思科防火牆與思科路由器 ACL

除了在路由器上使用 ACL 和 ip 檢查之外，獲得專用防火牆的優勢是什麼？

我意識到這可能取決於路由器的版本，某些路由器版本基本上是防火牆和路由器嗎？

我會說它們不是為了做同樣的事情而設計的。ASA 具有強大的 CPU，因此可以處理具有非常大/複雜訪問列表的大量數據包。較新版本的 IOS 可以進行狀態檢查，但它是 CPU 密集型的。

路由器上的 ACL（用於 ip 過濾）最初設計用於僅使用短訪問列表過濾網路到網路流。這適用於 ASIC，速度非常快。今天，您可以進行更強大的過濾，但它需要在 CPU 上完成，並且路由器的 CPU 往往不如防火牆中的 CPU 強大。

所以我會在處理大量流量的路由器上使用短 ACL，這些流量將在 ASIC 上執行。我會在只有少量流量要過濾的路由器上使用複雜的 ACL（CBAC 和 cie）。但我會使用 ASA 過濾從一個網路到另一個網路的流量，因為您將需要大型且複雜的 ACL，這些 ACL 不會在路由器 ASIC 上執行，並且會傳遞太多數據包以供路由器使用其 CPU 處理。

引用自：https://serverfault.com/questions/64096