路由器通常支持前面讨论的一个或者多个防火墙功能;它们可被划分为用于 Internet 连接的低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端口号的基本防火墙功能,并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能提供为标准的、为阻止来自 Internet 的入侵进行了优化的功能;虽然不需要配置,但是对它们进行进一步配置可进一步优化它们的性能。
高端路由器可配置为通过阻止较为明显的入侵(如 ping)以及通过使用 ACL 实现其他 IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
表 2:类别 2 - 路由器防火墙
|
支持的基本功能 |
大多数路由器防火墙都支持静态数据包筛选器。低端路由器通常支持 NAT。高端路由器可能支持状态检查和/或应用程序层筛选。 |
|
配置 |
在低端路由器上通常为自动(带有手动选项)。在高端路由器上通常为手动。 |
|
阻止或允许 IP 地址 |
是 |
|
阻止或允许协议/端口号 |
是 |
|
阻止或允许外来 ICMP 消息 |
是 |
|
控制外出访问 |
是 |
|
应用程序保护 |
可能 |
|
声音或可视警报 |
通常支持 |
|
攻击日志文件 |
在很多情况下支持 |
|
实时警报 |
在很多情况下支持 |
|
VPN 支持 |
在低端路由器中常见,在高端路由器中不常见。存在用于此任务的单独专门设备或服务器。 |
|
远程管理 |
是 |
|
生产商支持 |
通常情况下在低端产品中有限,在高端产品中较好。 |
|
高可用性选项可用 |
低端:否 - 高端:是 |
|
并发会话的数量 |
10 - 1,000 |
|
模块可升级性(硬件或软件) |
低端:否 - 高端:有限 |
|
价格范围 |
从低到高都有 |
路由器防火墙具有下列优点和缺点。
优点
路由器防火墙的优点包括:
| • |
低成本解决方案
激活现有路由器防火墙功能可能不会增加路由器的价格,也不需要附加硬件。 |
| • |
可以整合配置
为正常操作配置防火墙后,路由器防火墙配置就告完成,因此降低了管理工作量。这种解决方案尤其适合于附属的办事处,因为网络硬件和可管理性很简单。 |
| • |
保护投资
操作人员熟悉路由器防火墙的配置和管理,因此不需要再培训。网络连线简单,因为不用安装附加的硬件,同时简化了网络管理。 |
缺点
路由器防火墙的缺点包括:
| • |
功能有限
通常情况下,低端路由器只能提供基本的防火墙功能。高端路由器通常可以提供较高级的防火墙功能,但是需要进行一些较为麻烦的配置,其中很多配置是通过增加控制完成的,而这些很容易忘记,使得正确配置变得较为困难。 |
| • |
仅具有基本控制
配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合。 |
| • |
影响性能
使用路由器作为防火墙会降低路由器的性能,减慢路由功能的速度,而路由功能才是其主要任务。 |
| • |
日志文件性能
使用日志文件获取特殊的活动可能会严重降低路由器的性能,在遭受攻击时更是这样。 | |
当前位置:学院首页>>服务器教程>>防火墙教程>>路由器防火墙
浙ICP备05015070号
相关教程