转自 智慧点睛

隨著技術的發展，防火牆和路由器許多功能已經重疊，例如：路由功能（靜態路由/RIP/OSPF/BGP等）、NAT、ACL、DHCP等等。
那麼就造成了一個問題：網路出口究竟選擇防火牆還是路由器呢？
這個在業界網中，也有不少朋友多次問到，本期點睛老師來總結下。

01二 者區別
一、防火牆本質是安全設備，雖然整合了許多路由功能，但許多路由器高階功能它也無能為力，多業務接入，例如營運商甩過來的是ATM、POS線路。
二、路由器現在路由器也整合了部分防火牆的基礎安全功能，但重點還是在路由，MPLS V.P.N/TE、廣域網路優化等還是防火牆無可取代的功能，而且表項更加豐富，能支援超大規模網路。

02專案應用分析場景
一一般中小型企業、政府政務外網、中小學等網路出口都會選擇防火牆，簡單省事，效能要求不高，買一台設備啥功能都有（現在主流都是下一代防火牆，整合防火牆、行為管理、負載平衡、流量控制、*等各種功能）
中小型網路使用防火牆出口較多，拓樸如圖所示：

場景二
大型企業/大學校園網網路出口使用路由器，專門負責路由、NAT功能，也會部署防火牆，專門負責安全功能，各司其職，術業有專攻！ （其實很多中小單位也是這種架構，可能防火牆/路由器都是2台冗餘，出口多運營商多鏈路）。

大型網路路由器與防火牆並存

營運商/公安/金融骨幹網節點全是路由器，中國電信Chinanet 骨幹節點也是高階路由器，拓樸圖如下：

03總結
1.中小型單位網路出口推薦使用防火牆，簡單實用，功能多還便宜。 （或UTM、行為管理、負載平衡、廣域網路最佳化、多業務路由器等設備都可以，功能多合一）
2、特定產業必須用路由器，政策要求及業務需求。
3.大型網路會同時使用防火牆及路由器，若只用防火牆，效能可能扛不住。