获得专用的防火墙有什么好处,而不是在路由器上使用ACL和IP检查?
我意识到这可能取决于路由器的版本,某些路由器版本基本上是一个防火墙和单位的路由器?
我会说,他们不是为了做同样的事情而devise的。 ASA具有强大的CPU,因此可以处理大量/非常大/复杂访问列表的数据包。 较新版本的IOS可以进行状态检查,但它是cpu密集型的。
路由器上的ACL(用于IP过滤)最初devise为仅使用短访问列表来过滤networking到networkingstream。 这在ASIC上工作,速度非常快。 今天,你可以做更强大的过滤,但是需要在CPU上完成,而路由器的CPU往往不如防火墙那么强大。
所以我会在处理大量stream量的路由器上使用短ACL,这些ACL将在ASIC上运行。 我会在路由器上使用复杂的ACL(CBAC&cie),只有less量的stream量进行过滤。 但是我会使用ASA来将stream量从一个networking过滤到另一个networking,因为您需要大量且复杂的ACL,这些ACL不会在路由器ASIC上运行,并且会为路由器句柄传递过多的数据包。
有状态的过滤。 路由器ACL(大部分)是无状态的,这是一个皮塔饼。
或者扩大Cian的答案,用适当的防火墙设备,你可以进入并看看传递的数据。
您的常规路由器可以限制源IP,目标IP和端口,这可以帮助您阻止来自/来自诸如此类的端口80上的所有http通信。
但是一个完整的防火墙可以让你看看通过80端口的stream量,并阻止了特定的内容。
我可以例如阻止内容types为“application / x-javascript”或“audio / x-pn-realaudio”的stream量。 所有其他基于HTTP的stream量都可以正常访问,但我的用户将无法下载JavaScript和Real Audio内容。
通过在防火墙本身的病毒扫描程序(大多数制造商目前提供某种基于订阅的产品)来增加数值,防火墙设备可以提供比路由器更多的保护。
如今(甚至是思科的)防火墙不仅仅是一个数据包filter:
如果您需要对VLAN之间的高带宽stream量进行原始数据包过滤,请使用骨干网中的ACL。 但是,如果要将networking连接到另一个networking,则可能需要控制多于第4层。
现在思科正在将路由协议添加到ASA防火墙中,并且less量情况下需要比以太网更好的接口,至less在思科的世界里,使用防火墙代替路由器是非常有吸引力的。
每$的吞吐量更大。
另一方面,用于编写自定义响应的embedded式事件pipe理器正在缩小function的列表,但您还没有得到…。
我一直在为我的安全性和第3层使用ASA5520。我所有的交换机都是第2层。这个环境适用于150-180个用户。 我在后面添加了一个额外的第3层卡,给我ASA总共8个第3层端口。 我正在使用一个棍子路由器的混合。 我有3个专用于VLAN的端口(端口0 vlan 5-50)(端口1 vlan 60-100)。 港口2和3专用于我的主要互联网和SIP互联网主干为我的crapy PBX。
起初我一直怀疑,但实施3年后,它一直是一个摇滚明星。 这个设置节省了我在专用路由器上的花费。 我认为如果我的环境达到200用户标记,我会升级到一个踢三层路由器和核心交换机。 我会保持ASA。