防火墻已經成為企業網絡建設中的一個關鍵組成部分。

但有很多用戶，認為網絡中已經有了路由器，可以實現一些簡單的包過濾功能，所以，為什么還要用防火墻呢？以下我們針對NetEye防火墻與業界應用最多、最具代表性的CISCO路由器在安全方面的對比，來闡述為什么用戶網絡中有了路由器還需要防火墻。　 一、 兩種設備產生和存在的背景不同　 1.兩種設備產生的根源不同　 路由器的產生是基于對網絡數據包路由而產生的。路由器需要完成的是將不同網絡的數據包進行有效的路由，至于為什么路由、是否應該路由、路由過后是否有問題等根本不關心，所關心的是：能否將不同的網段的數據包進行路由從而進行通訊。　 防火墻是產生于人們對于安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火墻關心的重點，重點是這個（一系列）數據包是否應該通過、通過后是否會對網絡造成危害。　 2.根本目的不同　 路由器的根本目的是：保持網絡和數據的"通"。
防火墻根本的的目的是：保證任何非允許的數據包"不通"。　 二、核心技術的不同 Cisco路由器核心的ACL列表是基于簡單的包過濾，從防火墻技術實現的角度來說，NetEye防火墻是基于狀態包過濾的應用級信息流過濾。下圖是一個最為簡單的應用：企業內網的一臺主機，通過路由器對內網提供服務（假設提供服務的端口為tcp 1455）。為了保證安全性，在路由器上需要配置成：外－》內 只允許client訪問 server的tcp 1455端口，其他拒絕。　 針對現在的配置，存在的安全脆弱性如下：　 IP地址欺騙（使連接非正常復位）　
TCP欺騙（會話重放和劫持）　
存在上述隱患的原因是，路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火墻，由于NetEye防火墻能夠檢測TCP的狀態，并且可以重新隨機生成TCP的序列號，則可以徹底消除這樣的脆弱性。同時，NetEye 防火墻的一次性口令認證客戶端功能，能夠實現在對應用完全透明的情況下，實現對用戶的訪問控制，其認證支持標準的Radius協議和本地認證數據庫，可以完全與第三方的認證服務器進行互操作，并能夠實現角色的劃分。　 雖然，路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式，實現對用戶的認證，但該特性需要路由器提供Telnet服務，用戶在使用使也需要先Telnet到路由器上，使用起來不很方便，同時也不夠安全（開放的端口為***創造了機會）。　 三、安全策略制定的復雜程度不同　 路由器的默認配置對安全性的考慮不夠，需要一些高級配置才能達到一些防范***的作用，安全策略的制定絕大多數都是基于命令行的，其針對安全性的規則的制定相對比較復雜，配置出錯的概率較高。　 NetEye 防火墻的默認配置既可以防止各種***，達到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置簡單、出錯率低。 四、對性能的影響不同　 路由器是被設計用來轉發數據包的，而不是專門設計作為全特性防火墻的，所以用于進行包過濾時，需要進行的運算非常大，對路由器的CPU和內存的需要都非常大，而路由器由于其硬件成本比較高，其高性能配置時硬件的成本都比較大。　 NetEye防火墻的硬件配置非常高（采用通用的INTEL芯片，性能高且成本低），其軟件也為數據包的過濾進行了專門的優化，其主要模塊運行在操作系統的內核模式下，設計之時特別考慮了安全問題，其進行數據包過濾的性能非常高。　 由于路由器是簡單的包過濾，包過濾的規則條數的增加，NAT規則的條數的增加，對路由器性能的影響都相應的增加，而NetEye防火墻采用的是狀態包過濾，規則條數，NAT的規則數對性能的影響接近于零。　 五、審計功能的強弱差異巨大　 路由器本身沒有日志、事件的存儲介質，只能通過采用外部的日志服務器（如syslog，trap）等來完成對日志、事件的存儲；路由器本身沒有審計分析工具，對日志、事件的描述采用的是不太容易理解的語言；路由器對***等安全事件的相應不完整，對于很多的***、掃描等操作不能夠產生準確及時的事件。審計功能的弱化，使管理員不能夠對安全事件進行及時、準確的響應。 NetEye防火墻的日志存儲介質有兩種，包括本身的硬盤存儲，和單獨的日志服務器；針對這兩種存儲，NetEye 防火墻都提供了強大的審計分析工具，使管理員可以非常容易分析出各種安全隱患；NetEye 防火墻對安全事件的響應的及時性，還體現在他的多種報警方式上，包括蜂鳴、trap、郵件、日志；NetEye 防火墻還具有實時監控功能，可以在線監控通過防火墻的連接，同時還可以捕捉數據包進行分析，非分析網絡運行情況，排除網絡故障提供了方便。 六、防范***的能力不同 對于像Cisco這樣的路由器，其普通版本不具有應用層的防范功能，不具有***實時檢測等功能，如果需要具有這樣的功能，就需要生級升級IOS為防火墻特性集，此時不單要承擔軟件的升級費用，同時由于這些功能都需要進行大量的運算，還需要進行硬件配置的升級，進一步增加了成本，而且很多廠家的路由器不具有這樣的高級安全功能。可以得出： 具有防火墻特性的路由器成本> 防火墻 + 路由器　
具有防火墻特性的路由器功能 < 防火墻 + 路由器
具有防火墻特性的路由器可擴展性 < 防火墻 + 路由器
綜上所述，可以得出結論：用戶的網絡拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火墻的標準，決定用戶是否使用防火墻的一個根本條件是用戶對網絡安全的需求！ 即使用戶的網絡拓撲結構和應用都非常簡單，使用防火墻仍然是必需的和必要的；如果用戶的環境、應用比較復雜，那么防火墻將能夠帶來更多的好處，防火墻將是網絡建設中不可或缺的一部分，對于通常的網絡來說，路由器將是保護內部網的第一道關口，而防火墻將是第二道關口，也是最為嚴格的一道關口。 各類防火墻的優缺點 中國網管論壇bbs.bitsCN.com
