WEBVTT

00:00.660 --> 00:02.700
ผู้สอน: แม้ว่าเราเตอร์จะสามารถใช้ Access

00:02.700 --> 00:05.280
Control Lists เพื่อกรองการป้องกันสำหรับเครือข่ายของเราได้

00:05.280 --> 00:08.100
แต่จริงๆ แล้วมันเป็นอุปกรณ์เฉพาะที่เรียกว่าไฟร์วอลล์ที่เก่งในการใช้

00:08.100 --> 00:10.680
Access Control Lists

00:10.680 --> 00:16.440
ขณะนี้ รายการควบคุมการเข้าถึงมีความสำคัญมากสำหรับเราในการรักษาความปลอดภัยเครือข่ายของเราจากการรับส่งข้อมูลที่ไม่ต้องการ

00:16.440 --> 00:17.820
ข้อความอนุญาตและปฏิเสธส่วนใหญ่ที่เราใช้ใน

00:17.820 --> 00:27.540
ACL ของเรานั้นขึ้นอยู่กับหมายเลขพอร์ต เนื่องจากสิ่งเหล่านี้เกี่ยวข้องโดยตรงกับแอปพลิเคชันหรือบริการที่เราต้องการอนุญาตหรือบล็อก

00:27.540 --> 00:30.270
รายการควบคุมการเข้าถึง หรือ ACL คือชุดกฎที่วางอยู่บนไฟร์วอลล์

00:30.270 --> 00:32.400
เราเตอร์ และอุปกรณ์โครงสร้างพื้นฐานเครือข่ายอื่นๆ

00:32.400 --> 00:37.380
ที่อนุญาตหรืออนุญาตทราฟฟิกผ่านอินเทอร์เฟซเฉพาะ

00:37.380 --> 00:41.610
ชุดกฎเหล่านี้จะควบคุมการไหลของการรับส่งข้อมูลเข้าหรือออกจากเครือข่ายของเรา

00:41.610 --> 00:44.490
ตอนนี้ เพื่อกำหนดค่ารายการควบคุมการเข้าถึงบนไฟร์วอลล์ของเรา

00:44.490 --> 00:49.140
เราจะใช้อินเทอร์เฟซบนเว็บหรืออินเทอร์เฟซบรรทัดคำสั่งแบบข้อความ

00:49.140 --> 00:50.760
เมื่อกำหนดค่า ACL เหล่านี้

00:50.760 --> 00:57.780
สิ่งสำคัญคือต้องจำไว้ว่าลำดับที่แสดงรายการจะระบุลำดับของการดำเนินการที่เกิดขึ้นกับการรับส่งข้อมูลเฉพาะ

00:57.780 --> 01:02.280
การดำเนินการจะดำเนินการจากบนลงล่างในรายการควบคุมการเข้าถึงเสมอ

01:02.280 --> 01:04.320
การรับส่งข้อมูลจะถูกเปรียบเทียบกับกฎข้อแรก

01:04.320 --> 01:06.180
และหากตรงกับเงื่อนไขสำหรับการดำเนินการที่จะใช้

01:06.180 --> 01:08.160
การดำเนินการนั้นจะดำเนินการ และไม่มีการตรวจสอบ

01:08.160 --> 01:10.470
ACL อื่นๆ

01:10.470 --> 01:11.310
ด้วยเหตุผลนี้

01:11.310 --> 01:14.820
กฎที่เจาะจงที่สุดของเราควรจะอยู่ด้านบนสุดของรายการเสมอ

01:14.820 --> 01:17.730
โดยมีกฎทั่วๆ ไปอยู่ที่ด้านล่างสุด

01:17.730 --> 01:22.530
ตอนนี้ เราเตอร์สามารถให้ความปลอดภัยขั้นพื้นฐานได้โดยใช้รายการควบคุมการเข้าถึงและกฎการกรองเหล่านี้

01:22.530 --> 01:29.670
แต่เป็นไฟร์วอลล์เครือข่ายของเราที่มักจะถูกใช้เพื่อความปลอดภัยของเครือข่ายและการบล็อกและการอนุญาตจำนวนมาก

01:29.670 --> 01:36.540
ไฟร์วอลล์สามารถเป็นอุปกรณ์ที่ใช้ฮาร์ดแวร์หรือซอฟต์แวร์พิเศษที่ติดตั้งบนไคลเอ็นต์หรือเซิร์ฟเวอร์เพื่อทำหน้าที่นี้

