路由器还是防火墙是第一位的？

Question

网络场景..。我有一个典型的企业网络意义

ISP > Edge Router > Firewall|DMZ  > Switch > LAN

我知道有几个关于什么设备第一的争论，但是基于一个典型的中型办公室(500人)，在网络架构中什么应该是第一位的?防火墙还是路由器？

我的想法是，路由器应该是第一位的，因为IOS防火墙将是第一道防线，然后防火墙的Palo或Sonicwall将紧跟在剩下的东西后面。

Answer 1

ISP->边缘路由器->防火墙->主交换机->局域网是好的.如果您有复杂的路由配置(如xGRP隧道)，这甚至会有所帮助。也有助于在多广域网方案。您的目标是保护您的内部基础结构，而不是边缘路由器本身。任何边缘路由器都应该支持扩展的ACL，所以如果您想要防止某些非常特定的事情发生，那么无论如何您都可以这样做。

唯一需要在路由器前面放置防火墙的情况是，对特定的路由器模型进行特定类型的定向攻击(使用攻击等)，但这是一个非常罕见的情况。