路由器是干什么用的

篇一：路由器里的防火墙有什么作用

防火墙已经成为企业网络建设中的一个关键组成部分。 但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。

一、两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。

防火墙根本的的目的是:保证任何非允许的数据包“不通”。

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp1455)。为了保证安全性，在路由器上需要配置成:外-〉内只允许client访问 server的tcp1455端口，其他拒绝。

针对现在的配置，存在的安全脆弱性如下:

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)

存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则

可以彻底消除这样的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。虽然，路由器的Lock-and-Key功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全(开放的端口为黑客创造了机会)。

三、安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。

防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。

四、对性能的影响不同

路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高(采用通用的INTEL芯片，性能高且成本低)，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。

由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。

五、审计功能的强弱差异巨大

路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器(如syslog，trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

六、防范攻击的能力不同

对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，

进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

·具有防火墙特性的路由器成本 > 防火墙 + 路由器

·具有防火墙特性的路由器功能 < 防火墙 + 路由器

·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

综上所述，可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。

篇二：宽带路由器是什么,有哪些功能作用？

宽带路由器是什么,有哪些功能作用？

宽带路由器是什么？

宽带路由器是近几年来新兴的一种网络产品，它伴随着宽带的普及应运而生。宽带路由器在一个紧凑的箱子中集成了路由器、防火墙、带宽控制和管理等功能，具备快速转发能力，宽带路由器灵活的网络管理和丰富的网络状态等特点。多数宽带路由器针对中国宽带应用优化设计，可满足不同的网络流量环境，具备满足良好的电网适应性和网络兼容性。多数宽带路由器采用高度集成设计，集成10/100Mbps宽带以太网WAN接口、并内置多口10/100Mbps自适应交换机，方便多台机器连接内部网络与Internet。

宽带路由器有高、中、低档次之分，高档次企业级宽带路由器的价格可达数千，而目前的低价宽带路由器已降到百元内，其性能已基本能满足象家庭、学校宿舍、办公室等应用环境的需求，成为目前家庭、学校宿舍用户的组网首选产品之一。可以广泛应用于家庭、学校、办公室、网吧、小区接入、政府、企业等场合。

宽带路由器功能作用介绍：

MAC功能

目前大部分宽带运营商都将MAC地址和用户的ID、IP地址捆绑在一起，以此进行用户上网认证。带有MAC地址功能的宽带路由器可将网卡上的MAC地址写入，让服务器通过接入时的MAC地址验证，以获取宽带接入认证。

网络地址转换（NAT）功能

NAT功能将局域网内分配给每台电脑的IP地址转换成合法注册的Internet网实际IP地址，从而使内部网络的每台电脑可直接与Internet上的其它主机进行通讯。

动态主机配置协议（DHCP）功能

DHCP能自动将IP地址分配给登录到TCP/IP网络的客户工作站。它提供安全、可靠、简单的网络设置，避免地址冲突。这对于家庭用户来说非常重要。

防火墙功能

防火墙可以对流经它的网络数据进行扫描，从而过滤掉一些攻击信息。

防火墙还可以关闭不使用的端口，从而防止黑客攻击。而且它还能禁止特定端口流出信息，禁止来自特殊站点的访问。

虚拟专用网（VPN）功能

VPN能利用Internet公用网络建立一个拥有自主权的私有网络，一个安全的VPN包括隧道、加密、认证、访问控制和审核技术。对于企业用户来说，这一功能非常重要，不仅可以节约开支，而且能保证企业信息安全。

DMZ功能

DMZ的主要作用是减少为不信任客户提供服务而引发的危险。DMZ能将公众主机和局域网络设施分离开来。大部分宽带路由器只可选择单台PC开启DMZ功能，也有一些功能较为齐全的宽带路由器可以设置多台PC提供DMZ功能。

DDNS功能

DDNS是动态域名服务，能将用户的动态IP地址映射到一个固定的域名解析服务器上，使IP地址与固定域名绑定，完成域名解析任务。DDNS可以帮你构建虚拟主机，以自己的域名发布信息。

所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换

在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。

来源：

篇三：路由器都有哪些功能你不知道？

流量管理功能。通过系统状态―>端口统计，可以查看各个LAN口，WAN口和DMZ口输入输出的字节数、广播包的数量，各个方向流量的平均速率，用BPS和PPS分别表示，WAN口的输入相当于下载的流量，在网络内部流量比较正常的情况下，LAN口的out应该和WAN口的in比较接近，LAN口的in和WAN口的out比较接近。

统计功能。我们可以通过上网监控的用户统计表，统计出当前有多少台设备在线。用户统计表可以了解各个连接到HiPER上的用户机器的IP地址和MAC对应关系，以及该用户自从上线以来的接收和发送的包的数量，如果某个用户的下载的包的数量特别大，那么该用户可能在大量下载或者有其他攻击行为，这就提醒管理员注意。

故障诊断功能。网络流量很高，在以太网中冲突比较多或者遭受到类似于Blaster式的攻击，以前得依赖于一些高级的抓包软件或硬件来寻找故障，而且这种故障查找软件或硬件设备成本比较高昂，在使用交换机的网络里还得通过交换机的镜像口来操作，而很多公司都使用不止一台交换机，因此很不方便。

现在，在作为出口的路由器的HiPER上，我们可以通过管理界面查看每个用户的行为，如查看用户是在使用WWW服务呢，还是通过MSN聊天。同时也可以查看一些异常的行为，如某个机器不停地在往外发广播包或者它的目的地址是多播地址。

攻击预警功能。局域网内部的用户一旦使用多线程的软件或者有了攻击，那么在HiPER上能看到它所占用的连接数、包括总连接数、当前连接数。

如果出现了失败的连接数，那么说明整个网络所需要的NAT连接数已经超过系统的连接数，有2种可能的原因，一是攻击太多了，二若没有攻击，说明这个机器的性能已经不

能适用，需要更换更好的设备;如果某些机器的超限的连接数比较多，那么多半这个用户有了DoS攻击。

局域网的流量控制管理，路由器可以达到一定的效果，再借助专业的流控软件，进行上网行为管理会更有效，更直接简单!

另外，要有好的网速，选择靠谱的网络很重要，譬如电信。建议到广东电信网厅办理宽带，资费较营业厅低，可以免费提速到100M，送电影票、100充值卡。

《路由器是干什么用的》出自：百味书屋
链接地址：http://www.850500.com/news/24459.html
转载请保留,谢谢!