防火墙已经成为企业网络建设中
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
个关键组成部分
![](/icons/39317dou2.gif)
但有很多用户
![](/icons/39317dou.gif)
认为网络中已经有了路由器
![](/icons/39317dou.gif)
可以实现
![](/icons/39317yi.gif)
些简单
![](/icons/39317de.gif)
包过滤功能
![](/icons/39317dou.gif)
所以
![](/icons/39317dou.gif)
为什么还要用防火墙呢?以下我们针对NetEye防火墙和业界应用最多、最具代表性
![](/icons/39317de.gif)
Cisco路由器在安全方面
![](/icons/39317de.gif)
对比
![](/icons/39317dou.gif)
来阐述为什么用户网络中有了路由器还需要防火墙
、 两种设备产生和存在
背景区别
1、两种设备产生
根源区别
路由器
![](/icons/39317de.gif)
产生是基于对网络数据包路由而产生
![](/icons/39317de.gif)
![](/icons/39317dou2.gif)
路由器需要完成
![](/icons/39317de.gif)
是将区别网络
![](/icons/39317de.gif)
数据包进行有效
![](/icons/39317de.gif)
路由
![](/icons/39317dou.gif)
至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心
![](/icons/39317dou.gif)
所关心
![](/icons/39317de.gif)
是:能否将区别
![](/icons/39317de.gif)
网段
![](/icons/39317de.gif)
数据包进行路由从而进行通讯
![](/icons/39317dou2.gif)
防火墙是产生于人们对于安全性
![](/icons/39317de.gif)
需求
![](/icons/39317dou2.gif)
数据包是否可以正确
![](/icons/39317de.gif)
到达、到达
![](/icons/39317de.gif)
时间、方向等不是防火墙关心
![](/icons/39317de.gif)
重点
![](/icons/39317dou.gif)
重点是这个(
![](/icons/39317yi.gif)
系列)数据包是否应该通过、通过后是否会对网络造成危害
2、根本目
区别
路由器
![](/icons/39317de.gif)
根本目
![](/icons/39317de.gif)
是:保持网络和数据
![](/icons/39317de.gif)
“通”
![](/icons/39317dou2.gif)
防火墙根本
![](/icons/39317de.gif)
![](/icons/39317de.gif)
目
![](/icons/39317de.gif)
是:保证任何非允许
![](/icons/39317de.gif)
数据包“不通”
2、核心技术
区别
Cisco路由器核心
![](/icons/39317de.gif)
ACL列表是基于简单
![](/icons/39317de.gif)
包过滤
![](/icons/39317dou.gif)
从防火墙技术实现
![](/icons/39317de.gif)
角度来说
![](/icons/39317dou.gif)
NetEye防火墙是基于状态包过滤
![](/icons/39317de.gif)
应用级信息流过滤
![](/icons/39317dou2.gif)
简单应用介绍:企业内网
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
台主机
![](/icons/39317dou.gif)
通过路由器对内网提供服务(假设提供服务
![](/icons/39317de.gif)
端口为tcp 1455)
![](/icons/39317dou2.gif)
为了保证安全性
![](/icons/39317dou.gif)
在路由器上需要配置成:外->内 只允许client访问 server
![](/icons/39317de.gif)
tcp 1455端口
![](/icons/39317dou.gif)
其他拒绝
![](/icons/39317dou2.gif)
针对现在
![](/icons/39317de.gif)
配置
![](/icons/39317dou.gif)
存在
![](/icons/39317de.gif)
安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患
![](/icons/39317de.gif)
原因是
![](/icons/39317dou.gif)
路由器不能监测TCP
![](/icons/39317de.gif)
状态
![](/icons/39317dou2.gif)
如果在内网
![](/icons/39317de.gif)
client和路由器的间放上NetEye防火墙
![](/icons/39317dou.gif)
由于NetEye防火墙能够检测TCP
![](/icons/39317de.gif)
状态
![](/icons/39317dou.gif)
并且可以重新随机生成TCP
![](/icons/39317de.gif)
序列号
![](/icons/39317dou.gif)
则可以彻底消除这样
![](/icons/39317de.gif)
脆弱性
![](/icons/39317dou2.gif)
同时
![](/icons/39317dou.gif)
NetEye 防火墙
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
次性口令认证客户端功能
![](/icons/39317dou.gif)
能够实现在对应用完全透明
![](/icons/39317de.gif)
情况下
![](/icons/39317dou.gif)
实现对用户
![](/icons/39317de.gif)
访问控制
![](/icons/39317dou.gif)
其认证支持标准
![](/icons/39317de.gif)
Radius协议和本地认证数据库
![](/icons/39317dou.gif)
