网络安全笔记-网络设备专场（路由器、交换机、防火墙）

二手卡西欧

已于 2023-07-28 14:42:39 修改

阅读量5.8k

点赞数 5

分类专栏：网络安全笔记文章标签：网络安全

于 2022-09-20 10:38:12 首次发布

本文链接：https://blog.csdn.net/L120305q/article/details/126901231

版权

网络安全笔记专栏收录该内容

22 篇文章 13 订阅

订阅专栏

路由器

简单介绍：

路由器是什么
路由器（Router）是连接两个或多个网络的硬件设备，在网络间起网关的作用，可以称之为网关设备。是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
路由器的作用
一是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。
路由器详解

简介

路由器在OSI/RM中完成的网络层中继以及第三层中继任务，对不同的网络之间的数据包进行存储、分组转发处理，其主要就是在不同的逻辑分开网络。而数据在一个子网中传输到另一个子网中，可以通过路由器的路由功能进行处理。在网络通信中，路由器具有判断网络地址以及选择IP路径的作用，可以在多个网络环境中，构建灵活的链接系统，通过不同的数据分组以及介质访问方式对各个子网进行链接。路由器在操作中仅接受源站或者其他相关路由器传递的信息，是一种基于网络层的互联设备。
它能够理解不同的协议，例如某个局域网使用的以太网协议，因特网使用的TCP/IP协议。这样，路由器可以分析各种不同类型网络传来的数据包的目的地址，把非TCP/IP网络的地址转换成TCP/IP地址，或者反之；再根据选定的路由算法把各数据包按最佳路线传送到指定位置。所以路由器可以把非TCP/IP网络连接到因特网上。
路由器通常位于网络层，因而路由技术也是与网络层相关的一门技术， 路由器与早期的网桥相比有很多的变化和不同。
通常而言，网桥的局限性比较大，它只能够连通数据链路层相同或者类似的网络，不能够连接数据链路层之间有着较大差异的网络。但是路由器却不同，能够连接任意的两种不同的网络，但是这两种不同的网络之间要遵守一个原则，就是使用相同的网络层协议，这样才能够被路由器连接。路由技术简单来说就是对网络上众多的信息进行转发与交换的一门技术，具体来说，就是通过互联网络将信息从源地址传送到目的地址。
网络中的设备相互通信主要是用它们的IP地址，路由器只能根据具体的IP地址来转发数据。IP地址由网络地址和主机地址两部分组成。在Internet中采用的是由子网掩码来确定网络地址和主机地址。子网掩码与IP地址一样都是32位的，并且这两者是一一对应的，子网掩码中“1”对应IP地址中的网络地址，“0”对应的是主机地址，网络地址和主机地址就构成了一个完整的IP地址。在同一个网络中，IP地址的网络地址必须是相同的。计算机之间的通信只能在具有相同网络地址的IP地址之间进行，如果想要与其他网段的计算机进行通信，则必须经过路由器转发出去。不同网络地址的IP地址是不能直接通信的，即便它们距离非常近，也不能进行通信。路由器的多个端口可以连接多个网段，每个端口的IP地址的网络地址都必须与所连接的网段的网络地址一致。不同的端口它的网络地址是不同的，所对应的网段也是不同的，这样才能使各个网段中的主机通过自己网段的IP地址把数据发送到路由器上。
传输介质
路由器分为本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。

路由器结构

电源接口（POWER）：接口连接电源。
复位键（RESET）：此按键可以还原路由器的出厂设置。
猫(MODEM)或者是交换机与路由器连接口（WAN）：此接口用一条网线与家用宽带调制解调器（或者与交换机）进行连接。
电脑与路由器连接口（LAN1~4）：此接口用一条网线把电脑与路由器进行连接。

启动过程
作为路由器来讲，也有一个类似于我们PC系统中BIOS一样作用的部分，叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在ISO时，先引导起来，进入恢复模式，来使用TFTP或X-MODEM等方式去给FLASH中导入ISO文件。所以，路由器的启动过程应该是这样的：
1、路由器在加电后首先会进行POST，Power On Self Test (上电自检，对硬件进行检测的过程)。
2、POST完成后，首先读取ROM里的BootStrap程序进行初步引导。
初步引导完成后，尝试定位并读取完整的ISO镜像文件。在这里，路由器将会首先在FLASH中查找ISO文件，如果找到了ISO文件的话，那么读取ISO文件，引导路由器。
3、如果在FLASH中没有找到ISO文件的话，那么路由器将会进入BOOT模式，在BOOT模式下可以使用TFTP上的ISO文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个ISO文件(一般我们把这个过程叫做灌ISO)。传输完毕后重新启动路由器，路由器就可以正常启动到CLI模式。
4、当路由器初始化完成ISO文件后，就会开始在NVRAM中查找STARTUP-CONFIG文件，STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后，路由器就会加载该文件里的所有配置，并且根据配置来学习、生成、维护路由表，并将所有的配置加载到RAM(路由器的内存)里后，进入用户模式，最终完成启动过程。
5、如果在NVRAM里没有STARTUP-CONFIG文件，则路由器会进入询问配置模式，也就是俗称的问答配置模式，在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI(Comman Line Interface)命令行模式后对路由器进行配置。

