WEBVTT

00:00.660 --> 00:05.280
导师：虽然路由器可以使用访问控制列表为我们的网络提供一些保护过滤,

00:05.280 --> 00:08.100
但它实际上是一种专用设备, 称为防火墙,

00:08.100 --> 00:10.680
擅长使用访问控制列表｡

00:10.680 --> 00:16.440
现在, 访问控制列表对于我们能够保护我们的网络免受不必要的流量的影响非常重要｡

00:16.440 --> 00:20.520
在我们的Linux中使用的permit和deny语句的很大一部分都是基于端口号的,

00:20.520 --> 00:27.540
因为这些端口号与我们希望允许或阻止的应用程序或服务直接相关｡

00:27.540 --> 00:30.270
访问控制列表（Access Control List,

00:30.270 --> 00:34.800
缩写为ACL）是放置在防火墙､ 路由器和其他网络基础设施设备上的规则集,

00:34.800 --> 00:37.380
这些设备允许通过特定接口的通信｡

00:37.380 --> 00:41.610
这些规则集将控制进出我们网络的流量｡

00:41.610 --> 00:44.490
现在, 要在我们的防火墙上配置访问控制列表,

00:44.490 --> 00:49.140
我们将使用基于Web的界面或基于文本的命令行界面｡

00:49.140 --> 00:50.760
在配置这些路由器时,

00:50.760 --> 00:57.780
请务必记住, 它们的列出顺序指定了对特定流量采取的操作顺序｡

00:57.780 --> 01:02.280
操作总是在访问控制列表中自上而下执行｡

01:02.280 --> 01:04.320
将流量与第一条规则进行比较,

01:04.320 --> 01:06.180
如果它与要应用的操作的条件相匹配,

01:06.180 --> 01:10.470
则将执行该操作, 并且不会检查任何其他操作｡

01:10.470 --> 01:11.310
出于这个原因,

01:11.310 --> 01:14.820
我们最具体的规则应该总是放在列表的顶部,

01:14.820 --> 01:17.730
更通用的规则位于底部｡

01:17.730 --> 01:22.530
现在, 路由器可以使用这些访问控制列表和过滤规则提供基本的安全性｡

01:22.530 --> 01:29.670
但实际上, 我们的网络防火墙最常用于网络安全和批量阻止和允许｡

01:29.670 --> 01:31.890
防火墙可以是基于硬件的设备,

01:31.890 --> 01:34.860
也可以是安装在客户端或服务器上的专用软件,

01:34.860 --> 01:36.540
以执行此功能｡

01:36.540 --> 01:42.450
防火墙的主要作用是检查和控制试图进入或离开网络边界的流量｡

01:42.450 --> 01:44.340
有许多不同类型的防火墙,

01:44.340 --> 01:47.430
包括包过滤防火墙､ 状态防火墙､ 代理防火墙､

01:47.430 --> 01:51.180
动态包过滤防火墙和内核代理防火墙｡

01:51.180 --> 01:56.370
每种类型的防火墙都将集中于对流量进行或多或少的彻底检查｡

01:56.370 --> 01:58.890
与网络安全中的所有事情一样,

01:58.890 --> 02:02.700
将根据我们进行的检查的深度来权衡性能｡

02:02.700 --> 02:07.470
如果防火墙进行更深入的检查, 那么设备可以实现同样高的吞吐量,

02:07.470 --> 02:10.080
因为它将花费更多的时间来检查每一个ACL规则,

02:10.080 --> 02:12.990
并检查每一个数据包｡

02:12.990 --> 02:15.390
这可能会对我们的网络效率产生负面影响,

02:15.390 --> 02:17.400
并增加网络延迟｡

02:17.400 --> 02:20.370
现在, 由于防火墙是我们网络不可或缺的安全设备,

02:20.370 --> 02:25.620
因此它们不断发展, 为我们提供更好的功能和更高的安全性｡

02:25.620 --> 02:32.400
值得注意的是, 许多组织一直在向统一威胁管理防火墙（UTM）迁移｡

02:32.400 --> 02:39.420
统一威胁管理设备提供了在单个设备或网络设备中执行多种安全功能的能力｡

02:39.420 --> 02:41.340
这些设备包括多个专用设备的功能,

02:41.340 --> 02:44.580
例如网络防火墙､ 网络入侵防御系统､

02:44.580 --> 02:47.550
网关防病毒和反垃圾邮件､ 虚拟专用网络集中､

02:47.550 --> 02:50.820
内容过滤､ 负载平衡和数据丢失防护,

02:50.820 --> 02:56.970
所有这些都在单个网络设备中｡

02:56.970 --> 02:58.890
这些统一威胁管理设备也有很多好处,

02:58.890 --> 03:05.130
例如减少技术人员需要学习､ 操作和维护的设备数量｡

03:05.130 --> 03:08.460
这可以帮助降低提供这些保护的总体成本,

03:08.460 --> 03:11.070
但仍然会有一些缺点｡

03:11.070 --> 03:15.210
UTM设备的最大问题是它们是单点故障｡

03:15.210 --> 03:16.980
例如, 如果设备发生故障,

03:16.980 --> 03:18.930
我们不仅会失去防火墙｡

03:18.930 --> 03:21.300
我们现在正在失去我们的防火墙, 我们的防病毒,

03:21.300 --> 03:24.060
我们的入侵防御系统, 以及类似的东西｡

03:24.060 --> 03:25.890
我们所有的安全堆栈都可以包含在这一个设备中,

03:25.890 --> 03:30.300
这意味着, 如果我们失去它, 我们就失去了整个安全堆栈｡

03:30.300 --> 03:34.860
因此, 在决定在我们的架构中实施统一威胁管理之前,

03:34.860 --> 03:39.210
我们的组织需要考虑统一威胁管理的优点和缺点｡

03:39.210 --> 03:42.870
使用UTM的一些优点包括较低的前期成本､

03:42.870 --> 03:44.580
维护和功耗｡

03:44.580 --> 03:48.180
因为所有这些功能都驻留在单个机架式设备中｡

03:48.180 --> 03:50.370
它们也将更容易安装和配置,

03:50.370 --> 03:53.580
而不是为每个功能做多个设备｡

03:53.580 --> 03:55.230
它们可以完全融合,

03:55.230 --> 03:57.090
这也有很多好处｡

03:57.090 --> 03:59.040
最大的缺点是它们是单点故障,

03:59.040 --> 04:09.090
并且它们通常缺乏更专业的工具提供的细节, 并且它们的性能通常不如单功能设备那么有效｡

04:09.090 --> 04:11.640
虽然UTM设备在大多数情况下都能很好地工作,

04:11.640 --> 04:17.490
但它们在安全检查中尝试执行的每个功能都使用了单独的引擎｡

04:17.490 --> 04:19.590
然而, 当你使用下一代防火墙时,

04:19.590 --> 04:22.110
你将使用一个更有效的引擎｡

04:22.110 --> 04:26.640
因此, 如果网络速度和效率是您组织的主要关注点,

04:26.640 --> 04:32.010
您应该考虑在统一威胁管理设备上使用下一代防火墙｡

04:32.010 --> 04:35.790
现在, 如果您的组织决定使用统一威胁管理设备,

04:35.790 --> 04:39.240
您将把它放在LAN和Internet连接之间,

04:39.240 --> 04:42.630
就像内联配置中的防火墙一样｡

04:42.630 --> 04:44.880
正如您所看到的, 在设计网络架构时,

04:44.880 --> 04:48.363
有很多不同的防火墙选择｡