急急急！ 公网接路由器和防火墙的问题

a1265923107

1.ISP 的线路接过来后是先接路由器还是先接防火墙？
2如果链路里还有网闸，那它接在哪里？

wad0012

1、ISP过来的线路先进防火墙----路由器，这种是考虑将威胁阻挡在外网的入口。
2、ISP过来的线路先进防火墙----路由器---网闸，考虑到对内网的保护和外网服务器的应用。

marsteel

1.ISP 的线路接过来后是先接路由器还是先接防火墙？
2如果链路里还有网闸，那它接在哪里？
a1265923107 发表于 2011-04-25 15:06

    路由器是提供各种WAN接口的，如果ISP来过来的WAN接口只存在于路由器上的话，那路由器必须接在外面，否则就可以随意。

网闸就是骗钱的啊，钱骗到了就不用真装网络里了，放库房落灰就行了

hackmail

一般来说先接防火墙。用防火墙做NAT转换，用路由器做数据包转发。防火墙做NAT转换比较专业。

wzknet

只要呼U到位，放哪都无所谓。

linuxflj

还是先接防火墙的好啊
安全！！！

aplah

ISP过来的线路如果只有路由器能用，就先接路由器，不然就防火墙优先考虑

tangye

路由器是广域网设备，防火墙是局域网设备。

柳拂风

我们一般是 internet－－路由器－－防火墙
除非是很贵的高档防火墙，不然放外面会成为性能瓶颈。
有个真实案例：
internet－－华为4640路由器－－华为F100防火墙
由于业务需求的增加，internet接入带宽增加，从最初的10M逐渐增加到了100M。此时网络就比较卡了，查看负载，路由器cpu只有百分之十几，而防火墙cpu负载经常百分百（nat是在路由器上做的，防火墙只做透明模式的过滤）。
有一天突发奇想：把防火墙放外边会不会好一点？
试了一下，根本不行！防火墙放外面立马瘫痪，根本抗不住流量。

有人会说了：你当初就应该买贵的高档防火墙。站着说话不腰疼啊，当时一个很普通的千兆防火墙就要十几万，不是一般人买得起的。另外当初也没想到业务需求会从10M增加到100M那么多。
后面的处理方法，只能是控制流量，把一些不干正事的网络流量给限制了。