路由器/防火牆使用總結
- 一般中小型單位 互聯網出口使用防火牆,簡單實用,功能多還便宜。(或UTM、行為管理、負載均衡、廣域網優化、多業務路由器等設備都可以,基本都是功能多合一)
- 特定行業内網出口 必須用路由器,政策要求和業務需要,如公安/法院/金融等。
- 大型網絡防火牆和路由器分開,如果都用防火牆,性能可能扛不住。其實現實中很多中小型網絡也習慣路由器和防火牆分離,術業有專攻,前者負責NAT,後者負責安全。
下面隻讨論路由器和防火牆都存在的環境,如何部署
前文已經給大家分析過,很多網絡出口既有路由器,還有防火牆,路由器負責路由、NAT等基礎功能,防火牆負責應用層安全檢測。會存在如下兩種部署架構,如何選擇呢?
兩種部署方案
其實最早網絡用的基本是:第一種架構。原因很簡單,當年以太網還沒這麼流行,廣域網接口有ATM、POS、E1、T1等各種五花八門的接口,這些接口防火牆都不支持,隻能接在路由器上。
随着時代發展,運營商網絡由SDH過渡到MSTP平台,以太網接入開始普及,使用第二種架構也無可厚非了。
但是實際項目中,我們發現,80%還是使用第一種架構,為什麼呢?原因有幾點:
- 第一種架構 出口路由器部署NAT,路由器以下都可以使用私網IP,也就是隻需要路由器一個公網IP就能搞定,在這個公網IP緊缺的年代,非常受用。
- 防火牆一般會旁挂服務器,即DMZ區域,采用第一種架構,服務器在私網IP域,相對安全。黑客攻擊首先需要穿透路由器的NAT,還需繞過防火牆的檢測。
典型網絡架構參考(中小型網絡隻有防火牆的案例太多,沒羅列)
某省審計網絡架構
某物聯網中心網絡架構
某省電子政務外網架構
某市電子政務外網架構
某國内頂尖高校校園網架構
某教育城域網網絡架構
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
