防火墙与路由器安全配置问题防火墙知识

以下是OMG的小知识汇编防火墙给你,希望你喜欢阅读:


防火墙已经成为企业网络建设的关键环节,但也有不少网友在网络有一个路由器,可以实现一些简单的包过滤功能,所以,我们为什么要使用防火墙NetEye防火墙路由器与业界最广泛使用和在网络用户的安全方面最代表,来解释为什么路由器还需要防火墙。


背景不同于一个或两个设备。


1。这两种设备的根本原因是不同的。


路由器的生成是基于网络数据包的路由,路由器需要完成不同的网络数据包进行有效的路由,为什么要路由、路由和路由等问题之后是否简单地不关心、关心的是:能否对分组的不同段进行路由和通信。


防火墙是对安全性的需求,数据包能否正确到达,到达时间和方向不是防火墙关注的焦点。关键是这一系列的数据包是否应该通过和传递,是否会对网络造成危害。


2。根本目的不同


路由器的基本目的是保持网络和数据通过。


防火墙的基本目的是确保任何不允许的数据包为不可访问。


二、核心技术的差异


Cisco路由器核心的ACL列表是基于简单包过滤的。从防火墙技术的角度来看,NetEye防火墙是应用层的信息流过滤基于状态的包过滤。


以下是最简单的应用:在企业内部网的主机,它提供的服务网络通过路由器(假设提供服务的端口是TCP 1455)。为确保安全,需要在路由器上配置:TCP 1455端口外,它允许客户端访问服务器,是允许和拒绝。


考虑到当前配置,存在如下安全漏洞:


1、IP地址欺骗(使连接异常复位)


2,TCP欺骗(会话重放和劫持)


存在上述问题的原因是,路由器不能监测TCP的状态。如果NetEye防火墙在内网放置客户端和路由器之间,由于NetEye防火墙可以检测TCP的状态,它可以产生TCP序列号了,它可以完全消除这样的脆弱性。同时,该NetEye防火墙的一次性口令认证客户端的功能可以在对应用程序完全透明的实现、用户访问控制、认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行交互操作,可以实现分工的作用。


虽然有锁和键功能,路由器可以通过动态方式访问控制列表,实现用户认证,但路由器需要提供telnet服务的特性,用户也需要到telnet路由器不使用,使用起来很方便,但也不够安全(为黑客开放端口创造机会)。


三。安全策略制定的复杂性是不同的。


路由器的默认配置安全考虑不够,需要一些先进的配置来实现攻击的防范,安全策略大多基于命令行,对于安全规则的制定比较复杂,配置错误概率高。


NetEye防火墙的默认配置可以防止各种攻击。它既安全又安全。安全策略的设计是基于整个中国GUI管理工具。它的安全策略人性化,易于配置,错误率低。


四。对性能的不同影响


路由器是用来传输数据包,而不是专为所有属性作为防火墙,所以对包过滤,该操作需要非常大,对路由器的CPU和内存的需求非常大,但由于其成本比路由器硬件的高性能高,成本相对大的硬件配置。


NetEye防火墙的硬件配置非常高(使用英特尔的芯片,通用的高性能、低成本),该软件已经为包过滤优化,主要模块运行在操作系统内核模式,考虑到安全问题的设计、数据包过滤的性能非常高。


Because the router is a simple packet filtering, packet filtering increases the number of rules, to increase the number of NAT rules, influence on the performance of routers are increased correspondingly, while the NetEye firewall is used in stateful packet filtering, number of rules, the rules of the NAT number of influence on the performance of close to zero.


五。审计职能的强弱是有很大区别的。


路由器本身没有存储介质,事件日志,只有通过使用一个外部的日志服务器(如日志、陷阱等)完成的事件日志,路由器本身没有存储;日志审计分析工具,对事件的描述是不容易理解的语言对应的路由器;攻击和其他安全事件是不完整的,许多攻击,扫描操作不产生准确及时的事件。对审计功能的弱化使管理员无法做出及时准确的安全事件。


NetEye防火墙的日志存储介质有两种,包括硬盘存储,和一个单独的日志服务器;两种存储,NetEye防火墙审计提供了一个有力的分析工具,管理员可以很容易地分析各种安全隐患;针对NetEye防火墙对安全事件的及时,也体现在报警了各种方式,包括蜂鸣器、陷阱、邮件、日志;NetEye防火墙还具有实时监控功能,在线监测可以通过防火墙的连接,而且还可以捕获的数据包进行分析,对网络运行分析、网络故障诊断提供了一个方便的。


六,防范进攻的能力是不同的。


如Cisco路由器,普通版没有的应用层保护功能,没有实时入侵检测等功能,如果你需要有这样的功能,你需要升级IOS防火墙特性集,此时不仅要承担软件升级费用,同时由于这些功能是为大量的业务我们也需要硬件配置升级的需要,进一步增加了成本,但不与先进的安全所以许多厂商的路由器,可以得出的结论是:


路由器成本>防火墙+路由器具有防火墙特性


具有防火墙功能的路由器功能:防火墙+路由器


具有防火墙特性的路由器可伸缩性>防火墙+路由器


综上所述,我们可以得出这样的结论:网络用户的拓扑结构是否简单,用户应用程序是否简单复杂,是否应该使用标准防火墙,这是决定用户是否使用防火墙用户对网络安全要求的一个基本条件!


即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必要的和必要的;如果用户的应用环境,更复杂的,那么防火墙将能够带来更多的好处,网络防火墙的建设将成为常见的网络的一个组成部分,路由器是保护内部网络的第一道关口,防火墙将第二点,也是最严格的屏障。


谢谢收看