防火墙与路由器的区别
防火墙已经成为企业网络建设中的一个关键组成部分。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
具有防火墙特性的路由器功能 < 防火墙 + 路由器
具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
1 包过滤防火墙
优点:
每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙可以识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
缺点:
配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
2.状态/动态检测防火墙
优点:
检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
缺点:
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度
3.应用程序代理防火墙
优点:
指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪***和发生的未授权访问的事件事很有用的。
缺点:
速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用),必须在一定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。
4.NAT
优点:
所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起***。如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络
缺点:
NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的***程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。 注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具有的功能之外也提供了NAT的功能。
5.个人防火墙
优点:增加了保护级别,不需要额外的硬件资源。个人防火墙除了可以抵挡外来***的同时,还可以抵挡内部的***。个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
缺点:
个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。
好了,在上面我们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通信或者是数据传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,数据和通信以及Web站点就会更有安全保障。
防火墙
|
NetScreen208
|
CiscoPIX515E
|
NGFW4000-S
|
NetEye4032
|
核心技术
|
状态检测
|
状态检测
|
核检测
|
状态检测
|
产品类型
|
ASIC硬件
|
硬件设备
|
硬件设备
|
硬件设备
|
工作模式(路由模式、桥模式、混合模式)
|
路由模式、桥模式
|
路由模式、桥模式
|
路由模式、桥模式、
混合模式
|
路由模式、桥模式
|
并发连接数
|
130000
|
130000
|
600000
|
300000
|
网络吞吐量
|
550M
|
170M
|
100M
|
200M
|
最大支持网络接口
|
8个
|
6个
|
12个
|
8个
|
操作系统
|
ScreenOS
|
专用操作系统
|
专用操作系统
|
专用操作系统
|
管理方式
|
串口、CLI、Telnet、Web、GUI
|
串口、Telnet、Web、GUI
|
串口、Telnet、Web、GUI
|
串口、Telnet、GUI
|
市场报价
|
142,000RMB
|
80,000RMB
|
138,000RMB
|
148,000RMB
|
一、什么是互联网OSI模型?
OSI(Open System Interconnection)是指开放式系统互联参考模型。在我们的平常使用的计算机网络中存在众多体系结构,如IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构等。由于体系太多,为了能够解决不同网络之间的互联问题,国际标准化组织制定了这个OSI模型。OSI将网络通信工作分为七层,由高到低依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI模型结构图
二、数据如何各层之间传输?
物理层,数据链路层,网络层属于OSI模型的低三层,负责创建网络通信连接的链路,传输层,会话层,表示层和应用层是OSI模型的高四层,具体负责端到端的数据通信。每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持,而网络通信则可以自上而下(在发送端)或者自下而上(在接收端)双向进行。当然,并不是所有通信都是要经过OSI的全部七层,如物理接口之间的转接,只需要物理层中进行即可;而路由器与路由器之间的连接则只需网络层以下的三层。
三、各层的作用是什么?各自包括哪些就应用?
1.物理层。物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。物理层为上层协议提供了一个传输数据的物理媒体。
属于物理层定义的典型规范包括:EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。
2.数据链路层。数据链路层在不可靠的物理介质上提供可靠的传输。数据链路层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
数据链路层协议的代表包括:SDLC、HDLC、PPP、STP、帧中继等。
3.网络层。网络层负责对子网间的数据包进行路由选择。网络层还可以实现拥塞控制、网际互连等功能。
网络层协议的代表包括:IP、IPX、RIP、OSPF等。
4.传输层。传输层是第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
传输层协议的代表包括:TCP、UDP、SPX等。
5.会话层。会话层管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
6.表示层。表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
7、应用层。应用层为操作系统或网络应用程序提供访问网络服务的接口。
应用层协议的代表包括:Telnet、FTP、HTTP、SNMP等。
四、在各层之间,数据是以什么单位进行传输的?
这个问题比较有意思,数据在各层之间的单位都是不一样的,在物理层数据的单位称为比特(bit);在数据链路层,数据的单位称为帧(frame);在网络层,数据的单位称为数据包(packet);传输层,数据的单位称为数据段(segment)。
转载于:https://blog.51cto.com/yanghuawu/786532
防火墙与路由器的区别相关推荐
- 防火墙和路由器的区别
路由器的特点: 1.保证互联互通 2.按照最长匹配原则算法逐包转发 3.路由协议是核心特性 防火墙的特点: 1.逻辑子网之间的访问控制,关注边界安全 2.基于连接的转发特性 3.安全防范是防火墙的核心 ...
- 扫盲丨交换机、路由器和防火墙到底有啥区别?
