防火墻已成為企業(yè)網(wǎng)絡(luò)建設(shè)的關(guān)鍵組成部分。但是許多用戶認(rèn)為網(wǎng)絡(luò)中的路由器可以實(shí)現(xiàn)一些簡單的數(shù)據(jù)包過濾功能。以下是答案案例網(wǎng)。 zQnF.Com的編輯與您共享的是路由器可以代替防火墻嗎？歡迎大家閱讀和學(xué)習(xí)?

路由器可以替換防火墻一、這兩種設(shè)備是生產(chǎn)出來的，并且存在于不同的背景中

1、這兩個(gè)設(shè)備的根本原因不同

路由器的生成基于網(wǎng)絡(luò)數(shù)據(jù)包的路由。路由器需要完成的是有效地路由來自不同網(wǎng)絡(luò)的數(shù)據(jù)包。至于為什么要路由，路由之后是否有問題等等，他們根本不在乎。他們關(guān)心的是他們是否可以在不同的網(wǎng)段上執(zhí)行數(shù)據(jù)包。進(jìn)行交流的途徑。

防火墻是出于人們對安全性的需求而誕生的。數(shù)據(jù)包是否可以正確到達(dá)，到達(dá)時(shí)間，方向等不是防火墻關(guān)注的重點(diǎn)。關(guān)鍵是這（一系列）數(shù)據(jù)包是否應(yīng)該通過，以及在通過之后是否會(huì)對網(wǎng)絡(luò)造成損害。

2、根本目的不同

路由器的基本目的是保持網(wǎng)絡(luò)和數(shù)據(jù)的連接。

防火墻的基本目的是確保“阻止”任何不允許的數(shù)據(jù)包。

二、核心技術(shù)的差異

Cisco路由器核心的ACL列表基于簡單的數(shù)據(jù)包過濾。從防火墻技術(shù)的實(shí)現(xiàn)角度來看，防火墻是基于狀態(tài)包過濾的應(yīng)用程序級信息流過濾。

最簡單的應(yīng)用之一：公司Intranet上的主機(jī)通過路由器向Intranet提供服務(wù)（假設(shè)服務(wù)端口為tcp 145 5)。為了確保安全性，需要將路由器配置為：外部->僅允許客戶端訪問服務(wù)器的tcp 1455端口，其他客戶端被拒絕。

對于當(dāng)前配置，現(xiàn)有的安全漏洞如下：

1、 IP地址欺騙（異常重置了連接）

2、 tcp欺騙（會(huì)話重播和劫持）

上述隱患的原因是路由器無法監(jiān)視tcp的狀態(tài)。如果在內(nèi)部網(wǎng)絡(luò)的客戶端和路由器之間放置了防火墻，則由于防火墻可以檢測tcp的狀態(tài)并可以隨機(jī)重新生成tcp序列號，因此可以完全消除此漏洞。同時(shí)，防火墻的一次性密碼認(rèn)證客戶端功能可以在對應(yīng)用程序完全透明的情況下實(shí)現(xiàn)對用戶的訪問控制。它的身份驗(yàn)證支持標(biāo)準(zhǔn)的radius協(xié)議和本地身份驗(yàn)證，并且可以由第三方完全相互身份驗(yàn)證。操作，并可以實(shí)現(xiàn)角色劃分。

盡管路由器的“鎖定和鑰匙”功能可以通過動(dòng)態(tài)訪問控制列表來實(shí)現(xiàn)用戶身份驗(yàn)證，但是此功能需要路由器提供telnet服務(wù)，并且用戶還需要在使用路由器之前通過telnet到路由器。 ，使用起來不太方便，同時(shí)又不夠安全（開放的端口會(huì)為黑客創(chuàng)造機(jī)會(huì)）。

三、安全策略制定的復(fù)雜程度不同

出于安全考慮，路由器的默認(rèn)配置是不夠的，并且需要一些高級配置來實(shí)現(xiàn)某些防攻擊效果。安全策略的大多數(shù)制定都是基于命令行，并且安全規(guī)則的制定是相對比較的。復(fù)雜，配置錯(cuò)誤的可能性很高。

