防火墙和路由器的安全配置分析

防火墙已经成为企业网络建设的重要组成部分，但是有很多用户认为网络中已经存在路由器，可以实现一些简单的包过滤功能。那么，你为什么要使用防火墙呢现在我们比较NetEye防火墙与行业最具代表性的路由器，并解释为什么在用户网络和防火墙路由器。 U3000
背景不同于一个或两个设备。
1。这两种设备的根本原因是不同的。
路由器的产生是基于网络数据包的路由，路由器需要完成高效的路由不同的网络数据包，为什么路由，路由和路由问题，如是否经过根本不在乎，在乎的是：能对数据包的路由和通信的不同区段，U3000
防火墙是对安全性的需求，数据包能否正确到达，到达时间和方向不是防火墙关注的焦点。关键在于这一系列的数据包通过，通过，是否会损害网络。 U3000
2。根本目的不同
路由器的根本目的是保持网络和数据的通过。 U3000
防火墙的基本目的是确保任何非允许的数据包不容易。 U3000
二、核心技术的差异
Cisco路由器核心的ACL列表是基于简单包过滤的。从防火墙技术的角度来看，NetEye防火墙应用层信息流基于状态包过滤的过滤，U3000
以下是最简单的应用：在企业内部网的主机，它提供的服务网络通过路由器（假设服务的端口是TCP 1455）。为确保安全，需要在路由器上配置：TCP 1455端口外，它允许客户端访问服务器，允许，和其他的否定。 U3000

U3000

考虑到当前配置，存在如下安全漏洞：
1、IP地址欺骗（使连接异常复位）
2，TCP欺骗（会话重放和劫持）
存在上述问题的原因是，路由器不能监测TCP的状态。如果NetEye防火墙在内网放置客户端和路由器之间，由于NetEye防火墙可以检测TCP的状态，它可以产生TCP序列号了，它可以完全消除这样的脆弱性。同时，该NetEye防火墙的一次性口令认证客户端的功能可以在对应用程序完全透明的实现、用户访问控制、认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行交互操作，可以实现分工的作用。 U3000
虽然锁和钥匙功能，路由器可以动态访问控制列表的方式，实现对用户的认证，但特点要求提供telnet服务路由器，用户也需要去使用TELNET，使用不够方便，也不够安全（黑客创造机会开放的端口），U3000
三。安全策略制定的复杂性是不同的。
安全考虑路由器的默认配置是不够的，需要一些先进的配置来实现预防攻击，安全策略都是基于命令行的，安全规则的制定相对比较复杂，配置错误的概率高，U3000
NetEye防火墙的默认配置可以防止各种攻击。它既安全又安全。安全策略的设计是基于整个中国GUI管理工具。它的安全策略人性化，易于配置，错误率低。
四。对性能的不同影响
路由器是用来传输数据包，而不是专为所有属性作为防火墙，所以对包过滤，该操作需要非常大，对路由器的CPU和内存的需求非常大，但由于其成本比路由器硬件的高性能高，成本相对大的硬件配置 U3000。
NetEye防火墙的硬件配置非常高（使用英特尔的芯片，通用的高性能、低成本），该软件已经为包过滤优化，主要模块运行在操作系统内核模式，考虑到安全问题的设计、数据包过滤的性能非常高。 U3000
因为路由器是简单的包过滤，包过滤规则的数目增加，增加NAT规则数都相应的增加，对路由器性能的影响，而NetEye防火墙采用的是状态包过滤，一些规则，对自然数在接近于零的性能规则。 U3000
五。审计职能的强弱是有很大区别的。
路由器本身没有存储介质，事件日志，只有通过使用一个外部的日志服务器（如日志、陷阱等）完成的事件日志，路由器本身没有存储；日志审计分析工具，对事件的描述是不容易理解的语言对应的路由器；攻击和其他安全事件是不完整的，许多攻击，扫描操作不产生准确及时的事件。对审计功能的弱化使管理员无法做出及时准确的安全事件。

U3000

NetEye防火墙的日志存储介质有两种，包括硬盘存储，和一个单独的日志服务器；两种存储，NetEye防火墙审计提供了一个有力的分析工具，管理员可以很容易地分析各种安全隐患；针对NetEye防火墙对安全事件的及时，也体现在报警了各种方式，包括蜂鸣器、陷阱、邮件、日志；NetEye防火墙还具有实时监控功能，在线监测可以通过防火墙的连接，而且还可以捕获的数据包进行分析，对网络运行分析、网络故障诊断提供了方便。 U3000
六，防范进攻的能力是不同的。
如Cisco路由器，普通版没有的应用层保护功能，没有实时入侵检测等功能，如果你需要有这样的功能，你需要升级到iOS类防火墙特性集，此时不仅要承担升级软件的成本，同时由于这些功能同样需要大量的计算，同时，硬件配置升级的需要，进一步增加了成本，但不与先进的安全所以许多厂商的路由器，可以得出的结论是：
路由器成本>防火墙+路由器具有防火墙特性

具有防火墙功能的路由器功能：防火墙+路由器

具有防火墙特性的路由器可伸缩性>防火墙+路由器
综上所述，我们可以得出这样的结论：网络用户的拓扑结构是否简单，用户应用程序是否简单复杂，是否应该使用标准防火墙，这是决定用户是否使用防火墙用户对网络安全要求的一个基本条件！
即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必要的和必要的；如果用户的应用环境，更复杂的，那么防火墙将能够带来更多的好处，网络防火墙的建设将成为常见的网络的一个组成部分，路由器是保护内部网络的第一道关口，防火墙将第二点，也是最严格的屏障