外网接入防火墙在先还是路由器在先?那种方式会比较好?
回答·30
最热
最新
- 现在大部分防火墙可以做路由,如果没有,当然是路由在前。最好的方式就最大防火墙上做路由规则。
- 把设备型号写一下参考,具体问题具体分析,也能更好的解答疑问 因为很多公司直接用防火墙做网关了,下接上网行为或者三层等,具体要看实际部署环境、当前已有的设备、跟可能的需求来分析一下
- 这个涉及到网络架构,不是先后的问题,而是功能利用的问题,FW 可以分多 zone 这是共知的,规划要有长远性,比如以后网大了,要分业务区,内网区等,需要 FW 做隔离域,你放出口如何规划?所有最佳方案肯定是路由器在前,负责转发,FW 在后,用于防护与安全域隔离,至于 FW 内侧,放个三层交换机转发,网络隔离,FW 放内侧的弊端就是接口少,这是我的思考,可以参考下。
- 看你是那种防火墙,其次主要防护什么攻击?比如是 ddos 攻击,机房的进出口带宽不是很大,沉余带宽不是很多的话,肯定是光纤接入防火墙再到核心交换机,再到路由器或者分交换机,然后再路由器等。这样的布局一般用电信机房较多。如果机房进出口带宽大,沉余带宽多,一般光纤接入核心交换机,再到防火墙。再到分交换机或者路由器等。 说是网吧或者公司,光纤接入防火墙,再到路由器,再到分交换机。 因为路由器一般承受不了很大的 ddos 攻击流量,所以只能放在中层或者尾层,主要用于管理和监控下面的 pc 机
- 原来一般接路由再接防火墙,现在由于功能升级,需求增加,目前这两种功能全部集成到一种设备了,企业级的基本是防火墙在前,因为设备本身也带了路由功能。相反家用网络或者小型网络,路由在前居多,防火墙则可有可无了。综上所述,如果企业没有特别的需求,防火墙跟路由谁先谁后意义不是很大。有一些企业会做 vpn 隧道,模式单臂路由,但又不用这个设备做接入设备,只用这个设备作为 vpn 隧道转发内网数据,单独使用其他的设备作为网关。 个人认为,防火墙越来越代替路由了,所以你问的这个问题其实深究的意义不是很大,有兴趣可以看看深信服,锐捷设备,看看接入层设备的功能就明白了。
- 看场景吧,小环境怎么弄,影响不大吧,大环境路由器在前防火墙在后吧
- 如果规模大可以考虑一下 wan 汇聚交换机 - 全局负载均衡 - 各功能区防火墙 - edge 计算网络 - 核心防火墙 - 主/辅核心应用网络的方式。这样公网流量先进全局负载后可以按要求分流到各区域网络防火墙,降低防火墙压力,节约防火墙设备成本,有些流量可以直接到边缘计算应用,减少了核心的压力成本相应降低。还方便对不同区域上不同的安全策略。推荐后端部分采用一定的 sdn(如 nsx,vxlan)对网络进行建设,可进一步降低成本。非末端建议 25G 网络起跳,最好上 40G,量大的部分如中间件使用量大 100G 起。明年我这儿的网就要这么改了。哇卡卡卡。。。
- 看情况的,小型企业网络规模小,大多是路由器自带了防火墙,规模大了,一般是路由器做接入转发,防火墙保护内网
- 大型设备看你喜欢拉。先路由器再防火墙到三层交换机一样可以玩。先防火墙再路由器过三层交换机一样能用。你高兴就好!
- 看网络大小,大型网络肯定路由做转发,防火墙做安全防护。