隨著技術的發展,防火牆和路由器很多功能已經重疊,比如:路由功能(靜態路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。
那麼網絡出口究竟選擇防火牆還是路由器呢?
術業有專攻
防火牆
本質是安全設備,雖然集成了很多路由功能,但很多路由器高級功能它也無能為力,比如MPLS V.P.N、MPLS TE。多業務接入,比如運營商甩過來的是ATM、POS線路。
路由器
現在路由器也集成了部分防火牆的基礎安全功能,但重點還是在路由,MPLS V.P.N/TE、廣域網優化等還是防火牆無可替代的功能,而且表項更加豐富,能支持超大規模網絡。
應用場景分析
場景一
一般中小型企業、政府政務外網、中小學等網絡出口都會選擇防火牆,簡單省事,性能要求不高,買一臺設備啥功能都有(現在主流都是下一代防火牆,集成防火牆、行為管理、負載均衡、流量控制、*等各種功能)
中小型網絡使用防火牆出口較多,拓撲如圖所示:
隨著技術的發展,防火牆和路由器很多功能已經重疊,比如:路由功能(靜態路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。
那麼網絡出口究竟選擇防火牆還是路由器呢?
術業有專攻
防火牆
本質是安全設備,雖然集成了很多路由功能,但很多路由器高級功能它也無能為力,比如MPLS V.P.N、MPLS TE。多業務接入,比如運營商甩過來的是ATM、POS線路。
路由器
現在路由器也集成了部分防火牆的基礎安全功能,但重點還是在路由,MPLS V.P.N/TE、廣域網優化等還是防火牆無可替代的功能,而且表項更加豐富,能支持超大規模網絡。
應用場景分析
場景一
一般中小型企業、政府政務外網、中小學等網絡出口都會選擇防火牆,簡單省事,性能要求不高,買一臺設備啥功能都有(現在主流都是下一代防火牆,集成防火牆、行為管理、負載均衡、流量控制、*等各種功能)
中小型網絡使用防火牆出口較多,拓撲如圖所示:
場景二
特定行業出口必須選擇路由器,比如電子政務內網、法院/檢察院內網(第一,政策要求,必須用路由器;第二,業務需要,比如電子政務需要跑MPLS V.P.N,防火牆不支持;第三,為了實現對等通信,比如公安內網裡面,要求公安部能夠訪問到最底層的民警,嚴禁在網絡內部接入防火牆,如果中間加些防火牆,很多流量會被莫名其妙幹掉,比如視頻會議不通,現在部分地區也在接入防火牆,早些年管控非常嚴格)
特定行業/網絡 出口必須使用路由器,拓撲如圖所示
隨著技術的發展,防火牆和路由器很多功能已經重疊,比如:路由功能(靜態路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。
那麼網絡出口究竟選擇防火牆還是路由器呢?
術業有專攻
防火牆
本質是安全設備,雖然集成了很多路由功能,但很多路由器高級功能它也無能為力,比如MPLS V.P.N、MPLS TE。多業務接入,比如運營商甩過來的是ATM、POS線路。
路由器
現在路由器也集成了部分防火牆的基礎安全功能,但重點還是在路由,MPLS V.P.N/TE、廣域網優化等還是防火牆無可替代的功能,而且表項更加豐富,能支持超大規模網絡。
應用場景分析
場景一
一般中小型企業、政府政務外網、中小學等網絡出口都會選擇防火牆,簡單省事,性能要求不高,買一臺設備啥功能都有(現在主流都是下一代防火牆,集成防火牆、行為管理、負載均衡、流量控制、*等各種功能)
中小型網絡使用防火牆出口較多,拓撲如圖所示:
場景二
特定行業出口必須選擇路由器,比如電子政務內網、法院/檢察院內網(第一,政策要求,必須用路由器;第二,業務需要,比如電子政務需要跑MPLS V.P.N,防火牆不支持;第三,為了實現對等通信,比如公安內網裡面,要求公安部能夠訪問到最底層的民警,嚴禁在網絡內部接入防火牆,如果中間加些防火牆,很多流量會被莫名其妙幹掉,比如視頻會議不通,現在部分地區也在接入防火牆,早些年管控非常嚴格)
特定行業/網絡 出口必須使用路由器,拓撲如圖所示
場景三
大型企業/高校校園網網絡出口使用路由器,專門負責路由、NAT功能,也會部署防火牆,專門負責安全功能,各司其職,術業有專攻!(其實很多中小單位也是這種架構,可能防火牆/路由器都是2臺冗餘,出口多運營商多鏈路)
大型網絡路由器與防火牆並存(術業有專攻)
隨著技術的發展,防火牆和路由器很多功能已經重疊,比如:路由功能(靜態路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。
那麼網絡出口究竟選擇防火牆還是路由器呢?
