V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TiWen
V2EX  ›  宽带症候群

现在企业网络接入,是选择路由器还是防火墙?

  •  1
     
  •   TiWen · 2023-10-23 09:40:01 +08:00 via Android · 2397 次点击
    这是一个创建于 399 天前的主题,其中的信息可能已经有所发展或是发生改变。

    感觉现在路由器非常鸡肋,而防火墙有路由器的所有功能,额外还有安全功能,各位怎么看?

    20 条回复    2023-10-25 09:13:03 +08:00
    fairytale
        1
    fairytale  
       2023-10-23 09:45:56 +08:00 via Android
    防火墙开了策略以后,可达不到路由器的性能
    youyoumarco
        2
    youyoumarco  
       2023-10-23 09:51:33 +08:00
    应该是对于出口来说的,大公司对于路由有要求的首选路由器,其它无脑选防火墙
    xcodeghost
        3
    xcodeghost  
       2023-10-23 10:15:14 +08:00
    看企业规模啊,小企业随便,大企业有专门的路由器,外加专门的防火墙等各种安全设备。
    blackbookbj277
        4
    blackbookbj277  
       2023-10-23 10:26:16 +08:00
    一搬用防火墙就够用了,性能好点的带的动。
    hefish
        5
    hefish  
       2023-10-23 10:47:19 +08:00
    肯定是防火墙啦,几百到几万,十几万, 都有。。。
    datocp
        6
    datocp  
       2023-10-23 10:47:44 +08:00
    会玩 openwrt ,openwrt iptables+ipset 勉强用用。小公司老板没什么意愿买什么防火墙。
    不过之前见移动和华为?搞了个专线卫士,每个人月宽带费多收点。

    听那方案以后,我就发现现在对网络进出数据发生了些什么不清不楚,不知道大家是否有不花钱的方案。。。
    hunono
        7
    hunono  
       2023-10-23 11:06:58 +08:00
    得了解“民用路由器”、“商用路由器”、“防火墙”的区别。
    民用路由器:网络接入,最多加个多出口管理,企业用的一般有详细配置界面,但相对于“商用”来说,还是偏傻瓜,爱快、openwrt 就是例子(好久没用爱快了,不知道现在怎么样了)。
    商用路由器:管理、连接网络,当运营商分配的是 IP 地址段、机房有对外服务的服务器等一些“特殊”用途时,得上这种路由器,思科华为等,普通人想接触可以虚拟机装 ros 试试,这是对虚拟机官方支持、迭代了近 20 年、网络资源丰富、有长期试用版、公共协议支持的比较好的系统。
    三层交换机:一些中小企业用光猫+三层交换机够了,他们的网络很简单,只需求内网划几个网段+能上外网。
    防火墙 1:很多小企业上防火墙只是 it 甩锅省事+看起来正规点,实际用不上,一个 ros 、爱快足够。
    防火墙 2:中大企业(有专门管理的人员),有特定防护需求的企业,机房有对外服务器,做 vpn (不是翻墙的,是访问企业内部系统的)的企业用的上,当然也有可能将这块细分成很多设备(入侵、vpn 等都上、分开上)
    ccadb
        8
    ccadb  
       2023-10-23 12:51:37 +08:00
    小企业,爱快就挺好,或者 panabit 更好,性能稳定,价格便宜。
    zhouman
        9
    zhouman  
       2023-10-23 14:01:45 +08:00
    ne8000-f5-ngaf-waf1-waf2-ce12700/8850 ,小单位现在用的主要设备,旁路还有其他安全检测和审计。
    既然是企业使用,还是需要企业级产品,每种设备只做自己该做的部分,功能整合的越复杂越容易出现莫名问题,还会加大排障难度。
    liuzimin
        10
    liuzimin  
       2023-10-23 14:03:55 +08:00
    我们公司用的深信服的防火墙作网关。
    nkloveni
        11
    nkloveni  
       2023-10-23 14:15:22 +08:00
    你是要整 BGP ,还是要连 SDH 啥的接口?如果都不是的话无脑选个防火墙。就俩以太网口要啥路由器呀,跑个 NAT 性能都上不去
    Worldispow
        12
    Worldispow  
       2023-10-23 14:21:10 +08:00   ❤️ 1
    防火墙和路由器(或者叫核心交换机)都有的啊。。。。。
    你的内部 vlan 、内部路由规则、内部 acl 不可能写到防火墙上
    julyclyde
        13
    julyclyde  
       2023-10-23 14:56:11 +08:00
    一般情况,三层交换机不带 NAT 功能
    路由器不带 VPN 、高级过滤功能
    防火墙基本上是必选的
    nailong2
        14
    nailong2  
       2023-10-23 14:57:20 +08:00
    看公司规模吧,大公司出口还是用路由器合适。
    我们公司算小公司,图省事出口用的华为防火墙,目前跑的安全策略和路由协议不多。
    winterx
        15
    winterx  
       2023-10-23 15:04:36 +08:00
    路由器的根本目的是:保持网络和数据的“通”。
    防火墙根本的的目的是:保证任何非允许的数据包“不通”。

    不说预算、不说业务需求都是耍流氓
    yuchenr
        16
    yuchenr  
       2023-10-23 16:37:21 +08:00
    看预算和规模了,网络不复杂的话,三层交换+防火墙一般就可以了
    starinmars
        17
    starinmars  
       2023-10-23 16:42:53 +08:00
    2K 人左右,山石防火墙,10W 左右的防火墙,授权费另外算。
    laozhoubuluo
        18
    laozhoubuluo  
       2023-10-23 21:16:55 +08:00
    流量几百兆,没有复杂的配置比如需要收 BGP 表之类的,或者国产防火墙对 IPv6 有很多细节分发的需求可以用防火墙充当路由器。不过选型的时候需要选高配置型号且仔细和厂家核实性能指标,因为防火墙做的越多能支持的流量就越低,如果要开 IPS/防病毒/VPN 之类的功能更是如此。同样一台防火墙三层性能和七层性能几乎是跳水级别的,

    @datocp 纯 IPv4 + 内网全部过 NAT 的场景可以不上防火墙,因为长期对外暴露的端口一定是主动映射的端口。打洞之类的场景一般出口防火墙也控制不了,毕竟一般出口防火墙策略都是出站允许 any-any 而 NAT 打洞请求是客户机主动发出的,而且打洞需要客户机应用主动发起所以一般敏感端口也不会通过打洞出去。
    PotoJ
        19
    PotoJ  
       2023-10-24 09:58:52 +08:00 via Android
    看你这种也是没多大需求的企业,路由就够了。真安全就是要内外网隔离、软硬件防火墙等等一系列措施。
    spacezip
        20
    spacezip  
       2023-10-25 09:13:03 +08:00
    网络接入不应该是负载均衡么。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1577 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:00 · PVG 01:00 · LAX 09:00 · JFK 12:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.