防火墙可以更换路由器吗

<h1>构建网络自动化解决方案</h1>
<blockquote>我正在与这个建议进行战斗，在这些区域内有一个“少数”区域的3个区域. 例如，用户区域（Layer3 Switch包括所有用户分支办公室的MPLS路由器）路由连接到数据中心NGFW / DEV区域（L3 Switch）路由连接到数据中心NGFW /生产区（L3 Switch）路由连接到数据中心NGFW.<br />这将为我们提供3个大区域，并能够在它们的任何组合之间编写策略 – 用户开发，开发产品，产品用户.</blockquote>
<h2>防火墙可以更换路由器吗</h2>
<p><b>Об этой странице</b></p>
<p>limыыы电函. stourpodin，ччю第. 祸?</p>
<p>listion listimout list. 寻找. 端эээ电电电讯.</p>
<p>Источником запросов может служить вредоносное ПО, подключаемые модули браузера или скрипт, настроенный на автоматических рассылку запросов. e lOmom /щÖ可Öщдоб敦激. 。. подробне. </p>
<p>μ。执函，极.</p>
<h2>构建网络自动化解决方案</h2>
<h2>用下一代防火墙代替中央路由器? </h2>
我的一位读者向我发送了一个问题：
<p><blockquote>在阅读了此博客文章和有关零信任模式与安全区域的许多博客文章之后，您如何看待L3数据中心核心开关，高速下一代防火墙?</blockquote></p>
<p>长话短说：仅仅因为有人写一个想法并不意味着这是有道理的. 有些事情最好留在PowerPoint. 让我们从原始数字（和费米估计）开始. 您可能需要一个数量级的带宽 <em>之内</em> 数据中心比 <em>出去</em> 数据中心. 如果您有10GE WAN连接，则可能需要50多个GBP的核心带宽（网络托管公司显然是例外）. 单个TOR开关可以为您提供1+ Linerate lase-3转发性能的1+ TBP. 实际上，如果您使用最先进的设备重新设计了大多数数据中心，则可能会留下2个TOR开关和一个单个服务器. 我重复了我的“谁拥有2000多个VM”民意调查 @ Interop Las Vegas. 结果：在一个包装的房间里有几个人（不到10％的观众）. 之后，我与克里斯·瓦尔（Chris Wahl）进行了现实检查，他告诉我他的大多数客户都低于3000 VM. 相比之下，您可以获得以100 Gbps速度运行的下一代防火墙，但这可能比其他数据中心更昂贵（Palo Alto需要400个处理器来获得该性能，这可能比大多数公司更重要需要运行其应用程序工作量）. 接下来，将防火墙放在数据中心的中间是绝对没有意义的. 您需要在数据中心边缘（传统体系结构）或接近每个VM（微分析方法），而不是在内部VLAN之间进行成熟的下一代防火墙，如果Interruder损坏了由多个由多个分享的VLAN应用程序，无论如何都是游戏. 还要考虑您可能通过深入检查备份流量，SQL查询或应用程序JSON/RPC调用而获得任何收益? 谁将配置所有这些东西? 另外，不要忘记，大多数情况下，数据包过滤器可能足够好，对于使用静态端口号的应用程序生成的Intra-DC流量（丢失，Microsoft Outlook）. 最后，如果您确实需要对数据中心内的流量完全了解（无论如何您都不会使用中央防火墙，因为您会缺少所有VLAN Intra-Vlan流量），请在虚拟开关上部署NetFlow或Sflow…或如果您的预算非常大，请选择Gigamon的可见性结构（提示：他们在每个ESXI主机上以滥交模式进行敲击VM）.</p>
<h4>想进一步了解微分量?</h4>
<p>与Brad Hedlund和Palo Alto Virtual Firewalls播客一起收听NSX微分量播客，或观看我的虚拟防火墙网络研讨会.</p>
<h3>同一类别的最新帖子</h3>
<h4>防火墙</h4>
<ul>
