機帳號 | 網域帳號(Kerberos) |
| 群組原則 | 無 | GPO 統一派送 |
| 適用場景 | 小型辦公室、家庭 | 企業環境 |
網域主控站(Domain Controller)#
網域主控站(DC) 是 AD 網域的核心,負責:
| 功能 | 說明 |
|---|---|
| 身分驗證 | 驗證使用者登入 |
| 目錄服務 | 儲存使用者、電腦、群組等物件 |
| 群組原則(GPO) | 統一管理桌面設定、軟體派送、安全性原則 |
注意: 正式環境至少部署 2 台 網域主控站,避免單點故障。DC 故障將導致所有使用者無法登入。
檔案伺服器與 NAS#
| 特性 | 檔案伺服器 | NAS |
|---|---|---|
| 形式 | 通用伺服器安裝檔案服務 | 專用網路儲存設備 |
| 管理複雜度 | 高(需管理 OS + 服務) | 低(Web 介面管理) |
| 通訊協定 | SMB、NFS | SMB、NFS、iSCSI |
| 擴展性 | 依伺服器硬體 | 支援擴充硬碟槽 |
| 適用場景 | 需複雜權限控管 | 部門級檔案共享 |
列印伺服器#
列印伺服器集中管理企業內的印表機資源,提供:
| 功能 | 說明 |
|---|---|
| 統一佇列管理 | 所有列印工作集中排程 |
| 驅動程式集中派送 | 用戶端無需手動安裝驅動 |
| 使用量統計 | 追蹤各使用者的列印量 |
SSO 伺服器#
SSO(Single Sign-On) 讓使用者一次登入即可存取多個系統,避免重複輸入帳密。
兩種 SSO 架構#
graph TB
subgraph "代理型 SSO"
U1[使用者] --> A1[SSO 代理<br/>安裝於用戶端]
A1 --> S1[系統 A]
A1 --> S2[系統 B]
end
subgraph "反向代理型 SSO"
U2[使用者] --> P[SSO 反向代理<br/>伺服器端]
P --> S3[系統 A]
P --> S4[系統 B]
end| 架構 | 運作方式 | 優點 | 缺點 |
|---|---|---|---|
| 代理型 | 用戶端安裝代理程式,代為登入各系統 | 不需修改既有系統 | 需在每台電腦安裝代理 |
| 反向代理型 | 所有存取經由 SSO 反向代理轉發 | 集中管理,無需安裝用戶端 | 需修改網路架構 |
MFA 多重驗證#
在 SSO 基礎上加入多重驗證(Multi-Factor Authentication),結合兩種以上的驗證因素:
| 因素類型 | 說明 | 範例 |
|---|---|---|
| 知識因素 | 你知道的東西 | 密碼、PIN 碼 |
| 持有因素 | 你擁有的東西 | 手機 OTP、硬體金鑰 |
| 生物因素 | 你本身的特徵 | 指紋、臉部辨識 |
重點: MFA 至少需要兩種不同類型的因素。「密碼 + 安全問題」都是知識因素,不算真正的 MFA。
SIP 伺服器#
SIP(Session Initiation Protocol) 用於建立、管理與終止多媒體通訊(語音、視訊)會話。
- 負責信號控制(通話建立/掛斷),不處理語音資料本身
- 語音資料透過 RTP(Real-time Transport Protocol) 傳輸
- 廣泛應用於 IP 電話(VoIP) 與視訊會議系統
Proxy 伺服器#
Proxy(代理)伺服器作為用戶端與網際網路之間的中繼,提供:
| 功能 | 說明 |
|---|---|
| 快取加速 | 快取常存取的網頁,減少頻寬使用 |
| 存取控制 | 限制特定網站的存取 |
| 匿名性 | 隱藏用戶端的真實 IP |
| 日誌記錄 | 記錄所有網路存取行為 |
郵件伺服器#
郵件收發架構#
graph LR
A[寄件者] -->|SMTP| B[寄件端 SMTP 伺服器]
B -->|SMTP| C[收件端 SMTP 伺服器]
C -->|儲存| D[信箱]
D -->|POP3/IMAP| E[收件者]SMTP 與 POP3#
| 協定 | 功能 | 連接埠 | 加密連接埠 |
|---|---|---|---|
| SMTP | 寄送郵件 | 25 | 465/587 |
| POP3 | 接收郵件(下載後刪除) | 110 | 995 |
| IMAP | 接收郵件(保留於伺服器) | 143 | 993 |
SMTP 安全機制#
| 機制 | 說明 |
|---|---|
| SMTP AUTH | 寄信前需驗證帳號密碼,防止未經授權的寄信行為 |
| POP before SMTP | 先通過 POP3 認證,再允許 SMTP 寄信(較舊的機制) |
補充: SMTP AUTH 是目前的主流做法,POP before SMTP 因安全性較低已逐漸淘汰。
MS Exchange Server 與 Exchange Online#
| 特性 | Exchange Server | Exchange Online |
|---|---|---|
| 部署方式 | On-Premise 自建 | 雲端(Microsoft 365) |
| 維運責任 | 企業自行管理 | 微軟負責 |
| 整合功能 | 郵件、行事曆、聯絡人 | 同左,另加 Teams 整合 |
| 適用對象 | 需完全掌控的大型企業 | 偏好低維運成本的企業 |
私有雲#
私有雲是專屬於單一組織的雲端環境,結合雲端的彈性與 On-Premise 的掌控力。
| 項目 | 說明 |
|---|---|
| 適用對象 | 對資料安全、合規要求嚴格的產業(金融、醫療、政府) |
| 建置方式 | 使用 OpenStack、VMware vSphere 等平台 |
| 核心優勢 | 資料不離開組織、可完全客製化 |
技巧: 私有雲適合作為混合雲架構的基底,將敏感資料留在私有雲,將彈性需求延伸至公有雲。