Después de usar el enrutador de la red normalmente, puede implementar algunas funciones de filtrado simples. ¿Podemos entender que el enrutador puede abandonar el firewall? Para el firewall de NetEye y la industria La comparación de seguridad entre los enrutadores CISCO más utilizados y más representativos explica por qué se requiere un enrutador en una red de usuario. Primero, el fondo de los dos dispositivos es diferente del existente. 1 Las causas de los dos dispositivos son diferentes. La generación del enrutador se basa en el enrutamiento de los paquetes de red. Lo que el enrutador debe completar es enrutar efectivamente los paquetes de datos de diferentes redes. En cuanto a por qué la ruta, si debe enrutarse, si existe un problema después de la ruta, etc., no le importa en absoluto. La preocupación es: si los paquetes de datos de diferentes segmentos de red pueden llevarse a cabo. Ruta para la comunicación. Los firewalls son creados por la necesidad de seguridad de las personas. Si el paquete de datos puede llegar correctamente, el tiempo y la dirección de llegada, etc. no son el foco del firewall. El punto clave es si estos (una serie de) paquetes de datos deben pasar o pasar, y si causará daño a la red. 2 El propósito fundamental es diferente El propósito fundamental del enrutador es mantener la red y la "comunicación" de los datos. El propósito subyacente del firewall es asegurar que cualquier paquete no permitido sea "inaccesible". En segundo lugar, la tecnología principal es diferente. La lista de ACL del núcleo del enrutador de Cisco se basa en el simple filtrado de paquetes, desde la perspectiva de la implementación de la tecnología de firewall, el firewall de NetEye se basa en el filtrado de flujo de información a nivel de aplicación a nivel de estado de paquetes. En tercer lugar, la complejidad de la política de seguridad es diferente. La configuración predeterminada del enrutador no es suficiente por consideraciones de seguridad. Se requiere cierta configuración avanzada para lograr cierta defensa contra los ataques. La mayoría de las políticas de seguridad se basan en la línea de comandos, que está orientada a la seguridad. La formulación de reglas es relativamente complicada y la probabilidad de errores de configuración es alta. La configuración predeterminada del firewall NetEye puede prevenir varios ataques y lograr la seguridad de la política de seguridad. La política de seguridad se basa en la herramienta de administración de interfaz gráfica de usuario en idioma chino. La política de seguridad es fácil de configurar, fácil de configurar y baja en la tasa de error. Cuarto, el impacto en el rendimiento Los diferentes enrutadores están diseñados para reenviar paquetes, en lugar de específicamente diseñados como un cortafuegos con todas las funciones, por lo que cuando se usan para el filtrado de paquetes, las operaciones que deben realizarse son muy grandes, en la CPU y la memoria del enrutador. Los requisitos son muy grandes, y debido al alto costo del hardware del enrutador, el costo del hardware de la configuración de alto rendimiento es relativamente grande. La configuración del hardware del firewall NetEye es muy alta (con un chip INTEL de uso general, alto rendimiento y bajo costo), su software también está específicamente optimizado para el filtrado de paquetes, el módulo principal se ejecuta en el modo kernel del sistema operativo, en el momento del diseño. Se presta especial atención a los problemas de seguridad, que tienen un rendimiento muy alto para el filtrado de paquetes. Debido a que el enrutador es un filtro de paquetes simple, la cantidad de reglas para el filtro de paquetes aumenta, la cantidad de reglas de NAT aumenta y el impacto en el rendimiento del enrutador aumenta. El firewall de NetEye utiliza el filtrado de paquetes con estado, la cantidad de reglas y NAT. El efecto del número de reglas en el rendimiento es cercano a cero. V. Diferencias en la fuerza de la función de auditoría El enrutador en sí no tiene ningún medio de almacenamiento para registros y eventos. Solo puede usar servidores de registro externos (como syslog, captura) para completar el almacenamiento de registros y eventos. El enrutador en sí no tiene una herramienta de análisis de auditoría. La descripción de los registros y eventos se encuentra en un lenguaje que no es fácil de entender, los eventos de seguridad incompletos correspondientes del enrutador contra ataques, etc., no pueden producir eventos precisos y oportunos para muchos ataques, análisis y similares. El debilitamiento de la función de auditoría evita que los administradores respondan a los eventos de seguridad de manera oportuna y precisa. Existen dos tipos de medios de almacenamiento de registro para el firewall de NetEye, que incluyen su propio almacenamiento en disco duro y un servidor de registro separado. Para ambos tipos de almacenamiento, el firewall de NetEye ofrece poderosas herramientas de análisis de auditoría, lo que facilita a los administradores el análisis de varias formas de seguridad. Peligro oculto; la respuesta del firewall de NetEye a los eventos de seguridad también se refleja en sus diversos métodos de alarma, incluyendo buzzer, trap, mail y log; el firewall de NetEye también tiene una función de monitoreo en tiempo real, que puede monitorear la conexión a través del firewall en línea. Al mismo tiempo, también puede capturar paquetes de datos para el análisis, no analizar el funcionamiento de la red y proporcionar la comodidad de la red. 6. La capacidad de prevenir ataques es diferente para los enrutadores como Cisco. La versión normal no tiene la función de protección de capa de aplicación y no tiene la función de detección de intrusión en tiempo real. Si necesita tener una función de este tipo, debe actualizar el iOS al conjunto de funciones de firewall. En este momento, no solo se debe incurrir en el costo de la actualización del software, sino también porque estas funciones requieren una gran cantidad de operaciones, se requieren actualizaciones de la configuración del hardware, lo que aumenta aún más el costo, y los enrutadores de muchos fabricantes no tienen funciones de seguridad tan avanzadas. Se puede concluir que: • costo del enrutador con funciones de firewall> firewall + enrutador • función del enrutador con funciones de firewall < firewall + enrutador • escalabilidad del enrutador con funciones de firewall < firewall + enrutador en resumen, se puede derivar Conclusión: la simplicidad y complejidad de la topología de red del usuario y la dificultad de la aplicación del usuario no son los criterios para determinar si se debe usar o no el firewall. Una condición fundamental para determinar si el usuario usa el firewall es la necesidad de seguridad de la red del usuario. Incluso la topología de la red del usuario La estructura y la aplicación son muy simples. Sigue siendo necesario y necesario usar el firewall. Si el entorno y la aplicación del usuario son complejos, el firewall brindará más beneficios. El firewall será una parte indispensable de la construcción de la red. En la red habitual, el enrutador será la primera puerta de enlace para proteger la red interna y el firewall será la segunda puerta de enlace y la más estricta.