分类

（1）功能上可以划分为：骨干级、企业级和接入级路由器。骨干级路由器数据吐量较大且重要，是企业级网络实现互连的关键。骨干级路由器要求性能的高速度及高可靠性。网络通常采用热备份、双电源和双数据通路等技术来确保其可靠性。企业级路由器连接对象为许多终端系统，简单且数据流量较小。 [5]
（2）结构上可以划分为：模块化和非模块化路由器。模块化路由器可以实现路由器的灵活配置，适应企业的业务需求；非模块化路由器只能提供固定单一的端口。通常情况下，高端路由器是模块化结构，低端路由器是非模块化结构的。 [5]
（3）按所处网络位置划分为“边界路由器”和“中间节点路由器”。在广域网范围内的路由器按其转发报文的性能可以分为两种类型，即边界路由器和中间节点路由器。

边界类
尽管在不断改进的各种路由协议中，对这两类路由器所使用的名称可能有很大的差别，但所发挥的作用却是一样的。很明显"边界路由器"是处于网络边缘，用于不同网络路由器的连接；而"中间节点路由器"则处于网络的中间，通常用于连接不同网络，起到一个数据转发的桥梁作用。
中间节点类
中间节点路由器在网络中传输时，提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况，选择最好的路径传送报文。由多个互连的LAN组成的公司或企业网络一侧和外界广域网相连接的路由器，就是这个企业网络的连界路由器。它从外部广域网收集向企业网络寻址的信息，转发到企业网络中有关的网络段；另一方面集中企业网络中各个LAN段向外部广域网发送的报文，对相关的报文确定最好的传输路径。

作用功能

路由器最主要的功能为实现信息的转送。
就如同快递公司来发送邮件。邮件并不是瞬间到达最终目的地，而是通过不同分站的分拣，不断的接近最终地址，从而实现邮件的投递过程的。因为路由器处在不同网络之间，但并不一定是信息的最终接收地址。所以在路由器中, 通常存在着一张路由表。根据传送网站传送的信息的最终地址，寻找下一转发地址，应该是哪个网络。因此，我们把这个过程称之为寻址过程。路由器寻址过程也是类似原理。通过最终地址，在路由表中进行匹配，通过算法确定下一转发地址。这个地址可能是中间地址，也可能是最终的到达地址。
路由器的功能就是将不同的子网之间的数据进行传递。具体功能有以下几点：
（1）实现IP、TCP、UDP、ICMP等网络的互连。
（2）对数据进行处理。收发数据包，具有对数据的分组过滤、复用、加密、压缩及防护墙等各项功能。
（3）依据路由表的信息，对数据包下一传输目的地进行选择。
（4）进行外部网关协议和其他自治域之间拓扑信息的交换。
（5）实现网络管理和系统支持功能。

在这里插入图片描述

连通不同的网络
从过滤网络流量的角度来看，路由器的作用与交换机和网桥非常相似。但是与工作在网络数据链路层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是，对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。总体上说，在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。
信息传输
有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会降低路由器的性能。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据——路径表（Routing Table），供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的。
- 静态路由
  所使用的路径选择是预先在离线情况下计算好，并在网络启动时被下载到路由器中的。它无法响应故障，静态路由对于路由选择已经很清楚的场合非常有用。
- 动态路由
  会改变它们的路由决策以便反映出拓扑结构的变化，通常也会反映出流量的变化情况。动态路由算法在多个方面有所不同：获取信息的来源不同，改变路径的时间不同以及用于路由优化的度量不同。

