【IT168 专稿】如今在企业网络的安全防范措施中，硬件级的防火墙以及从路由器端实施防护是最主要的方式。然尔也就因此，不少企业用户在困惑：路由器是企业网络的必需设备，自身带有功能不俗的安全防护功能，为何还要使用价格不菲的硬件防火墙呢？
其实这是对这两类设备在功能上的误解，路由器与防火墙都有各自的功能重点，从网络安全的保障力度上来说，自然是硬件防火墙占上风；但对于一般办公网络来说，采用路由器来实施安全防护也不失为一种解决方案。下面就分别来看看这两类设备在网络安全中所能起到的作用。

    一、路由器
    路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心；其根本目的是保持网络和数据的“通”。

    1．安全防护分析
    在安全的防范方面，路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用（比如路由器内置的防火墙功能、域名过滤功能、MAC地址过滤功能等）；安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，因此配置出错的概率较高。(l图一)

    路由器安全配置界面

    另外，在路由器中配置一些企业网络的扩展应用时（比如配置Internet用户可以访问内部网络资源时，需要打开相应的端口），也容易造成一些安全隐患。

    2．适用环境分析
    路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，因此在功能界定上就不太适合用于保障企业网络的安全。而且由于在进行包过滤时，对路由器的CPU和内存的需要都非常大，如果还兼具安全防护功能，有可能得不偿失，不管是路由还是安全防护都失去作用。在普通家庭环境中，从宽带路由器开启防火墙功能，然后在电脑中安装防病毒软件即可达到安全乘飞机目的；而在企业网络环境中，路由器的应用范围要更小一些，让其专注于保持网络和数据的“通”，才是发挥其最大功效的理想决定。

    二、硬件防火墙
    硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担使路由更稳定。硬件防火墙是保障内部网络安全的一道重要屏障。
    1．安全防护分析
    硬件防火墙通过单独的硬件来执行任务，数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，它关心的是这个数据包是否应该通过、通过后是否会对网络造成危害。在网络用户的认证方面，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。(图二)

    硬件防火墙产品

    另外，相比路由器来说，防火墙的默认配置既可以防止各种攻击，达到既用既安全；同时其安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单而且出错率低。最后就是对网络运行的监控能力了。路由器本身并没有日志、事件的存储介质，需要通过另外的事件工具来辅助完成，而且监控性能也一般；而防火墙由于是较为专业的安全产品，因此监控功能比较强大，可方便网络管理员对大多数的攻击事件做出准确的响应。

    2．适用环境分析
不少防火墙产品都具备较为完善的用户认证、网络访问策略，而且在网络日志的记录、入侵事件的监测等方面都较为专业；如果把路由器看作了保护内部网的第一道关口，那防火墙就是第二道关口，也是最为严格的一道关口。因此不管是企业网络拓扑结构简单还是复杂，防火墙都可广泛使用于各类网络环境中，并对经过路由器的所有数据进行高效的安全识别。

    三、联合综述路由器与防火墙作用位置
    之所以会出现本文开头时提及的路由器和防火墙的应用困惑，笔者认为主要是由于网络的应用范围以及投入成本的不同引起的。由于防火墙本身配置较高、价格较贵，因此对于一般家庭用户以及对安全性要求不高的小型办公网络来说，使用一款配置较好、提供较多安全配置功能的路由器即可。(图三)

    路由器与防火墙作用位置

    而对企业数据较敏感的企业网络来说，路由器本身就要处理大量的数据转发，让其兼做安全防护肯定力不从心，而且安全性也不高；而如果加装防火墙，一方面可缓减路由器的处理压力，另一方面也从硬件级保障了企业网络的安全，毕竟路由器所能实现的，也是“软件”级的安全防护。