可以完全和第 3方
![](/icons/39317de.gif)
认证服务器进行互操作
![](/icons/39317dou.gif)
并能够实现角色
![](/icons/39317de.gif)
划分
![](/icons/39317dou2.gif)
虽然
![](/icons/39317dou.gif)
路由器
![](/icons/39317de.gif)
“Lock-and-Key”功能能够通过动态访问控制列表
![](/icons/39317de.gif)
方式
![](/icons/39317dou.gif)
实现对用户
![](/icons/39317de.gif)
认证
![](/icons/39317dou.gif)
但该特性需要路由器提供Telnet服务
![](/icons/39317dou.gif)
用户在使用使也需要先Telnet到路由器上
![](/icons/39317dou.gif)
使用起来不很方便
![](/icons/39317dou.gif)
同时也不够安全(开放
![](/icons/39317de.gif)
端口为黑客创造了机会)
3、安全策略制定
复杂程度区别
路由器
![](/icons/39317de.gif)
默认配置对安全性
![](/icons/39317de.gif)
考虑不够
![](/icons/39317dou.gif)
需要
![](/icons/39317yi.gif)
些高级配置才能达到
![](/icons/39317yi.gif)
些防范攻击
![](/icons/39317de.gif)
作用
![](/icons/39317dou.gif)
安全策略
![](/icons/39317de.gif)
制定绝大多数都是基于命令行
![](/icons/39317de.gif)
![](/icons/39317dou.gif)
其针对安全性
![](/icons/39317de.gif)
规则
![](/icons/39317de.gif)
制定相对比较复杂
![](/icons/39317dou.gif)
配置出错
![](/icons/39317de.gif)
概率较高
![](/icons/39317dou2.gif)
NetEye 防火墙
![](/icons/39317de.gif)
默认配置既可以防止各种攻击
![](/icons/39317dou.gif)
达到既用既安全
![](/icons/39317dou.gif)
安全策略
![](/icons/39317de.gif)
制定是基于全中文
![](/icons/39317de.gif)
GUI
![](/icons/39317de.gif)
管理工具
![](/icons/39317dou.gif)
其安全策略
![](/icons/39317de.gif)
制定人性化
![](/icons/39317dou.gif)
配置简单、出错率低
4、对性能
影响区别
路由器是被设计用来转发数据包
![](/icons/39317de.gif)
![](/icons/39317dou.gif)
而不是专门设计作为全特性防火墙
![](/icons/39317de.gif)
![](/icons/39317dou.gif)
所以用于进行包过滤时
![](/icons/39317dou.gif)
需要进行
![](/icons/39317de.gif)
运算非常大
![](/icons/39317dou.gif)
对路由器
![](/icons/39317de.gif)
CPU和内存
![](/icons/39317de.gif)
需要都非常大
![](/icons/39317dou.gif)
而路由器由于其硬件成本比较高
![](/icons/39317dou.gif)
其高性能配置时硬件
![](/icons/39317de.gif)
成本都比较大
![](/icons/39317dou2.gif)
NetEye防火墙
![](/icons/39317de.gif)
硬件配置非常高(采用通用
![](/icons/39317de.gif)
INTEL芯片
![](/icons/39317dou.gif)
性能高且成本低)
![](/icons/39317dou.gif)
其软件Software也为数据包
![](/icons/39317de.gif)
过滤进行了专门
![](/icons/39317de.gif)
优化
![](/icons/39317dou.gif)
其主要模块运行在操作系统
![](/icons/39317de.gif)
内核模式下
![](/icons/39317dou.gif)
设计的时特别考虑了安全问题
![](/icons/39317dou.gif)
其进行数据包过滤
![](/icons/39317de.gif)
性能非常高
![](/icons/39317dou2.gif)
由于路由器是简单
![](/icons/39317de.gif)
包过滤
![](/icons/39317dou.gif)
包过滤
![](/icons/39317de.gif)
规则条数
![](/icons/39317de.gif)
增加
![](/icons/39317dou.gif)
NAT规则
![](/icons/39317de.gif)
条数
![](/icons/39317de.gif)
增加
![](/icons/39317dou.gif)
对路由器性能
![](/icons/39317de.gif)
影响都相应
![](/icons/39317de.gif)
增加
![](/icons/39317dou.gif)
而NetEye防火墙采用
![](/icons/39317de.gif)
是状态包过滤
![](/icons/39317dou.gif)
规则条数
![](/icons/39317dou.gif)
NAT
![](/icons/39317de.gif)
规则数对性能
![](/icons/39317de.gif)
影响接近于零
5、审计功能
强弱差异巨大
路由器本身没有日志、事件
![](/icons/39317de.gif)
存储介质
![](/icons/39317dou.gif)
只能通过采用外部
![](/icons/39317de.gif)
日志服务器(如syslog
![](/icons/39317dou.gif)
trap)等来完成对日志、事件
![](/icons/39317de.gif)
存储;路由器本身没有审计分析工具
![](/icons/39317dou.gif)
对日志、事件