路由器的主要技术

背板结构
路由器的核心是背板，高效率的背板有助于提高路由器的性能。由于传统的共享总线式背板无法满足路由器的需要，所以采用结构可以用不同技术实现的交换式背板。 Banyan结构、Crossbar结构以及并行共享存储结构是交换式背板常用结构。Banyan结构采用自路由技术和多级缓冲结构；Crossba结构是单级、单通路、非阻塞的结构，采用的是全互联网交换结构；并行共享储存结构是研究的一个热点。
移动IP技术
LETF建立了一个工作组来解决人们想要在任何地点都能够将计算机、笔记本连接到Internet的方案，工作组整理出了实现任何一个方案所要满足的条件，有以下几点：
（1）每一台主机必须确保在任何一个地方都能够使用其IP地址；
（2）固定的主机，不能改动软件设备；路由器软件和路由表也不能随意的改动；
IPv6技术
现有互联网是在IPv4协议基础上运行操作的。随着互联网的迅速发展，Web的出现导致互联网形成爆炸性的发展IPv4所定义的有限地址空间不足， IP地址空前紧张，影响互联网的进一步发展，于是便提出下一版的互联网协议——IPv6。IPv6采用128位地址长度，提供地址几乎不受限制，不仅解决了IPv4不能解决的难题，还在IP层增加了认证、加密的安全措施，保证了安全性。IPv6具有扩大地址空间、将网络的整体吞吐量提高、有效地改善服务质量、保证安全性、移动性，并支持即插即用，实现多播功能等优势。
VPN技术
VPN（虚拟专用网）是路由器技术中最重要的一种。VPN 指在建筑在上能够进行自我管理的专用网络。在上，VPN用户可以控制自己与其他使用者之间的联系，可以同时支持拨号的用户使用。成功的VPN具备这些特点：安全保障、服务质量保障、具备可扩充性、灵活性和可管理性。
VPRN技术
VPRN是日常网络中的虚拟专用路由网。VPRN可以将位于不同物理局域网段的设备相互之间如同在同一网段中一样，进行直接的通信。包括的业务有：使用传统的VPN协议和MPLS方式的VPN。解决路由器VPN技术的方案有：对访问控制进行设定；对通信数据进行加密；NAT(网络地址转换协议)技术。
QoS技术
QoS即为服务质量。早先，QoS只是在ATM中专用，但由于IP作为一个打包的协议不能满足多媒体信息越来越多的应用，造成延迟长且不是定值的问题，丢包造成信号失真大、不连续等。
厂商提供了若干的解决方案：①优先级的某些设备数据包发送可以后到先传；②如果用户的哪种协议优先级较高，Intel和Cisco都支持其后到先传；③做链路整合MLPPP，Cisco支持采用把连接两点的多条线路汇聚在一起的方式来提高宽带；④做资源预留PSVP，将一部分的宽带以固定的形式分给多媒体信号，不论其他的协议如何的拥挤，这部分宽带都不会被占用。

安全隐患

实践表明，在应用无线网络光纤通信路由器期间，往往存在着一定的安全隐患问题，这些安全隐患问题影响着无线网络光纤通信路由器的应用质量与通信安全。具体而言，主要表现为以下几点。

无线网络路由隐蔽性不高
无线网络光纤通信路由器在使用期间存在的一个重要安全隐患问题便是无线网络隐蔽性不高的问题。由于无线网络主要应用射频技术来实施网络连接与传输工作，并且利用无线电波的形式，在一定范围内将数据传播出去，一旦设备覆盖范围超出了企业的范围，那么黑客便能够很容易地登录到无线网络，从而对网络展开攻击，这便导致无线网络光纤通信路由器的使用环境较差，安全指数不断下降，最终影响用户的使用率。
存在窃听网络通信问题
窃听网络通信主要指：用户在使用网络期间，攻击者对用户的通信信息进行一定的监听，并且将通信内容通过仿真终端机的形式将其展现出来。尽管网路没有对外广播，但是一些网络攻击者依旧能够通过一些网络工具软件对其展开监听，并且对通信量进行分析，最终。识别出能够破坏的信息。入侵者一旦成功登录到无线网络上，那么将会给企业网络和商业机密带来严重的威胁
拒绝服务攻击
黑客最为常用的供给手段之一便是拒绝服务攻击，换言之使目标主机无法继续提供服务，攻击者能够让不同的设备使用相同的频率，这便会导致无线频谱内产生一定的冲突，从而发送一些违法的身份验证请求等，通信量无法传送到目的地，最终导致用户不能正常使用网络，这给用户的工作带来极大的困扰。