<li>2层防火墙中的IPv6安全性</li>
<li>值得阅读的：与交通工程的前路防火墙</li>
<li>使用CI/CD管道配置NSX-T防火墙</li>
<li>自动化NSX-T防火墙配置</li>
<li>基于主机的防火墙的考虑（第2部分）</li>
<li>解决防火墙规则集问题</li>
</ul>
<h4>安全</h4>
<ul>
<li>我应该关心RPKI和Internet路由安全?</li>
<li>将wifi变成厚的黄色电缆</li>
<li>BGP路由安全性</li>
<li>使用EBGP使用广义TTL安全机制（GTSM）的优点</li>
<li>隐藏恶意数据包在LLC快照标头后面</li>
<li>视频：IPv6流量过滤详细信息</li>
</ul>
<h4>数据中心</h4>
<ul>
<li>视频：400GBE光学</li>
<li>视频：底盘开关架构</li>
<li>视频：数据中心中的数据包缓冲区ASIC</li>
<li>是时候替换数据中心中的TCP了吗?</li>
<li>EVPN/VXLAN或桥接数据中心结构?</li>
<li>DCI环境中的VXLAN到VXLAN桥接</li>
</ul>
<h4>11条评论：</h4>
<p>的确，监视和可见性与真实性和访问控制一样重要.</p>
<p>这样的问题是Infosec Mordac的主张是一种风险. 很像鸵鸟.</p>
<p>如果E/W转发性能不是问题，那么从安全角度来看，为什么不合理? 每个应用程序中的每个应用程序中的每个应用. 这与您倡导的“每个应用程序”模型有何不同?</p>
<p>如果您将每个应用程序的每个层都在单个VLAN中部署，则集中式防火墙非常有意义. 你多久看到一次? ） . 以及您在典型的企业数据中心需要多少个VLAN?</p>
<p>我认为没有很多人看到每个应用程序的每个层都在其自己的VLAN中部署，但是我看到了每个应用程序部署的专用VLAN/安全区. 另外，如果FW规则过于复杂，则可以将类似的非关键应用程序分组.</p>
<p>然后如果没有正确完成，则存在不对称的路由情况. 如果不始终遵循两个方向的完全相同的路径，包括冗余方案，流量可能会下降.</p>
<p>我意识到这很小. 因此，无需再对其手指拨打MS的RPC/TCP端口映射</p>
这不是小事，这是很棒的消息! 感谢分享 ;）
<p>这都是正确的，非常有教育程度，谢谢!</p>
<p>但是，正如原始博客篇所说的那样，看起来您的读者不够专心或只是大声思考：在较小或分支机构中，将同一设备用于Internet流量和内部细分实际上可能会降低.<br />– 我完全支持个人既构成运营复杂性又形成了成本效率的角度.</p>
<p>与往常一样，答案是“它取决于”，在这种情况下，在E-W（内部内部）与N-S（Inter Inter）流量. 我绝对同意大多数小型办公室的评估，但是在这种特定情况下，仅限防火墙的设计并不是什么新鲜事（我们一直在使用Cisco ASA来做到这一点）.</p>
<p>我在一家大约250个产品VM，350 Dev VM和1200台式机的公司工作. 我正在研究一个网络细分项目，该项目包括数据中心中的NGFW，但我们将仅运行具有安全策略应用程序控件的IPS / ID. 在Internet Edge，我们将运行带有高级威胁 / URL等的完整服务NGFW堆栈. ETC. 我们的信息SEC组很快就为几乎每个服务器都提出了一个区域.</p>
<p>我正在与这个建议进行战斗，在这些区域内有一个“少数”区域的3个区域. 例如，用户区域（Layer3 Switch包括所有用户分支办公室的MPLS路由器）路由连接到数据中心NGFW / DEV区域（L3 Switch）路由连接到数据中心NGFW /生产区（L3 Switch）路由连接到数据中心NGFW.<br />这将为我们提供3个大区域，并能够在它们的任何组合之间编写策略 – 用户开发，开发产品，产品用户.</p>
<p>对自己的较小区域的服务器非常敏感的服务器将通过L2备份网络双重归属，并访问媒体服务器.</p>
