您现在的位置 : 路由人 > 路由器介绍 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

路由器虽具防火墙功能,但防护极弱!

大家都知道路由器有防火墙的功能,那么路由器能否当防火墙使用呢?下面,我们就来具体分析这两种设备。一、两种设备产生和存在的背景不同(1)根本目的不同防火墙根本的的目的是保证任何非允许的数据包不通;而路...

大家都知道路由器有防火墙的功能,那么路由器能否当防火墙使用呢?下面,我们就来具体分析这两种设备。

一、两种设备产生和存在的背景不同

(1)根本目的不同

防火墙根本的的目的是保证任何非允许的数据包不通;而路由器的根本目的是保持网络和数据的通。

(2)两种设备产生的根源不同

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是能否将不同的网段的数据包进行路由从而进行通讯。

二、两种设备防范攻击的能力不同

具有防火墙特性的路由器可扩展性<防火墙+路由器;具有防火墙特性的路由器成本>防火墙+路由器;具有防火墙特性的路由器功能<防火墙+路由器。

对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。

三、两种设备审计功能的强弱差异巨大

审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件;路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言。

四、两种设备对性能的影响不同

路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。

防火墙的硬件配置非常高,采用通用的INTEL芯片,性能高且成本低,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。

路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

五、两种设备安全策略制定的复杂程度不同

防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。

六、两种设备核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。

路由器的Lock-and-Key功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全,开放的端口为黑客创造了机会。

用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求。对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号