安全防护措施

路由器对于网络来说，它是一种过渡性的工具，它对网络的使用也有着非常重要的作用。路由器的漏洞主要分为密码破解漏洞、Web漏洞、后门漏洞和溢出漏洞，但是大部分的路由器漏洞都是与路由器质量的好坏有重要的关系的。每个路由器都至少有两个端口和两个网络相连接，质量好的路由器会使用严格的安全机制来对自己进行保护，同时也会对连接的电脑网络进行一定的保护，避免密码出现被破解或者留有太过明显的后门。除此之外，网络管理者和路由器的安装也应该对设备进行一定的安全保护，从根源上对危险进行隔绝。对于BGP漏洞来说，最有效的解决方法就会在ISP级别解决问题，在网络层面来说就是对入站数据包的路由进行监控，并搜索其中的任何异常情况进行解决。同时作为路由器的使用者和网络设备的使用者，应该对路由器设备的安全性能进行一定的学习和了解，对路由器的密码设置等进行重视，避免给不法人员留有可乘之机，同时在路由器设备出现问题的时候，要及时找相关人员进行及时的处理和解决，最大程度的减少伤害和损失。

无线路由器
无线路由器是一种应用于用户上网、带有无线覆盖功能的路由器，可将其看作一个转发器，将宽带网络信号通过天线转发给附近的无线网络设备。市场上流行的无线路由器一般都支持专线xdsl/ cable、动态xdsl、pptp四种接入方式，它还具有其它一些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤、动态域名等功能。
常见的无线路由器一般都有一个RJ45口为WAN口，也就是UPLink到外部网络的接口，其余2-4个口为LAN口，用来连接普通局域网，内部有一个网络交换机芯片，专门处理LAN接口之间的信息交换。通常无线路由的WAN口和LAN之间的路由工作模式一般都采用NAT方式。所以，其实无线路由器也可以作为有线路由器使用。

无线路由器

无线路由器是一种应用于用户上网、带有无线覆盖功能的路由器，可将其看作一个转发器，将宽带网络信号通过天线转发给附近的无线网络设备。
市场上流行的无线路由器一般都支持专线xdsl/ cable、动态xdsl、pptp四种接入方式，它还具有其它一些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤、动态域名等功能。
常见的无线路由器一般都有一个RJ45口为WAN口，也就是UPLink到外部网络的接口，其余2-4个口为LAN口，用来连接普通局域网，内部有一个网络交换机芯片，专门处理LAN接口之间的信息交换。通常无线路由的WAN口和LAN之间的路由工作模式一般都采用NAT方式。所以，其实无线路由器也可以作为有线路由器使用。

交换机

定义

交换机（Switch）意为“开关”是一种用于电（光）信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。

问题

1、路由器与交换机的区别

路由器是可以当做交换机用的，但交换机却不能当成路由器用。

工作层次不一样
- 交换机工作在中继层，交换机根据MAC地址寻址，路由器工作在网络层，根据IP地址寻址，路由器可以处理TCP/IP协议，而交换机不可以。
- 最初的的交换机是工作在OSI/RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就规划工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层)，所以它的工作原理比较简单，而路由器工作在OSI的第三层(网络层)，可以得到更多的协议信息，路由器可以做出更加智能的转发决策。
数据转发所依据的对象不一样
- 交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不一样网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。
- MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
传统的交换机只能分割冲突域，不能分割广播域;而路由器可以分割广播域
- 由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不一样的广播域，广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流依旧需要路由器。
交换机是一根网线上网，但是大家上网是分别拨号，各自使用自己的宽带，大家上网互不影响。而路由器比交换机多了一个虚拟拨号功能，通过同一台路由器上网的设备是共用一个宽带账号，相互之间会受到影响。
交换机可以使连接它的多台电脑组成局域网，如果还有代理服务器的话还可以实现同时上网功能而且局域网所有电脑是共享它的带宽速率的，但是交换机没有路由器的自动识别数据包发送和到达地址的功能。
路由器可以自动识别数据包发送和到达的地址，路由器相当于马路上的警察，负责交通疏导和指路的。
举几个例子，路由器是小邮局，就一个地址(IP)，负责一个地方的收发(个人电脑，某个服务器，所以你家上网要这个东西)，交换机是省里的大邮政中心，负责由一个地址给各个小地方的联系。
简单的说路由器专管入网，交换机只管配送，路由器就是给你找路让你上网的，交换机只负责开门，交换机上面要没有路由你是上不了网的。
路由器提供了防火墙的服务
- 路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。
- 交换机一般用于LAN-WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。路由器用于WAN-WAN之间的连接，可以搞定异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不一样的网络，并采用不一样协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广泛使用。

