防火墻已成為企業網絡建設的關鍵組成部分。但是許多用戶認為網絡中的路由器可以實現一些簡單的數據包過濾功能。以下是答案案例網。 zQnF.Com的編輯與您共享的是路由器可以代替防火墻嗎？歡迎大家閱讀和學習?

路由器可以替換防火墻一、這兩種設備是生產出來的，并且存在于不同的背景中

1、這兩個設備的根本原因不同

路由器的生成基于網絡數據包的路由。路由器需要完成的是有效地路由來自不同網絡的數據包。至于為什么要路由，路由之后是否有問題等等，他們根本不在乎。他們關心的是他們是否可以在不同的網段上執行數據包。進行交流的途徑。

防火墻是出于人們對安全性的需求而誕生的。數據包是否可以正確到達，到達時間，方向等不是防火墻關注的重點。關鍵是這（一系列）數據包是否應該通過，以及在通過之后是否會對網絡造成損害。

2、根本目的不同

路由器的基本目的是保持網絡和數據的連接。

防火墻的基本目的是確保“阻止”任何不允許的數據包。

二、核心技術的差異

Cisco路由器核心的ACL列表基于簡單的數據包過濾。從防火墻技術的實現角度來看，防火墻是基于狀態包過濾的應用程序級信息流過濾。

最簡單的應用之一：公司Intranet上的主機通過路由器向Intranet提供服務（假設服務端口為tcp 145 5)。為了確保安全性，需要將路由器配置為：外部->僅允許客戶端訪問服務器的tcp 1455端口，其他客戶端被拒絕。

對于當前配置，現有的安全漏洞如下：

1、 IP地址欺騙（異常重置了連接）

2、 tcp欺騙（會話重播和劫持）

上述隱患的原因是路由器無法監視tcp的狀態。如果在內部網絡的客戶端和路由器之間放置了防火墻，則由于防火墻可以檢測tcp的狀態并可以隨機重新生成tcp序列號，因此可以完全消除此漏洞。同時，防火墻的一次性密碼認證客戶端功能可以在對應用程序完全透明的情況下實現對用戶的訪問控制。它的身份驗證支持標準的radius協議和本地身份驗證，并且可以由第三方完全相互身份驗證。操作，并可以實現角色劃分。

盡管路由器的“鎖定和鑰匙”功能可以通過動態訪問控制列表來實現用戶身份驗證，但是此功能需要路由器提供telnet服務，并且用戶還需要在使用路由器之前通過telnet到路由器。 ，使用起來不太方便，同時又不夠安全（開放的端口會為黑客創造機會）。

三、安全策略制定的復雜程度不同

出于安全考慮，路由器的默認配置是不夠的，并且需要一些高級配置來實現某些防攻擊效果。安全策略的大多數制定都是基于命令行，并且安全規則的制定是相對比較的。復雜，配置錯誤的可能性很高。

防火墻的默認配置可以防止各種攻擊，并且在使用時可以同時實現兩種安全性。安全策略的制定基于中文GUI的管理工具。該安全策略的制定方便易用，易于配置，錯誤率低。

四、對性能有不同的影響

路由器被設計為轉發數據包，而不是專門設計為功能齊全的防火墻，因此，當用于數據包篩選時，所需的計算量非常大，并且對路由器的cpu和內存的要求也非常大。 ，而路由器由于其硬件成本較高，其高性能配置的硬件成本也相對較大。

防火墻的硬件配置非常高（使用通用的Intel芯片，具有高性能和低成本），并且其軟件還針對數據包過濾進行了專門優化。其主要模塊在設計的內核模式下運行。我們特別考慮了安全性問題，它在數據包過濾方面的性能很高。

由于路由器是簡單的數據包篩選器，因此，數據包篩選規則數量的增加和nat規則數量的增加將相應地增加對路由器性能的影響，并且防火墻使用狀態數據包篩選，該數量規則的數量，nat規則數量對性能的影響幾乎為零。

五、審計功能的優缺點之間存在巨大差異

路由器本身沒有用于日志和事件的存儲介質。它只能使用外部日志（例如syslog，trap）等來存儲日志和事件。路由器本身沒有審核分析工具，而是使用日志和事件的描述。這是一種不容易理解的語言。路由器對諸如攻擊之類的安全事件的響應是不完整的，并且對于許多攻擊，掃描和其他操作，它無法生成準確，及時的事件。審計功能的削弱使管理員無法及時，準確地響應安全事件。

六、防范攻擊的能力不同

對于像cisco這樣的路由器，其普通版本不具有應用程序層防護功能，并且不具有諸如實時入侵檢測之類的功能。如果需要這些功能，則需要將ios升級到防火墻功能集。為了承擔軟件升級成本，并且由于這些功能需要大量計算，因此還需要硬件配置升級，這進一步增加了成本，并且許多制造商的路由器不具有這種高級安全功能。可以繪制：

·具有防火墻功能的路由器的成本>防火墻+路由器

·具有防火墻功能的路由器功能

·具有防火墻功能的路由器可擴展性

總而言之，可以得出結論，用戶網絡拓撲的簡單性和復雜性以及用戶應用程序的困難性并不是確定是否應使用防火墻的標準。確定用戶是否應該使用防火墻的基本條件是用戶對網絡安全的需求！

即使用戶的網絡拓撲和應用程序非常簡單，使用防火墻仍然是必要且必要的。如果用戶的環境和應用程序更加復雜，則防火墻將帶來更多好處，而防火墻將是網絡建設中不可或缺的一部分，路由器將成為保護內部網絡的第一道通行證，而防火墻將是第二關，也是最嚴格的關。

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/tongxingongju/article-361329-1.html