几乎任何安全设备的目的都是控制两方之间允许的内容，我们需要强制交互通过安全设备。如果糟糕的流程/人员/操作可以绕过我们的设备，则它不必受其规则的约束。

对于网络安全设备，我们有一根线连接到“我们”，一根连接到“他们”。我们通常对“我们”有额外的权力（公司政策等），我们知道至少有一些“他们”是坏人。其目的通常是允许内部人员的所有合法使用，并防止外部人员的任何不良行为。我们需要一些互动——我们的员工需要网页和电子邮件——否则我们的网络就会断开。

如果我们将它们混合在一个界面上，就不会强迫坏人与我们的设备进行交互。

也许你见过小港口的护照检查？这是码头上一间小屋里的一名军官。所有的船都停泊在任何地方。如果您在半夜乘游艇抵达，您应该在早上去参观，以便在您的护照上盖章。如果你乘游艇到达一个小渔码头，你应该去港口小屋里找军官。

将其与任何大型机场的情况进行比较。当你下飞机时，你只能通过一种方式出去：通过护照检查。

如果您是安全设备制造商，您会采用哪种型号？

术语“防火墙”可能意味着以下两种情况之一：

(1) 专用硬件设备，例如 Cisco ASA，其全部目的是保护“内部”网络上的主机免受“外部”网络上的恶意攻击

(2) 像 Windows Defender 这样的软件，其目的是在通用计算机上运行并保护该计算机免受坏人的攻击。

我认为您的困惑是因为您在阅读类型 (1) 的文档时想到了类型 (2) :-)

两种类型的防火墙都做同样的事情：检查网络数据包并采取措施防止“坏”数据包到达其预期目标 - 在类型（1）的情况下，“预期目标”是在同一主机上运行的软件网络，而在类型 (2) 的情况下，“预期目标”是在运行防火墙软件的同一主机上运行的软件。

希望这可以澄清。顺便说一句，关于类型 (2) 的讨论与网络工程 stackexchange 无关——抱歉。

你说你可以通过一个接口控制流量是正确的，因为每个接口都有一个入站规则和一个出站规则。

您的教程链接指向 AWS 上的 Sophos UTM。您的问题是为什么不在外部接口上使用入站和出站规则并完成...

它真的是为了节省处理能力。当您只允许客户端 XYZ 从外部访问您的内部 FTP 或 Web 服务器时，应该阻止客户端 ABC 而不进行任何进一步处理——可能是 NAT、QoS 而不仅仅是 ACL 列表。与您的内部客户试图接触外部一样。如果客户端 ABC 被允许使用 https 而不允许其他任何人使用，则客户端 XYZ 应该被从外面删除以使用 HTTPS。如果您从内部接口丢弃客户端 XYZ，防火墙不必处理数据包并询问自己——它需要 NAT 吗？服务质量？虚拟专用网？在它到达外部接口之前。