网络交换机和路由器的区别：

网络交换机，是一个扩大网络的器材，能为子网络中提供更多的连接端口，以便连接更多的计算机。随着通信业的发展以及国民经济信息化的推进，网络交换机市场呈稳步上升态势。它具有性能价格比高、高度灵活、相对简单、易于实现等特点。所以，以太网技术已成为当今最重要的一种局域网组网技术，网络交换机也就成为了最普及的交换机。
路由器(Router)，是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由器是互联网络的枢纽，“交通警察”。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以说两者实现各自功能的方式是不同的。

三层交换机和路由器的区别：

都具有路由功能，但是三层交换机的主要功能仍是数据交换，它的路由功能通常比较简单，因为它所面对的主要是简单的局域网连接，路由路径远没有路由器那么复杂，它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。
路由器的主要功能还是路由功能，它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等，所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发，解决好各种复杂路由路径网络的连接就是它的最终目的，所以路由器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。
从技术上讲，路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换，而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后，它将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。同时，三层交换机的路由查找是针对数据流的，它利用缓存技术，很容易利用ASIC技术来实现，因此，可以大大节约成本，并实现快速转发。而路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，转发效率较低。

正因如此，从整体性能上比较的话，三层交换机的性能要远优于路由器，非常适用于数据交换频繁的局域网中;而路由器虽然路由功能非常强大，但它的数据包转发效率远低于三层交换机，更适合于数据交换不是很频繁的不同类型网络的互联，如局域网与互联网的互联。如果把路由器，特别是高档路由器用于局域网中，则在相当大程度上是一种浪费(就其强大的路由功能而言)，而且还不能很好地满足局域网通信性能需求，影响子网间的正常通信。综上所述，在局域网中进行多子网连接，最好还选用三层交换机，特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求，另一方面省去了另外购买交换机的投资。当然，如果子网间的通信不是很频繁，采用路由器也无可厚非，也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。

三层交换与路由最大的区别就在于：路由支持nat转换，而三层不支持。在实际工程中体现出来就在：路由上直接接光纤可以上网，而将光纤接到三层设备上是不能上网的。三层每个端口都有专用的mac地址，有专用的ASIC集成电路。

