網(wǎng)絡(luò)出口應(yīng)該選擇路由器還是防火墻

隨著技術(shù)的發(fā)展，路由器和防火墻很多功能已經(jīng)重疊，大家都支持，比如：路由功能（靜態(tài)路由/RIP/OSPF/BGP等）、NAT、ACL、DHCP等等。那么網(wǎng)絡(luò)出口究竟選擇路由器還是防火墻呢？

術(shù)業(yè)有專(zhuān)攻

防火墻：本質(zhì)是安全設(shè)備，雖然集成了很多路由功能，但很多路由器高級(jí)功能它也無(wú)能為力，比如MPLS VPN、MPLS TE。多業(yè)務(wù)接入，比如運(yùn)營(yíng)商甩過(guò)來(lái)的是ATM、POS線(xiàn)路。

路由器：現(xiàn)在路由器也集成了部分防火墻的基礎(chǔ)安全功能，但重點(diǎn)還是在路由，MPLS VPN/TE、廣域網(wǎng)優(yōu)化等還是防火墻無(wú)可替代的功能，而且表項(xiàng)更加豐富，能支持超大規(guī)模網(wǎng)絡(luò)。

路由器防火墻應(yīng)用場(chǎng)景分析

1. 一般中小型企業(yè)、政府政務(wù)外網(wǎng)、中小學(xué)等網(wǎng)絡(luò)出口都會(huì)選擇防火墻，簡(jiǎn)單省事，性能要求不高，買(mǎi)一臺(tái)設(shè)備啥功能都有（現(xiàn)在主流都是下一代防火墻，集成防火墻、行為管理、負(fù)載均衡、流量控制、VPN等各種功能）

中小型網(wǎng)絡(luò)使用防火墻出口較多

2. 特定行業(yè)出口必須選擇路由器，比如公安內(nèi)網(wǎng)、電子政務(wù)內(nèi)網(wǎng)、法院/檢察院內(nèi)網(wǎng)（第一是政策要求，第二是為了實(shí)現(xiàn)對(duì)等通信，比如公安內(nèi)網(wǎng)里面，要求公安部能夠訪(fǎng)問(wèn)到最底層的民警，嚴(yán)禁在網(wǎng)絡(luò)內(nèi)部接入防火墻，如果中間加些防火墻，很多流量就被干掉了）

特定行業(yè)/網(wǎng)絡(luò) 出口必須使用路由器

3. 大型企業(yè)/高校校園網(wǎng) 網(wǎng)絡(luò)出口基本也使用路由器，專(zhuān)門(mén)負(fù)責(zé)路由、NAT功能，一般也會(huì)部署防火墻，專(zhuān)門(mén)負(fù)責(zé)安全功能，術(shù)業(yè)有專(zhuān)攻?。ㄆ鋵?shí)很多中小單位也是這張架構(gòu)，可能防火墻/路由器都是2臺(tái)冗余，出口多運(yùn)營(yíng)商多鏈路）

大型網(wǎng)絡(luò) 路由器與防火墻并存（術(shù)業(yè)有專(zhuān)攻）

運(yùn)營(yíng)商/公安/金融骨干網(wǎng)設(shè)備都是運(yùn)營(yíng)商，參考圖片如下：

中國(guó)電信Chinanet 骨干節(jié)點(diǎn)都是高端路由器

路由器/防火墻使用總結(jié)

一般中小型單位 互聯(lián)網(wǎng)出口使用防火墻，簡(jiǎn)單實(shí)用，功能多還便宜。（或UTM、行為管理、負(fù)載均衡、廣域網(wǎng)優(yōu)化、多業(yè)務(wù)路由器等設(shè)備都可以，基本都是功能多合一）

特定行業(yè)必須用路由器，政策要求和業(yè)務(wù)需要。

大型網(wǎng)絡(luò)防火墻和路由器分開(kāi)，如果都用防火墻，性能可能扛不住。其實(shí)現(xiàn)實(shí)中很多中小型網(wǎng)絡(luò)也習(xí)慣路由器和防火墻分離，術(shù)業(yè)有專(zhuān)攻！