<p>嗨，伊万,<br />引用文章<br />“<br />还要考虑您可能通过深入检查备份流量，SQL查询或应用程序JSON/RPC调用而获得任何收益? 谁将配置所有这些东西? “<br />“ <br />即使使用微分量，我们也需要在VM NIC级别配置策略. 因此，挑战是要在Tor/Spins中配置这些规则，而在VM本身中配置规则.</p>
<h2>网络交换与网络路由器与网络防火墙</h2>
<p><img src=”https://media.fs.com/images/community/erp/EW4sp_johnsjtKc.jpg” alt=”FS社区媒体库的图像” /></p>
<p>几乎每个网络中都有三个基本设备：网络交换机，网络路由器和网络防火墙. 可以将它们集成到一个小型网络（例如家庭网络）的一个设备中，但是大型网络并非如此. 对于任何网络，这三个设备都不能被忽略. 学会知道他们如何工作以及如何在这篇文章中建立您的网络.</p>
<h2>切换 – 网络中的设备桥 </h2>
<p>在局部网络（LAN）中，网络交换机的功能类似于桥接其他网络设备（例如交换机，路由器，防火墙和无线访问点（WAPS）（WAPS））以及连接客户端设备（例如计算机，服务器，Internet）等城市的立交桥的功能协议（IP）摄像机和IP打印机. 它为网络上的所有不同设备提供了连接的中心位置.</p>
<p><img src=”https://img-en.fs.com/community/upload/kindEditor/202007/01/_1593574871_nRXTSxlgaX.jpg” alt=”开关桥梁不同的网络设备和客户端设备，例如城市的立交桥。” width=”710″ height=”399″ /></p>
<h2>图1：开关桥梁不同的网络设备和客户端设备，例如城市的立交桥.</h2>
<h2>开关如何工作? </h2>
<p>开关开关通过保留哪些媒体访问控制（MAC）地址的表来进行数据帧. MAC地址是网络接口控制器（NIC）的硬件中的刻录标记. 每个网卡以及每个交换机和路由器的每个端口都有一个唯一的MAC地址. 交换机从数据帧中学习源和目标MAC地址，并将其保留在表格中. 它指的是表以确定将其收到的框架发送到何处. 如果它收到表格中没有的目标MAC地址，则将框架淹没到所有交换机端口，称为广播. 当它收到响应时，它将MAC地址放在表格中，下次不需要洪水.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/A-switch-learns-MAC-addresses-from-the-data-frames.jpg” alt=”开关如何学习MAC地址” width=”710″ height=”430″ /></p>
<h2>图2：开关从数据帧中学习MAC地址.</h2>
<h2>路由器 – 通过互联网连接您 </h2>
<p>路由器（有时称为网关）是用于在不同网络之间路由数据包的硬件设备，并将您的网络与Internet连接起来. 实际上，互联网由数十万个路由器组成.</p>
<h2>路由器如何工作? </h2>
<p>路由器检查每个数据包的源和目标IP地址，在路由器的IP路由表中查找数据包的目的地，并将数据包路由到另一个路由器或开关. 该过程一直在发生，直到达到目标IP地址并响应. 当有多种方法可以进入目的地IP地址时，路由器可以巧妙地选择最经济的一个. 当数据包的目的地未在路由表中列出时，数据包将发送到默认路由器（如果有一个）. 如果该数据包没有目的地，它将被删除.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/How-routers-route-packets-from-the-source-to-the-destination.jpg” alt=”路由器如何从源IP到目标IP的路由数据包” width=”710″ height=”410″ /></p>
<h2>图3：路由器如何从源到目的地路由包装包.</h2>
<p>通常，您的路由器由您的互联网服务提供商（ISP）提供. 您的互联网提供商分配了一个路由器IP地址，这是一个公共IP地址. 当您浏览互联网时，您会通过公共IP地址确定到外界，并且您的私有IP地址受到保护. 但是，台式机，笔记本电脑，iPad，电视媒体框，网络复印机的私有IP地址是完全不同的. 否则，路由器将无法识别哪种设备请求.</p>
