1三层交换机与路由器的主要区别1.主要功能不同虽然三层交换机与路由器都具有路由功能,但我们不能因此而把它们等同起来,正如现在许多网络设备同时具备多种传统网络设备功能一样,就如现在有许多宽带路由器不仅具有路由功能,还提供了交换机端口、硬件防火墙功能,但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能,其它功能只不过是其附加功能,其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样,它仍是交换机产品,只不过它是具备了一些基本的路由功能的交换机,它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由转发两种功能,但其主要功能还是数据交换;而路由器仅具有路由转发这一种主要功能。2.主要适用的环境不一样三层交换机的路由功能通常比较简单,因为它所面对的主要是简单的局域网连接。正因如此,三层交换机的路由功能通常比较简单,路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点。而路由器则不同,它的设计初哀就是为了满足不同类型的网络连接,虽然也适用于局域网之间的连接,但它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等,所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发,解决好各种复杂路由路径网络的连接就是它的最终目的,所以路由器的路由功能通常非常强大,不仅适用于同种协议的局域网间,更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接,路由器的接口类型非常丰富,而三层交换机则一般仅同类型的局域网接口,非常简单。3.性能体现不一样从技术上讲,路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后,它将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。同时,三层交换机的路由查找是针对数据流的,它利用缓存技术,很容易利用ASIC技术来实现,因此,可以大大节约成本,并实现快速转发。而路由器的转发采用最长匹配的方式,实现复杂,通常使用软件来实现,转发效率较低。正因如此,从整体性能上比较的话,三层交换机的性能要远优于路由器,非常适用于数据交2换频繁的局域网中;而路由器虽然路由功能非常强大,但它的数据包转发效率远低于三层交换机,更适合于数据交换不是很频繁的不同类型网络的互联,如局域网与互联网的互联。如果把路由器,特别是高档路由器用于局域网中,则在相当大程度上是一种浪费(就其强大的路由功能而言),而且还不能很好地满足局域网通信性能需求,影响子网间的正常通信。综上所述,三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说,在局域网中进行多子网连接,最好还选用三层交换机,特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求,另一方面省去了另外购买交换机的投资。当然,如果子网间的通信不是很频繁,采用路由器也无可厚非,也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。防火墙的选购有关防火墙方面的知识,在前几篇中已作了较全面的介绍,相信各位对防火墙的认识已有所提高。最后在本篇之中,我要向大家介绍的是在防火墙选购方面需注意的有关事项,也可称之为选购原则吧。这是在你决定利用前几篇知识开始为自己企业选购防火墙之前需要最后掌握的。其实防火墙的选购与其它网络设备和选购差不多,主要是考虑到品牌和性能。品牌好说,有名的大家都或许早已知道一些,但是对于性能,却非常广泛,不同品牌、不同型号差别较大,是整个防火墙选购注意事项中的关键所在。本文所要介绍的选购原则主要是从性能角度考虑。1.产品类型防火墙的产品分类标准较多,本篇主要介绍的是硬件防火墙,而且只考虑传统边界防火墙。在边界防火墙中,如果硬件结构来看的话,基本上有两大类:路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件,添加一些包过滤功能,通常称之为包过滤防火墙,如CiscoIOS防火墙等;而独立式硬件防火墙通常是基于应用级网关、自动代理等较先进过滤技术的,各种过滤技术有不同的优点和适用环境,要注意选择。详细防火墙分类,请参照毅面篇介绍。另外防火墙所用的系统也非常关键,它关系到防火墙自身的安全性能。目前包过滤型的路由器防火墙是没有单独的操作系统的,而独立式的硬件防火墙有的采用通用操作系统;而有的则采用专门开发的嵌入式操作系统。相比之下,专门开发的操作系统比较安全,因为它所包括的服务比较小,安全漏洞比较少。2.LAN接口防火墙的接口虽然没有路由器那么复杂,但也因具体的应用环境不同,所用的接口类型也不一样。主要表现在内部网络接口类型上,防火墙的LAN接口类型要符合应用环境的网络连接需求。主要的LAN接口类型有以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等主流网络类型。在企业局域网中,通常只需要能支持以太网、快速以太网,最多还可选择支持千兆以太网的。注意支持接口类型越多,价格越贵,因为在防火墙主板中的电路会越复杂。不要一味贪全。3在防火墙LAN接口支持方面,还要考虑其最大的LAN接口数,如果企业只有一个网络需要保护,则呆选择具有1个LAN接口的,而需组建多宿主机模式,则需要选择能提供多个LAN接口的防火墙,以实现保护不同内网的目的。当然接口数越多,价格也越贵。3.