防火牆可以當路由器用嗎？

好像路由器的功能防火牆都有，而且防火牆還支持4層功能，是不是用防火牆當路由器更好呢？

可以，事實上很多地方防火牆確實完全取代了路由器的位置，但很多人不會想用防火牆路由器的

防火牆的功能也確實可以覆蓋路由器，理論上除了骨幹路由器之外防火牆確實可以完全取代路由器，尤其是區域網出口和一些內部數據中心，一般路由器主要做的路由轉發、路由協議、策略路由、nat、vpn等功能防火牆都支持

但是防火牆有點不好的地方是配置維護比較麻煩，還容易搞出簍子

技術能力比較弱或以前玩路由器沒怎麼玩防火牆的的技術人員用防火牆的歷程大概是這樣的：wc怎麼不通？tm*怎麼還是不通？f*ck怎麼半通半不通的？怎麼通了但總感覺哪怪怪的？

如果沒有比較高的安全需求的話還是用路由器可以提高運維的生活質量

因每個廠商設計思路可能不同以上內容不代表所有防火牆產品都是這樣，但大部分基本都是這個樣子

路由器可以支持多種類型的物理介面和二層協議

防火牆一般不會支持

冰箱可以當柜子用嗎？

土壕隨意

防火牆有很多種，有旁路的，有網關的，有透明防火牆。。。等等。旁路的顯然不能替代路由器。

但是。。。

一般狀況，默認防火牆是5層網路設備(網關式)。路由器，默認狀態是3層設備。所以，很多時候，在沒做明確約定狀態下，可以默認為防火牆能替代路由器。

這個還是視情況而定，不能一概而論。

如果有區域網A和區域網B，想互聯互通，那就中間加個路由器。區域網A和B業務都差不多，裡面的電腦也都是自己公司的人在用，不需要誰防著誰，此時就不需要防火牆。目的是讓所有的訪問能互通。

如果有廣域網和區域網，想互聯互通，中間最好得加防火牆，防止廣域網上的黑客入侵區域網。目的是要把一些不懷好意的訪問阻斷。

路由器的目的：各個網的數據包都得弄通！（除非明確禁止，否則一律弄通！）

防火牆的目的：不符合策略的數據包都得弄斷！（除非明確允許，否則一律禁止！）

一個要弄通，一個要弄斷，硬體設計時自然就不會一樣。

路由器是被設計用來轉發數據包的，而不是專門設計作為全特性防火牆的，所以用於進行包過濾時，需要進行的運算非常大，對路由器的CPU和內存的需要都非常大。
防火牆的軟體為數據包的過濾進行了專門的優化，其主要模塊運行在內核模式下，設計之時特別考慮了安全問題，其進行數據包過濾的性能非常高。由於路由器是簡單的包過濾，包過濾的規則條數的增加，NAT規則的條數的增加，對路由器性能的影響都相應的增加，而防火牆採用的是狀態包過濾，規則條數，NAT的規則數對性能的影響接近於零。

對於一個小型公司，假設區域網有200左右的終端和3-10台伺服器。典型的結構是劃分成不同的區域（比如按部門科室或按業務劃分），各區域在三層交換機上劃入不同的VLAN。

三層交換機接入防火牆，防火牆接入路由器，路由器接入廣域網。

當然，同樣數量的錢，買台路由器，那就是路由功能強，防禦功能弱。買台防火牆，那就是路由功能弱（cpu、內存跑的費力）、防禦功能強。

純技術工程師的推薦解決方案：買台路由性能足夠帶機數量的防火牆（反正公司不差錢）。

你好，非常感謝你的邀請。在一定的情況下，其實，現在防火牆、路由器、交換機之間的功能界限越來越模糊了。所以，就有人想使用一個交互設備來解決各種問題。其實，大家都想這樣子做。特別是我們大型工程的時候。那麼多設備，要在寫項目書的時候，一一列出，寫明性能。然後，去各種渠道備貨，運回來。安裝，設置。很是麻煩。所以，要是能有一台設備可以兼容所有的功能。那麼，就可以方便很多了。（當然，錢也會少掙很多）事實上，各大設備廠商也一直在做這件事。但是，要統一這一切談何容易。所以，現在的交換機、路由器、防火牆在功能上雖然有的地方是互相兼容的。比如，在三層交換機。防火牆都具有一定的路由功能。但是，其路由功能還是不如路由器強大。有點像閹割過的。所以，在情況允許的情況下，還是建議不要使用防火牆代替路由器。