首页 > 安全资讯 >

阿尔法路由器与硬件防火墙简析

12-06-12

说到路由器与防火墙,想必有不少网友都会认为路由器中已经有防火墙了,但今天我们要说的是硬件防火墙,路由器是基于对网络数据包路由而产生的,需要完成的是将不同网络的数据包进行有效的路由,防火墙是基于对安...

 
说到路由器与防火墙,想必有不少网友都会认为路由器中已经有防火墙了,但今天我们要说的是硬件防火墙,路由器是基于对网络数据包路由而产生的,需要完成的是将不同网络的数据包进行有效的路由,防火墙是基于对安全性的需求,数据包是否应该通过、通过后是否会对网络造成危害。
 
一、审计功能  www.2cto.com  
阿尔法路由器本身没有审计分析工具,对日志、事件的描述采用的是单纯的记录,没有存储介质,只能通过采用外部的日志服务器等来完成对日志、事件的存储,对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。
 
二、核心技术
阿尔法路由器核心的ACL列表是基于简单的包过滤,防火墙是基于状态包过滤的应用级信息流过滤,假设内网的一台电脑,通过路由器防火墙对内网提供服务,为了保证安全性,在路由器上需要配置成:外-内只允许client访问server的tcpXX端口,其他拒绝。
阿尔法路由器防火墙不能监测TCP的状态,如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
 
三、根本目的
路由器的根本目的是保持网络和数据通畅,而防火墙根本的的目的是保证任何非允许的数据包不能通过。
四、安全策略
阿尔法路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,出错率比较高,防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
 
五、性能影响  www.2cto.com  
阿尔法路由器是被设计用来转发数据包的,而不是专门设计作为防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器防火墙的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
防火墙的硬件配置非常高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高,对性能的影响接近于零。
 
六、防范攻击
对于像阿尔法这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,大部分路由器防火墙不具有这样的高级安全功能。
用户的网络的情况决定是否应该使用防火墙的标准,如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分。
 
 
 
本文来自于路由人网
相关文章
最新文章
热点推荐