防火墙已经成为企业
网络建设的重要组成部分,但是有很多
用户认为网络中已经存在
路由器,可以实现一些简单的包过滤
功能。那么,你为什么要使用防火墙呢现在我们比较NetEye防火墙与行业最具代表性的路由器,并解释为什么在用户网络和防火墙路由器。 U3000
背景不同于一个或两个设备。
1。这两种设备的根本
原因是不同的。
路由器的产生是基于网络数据包的路由,路由器需要完成高效的路由不同的网络数据包,为什么路由,路由和路由问题,如是否经过根本不在乎,在乎的是:能对数据包的路由和通信的不同区段,U3000
防火墙是对安全性的需求,数据包能否
正确到达,到达时间和方向不是防火墙关注的焦点。关键在于这一系列的数据包通过,通过,是否会损害网络。 U3000
2。根本目的不同
路由器的根本目的是保持网络和数据的通过。 U3000
防火墙的基本目的是确保任何非允许的数据包不容易。 U3000
二、
核心技术的差异
Cisco路由器核心的ACL列表是基于简单包过滤的。从防火墙技术的角度来看,NetEye防火墙应用层信息流基于状态包过滤的过滤,U3000
以下是最简单的应用:在企业内部网的主机,它提供的
服务网络通过路由器(假设服务的端口是TCP 1455)。为确保安全,需要在路由器上
配置:TCP 1455端口外,它允许客户端访问
服务器,允许,和其他的否定。 U3000
U3000
考虑到当前配置,存在如下安全漏洞:
1、IP
地址欺骗(使
连接异常复位)
2,TCP欺骗(会话重放和劫持)
存在上述问题的原因是,路由器不能监测TCP的状态。如果NetEye防火墙在内网放置客户端和路由器之间,由于NetEye防火墙可以
检测TCP的状态,它可以产生TCP序列号了,它可以完全消除这样的脆弱性。同时,该NetEye防火墙的一次性口令认证客户端的功能可以在对
应用程序完全透明的实现、用户访问
控制、认证
支持标准的Radius协议和
本地认证数据库,可以完全与第三方的认证服务器进行交互
操作,可以实现分工的
作用。 U3000
虽然锁和钥匙功能,路由器可以动态访问控制列表的方式,实现对用户的认证,但特点要求提供telnet服务路由器,用户也需要去使用TELNET,使用不够方便,也不够安全(黑客创造机会开放的端口),U3000
三。
安全策略制定的复杂性是不同的。
安全考虑路由器的
默认配置是不够的,需要一些先进的配置来实现预防攻击,安全策略
都是基于
命令行的,安全规则的制定相对比较复杂,配置
错误的概率高,U3000
NetEye防火墙的默认配置可以防止各种攻击。它既安全又安全。安全策略的设计是基于整个中国GUI
管理工具。它的安全策略人性化,易于配置,错误率低。
四。对
性能的不同
影响 路由器是用来
传输数据包,而不是专为所有
属性作为防火墙,所以对包过滤,该操作需要非常大,对路由器的CPU和
内存的需求非常大,但由于其成本比路由器
硬件的高性能高,成本相对大的硬件配置 U3000。
NetEye防火墙的硬件配置非常高(使用英特尔的
芯片,通用的高性能、低成本),该软件已经为包过滤
优化,主要模块
运行在操作
系统内核
模式,考虑到安全问题的设计、数据包过滤的性能非常高。 U3000
因为路由器是简单的包过滤,包过滤规则的数目增加,增加NAT规则数都相应的增加,对路由器性能的影响,而NetEye防火墙采用的是状态包过滤,一些规则,对自然数在接近于零的性能规则。 U3000
五。审计职能的强弱是有很大
区别的。
路由器本身没有存储介质,事件日志,只有通过使用一个外部的日志服务器(如日志、陷阱等)完成的事件日志,路由器本身没有存储;日志审计分析工具,对事件的描述是不容易理解的
语言对应的路由器;攻击和其他安全事件是不完整的,许多攻击,扫描操作不产生准确及时的事件。对审计功能的弱化使
管理员无法做出及时准确的安全事件。
U3000
NetEye防火墙的日志存储介质有两种,包括
硬盘存储,和一个单独的日志服务器;两种存储,NetEye防火墙审计提供了一个有力的分析工具,管理员可以很容易地分析各种安全隐患;针对NetEye防火墙对安全事件的及时,也体现在报警了各种方式,包括蜂鸣器、陷阱、邮件、日志;NetEye防火墙还具有实时监控功能,在线监测可以通过防火墙的连接,而且还可以捕获的数据包进行分析,对网络运行分析、网络
故障诊断提供了方便。 U3000
六,防范进攻的能力是不同的。
如Cisco路由器,普通版没有的应用层
保护功能,没有实时入侵检测等功能,如果你需要有这样的功能,你需要
升级到iOS类防火墙特性集,此时不仅要承担升级软件的成本,同时由于这些功能同样需要大量的计算,同时,硬件配置升级的需要,进一步增加了成本,但不与先进的安全所以许多厂商的路由器,可以得出的结论是:
路由器成本>防火墙+路由器具有防火墙特性
具有防火墙功能的路由器功能:防火墙+路由器
具有防火墙特性的路由器可伸缩性>防火墙+路由器
综上所述,我们可以得出这样的结论:网络用户的拓扑结构是否简单,用户应用程序是否简单复杂,是否应该使用标准防火墙,这是决定用户是否使用防火墙用户对网络安全要求的一个基本
条件!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必要的和必要的;如果用户的应用环境,更复杂的,那么防火墙将能够带来更多的好处,网络防火墙的建设将成为常见的网络的一个组成部分,路由器是保护内部网络的第一道关口,防火墙将第二点,也是最严格的屏障