Kyl*_*ndt 4 networking cisco firewall access-control-list
使用专用防火墙代替或补充在路由器上使用 ACL 和 ip 检查有什么优势?
我意识到这可能取决于路由器的版本,某些路由器版本基本上是防火墙和路由器吗?
我会说它们不是为了做同样的事情而设计的。ASA 具有强大的 CPU,因此可以处理具有非常大/复杂访问列表的大量数据包。较新版本的 IOS 可以进行状态检查,但它是 CPU 密集型的。
路由器上的 ACL(用于 ip 过滤)最初旨在仅使用短访问列表过滤网络到网络流。这适用于 ASIC,并且速度非常快。今天你可以做更强大的过滤,但它需要在 CPU 上完成,路由器的 CPU 往往不如防火墙中的 CPU 强大。
所以我会在处理大量流量的路由器上使用短 ACL,这些流量将在 ASIC 上运行。我会在只有少量流量需要过滤的路由器上使用复杂的 ACL(CBAC 和 cie)。但是我会使用 ASA 来过滤从一个网络到另一个网络的流量,因为您将需要大型复杂的 ACL,这些 ACL 不会在路由器 ASIC 上运行,并且会为路由器处理它的 CPU 传递太多数据包。
| 归档时间: |
|
| 查看次数: |
9532 次 |
| 最近记录: |