01:36.540 --> 01:42.450
บทบาทหลักของไฟร์วอลล์คือการตรวจสอบและควบคุมการรับส่งข้อมูลที่พยายามเข้าหรือออกจากขอบเขตของเครือข่าย

01:42.450 --> 01:44.340
ไฟร์วอลล์มีหลายประเภท ได้แก่

01:44.340 --> 01:47.430
การกรองแพ็กเก็ต stateful พร็อกซี การกรองแพ็กเก็ตแบบไดนามิก

01:47.430 --> 01:51.180
และไฟร์วอลล์เคอร์เนลพร็อกซี

01:51.180 --> 01:56.370
ไฟร์วอลล์แต่ละประเภทจะมุ่งเน้นไปที่การตรวจสอบทราฟฟิกอย่างละเอียดมากหรือน้อย

01:56.370 --> 01:58.890
เช่นเดียวกับทุกอย่างในการรักษาความปลอดภัยเครือข่าย

01:58.890 --> 02:02.700
จะต้องมีการแลกเปลี่ยนประสิทธิภาพโดยขึ้นอยู่กับการตรวจสอบที่ลึกล้ำของเรา

02:02.700 --> 02:05.070
หากไฟร์วอลล์ทำการตรวจสอบเชิงลึกมากขึ้น

02:05.070 --> 02:07.470
อุปกรณ์จะสามารถรับปริมาณงานได้สูงสุด

02:07.470 --> 02:10.080
เนื่องจากจะใช้เวลามากขึ้นในการตรวจสอบกฎ ACL

02:10.080 --> 02:12.990
ทุกข้อและตรวจสอบแต่ละแพ็กเก็ตเหล่านั้น

02:12.990 --> 02:17.400
สิ่งนี้อาจส่งผลเสียต่อประสิทธิภาพของเครือข่ายและเพิ่มเวลาแฝงของเครือข่าย

02:17.400 --> 02:20.370
ขณะนี้ เนื่องจากไฟร์วอลล์เป็นอุปกรณ์รักษาความปลอดภัยที่สำคัญสำหรับเครือข่ายของเรา

02:20.370 --> 02:25.620
จึงมีการพัฒนาอย่างต่อเนื่องเพื่อให้เรามีคุณลักษณะที่ดีขึ้นและความปลอดภัยที่มากขึ้น

02:25.620 --> 02:29.070
โปรดทราบว่าหลายองค์กรได้เปลี่ยนไปใช้ไฟร์วอลล์

02:29.070 --> 02:32.400
Unified Threat Management หรือ UTM

02:32.400 --> 02:39.420
อุปกรณ์ Unified Threat Management ให้ความสามารถในการดำเนินการฟังก์ชันความปลอดภัยมากมายภายในอุปกรณ์หรืออุปกรณ์เครือข่ายเดียว

02:39.420 --> 02:41.340
อุปกรณ์เหล่านี้รวมถึงการทำงานของอุปกรณ์พิเศษหลายตัว

02:41.340 --> 02:44.580
เช่น ไฟร์วอลล์เครือข่าย ระบบป้องกันการบุกรุกเครือข่าย

02:44.580 --> 02:50.820
เกตเวย์ป้องกันไวรัสและป้องกันสแปม ความเข้มข้นของเครือข่ายส่วนตัวเสมือน การกรองเนื้อหา โหลดบาลานซ์

02:50.820 --> 02:56.970
และการป้องกันข้อมูลสูญหาย ทั้งหมดนี้รวมอยู่ในอุปกรณ์เครือข่ายเดียว

02:56.970 --> 03:00.390
อุปกรณ์ Unified Threat Management เหล่านี้มีประโยชน์มากมายเช่นกัน

03:00.390 --> 03:02.130
เช่น ลดจำนวนอุปกรณ์ที่ช่างเทคนิคจำเป็นต้องเรียนรู้

03:02.130 --> 03:05.130
ใช้งาน และบำรุงรักษา

03:05.130 --> 03:08.460
วิธีนี้สามารถช่วยลดค่าใช้จ่ายโดยรวมในการป้องกันเหล่านี้ได้

