黑客眼中的防火墙与路由器,谁更安全?

防火墙早已变成公司网络建设中的1个重要构成。但是许多客户，觉得互联网中早已拥有无线路由，能够保持某些简易的包过虑作用，因此，为何也要用防火墙呢?下列人们对于NetEye防火墙与业内运用最大、最具象征性的Cisco无线路由在安会层面的比照，来论述为何客户互联网中拥有无线路由还必须防火墙。

　　一、二种设施造成和存有的背静不一样

　　1、二种设施造成的根本原因不一样

　　无线路由的造成是应用场景对互联网数据文件路由而造成的。无线路由必须进行的是将不一样互联网的数据文件开展合理的路由，置于为何路由、是不是应当路由、路由之后是不是不太好等本质不关注，所关注的是:可否将不一样的网段的数据文件开展路由进而开展通信。

　　防火墙是造成于大家针对安全系数的要求。数据文件是不是能够恰当的抵达、抵达的時间、方位等没有防火墙关注的重中之重，重中之重是这一(一连串)数据文件是不是应当根据、根据后是不是会对互联网严重危害。

　　2、 本质目地不一样

　　无线路由的本质目地是:维持互联网和数剧的"通"。

　　防火墙本质的的目地是:确保一切非容许的数据文件"堵塞"。

　　二、关键技术的不一样

　　Cisco无线路由关键的ACL目录是应用场景简易的包过虑，从防火墙技术保持的视角而言，NetEye防火墙是应用场景情况包过虑的运用级feed流过虑。

　　图为是1个更为简易的运用:公司内部网的每台服务器，根据无线路由对内网出示业务(假定出示业务的网关为tcp 1455)。为了保证安全系数，在无线路由上必须配备成:外-》内 只容许client浏览 server的tcp 1455网关，别的回绝。

　　对于如今的配备，存有的安会易损性给出:

　　1、IP地址蒙骗(使联接异常校准)

　　2、TCP蒙骗(应用程序播放和挟持)

　　存有所述风险的缘故是，无线路由不可以检测TCP的情况。假如其他网的client和无线路由中间放入NetEye防火墙，因为NetEye防火墙可以检验TCP的情况，而且能够再次任意转化成TCP的系列号，则能够彻底解决那样的易损性。一起，NetEye 防火墙的多次口今验证服务端作用，可以保持在对运用彻底晶莹剔透的状况下，保持对客户的访问控制，其验证适用规范的Radius合同和当地验证数据表，能够彻底与外部的验证服务器进行互操作，并可以保持人物的区划。

尽管，无线路由的"Lock-and-Key"作用可以根据静态访问控制列表的方法，保持对客户的验证，但该特点必须无线路由出示Telnet业务，客户在应用使也必须先Telnet到无线路由上，应用起來不很便捷，一起也不足安会(開放的网关为黑客造就了机遇)。

三、安全策略制订的复杂性不一样

　　无线路由的初始配备对安全系数的考量不足，必须某些高級配备能够超过某些预防进攻的功效，安全策略的制订绝大部分全是应用场景命令行的，其对于安全系数的标准的制订取决于非常复杂，配备错误的几率较高。

　　NetEye 防火墙的初始配备既能够避免各类进攻，超过既用既安会，安全策略的制订是应用场景全中文的GUI的可视化工具，其安全策略的制订个性化，配备简易、错误率低。

　　四、对特性的危害不一样

　　无线路由是被布置用于发送数据文件的，而没有专业布置做为全特点防火墙的，因此用以开展包过虑时，必须开展的乘除法十分大，对无线路由的CPU和运存的必须都十分大，而无线路由因为其系统配置利润较为高，其性能模式配备时系统配置的利润都较为大。

　　NetEye防火墙的系统配置十分高(选用实用的INTEL集成ic，特性高且低成本)，其手机app也为数据文件的过虑开展了专业的提升，其关键模快运作在服务器系统的操作系统方式下，布置之际非常考量了安全隐患，其开展数据文件过虑的特性十分高。

　　因为无线路由是简易的包过虑，包过虑的标准条数的提升，NAT标准的条数的提升，对无线路由特性的危害都相对的提升，而NetEye防火墙选用的是情况包过虑，标准条数，NAT的标准数对特性的危害接近于零。

　　五、内审作用的高低差别极大

　　无线路由自身沒有日记、时件的存储介质，只有根据选用外界的日志服务器(如syslog，trap)等来进行对日记、时件的储存;无线路由自身沒有内审剖析道具，对日记、时件的叙述选用的不是太易于了解的語言;无线路由对进攻等安全事故的相对不详细，针对许多的进攻、扫面等使用不可以造成精确立即的时件。内审作用的减弱，使管理人员不可以对安全事故开展立即、精确的出现异常。

NetEye防火墙的日记存储介质有二种，包含自身的固态盘储存，和独立的日志服务器;对于这二种储存，NetEye 防火墙都出示了强劲的内审剖析道具，使管理人员能够好容易剖析出各类安全风险;NetEye 防火墙对安全事故的出现异常的时效性，还反映在他的各种警报方法上，包含蜂鸣、trap、邮箱、日记;NetEye 防火墙还具备远程监控作用，能够在线监控根据防火墙的联接，一起还要捕获数据文件开展剖析，非剖析互联网运作状况，清除网络问题出示了便捷。

　　六、预防进攻的潜质不一样

　　针对像Cisco那样的无线路由，其一般板本不具备应用层的预防作用，不具备侵入即时检验等作用，假如必须具备那样的作用，就必须生级升級IOS为防火墙特点集，这时说不上要担负手机app的升級花费，一起因为这种作用都必须开展很多的乘除法，还必须开展系统配置的升級，深化提升了利润，并且许多厂商的无线路由不具备那样的高級安会作用。能够算出:

　　·具备防火墙特点的无线路由利润 > 防火墙 + 无线路由

　　·具备防火墙特点的路由器功能 < 防火墙 + 无线路由

　　·具备防火墙特点的无线路由可维护性 < 防火墙 + 无线路由

　　总的来说，能够下结论:客户的网络拓扑结构的简易与繁杂、客户程序运行的难度系数水平没有决策是不是应当应用防火墙的规范，决策客户是不是应用防火墙的1个本质标准是客户对网络信息安全的要求!

　　即便客户的网络拓扑结构和运用都比较简单，应用防火墙依然是必不可少的和必需的;假如客户的坏境、运用非常复杂，那麼防火墙将可以产生大量的益处，防火墙将是网络建设中必不可少的一小部分，针对一般的互联网而言，无线路由将是维护内网的第一层关隘，而防火墙将是第二道关隘，都是更为严苛的一条关隘。