Межсетевой экран и маршрутизатор в чем разница

Нost-based файерволы

Интернет можно по праву назвать символом 21 века. Через Интернет решаются вопросы, начиная от заказа пиццы в ближайшем кафе, заканчивая многомиллионными сделками. Последнее подталкивает каждого из нас к мысли о необходимости защиты той информации, с которой мы работаем в Интернете. Сегодня мне бы хотелось остановить свое внимание на межсетевых экранах. Использование этих устройств – не новое решение. Межсетевые экраны (файерволы) закрепили за собой важную роль в сетевом мире еще в середине девяностых годов прошлого века. Однако изменение технологий передачи информации, архитектурных решений при построении сетей неизбежно приводит к необходимости модернизации устройств, которые эти сети защищают. Изложение статьи будет построено следующим образом: мы поговорим о том, что такое периметр сети и как его можно защитить, введем формальное определение межсетевого экрана и обсудим основные принципы его работы и, наконец, поговорим о тех решениях, которые применяются сегодня при использовании файерволов. Поскольку некоторые термины встречаются раньше, чем их формальные определения, отметим, что файервол, брандмауэр и межсетевой экран – слова-синонимы, которые в контексте этой статьи можно не различать.

Что такое периметр сети

Рис. 1. Схематическое изображение периметра сети

Однако, естественно, ваш бизнес может состоять из нескольких офисов, филиалов, у вас могут быть коллеги, которых вы рады видеть в своем замке. Поэтому межсетевые экраны настраиваются значительно более сложным образом. Они не просто делят мир вокруг них на два полупространства, они устанавливают степени доверия для тех, кто в этих полупространствах живет. Вернемся к нашему примеру с замком – мы уже определились, что есть люди, которых мы рады в него впустить. Но наверняка найдутся и те, которых мы готовы впустить, но не показывать весь замок. Есть что-то, что по нашему глубокому убеждению этим товарищам видеть не обязательно. Не нужно забывать и о том, что кого-то мы в замок пускать категорически не хотим.

Чтобы определить кого впускать в наш замок, а кого нет, по периметру этого замка и ставятся межсетевые экраны. Теперь поймем, каким образом межсетевые экраны защищают наш «замок» и как устроен механизм их работы.

Коротко о файерволах

Межсетевой экран (брандмауэр, файервол) — технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами.

Рис 2. Схема работы зонного файервола

Зонные файерволы (на примере которых мы построим наш краткий экскурс в работу файерволов), имеют несколько интерфейсов, которые делятся на группы (зоны), в каждую зону может входить 1 и более интерфейсов. Вся настройка по фильтрации, как правило, происходит между зонами: фильтруется не тот трафик, который входит в интерфейс, а который идет из одной зоны в другую. То есть в явном виде указывается, из какой зоны в какую трафик идти должен/не должен. Например, на рисунке 2 синим цветом изображены 2 зоны, в каждой из которых расположено по 2 интерфейса. Политика трафика, которую мы настроим для этих зон, будет распространяться на все интерфейсы, которые в них расположены. Бывают файерволы, которые используют не зоны, а уровни доверия – каждому интерфейсу ставится в соответствие число: чем оно больше, тем более доверенный интерфейс. Трафик из интерфейсов с большим уровнем доверия в сторону интерфейсов с меньшим уровнем доверия по умолчанию разрешен. Обратное направление трафика возможно только после специальной настройки. Мы кратко обсудим работу только зонных файерволов. В последних обычно предусмотрен следующий набор действий над трафиком, который отобран из общего потока:

· pass – разрешить/пропустить (отметим, что пропускается только прямой трафик, то есть в нашем примере – тот, который идет «в замок»);

· drop – отбросить трафик;

· inspect – инспектировать трафик – этот трафик тоже пропускается, но в рамках сессии файервол пропускает трафик и обратно.

Пример: Если пользователь пытается получить доступ к запрещенной странице, межсетевой экран может разорвать такую коннекцию, предотвратив скачивание запрещенного материала. При этом другие подключения этого пользователя к тому же серверу разрешаются, и все остальные ресурсы пользователь может просматривать/скачивать.

