防火墙已经成为企业网络建设的重要组成部分，但很多用户■认为路由器已经存在于网络中，可以实现一些简单的①包过滤功能。 那么，你为什么要使用防火墙？ 现在我们将防火墙与业ㄨ界最具代表性的路由器进行比较，并解释为什么在用户网络和防火墙路由器中。 U3000

背景与一两个设备不同。

1.两种设备♂的根本原因不同。

路由器的产生是基于网络数据包的路由。 路由器需要完成不同网络数据包的高效路由。 为什么路由，路由和路由问题，比如穿越不穿越，根本不用关心。 他们关心的是：数据包不同网段的路由和通信，U3000

防火墙是安全的要求。 数据包能否正确到达，到达时间和方向不是防火墙关注的重点。 关键是这一系列的数据包通过，通过，会不会破々坏网络。 U3000

2.根本目的不同

路由器的根本目的是保持网络和数据通过。 U3000

防火墙的基本目的是确保任何未经许可的数据包都不容易访问。 U3000

2、核心技术差异

Cisco 路由器核心的 ACL 列表基ㄨ于简单的数据包过滤。 从防火墙技术角度，基于状态包过滤对防火墙应用层信息流进行过滤，U3000

下面是一个最简单的应用：内网中的主机，通过路由器提供服务网络（假设服务端口为TCP 1455）。 为保证安全，需要在路由器上配置：对外TCP 1455端口，允许客户端访问服务器，允许，其他则拒绝。 U3000

U3000

考虑到当前配置，存在以下安全漏洞：

1、IP地址欺骗（异常重置连接）

2. TCP欺骗（会话重放和劫持）

出现以上问题的原因是路由器无法监听到TCP的状态。 如果在内网客户端和路由器之间放置防火墙，由于防火墙可以检测到TCP状态，可以生成TCP序列号，可以彻底消除这种漏洞。 同时，防火墙的一次性口令认证客户端功能可以对应用程序完全透明，用户访♀问控制，认证支持标准协议和本地认证数据库，可以与第三方认证服务器完全交互，实现分工的作用。 U3000

虽然lock and key功能，路由器可以动态访问控制列表实现用户认证，但是︼该功能需要服务路由器，用户也需要使用服务器运维，使用起来不够方便，也不够安全（黑客创造开放口岸的机会）。 U3000

三。 安全策略开发的复杂性各不相同。

安全考虑 路由器的默认配置是不够的，需要一些高级配置来防止攻击。 安全策略基于命令行。 安全规则的制定相对复杂，配置错误的概率较高。 U3000

防火墙的默认配置可以防止各种攻击。 它安全可靠。 安全策略设计基于全中文GUI管理工具。 其安全策略人性化，易于配置，错误率低。

四、不同对性能的影响

路由器是用来传输数据包的，并不是像防火墙那样为所有属性设计的，所以对于包过滤来说，运算需要非常大，对路由器的CPU和内存要求非常大，但是因为它的成本比较高比起路由器硬件的高▽性能，U3000的硬件配置相对昂贵。

防火墙硬件配置很高（采用Intel芯片，性能一般，成本低），软件针对包过滤进行了优化，主要模块运行在操作系统的内核态，兼顾了设计安全问题和数据包过滤的性能非∑常高。 U3000

由于路由器是简单的包过滤，包过滤规则的数量增加，NAT规则的数量相应增加，影响路由器的性能，而防火墙采用状㊣　态包过滤。 有些规则，自然数的表现接近于零。 规则。 U3000

五。 审计职能的强度大不相同。

路由器本身没有存储介质，事件日志，只有使用外部日志服务器完成的事件日志（如logs、trap等），路由器本身没有存储； 日志审计分析工具，事件描述不易理解语言对应路由器； 攻击和其他安全事件是不完整的，许多攻击和扫描操作不会产生准∞确和及时的事件。 审计功能的弱化使得管理员无法及时、准确地做出安全事件。

U3000

防火墙的日志存储介质有两种，一种是硬盘存储，一种是单独的日志服务器； 针对这两类存储，防火墙审计提供了强大的分析工具，管理员可以轻松分析各种安全风险； 事件的及时性还体现在各种告警方式上，包括蜂鸣器、Trap、邮件、日志等； 防火墙还具有实时监控功能，可以通过防火⌒墙连接在线监控，也可以对抓取的数据包进行分析。 为网络运行分析和网络故障诊断提供了方便。 U3000

第六，抵御攻击的能力不同。

例如，Cisco路由∩器在普通版中就没有应用层防护功能和实时入侵检测功能。 如果∑　您需要此类功能，则需要升级到 iOS 防火墙功能集。 这时候，你不仅要承担升级软件的成本，还因为这些功能还需要大量★的计算。 同时，硬件配置升级的需要进一步增加了成本，却又不兼容高级安全。 因此，许多制造商的路由器可以得出结论：

路由器成本>防火墙+路由器有防火墙功能

带防火墙功能的路由器功能：防火墙+路由器

具有防火墙功能的路由器可扩展性 > 防火墙 + 路由器

综上所述，我们可以得出结论，网络用户的拓ζ　扑结构是否简单，用户应用程序是否简单和复杂，是否使用标准的防火墙是决定用户是否使用防火墙的基本条件或不。 ！

即使用户的网络拓扑结构和应用非常简单，使用防火墙仍然是必要和必要的； 如果用户的应用环境更加复杂，那么防火墙将能够带来更多的好处，网络防火墙的建设将成为普通网络的【一个组成部分服务器运维，路由器是保护内部网络的第一道关口，而防火墙将是第二点，也是最严格的「屏障。