防火墻可以當路由器用嗎？

路由器，以企業級寬帶路由器來說，它其實是NAT網關和內網路由器的結合體，一般來說它是比較開放的，也就是說默認情況下聯通方面的功能是打開的，而簡易防護功能（簡易防火墻）是關閉的。默認值基本都是允許通過。經過很簡單的配置就能做為網絡的網關使用。

NAPT的規則是多內部地址對應使用一個合法的公網地址，NAPT將一個中小型私有網絡隱藏在一個合法IP的后面。如果企業只存在這一種NAT使用方法，相對來說這種路由器就是一臺天然防火墻。因為只能從私網內部發起鏈接。從外面發起的鏈接，是不能直接進去私網的，路由器會忽略這種鏈接。當然這種路由器具備一定的防dos攻擊還是有點用的。

NAPT這種純粹的使用環境在中小企業中比較常見，使用企業級路由器（帶點基礎防護功能）還是夠用的。如果企業需要使用其他NAT的功能，比如將內網的一臺服務器完全映射到公網的一個IP，典型叫法是DMZ非軍事區，其實叫“不安全區”更貼切，也就是這臺服務器的所有端口通過網關直接暴露在外網上！有這種需求的中小企業建議不要隨意使用DMZ功能。只對需要開放的端口進行映射，也就是使用網關的端口映射功能，比如只開放公網IP的80口到私網HTTP服務器上，避免很多安全隱患。

另外還有一種傳統網間路由器，他一般存在于公網、教育網等中大型網絡中，承擔的是大型網段間的數據包傳遞工作和通過路由協議傳遞整個網絡的路由路徑。一般是不做特殊限制的，想做也是可以的，有ACL訪問控制策略。

目前市面上主流防火墻一般具有兩種模式，網閘（路由）模式和透明模式。

網閘模式也就是網關的升級版，也可以說是企業級寬帶路由器的升級版。它的配置和寬帶路由器的配置剛好相反。防火墻是封閉式的，也就是默認什么都不通。你要手動指定端口是內網口還是外網口，然后手動設置內網口能訪問外網口（制定訪問策略）。你需要一個功能就必須做一項配置。開放一個內部Http服務器到公網，你就需要制定一個允許外網訪問某內部IP:80端口的策略！

透明模式是指防火墻沒有IP，不路由兩個網絡的數據包。平時當隱形人，只聽不干，只有出現非法數據包時，才出手截斷。理論上可以架設在網絡任何位置，用來保護它身后的網絡主機！

中大型企業預算充足，有專業網絡管理人員的優先考慮使用專業防火墻。

——由此我們可以看出：

主流防火墻完全勝任NAT場景下寬帶路由器的角色，在安全方面做的比寬帶路由器做的更好。中大型企業完全可以在條件允許的情況下，用防火墻替代寬帶路由器；

主流防火墻受功能限制只能作為小型網絡的網間路由器（非NAT環境），不能作為中大型網絡的網間路由器。