Межсетевой экран может работать в L2 и L3 режиме (выполнять коммутацию или маршрутизацию соответственно).

В L2 режиме файервол практически не заметен для серверов и другого оборудования (ставится в разрыв кабеля как обычный мост/коммутатор). В L3 режиме появляется дополнительный переход через маршрутизатор (hop). Современные файерволы могут заниматься маршрутизацией (поддерживать большое число протоколов динамической маршрутизации), но обычно для этих целей используют обычные маршрутизаторы. Очень условно файервол можно считать компьютером, который умеет делать определенные функции.

В современных сетях файерволы используют для 3 функций:

Вы спросите, почему нельзя обойтись фильтрацией на роутерах. Мы помним, что на роутерах фильтрация трафика производилась с помощью списков доступа. Большинство файерволов делают фильтрацию трафика в режиме statefull (access-lists в режиме stateless), то есть отслеживают состояние коннекции – на файерволах есть список коннекций, которые в данный момент активны (в access-lists такого нет). То есть, если полетит какой- то пакет между двумя TCP – sockets и в заголовке TCP будет стоять флаг ACK, но при этом файервол не видел сегментов с SYN, то файервол этот пакет отбросит. На рисунке 3 слева показан правильный вариант установления TCP-соединения (тройное рукопожатие), а справа ситуация, описанная выше – файервол отбросит такой пакет.

Рис. 3. Схема установления TCP-соединения (слева) и пример ситуации, когда файервол не пропустит пакет для получателя (справа)

Последнее, что стоит отметить – на наш замок могут быть направлены DDoS атаки – распределенные атаки, направленные на отказ в обслуживании. То есть происходит бомбардировка центрального сервера одновременными запросами данных. Злоумышленник отправляет такие запросы из нескольких взломанных систем. Таким образом он пытается полностью занять интернет-канал и истощить ресурсы ОЗУ компании-жертвы. Конечная цель состоит в выводе из строя систем такой компании и прерывании ее бизнес-процессов. Поскольку файервол – это устройство, которое открывает сессии на себя, то это первое устройство, которое «ляжет».

Для защиты от таких атак можно применять оборудование компании Arbor. Это оборудование работает в режиме stateless и позволяет защищать периметр сети от DDoS. Таким образом это оборудование служит своего рода экраном, который защищает наши файерволы. Однако это оборудование не может работать также гибко, как межсетевой экран – оно защищает наш «замок» только от конкретного вида вторжений, поэтому используется вместе с файерволами, а не вместо них.

Теперь, разобравшись с принципами работы классического сетевого файервола, поговорим о проблемах, которые стали возникать с их использованием последние несколько лет и о том, какие решения этих проблем существуют сегодня.

