WEBVTT

00:00.660 --> 00:02.700
Instruktor: Podczas gdy routery mogą korzystać z list kontroli

00:02.700 --> 00:05.280
dostępu, aby zapewnić pewną ochronę filtrowania w naszych sieciach,

00:05.280 --> 00:08.100
to tak naprawdę jest to dedykowane urządzenie znane jako firewall, które doskonale

00:08.100 --> 00:10.680
radzi sobie z korzystaniem z list kontroli dostępu.

00:10.680 --> 00:13.230
Listy kontroli dostępu są bardzo ważne, abyśmy mogli

00:13.230 --> 00:14.820
zabezpieczyć nasze sieci przed

00:14.820 --> 00:16.440
niepożądanym ruchem.

00:16.440 --> 00:17.820
Duża część instrukcji zezwoleń

00:17.820 --> 00:20.520
i odmów, które wykorzystujemy w naszych listach ACL, opiera

00:20.520 --> 00:23.430
się na numerach portów, ponieważ są one bezpośrednio skorelowane

00:23.430 --> 00:26.130
z aplikacją lub usługą, na którą chcemy zezwolić lub którą

00:26.130 --> 00:27.540
chcemy zablokować.

00:27.540 --> 00:30.270
Listy kontroli dostępu (ACL) to zestawy reguł umieszczane

00:30.270 --> 00:32.400
na zaporach sieciowych, routerach i innych urządzeniach

00:32.400 --> 00:34.800
infrastruktury sieciowej, które zezwalają lub dopuszczają

00:34.800 --> 00:37.380
ruch przez określony interfejs.

00:37.380 --> 00:39.210
Te zestawy reguł będą kontrolować

00:39.210 --> 00:41.610
przepływ ruchu do lub z naszych sieci.

00:41.610 --> 00:44.490
Teraz, aby skonfigurować listę kontroli dostępu na naszych zaporach

00:44.490 --> 00:46.620
ogniowych, będziemy używać interfejsu internetowego

00:46.620 --> 00:49.140
lub tekstowego interfejsu wiersza poleceń.

00:49.140 --> 00:50.760
Podczas konfigurowania tych list

00:50.760 --> 00:52.500
ACL należy pamiętać, że kolejność, w

00:52.500 --> 00:54.483
jakiej są one wymienione, określa kolejność

00:54.483 --> 00:57.780
działań podejmowanych w odniesieniu do określonego ruchu.

00:57.780 --> 01:00.540
Akcje są zawsze wykonywane odgórnie wewnątrz

01:00.540 --> 01:02.280
listy kontroli dostępu.

01:02.280 --> 01:04.320
Ruch jest porównywany z pierwszą regułą, a

01:04.320 --> 01:06.180
jeśli spełnia warunki akcji, która ma zostać

01:06.180 --> 01:08.160
zastosowana, zostanie ona wykonana i żadne

01:08.160 --> 01:10.470
inne listy ACL nie będą sprawdzane.

01:10.470 --> 01:11.310
Z tego powodu nasze

01:11.310 --> 01:13.590
najbardziej szczegółowe zasady powinny

01:13.590 --> 01:14.820
zawsze znajdować się na

01:14.820 --> 01:17.730
górze listy, a bardziej ogólne zasady na dole.

01:17.730 --> 01:20.040
Teraz routery mogą zapewnić podstawowe bezpieczeństwo

01:20.040 --> 01:22.530
przy użyciu tych list kontroli dostępu i reguł filtrowania.

01:22.530 --> 01:24.870
Ale tak naprawdę to nasze zapory sieciowe są

01:24.870 --> 01:26.130
najczęściej używane do

01:26.130 --> 01:29.670
zabezpieczania sieci oraz masowego blokowania i zezwalania.

01:29.670 --> 01:31.890
Zapory sieciowe mogą być urządzeniami sprzętowymi

01:31.890 --> 01:34.860
lub specjalistycznym oprogramowaniem instalowanym na kliencie lub

01:34.860 --> 01:36.540
serwerze w celu pełnienia tej funkcji.

