路由器/防火墙使用总结
- 一般中小型单位 互联网出口使用防火墙 , 简单实用 , 功能多还便宜 。(或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以 , 基本都是功能多合一)
- 特定行业内网出口 必须用路由器 , 政策要求和业务需要 , 如公安/法院/金融等 。
- 大型网络防火墙和路由器分开 , 如果都用防火墙 , 性能可能扛不住 。其实现实中很多中小型网络也习惯路由器和防火墙分离 , 术业有专攻 , 前者负责NAT , 后者负责安全 。
下面只讨论路由器和防火墙都存在的环境 , 如何部署前文已经给大家分析过 , 很多网络出口既有路由器 , 还有防火墙 , 路由器负责路由、NAT等基础功能 , 防火墙负责应用层安全检测 。会存在如下两种部署架构 , 如何选择呢?
文章插图
两种部署方案
其实最早网络用的基本是:第一种架构 。原因很简单 , 当年以太网还没这么流行 , 广域网接口有ATM、POS、E1、T1等各种五花八门的接口 , 这些接口防火墙都不支持 , 只能接在路由器上 。
随着时代发展 , 运营商网络由SDH过渡到MSTP平台 , 以太网接入开始普及 , 使用第二种架构也无可厚非了 。
但是实际项目中 , 我们发现 , 80%还是使用第一种架构 , 为什么呢?原因有几点:
- 第一种架构 出口路由器部署NAT , 路由器以下都可以使用私网IP , 也就是只需要路由器一个公网IP就能搞定 , 在这个公网IP紧缺的年代 , 非常受用 。
- 防火墙一般会旁挂服务器 , 即DMZ区域 , 采用第一种架构 , 服务器在私网IP域 , 相对安全 。黑客攻击首先需要穿透路由器的NAT , 还需绕过防火墙的检测 。
典型网络架构参考(中小型网络只有防火墙的案例太多 , 没罗列)
文章插图
某省审计网络架构
文章插图
某物联网中心网络架构
文章插图
【计算机网络系统中,路由器与防火墙谁应该部署在最外面?】
某省电子政务外网架构
文章插图
某市电子政务外网架构
文章插图
某国内顶尖高校校园网架构
文章插图
某教育城域网网络架构
推荐阅读
- 护发素怎么用,哪些发质可以用护发素?
- js中几种实用的跨域方法原理详解
- 机器学习算法中的7个损失函数的详细指南
- 淘宝直播系统抽奖怎样才更容易中 淘宝直播间抽奖中奖技巧
- 如何挑选牛蹄
- 如何挑选牛筋?
- 什么是禅茶 什么是茶禅 有区别吗
- 如何处理牛舌
- 如何挑选白牛肝菌
- 西游记里的沙僧最后成为什么佛 西游记中为什么不能没有沙僧