1 包過濾防火墻
優點：
　　每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則。防火墻可以識別和丟棄帶欺騙性源IP地址的包。
　　包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。
　　包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特征。
缺點：
配置困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配置了已有的規則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發者實現了基于圖形化用戶界面(GUI)的配置和更直接的規則定義。為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口。
可能還有其他方法繞過防火墻進入網絡，例如撥入連接。但這個并不是防火墻自身的缺點，而是不應該在網絡安全上單純依賴防火墻的原因。　　
2．狀態/動態檢測防火墻
優點：
　　檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則。識別帶有欺騙性源IP地址包的能力。包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。基于應用程序信息驗證一個包的狀態的能力，例如基于一個已經建立的FTP連接，允許返回的FTP包通過。基于應用程序信息驗證一個包狀態的能力，例如允許一個先前認證過的連接繼續與被授予的服務通信。記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和外部系統所做的連接請求等。
缺點：
　　狀態/動態檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。可是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產品的速度
3．應用程序代理防火墻
優點：
指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。通過限制某些協議的傳出請求，來減少網絡中不必要的服務。大多數代理防火墻能夠記錄所有的連接，包括地址和持續時間。這些信息對追蹤***和發生的未授權訪問的事件事很有用的。
缺點：
速度較慢，不太適用于高速網（ATM或千兆位以太網等）之間的應用），必須在一定范圍內定制用戶的系統，這取決于所用的應用程序。一些應用程序可能根本不支持代理連接。
4．NAT
優點：
所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因，網絡之外沒有人可以通過指定IP地址的方式直接對網絡內的任何一臺特定的計算機發起***。如果因為某種原因公共IP地址資源比較短缺的話，NAT可以使整個內部網絡共享一個IP地址。可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到NAT，那么就會被丟棄。內部網絡的計算機就不可能直接訪問外部網絡
缺點：
　　NAT的缺點和包過濾防火墻的缺點是一樣的。雖然可以保障內部網絡的安全，但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的***程序可以通過NAT做外部連接，就像它可以穿過包過濾防火墻一樣的容易。　注意：現在有很多廠商開發的防火墻，特別是狀態/動態檢測防火墻，除了它們應該具有的功能之外也提供了NAT的功能。
5．個人防火墻
優點：增加了保護級別，不需要額外的硬件資源。個人防火墻除了可以抵擋外來***的同時，還可以抵擋內部的***。個人防火墻是對公共網絡中的單個系統提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網，可能一個硬件防火墻對于他來說實在是太昂貴了，或者說是太麻煩了。而個人防火墻已經能夠為用戶隱蔽暴露在網絡上的信息，比如IP地址之類的信息等。
缺點：
個人防火墻主要的缺點就是對公共網絡只有一個物理接口。要記住，真正的防火墻應當監視并控制兩個或更多的網絡接口之間的通信。這樣一來的話，個人防火墻本身可能會容易受到威脅，或者說是具有這樣一個弱點，網絡通信可以繞過防火墻的規則。
　　好了，在上面我們已經介紹了幾類防火墻，并討論了每種防火墻的優缺點。要記住，任何一種防火墻只是為網絡通信或者是數據傳輸提供了更有保障的安全性，但是我們也不能完全依賴于防火墻。除了靠防火墻來保障安全的同時，我們也要加固系統的安全性，提高自身的安全意識。這樣一來，數據和通信以及Web站點就會更有安全保障。 吞吐量：網絡中的數據是由一個個數據包組成，防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。這是測量防火墻性能的重要指標。 最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實際網絡情況，網絡中大多數連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源，因此最大連接數成為考驗防火墻這方面能力的指標。 數據包轉發率：是指在所有安全規則配置正確的情況下，防火墻對數據流量的處理速度。 防火墻對比 在了解了防火墻的工作原理及基本配置之后，下面給大家介紹一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032這四款市場上最常見的硬件防火墻在基本性能、操作管理與市場價格上的比較。

