相比在路由器上安装防火墙,使用专用防火墙是否有安全优势?谢谢。
答案1
我认为您在这里所说的防火墙是基于硬件的防火墙,而不是基于软件的防火墙,例如 Linux 中的 netfilter。
大多数(如果不是全部)路由器都支持某种类型的访问控制列表 (ACL),可以充当防火墙。专用硬件防火墙更好,因为它们功能更强大(可以处理更多流量)并支持状态检查,并且可以具有更高级的功能,例如攻击检测 (IDS/IPS)。最后,这取决于您的要求和所选的硬件。
答案2
这在很大程度上取决于所讨论的路由器。例如,Cisco Catalyst 交换机中的 ASA 服务模块比一些低端专用防火墙具有更多功能。但是,这里的论点是,“刀片是专用防火墙吗?“
专用硬件通常可以为您提供更好的防火墙功能,并包括其他外围服务,例如:
- 入侵检测系统/入侵防御系统
- 更强大的应用程序级网关(确保 TCP/80 确实是 HTTP 而不是 SSH 之类的)
- VPN、IPSec 和 SSL。
- 与身份验证系统集成
- 能够代理某些应用程序流量
关于使用专用设备处理您的外围连接还有一个强有力的论据:如果外部攻击破坏了您的边界设备,那么您的网络唯一受到影响的就是与外界的连接。
答案3
如果可以在路由器中指定角色,则实际上不会带来安全优势。但是,不要将 ACL 与防火墙混淆。
单独的防火墙更好,因为这样您的路由器只需要使用其资源进行路由,而防火墙则使用其自己的资源完成部分工作。如果您将这两者放在一台机器上,它们将共享资源,当出现问题(DDoS)时,其中一个可能会开始独占资源。
另外,单独的防火墙有时还具有更强大的功能,例如IDS、深度包检测等……
购买防火墙时还有一条建议,不要只看带宽,而是要问他们每秒可以处理多少个数据包。他们经常宣传 1 Ggit 的高带宽,但这是以 64 KB 数据包计算的。因此,如果有人想攻击你,他们只需要发送大量 4 KB 数据包,这将使你的吞吐量急剧下降。
答案4
将路由器和防火墙视为针对攻击者的独立防线。两个比一个好