为什么在用户网络和防火墙路由器的路由器,并解释为什么
防火墙已经成为企业网络建设的重要组成部分,但很多用户认为路由器已经存在于网络中,可以实现一些简单的包过滤功能。 那么,你为什么要使用防火墙? 现在我们将防火墙与业界最具代表性的路由器进行比较,并解释为什么在用户网络和防火墙路由器中。 U3000
背景与一两个设备不同。
1.两种设备的根本原因不同。
路由器的产生是基于网络数据包的路由。 路由器需要完成不同网络数据包的高效路由。 为什么路由,路由和路由问题,比如穿越不穿越,根本不用关心。 他们关心的是:数据包不同网段的路由和通信,U3000
防火墙是安全的要求。 数据包能否正确到达,到达时间和方向不是防火墙关注的重点。 关键是这一系列的数据包通过,通过,会不会破坏网络。 U3000
2.根本目的不同
路由器的根本目的是保持网络和数据通过。 U3000
防火墙的基本目的是确保任何未经许可的数据包都不容易访问。 U3000
2、核心技术差异
Cisco 路由器核心的 ACL 列表基于简单的数据包过滤。 从防火墙技术角度,基于状态包过滤对防火墙应用层信息流进行过滤,U3000
下面是一个最简单的应用:内网中的主机,通过路由器提供服务网络(假设服务端口为TCP 1455)。 为保证安全,需要在路由器上配置:对外TCP 1455端口,允许客户端访问服务器,允许,其他则拒绝。 U3000
U3000
考虑到当前配置,存在以下安全漏洞:
1、IP地址欺骗(异常重置连接)
2. TCP欺骗(会话重放和劫持)
出现以上问题的原因是路由器无法监听到TCP的状态。 如果在内网客户端和路由器之间放置防火墙,由于防火墙可以检测到TCP状态,可以生成TCP序列号,可以彻底消除这种漏洞。 同时,防火墙的一次性口令认证客户端功能可以对应用程序完全透明,用户访问控制,认证支持标准协议和本地认证数据库,可以与第三方认证服务器完全交互,实现分工的作用。 U3000
虽然lock and key功能,路由器可以动态访问控制列表实现用户认证,但是该功能需要服务路由器,用户也需要使用服务器运维,使用起来不够方便,也不够安全(黑客创造开放口岸的机会)。 U3000
三。 安全策略开发的复杂性各不相同。
安全考虑 路由器的默认配置是不够的,需要一些高级配置来防止攻击。 安全策略基于命令行。 安全规则的制定相对复杂,配置错误的概率较高。 U3000
防火墙的默认配置可以防止各种攻击。 它安全可靠。 安全策略设计基于全中文GUI管理工具。 其安全策略人性化,易于配置,错误率低。
四、不同对性能的影响
路由器是用来传输数据包的,并不是像防火墙那样为所有属性设计的,所以对于包过滤来说,运算需要非常大,对路由器的CPU和内存要求非常大,但是因为它的成本比较高比起路由器硬件的高性能,U3000的硬件配置相对昂贵。
防火墙硬件配置很高(采用Intel芯片,性能一般,成本低),软件针对包过滤进行了优化,主要模块运行在操作系统的内核态,兼顾了设计安全问题和数据包过滤的性能非常高。 U3000
由于路由器是简单的包过滤,包过滤规则的数量增加,NAT规则的数量相应增加,影响路由器的性能,而防火墙采用状态包过滤。 有些规则,自然数的表现接近于零。 规则。 U3000
五。 审计职能的强度大不相同。
路由器本身没有存储介质,事件日志,只有使用外部日志服务器完成的事件日志(如logs、trap等),路由器本身没有存储; 日志审计分析工具,事件描述不易理解语言对应路由器; 攻击和其他安全事件是不完整的,许多攻击和扫描操作不会产生准确和及时的事件。 审计功能的弱化使得管理员无法及时、准确地做出安全事件。
U3000
防火墙的日志存储介质有两种,一种是硬盘存储,一种是单独的日志服务器; 针对这两类存储,防火墙审计提供了强大的分析工具,管理员可以轻松分析各种安全风险; 事件的及时性还体现在各种告警方式上,包括蜂鸣器、Trap、邮件、日志等; 防火墙还具有实时监控功能,可以通过防火墙连接在线监控,也可以对抓取的数据包进行分析。 为网络运行分析和网络故障诊断提供了方便。 U3000
第六,抵御攻击的能力不同。
例如,Cisco路由器在普通版中就没有应用层防护功能和实时入侵检测功能。 如果您需要此类功能,则需要升级到 iOS 防火墙功能集。 这时候,你不仅要承担升级软件的成本,还因为这些功能还需要大量的计算。 同时,硬件配置升级的需要进一步增加了成本,却又不兼容高级安全。 因此,许多制造商的路由器可以得出结论:
路由器成本>防火墙+路由器有防火墙功能
带防火墙功能的路由器功能:防火墙+路由器
具有防火墙功能的路由器可扩展性 > 防火墙 + 路由器
综上所述,我们可以得出结论,网络用户的拓扑结构是否简单,用户应用程序是否简单和复杂,是否使用标准的防火墙是决定用户是否使用防火墙的基本条件或不。 !
即使用户的网络拓扑结构和应用非常简单,使用防火墙仍然是必要和必要的; 如果用户的应用环境更加复杂,那么防火墙将能够带来更多的好处,网络防火墙的建设将成为普通网络的一个组成部分服务器运维,路由器是保护内部网络的第一道关口,而防火墙将是第二点,也是最严格的屏障。
售前咨询专员
