端口转发和防火墙之间实际上有什么区别?
那么,这些内置于家用 AdSL 路由器的所谓防火墙真的能保护您的网络吗?
答案1
谈谈你的第二个问题。消费级路由器所做的唯一一件事就是为你的网络提供 NAT 层。它们中的大多数使用所谓的状态数据包检测来实现这一点。这只是一种花哨的说法,即它们会跟踪从 LAN 发起的所有连接,直到它们被正常的 TCP/IP 方式破坏或在一段时间没有活动后超时。这确实为网络提供了一定程度的安全性,因为唯一允许通过的流量是从网络内部发起的流量。UPNP 和端口转发允许转发未经请求的流量,因此有一些例外。
消费设备无法提供企业防火墙在基本层面上提供的功能,即对传入和传出流量制定规则。例如,如果您想阻止来自或流向某个端口或主机的流量。您还可以制定时间表来定义何时执行规则。但正如其他人所提到的,在某些情况下,企业硬件还可以具有防火墙以外的其他功能,但这确实超出了您在此处提出的问题的范围。
答案2
转发端口是防火墙能够做的众多事情之一。至于您的第二个问题,这取决于调制解调器。您的问题将标准设定得相当低,即它们是否比没有好。我会说是的,大多数确实提供保护。它们会像 Cisco ASA 5505 一样强大且功能丰富吗?不会。这是否意味着您需要出去花 400 美元购买 ASA 5505?这也取决于情况。如果您是家庭用户,adsl 路由器/调制解调器中的内置防火墙可能已经足够好,前提是它已打开并正确配置。如果您有家庭办公室并想要一套强大的安全功能以及支持和可靠性,那么一定要花 400 美元。否则,只需确保防火墙确实已打开并且没有完全打开。
顺便说一句,我只是以思科为例。如果您对真正的 Soho 防火墙感兴趣,您还可以考虑其他选项,例如 Watchguard、Fortinet 等。
答案3
根据我的经验,家用路由器缺乏容量、日志记录、问责制(RADIUS 或 TACACS 支持)、规则集复杂性、冗余度、硬件可靠性、支持的物理网络数量、VLAN、VPN 集中器、入侵检测传感器以及家庭网络中不需要的许多其他东西。
家用路由器很难配置错误,复杂性是安全性的大敌......所以我想说它们通常比大件的东西要好......除非你需要我列出的一些功能。
答案4
不去争论防火墙和保护,您最好的保护就是定期安装安全补丁和防火墙。内置在家用路由器中的防火墙确实可以起到防火墙的作用,但无法阻止许多可以通过简单的网页浏览感染计算机的自发病毒/漏洞/木马。防病毒软件也是如此,大多数软件对于较新的漏洞或用户造成的漏洞(即您点击或访问不该访问的地方)几乎毫无用处。在家庭设置中,端口转发将使接收该端口转发的计算机暴露于该端口上的任何潜在攻击。