网络回答：路由器能取代防火墙吗

防火墙已经成为企业网络建设的关键环节，但也有不少网友在网络有一个路由器，可以实现一些简单的包过滤功能，所以，为什么我们使用下面的防火墙，防火墙和工业中的应用，在安全方面最具代表性的路由器相比，解释为什么路由器在网络中的用户也需要一个防火墙。
背景不同于一个或两个设备。
1种和两种设备的根本原因是不同的。
路由器的生成是基于网络数据包的路由，路由器需要完成不同的网络数据包进行有效的路由，为什么要路由、路由和路由等问题之后是否简单地不关心、关心的是：能否对分组的不同段进行路由和通信。
防火墙是对安全性的需求，数据包能否正确到达，到达时间和方向不是防火墙关注的焦点。关键是这一系列的数据包是否应该通过和传递，是否会对网络造成危害。
2，根本目的不同。
路由器的基本目的是保持网络和数据的通过；。
防火墙的基本目的是保证任何不允许的包不通过；。
二、核心技术的差异
Cisco路由器核心的ACL列表是基于简单包过滤的。从防火墙技术的角度来看，防火墙是基于状态包过滤的应用级信息流过滤。
最简单的应用之一：企业内部网的一个主机，它通过路由器向内部网提供服务（假设服务端口是TCP 1455），为了确保安全，它需要在路由器上配置：外部 只允许客户端访问服务器的TCP 1455端口，以及其他拒绝。
考虑到当前配置，存在如下安全漏洞：
1、IP地址欺骗（使连接异常复位）
2，TCP欺骗（会话重放和劫持）
存在上述问题的原因是，路由器不能监测TCP的状态。如果防火墙是在内部放置客户端和路由器之间，因为防火墙可以检测TCP的状态，它可以产生TCP序列号了，它可以完全消除这样的脆弱性。同时，该一次性口令认证客户端的防火墙功能，可以实现对应用程序完全透明，用户访问控制、认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行交互操作，可以实现分工的作用。
虽然有锁和键功能，路由器可以通过动态方式访问控制列表，实现用户认证，但路由器需要提供telnet服务的特性，用户也需要到路由器telnet中使用，不易使用，而且还不够安全（为黑客开放端口创造机会）。
三。安全策略制定的复杂性是不同的。
路由器的默认配置安全考虑不够，需要一些先进的配置来实现攻击的防范，安全策略大多基于命令行，对于安全规则的制定比较复杂，配置错误概率高。
防火墙的默认配置可以防止各种攻击。它既安全又安全。安全策略的设计是基于整个中国GUI管理工具。它的安全策略具有人性化、配置简单、差错率低的特点。
四。对性能的不同影响
路由器是用来传输数据包，而不是专为所有属性作为防火墙，所以对包过滤，该操作需要非常大，对路由器的CPU和内存的需求非常大，但由于其成本比路由器硬件的高性能高，成本相对大的硬件配置。
防火墙硬件配置非常高（采用英特尔芯片，通用性高，成本低），对包过滤软件进行了优化，主模块在操作系统内核模式下运行，考虑了特殊安全性设计，包过滤性能很高。
由于路由器是一种简单的包过滤，包过滤增加了规则数目，增加了NAT规则数量，对路由器性能的影响也相应增加，而防火墙则用于状态包过滤，规则数、NAT数的规则在性能上接近于零。
五。审计职能的强弱是有很大区别的。
路由器本身没有存储介质，事件日志，只有通过使用一个外部的日志服务器（如日志、陷阱等）完成的事件日志，路由器本身没有存储；日志审计分析工具，对事件的描述是不容易理解的语言对应的路由器；攻击和其他安全事件是不完整的，许多攻击，扫描操作不产生准确及时的事件。对审计功能的弱化使管理员无法做出及时准确的安全事件。
六，防范进攻的能力是不同的。
如Cisco路由器，普通版没有的应用层保护功能，没有实时入侵检测等功能，如果你需要有这样的功能，你需要升级到iOS类防火墙特性集，此时不仅要承担升级软件的成本，同时由于这些功能同样需要大量的计算，同时，硬件配置升级的需要，进一步增加了成本，但不与先进的安全所以许多厂商的路由器，可以得出的结论是：
路由器成本>防火墙+路由器具有防火墙特性
具有防火墙功能的路由器功能：防火墙+路由器
具有防火墙特性的路由器可伸缩性>防火墙+路由器
综上所述，我们可以得出这样的结论：网络用户的拓扑结构是否简单，用户应用程序是否简单复杂，是否应该使用标准防火墙，这是决定用户是否使用防火墙用户对网络安全要求的一个基本条件！
即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必要的和必要的；如果用户的应用环境，更复杂的，那么防火墙将能够带来更多的好处，网络防火墙的建设将成为常见的网络的一个组成部分，路由器是保护内部网络的第一道关口，防火墙将第二点，也是最严格的屏障。