防火墙与路由器的区别:
防火墙的功能主要在于防止外部流量进入内部,说的直白一点就是用一个过滤网,去过滤一些垃圾信息,至于什么是垃圾信息是由人为设定的。
路由器的功能主要是负责进行数据的路由转发(根据路由器路由表中的路由条目进行转发),路由能实现防火墙的功能也就仅仅在于访问控制列表(“access-list”简称ACL)的功能,这个功能能实现的只有根据数据的源IP地址、目标IP地址、源MAC地址、目的MAC地址以及端口号进行过滤,功能十分单一。
而路由器与防火墙共同点也只有这些功能,早期的防火墙,例如PIX(思科早期收购的版本)是包过滤防火墙,这类防火墙就如同路由器的访问控制列表,但是包过滤防火墙远不能对应现在企业对网络的要求,所以防火墙从早期的包过滤防火墙,更新成下一代防火墙,也就是现在常说的状态防火墙,状态防火墙。
状态防火墙与包过滤防火墙的区别:
状态防火墙是一种能够提供状态封包检查或状态检视功能的防火墙。能够持续追踪穿过这个防火墙的各种网络连接(例如TCP与UDP连接)的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙,其他的数据包都会被拒绝。
包过滤防火墙除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包;能为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。
现在厂家对于防火墙的研发已经上升到非常成熟的地步,也细致分成了很多类,有专门的保护邮件,邮箱防火墙;也有专门保护网站的,网页防火墙,应用防火墙(例如:阿里、深信服的Waf),再到现在的上网行为管理设备都是对网络安全进行保护,防火墙的应用也越来越广。而传统的路由器是完全没法做到这些的,因此大型企业网会使用防火墙加路由的搭配,因为各自功能不同。
防火墙为何不能取代路由器:
防火墙的应用策略已经占用防火墙大量的资源,甚至很多防火墙连路由器的动态路由功能都无法支持,国内知名厂家的防火墙都有类似的情况(例如:天融信、绿盟、山石网科等等),而要想将路由器与防火墙的所有功能完全融合,则需要大量成本,因而导致产品成本过高,和单点故障(单一故障点,鸡蛋不放在一个篮子里),所以很多企业会选择单独使用路由器和防火墙。