防火墻	NetScreen208	CiscoPIX515E	NGFW4000-S	NetEye4032
核心技術	狀態檢測	狀態檢測	核檢測	狀態檢測
產品類型	ASIC硬件	硬件設備	硬件設備	硬件設備
工作模式（路由模式、橋模式、混合模式）	路由模式、橋模式	路由模式、橋模式	路由模式、橋模式、 混合模式	路由模式、橋模式
并發連接數	130000	130000	600000	300000
網絡吞吐量	550M	170M	100M	200M
最大支持網絡接口	8個	6個	12個	8個
操作系統	ScreenOS	專用操作系統	專用操作系統	專用操作系統
管理方式	串口、CLI、Telnet、Web、GUI	串口、Telnet、Web、GUI	串口、Telnet、Web、GUI	串口、Telnet、GUI
市場報價	142,000RMB	80,000RMB	138,000RMB	148,000RMB

網絡協議:認識互聯網OSI七層模型 互聯網的各項應用，其實都是分層的，也就是各位網絡達人常說的OSI七層模型，下面我們就來具體看看互聯網的OSI七層模型。
　　一、什么是互聯網OSI模型？
　　OSI（Open System Interconnection）是指開放式系統互聯參考模型。在我們的平常使用的計算機網絡中存在眾多體系結構，如IBM公司的SNA(系統網絡體系結構)和DEC公司的DNA(Digital Network Architecture)數字網絡體系結構等。由于體系太多，為了能夠解決不同網絡之間的互聯問題，國際標準化組織制定了這個OSI模型。OSI將網絡通信工作分為七層，由高到低依次為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。
　　OSI模型結構圖
　　二、數據如何各層之間傳輸？
　　物理層，數據鏈路層，網絡層屬于OSI模型的低三層，負責創建網絡通信連接的鏈路，傳輸層，會話層，表示層和應用層是OSI模型的高四層，具體負責端到端的數據通信。每層完成一定的功能，每層都直接為其上層提供服務，并且所有層次都互相支持，而網絡通信則可以自上而下（在發送端）或者自下而上（在接收端）雙向進行。當然，并不是所有通信都是要經過OSI的全部七層，如物理接口之間的轉接，只需要物理層中進行即可；而路由器與路由器之間的連接則只需網絡層以下的三層。
　　三、各層的作用是什么？各自包括哪些就應用？
　　1.物理層。物理層規定了激活、維持、關閉通信端點之間的機械特性、電氣特性、功能特性以及過程特性。物理層為上層協議提供了一個傳輸數據的物理媒體。
　　屬于物理層定義的典型規范包括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。
　　2.數據鏈路層。數據鏈路層在不可靠的物理介質上提供可靠的傳輸。數據鏈路層的作用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發等。
　　數據鏈路層協議的代表包括：SDLC、HDLC、PPP、STP、幀中繼等。
　　3.網絡層。網絡層負責對子網間的數據包進行路由選擇。網絡層還可以實現擁塞控制、網際互連等功能。
　　網絡層協議的代表包括：IP、IPX、RIP、OSPF等。
　　4.傳輸層。傳輸層是第一個端到端，即主機到主機的層次。傳輸層負責將上層數據分段并提供端到端的、可靠的或不可靠的傳輸。此外，傳輸層還要處理端到端的差錯控制和流量控制問題。
　　傳輸層協議的代表包括：TCP、UDP、SPX等。
　　5.會話層。會話層管理主機之間的會話進程，即負責建立、管理、終止進程之間的會話。會話層還利用在數據中插入校驗點來實現數據的同步。
　　6.表示層。表示層對上層數據或信息進行變換以保證一個主機應用層信息可以被另一個主機的應用程序理解。表示層的數據轉換包括數據的加密、壓縮、格式轉換等。
　　7、應用層。應用層為操作系統或網絡應用程序提供訪問網絡服務的接口。
　　應用層協議的代表包括：Telnet、FTP、HTTP、SNMP等。
　　四、在各層之間，數據是以什么單位進行傳輸的？
　　這個問題比較有意思，數據在各層之間的單位都是不一樣的，在物理層數據的單位稱為比特（bit）；在數據鏈路層，數據的單位稱為幀（frame）；在網絡層，數據的單位稱為數據包（packet）；傳輸層，數據的單位稱為數據段（segment）。

轉載于:https://blog.51cto.com/yanghuawu/786532

總結

以上是生活随笔為你收集整理的防火墙与路由器的区别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。