防火墻已經成為企業網絡建設的重要組成部分，但很多用戶認為路由器已經存在于網絡中，可以實現一些簡單的包過濾功能。 那么，你為什么要使用防火墻？ 現在我們將防火墻與業界最具代表性的路由器進行比較，并解釋為什么在用戶網絡和防火墻路由器中。 U3000

背景與一兩個設備不同。

1.兩種設備的根本原因不同。

路由器的產生是基于網絡數據包的路由。 路由器需要完成不同網絡數據包的高效路由。 為什么路由，路由和路由問題，比如穿越不穿越，根本不用關心。 他們關心的是：數據包不同網段的路由和通信，U3000

防火墻是安全的要求。 數據包能否正確到達，到達時間和方向不是防火墻關注的重點。 關鍵是這一系列的數據包通過，通過，會不會破壞網絡。 U3000

2.根本目的不同

路由器的根本目的是保持網絡和數據通過。 U3000

防火墻的基本目的是確保任何未經許可的數據包都不容易訪問。 U3000

2、核心技術差異

Cisco 路由器核心的 ACL 列表基于簡單的數據包過濾。 從防火墻技術角度，基于狀態包過濾對防火墻應用層信息流進行過濾，U3000

下面是一個最簡單的應用：內網中的主機，通過路由器提供服務網絡（假設服務端口為TCP 1455）。 為保證安全，需要在路由器上配置：對外TCP 1455端口，允許客戶端訪問服務器，允許，其他則拒絕。 U3000

U3000

考慮到當前配置，存在以下安全漏洞：

1、IP地址欺騙（異常重置連接）

2. TCP欺騙（會話重放和劫持）

出現以上問題的原因是路由器無法監聽到TCP的狀態。 如果在內網客戶端和路由器之間放置防火墻，由于防火墻可以檢測到TCP狀態，可以生成TCP序列號，可以徹底消除這種漏洞。 同時，防火墻的一次性口令認證客戶端功能可以對應用程序完全透明，用戶訪問控制，認證支持標準協議和本地認證數據庫，可以與第三方認證服務器完全交互，實現分工的作用。 U3000

雖然lock and key功能，路由器可以動態訪問控制列表實現用戶認證，但是該功能需要服務路由器，用戶也需要使用服務器運維，使用起來不夠方便，也不夠安全（黑客創造開放口岸的機會）。 U3000

三。 安全策略開發的復雜性各不相同。

安全考慮 路由器的默認配置是不夠的，需要一些高級配置來防止攻擊。 安全策略基于命令行。 安全規則的制定相對復雜，配置錯誤的概率較高。 U3000

防火墻的默認配置可以防止各種攻擊。 它安全可靠。 安全策略設計基于全中文GUI管理工具。 其安全策略人性化，易于配置，錯誤率低。

四、不同對性能的影響

路由器是用來傳輸數據包的，并不是像防火墻那樣為所有屬性設計的，所以對于包過濾來說，運算需要非常大，對路由器的CPU和內存要求非常大，但是因為它的成本比較高比起路由器硬件的高性能，U3000的硬件配置相對昂貴。

防火墻硬件配置很高（采用Intel芯片，性能一般，成本低），軟件針對包過濾進行了優化，主要模塊運行在操作系統的內核態，兼顧了設計安全問題和數據包過濾的性能非常高。 U3000

由于路由器是簡單的包過濾，包過濾規則的數量增加，NAT規則的數量相應增加，影響路由器的性能，而防火墻采用狀態包過濾。 有些規則，自然數的表現接近于零。 規則。 U3000

五。 審計職能的強度大不相同。

路由器本身沒有存儲介質，事件日志，只有使用外部日志服務器完成的事件日志（如logs、trap等），路由器本身沒有存儲； 日志審計分析工具，事件描述不易理解語言對應路由器； 攻擊和其他安全事件是不完整的，許多攻擊和掃描操作不會產生準確和及時的事件。 審計功能的弱化使得管理員無法及時、準確地做出安全事件。

U3000

防火墻的日志存儲介質有兩種，一種是硬盤存儲，一種是單獨的日志服務器； 針對這兩類存儲，防火墻審計提供了強大的分析工具，管理員可以輕松分析各種安全風險； 事件的及時性還體現在各種告警方式上，包括蜂鳴器、Trap、郵件、日志等； 防火墻還具有實時監控功能，可以通過防火墻連接在線監控，也可以對抓取的數據包進行分析。 為網絡運行分析和網絡故障診斷提供了方便。 U3000

第六，抵御攻擊的能力不同。

例如，Cisco路由器在普通版中就沒有應用層防護功能和實時入侵檢測功能。 如果您需要此類功能，則需要升級到 iOS 防火墻功能集。 這時候，你不僅要承擔升級軟件的成本，還因為這些功能還需要大量的計算。 同時，硬件配置升級的需要進一步增加了成本，卻又不兼容高級安全。 因此，許多制造商的路由器可以得出結論：

路由器成本>防火墻+路由器有防火墻功能

帶防火墻功能的路由器功能：防火墻+路由器

具有防火墻功能的路由器可擴展性 > 防火墻 + 路由器

綜上所述，我們可以得出結論，網絡用戶的拓撲結構是否簡單，用戶應用程序是否簡單和復雜，是否使用標準的防火墻是決定用戶是否使用防火墻的基本條件或不。 ！

即使用戶的網絡拓撲結構和應用非常簡單，使用防火墻仍然是必要和必要的； 如果用戶的應用環境更加復雜，那么防火墻將能夠帶來更多的好處，網絡防火墻的建設將成為普通網絡的一個組成部分服務器運維，路由器是保護內部網絡的第一道關口，而防火墻將是第二點，也是最嚴格的屏障。