路由器和防火墙这两个词相信大家都经常听到,估计大部分人对于路由器的认知要多一些,而防火墙的认知则少一些,也可以说对于防火墙的认知比较模糊,下面我们就来给大家讲解下路由器和防火的区别有哪些。
路由器是基于网络数据包,和将不同的网络数据包进行有效的路由而产生的。上面的路由是什么,为什么要路由,路由过后会不会出现问题等问题我们不用去知道,我们需要知道的是,路由器能不能将不同的网络数据包进行路由从而实现通讯。
防火墙是,我们在传输数据时,需要对数据的安全进行验证而产生的,数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
路由器的主要功能目的:保持网络和数据的 “通”;
防火墙的功能和目的:保证任何非允许的数据包 “不痛”;
路由器核心的 acl 列表是基于简单的包过滤;
防火墙是基于状态包过滤的应用级信息流过滤。
路由器设计的初衷是用于转发数据包,因为不是专门设计为专业的防火墙的,所以路由器在进行数据包过滤时,需要进行的运算量非常大,对于 cpu 和运行内存的需求和要求很高。由于路由器由于硬件成本高,那么高性能的路由器价格就很高。
防火墙的设计初衷就是主要用于对数据包过滤,进行数据包过滤的性能非常高。同时对硬件配置要求非常高,防火墙的软件对数据包过滤还进行了专业的优化。防火墙主要运行在操作系统的内核模式下,设计的时候还特别考虑了安全问题。
对于思科这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级 ios 为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
由于路由器是简单的包过滤,包过滤的规则条数的增加,nat 规则的条数的增加,对路由器性能的影响都相应的增加,而 neteye 防火墙采用的是状态包过滤,规则条数,nat 的规则数对性能的影响接近于零。