从事网络管理工作第6个年头了,今天想讨论关于中小型企业1000节点以下在防火墙前有没有必要增加路由器,其实这涉及的只是网关的安全问题,有时会觉得这是个简单的问题,有时又觉得是个复杂的问题,所以,想根据我的工作经验和大家一起说说。

    首先,不同的行业,对企业信息安全的重视度、安全认知度、数据敏感度有很大差异,针对我个人所从事过的行业来讲,先后在:计算机网络公司-生产型制造加工业-医疗行业做过,那么以下是简单的主干接入方式描述,另外一些专线 ×××、双线接入等设备及网络架构就不展现。

一、

 二、

 

 

三、

 

 

四、

 

 

    其次,通过以上图那么我们要针对问题进行讨论:防火墙前要不要接路由器?那么我认为,应当认清路由器与防火墙本身的功能及作用。现在的路由器基本都带简单的安全检测功能,但防火墙除路由外,检测、报警、***防御、病毒分析方面更强大,此外,我认为网络流量的开销+网络应用+网络规模3方也是很大的因素。

那么接下来根据各种因素分析利弊:

(1) 如图1:100节点规模如为节约成本,可进行多条ADSL做负载均衡,让上下行带宽提上去,这种模式可选择侠诺4WAN路由器,在安全方面每个路由器启用检测及自带防火墙功能,然后汇集到单独一台4WAN路由器上,安全操作同上,记住LAN口设静态IP 关闭DHCP功能,这样对外起到两次隐藏IP的效果,对内可以很好连三层交换(当下一条最好选择3层交换,有可控性、划网段等功能还能做ACL等),根据本人使用1年多的时间里,优点是不会中断网络,安全方面比较可靠,缺点,不好优化,不能集中扩充网络应用,但这正好适合小网络,小成本架构选择。

(2) 如图2:200节点左右规模,针对对数据安全不敏感并且那种申请买个设备很难的,几个月批不下来的,特别是上W的设备时,第二种网络模式可选择。

          当网络流量的开销+网络规模 增加但不对安全不做高要求时,防火墙的存在似乎显得并不那么重要。当然,图1结构已无法满足带宽需求,所以为方便管理与后期网络节点增加时应先择h3c的路由设备,性价比在思科与TP-LINK、华为等都是最好的。如需在安全方便做得更好些,应当架设内部防病毒服务器,可统一管理工作站的PC机的安全情况,勿只用免费的360等版本,不然天天让你忙着打补订。

       所以,我认为如以上需求时也可只开起路由器自带防火墙功能即可(排除有条件购买的情况下,如有条件最好购买)。

    (3) 如图3:500节点左右规模,随着有400-600以上时,企业规模已中型了,因为行政人员都至少350-450之间。从此,应用也逐渐多了起来,如×××  AD  EMAIL  DNS WEB  ERP  CRM OA 等等,那么网络管理员的工作也繁忙了许多,IT部的显得重要了起来,却不变的是待遇,但那个地方是个能让自己成长的地方,罗索话不多讲。图3的架构中没有路由存在,同时大部分企业的网络架构中也不用路由器,原因有以下几点,1、防火墙具备路由做数据转发与解析的能力。2、没必要在干路上多增加一层设备来转发,设计中,干路层应当尽量简单,并且保证上网速度转发要快,不然容易出现网络堵塞。 3、内网节点较集中、内部应用强但对外网络应用不广,所以此时路由可不与防火墙一起使用,既然不用则无位置前后。

(4)700-1000节点 :网络流量的开销+网络应用+网络规模3方同时存在。

          请看图4:其实网络结构没有画好,在防火墙前面应当接路由器,防火墙应找应用透明模式下能用×××功能的设备(例juniper520以上就能,但性能要找比这还强的,性能一定要OK)。因为在700-1000的企业中,算是中大型企业,不管外部与内部的网络中都具相当规模,会在各个城市有多个分点,会出同城多点之间的网络应用,也会在其他分点风络中一对一或一对多点之间的网络应用,同时各点之间数据敏感度较高,这时老板也相当重视数据,安全级别类似银行。

      此时,路由器与防火墙各分工不同,各承担角色的不同,路由器提供的是路由功能,快速将各种数据在ISP与内网之间进行转发与解析,同时与各分公司之间做数据交换,使双方业务资源共享且不出现中断。防火墙的作用是对外部各种数据包来源进行检测,对各种***进行防御、过滤与隔断,对内网发出的响应与发起进行安全检查。那么,在这情况情下,我认为路由器应放与防火墙前会较好。

        综上所述,个人观点。