[欢迎关注微信公众号:厦门微思网络] 01 交换机--桥接网络设备 在局域网(LAN)中,交换机类似于城市中的立交桥,它的主要功能是桥接其他网络设备(路由器.防火墙和无线接入点),并连接客户端设备(计 ...
- 工业交换机与工业路由器的区别
工业交换机(也叫工业以太网交换机),即应用于工业控制领域的以太网交换机设备,由于采用的网络标准,其开放性好.应用广泛以及价格低廉.使用的是透明而统一的TCP/IP协议,以太网已经成为工业控制领域的主要 ...
- 工业交换机和工业路由器的区别
现如今,随着时代的进步,互联网已成为人们生活中不可或缺的一部分,通常由许多不同类型的计算机网络相互连接而成.如果几个计算机网络在物理上连接在一起,它们之间并不能进行沟通,那么这种"互连&qu ...
- 光猫,交换机和路由器的区别
猫其实是叫调制解调器,它的作用是把电话线的信号转换成数字信号,传给电脑,然后把电脑的数字信号转换成电话信号传送出去,从而实现电脑通过它和电话线上网.下面请看小编为大家带来的光猫和交换机的区别! 光猫和 ...
- 交换机虚拟化和堆叠的区别_企业网络基础EI CCIE设计部署如何理解三层交换和路由器的区别...
点上方蓝字关注公众号,坚持每天技术打卡 学网络,就在IE-LAB 国内最著名的高端网络工程师培养基地 快速了解技术难点网络工程师面试常见问答三层交换和路由器的区别 学习了很长时间的网络技术,但是三层交 ...
- 交换机和路由器的区别在哪里 一针见血通俗解答---土巴兔
相信很多人都会像小编一样傻乎乎的认为这两个都是用来上网的,至于这俩家伙是基友还是情侣,有什么区别的,就不清楚是怎么回事了.交换机和路由器的区别到底在哪里呢?本着科普和学习的精神,小编整理一些内容和大家 ...
- 三层交换机和二层交换机的区别 三层交换机和路由器的区别
二层交换机和三层交换机的区别 二层交换机用于小型的局域网络.这个就不用多言了,在小型局域网中,广播包影响不大,二层 交换机 的快速交换功能.多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案. ...
- 交换机和路由器的区别在哪里
交换机和路由器的区别 主要的区别体现在一下几个方面: 路由器 ** (1)外形上:** 从外形上我们区分两者 交换机通常端口比较多看起来比较笨重, 而路由器的端口就少得多体积也小得多, 实际上右图 ...
- ASA防火墙与路由器R直连且直连能ping通
<GNS3中模拟ASA详细教程>文章评论中第[24楼]飘飘云上的疑惑,见下图: 网址:http://beyondhdf.blog.51cto.com/229452/507425 实验拓扑: ...
最新文章
- JSP页面中实现使用taglib导入库时自动提示(JSTL 库安装)
- 【题解报告】Leecode367. 有效的完全平方数——Leecode每日一题系列
- 阿里云sql监控配置-druid
- 【2016年第6期】专题:科学数据与创新应用
- java泛型中?和T有什么区别
- Zabbix 5.0 监控 SSH 登录
- Setup JIRA Service Desk 3.9.2 on Oracle Linux 6.8
- pycharm 无法安装模块 nothing to show
- js实现地图四级联动
- pdf文件如何在线转换为jpg图片 1
- win7去掉桌面快捷方式小箭头
- 数据库(一)--数据库系统的核心知识点
- Spring In Action 第四版:中文、英文、源码
- SEO文章图片添加水印,批量SEO文章图片去除水印
- 【干货】SSM,Jquery, Bootstrap从零打造一个论坛系统
- golang办公工作流workflow js-ojus/flow包介绍——系列一
- DDN周报 | 6月11日-6月15日
- mat后缀名_mat文件扩展名,mat文件怎么打开?
- Ubuntu18.04修复grub引导
- 直播预告|【芯咖秀▪第六期】MCU热的前因后果以及未来到底如何发展!
热门文章
- BootStrap快速入门
- 【西语】【1】Te amor 我爱你
- 第一次使用拉勾网求职经历
- 基于OXC的光电联动全光网组网方案研究与实践
- ctf web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3
- VM虚拟机 运行UEFI程序
- 耐克官网一直显示无法连接服务器,nikeapp无法连接服务器是什么原因 nikeapp怎么抢鞋子...
- 【调剂】 济南大学机器学习及其应用课题组拟接收计算机硕士(调剂及第一志愿)报考-预宣传...
- openstack云计算平台 1(认证服务、镜像服务)
- php英文星期中文星期,英文星期到星期天【星期一到星期天的英文用中文怎么说。发音标准的来。】...