路由器和防火墙的选型

路由器和防火墙

任务描述：

了解路由器和防火墙的主要在定义、工作、功能及分类。

背景知识：

1、什么是路由器？路由器的主要工作？

路由器是互联网的主要节点设备，他可以连接不通传输速率并运行在不同环境下的局域网和广域网。

路由器的主要工作：路由器工作在OSI模型的网络层，主要功能就是为经过路由器的每个数据选择最佳的路径。不想前面所讲的网桥和交换机，路由器是依靠与协议的。典型的路由器都带有自己的处理器、内存、电源和为各种不同类型的为网络连接器而准备的输入输出插座。其最重要的功能就是实现路由选择。

2、防火墙的功能和分类？

防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低危机。由于只有经过精心选择的使用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保卫网络，这样外部的攻击者就不可能运用这些脆弱的协议来攻击内部网络。防火墙同时可以保卫网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全疑问分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

防火墙的种类防火墙技能可根据防备的形式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、使用代理。分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定能不能允

许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。使用代理（Application Proxy）：也叫使用网关（Application Gateway）,它作用在使用层，其特点是完全"阻隔"了网络通信流，通过对每种使用服务编制专门的代理程序，实现监视和控制使用层通信流的作用。

3、路由器的选型的考虑

路由器的选型：路由器工作在OSI参考模型的网络层，用于网络间的相互连接，而前面我们介绍的交换机则是同一网络间的网络设备连接设备。正因如此，路由器一般同时提供至少一个以太局域网端口和广域网接口，分别用于与内、外网的连接。至于端口类型要根据所连接的网络类型而定，如局域网是普通的双绞线以太网，则通常为RJ-45接口，如果要采用光纤连接，则可能是单模/多模SC光纤接口。在广域网方面，同样有多种选择，如双绞线RJ-45接口、光纤接口、A TM接口，FDDI接口等。

随着路由器技术的不断发展，现在边界路由器技术也多种多样，不同历史发展时期又有相应的技术代表。人们把目前的交叉开关式结构路由器称为第五代，在这之前的四代产品分别是：第一代单总线、单/双CPU路由器；第二代单总线，对称式CPU路由器；第三代多总线，多CPU路由器；第四代共享内存式结构路由器。按性能划分的话，路由器高、中、低档了。通常是将背板交换能力大于40Gbps的路由器称为高档路由器（有的高达几百、上千Gbps）；背板交换能力在25~40Gbps之间的路由器称为中档路由器；低于25Gbps的当然就是低档路由器了。

任务内容：

1、路由器的选型（200台电脑的公司，高、低两种方案）

高配置方案：侠诺FVR9208s 售价：5800元

FVR9208s可支持二个10/100Mbps W AN口，八个10/100Mbps LAN口，最大带机量可达五百台PC机，可因应一般中大型网吧需要。产品支持多ISP策略、多W AN负载均衡及备份、弹性内部IP管理，支持DMZ及动态IP域名和QoS带宽管理，内置防火墙功能和支持IPSec 及PPTP VPN协议。

QNO早前曾经有款SLR-9204双W AN口的廉价路由，但已经停产了一段时间，现在只有这款是不带VPN功能的双W AN路由器。产品的CPU及内存都比欣向的要好，带机数量也是超越了之前的200台数量，但价格明显要贵上很多，报出5800元。这样就要看设备实施用在哪里了，这款产品笔者建议使用在300台电脑以上的网吧场所，这样使产品有宽裕的应用能力，加上在以后的扩充上也会用得上。

低配置方案：Vigor Pro200B 售价：4000元

产品描述：

Vigor Pro200B产品定位为网吧专用路由器，功能带有端口镜像，可以方便连接110系统，而无需购买专用镜像端口。可阻止“冲击波”等病毒恶意的攻击，针对网吧的QQ视频使用特意增强了视频功能，对于网络安全问题上做出了针对病毒和功能机制的防火墙功能。值得一提的是产品具有4个千兆的LAN口，可连接千兆交换机和服务器，有效地提高了路

由器的访问能力。

基本规格

设备类型网吧专用路由器

处理器Intel IXP II-533

最大 Flash 内存（ MB ）8

最大 DRAM 内存（ MB ）64

端口

固定广域网接口2＊10/ 100 M MDI/MDIX

固定局域网接口4＊10/ 100/1000 M MDI/MDIX 支持扩展模块插槽数0

网络

支持网络协议IP,NA T/NAPT,ARP,ICMP,DHCP

client/server,PPPoE,HTTP,TFTP,SNMPv2，RIP1/RIP2，Port Mirror

其它

是否内置防火墙是

2、防火墙的选型（200台电脑的公司，高、低两种方案）

高配置方案：

硬件规格

网络接口1WAN+4LAN（10M/100M）

尺寸335mm*205mm*40mm

重量 2.0KG

工作温度0-40摄氏度

主要性能参数

并发会话连接数4万个

明文吞吐率60M/S

VPN加密吞吐率6M/S

VPN隧道数128个

并发客户端个数30个

低配置：

基本参数

产品型号TZ 200

最大吞吐量100Mbps

安全过滤带宽75Mbps