谁更安全？黑客眼中的防火墙与路由器 （1）

　　防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的Cisco路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。

　　一、两种设备产生和存在的背景不同

　　1、两种设备产生的根源不同

　　路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

　　防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

　　2、根本目的不同

　　路由器的根本目的是:保持网络和数据的“通”。

　　防火墙根本的的目的是:保证任何非允许的数据包“不通”。

　　二、核心技术的不同

　　Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，NetEye防火墙是基于状态包过滤的应用级信息流过滤。

　　下图是一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性，在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口，其他拒绝。

　　针对现在的配置，存在的安全脆弱性如下:

　　1、IP地址欺骗(使连接非正常复位)

　　2、TCP欺骗(会话重放和劫持)

1 2 3 下一页>>