<h2>路由器做什么? </h2>
<p>路由器解释不同的网络. 除了最常用的以太网外，还有许多其他不同的网络，例如ATM和令牌环. 网络以不同的方法封装数据，因此它们无法直接通信. 路由器可以从不同的网络“翻译”这些数据包，以便彼此了解.</p>
<p>路由器防止广播风暴. 没有路由器，广播将转到每个设备的每个端口，并由每个设备处理. 当广播数量太大时，混乱可能会在整个网络中发生. 路由器将网络细分为由其连接的两个或多个较小的网络，并且不允许广播在子网之间流动.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/Broadcast-storm.jpg” alt=”广播风暴” width=”710″ height=”310″ /></p>
<h2>图4：当广播大量广播时发生广播风暴.</h2>
<h2>开关与. 路由器 </h2>
<p>为什么要比较开关与. 路由器? 因为第3层开关能够进行路由. 有人可能会问为什么不使用L3开关，然后您根本不需要路由器. 每个设备都有自己的功能，选择取决于许多因素. 一方面，对于具有10-100用户的小型网络，L3开关在成本或功能方面是过度的. 合适的路由器可以以合理的费用做好工作. 另一方面，您可以在路由器上具有切换模块，以使其根据您的需求像L3开关一样工作. 因此，要使用哪种设备应考虑其可扩展性，弹性，软件功能，硬件性能等.</p>
<h2>防火墙 – 保护您的网络的人 </h2>
<p>防火墙实际上是在紧急情况下用来阻塞火的墙壁. 网络防火墙在Intranet/LAN和Internet之间设置了障碍. 通常，网络防火墙可保护内部/私人LAN免受外部攻击，并防止重要数据泄漏. 虽然没有防火墙能力的路由器盲目通过两个单独的网络之间的流量，而防火墙则监视流量并阻止未经授权的流量.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/Firewalls-set-up-a-barrier-between-the-Internet-and-the-intranet-LAN.jpg” alt=”防火墙定义” width=”710″ height=”220″ /></p>
<h2>图5：防火墙在Internet和Intranet/LAN之间设置了障碍.</h2>
<p>除了将LAN与Internet分开外，网络防火墙还可以用于从LAN中的普通数据分割重要数据. 这样也可以避免内部入侵.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/Internal-firewall-separates-important-data-from-others-1.jpg” alt=”网络防火墙” width=”710″ height=”270″ /></p>
<h2>图6：内部防火墙将重要数据与其他数据分开.</h2>
<h2>网络防火墙如何工作? </h2>
<p>一种常见类型的硬件防火墙允许您定义阻止规则，例如IP地址，通过传输控制协议（TCP）或端口的用户图协议（UDP）. 因此，禁止不需要的端口和IP地址. 其他一些防火墙是软件应用程序和服务. 这样的防火墙就像一个互连两个网络的代理服务器. 内部网络不会直接与外部网络通信. 这两种类型的组合通常更安全，更高效.</p>
<h2>开关，路由器和防火墙：它们如何连接? </h2>
<p>通常，路由器是您在LAN中拥有的第一件事，网络防火墙位于内部网络和路由器之间，以便所有流入和输出都可以过滤. 然后开关跟随. 由于许多互联网提供商现在正在提供光纤服务（FIOS），因此您需要在网络防火墙之前调制机，以将数字信号转换为可以通过以太网电缆传输的电信号. 因此，典型的配置将是Internet-modem-firewall-switch. 然后，开关连接其他网络设备.</p>
