目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,都可以实现一些诸如包过滤、IP过滤这样的功能。更加专业高档路由器更是内置防火墙功能。同时防火墙作为内外网的枢纽,也须具备路由功能,最简单的静态路由是必须的。随着现代集成电路技术的发展,防火墙和路由器这两种设备非常有可能合二为一。但是从根本上来说,两者在概念上、作用上都有较大的差异,在网络工程设计中是两种具有不同功能作用的网络设备。下面从五个方面说明它们之间的差异。
(1)产生背景不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确地到达,到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
(2)使用目的不同
路由器的根本目的是:保持网络和数据的“通”;防火墙根本的的目的是:保证任何非允许的数据包“不通”。
(3)采用的核心技术不同
路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤,当然防火墙也能对第三层数据进行有效过滤,实际上也能过滤第二层和第四层的数据包。
(4)对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
(5)审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确地响应。
综上所述,路由器和防火墙在网络中各司其职,是截然不同的两个概念。市场上出现的带防火墙功能的路由器,只是综合了防火墙的功能的路由设备,在实际工作中,它们还是分开进行的,并不会颠覆两者在网络中真实身份和作用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