防火墙

先说一下NAT
NAT是Net Address Translation 的缩写，从名字也可以看出，它是负责网络地址转换的一个协议。通俗的说，它负责把私网内的的IP和端口转换成公网的IP和端口，也即使我们通常所说的IP地址影射。
例如：公司内一般有一个私网，假设为10.1.1.1网段。公司通过一个公网服务器（机器A）接入Internet，此服务器内网IP为10.1.1.1，外网为220.220.1.6。私网内的机器B 10.1.1.102打开自己的88端口想连接公网的一台WEB服务器C，假设IP为：204.56.43.8，端口为80。过程如下：
1、B （10.1.1.102:88->204.56.43.8:80）将数据包发送给网关A （10.1.1.1)
2、A 将（10.1.1.102:88）数据包的地址更换为服务器外网IP，并分配一个的端口，假设为200，数据包也就变成了（220.220.1.6:200->204.56.43.8:80），服务器A将数据发送出去
3、 C 将响应数据发送给网络服务器 A （204.56.43.8:80->220.220.1.6:200）
4、A将C返回的响应数据报的IP地址的目的IP和端口做如下修改：（204.56.43.8:80-> 10.1.1.102:88）然后把数据发送出去
5、B接收到C的响应数据。
这个过程实际上也是NAT的工作过程，在B角度，B完全感受不到自己是在内网，它似乎有在公网一样的权利，这也就是NAT的优点所在：用同一个IP实现多个用户的Internet接入。
防火墙
防火墙是通过管理网络端口的方法来拒绝和允许网络连接，这些拒绝或允许的原则由firewall的设计者来指定，并没有统一的标准，但防火墙大多都遵循以下几个原则：
（1）允许内部向外部发送数据包
（2）拒绝一切外部向内部的主动连接
（3）允许本地发起的，符合防火墙规则的外部数据包穿过防火墙
在第三条中，firewall的规则通常有以下两种：1、返回的数据包的源IP必须是内部发起的目的IP。2、返回的数据包的源IP必须是内部发起的目的IP并且返回的数据包的源端口必须是内部发起的目的端口。
防火墙和NAT
很多人把防火墙的概念混为一谈，其实NAT就是NAT，它负责IP地址影射。防火墙就是防火墙，它负责数据包的过滤。
还是通过上面NAT的来说。假设C向B发送数据的过程中，C的另外一个端口100，也想向B发送数据包，那么当这个包到达A的时候A如何处理呢？过还是不过呢？如果过了，那么从另外一个IP到达A的数据包是否也允许过呢？显然在网络安全日益受到威胁的今天，让这些包通过是危险的。所以NAT决定不让这些包通过，也就是说NAT有了包过滤功能。于是：
firewall：NAT，包过滤是我的事情，你多管什么闲事？（有没有核武器是我的事，你管得着吗？）
NAT：让这些包通过不安全，所以我必须过滤这些数据包（伊朗有核武器，是个威胁，我必须干掉它）。
firewall：那你是NAT啊你还是防火墙？（那你的主权，人权和和平自由呢？）
NAT：（咬牙状）我是有部分防火墙功能的NAT，你咋地？（我想干啥干啥，你管得找吗？）
firewall：…（什么东西啊，整个一个杂种，还美呢）
（其实，从概念上将，并不能这么说，但是便于理解，也没有什么深究的必要，就这么着吧）
NAT分类
NAT根据原理可以分成两类：锥型NAT和对称NAT
- 锥型NAT。还用上面的例子来说，在锥型NAT中，B的同一个端口去连世界上任何一台人类计算机的任何端口（日本除外），它在服务器A中得到的外部影射端口都是同一个。也就是说，在服务器A，它只有一个出口，假设为5060，而目的地却有很多，如果服务器的端口是一个平面，而所有计算机的端口在另外一个平面上的一个圆环之内，并且这两个面是平行的，那么将这些连写用线连起来，就构成了一个圆锥。这也就是cone的由来：锥。
  还记得刚才我们说的带防火墙功能的NAT，把防火墙功能加到cone类型的NAT中，就产生了三种不同的NAT：
  1。不对包进行过滤，任何包都可以通过服务器A的5060端口到达B full cone
  2。只要IP符合规则就可以到达B restrict cone
  3。IP和端口都要符合规才能到达B port restrict cone
- 对称NAT
  在对称NAT中，当B的同一个端口访问外部的IPC的不同端口的时候，A机器都会打开一个不同的外部端口来连接这C的不同端口。从C机器的端口来说，每一个端口在机器A中都有一个端口与之对应，这也就是对称NAT名称的由来：对称。
  对称NAT是很霸道的NAT，当数据包到达A的时候，必须IP和PORT都符合规则，数据包才允许通过。不仔细考虑，你可能觉得没什么，和port restrict cone一样啊，没什么特别，可是，你再和NAT的端口对称联系起来，这个东西就很恐怖了。因为它意味着：一旦一个端口在A打开了，那么这个连接也就确立了B:PORT->A：port->C:port的连接，无论何重情况下，这个连接都不可能被第三者使用。也就是说，一旦A上产生了一个端口，那么第一个知道这个端口的人一定会立刻拥有这个端口的终生使用权，而别人都没办法知道或者使用（除非A或者C告诉别人，但是告诉了也没用，你也使用不了，因为这个连接对别人来说，已经死了）。这也就是STUN对对称NAT无能为力的原因。因为STUN一旦检测到这个端口，那么它就拥有了这个端口的永久使用权，并且没有办法转让（这要是PLMM多好啊，谁发现是谁的，真好！公产主义来了么？天亮了，起床了），而这不是STUN想要的。

防火墙定义

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

网络安全的屏障
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。
监控审计
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。
日志记录与事件通知
进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

重要性

1、记录计算机网络之中的数据信息
数据信息对于计算机网络建设工作有着积极的促进作用，同时其对于计算机网络安全也有着一定程度上的影响。通过防火墙技术能够收集计算机网络在运行的过程当中的数据传输、信息访问等多方面的内容，同时对收集的信息进行分类分组，借此找出其中存在安全隐患的数据信息，采取针对性的措施进行解决，有效防止这些数据信息影响到计算机网络的安全。除此之外，工作人员在对防火墙之中记录的数据信息进行总结之后，能够明确不同类型的异常数据信息的特点，借此能够有效提高计算机网络风险防控工作的效率和质量。
2、防止工作人员访问存在安全隐患的网站
计算机网络安全问题之中有相当一部分是由工作人员进入了存在安全隐患的网站所导致的。通过应用防火墙技术能够对工作人员的操作进行实时监控，一旦发现工作人员即将进入存在安全隐患的网站，防火墙就会立刻发出警报，借此有效防止工作人员误入存在安全隐患的网站，有效提高访问工作的安全性。
3、控制不安全服务
计算机网络在运行的过程当中会出现许多不安全服务，这些不安全服务会严重影响到计算机网络的安全。通过应用防火墙技术能够有效降低工作人员的实际操作风险，其能够将不安全服务有效拦截下来，有效防止非法攻击对计算机网络安全造成影响。此外，通过防火墙技术还能够实现对计算机网络之中的各项工作进行实施监控，借此使得计算机用户的各项工作能够在一个安全可靠的环境之下进行，有效防止因为计算机网络问题给用户带来经济损失。

