防火墙是企业网络建设中关键的组成部分。很多用户认为网络中已经有了路由器，可以实现简单的包过滤功能，就不需要用防火墙。下面就针对防火墙与路由器防火墙在安全方面的对比，阐述为何有了路由器还需要防火墙。

两种设备产生的根源不同

路由器是基于对网络数据包路由而出现的。路由器是将不同网络的数据包进行有效的路由，为什么路由、是否应该路由、路由过后是否有问题等不是路由器所关心的，所关心的是：能否将不同网段的数据包进行路由从而进行通讯。 

防火墙是人们对于安全性的需求而出现。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，所关心的是：数据包是否应该通过、通过后是否会对网络造成危害。

根本目的不同

路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。

核心技术的不同

路由器核心的ACL列表是基于简单的包过滤，防火墙是基于状态包过滤的应用级信息流过滤。一个简单的应用：企业内网的一台主机，通过路由器防火墙对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性，在路由器上需要配置成：外到内，只允许client访问server的tcp 1455端口，其他拒绝。针对现在的配置，存在的安全脆弱性如下：路由器防火墙不能监测TCP的状态。

如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。

虽然路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用时也需要先Telnet到路由器上，这样不但用起来不方便，也不安全。

安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性规则的制定相对比较复杂，配置出错的概率较高。

防火墙的默认配置既可以防止各种攻击，基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。

对性能的影响不同

路由器的功能是转发数据包，没有专门设计作为全特性防火墙。用于进行包过滤时，需要进行运算非常大，对路由器防火墙的CPU和内存的需求都非常大，而路由器的硬件成本比较高，其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高，软件也为数据包的过滤进行了专门的优化，主要模块运行在操作系统的内核模式下，特别考虑了安全问题，进行数据包过滤的性能非常高。

路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。

审计功能的强弱差异巨大

路由器没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；也没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

防范攻击的能力不同

一般路由器都不具备应用层的防范和入侵实时检测等功能，如果想要具备这些功能，就要升级IOS防火墙特性集，但是软件的升级、大量的运算与硬件配置的升级都会增加成本。可以得出：、

用户的网络拓扑结构的简单与复杂、应用程序的难易程度不是决定是否使用防火墙的标准，而且用户对网络安全的需求。即使是非常简单的网络拓扑结构和应用，都应该使用防火墙。防火墙是网络建设中不可或缺的一部分，路由器防火墙是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。