在目前中小網絡中越來越多的使用防火墻替代路由器作為網絡出口設備，這也導致了很多年輕的網工分不清路由器與防火墻到底有什麽區別，簡單的認為防火墻能防攻擊，特別是目前的防火墻集成了很多上網行為管理和IPS的功能，更容易掩蓋防火墻本身最核心的功能。

下面以傳統防火墻為例，說明防火墻與路由器到底有什麽區別。

一、安全域概念

路由器沒有安全域的概念，這個概念在防火墻上十分重要，區分了不同接口所連接區域的安全等級，從而為進一步的安全控制打下基礎。

二、會話狀態

路由器是不會保存會話狀態，一個TCP連接所發送的所有報裏是包含序列號的，但是路由器不會去關註這個序列號，收到就會轉發。也就是路由器只看到5元組的信息，不會再往深了看。NAT會話信息也只是記錄五元組信息

防火墻則是會保存每一個會話的狀態信息，比如TCP的三次握手，在路由器看來就是報文，只管傳輸，而防火墻則會檢查三次握手報文是否符合規則。很多防火墻的防攻擊功能都是基於會話的檢測。

三、安全策略（域間策略）

前面兩條都是為了這最重要的第三條鋪墊的。安全策略可以詳細控制會話的通斷，只允許合法的數據流通過。這個合法數據流可以做到A可以主動訪問B，但是B不可以主動訪問A，這裏就是由於防火墻保存了會話狀態信息，從而知道A訪問B的會話是哪些，當B回應A返回的數據，比對之前的會話信息就可以通過，而B主動訪問A則是新建了一條新的會話，這條會話根據安全策略是無法通過。

路由器的包過濾是無法做到的，包過濾阻斷數據是雙向的，一斷全斷。這點才是路由器與防火墻最根本的區別。

說了那麽多，是不是防火墻就可以代替路由器了。在中小網絡是可以的，因為這樣的網絡，數據量有限，客戶預算有效，追求性價比，一臺設備搞定一切。而在大型網絡裏，絕對不會使用防火墻代替路由器，路由器在處理路由協議計算上的性能肯定比防火墻強，轉發大量數據時，路由器不像防火墻需要對數據包進行檢測所以轉發延遲更低。還有最關鍵的一點，路由器支持多種類型的接口，雖然目前以太網接口外的其他接口類型已經越來越少了，但是在一些大型網絡中還是存在的，防火墻是無法支持這些接口的。

本文出自 “實用主義工程師” 博客，謝絕轉載！

路由器與防火墻對比分析