防火墙技术

防火墙是现代网络安全防护技术中的重要构成内容，可以有效地防护外部的侵扰与影响。随着网络技术手段的完善，防火墙技术的功能也在不断地完善，可以实现对信息的过滤，保障信息的安全性。防火墙就是一种在内部与外部网络的中间过程中发挥作用的防御系统，具有安全防护的价值与作用，通过防火墙可以实现内部与外部资源的有效流通，及时处理各种安全隐患问题，进而提升了信息数据资料的安全性。防火墙技术具有一定的抗攻击能力，对于外部攻击具有自我保护的作用，随着计算机技术的进步防火墙技术也在不断发展。
（1）过滤型防火墙
过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。
（2）应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。
（3）复合型
截至2018年应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

关键技术

1、包过滤技术
防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中，其能够完成对防火墙的状态检测，从而预先可以把逻辑策略进行确定。逻辑策略主要针对地址、端口与源地址，通过防火墙所有的数据都需要进行分析，如果数据包内具有的信息和策略要求是不相符的，则其数据包就能够顺利通过，如果是完全相符的，则其数据包就被迅速拦截。计算机数据包传输的过程中，一般都会分解成为很多由目的地址等组成的一种小型数据包，当它们通过防火墙的时候，尽管其能够通过很多传输路径进行传输，而最终都会汇合于同一地方，在这个目地点位置，所有的数据包都需要进行防火墙的检测，在检测合格后，才会允许通过，如果传输的过程中，出现数据包的丢失以及地址的变化等情况，则就会被抛弃。
2、加密技术
计算机信息传输的过程中，借助防火墙还能够有效的实现信息的加密，通过这种加密技术，相关人员就能够对传输的信息进行有效的加密，其中信息密码是信息交流的双方进行掌握，对信息进行接受的人员需要对加密的信息实施解密处理后，才能获取所传输的信息数据，在防火墙加密技术应用中，要时刻注意信息加密处理安全性的保障。在防火墙技术应用中，想要实现信息的安全传输，还需要做好用户身份的验证，在进行加密处理后，信息的传输需要对用户授权，然后对信息接收方以及发送方要进行身份的验证，从而建立信息安全传递的通道，保证计算机的网络信息在传递中具有良好的安全性，非法分子不拥有正确的身份验证条件，因此，其就不能对计算机的网络信息实施入侵。
3、防病毒技术
防火墙具有着防病毒的功能，在防病毒技术的应用中，其主要包括病毒的预防、清除和检测等方面。防火墙的防病毒预防功能来说，在网络的建设过程中，通过安装相应的防火墙来对计算机和互联网间的信息数据进行严格的控制，从而形成一种安全的屏障来对计算机外网以及内网数据实施保护。计算机网络要想进行连接，一般都是通过互联网和路由器连接实现的，则对网络保护就需要从主干网的部分开始，在主干网的中心资源实施控制，防止服务器出现非法的访问，为了杜绝外来非法的入侵对信息进行盗用，在计算机连接的端口所接入的数据，还要进行以太网和IP地址的严格检查，被盗用IP地址会被丢弃，同时还会对重要信息资源进行全面记录，保障其计算机的信息网络具有良好安全性。
4、代理服务器
代理服务器是防火墙技术引用比较广泛的功能，根据其计算机的网络运行方法可以通过防火墙技术设置相应的代理服务器，从而借助代理服务器来进行信息的交互。在信息数据从内网向外网发送时，其信息数据就会携带着正确IP，非法攻击者能够分局信息数据IP作为追踪的对象，来让病毒进入到内网中，如果使用代理服务器，则就能够实现信息数据IP的虚拟化，非法攻击者在进行虚拟IP的跟踪中，就不能够获取真实的解析信息，从而代理服务器实现对计算机网络的安全防护。另外，代理服务器还能够进行信息数据的中转，对计算机内网以及外网信息的交互进行控制，对计算机的网络安全起到保护。