Host-based firewalls

Как мы понимаем, в предыдущей главе речь шла о защите физической сети – компьютерной сети, которая построена на физическом оборудовании и кабелях. В последнее время мы наблюдаем изменение инфраструктуры компьютерных сетей – большинство компаний работают с облачными ресурсами. Чтобы лучше понять, с какими проблемами в защите облачной инфраструктуры сталкиваются классические файерволы, скажем пару слов о процессе виртуализации сети. В последнее время начался взрывной рост использования виртуальных машин, которые изначально работали изолированно или в единой виртуализированной среде. Со временем виртуальные машины стали объединяться в виртуальные сети, эти сети стали взаимодействовать с физическими сетями, интегрироваться в них. Развитие этого процесса привело к созданию облачных ресурсов, где могут храниться приложения, сервера, виртуальные машины, контейнеры. В таком облаке может быть расположено оборудование IP, NFV, оптического доменов. Виртуальные сети очень быстро столкнулись с уязвимостями, которые характерны для физической сети. Появились проблемы с фильтрацией трафика, который идет из физической среды в виртуальную. Последняя требует значительно более гибких методов для защиты. Это связано в первую очередь с тем, что что вся инфраструктура виртуальных сетей представляет собой неоднородную среду. В такой среде очень сложно ввести привычную для физических сетей IP-адресацию. Таким образом, описанный выше подход по созданию специальных политик отбора трафика на основе IP-адресов теперь оказывается крайне сложным в реализации и не масштабируемым. Поэтому анализ и отбор трафика необходимо осуществлять по какому-то другому полю, а точнее по целой группе полей. Другими словами, наш «замок» становится значительно более сложной конструкцией – его защита требует применения новых, более интеллектуальных решений. Одно из таких решений – поставить host-based файервол на входе в виртуальную инфраструктуру. Эти файерволы отличаются очень гибкими возможностями при настройке политик отбора трафика и стоят значительно дешевле классических сетевых файерволов. Таким образом мы получаем единую точку входа в нашу виртуальную сеть, в которой мы сможем задавать сетевые политики для всех объектов в нашей среде. Давайте теперь обсудим, какие поля анализируют host-based файерволы, чтобы принять решение об отбросе/пропускании трафика. У каждого агента нашего облака есть набор метаданных – регион, домен, провайдер, версия, уникальное имя и целый ряд меток. На основе анализа этих полей host-based межсетевые экраны и принимают решение о том, как поступать с проходящим трафиком. Более того, определенным образом агрегируя поля метаданных мы можем вернуться к привычной нам архитектуре файерволов – создавать зоны и настраивать политики для трафика оперируя зонами, как это обсуждалось ранее.

Отметим еще одно важное преимущество, которым обладают host-based файерволы. Ни для кого не секрет, что современная сетевая архитектура построена на сетевых коммутаторах. Коммутаторы проводят микросегментирование, оставляя в одном сегменте как можно меньше устройств. В определённый момент развитие сетей привело нас к тому, что к одному интерфейсу коммутатора подключено только одно устройство (компьютер, сервер, роутер или другой коммутатор). Когда мы говорим о какой-то облачной архитектуре, то проблема микросегментации продолжает стоять так же остро, как и в физической сети. И здесь благодаря host-based файерволам мы можем эту микросегментацию выполнить. Такой подход значительно более экономически выгоден и прост в реализации, чем использование интеллектуальных L3 – коммутаторов для виртуальных систем.

Важной особенностью облака является динамичность его развития. Развертывание оборудования и изменение конфигурации в виртуальной сети происходит значительно быстрее, чем в физической. Host-based файервол является частью той виртуальной инфраструктуры, в которой он находится и развивается вместе с ней. Таким образом, применение host-based значительно более масштабируемое решение, чем использование классических файерволов.

Таким образом, host-based файерволы обладают целым рядом преимуществ:

Возможность гибко настраивать политики трафика используя метаданные;

Решение проблемы микросегментации в неоднородной среде;

Масштабируемость решения, возможность подстраиваться под динамично развивающуюся архитектуру виртуальной сети;

Доступность: host-based файерволы значительно дешевле, чем network-based

Однако, нельзя сказать, что при использовании host-based файероволов не возникает абсолютно никаких проблем. Эти устройства потребляют значительную часть полезной нагрузки, что особенно сильно проявляется, если потоки трафика значительно вырастают. Именно на этом этапе мы платим за масштабируемость нашего решения. Более того, host-based значительно уступает обычным сетевым файерволам по быстродействию. Эта проблема на сегодняшний день является наиболее актуальной и играет важную роль, когда речь касается выбора устройств для защиты сети.

Отметим также, что при защите каких-то особенно важных ресурсов существует технология эшелонированной защиты. То есть мы устанавливаем host-based файервол внутри периметра сети, уже защищенной обычными файерволами. Таким образом появляется дополнительный рубеж защиты. Такая эшелонированная защита определенных ресурсов позволяет свести к минимуму вероятность атаки на защищаемое устройство.

Заключение

Мы постарались последовательно разобраться с причинами появления файерволов, основными особенностями и принципами их работы, а также рассмотрели такое решение, как host-based файервол, которое позволяет значительно более гибко настраивать политики трафика и применяется в различных облачных средах.

Источник

Маршрутизируем и защищаем сеть

Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках «Anti-Spam» доступно:

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Источник