路由器与防火墙 谁应该部署在最外面 ?
有朋友问到关于路由器与防火墙的应用与区别,这里面我们推荐一篇文章,一起可以来学习下,了解他们的区别与应用。路由器/防火墙使用总结
[*]一般中小型单位 互联网出口使用防火墙,简单实用,功能多还便宜。(或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以,基本都是功能多合一)
[*]特定行业内网出口 必须用路由器,政策要求和业务需要,如公安/法院/金融等。
[*]大型网络防火墙和路由器分开,如果都用防火墙,性能可能扛不住。其实现实中很多中小型网络也习惯路由器和防火墙分离,术业有专攻,前者负责NAT,后者负责安全。
下面只讨论路由器和防火墙都存在的环境,如何部署前文已经给大家分析过,很多网络出口既有路由器,还有防火墙,路由器负责路由、NAT等基础功能,防火墙负责应用层安全检测。会存在如下两种部署架构,如何选择呢?http://pb3.pstatp.com/large/pgc-image/4d9a8c8f2b26441f82618451f150a886
两种部署方案
其实最早网络用的基本是:第一种架构。原因很简单,当年以太网还没这么流行,广域网接口有ATM、POS、E1、T1等各种五花八门的接口,这些接口防火墙都不支持,只能接在路由器上。
随着时代发展,运营商网络由SDH过渡到MSTP平台,以太网接入开始普及,使用第二种架构也无可厚非了。
但是实际项目中,我们发现,80%还是使用第一种架构,为什么呢?原因有几点:
[*]第一种架构 出口路由器部署NAT,路由器以下都可以使用私网IP,也就是只需要路由器一个公网IP就能搞定,在这个公网IP紧缺的年代,非常受用。
[*]防火墙一般会旁挂服务器,即DMZ区域,采用第一种架构,服务器在私网IP域,相对安全。黑客攻击首先需要穿透路由器的NAT,还需绕过防火墙的检测。
典型网络架构参考(中小型网络只有防火墙的案例太多,没罗列)http://pb3.pstatp.com/large/pgc-image/1936caa9cde04e8d9aa2c5cda392ef35
某省审计网络架构
http://pb3.pstatp.com/large/pgc-image/552248a34ded458ea7aea3494e0634cd
某物联网中心网络架构
http://pb3.pstatp.com/large/pgc-image/c6d99282b82d477d81d639b8f47785ca
某省电子政务外网架构
http://pb3.pstatp.com/large/pgc-image/8417b3aabcab4ab995165c5100b3a0b0
某市电子政务外网架构
http://pb3.pstatp.com/large/pgc-image/2d4326f6703046548aad392fddeaad03
某国内顶尖高校校园网架构
http://pb3.pstatp.com/large/pgc-image/700be34335ac44cfbe764c31a133dcba
某教育城域网网络架构
http://pb3.pstatp.com/large/pgc-image/01d592d8b2db4c59b4a2759f96ec9d7f
无私奉献,好工控人,32个赞送给你!! 楼主您的技术水准,我最服你,其他都是浮云 来凑个热闹,为楼主增加点人气! 这波反向操作,我属实没想到! 浅蹲一个后续,楼主更新踢我一下 学到了学到了,这波分享太实用啦! 来凑个热闹,增加点人气~ 路过打卡,为优质内容疯狂打 call 楼主太会说了,字字句句都在理~
页:
[1]
2