安全路由器和防火墻之間的區(qū)別當(dāng)前，市場上的路由器基本上具有簡單的防火墻功能，無論是消費者級別還是企業(yè)級別，它都可以實現(xiàn)一些功能，例如數(shù)據(jù)包篩選和IP篩選。 。因此，一些用戶已經(jīng)開始質(zhì)疑硬件防火墻的價值。因此，讓我們詳細(xì)比較這兩種設(shè)備之間的區(qū)別。背景技術(shù)路由器的生成基于路由網(wǎng)絡(luò)數(shù)據(jù)分組。路由器需要實現(xiàn)的是對不同網(wǎng)段的數(shù)據(jù)包進(jìn)行有效的路由管理。路由器關(guān)心的是是否可以路由不同網(wǎng)段的數(shù)據(jù)包進(jìn)行通信。防火墻是出于人們對安全性的需求而誕生的。數(shù)據(jù)包是否可以正確到達(dá)，到達(dá)時間，方向等不是防火墻關(guān)注的重點。關(guān)鍵在于數(shù)據(jù)包是否應(yīng)該通過以及通過之后是否會對網(wǎng)絡(luò)造成損害。 二、目的路由器的基本目的是保持網(wǎng)絡(luò)和數(shù)據(jù)連接。防火墻的基本目的是確保“阻止”任何不允許的數(shù)據(jù)包。 三、核心技術(shù)路由器核心ACL列表基于簡單的數(shù)據(jù)包過濾，屬于OSI過濾的第三層。從防火墻技術(shù)實施的角度來看，防火墻是基于狀態(tài)數(shù)據(jù)包過濾的應(yīng)用程序級信息流過濾。假設(shè)提供服務(wù)的端口是TCP 80，則內(nèi)部網(wǎng)絡(luò)上的服務(wù)器通過路由器向內(nèi)部網(wǎng)絡(luò)提供服務(wù)。為了確保安全性，路由器需要配置為：僅允許客戶端訪問服務(wù)器的TCP端口80。 ，并拒絕其他人。

這種設(shè)置中的安全漏洞如下：1、 IP地址欺騙（異常重置連接）2、 TCP欺騙（會話重播和劫持）上面隱藏的危險的原因是路由器無法監(jiān)視TCP的狀態(tài)。如果在Intranet的客戶端和路由器之間放置防火墻，則由于防火墻可以檢測TCP的狀態(tài)并可以隨機(jī)地重新生成TCP序列號，因此可以完全消除此類漏洞。同時，某些防火墻具有一次性密碼認(rèn)證客戶端功能，可以在對應(yīng)用程序完全透明的情況下實現(xiàn)對用戶的訪問控制。它的身份驗證支持標(biāo)準(zhǔn)Radius協(xié)議和本地身份驗證，可以與第三方身份驗證完全兼容。認(rèn)證服務(wù)器執(zhí)行互操作性，并可以實現(xiàn)角色劃分。 3.安全策略路由器的默認(rèn)配置不夠全面，無法考慮安全性。需要高級高級配置才能實現(xiàn)某些防攻擊效果，并且企業(yè)級路由器基本上是基于命令模式配置的，而命令模式是基于安全規(guī)則的。有些更復(fù)雜，并且配置錯誤的可能性更高。某些防火墻的默認(rèn)配置可以防止各種攻擊，并且可以實現(xiàn)安全和用戶友好的防火墻。所有防火墻均使用圖形界面進(jìn)行配置。配置簡單，錯誤率低。 4.對性能的影響路由器的初衷是轉(zhuǎn)發(fā)數(shù)據(jù)包，而不是專門設(shè)計為功能齊全的防火墻，因此轉(zhuǎn)發(fā)數(shù)據(jù)時的計算量非常大。如果再次執(zhí)行數(shù)據(jù)包篩選，則可能會對路由器的CPU和內(nèi)存產(chǎn)生重大影響。這就是為什么路由器打開防火墻后數(shù)據(jù)轉(zhuǎn)發(fā)率會降低的原因。

此外，由于路由器的高硬件成本，其高性能配置的硬件成本相對較大。防火墻不用于數(shù)據(jù)轉(zhuǎn)發(fā)。只要判斷該報文是否滿足要求，就通過，否則不通過。其軟件還針對數(shù)據(jù)包過濾進(jìn)行了專門優(yōu)化。它的主要模塊在操作系統(tǒng)的內(nèi)核模式下運行。 ，在設(shè)計過程中特別考慮了安全性問題，并且其在數(shù)據(jù)包篩選中的性能非常高。由于路由器是簡單的數(shù)據(jù)包過濾器，因此數(shù)據(jù)包過濾規(guī)則數(shù)量的增加和NAT規(guī)則數(shù)量的增加將對路由器的性能產(chǎn)生相應(yīng)的影響。防火墻使用狀態(tài)數(shù)據(jù)包過濾，規(guī)則數(shù)量和NAT規(guī)則數(shù)量。規(guī)則數(shù)量對性能的影響幾乎為零。 5.防攻擊功能甚至像Cisco這樣的路由器在其普通版本中也沒有應(yīng)用層防護(hù)功能或?qū)崟r入侵檢測功能。如果需要這些功能，則需要將IOS升級到防火墻功能集。這時，不僅要承擔(dān)軟件升級費用，還因為這些功能需要大量的計算，還需要升級硬件配置，這進(jìn)一步增加了成本，而且許多制造商的路由器都沒有這種先進(jìn)的功能。安全功能。總之，用戶使用防火墻的基本條件是對網(wǎng)絡(luò)安全的需求。用戶網(wǎng)絡(luò)拓?fù)涞暮唵涡院蛷?fù)雜性以及用戶應(yīng)用程序的困難性并不是確定是否應(yīng)使用防火墻的標(biāo)準(zhǔn)。即使用戶的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用程序非常簡單，仍需要使用防火墻。如果用戶的環(huán)境和應(yīng)用程序更加復(fù)雜，則防火墻將帶來更多好處，并且防火墻將在網(wǎng)絡(luò)建設(shè)中必不可少。對于缺少的部分，對于普通網(wǎng)絡(luò)而言，路由器將是保護(hù)內(nèi)部網(wǎng)絡(luò)的第一道路，并且防火墻將是第二遍，也是最嚴(yán)格的遍歷。

本文來自本站，轉(zhuǎn)載請注明本文網(wǎng)址：
http://www.pc-fly.com/a/tongxingongju/article-370351-1.html