路由器跟防火墻的區別
很多人都分不清路由器跟防火墻的區別,因為有的路由器是帶有防火墻的功能的,覺得路由器是不是跟防火墻是一樣的,下面我們就一起來了解一下吧!
1、兩種設備的根本原因不同
路由器基于網絡數據包路由。 路由器有效地路由不同網絡的分組。 為什么路由、是否應該路由、路由后是否有問題等不是路由器關心的問題,而是能否路由不同網段的包進行通信才是關心的問題。
防火墻是人們對安全的需求。 數據包能否正確到達,到達時間、方向等不是防火墻關注的中心,而是數據包是否應該通過,通過后是否會危害網絡。
2、根本目的不同
路由器的根本目的是維護網絡和數據的“通”。 防火墻的根本目的是保證未經許可的數據包“不通”。
3、核心技術的差異
路由器核心的ACL列表基于簡單的包過濾,防火墻是基于狀態包過濾的應用級信息流過濾器。 簡單的APP :是公司內部網絡的主機,通過路由器墻向公司內部網絡提供服務。 將提供服務的端口設為tcp 1455。 為了確保安全,路由器必須配置為從外部到內部,只有客戶端可以訪問服務器的tcp 1455端口,否則必須拒絕。 相對于目前的結構,存在的安全漏洞如下。 路由器壁無法監視TCP的狀態。
在intranet客戶端和路由器之間安裝防火墻可以幫助防火墻檢測TCP的狀態并隨機重新生成TCP的序列號,從而完全消除了這種漏洞。 防火墻的一次性口令認證客戶端功能還可以對APP應用完全透明地實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證數據庫,與第三方認證服務器完全交互使用。
路由器的“Lock-and-Key”功能可以通過動態訪問控制列表來實現用戶認證,但這一特性需要路由器提供Telnet服務,用戶也需要首先Telnet到路由器,這樣不但用起來不方便,也不安全。
4、安全策略的復雜性不同
路由器的默認配置對安全考慮不夠,需要一些高級配置來防止攻擊,安全策略的創建大部分基于命令行,安全規則的創建比較復雜,配置錯誤的概率很高。
防火墻的默認配置可以防止各種攻擊,基于中文全局GUI的管理工具,安全策略的創建人性化、配置簡單、錯誤率低。
5、對性能的影響不同
路由器的功能是傳輸數據包,并沒有被特別設計為全特性防火墻。 用于包過濾時,運算非常大,路由器的防火墻對CPU和內存的需求非常大,而路由器的硬件成本較高,高性能配置時硬件成本較高。
防火墻的硬件配置非常高,軟件也針對數據包過濾進行了優化,主要模塊在操作系統內核模式下工作,特別考慮了安全問題,進行數據包過濾的性能非常高。
路由器采用簡單包過濾、包過濾規則數的增加、NAT規則數的增加對路由器性能的影響相應增加,而防火墻采用狀態包過濾,規則數、NAT規則數的性能影響接近于0。
6、鑒定功能強弱差異很大
路由器沒有日志、事件的存儲介質,只能通過采用外部日志服務器,如syslog、trap等來完成日志、事件的存儲; 沒有鑒定分析工具,日志、事件的記述采用了不太容易理解的語言; 路由器對攻擊等安全事件有相應的不完善,無法對許多攻擊、掃描等操作產生準確及時的事件。 由于查勘功能下降,管理員無法及時、準確地應對安全事件。
7、防止攻擊的能力不同
典型的路由器沒有防止APP應用層入侵和入侵實時檢測等功能。 如果想要具備這些功能,則需要升級IOS防火墻特性集,但軟件升級、大量運算、硬件配置升級會增加成本。 可以看到以下內容:
具有防火墻特性的路由器成本 > 防火墻 + 路由器
具有防火墻特性的路由器功能 < 防火墻 + 路由器
具有防火墻特性的路由器可擴展性 < 防火墻 + 路由器
1、兩種設備的根本原因不同
