路由器與防火牆對比分析

  在目前中小網絡中愈來愈多的使用防火牆替代路由器做爲網絡出口設備，這也致使了不少年輕的網工分不清路由器與防火牆到底有什麼區別，簡單的認爲防火牆能防***，特別是目前的防火牆集成了不少上網行爲管理和IPS的功能，更容易掩蓋防火牆自己最核心的功能。

  下面以傳統防火牆爲例，說明防火牆與路由器到底有什麼區別。

  1、安全域概念

  路由器沒有安全域的概念，這個概念在防火牆上十分重要，區分了不一樣接口所鏈接區域的安全等級，從而爲進一步的安全控制打下基礎。

  2、會話狀態

  路由器是不會保存會話狀態，一個TCP鏈接所發送的全部報裏是包含序列號的，可是路由器不會去關注這個序列號，收到就會轉發。也就是路由器只看到5元組的信息，不會再往深了看。NAT會話信息也只是記錄五元組信息

  防火牆則是會保存每個會話的狀態信息，好比TCP的三次握手，在路由器看來就是報文，只管傳輸，而防火牆則會檢查三次握手報文是否符合規則。不少防火牆的防***功能都是基於會話的檢測。

  3、安全策略（域間策略）

  前面兩條都是爲了這最重要的第三條鋪墊的。安全策略能夠詳細控制會話的通斷，只容許合法的數據流經過。這個合法數據流能夠作到A能夠主動訪問B，可是B不能夠主動訪問A，這裏就是因爲防火牆保存了會話狀態信息，從而知道A訪問B的會話是哪些，當B迴應A返回的數據，比對以前的會話信息就能夠經過，而B主動訪問A則是新建了一條新的會話，這條會話根據安全策略是沒法經過。

  路由器的包過濾是沒法作到的，包過濾阻斷數據是雙向的，一斷全斷。這點纔是路由器與防火牆最根本的區別。

  說了那麼多，是否是防火牆就能夠代替路由器了。在中小網絡是能夠的，由於這樣的網絡，數據量有限，客戶預算有效，追求性價比，一臺設備搞定一切。而在大型網絡裏，絕對不會使用防火牆代替路由器，路由器在處理路由協議計算上的性能確定比防火牆強，轉發大量數據時，路由器不像防火牆須要對數據包進行檢測因此轉發延遲更低。還有最關鍵的一點，路由器支持多種類型的接口，雖然目前以太網接口外的其餘接口類型已經愈來愈少了，可是在一些大型網絡中仍是存在的，防火牆是沒法支持這些接口的。