防火墻已經(jīng)成為企業(yè)網(wǎng)絡(luò)建設(shè)的重要組成部分，但很多用戶認(rèn)為路由器已經(jīng)存在于網(wǎng)絡(luò)中，可以實現(xiàn)一些簡單的包過濾功能。 那么，你為什么要使用防火墻？ 現(xiàn)在我們將防火墻與業(yè)界最具代表性的路由器進(jìn)行比較，并解釋為什么在用戶網(wǎng)絡(luò)和防火墻路由器中。 U3000

背景與一兩個設(shè)備不同。

1.兩種設(shè)備的根本原因不同。

路由器的產(chǎn)生是基于網(wǎng)絡(luò)數(shù)據(jù)包的路由。 路由器需要完成不同網(wǎng)絡(luò)數(shù)據(jù)包的高效路由。 為什么路由，路由和路由問題，比如穿越不穿越，根本不用關(guān)心。 他們關(guān)心的是：數(shù)據(jù)包不同網(wǎng)段的路由和通信，U3000

防火墻是安全的要求。 數(shù)據(jù)包能否正確到達(dá)，到達(dá)時間和方向不是防火墻關(guān)注的重點。 關(guān)鍵是這一系列的數(shù)據(jù)包通過，通過，會不會破壞網(wǎng)絡(luò)。 U3000

2.根本目的不同

路由器的根本目的是保持網(wǎng)絡(luò)和數(shù)據(jù)通過。 U3000

防火墻的基本目的是確保任何未經(jīng)許可的數(shù)據(jù)包都不容易訪問。 U3000

2、核心技術(shù)差異

Cisco 路由器核心的 ACL 列表基于簡單的數(shù)據(jù)包過濾。 從防火墻技術(shù)角度，基于狀態(tài)包過濾對防火墻應(yīng)用層信息流進(jìn)行過濾，U3000

下面是一個最簡單的應(yīng)用：內(nèi)網(wǎng)中的主機(jī)，通過路由器提供服務(wù)網(wǎng)絡(luò)（假設(shè)服務(wù)端口為TCP 1455）。 為保證安全，需要在路由器上配置：對外TCP 1455端口，允許客戶端訪問服務(wù)器，允許，其他則拒絕。 U3000

U3000

考慮到當(dāng)前配置，存在以下安全漏洞：

1、IP地址欺騙（異常重置連接）

2. TCP欺騙（會話重放和劫持）

出現(xiàn)以上問題的原因是路由器無法監(jiān)聽到TCP的狀態(tài)。 如果在內(nèi)網(wǎng)客戶端和路由器之間放置防火墻，由于防火墻可以檢測到TCP狀態(tài)，可以生成TCP序列號，可以徹底消除這種漏洞。 同時，防火墻的一次性口令認(rèn)證客戶端功能可以對應(yīng)用程序完全透明，用戶訪問控制，認(rèn)證支持標(biāo)準(zhǔn)協(xié)議和本地認(rèn)證數(shù)據(jù)庫，可以與第三方認(rèn)證服務(wù)器完全交互，實現(xiàn)分工的作用。 U3000

雖然lock and key功能，路由器可以動態(tài)訪問控制列表實現(xiàn)用戶認(rèn)證，但是該功能需要服務(wù)路由器，用戶也需要使用服務(wù)器運維，使用起來不夠方便，也不夠安全（黑客創(chuàng)造開放口岸的機(jī)會）。 U3000

三。 安全策略開發(fā)的復(fù)雜性各不相同。

安全考慮 路由器的默認(rèn)配置是不夠的，需要一些高級配置來防止攻擊。 安全策略基于命令行。 安全規(guī)則的制定相對復(fù)雜，配置錯誤的概率較高。 U3000

防火墻的默認(rèn)配置可以防止各種攻擊。 它安全可靠。 安全策略設(shè)計基于全中文GUI管理工具。 其安全策略人性化，易于配置，錯誤率低。

四、不同對性能的影響

路由器是用來傳輸數(shù)據(jù)包的，并不是像防火墻那樣為所有屬性設(shè)計的，所以對于包過濾來說，運算需要非常大，對路由器的CPU和內(nèi)存要求非常大，但是因為它的成本比較高比起路由器硬件的高性能，U3000的硬件配置相對昂貴。

防火墻硬件配置很高（采用Intel芯片，性能一般，成本低），軟件針對包過濾進(jìn)行了優(yōu)化，主要模塊運行在操作系統(tǒng)的內(nèi)核態(tài)，兼顧了設(shè)計安全問題和數(shù)據(jù)包過濾的性能非常高。 U3000

由于路由器是簡單的包過濾，包過濾規(guī)則的數(shù)量增加，NAT規(guī)則的數(shù)量相應(yīng)增加，影響路由器的性能，而防火墻采用狀態(tài)包過濾。 有些規(guī)則，自然數(shù)的表現(xiàn)接近于零。 規(guī)則。 U3000

五。 審計職能的強度大不相同。

路由器本身沒有存儲介質(zhì)，事件日志，只有使用外部日志服務(wù)器完成的事件日志（如logs、trap等），路由器本身沒有存儲； 日志審計分析工具，事件描述不易理解語言對應(yīng)路由器； 攻擊和其他安全事件是不完整的，許多攻擊和掃描操作不會產(chǎn)生準(zhǔn)確和及時的事件。 審計功能的弱化使得管理員無法及時、準(zhǔn)確地做出安全事件。

U3000

防火墻的日志存儲介質(zhì)有兩種，一種是硬盤存儲，一種是單獨的日志服務(wù)器； 針對這兩類存儲，防火墻審計提供了強大的分析工具，管理員可以輕松分析各種安全風(fēng)險； 事件的及時性還體現(xiàn)在各種告警方式上，包括蜂鳴器、Trap、郵件、日志等； 防火墻還具有實時監(jiān)控功能，可以通過防火墻連接在線監(jiān)控，也可以對抓取的數(shù)據(jù)包進(jìn)行分析。 為網(wǎng)絡(luò)運行分析和網(wǎng)絡(luò)故障診斷提供了方便。 U3000

第六，抵御攻擊的能力不同。

例如，Cisco路由器在普通版中就沒有應(yīng)用層防護(hù)功能和實時入侵檢測功能。 如果您需要此類功能，則需要升級到 iOS 防火墻功能集。 這時候，你不僅要承擔(dān)升級軟件的成本，還因為這些功能還需要大量的計算。 同時，硬件配置升級的需要進(jìn)一步增加了成本，卻又不兼容高級安全。 因此，許多制造商的路由器可以得出結(jié)論：

路由器成本>防火墻+路由器有防火墻功能

帶防火墻功能的路由器功能：防火墻+路由器

具有防火墻功能的路由器可擴(kuò)展性 > 防火墻 + 路由器

綜上所述，我們可以得出結(jié)論，網(wǎng)絡(luò)用戶的拓?fù)浣Y(jié)構(gòu)是否簡單，用戶應(yīng)用程序是否簡單和復(fù)雜，是否使用標(biāo)準(zhǔn)的防火墻是決定用戶是否使用防火墻的基本條件或不。 ！

即使用戶的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和應(yīng)用非常簡單，使用防火墻仍然是必要和必要的； 如果用戶的應(yīng)用環(huán)境更加復(fù)雜，那么防火墻將能夠帶來更多的好處，網(wǎng)絡(luò)防火墻的建設(shè)將成為普通網(wǎng)絡(luò)的一個組成部分服務(wù)器運維，路由器是保護(hù)內(nèi)部網(wǎng)絡(luò)的第一道關(guān)口，而防火墻將是第二點，也是最嚴(yán)格的屏障。