01:36.540 --> 01:38.910
Podstawową rolą zapory sieciowej jest sprawdzanie

01:38.910 --> 01:40.590
i kontrolowanie ruchu próbującego

01:40.590 --> 01:42.450
wejść lub wyjść z granicy sieci.

01:42.450 --> 01:44.340
Istnieje wiele różnych typów zapór

01:44.340 --> 01:47.430
sieciowych, w tym filtrujące pakiety, stanowe, proxy,

01:47.430 --> 01:51.180
dynamiczne filtrowanie pakietów i zapory proxy jądra.

01:51.180 --> 01:53.880
Każdy typ zapory sieciowej koncentruje się na mniej

01:53.880 --> 01:56.370
lub bardziej dokładnej kontroli ruchu.

01:56.370 --> 01:58.890
Podobnie jak w przypadku wszystkiego, co dotyczy bezpieczeństwa sieci,

01:58.890 --> 02:01.230
będzie istniał kompromis w zakresie wydajności w zależności od tego,

02:01.230 --> 02:02.700
jak głęboką inspekcję przeprowadzimy.

02:02.700 --> 02:05.070
Jeśli firewall przeprowadza bardziej dogłębną inspekcję,

02:05.070 --> 02:07.470
urządzenie może osiągnąć tak wysoką przepustowość,

02:07.470 --> 02:10.080
ponieważ przejście przez każdą z tych reguł ACL i sprawdzenie

02:10.080 --> 02:12.990
każdego z tych pakietów zajmie więcej czasu.

02:12.990 --> 02:15.390
Może to negatywnie wpłynąć na wydajność naszej

02:15.390 --> 02:17.400
sieci i zwiększyć jej opóźnienia.

02:17.400 --> 02:20.370
Teraz, ponieważ zapory sieciowe są tak integralnymi urządzeniami

02:20.370 --> 02:22.890
zabezpieczającymi nasze sieci, są one stale rozwijane,

02:22.890 --> 02:25.620
aby zapewnić nam lepsze funkcje i większe bezpieczeństwo.

02:25.620 --> 02:27.780
Należy zauważyć, że wiele organizacji

02:27.780 --> 02:29.070
migruje w kierunku

02:29.070 --> 02:32.400
zapory Unified Threat Management (UTM).

02:32.400 --> 02:34.950
Urządzenia Unified Threat Management zapewniają możliwość

02:34.950 --> 02:37.110
wykonywania wielu funkcji bezpieczeństwa w ramach

02:37.110 --> 02:39.420
jednego urządzenia lub urządzenia sieciowego.

02:39.420 --> 02:41.340
Urządzenia te obejmują funkcjonalność wielu

02:41.340 --> 02:44.580
wyspecjalizowanych urządzeń, takich jak sieciowe zapory ogniowe,

02:44.580 --> 02:47.550
sieciowe systemy zapobiegania włamaniom, bramy antywirusowe

02:47.550 --> 02:50.820
i antyspamowe, koncentracja wirtualnej sieci prywatnej, filtrowanie

02:50.820 --> 02:54.360
treści, równoważenie obciążenia i zapobieganie utracie danych, a wszystko

02:54.360 --> 02:56.970
to w ramach jednego urządzenia sieciowego.

02:56.970 --> 02:58.890
Te urządzenia Unified Threat Management

02:58.890 --> 03:00.390
mają również wiele zalet, takich

03:00.390 --> 03:02.130
jak zmniejszenie liczby urządzeń, których

03:02.130 --> 03:05.130
technicy muszą się nauczyć, obsługiwać i konserwować.

03:05.130 --> 03:07.020
Może to pomóc obniżyć całkowity

03:07.020 --> 03:08.460
koszt zapewnienia tych zabezpieczeń,

03:08.460 --> 03:11.070
ale nadal będą tu pewne wady.

03:11.070 --> 03:11.910
Największą wadą

03:11.910 --> 03:15.210
urządzeń UTM jest to, że stanowią one pojedynczy punkt awarii.