路由器基于網絡數據包路由。 路由器有效地路由不同網絡的分組。 為什么路由、是否應該路由、路由后是否有問題等不是路由器關心的問題,而是能否路由不同網段的包進行通信才是關心的問題。
防火墻是人們對安全的需求。 數據包能否正確到達,到達時間、方向等不是防火墻關注的中心,而是數據包是否應該通過,通過后是否會危害網絡。
2、根本目的不同
路由器的根本目的是維護網絡和數據的“通”。 防火墻的根本目的是保證未經許可的數據包“不通”。
3、核心技術的差異
路由器核心的ACL列表基于簡單的包過濾,防火墻是基于狀態包過濾的應用級信息流過濾器。 簡單的APP :是公司內部網絡的主機,通過路由器墻向公司內部網絡提供服務。 將提供服務的端口設為tcp 1455。 為了確保安全,路由器必須配置為從外部到內部,只有客戶端可以訪問服務器的tcp 1455端口,否則必須拒絕。 相對于目前的結構,存在的安全漏洞如下。 路由器壁無法監視TCP的狀態。
在intranet客戶端和路由器之間安裝防火墻可以幫助防火墻檢測TCP的狀態并隨機重新生成TCP的序列號,從而完全消除了這種漏洞。 防火墻的一次性口令認證客戶端功能還可以對APP應用完全透明地實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證數據庫,與第三方認證服務器完全交互使用。
路由器的“Lock-and-Key”功能可以通過動態訪問控制列表來實現用戶認證,但這一特性需要路由器提供Telnet服務,用戶也需要首先Telnet到路由器,這樣不但用起來不方便,也不安全。
4、安全策略的復雜性不同
路由器的默認配置對安全考慮不夠,需要一些高級配置來防止攻擊,安全策略的創建大部分基于命令行,安全規則的創建比較復雜,配置錯誤的概率很高。
防火墻的默認配置可以防止各種攻擊,基于中文全局GUI的管理工具,安全策略的創建人性化、配置簡單、錯誤率低。
5、對性能的影響不同
路由器的功能是傳輸數據包,并沒有被特別設計為全特性防火墻。 用于包過濾時,運算非常大,路由器的防火墻對CPU和內存的需求非常大,而路由器的硬件成本較高,高性能配置時硬件成本較高。
防火墻的硬件配置非常高,軟件也針對數據包過濾進行了優化,主要模塊在操作系統內核模式下工作,特別考慮了安全問題,進行數據包過濾的性能非常高。
路由器采用簡單包過濾、包過濾規則數的增加、NAT規則數的增加對路由器性能的影響相應增加,而防火墻采用狀態包過濾,規則數、NAT規則數的性能影響接近于0。
6、鑒定功能強弱差異很大
路由器沒有日志、事件的存儲介質,只能通過采用外部日志服務器,如syslog、trap等來完成日志、事件的存儲; 沒有鑒定分析工具,日志、事件的記述采用了不太容易理解的語言; 路由器對攻擊等安全事件有相應的不完善,無法對許多攻擊、掃描等操作產生準確及時的事件。 由于查勘功能下降,管理員無法及時、準確地應對安全事件。
7、防止攻擊的能力不同
典型的路由器沒有防止APP應用層入侵和入侵實時檢測等功能。 如果想要具備這些功能,則需要升級IOS防火墻特性集,但軟件升級、大量運算、硬件配置升級會增加成本。 可以看到以下內容:
具有防火墻特性的路由器成本 > 防火墻 + 路由器
具有防火墻特性的路由器功能 < 防火墻 + 路由器
具有防火墻特性的路由器可擴展性 < 防火墻 + 路由器
用戶網絡拓撲的簡單性和復雜性、APP難度不是決定是否使用防火墻的標準,而是用戶對網絡安全的需求。 即使是非常簡單的網絡拓撲和APP,也需要使用防火墻。 防火墻是網絡建設中不可缺少的部分,路由器墻是保護內網的第一關口,防火墻是第二關口,也是最嚴格的關口。