路由器的防火牆需要開啟。
低端路由器提供了用於阻止和允許特定IP地址和埠號的基本防火牆功能,並使用NAT來隱藏內部IP地址。它們通常將防火牆功能提供為標準的、為阻止來自Internet的入侵進行了優化的功能;雖然不需要配置,但是對它們進行進一步配置可進一步優化它們的性能。
高端路由器可配置為通過阻止較為明顯的入侵(如 ping)以及通過使用ACL實現其他IP地址和埠限制,來加強訪問許可權。也可提供其他的防火牆功能,這些功能在某些路由器中提供了靜態數據包篩選,比如JCG捷希路由器,便提供了靜態數據包篩選功能。
(1)網路防火牆路由器擴展閱讀
一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
B. 防火牆和路由器有何區別
一、兩種設備產生和存在的背景不同 ①兩種設備產生的根源不同
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。
②根本目的不同
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
二、核心技術的不同
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。
簡單應用介紹:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外->內只允許client訪問 server的tcp 1455埠,其他拒絕。
針對現在的配置,存在的安全脆弱性如下: 1、IP地址欺騙(使連接非正常復位) 2、TCP欺騙(會話重放和劫持)
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
雖然,路由器的「Lock-and-Key」功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。 三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。
由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。
五、審計功能的強弱差異巨大
路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。 NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。 六、防範攻擊的能力不同
對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出:
☆具有防火牆特性的路由器成本——防火牆 + 路由器 ☆具有防火牆特性的路由器功能 ☆具有防火牆特性的路由器可擴展性
綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!
即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
C. 路由器的防火牆可不可以關閉,來提高網速
路由器的防火牆對上網速度基本沒有什麼影響,關閉與否對提高網速基本沒有什麼意義,通常不建議關閉防火牆的。
D. 交換機 路由器 防火牆區別
交換機是一個二層(或三層設備),轉發數據依靠硬體轉發,工作在數據鏈路層。
路由器和防火牆屬於三層設備,工作在網路層,路由器和防火牆都有地址轉換功能,防火牆主要是配置一些策略和安全(小型網路可以當路由器和網路出口來使用)。路由器一般作為一個網路的出口使用,一側連接外網,一側連接內網,是一個網路中不可缺少的主要組成部分。
E. 如果在網路中同時使用防火牆和路由器,它們位置如何安排,為什麼
我個人比較喜歡把路由器放在防火牆以外,就是直接接入外網。
從2種設備的設計角度來說,路由器是傳遞路由條目和互聯子網的作用,防火牆設計是為了加密和安全
從性能分析,路由器在外面的時候即使有動態路由帶來的大量路由條目的時候不會影響到防火牆的性能,防火牆承載路由並轉發大量數據的時候會造成防火牆的性能下降,防火牆就是NAT+ACL,很簡單的安全策略,當然了,這里說簡單只是出於配置的角度來說是簡單的,防火牆內核的演算法非常復雜。
從安全形度來說,路由器是第一層防禦,防禦外網對內網地址的侵略,再加上防火牆的NAT,就是一把雙刃劍,更好的保護你的網路和用戶!