03:15.210 --> 03:16.980
Jeśli na przykład urządzenie ulegnie awarii,

03:16.980 --> 03:18.930
nie stracimy już tylko firewalla.

03:18.930 --> 03:21.300
Teraz tracimy naszą zaporę ogniową, nasz program antywirusowy,

03:21.300 --> 03:24.060
nasz system zapobiegania włamaniom i tym podobne rzeczy.

03:24.060 --> 03:25.890
Cały nasz stos zabezpieczeń może być zawarty

03:25.890 --> 03:28.200
w tym jednym urządzeniu, co oznacza, że jeśli je stracimy,

03:28.200 --> 03:30.300
stracimy cały nasz stos zabezpieczeń.

03:30.300 --> 03:32.520
Tak więc nasza organizacja musi rozważyć

03:32.520 --> 03:34.860
zarówno zalety, jak i wady Unified Threat Management

03:34.860 --> 03:37.440
przed podjęciem decyzji o wdrożeniu go w naszej

03:37.440 --> 03:39.210
architekturze.

03:39.210 --> 03:42.870
Niektóre zalety korzystania z UTM obejmują niższe koszty początkowe,

03:42.870 --> 03:44.580
konserwacji i zużycia energii.

03:44.580 --> 03:46.140
Ponieważ wszystkie te funkcje znajdują

03:46.140 --> 03:48.180
się w jednym urządzeniu montowanym w stelażu.

03:48.180 --> 03:50.370
Będą one również łatwiejsze do zainstalowania i skonfigurowania,

03:50.370 --> 03:53.580
niż konieczność tworzenia wielu urządzeń dla każdej pojedynczej funkcji.

03:53.580 --> 03:55.230
Można je też w pełni zintegrować,

03:55.230 --> 03:57.090
co również przynosi wiele korzyści.

03:57.090 --> 03:59.040
Dużą wadą jest to, że są one pojedynczym punktem

03:59.040 --> 04:00.300
awarii i często brakuje im

04:00.300 --> 04:02.250
szczegółowości zapewnianej przez bardziej

04:02.250 --> 04:03.660
wyspecjalizowane narzędzie,

04:03.660 --> 04:06.840
a ich wydajność może często nie być tak wydajna, jak w przypadku urządzenia

04:06.840 --> 04:09.090
jednofunkcyjnego.

04:09.090 --> 04:11.640
Podczas gdy urządzenia UTM działają dobrze w większości przypadków,

04:11.640 --> 04:13.860
wykorzystują one oddzielne silniki dla każdej funkcji,

04:13.860 --> 04:17.490
którą próbują wykonać w swoich inspekcjach bezpieczeństwa.

04:17.490 --> 04:19.590
Natomiast w przypadku korzystania z zapory nowej generacji,

04:19.590 --> 04:22.110
wykorzystywany będzie pojedynczy, bardziej wydajny silnik.

04:22.110 --> 04:23.430
Dlatego też, jeśli szybkość

04:23.430 --> 04:25.470
i wydajność sieci są dla organizacji

04:25.470 --> 04:26.640
najważniejsze, warto

04:26.640 --> 04:29.250
rozważyć użycie zapory nowej generacji zamiast

04:29.250 --> 04:32.010
urządzenia Unified Threat Management.

04:32.010 --> 04:33.870
Teraz, jeśli Twoja organizacja zdecyduje

04:33.870 --> 04:35.790
się na urządzenie Unified Threat Management,

04:35.790 --> 04:37.680
umieścisz je między siecią LAN a połączeniem

04:37.680 --> 04:39.240
z Internetem, tak jakby była to

04:39.240 --> 04:42.630
zapora ogniowa w konfiguracji liniowej.

04:42.630 --> 04:44.880
Jak widać, istnieje wiele różnych opcji, jeśli

04:44.880 --> 04:46.710
chodzi o zapory sieciowe podczas projektowania

04:46.710 --> 04:48.363
architektury sieci.