防火墻的默認(rèn)配置可以防止各種攻擊，并且在使用時(shí)可以同時(shí)實(shí)現(xiàn)兩種安全性。安全策略的制定基于中文GUI的管理工具。該安全策略的制定方便易用，易于配置，錯(cuò)誤率低。

四、對性能有不同的影響

路由器被設(shè)計(jì)為轉(zhuǎn)發(fā)數(shù)據(jù)包，而不是專門設(shè)計(jì)為功能齊全的防火墻，因此，當(dāng)用于數(shù)據(jù)包篩選時(shí)，所需的計(jì)算量非常大，并且對路由器的cpu和內(nèi)存的要求也非常大。 ，而路由器由于其硬件成本較高，其高性能配置的硬件成本也相對較大。

防火墻的硬件配置非常高（使用通用的Intel芯片，具有高性能和低成本），并且其軟件還針對數(shù)據(jù)包過濾進(jìn)行了專門優(yōu)化。其主要模塊在設(shè)計(jì)的內(nèi)核模式下運(yùn)行。我們特別考慮了安全性問題，它在數(shù)據(jù)包過濾方面的性能很高。

由于路由器是簡單的數(shù)據(jù)包篩選器，因此，數(shù)據(jù)包篩選規(guī)則數(shù)量的增加和nat規(guī)則數(shù)量的增加將相應(yīng)地增加對路由器性能的影響，并且防火墻使用狀態(tài)數(shù)據(jù)包篩選，該數(shù)量規(guī)則的數(shù)量，nat規(guī)則數(shù)量對性能的影響幾乎為零。

五、審計(jì)功能的優(yōu)缺點(diǎn)之間存在巨大差異

路由器本身沒有用于日志和事件的存儲(chǔ)介質(zhì)。它只能使用外部日志（例如syslog，trap）等來存儲(chǔ)日志和事件。路由器本身沒有審核分析工具，而是使用日志和事件的描述。這是一種不容易理解的語言。路由器對諸如攻擊之類的安全事件的響應(yīng)是不完整的，并且對于許多攻擊，掃描和其他操作，它無法生成準(zhǔn)確，及時(shí)的事件。審計(jì)功能的削弱使管理員無法及時(shí)，準(zhǔn)確地響應(yīng)安全事件。

六、防范攻擊的能力不同

對于像cisco這樣的路由器，其普通版本不具有應(yīng)用程序?qū)臃雷o(hù)功能，并且不具有諸如實(shí)時(shí)入侵檢測之類的功能。如果需要這些功能，則需要將ios升級到防火墻功能集。為了承擔(dān)軟件升級成本，并且由于這些功能需要大量計(jì)算，因此還需要硬件配置升級，這進(jìn)一步增加了成本，并且許多制造商的路由器不具有這種高級安全功能。可以繪制：

·具有防火墻功能的路由器的成本>防火墻+路由器

·具有防火墻功能的路由器功能

·具有防火墻功能的路由器可擴(kuò)展性

總而言之，可以得出結(jié)論，用戶網(wǎng)絡(luò)拓?fù)涞暮唵涡院蛷?fù)雜性以及用戶應(yīng)用程序的困難性并不是確定是否應(yīng)使用防火墻的標(biāo)準(zhǔn)。確定用戶是否應(yīng)該使用防火墻的基本條件是用戶對網(wǎng)絡(luò)安全的需求！

即使用戶的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用程序非常簡單，使用防火墻仍然是必要且必要的。如果用戶的環(huán)境和應(yīng)用程序更加復(fù)雜，則防火墻將帶來更多好處，而防火墻將是網(wǎng)絡(luò)建設(shè)中不可或缺的一部分，路由器將成為保護(hù)內(nèi)部網(wǎng)絡(luò)的第一道通行證，而防火墻將是第二關(guān)，也是最嚴(yán)格的關(guān)。

本文來自本站，轉(zhuǎn)載請注明本文網(wǎng)址：
http://www.pc-fly.com/a/tongxingongju/article-361329-1.html