![](/icons/39317de.gif)
描述采用
![](/icons/39317de.gif)
是不太容易理解
![](/icons/39317de.gif)
语言;路由器对攻击等安全事件
![](/icons/39317de.gif)
相应不完整
![](/icons/39317dou.gif)
对于很多
![](/icons/39317de.gif)
攻击、扫描等操作不能够产生准确及时
![](/icons/39317de.gif)
事件
![](/icons/39317dou2.gif)
审计功能
![](/icons/39317de.gif)
弱化
![](/icons/39317dou.gif)
使管理员不能够对安全事件进行及时、准确
![](/icons/39317de.gif)
响应
![](/icons/39317dou2.gif)
NetEye防火墙
![](/icons/39317de.gif)
日志存储介质有两种
![](/icons/39317dou.gif)
包括本身
![](/icons/39317de.gif)
硬盘存储
![](/icons/39317dou.gif)
和单独
![](/icons/39317de.gif)
日志服务器;针对这两种存储
![](/icons/39317dou.gif)
NetEye 防火墙都提供了强大
![](/icons/39317de.gif)
审计分析工具
![](/icons/39317dou.gif)
使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件
![](/icons/39317de.gif)
响应
![](/icons/39317de.gif)
及时性
![](/icons/39317dou.gif)
还体现在他
![](/icons/39317de.gif)
多种报警方式上
![](/icons/39317dou.gif)
包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能
![](/icons/39317dou.gif)
可以在线监控通过防火墙
![](/icons/39317de.gif)
连接
![](/icons/39317dou.gif)
同时还可以捕捉数据包进行分析
![](/icons/39317dou.gif)
非分析网络运行情况
![](/icons/39317dou.gif)
排除网络故障提供了方便
6、防范攻击
能力区别
对于像Cisco这样
![](/icons/39317de.gif)
路由器
![](/icons/39317dou.gif)
其普通版本不具有应用层
![](/icons/39317de.gif)
防范功能
![](/icons/39317dou.gif)
不具有入侵实时检测等功能
![](/icons/39317dou.gif)
如果需要具有这样
![](/icons/39317de.gif)
功能
![](/icons/39317dou.gif)
就需要生级升级IOS为防火墙特性集
![](/icons/39317dou.gif)
此时不单要承担软件Software
![](/icons/39317de.gif)
升级费用
![](/icons/39317dou.gif)
同时由于这些功能都需要进行大量
![](/icons/39317de.gif)
运算
![](/icons/39317dou.gif)
还需要进行硬件配置
![](/icons/39317de.gif)
升级
![](/icons/39317dou.gif)
进
![](/icons/39317yi.gif)
步增加了成本
![](/icons/39317dou.gif)
而且很多厂家
![](/icons/39317de.gif)
路由器不具有这样
![](/icons/39317de.gif)
高级安全功能
![](/icons/39317dou2.gif)
可以得出:
·具有防火墙特性
![](/icons/39317de.gif)
路由器成本——防火墙 + 路由器
·具有防火墙特性
![](/icons/39317de.gif)
路由器功能
·具有防火墙特性
![](/icons/39317de.gif)
路由器可扩展性
综上所述
![](/icons/39317dou.gif)
可以得出结论:用户
![](/icons/39317de.gif)
网络拓扑结构
![](/icons/39317de.gif)
简单和复杂、用户应用
![](/icons/39317chengxu.gif)
![](/icons/39317de.gif)
难易程度不是决定是否应该使用防火墙
![](/icons/39317de.gif)
标准
![](/icons/39317dou.gif)
决定用户是否使用防火墙
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
个根本条件是用户对网络安全
![](/icons/39317de.gif)
需求!
即使用户
![](/icons/39317de.gif)
网络拓扑结构和应用都非常简单
![](/icons/39317dou.gif)
使用防火墙仍然是必需
![](/icons/39317de.gif)
和必要
![](/icons/39317de.gif)
;如果用户
![](/icons/39317de.gif)
环境、应用比较复杂
![](/icons/39317dou.gif)
那么防火墙将能够带来更多
![](/icons/39317de.gif)
好处
![](/icons/39317dou.gif)
防火墙将是网络建设中不可或缺
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
部分
![](/icons/39317dou.gif)
对于通常
![](/icons/39317de.gif)
网络来说
![](/icons/39317dou.gif)
路由器将是保护内部网
![](/icons/39317de.gif)
第
![](/icons/39317yi.gif)
道关口
![](/icons/39317dou.gif)
而防火墙将是第 2道关口
![](/icons/39317dou.gif)
也是最为严格
![](/icons/39317de.gif)
![](/icons/39317yi.gif)
道关口
上
篇文章: 想成为黑客最起码要懂
16个基本问题
下
篇文章: 推荐:网络安全入门知识16问答