部署方式

防火墙是为加强网络安全防护能力在网络中部署的硬件设备，有多种部署方式，常见的有桥模式、网关模式和NAT模式等。
1、桥模式
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。
2、网关模式
网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。
3、NAT模式
NAT（Network Address Translation）地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。
如果在NAT模式的基础上需要实现外部网络访问内部网络服务的需求时，还可以使用地址/端口映射（MAP）技术，在防火墙上进行地址/端口映射配置，当外部网络用户需要访问内部服务时，防火墙将请求映射到内部服务器上；当内部服务器返回相应数据时，防火墙再将数据转发给外部网络。使用地址/端口映射技术实现了外部用户能够访问内部服务，但是外部用户无法看到内部服务器的真实地址，只能看到防火墙的地址，增强了内部服务器的安全性。
4、高可靠性设计
防火墙都部署在网络的出入口，是网络通信的大门，这就要求防火墙的部署必须具备高可靠性。一般IT设备的使用寿命被设计为3至5年，当单点设备发生故障时，要通过冗余技术实现可靠性，可以通过如虚拟路由冗余协议（VRRP）等技术实现主备冗余。到2019年为止，主流的网络设备都支持高可靠性设计。 [5]

具体应用

1、内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的，一般将其设置在服务器的入口处，通过对外部的访问者进行控制，从而达到保护内部网络的作用，而处于内部网络的用户，可以根据自己的需求明确权限规划，使用户可以访问规划内的路径。总的来说，内网中的防火墙主要起到以下两个作用：一是认证应用，内网中的多项行为具有远程的特点，只有在约束的情况下，通过相关认证才能进行；二是记录访问记录，避免自身的攻击，形成安全策略。
2、外网中的防火墙技术
应用于外网中的防火墙，主要发挥其防范作用，外网在防火墙授权的情况下，才可以进入内网。针对外网布设防火墙时，必须保障全面性，促使外网的所有网络活动均可在防火墙的监视下，如果外网出现非法入侵，防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下，内网对于外网而言，处于完全封闭的状态，外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径，所以防火墙能够详细记录外网活动，汇总成日志，防火墙通过分析日常日志，判断外网行为是否具有攻击特性。

未来趋势

随着网络技术的不断发展，防火墙相关产品和技术也在不断进步。
（1）防火墙的产品发展趋势
截至2018年，就防火墙产品而言，新的产品有：智能防火墙、分布式防火墙和网络产品的系统化应用等。
智能防火墙：在防火墙产品中加入人工智能识别技术，不但提高防火墙的安全防范能力，而且由于防火墙具有自学习功能，可以防范来自网络的最新型攻击。
分布式防火墙：一种全新的防火墙体系结构。网络防火墙、主机防火墙和管理中心是分布式防火墙的构成组件。传统防火墙实际上是在网络边缘上实现防护的防火墙，而分布式防火墙则在网络内部增加了另外一层安全防护。分布式防火墙的优点有：支持移动计算；支持加密和认证功能，与网络拓扑无关等。
网络产品的系统化应用：主要是指某些厂商的安全产品直接与防火墙进行融合，打包销售。另外，有些厂商的产品之间虽然各自独立，当各个产品之间可以进行通信。
（2）防火墙的技术发展趋势
包过滤技术作为防火墙技术中最核心的技术之一，自身具有比较明显的缺点：不具备身份验证机制和用户角色配置功能。因此，一些产品开发商就将AAA认证系统集成到防火墙中，确保防火墙具备支持基于用户角色的安全策略功能。多级过滤技术就是在防火墙中设置多层过滤规则。在网络层，利用分组过滤技术拦截所有假冒的IP源地址和源路由分组；根据过滤规则，传输层拦截所有禁止出/入的协议和数据包；在应用层，利用FTP、SMTP等网关对各种Internet的服务进行监测和控制。
综合来讲，上述技术都是对已有防火墙技术的有效补充，是提升已有防火墙技术的弥补措施。
（3）防火墙的体系结构发展趋势
随着软硬件处理能力、网络带宽的不断提升，防火墙的数据处理能力也在得到提升。尤其近几年多媒体流技术（在线视频）的发展，要求防火墙的处理时延必须越来越小。基于以上业务需求，防火墙制造商开发了基于网络处理器和基于ASIC(ApplicationSpecificIntegratedCircuits,专用集成电路)的防火墙产品。基于网络处理器的防火墙本质上还是依赖于软件系统的解决方案，因此软件性能的好坏直接影响防火墙的性能。而基于ASIC的防火墙产品具有定制化、可编程的硬件芯片以及与之相匹配的软件系统，因此性能的优越性不言而喻，可以很好地满足客户对系统灵活性和高性能的要求。