与在路由器上使用 ACL 和 IP 检查相比,使用专用防火墙有哪些优势?
我意识到这可能取决于路由器的版本,某些路由器版本基本上是一个防火墙和一个路由器吗?
答案1
我想说的是,它们并不是为做同样的事情而设计的。ASA 拥有强大的 CPU,因此可以处理具有非常大/复杂的访问列表的大量数据包。较新版本的 IOS 可以进行状态检查,但它会占用大量 CPU。
路由器上的 ACL(用于 IP 过滤)最初设计用于仅使用简短的访问列表来过滤网络到网络的流量。这在 ASIC 上工作并且非常快。今天你可以进行更强大的过滤,但它需要在 CPU 上完成,而路由器的 CPU 往往不如防火墙中的 CPU 强大。
因此,我会在处理大量流量的路由器上使用简短的 ACL,这些路由器将在 ASIC 上运行。我会在只需要过滤少量流量的路由器上使用复杂的 ACL(CBAC 和 cie)。但我会使用 ASA 来过滤从一个网络到另一个网络的流量,因为您需要大型且复杂的 ACL,这些 ACL 不会在路由器 ASIC 上运行,并且会传递太多数据包,路由器无法用其 CPU 处理这些数据包。
答案2
状态过滤。路由器 ACL(大多数情况下)是无状态的,这很麻烦。
答案3
或者扩展 Cian 的回答,使用适当的防火墙设备,您可以进入并查看正在传递的数据。
您的常规路由器可以限制源 IP、目标 IP 和端口,这可以帮助您阻止来自/到某某的端口 80 上的所有 http 流量。
但是,完整开启的防火墙会让您查看通过端口 80 的流量并阻止特定内容。
例如,我可以阻止内容类型为“application/x-javascript”或“audio/x-pn-realaudio”的流量。所有其他基于 HTTP 的流量都可以正常访问,但我的用户将无法下载 JavaScript 和 Real Audio 内容。
通过在防火墙本身上安装病毒扫描程序来增加其价值(如今大多数制造商都提供某种基于订阅的服务),并且您的防火墙设备可以提供比路由器更强大的保护。
答案4
现在,思科正在为 ASA 防火墙添加路由协议,而且需要比以太网更高级接口的场景越来越少,因此,无论在哪里使用防火墙而不是路由器,其经济效益都是相当诱人的,至少在思科的世界中是如此。
单位美元的产量大幅增加。
另一方面...用于编程自定义响应的嵌入式事件管理器在您尚未获得的功能列表中...目前。