有一个专门的防火墙,而不是在路由器上build立防火墙的安全有什么好处? 谢谢。
我想你的意思是防火墙是一个基于硬件的防火墙,而不是像Linux中的netfilter这样的基于软件的防火墙。
大多数(如果不是所有的话)路由器都支持某种types的可以充当防火墙的访问控制列表(ACL)。 专用硬件防火墙更好,因为它们function更强大(可处理更多stream量),并支持状态检查,并可具有更多高级function,如攻击检测(IDS / IPS)。 最后,这取决于您的要求和所选的硬件。
这很大程度上取决于有问题的路由器。 例如,Cisco Catalyst交换机中的ASA服务模块具有比一些低端专用防火墙更多的function。 但是,那么这里的观点是“ 刀片是专门的防火墙吗? ”
专用硬件通常会为防火墙angular色提供更好的function,并包含其他外围服务,如:
还有一个强有力的理由要让专用的设备处理你的外围连接:如果外部攻击拿走你的边界设备,唯一影响到你的networking的是连接到外部世界。
如果您可以在路由器中指定angular色,则不会有真正的安全优势。 但是不要将ACL与防火墙混淆。
一个单独的防火墙是更好的,因为那么你的路由器只需要使用它的资源来路由,而你的防火墙用他自己的资源做了一点。 如果你把这两台机器放在一台机器上,他们将共享资源,当事情变糟时(DDoS),可以开始占用资源。
另外一个单独的防火墙有时也会有像IDS,深层数据包检测等更好的function。
购买防火墙时的另一个提示,不要看带宽,而是询问它可以处理多less个数据包。 通常他们宣传1 Ggit的高带宽,但这是在64 KB的数据包计算。 所以如果有人想攻击你,他们只需要发送大量的4 KB数据包,这将使你的吞吐量达到尖锐的停顿。
专用防火墙的一个关键优势是,特别是如果你的防火墙设置路由器是一套手工制作的iptables规则(就像我的)一样简单的pipe理和可维护性。 这不是一个直接的安全利益,但任何保证安全less麻烦的东西是在这方面的间接,但量化的好处。
另外专用的防火墙往往不仅仅是包过滤,而且还有更好的防火墙可以提供某些types的DoS防护,更高级的数据包检测选项(通过TCP端口80连接到真正的HTTPstream?)等等。
虽然有些路由器也提供这种function集,但您通常会发现它们不如专为这项工作而devise的专用防火墙 – 例如,您可能会惊讶于复杂的数据包检测规则需要多lessCPU时间,以及专用的防火墙(通过更快的CPU和/或专用专用芯片中的某些逻辑加速)来保持100Mbit或甚至Gbit线路的饱和处理能力,其中仅具有防火墙function的路由器(特别是“消费级”路由器)可能不会。
把路由器和防火墙想象成与攻击者分开的防线。 两个比一个好
把防火墙想象成一个让所有的东西在信息被“清理”之前(因为那是什么数据)转移到下一个传输阶段的地方。
如果你能处理速度的轻微下降,那么你的networking安全就build立在老式的商店和前进的理念之上。 包括电子邮件在内的所有内容都暂时存储在防火墙上,AV在转发到目标(内部或外部)之前进行检查,