由于技術的(de)進步,防火牆和(hé)路由器之間有許多(duō)重疊,到底是選擇防火牆還(hái)是路由才是
網絡出口?
第一、防火牆和(hé)路由器之間的(de)區(qū)别。
防火牆:它的(de)核心就是安全裝置,盡管它集成了(le)許多(duō)路由功能,但是許多(duō)路由器的(de)高(gāo)級功能卻無能爲力,例如MPLSV.P.N,MPLSTE。多(duō)種業務接入,如運營商轉而使用(yòng)ATM,POS線。
路由器:目前,路由器還(hái)集成了(le)防火牆的(de)一些基本安全功能,但是重點還(hái)是在路由,MPLSV.P.N/TE、WAN優化(huà)等等防火牆無法替代的(de)功能,并且表項目更豐富,可(kě)以支持超大(dà)規模網絡。
第二、應用(yòng)場(chǎng)景分(fēn)析。
1、一般中小型企業、政府政務外網、中小學等網絡出口都會選用(yòng)防火牆,簡單省事,性能要求不高(gāo),買一台設備什(shén)麽功能都有(現在主流是下(xià)一代防火牆,集成防火牆,行爲管理(lǐ),負載平衡,流量控制等多(duō)種功能)使用(yòng)防火牆出口的(de)中小型網絡更多(duō)
2、具體行業出口必須選擇路由器,如政務内網、法院、檢察院内網(一是政策要求,必須使用(yòng)路由器;二是業務需求,如電子政務需要跑MPLSV.P.N,防火牆不支持;三是爲實現對(duì)等性通(tōng)信,如公安内網,要求公安部能接入底層民警,禁止在網絡内部接入防火牆,如果中間加了(le)一些防火牆,就會造成大(dà)量流量無法訪問,例如視頻(pín)會議(yì)無法使用(yòng),目前部分(fēn)地區(qū)也(yě)無法接入防火牆,早先管制很嚴)。
3、大(dà)公司/大(dà)學校園網出口使用(yòng)路由器,專門負責路由、NAT功能,同時(shí)還(hái)會配置防火牆,專門負責安全功能,各司其職,各盡其責!(實際上很多(duō)中小型設備也(yě)是這(zhè)樣的(de)架構,可(kě)能防火牆/路由器都是2個(gè)冗餘,多(duō)個(gè)運營商出口多(duō)個(gè)鏈路)大(dà)網絡路由器和(hé)防火牆并存
運營商、公安、金融主幹網絡全部采用(yòng)路由器,中國電信Chinanet主幹網絡也(yě)采用(yòng)高(gāo)端路由器。
第三、3個(gè)實操要點。
1.中小型單位推薦使用(yòng)防火牆,簡單實用(yòng)且性價比高(gāo)。(或UTM、行爲管理(lǐ)、負載平衡、WAN優化(huà)、多(duō)業務路由器等設備均可(kě)使用(yòng),具有多(duō)種功能)
2.特定的(de)行業必須使用(yòng)路由器,政策需求和(hé)商業需求。
3.大(dà)型網絡将同時(shí)使用(yòng)防火牆和(hé)路由器,如果隻使用(yòng)防火牆,性能可(kě)能無法承受。