Networking

思科防火牆與思科路由器 ACL

  • April 23, 2012

除了在路由器上使用 ACL 和 ip 檢查之外,獲得專用防火牆的優勢是什麼?

我意識到這可能取決於路由器的版本,某些路由器版本基本上是防火牆和路由器嗎?

我會說它們不是為了做同樣的事情而設計的。ASA 具有強大的 CPU,因此可以處理具有非常大/複雜訪問列表的大量數據包。較新版本的 IOS 可以進行狀態檢查,但它是 CPU 密集型的。

路由器上的 ACL(用於 ip 過濾)最初設計用於僅使用短訪問列表過濾網路到網路流。這適用於 ASIC,速度非常快。今天,您可以進行更強大的過濾,但它需要在 CPU 上完成,並且路由器的 CPU 往往不如防火牆中的 CPU 強大。

所以我會在處理大量流量的路由器上使用短 ACL,這些流量將在 ASIC 上執行。我會在只有少量流量要過濾的路由器上使用複雜的 ACL(CBAC 和 cie)。但我會使用 ASA 過濾從一個網路到另一個網路的流量,因為您將需要大型且複雜的 ACL,這些 ACL 不會在路由器 ASIC 上執行,並且會傳遞太多數據包以供路由器使用其 CPU 處理。

引用自:https://serverfault.com/questions/64096