防火墙已经成为企业网络建设中个关键组成部分但有很多用户认为网络中已经有了路由器可以实现些简单包过滤功能所以为什么还要用防火墙呢？以下我们针对NetEye防火墙和业界应用最多、最具代表性Cisco路由器在安全方面对比来阐述为什么用户网络中有了路由器还需要防火墙 、 两种设备产生和存在背景区别 1、两种设备产生根源区别　　 路由器产生是基于对网络数据包路由而产生路由器需要完成是将区别网络数据包进行有效路由至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心所关心是:能否将区别网段数据包进行路由从而进行通讯 防火墙是产生于人们对于安全性需求数据包是否可以正确到达、到达时间、方向等不是防火墙关心重点重点是这个(系列)数据包是否应该通过、通过后是否会对网络造成危害 2、根本目区别　　 路由器根本目是:保持网络和数据“通” 防火墙根本目是:保证任何非允许数据包“不通” 2、核心技术区别　　 Cisco路由器核心ACL列表是基于简单包过滤从防火墙技术实现角度来说NetEye防火墙是基于状态包过滤应用级信息流过滤 简单应用介绍:企业内网台主机通过路由器对内网提供服务(假设提供服务端口为tcp 1455)为了保证安全性在路由器上需要配置成:外－>内 只允许client访问 servertcp 1455端口其他拒绝 针对现在配置存在安全脆弱性如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患原因是路由器不能监测TCP状态如果在内网client和路由器的间放上NetEye防火墙由于NetEye防火墙能够检测TCP状态并且可以重新随机生成TCP序列号则可以彻底消除这样脆弱性同时NetEye 防火墙次性口令认证客户端功能能够实现在对应用完全透明情况下实现对用户访问控制其认证支持标准Radius协议和本地认证数据库可以完全和第 3方认证服务器进行互操作并能够实现角色划分 虽然路由器“Lock-and-Key”功能能够通过动态访问控制列表方式实现对用户认证但该特性需要路由器提供Telnet服务用户在使用使也需要先Telnet到路由器上使用起来不很方便同时也不够安全(开放端口为黑客创造了机会) 3、安全策略制定复杂程度区别　　 路由器默认配置对安全性考虑不够需要些高级配置才能达到些防范攻击作用安全策略制定绝大多数都是基于命令行其针对安全性规则制定相对比较复杂配置出错概率较高 NetEye 防火墙默认配置既可以防止各种攻击达到既用既安全安全策略制定是基于全中文GUI管理工具其安全策略制定人性化配置简单、出错率低 4、对性能影响区别　　 路由器是被设计用来转发数据包而不是专门设计作为全特性防火墙所以用于进行包过滤时需要进行运算非常大对路由器CPU和内存需要都非常大而路由器由于其硬件成本比较高其高性能配置时硬件成本都比较大 NetEye防火墙硬件配置非常高(采用通用INTEL芯片性能高且成本低)其软件Software也为数据包过滤进行了专门优化其主要模块运行在操作系统内核模式下设计的时特别考虑了安全问题其进行数据包过滤性能非常高 由于路由器是简单包过滤包过滤规则条数增加NAT规则条数增加对路由器性能影响都相应增加而NetEye防火墙采用是状态包过滤规则条数NAT规则数对性能影响接近于零 5、审计功能强弱差异巨大　　 路由器本身没有日志、事件存储介质只能通过采用外部日志服务器(如syslogtrap)等来完成对日志、事件存储；路由器本身没有审计分析工具对日志、事件描述采用是不太容易理解语言；路由器对攻击等安全事件相应不完整对于很多攻击、扫描等操作不能够产生准确及时事件审计功能弱化使管理员不能够对安全事件进行及时、准确响应 NetEye防火墙日志存储介质有两种包括本身硬盘存储和单独日志服务器；针对这两种存储NetEye 防火墙都提供了强大审计分析工具使管理员可以非常容易分析出各种安全隐患；NetEye 防火墙对安全事件响应及时性还体现在他多种报警方式上包括蜂鸣、trap、邮件、日志；NetEye 防火墙还具有实时监控功能可以在线监控通过防火墙连接同时还可以捕捉数据包进行分析非分析网络运行情况排除网络故障提供了方便 6、防范攻击能力区别　　 对于像Cisco这样路由器其普通版本不具有应用层防范功能不具有入侵实时检测等功能如果需要具有这样功能就需要生级升级IOS为防火墙特性集此时不单要承担软件Software升级费用同时由于这些功能都需要进行大量运算还需要进行硬件配置升级进步增加了成本而且很多厂家路由器不具有这样高级安全功能可以得出: ·具有防火墙特性路由器成本——防火墙 + 路由器 ·具有防火墙特性路由器功能 ·具有防火墙特性路由器可扩展性 综上所述可以得出结论:用户网络拓扑结构简单和复杂、用户应用难易程度不是决定是否应该使用防火墙标准决定用户是否使用防火墙个根本条件是用户对网络安全需求！ 即使用户网络拓扑结构和应用都非常简单使用防火墙仍然是必需和必要；如果用户环境、应用比较复杂那么防火墙将能够带来更多好处防火墙将是网络建设中不可或缺部分对于通常网络来说路由器将是保护内部网第道关口而防火墙将是第 2道关口也是最为严格道关口

上篇文章: 想成为黑客最起码要懂16个基本问题

下篇文章: 推荐:网络安全入门知识16问答