防火墙路由器两种设备的综合比较

防火墙路由器两种设备的综合比较 来源：233网校2010年1月10日【233网校：中国教育考试第一门户】
很多用户认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢？以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个（一系列）数据包是否应该通过、通过后是否会对网络造成危害。
路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。 采集者退散
Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用：企业内网的一台主机，通过路由器防火墙对内网提供服务（假设提供服务的端口为tcp1455）。为了保证安全性，在路由器上需要配置成：外—〉内，只允许client访问server的tcp1455端口，其他拒绝。针对现在的配置，存在的安全脆弱性如下：存在上述隐患的原因是，路由器防火墙不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。
4、安全策略制定的复杂程度不同
5、对性能的影响不同
防火墙的硬件配置非常高（采用通用的INTEL芯片，性能高且成本低），其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。
路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言；路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。
对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器防火墙不具有这样的高级安全功能。可以得出：
防火墙+路由器

注册设备监理工程师考试报名时间一般为4-6月。根据人力资源社会保障部办公厅《2013年度专...查看全部