<p><img src=”https://img-en.fs.com/community/wp-content/uploads/2017/10/How-switch-router-and-firewall-are-connected-in-a-network.jpg” alt=”网络中如何连接开关，路由器和防火墙” width=”710″ height=”210″ /></p>
<h2>图7：网络中如何连接开关，路由器和防火墙.</h2>
<h2>概括 </h2>
<p>开关在LAN中启用内部通信；路由器将您连接到互联网；防火墙保护您的网络. 这三个组件在网络中都是必不可少的. 小型网络可能具有三个集成设备，而企业网络，数据中心，您的互联网服务提供商等大型网络将拥有所有这三个，以保持多个，复杂和高度安全的通信.</p>
<h2>网络安全性路由器和防火墙之间的差异</h2>
<p><img src=”https://www.taylored.com/wp-content/uploads/2017/08/Firewalls-and-Network-Segments.jpg” /></p>
<p>我们并不是要在这里怀旧，但请记住过去的时代，当您需要连接到Internet时，都是电话插孔，计算机和拨号调制解调器? 当然，您的互联网速度约为每秒56千座，甚至在线上有很多噪音的情况下甚至更少. 但是，您永远不必担心您今天遇到的安全问题，犯罪分子将自己掩盖为合法用户，并将其入侵您的设备，网络和服务器.</p>
<p>幸运的是，面对这种攻击，您并不是无助的. 您的网络路由器在适当的固定后，是您针对网络渗透的第一道防线，缓冲攻击者，他们希望非法使用您的网络或访问敏感材料和专有文件. 将硬件防火墙添加到您的网络中，并且您可以双重保护可疑活动，恶意软件 – 甚至内容泄漏，在某些情况下也会泄漏. 因此，这两个设备之间有什么区别，为什么需要它们，以及它们如何努力防止黑客攻击您的数据并使用网络? 让我们深入了解两个硬件在网络中如何功能以及这些重要网络安全产品如何影响网络安全并防止数据泄露和攻击的基础知识的基础知识.</p>
<h2><strong>路由器上的底漆</strong></h2>
<p>毫无疑问，您已经熟悉了这些设备 – 实际上，您可能坐在架子上或在家桌子上. 路由器是您的网络用来在Internet服务提供商（ISP）和设备之间来回转发数据包的内容. 您可以想像它们，就像流量警察在拥挤的十字路口导航：路由器的工作是查看每个数据包，阅读其源和目标IP地址，在其路由表中找到目标IP，然后在其中发送每个数据包有序的时尚. 路由器是必要的，因为大多数位置都具有多个计算机或移动设备，同时访问网络 – 如果您刚刚拥有固定的台式机，例如在过去，您可以将其插入调制解调器并将其称为一天. 相反，现代的互联网流量需要定向，路由器扮演着关键角色.</p>
<h2><strong>路由器如何影响网络的网络安全</strong></h2>
<p>由于路由器允许多台计算机进入网络，因此它们也为更多安全事件打开了可能性. 几乎任何人都可以访问未保护的WiFi网络，但是路由器安全性不仅仅意味着密码保护您的网络. 路由器坐在您的ISP网络和您自己的网关上.</p>
<p>网络罪犯经常使用这个脆弱的点来传播恶意软件，这可能会损害数据并损害网络安全性. 或者他们可能会尝试通过使用默认管理凭据访问路由器来重新配置您的网络 – 这就是为什么从默认值中更改这些登录的原因很重要. 黑客还将使用路由器发动拒绝服务攻击，这可以一次脱机几个小时的操作. 在这些攻击中，攻击者在数据包上用包装包灌输路由器，从而超载路由器转发合法流量的能力. 为了跟上路由器，路由器将删除数据，您的员工或网站访问者会收到一条消息，说网络或网站已关闭. 本质上，无抵押的路由器为急切的攻击者造成各种破坏提供了入口.</p>
<h2><strong>路由器的关键安全功能：</strong></h2>
<ul>
<li><em>受密码保护的网络可防止未经授权访问.</em></li>
<li><em>安全路由器降低了恶意软件攻击的风险.</em></li>
<li><em>安全路由器有助于保护敏感数据免于达到更广泛的ISP.</em></li>
<li><em>精致的路由器为拒绝服务攻击提供了额外的保护.</em></li>
</ul>
