问:为什么路由器需要安装在防火墙的前安面,而不是在其后?有没有什么情况会正好相反? 答:很简单,路由器的速度比防火墙快。路由器是一种相对简单的网络设备,目的只是获取从A点到B 点的数据包。从单位成本来讲,利用路由器处理数据包通常比防火墙分析数据包要便宜。另外,由于端口扫描和其它恶意活动的影响,互联网上存在许多“垃圾”数据包。
考虑到这些问题,大部分企业会选择采用路由器作为第一边界防御,采用简单的规则阻止不想要的流量。例如,如果只接收的外部流量是HTTPS和VPN活动,那么你就可以编写简单的路由器规则,只允许两个端口(或者任何地址)之间的流量,而阻止其他一切流量。这样,防火墙就……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:为什么路由器需要安装在防火墙的前安面,而不是在其后?有没有什么情况会正好相反?
答:很简单,路由器的速度比防火墙快。路由器是一种相对简单的网络设备,目的只是获取从A点到B 点的数据包。从单位成本来讲,利用路由器处理数据包通常比防火墙分析数据包要便宜。另外,由于端口扫描和其它恶意活动的影响,互联网上存在许多“垃圾”数据包。
考虑到这些问题,大部分企业会选择采用路由器作为第一边界防御,采用简单的规则阻止不想要的流量。例如,如果只接收的外部流量是HTTPS和VPN活动,那么你就可以编写简单的路由器规则,只允许两个端口(或者任何地址)之间的流量,而阻止其他一切流量。这样,防火墙就能实现更多的细粒度过滤,例如,决定哪些特定的主机可以接受HTTPS和/或VPN流量;还能进行高级分析,例如状态检测情况和/或应用层过滤等情况。
然而,也有可能规避这种规则。我曾看到一些小型企业采用另外的方法,他们只采用一个防火墙,而完全不安装路由器。在那样的情况下,防火墙在网络中发挥路由器的作用。这种方法最重要的作用是简化了环境,只提供一种必需管理的设备。然而,这种方法不具有可扩展性,随着网络吞吐量增长,成本也会迅速提高。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。
-
怎样正确地测试和维护防火墙?
大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……