術業有專攻
防火牆
本質是安全設備,雖然集成了很多路由功能,但很多路由器高級功能它也無能為力,比如MPLS V.P.N、MPLS TE。多業務接入,比如運營商甩過來的是ATM、POS線路。
路由器
現在路由器也集成了部分防火牆的基礎安全功能,但重點還是在路由,MPLS V.P.N/TE、廣域網優化等還是防火牆無可替代的功能,而且表項更加豐富,能支持超大規模網絡。
應用場景分析
場景一
一般中小型企業、政府政務外網、中小學等網絡出口都會選擇防火牆,簡單省事,性能要求不高,買一臺設備啥功能都有(現在主流都是下一代防火牆,集成防火牆、行為管理、負載均衡、流量控制、*等各種功能)
中小型網絡使用防火牆出口較多,拓撲如圖所示:
場景二
特定行業出口必須選擇路由器,比如電子政務內網、法院/檢察院內網(第一,政策要求,必須用路由器;第二,業務需要,比如電子政務需要跑MPLS V.P.N,防火牆不支持;第三,為了實現對等通信,比如公安內網裡面,要求公安部能夠訪問到最底層的民警,嚴禁在網絡內部接入防火牆,如果中間加些防火牆,很多流量會被莫名其妙幹掉,比如視頻會議不通,現在部分地區也在接入防火牆,早些年管控非常嚴格)
特定行業/網絡 出口必須使用路由器,拓撲如圖所示
場景三
大型企業/高校校園網網絡出口使用路由器,專門負責路由、NAT功能,也會部署防火牆,專門負責安全功能,各司其職,術業有專攻!(其實很多中小單位也是這種架構,可能防火牆/路由器都是2臺冗餘,出口多運營商多鏈路)
大型網絡路由器與防火牆並存(術業有專攻)
運營商/公安/金融骨幹網節點全是路由器,中國電信Chinanet 骨幹節點也是高端路由器,拓撲圖如下:
隨著技術的發展,防火牆和路由器很多功能已經重疊,比如:路由功能(靜態路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。
那麼網絡出口究竟選擇防火牆還是路由器呢?
術業有專攻
防火牆
本質是安全設備,雖然集成了很多路由功能,但很多路由器高級功能它也無能為力,比如MPLS V.P.N、MPLS TE。多業務接入,比如運營商甩過來的是ATM、POS線路。
路由器
現在路由器也集成了部分防火牆的基礎安全功能,但重點還是在路由,MPLS V.P.N/TE、廣域網優化等還是防火牆無可替代的功能,而且表項更加豐富,能支持超大規模網絡。
應用場景分析
場景一
一般中小型企業、政府政務外網、中小學等網絡出口都會選擇防火牆,簡單省事,性能要求不高,買一臺設備啥功能都有(現在主流都是下一代防火牆,集成防火牆、行為管理、負載均衡、流量控制、*等各種功能)
中小型網絡使用防火牆出口較多,拓撲如圖所示:
場景二
特定行業出口必須選擇路由器,比如電子政務內網、法院/檢察院內網(第一,政策要求,必須用路由器;第二,業務需要,比如電子政務需要跑MPLS V.P.N,防火牆不支持;第三,為了實現對等通信,比如公安內網裡面,要求公安部能夠訪問到最底層的民警,嚴禁在網絡內部接入防火牆,如果中間加些防火牆,很多流量會被莫名其妙幹掉,比如視頻會議不通,現在部分地區也在接入防火牆,早些年管控非常嚴格)
特定行業/網絡 出口必須使用路由器,拓撲如圖所示
場景三
大型企業/高校校園網網絡出口使用路由器,專門負責路由、NAT功能,也會部署防火牆,專門負責安全功能,各司其職,術業有專攻!(其實很多中小單位也是這種架構,可能防火牆/路由器都是2臺冗餘,出口多運營商多鏈路)
大型網絡路由器與防火牆並存(術業有專攻)
運營商/公安/金融骨幹網節點全是路由器,中國電信Chinanet 骨幹節點也是高端路由器,拓撲圖如下:
三大實操要點
1、中小型單位互聯網出口推薦使用防火牆,簡單實用,功能多還便宜。(或UTM、行為管理、負載均衡、廣域網優化、多業務路由器等設備都可以,功能多合一)
2、特定行業必須用路由器,政策要求和業務需要。
3、大型網絡會同時使用防火牆和路由器,如果只用防火牆,性能可能扛不住。