网络出口应该选择路由器还是防火墙

随着技术的发展，路由器和防火墙很多功能已经重叠，大家都支持，比如：路由功能（静态路由/RIP/OSPF/BGP等）、NAT、ACL、DHCP等等。那么网络出口究竟选择路由器还是防火墙呢？

术业有专攻

防火墙：本质是安全设备，虽然集成了很多路由功能，但很多路由器高级功能它也无能为力，比如MPLS VPN、MPLS TE。多业务接入，比如运营商甩过来的是ATM、POS线路。

路由器：现在路由器也集成了部分防火墙的基础安全功能，但重点还是在路由，MPLS VPN/TE、广域网优化等还是防火墙无可替代的功能，而且表项更加丰富，能支持超大规模网络。

路由器防火墙应用场景分析

1. 一般中小型企业、政府政务外网、中小学等网络出口都会选择防火墙，简单省事，性能要求不高，买一台设备啥功能都有（现在主流都是下一代防火墙，集成防火墙、行为管理、负载均衡、流量控制、VPN等各种功能）

中小型网络使用防火墙出口较多

2. 特定行业出口必须选择路由器，比如公安内网、电子政务内网、法院/检察院内网（第一是政策要求，第二是为了实现对等通信，比如公安内网里面，要求公安部能够访问到最底层的民警，严禁在网络内部接入防火墙，如果中间加些防火墙，很多流量就被干掉了）

特定行业/网络 出口必须使用路由器

3. 大型企业/高校校园网 网络出口基本也使用路由器，专门负责路由、NAT功能，一般也会部署防火墙，专门负责安全功能，术业有专攻！（其实很多中小单位也是这张架构，可能防火墙/路由器都是2台冗余，出口多运营商多链路）

大型网络 路由器与防火墙并存（术业有专攻）

运营商/公安/金融骨干网设备都是运营商，参考图片如下：

中国电信Chinanet 骨干节点都是高端路由器

路由器/防火墙使用总结

一般中小型单位 互联网出口使用防火墙，简单实用，功能多还便宜。（或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以，基本都是功能多合一）

特定行业必须用路由器，政策要求和业务需要。

大型网络防火墙和路由器分开，如果都用防火墙，性能可能扛不住。其实现实中很多中小型网络也习惯路由器和防火墙分离，术业有专攻！