防火墙可以当路由器用吗？

好像路由器的功能防火墙都有，而且防火墙还支持4层功能，是不是用防火墙当路由器更好呢？

可以，事实上很多地方防火墙确实完全取代了路由器的位置，但很多人不会想用防火墙路由器的

防火墙的功能也确实可以覆盖路由器，理论上除了骨干路由器之外防火墙确实可以完全取代路由器，尤其是区域网出口和一些内部数据中心，一般路由器主要做的路由转发、路由协议、策略路由、nat、vpn等功能防火墙都支持

但是防火墙有点不好的地方是配置维护比较麻烦，还容易搞出篓子

技术能力比较弱或以前玩路由器没怎么玩防火墙的的技术人员用防火墙的历程大概是这样的：wc怎么不通？tm*怎么还是不通？f*ck怎么半通半不通的？怎么通了但总感觉哪怪怪的？

如果没有比较高的安全需求的话还是用路由器可以提高运维的生活质量

因每个厂商设计思路可能不同以上内容不代表所有防火墙产品都是这样，但大部分基本都是这个样子

路由器可以支持多种类型的物理介面和二层协议

防火墙一般不会支持

冰箱可以当柜子用吗？

土壕随意

防火墙有很多种，有旁路的，有网关的，有透明防火墙。。。等等。旁路的显然不能替代路由器。

但是。。。

一般状况，默认防火墙是5层网路设备(网关式)。路由器，默认状态是3层设备。所以，很多时候，在没做明确约定状态下，可以默认为防火墙能替代路由器。

这个还是视情况而定，不能一概而论。

如果有区域网A和区域网B，想互联互通，那就中间加个路由器。区域网A和B业务都差不多，里面的电脑也都是自己公司的人在用，不需要谁防著谁，此时就不需要防火墙。目的是让所有的访问能互通。

如果有广域网和区域网，想互联互通，中间最好得加防火墙，防止广域网上的黑客入侵区域网。目的是要把一些不怀好意的访问阻断。

路由器的目的：各个网的数据包都得弄通！（除非明确禁止，否则一律弄通！）

防火墙的目的：不符合策略的数据包都得弄断！（除非明确允许，否则一律禁止！）

一个要弄通，一个要弄断，硬体设计时自然就不会一样。

路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大。
防火墙的软体为数据包的过滤进行了专门的优化，其主要模块运行在内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。

对于一个小型公司，假设区域网有200左右的终端和3-10台伺服器。典型的结构是划分成不同的区域（比如按部门科室或按业务划分），各区域在三层交换机上划入不同的VLAN。

三层交换机接入防火墙，防火墙接入路由器，路由器接入广域网。

当然，同样数量的钱，买台路由器，那就是路由功能强，防御功能弱。买台防火墙，那就是路由功能弱（cpu、内存跑的费力）、防御功能强。

纯技术工程师的推荐解决方案：买台路由性能足够带机数量的防火墙（反正公司不差钱）。

你好，非常感谢你的邀请。在一定的情况下，其实，现在防火墙、路由器、交换机之间的功能界限越来越模糊了。所以，就有人想使用一个交互设备来解决各种问题。其实，大家都想这样子做。特别是我们大型工程的时候。那么多设备，要在写项目书的时候，一一列出，写明性能。然后，去各种渠道备货，运回来。安装，设置。很是麻烦。所以，要是能有一台设备可以兼容所有的功能。那么，就可以方便很多了。（当然，钱也会少挣很多）事实上，各大设备厂商也一直在做这件事。但是，要统一这一切谈何容易。所以，现在的交换机、路由器、防火墙在功能上虽然有的地方是互相兼容的。比如，在三层交换机。防火墙都具有一定的路由功能。但是，其路由功能还是不如路由器强大。有点像阉割过的。所以，在情况允许的情况下，还是建议不要使用防火墙代替路由器。