路由器和防火墙的比较分析

在当前的中小型网络中，越来越多的防火墙被用来代替路由器作为网络出口设备。这也使许多年轻的网络工作者对路由器和防火墙之间的差异感到困惑。他们只是认为防火墙可以阻止VPN。特别是，当前的防火墙集成了许多Internet行为管理和IPS功能，这使得隐藏防火墙本身的核心功能更加容易。

以下以传统防火墙为例，说明防火墙和路由器之间的区别。

一、安全域概念

路由器没有安全域的概念。这个概念在防火墙中非常重要。它区分了通过不同接口连接的区域的安全级别，从而为进一步的安全控制奠定了基础。

二、对话状态

路由器将不保存会话状态。 TCP连接发送的所有数据包均包含序列号，但路由器不会关注该序列号，并将在接收时转发该序列号。也就是说，路由器仅看到5元组的信息，而不会看得更远。 NAT会话信息只是五元组信息。

防火墙保存每个会话的状态信息。例如，从路由器的角度来看，TCP的三向握手是一条消息，仅用于传输，而防火墙将检查三向握手消息是否符合规则。许多防火墙的防***功能都是基于会话检测的。

三、安全策略（域间策略）

前两个是为第三个最重要的一个铺平道路。安全策略可以详细控制会话的开/关，仅允许合法数据流通过。这种合法的数据流可以实现A可以主动访问B，而B不能主动访问A。在这里，由于防火墙保存了会话状态信息，因此它知道哪个会话A可以访问B。当B响应A返回的数据时，可以传递以前的会话信息，而B主动访问A来创建一个新会话，但根据安全策略无法传递该会话。

无法完成路由器的数据包过滤。包过滤阻止数据是双向的，全部中断。这是路由器和防火墙之间最根本的区别。

我已经说了很多，防火墙是否可以代替路由器？在中小型网络中这是可能的，因为此类网络的数据有限，有效的客户预算以及对成本效益的追求。一台设备可以处理所有事情。在大型网络中，永远不会使用防火墙代替路由器。在处理路由协议计算方面，路由器肯定比防火墙好。转发大量数据时，路由器无需检测防火墙等数据包，因此转发延迟较低。最重要的一点是路由器支持多种类型的接口。尽管以太网接口之外的其他类型的接口越来越少，但是它们仍然存在于某些大型网络中，并且防火墙无法支持这些接口。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-328851-1.html