路由器/防火墻使用總結(jié)
- 一般中小型單位 互聯(lián)網(wǎng)出口使用防火墻,簡(jiǎn)單實(shí)用,功能多還便宜。(或UTM、行為管理、負(fù)載均衡、廣域網(wǎng)優(yōu)化、多業(yè)務(wù)路由器等設(shè)備都可以,基本都是功能多合一)
- 特定行業(yè)內(nèi)網(wǎng)出口 必須用路由器,政策要求和業(yè)務(wù)需要,如公安/法院/金融等。
- 大型網(wǎng)絡(luò)防火墻和路由器分開(kāi),如果都用防火墻,性能可能扛不住。其實(shí)現(xiàn)實(shí)中很多中小型網(wǎng)絡(luò)也習(xí)慣路由器和防火墻分離,術(shù)業(yè)有專(zhuān)攻,前者負(fù)責(zé)NAT,后者負(fù)責(zé)安全。
下面只討論路由器和防火墻都存在的環(huán)境,如何部署
前文已經(jīng)給大家分析過(guò),很多網(wǎng)絡(luò)出口既有路由器,還有防火墻,路由器負(fù)責(zé)路由、NAT等基礎(chǔ)功能,防火墻負(fù)責(zé)應(yīng)用層安全檢測(cè)。會(huì)存在如下兩種部署架構(gòu),如何選擇呢?
兩種部署方案
其實(shí)最早網(wǎng)絡(luò)用的基本是:第一種架構(gòu)。原因很簡(jiǎn)單,當(dāng)年以太網(wǎng)還沒(méi)這么流行,廣域網(wǎng)接口有ATM、POS、E1、T1等各種五花八門(mén)的接口,這些接口防火墻都不支持,只能接在路由器上。
隨著時(shí)代發(fā)展,運(yùn)營(yíng)商網(wǎng)絡(luò)由SDH過(guò)渡到MSTP平臺(tái),以太網(wǎng)接入開(kāi)始普及,使用第二種架構(gòu)也無(wú)可厚非了。
但是實(shí)際項(xiàng)目中,我們發(fā)現(xiàn),80%還是使用第一種架構(gòu),為什么呢?原因有幾點(diǎn):
- 第一種架構(gòu) 出口路由器部署NAT,路由器以下都可以使用私網(wǎng)IP,也就是只需要路由器一個(gè)公網(wǎng)IP就能搞定,在這個(gè)公網(wǎng)IP緊缺的年代,非常受用。
- 防火墻一般會(huì)旁?huà)旆?wù)器,即DMZ區(qū)域,采用第一種架構(gòu),服務(wù)器在私網(wǎng)IP域,相對(duì)安全。黑客攻擊首先需要穿透路由器的NAT,還需繞過(guò)防火墻的檢測(cè)。
典型網(wǎng)絡(luò)架構(gòu)參考(中小型網(wǎng)絡(luò)只有防火墻的案例太多,沒(méi)羅列)
某省審計(jì)網(wǎng)絡(luò)架構(gòu)
某物聯(lián)網(wǎng)中心網(wǎng)絡(luò)架構(gòu)
某省電子政務(wù)外網(wǎng)架構(gòu)
某市電子政務(wù)外網(wǎng)架構(gòu)
某國(guó)內(nèi)頂尖高校校園網(wǎng)架構(gòu)
某教育城域網(wǎng)網(wǎng)絡(luò)架構(gòu)
