我们一华三的防火墙放在路由器的后面好呢?还是放在路由器的前面好呢?如果放在路由器的后面以桥接的模式接入那么它的三层或以上的策略是不是弱好多或者说就实现不不了三层以上的策略配置?
看你是要将路由器作为内网出口,还是防火墙做为内网出口,当然两种做法没有什么太大的区别,例如,你用路由器做出口,下挂防火墙,那么外网线就连接在路由器上,启用NAT的肯定是路由器,因为路由器以下都是属于内网,不需要在路由器和防火墙之间在额外配置外网地址.如果用防火墙做出口,也是一样的..
从2种设备的设计角度来说,路由器是传递路由条目和互联子网的作用,防火墙设计是为了加密和安全.
从性能分析,路由器在外面的时候即使有动态路由带来的大量路由条目的时候不会影响到防火墙的性能,防火墙承载路由并转发大量数据的时候会造成防火墙的性能下降,防火墙就是NAT+ACL,很简单的安全策略,当然了,这里说简单只是出于配置的角度来说是简单的,防火墙内核的算法非常复杂。
从安全角度来说,路由器是第一层防御,防御外网对内网地址的侵略,再加上防火墙的NAT,就是一把双刃剑,更好的保护你的网络和用户!
第2种应该是没有那么用的.至少这么多年我没见过!因为路由是转网段的,也就是作为网关的,如果前面还有个防火墙就需要也有公网IP了,(防火墙也有路由功能),那它后面的路由器没有任何意义了!
你说的应该硬件防火墙吧
第一种是因为只利用路由器做网关,防火墙用透明模式,这样的好处是提高各自的性能,而第3种就需要防火墙的性能高一些了,它既要做过滤也要转路由,这2种的应用都很多...(希望您能采纳)
那防火墙以二层模式(透明)接进内网,那它的三层安全策略是不是弱好多,或者说就实现不了了?
追答嗯!