|
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。
一、背景
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
二、目的
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
三、核心技术
路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
3.安全策略
路由器的默认配置对安全性的考虑不够周全,需要做高级高级配置才能达到一些防范攻击的作用,而且企业级路由器基本都是基于命令模式进行配置,其针对安全性的规则的部分比较复杂,配置出错的概率较高。 有些防火墙的默认配置既可以防止各种攻击,达到既用既安全,更人性化的防火墙都是使用图形界面进行配置的,配置简单、出错率低。
4.对性能的影响
路由器的设计初衷是用来转发数据包的,而不是专门设计作为全特性防火墙的,所以在数据转发时运算量非常大。如果再进行包过滤,对路由器的CPU和内存或产生很大的影响,这就是为什么路由器开启防火墙后,数据转发率降低的原因。而且路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
防火墙则不用作数据转发的工作,只要判断该包是否符合要求,是则通过,否则不通过,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
5.防攻击能力
即使像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
结论就是:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器 ·具有防火墙特性的路由器功能 < 防火墙 + 路由器 ·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。 |
|
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|