【干货】防火墙 VS 路由器，谁才是网络出口比较好的选择？

随着技术的发展，防火墙和路由器很多功能已经重叠，比如：路由功能（静态路由/RIP/OSPF/BGP等）、NAT、ACL、DHCP等等。 那么网络出口究竟选择防火墙还是路由器呢？ 防火墙 本质是安全设备，虽然集成了很多路由功能，但很多路由器高级功能它也无能为力，比如MPLS V.P.N、MPLS TE。多业务接入，比如运营商甩过来的是ATM、POS线路。 路由器 现在路由器也集成了部分防火墙的基础安全功能，但重点还是在路由，MPLS V.P.N/TE、广域网优化等还是防火墙无可替代的功能，而且表项更加丰富，能支持超大规模网络。 下面看几个具体的场景，来看看这些场景下，如何选择防火墙和路由器的才是最佳的选择？ 场景一 一般中小型企业、政府政务外网、中小学等网络出口都会选择防火墙，简单省事，性能要求不高，买一台设备啥功能都有（现在主流都是下一代防火墙，集成防火墙、行为管理、负载均衡、流量控制等各种功能） 中小型网络使用防火墙出口较多，拓扑如图所示：

场景二 特定行业出口必须选择路由器，比如电子政务内网、法院/检察院内网。 第一，政策要求，必须用路由器； 第二，业务需要，比如电子政务需要跑MPLS V.P.N，防火墙不支持； 第三，为了实现对等通信，比如公安内网里面，要求公安部能够访问到最底层的民警，严禁在网络内部接入防火墙，如果中间加些防火墙，很多流量会被莫名其妙干掉，比如视频会议不通，现在部分地区也在接入防火墙，早些年管控非常严格。 特定行业/网络 出口必须使用路由器，拓扑如图所示：

场景三 大型企业/高校校园网网络出口使用路由器，专门负责路由、NAT功能，也会部署防火墙，专门负责安全功能，各司其职，术业有专攻！（其实很多中小单位也是这种架构，可能防火墙/路由器都是2台冗余，出口多运营商多链路） 大型网络路由器与防火墙并存（术业有专攻）

运营商/公安/金融骨干网节点全是路由器，中国电信Chinanet 骨干节点也是高端路由器，拓扑图如下：

结论

• 中小型单位互联网出口推荐使用防火墙，简单实用，功能多还便宜。（或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以，功能多合一）
• 特定行业必须用路由器，政策要求和业务需要。
• 大型网络会同时使用防火墙和路由器，如果只用防火墙，性能可能扛不住。

---END--- 重磅！网络工程师笔记-技术交流群已成立 后台回复 加群 可添加小编微信，申请进群。 一定要备注：工种+地点+学校/公司+昵称（如网络工程师+南京+华三），根据格式备注，可更快被通过且邀请进群