路由器 防火墙(路由器与防火墙谁应当安排在最外面?)
路由器/防火墙应用总结
一般中小型单位 互联网出口应用防火墙,简略适用,功效多还廉价。(或UTM、行动管理、负载均衡、广域百思特网网优化、多业务路由器等装备都可以,根本都是功效多合一)
特定行业内网出口 必需用路由器,政策请求和业务须要,百思特网如公安/法院/金融等。
大型网络防火墙和路由器离开,如果都用防火墙,性能可能扛不住。其实现实中很多中小型网络也习惯路由器和防火墙分别,术业有专攻,前者负责NAT,后者负责安全。
下面只讨论路由器和防火墙都存在的环境,如何安排
前文已经给大家剖析过,很多网络出口既有路由器,还有防火墙,路由器负责路由、NAT等基本功效,防火墙负责运用层安全检测。会存在如下两种安排架构,如何选择呢?
两种安排计划
其实最早网络用的根本是:第一种架构。原因很简略,当年以太网还没这么风行,广域网接口有ATM、POS、E1、T1等各种五花八门的接口,这些接口防火墙都不支撑,只能接在路由器上。
随着时期发展,运营商网络由SDH过渡到MSTP平台,以太网接入开端普及,应用第二种架构也无可厚非了。
但是实际项目中,我们发明,80%还是应用第一种架构,为什么呢?原因有几点:
第一种架构 百思特网出口路由器安排NAT,路由器以下都可以应用私网IP,也就是只须要路由器一个公网IP就能搞定,在这个公网IP紧缺的年代,非常受用。
防火墙一般会旁挂服务器,即DMZ区域,采取第一种架构,服务器在私网IP域,相对安全。黑客攻击首先须要穿透路由器的NAT,还需绕过防火墙的检测。
典范网络架构参考(中小型网络只有防火墙的案例太多,没罗列)
某省审计网络架构
某物联网中心网络架构
某省电子政务外网架构
某市电子政务外网架构
某国内顶尖高校校园网架构
某教导城域网网络架构