只是一只鱼
路由器,以企业级宽带路由器来说,它其实是NAT网关和内网路由器的结合体,一般来说它是比较开放的,也就是说默认情况下联通方面的功能是打开的,而简易防护功能(简易防火墙)是关闭的。默认值基本都是允许通过。经过很简单的配置就能做为网络的网关使用。
NAPT的规则是多内部地址对应使用一个合法的公网地址,NAPT将一个中小型私有网络隐藏在一个合法IP的后面。如果企业只存在这一种NAT使用方法,相对来说这种路由器就是一台天然防火墙。因为只能从私网内部发起链接。从外面发起的链接,是不能直接进去私网的,路由器会忽略这种链接。当然这种路由器具备一定的防dos攻击还是有点用的。
NAPT这种纯粹的使用环境在中小企业中比较常见,使用企业级路由器(带点基础防护功能)还是够用的。如果企业需要使用其他NAT的功能,比如将内网的一台服务器完全映射到公网的一个IP,典型叫法是DMZ非军事区,其实叫“不安全区”更贴切,也就是这台服务器的所有端口通过网关直接暴露在外网上!有这种需求的中小企业建议不要随意使用DMZ功能。只对需要开放的端口进行映射,也就是使用网关的端口映射功能,比如只开放公网IP的80口到私网HTTP服务器上,避免很多安全隐患。
另外还有一种传统网间路由器,他一般存在于公网、教育网等中大型网络中,承担的是大型网段间的数据包传递工作和通过路由协议传递整个网络的路由路径。一般是不做特殊限制的,想做也是可以的,有ACL访问控制策略。
目前市面上主流防火墙一般具有两种模式,网闸(路由)模式和透明模式。
网闸模式也就是网关的升级版,也可以说是企业级宽带路由器的升级版。它的配置和宽带路由器的配置刚好相反。防火墙是封闭式的,也就是默认什么都不通。你要手动指定端口是内网口还是外网口,然后手动设置内网口能访问外网口(制定访问策略)。你需要一个功能就必须做一项配置。开放一个内部Http服务器到公网,你就需要制定一个允许外网访问某内部IP:80端口的策略!
透明模式是指防火墙没有IP,不路由两个网络的数据包。平时当隐形人,只听不干,只有出现非法数据包时,才出手截断。理论上可以架设在网络任何位置,用来保护它身后的网络主机!
中大型企业预算充足,有专业网络管理人员的优先考虑使用专业防火墙。
——由此我们可以看出:
主流防火墙完全胜任NAT场景下宽带路由器的角色,在安全方面做的比宽带路由器做的更好。中大型企业完全可以在条件允许的情况下,用防火墙替代宽带路由器;
主流防火墙受功能限制只能作为小型网络的网间路由器(非NAT环境),不能作为中大型网络的网间路由器。
龙哥at智能化工程
一般防火墙都支持静态路由,有的也支持动态路由,因此满足基本路由功能是没问题,但作为高级路由,尤其是一些策略路由,以及互联网以不同网络(如xDSL, E1, ATM,以太网)技术连接的时候,大部分防火墙就不具备。
壹云小壹
可以的 一般防火墙 默认不转发 配置允许的转发 路由刚好相反 默认全部nat 配置不允许的
飞燕惊龙
当然可以,只是如果网络复杂,wan口较多,路由协议复杂就不行了,而且,一些路由器也可以当防火墙使
