1. 程式人生 > >防火牆交換模式和路由模式問題(到底在哪個上面做nat?

防火牆交換模式和路由模式問題(到底在哪個上面做nat?

”誰說路由器做NAT沒有防火牆好?我跟丫急。。。。在CISCO上做NAT+PAT。。。在路由器上做透明橋。。。。俺都試驗過,而且非常理想。。。。測試那些防火牆,不見得誰強誰弱。。。。不知道樓上那位朋友測試的那款防火牆和路由器進行對比的,可否提出來相關測試環境和資料、方法之類的文件,以供參考對比????“ 防火牆提供的NAT種類多一點,而現有路由器少一點,但本質上差別不大。巨大差別的是防火牆本質上是網路邊緣裝置,最好支援的應用協議多些,狀態檢測本身很重要,邊緣路由支援狀態檢測或者只支援包過濾是比較困難的路由器設計選擇,如果支援狀態檢測將以犧牲路由能力,支援的路由協議種類為代價,骨幹上的路由絕不應支援狀態檢測,甚至不應該支援NAT。對於佈設在邊緣的路由器具備較強的NAT功能和防火牆功能,或者防火牆具備路由能力替換邊緣路由器都是可以的。兩者的融合是一種可以預見的結果。對於目前只支援包過濾的邊緣路由器,其後面加裝防火牆是必要,突破包過濾裝置的辦法很多,包過濾的不安全性已經被討論了十年了,SEARCH GOOGLE吧”從高速網路而言,應該是IDP,no firewall ???“IDP需要消耗很大的計算資源,實現通路上的高層應用協議的深度解析,目前的千兆IDS根本沒辦法線速,如何IDP就能?正好相反,對低速網路而言,IDP可以試用一下,但要密切注意網路異常流量對IDP的衝擊。 w1w 編輯於 2003-07-09 08:22