刚接手公司网络时,老张指着机柜里的两台设备问我:“这台标着‘Router’的和那台写着‘Firewall’的,是不是干一样的活?能不能只留一个?”——这问题挺典型,不少行政、IT新手甚至小公司老板都会这么想。
路由器:负责“指路”的交通协管员
路由器的核心任务就一个:把数据包从A地送到B地。比如员工用电脑访问官网,请求先到路由器,它查一下目标IP属于哪个网段,再决定是发给内网服务器、转发给光猫上外网,还是丢给隔壁VLAN的打印机。它不关心这个请求是不是恶意的,只管“能不能通、往哪走”。
常见操作像设置DHCP自动分IP、配置静态路由、做端口映射(比如把公网80端口转给内网Web服务器),都是路由器的本职。
防火墙:站在路口的“安检员”
防火墙不管路怎么走,它只盯着“谁在走、带了啥、该不该放行”。比如某台电脑突然疯狂向外连陌生IP,或有人试图用RDP协议暴力爆破服务器密码,防火墙能立刻拦下来——靠的是预设策略:IP黑白名单、端口控制、应用层识别(如识别出这是微信流量还是挖矿木马)、甚至用户身份绑定(销售部的电脑不允许访问财务系统)。
办公场景中,它常被用来隔离研发网段和办公网段,禁止员工访问高危网站,或者限制手机热点共享上网。
现实中,它们经常“合体”了
小公司图省事,买的“企业级路由器”往往内置基础防火墙功能;而中大型企业的下一代防火墙(NGFW),也自带路由能力,能当三层交换机用。但这不等于它们角色模糊了——只是功能集成而已。
举个例子:
你用华三MSR系列路由器做主出口,同时开启ACL(访问控制列表)拦截某些端口,这算“路由器兼职防火墙”;
但若换成FortiGate防火墙设备,并在上面配了多条静态路由指向不同分支,那就是“防火墙兼职路由器”。
关键看谁承担主要职责:如果策略重点是精细管控(比如按部门限速、审计微信聊天文件、阻断勒索软件C2通信),那核心就是防火墙;如果主要解决“分公司VPN不通、无线AP获取不到IP”,那得先盯路由器的路由表和NAT配置。
一个排查小技巧
员工说“打不开百度”,别急着重启设备。先问清楚:
– 是所有网站都打不开?→ 查路由器WAN口是否获取到公网IP、默认路由是否正确;
– 是只有百度和淘宝打不开,其他网站正常?→ 很可能防火墙启用了URL过滤或DNS重定向策略。
再比如,财务部突然无法登录银行网银系统,而IT确认对方IP和端口没变——这时候翻防火墙日志,大概率会看到一条“匹配到‘金融类网站外联’策略,已拒绝”的记录。
设备可以合体,思维不能偷懒。弄清“谁管路径、谁管安全”,修起网络来才不抓瞎。