03:08.460 --> 03:11.070
แต่ก็ยังมีข้อเสียอยู่บ้าง

03:11.070 --> 03:11.910
ปัญหาใหญ่ที่สุดเกี่ยวกับอุปกรณ์

03:11.910 --> 03:15.210
UTM คือความล้มเหลวเพียงจุดเดียว

03:15.210 --> 03:18.930
ตัวอย่างเช่น หากอุปกรณ์ล้มเหลว เราจะไม่เพียงแค่สูญเสียไฟร์วอลล์อีกต่อไป

03:18.930 --> 03:21.300
ตอนนี้เรากำลังสูญเสียไฟร์วอลล์ โปรแกรมป้องกันไวรัส

03:21.300 --> 03:24.060
ระบบป้องกันการบุกรุก และอะไรทำนองนั้น

03:24.060 --> 03:25.890
Security Stack ทั้งหมดของเราสามารถรวมอยู่ในอุปกรณ์เครื่องเดียวนี้

03:25.890 --> 03:28.200
ซึ่งหมายความว่าถ้าเราทำหาย เราจะสูญเสีย Security Stack

03:28.200 --> 03:30.300
ทั้งหมดของเรา

03:30.300 --> 03:32.520
ดังนั้น องค์กรของเราจำเป็นต้องพิจารณาทั้งข้อดีและข้อเสียของ

03:32.520 --> 03:39.210
Unified Threat Management ก่อนตัดสินใจนำสิ่งนั้นไปใช้ในสถาปัตยกรรมของเรา

03:39.210 --> 03:42.870
ข้อดีบางประการของการใช้ UTM ได้แก่ ค่าใช้จ่ายล่วงหน้าที่ลดลง การบำรุงรักษา

03:42.870 --> 03:44.580
และการใช้พลังงาน

03:44.580 --> 03:48.180
เนื่องจากฟังก์ชันทั้งหมดเหล่านี้อยู่ในอุปกรณ์ที่ติดตั้งบนชั้นวางเครื่องเดียว

03:48.180 --> 03:53.580
นอกจากนี้ยังติดตั้งและกำหนดค่าได้ง่ายกว่าการต้องทำหลายอุปกรณ์สำหรับแต่ละฟังก์ชัน

03:53.580 --> 03:57.090
และสามารถผสานรวมเข้าด้วยกันอย่างสมบูรณ์ซึ่งมีประโยชน์มากมายเช่นกัน

03:57.090 --> 03:59.040
ข้อเสียใหญ่ที่นี่คือจุดเดียวของความล้มเหลว

03:59.040 --> 04:02.250
และมักขาดรายละเอียดจากเครื่องมือที่เชี่ยวชาญกว่า

04:02.250 --> 04:09.090
และบ่อยครั้งประสิทธิภาพการทำงานอาจไม่มีประสิทธิภาพเท่ากับอุปกรณ์ที่มีฟังก์ชันเดียว

04:09.090 --> 04:17.490
ในขณะที่อุปกรณ์ UTM ทำงานได้ดีเป็นส่วนใหญ่ อุปกรณ์เหล่านี้ใช้เอ็นจิ้นแต่ละตัวแยกจากกันสำหรับแต่ละฟังก์ชันที่พวกเขาพยายามดำเนินการในการตรวจสอบความปลอดภัย

04:17.490 --> 04:22.110
ในขณะที่คุณกำลังใช้ไฟร์วอลล์รุ่นถัดไป คุณกำลังใช้เอนจิ้นเดียวที่มีประสิทธิภาพมากกว่า

04:22.110 --> 04:26.640
ดังนั้นหากความเร็วและประสิทธิภาพของเครือข่ายเป็นข้อกังวลหลักสำหรับองค์กรของคุณ

04:26.640 --> 04:29.250
คุณต้องการพิจารณาใช้ไฟร์วอลล์รุ่นถัดไปบนอุปกรณ์

04:29.250 --> 04:32.010
Unified Threat Management

04:32.010 --> 04:33.870
ตอนนี้ ถ้าองค์กรของคุณตัดสินใจที่จะใช้อุปกรณ์

04:33.870 --> 04:42.630
Unified Threat Management คุณจะต้องวางอุปกรณ์นั้นไว้ระหว่าง LAN และการเชื่อมต่อกับอินเทอร์เน็ต เหมือนกับว่ามันเป็นไฟร์วอลล์ในการกำหนดค่าแบบอินไลน์

04:42.630 --> 04:48.363
อย่างที่คุณเห็น มีตัวเลือกมากมายสำหรับไฟร์วอลล์เมื่อคุณออกแบบสถาปัตยกรรมเครือข่ายของคุณ