個人意見,僅供參考哦
F. 路由器防火牆有必要開起來嗎
路由器防火牆需要開啟。
防火牆可以使用戶的網路劃規劃更加清晰明了,全面防止跨越許可權的數據訪問,如果沒有防火牆的話,你可能會接到許許多多類似的報告,比如單位內部的財政報告剛剛被數萬個Email郵件炸爛。
一套完整的防火牆系統通常是由屏蔽路由器和代理伺服器組成。
1、屏蔽路由器:
是一個多埠的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和埠號、連接標志以至另外一些IP選項,對IP包進行過濾。
這裡面舉個例子:
一堆人來到一個快要開盤樓盤售樓部買房,售樓小姐先需要對你們進行大概的登記和了解,你是否有正規工作,是否是本市戶口,是否能正常貸款,首付多少、、、,當進行這一系列的問題後,售樓小姐會對來買房的人員進行一個過濾。
2、代理伺服器:
是防火牆中的一個伺服器進程,它能夠代替網路用戶完成特定的TCP/TP功能。一個代理伺服器本質上是一個應用層的網關,網關我們前天講到過,它就是一個關口。
一個為特定網路應用而連接兩個網路的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP,同代理伺服器打交道,代理伺服器要求用戶提供其要訪問的遠程主機名。
當用戶答復並提供了正確的用戶身份及認證信息後,代理伺服器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用於用戶級的認證。
G. 路由,網關,防火牆,協調器這些東西或含義有什麼區別或聯系
路由,是指路由器從一個介面上收到數據包,根據數據包的目的地址進行定向並轉發到另一個介面的過程。路由通常與橋接來對比,在粗心的人看來,它們似乎完成的是同樣的事。它們的主要區別在於橋接發生在OSI參考模型的第二層(數據鏈路層),而路由發生在第三層(網路層)。這一區別使二者在傳遞信息的過程中使用不同的信息,從而以不同的方式來完成其任務。
網關(Gateway)又稱網間連接器、協議轉換器。默認網關在網路層上以實現網路互連,是最復雜的網路互連設備,僅用於兩個高層協議不同的網路互連。網關的結構也和路由器類似,不同的是互連層。網關既可以用於廣域網互連,也可以用於區域網互連接。
網路協調器的主要功能是協調建立網路,其他功能還包括:傳輸網路信標、管理網路節點及存儲網路節點信息,並且提供關聯節點之間的路由信息;此外,網路協調器要存儲一些基本信息,如節點數據設備、數據轉發表及設備關聯表等。
防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網(US5606668(A)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
主要優點:
(1)防火牆能強化安全策略。
(2)防火牆能有效地記錄Internet上的活動。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網路傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
H. 網路安全路由器和硬體防火牆有什麼區別
安全路由器與防火牆的區別
目前市面上的路由器基本都帶有簡單的防火牆功能,不論是消費級還是企業級,可以實現一些諸如包過濾,IP過濾這樣的功能。所以有些用戶就開始質疑硬體防火牆的存
在價值。那麼我們就來詳細的比較一下這兩設備有什麼差別。
一、背景
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網段的數據包進行有效的路由管理,路由器所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個數據包是否應該通過、通過後是否會對網路造成危害。
二、目的
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
三、核心技術
路由器核心的ACL列表是基於簡單的包過濾,屬於OSI第三層過濾。從防火牆
技術實現的角度來說,防火牆是基於狀態包過濾的應用級信息流過濾。
內網的一台伺服器,通過路由器對內網提供服務,假設提供服務的埠為TCP 80。為了保證安全性,在路由器上需要配置成:只允許客戶端訪問伺服器的TCP 80埠,其他拒絕。這樣的設置存在的安全漏洞如下:1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的客戶端和路由器之間放上防火牆,由於防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP
的序列號,則可以徹底消除這樣的漏洞。同時,有些防火牆帶有一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制。
I. 防火牆路由器作用是什麼
防火牆與路由器從功能上看基本相似. 防火牆可以做路由器使用.... 路由器也可以當做防火牆使用... 但從專業的角度來分析.... 路由器做路由最佳路徑時也可以做ACL的包過濾 但如果做的ACL條數較多,路由器延遲會很高.... 如果路由器做ACL大於50條可能會死機..... 防火牆也可以做路由選路,比如雙WAN口的數據轉發...防火牆也要做一定的路由... 但防火牆在做二條網路路由時需要將其中一個ISP作為默認路由來使用.要不防火牆也很卡防火牆一般可以做100條ACL,並且是正常狀態....而路由器50條就能死機... 第二個問題... 路由器與網關的區別你可以把網關認為是路由器...
J. 路由器與防火牆的區別
一、主體不同
1、路由器:是連接兩個或多個網路的硬體設備。
2、防火牆:是通過有機結合各類用於安全管理與篩選的軟體和硬體設備
二、作用不同
1、路由器:在網路間起網關的作用,是讀取每一個數據包中的地址然後決定如何傳送的專用智能性的網路設備。
2、防火牆:幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
三、功能不同
1、路由器:可以分析各種不同類型網路傳來的數據包的目的地址,把非TCP/IP網路的地址轉換成TCP/IP地址,或者反之;再根據選定的路由演算法把各數據包按最佳路線傳送到指定位置。
2、防火牆:及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性。