<h2><strong>防火墙的简要介绍</strong></h2>
<p>当您谈论网络安全时，您会听到的另一个词是防火墙. 您可能知道，防火墙为您的网络提供了额外的安全性，但是您可能会确切地描述其工作原理. 在高水平上，防火墙监视传入和传出流量，分析安全风险并过滤高威胁活动. 为了从上方扩展我们的交通COP隐喻，防火墙将相当于海关或边境巡逻队，审查网络流量的证书和意图，并根据一切看起来是否井井有条. 防火墙经常在有安全的专用网络或LAN的网站上使用，该网站需要从Internet中进行保护 – 例如，如果您有本地现场服务器或内部网络托管打印机和传真机. 现代网络比以往任何时候都更加复杂，这使得使用此类安全产品更加重要. 例如，您可以使用VPN连接两个或更多安全的本地网络，或者托管一个专门存储和访问的私有云网络. 为了保护这些复杂的连接网络阵列，现代硬件防火墙使用两种策略 – 数据包检查和状态检查 – 我们将在下面介绍的差异.</p>
<h2><strong>防火墙如何保护您的网络</strong></h2>
<p>显然，防火墙在您的企业的互联网安全性中起着重要作用. 具体而言，数据包过滤防火墙检查了所有流入和流出网络的数据包的标题. 他们审查每个数据包的源地址，目的地和端口信息以确定其合法性，然后根据网络管理员创建的一组预定规则，决定以其方式发送或阻止数据。.</p>
<p>陈述的检查防火墙更进一步，不仅审查数据包中的数据，还要审查有关其来自何处的信息以及它的前进方向. 例如，一场陈述的检查防火墙会查看数据的起源方式 – 它是作为对请求的响应而出现的，还是只是从无处出现.</p>
<p>这是硬件防火墙的两种基本类型，但从技术上讲，还有第三种：下一代防火墙或NGFW. NGFW更加复杂，因为它们可以配置为扫描特定事件以增加威胁检测. 它们还允许您以每个用户为基础阻止特定的应用程序（例如Facebook Messenger）. 另外，NGFW将查看各个应用程序中的内容，以了解数据泄漏和其他攻击的证据. 所有这些功能都与传统硬件防火墙的数据包检查功能以及传统软件防火墙的恶意软件和病毒检测在一起，加起来是一种简化的，多合一的网络安全方法.</p>
<p>无论您决定使用哪种防火墙，其主要功能都是检测和阻止威胁，使其成为网络安全功能的关键一部分. 防火墙可以阻止试图窃取敏感数据的黑客，例如信用卡号或机密公司资产. 他们可以通过识别不属于的传入或传出数据来根除可疑的恶意软件攻击. 他们可以阻止已知可以携带恶意软件和垃圾邮件的网站. 他们可以使受保护的网络和服务器免于未经授权的使用. 它们是您反对不必要的黑客的最大希望.</p>
<h2><strong>防火墙的关键安全功能：</strong></h2>
<ul>
<li><em>硬件防火墙检测出似乎可疑的流量.</em></li>
<li><em>硬件防火墙阻止基于管理协议的可疑数据包.</em></li>
<li><em>NGFW防火墙块使用特定应用程序的使用者使用.</em></li>
<li><em>NGFW防火墙分析内容以检测数据泄漏.</em></li>
<li><em>可以设置NGFW防火墙以扫描应用程序，用户和数据的特定配置，以捕获已知危险的事件.</em></li>
</ul>
<h2><strong>网络安全中路由器和防火墙之间的区别</strong></h2>
<p>因此，现在您简要地知道了每个设备的作用，它们之间有什么区别? 可以配置路由器以防止未经授权的网络访问，但其作业确实不是网络安全. 是在网络之间移动数据. 虽然路由器不一定是为了打击恶意软件攻击和黑客攻击，因为您的网络和ISP之间的主要网关非常容易受到攻击. 在Taylored，我们帮助您向努力寻找路由器安全的解决方案的客户提供安心. 我们研究了黑客通过路由器来控制网络和设备的通用技术，并通过确保路由器的鸭子连续使用，以防止这些攻击来防止这些攻击.</p>
<p>另一方面，防火墙的设计明确旨在保护您的本地网络和设备免受可疑攻击，这意味着它在当地网络的安全性中起着巨大的作用. 我们在Tayled的专家熟练地配置了防火墙，可以帮助进行威胁检测和预防. 我们站在网络犯罪轰炸技术的最前沿 – 将我们视为黑客终结者!</p>