协议支持防火墙要对各种数据包进行过滤,就必须对相应数据包通信方式提供支持,除了广泛受支持的TCP/IP协议外,还有可能需要支持AppleTalk、DECnet、IPX及NETBEUI等协议,当然这要根据具体的应用环境而定。如果防火墙要支持VPN通信,则一定要选择支持VPN隧道协议(PPTP和L2TP),以及IPSec安全协议等。协议的选择与内部网络所用操作系统关系密切。4.访问控制配置在防火墙中的访问规则表中,不同的防火墙有不同的配置方式。好的防火墙过滤规则应涵盖所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,也应有一个默认处理方法。同时要求过滤规则应易于理解,易于编辑修改,并具备一致性检测机制,防止各条规则间相互冲突,而不起作用。防火墙能否在应用层提供代理支持也是非常重要的,如HTTP、FTP、TELNET、SNMP代理等。在传输层是否可以提供代理支持;是否支持FTP文件类型过滤,允许FTP命令防止某些类型文件通过防火墙;在应用级代理方面,是否具有应用层高级代理功能,如HTTP、POP3。在安全策略上,防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的,编程对用户是友好的,还应具备若干可能的过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。另外,防火墙除应包含先进的鉴别措施,还应采用尽量多的先进技术,如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术,这些都是防火墙安全系统所必需考虑的。在身份认证支持方面,一般情况下防火墙应具有一个以上认证方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。列出防火墙所能支持的认证标准和CA互操作性(厂商可以选择自己的认证方案,但应符合相应的国际标准),以及实现的认证协议是否与其他CA产品兼容互通。5.自身的可靠性防火墙本身就是一个用于安全防护的设备,当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统,而是采用自已单独开发的操作系统。应4用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。在硬件配置方面,提高防火墙的可靠性通常是通过提高防火墙部件的强健性、增大设计阀值和增加冗余部件进行的。6.防御功能在提供病毒扫描功能的防火墙中,要验证其扫描的文档类型,如是否会对电子邮件附件中的DOC和ZIP文件,FTP中的下载或上载文件内容进行扫描,以发现其中包含的危险信息。验证防火墙是否具有抵御DoS攻击的能力。在网络攻击中,拒绝服务攻击是使用频率最高的手段。拒绝服务攻击(DoS)就是攻击者过多地占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制,应可有效地防止或抵御黑客客的DoS攻击。当然除了防火墙要具备这这能力外,我们还可对网络系统进行完善,更加网络自身的DoS攻击防御能力。拒绝服务攻击可以分为两类:一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的,这种类型只能通过打补丁的办法来解决,如我们常见的各种Windows系统安全补丁。另一类是由于协议本身存在缺陷而造成的,这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。随着黑客攻击手段的提高,新的入侵的手段也已开始普遍,如基于ActiveX、Java、Cookies、Javascript程序的入侵。防火墙应该能够从HTTP页面剥离JavaApplet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览器用户报警。同时,能够过滤用户上载的CGI、ASP等程序,当发现危险代码时,向服务器报警。7.连接性能因为防火墙位于网络边界,需对进入网络的所有数据包进行过滤,这就要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标又称之为吞吐量,非常重要,它体现了防火墙的可用性,也体现了企业用户使用防火墙产品的代价(延时)。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网速度非常慢,而一旦去掉防火墙速度就上来了,原因就为因为防火墙在过滤数据包时效率不高。就防火墙类型来说,包过滤型速度最快,对原有网络性能影响最小,在防火墙端口带宽足够宽(如现在的千兆防火墙)的情况下,其影响还不足以让人感觉。而先进的动态包过滤、应用级网关、自适应代理防火墙,虽然其包检测机制比包过滤先进,但所需时间要比包过滤多,因而在效率方面就不如包过滤型。当然我们知道,包过滤机制本身就存在许多不安全、不全面的因素,所以这类防火墙对网络的防护能力非常有限,因此在较大型、或者较注重安全的网络中建议不要选择此类防火墙。58.管理功能在管理方面,主要是出于网络管理员对防火墙的日常管理工作方面便性角度考虑,防火墙要能为管理员提供足够的信息或操作便利。通常网络管理员需对防火墙墙进行如下管理工作:通过防火墙的身份鉴别,编写防火墙的安全规则;配置防火墙的安全参数;查看防火墙的日志,通过日志记录信息修改安全规则、调整网络部署等。在这些日常管理工作中,有的要在本地执行,而有的允许通过远程管理方式进行远程管理。这就要求防火墙支持相应的远程管理方式。在防火墙配置方面,在上一篇我们介绍到它也有几种方式,如本地控制端口连接方式、远程Telnet、FTP,甚至HTTP方式,查看所选防火墙所支持的配置方式是否满足你公司的实际需求。对于大型网络中,如果存在多个防火墙,我们还考虑防火墙是否支持集中管理,通过集成策略集中管理多个防火墙可以大大减轻网络管理负担。另一方面,还要考虑防火墙是否提供基于时间的访问控