安全路由、防火墙到底该选谁？

　　宽带网络的普及，以及广大用户对安全网络意识的不断提高，大家都在寻求一种最佳的网络安全解决方案，这其中又以硬件级安全措施最受到关注。然而，由于不少用户都在安全路由与防火墙的安全功能界定上认识不足，一方面导致设备的重复使用、另一方面也未充分发挥它们各自的最佳性能。

　　那么，这两类硬件设备在网络环境中，到底会起到何种安全效果、各自的应用特点又是什么呢?本文将一一为大家解答。

　　一、技术特点比较分析

　　硬件产品的使用，对其技术特点的了解是首要掌握方面。路由器与防火墙产品，各自技术特点也会存在明显的不同。

　　1、路由器

　　路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。

　　路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成;控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。

　　2、防火墙

　　防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。

　　二、适用环境、用户群对比

　　硬件产品因此不同的技术特点，决定了它们的应用环境会存在差异;同时针对不同的网络环境，适用的用户群体自然也会不同。

　　1、路由器

　　路由器是工作在OSI参考模型第三层—网络层的数据包转发设备，它通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。当前多数IP网是以路由器为核心建设的，即通过路由器将网络连接到一起，路由器是IP网的核心设备。

　　通过以上的介绍我们不难发现，路由器主要是为不同网络之间的用户提供最佳的通信途径，利用网际协议，可以为网络管理员提供整个网络的有关信息和工作情况，以便于对网络进行有效管理，同时可进行数据包格式的转换，实现不同协议、不同体系结构网络的互连能力。

　　路由器在网络中的逻辑位置

　　因此，路由器由于可以实现对网络的有效管理，以及可进入数据转换，使得其可以广泛适用于大中型企业、新兴ISP、银行系统等环境，而且也适用于普通家庭用户的宽带需求。在宽带接入的IP网络中，其具有较为广泛的使用途径。

　　2、防火墙

　　防火墙则是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。

　　防火墙在网络中的逻辑位置

　　由于防火墙不能防范不经过防火墙的攻击，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 Internet 的直接连接;另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。使得此类设备重在外网的安全防护，而对内网的管理能力不强，因此适合于大中型企业、电信用户作为路由器的安全补充设备使用。

　　三、安全性能比较

　　路由器与防火墙的一个明显联系就是都具有不错的安全性能，但由于其主功能的差异，使得两类硬件设备在安全性能上也不可混用。

　　1、路由器

　　路由器的默认配置大多对安全性的考虑不够，需要使用者自行配置高级选项配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的;而且其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。

　　因此路由器在安全防范的性能上并不突出，只能实现较为一般的网络安全访问功能。

　　2、防火墙

　　防火墙产品则是专为网络安全而设。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

　　防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

　　四、对比总结：各取所需

　　通过以上对比我们不难看出，路由器产品重在对网络的安全管理，其实现的是网络可信接入与有效的上网行为管理，可以将其看作是硬件级的“网络管理员”;而防火墙是重在对网络安全的监控与防范，其实现的是网络安全接入与有效的数据安全防范，可以将其看作是硬件级的“保安人员”。

　　单纯使用路由器或防火墙，都可为网络环境起到一定的安全防范目的;只是对于较复杂、数据安全较重要的网络环境来说，通常都会路由器与防火墙产品同时使用。而像普通家庭用户来说，只需使用路由器来实现数据的安全转发，再配以防火墙软件的支持即可达到安全防范的目的。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。