计算机网络系统中，路由器与防火墙谁应该部署在最外面？

路由器/防火墙使用总结

1. 一般中小型单位 互联网出口使用防火墙，简单实用，功能多还便宜。（或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以，基本都是功能多合一）
2. 特定行业内网出口 必须用路由器，政策要求和业务需要，如公安/法院/金融等。
3. 大型网络防火墙和路由器分开，如果都用防火墙，性能可能扛不住。其实现实中很多中小型网络也习惯路由器和防火墙分离，术业有专攻，前者负责NAT，后者负责安全。

下面只讨论路由器和防火墙都存在的环境，如何部署

前文已经给大家分析过，很多网络出口既有路由器，还有防火墙，路由器负责路由、NAT等基础功能，防火墙负责应用层安全检测。会存在如下两种部署架构，如何选择呢？

两种部署方案

其实最早网络用的基本是：第一种架构。原因很简单，当年以太网还没这么流行，广域网接口有ATM、POS、E1、T1等各种五花八门的接口，这些接口防火墙都不支持，只能接在路由器上。

随着时代发展，运营商网络由SDH过渡到MSTP平台，以太网接入开始普及，使用第二种架构也无可厚非了。

但是实际项目中，我们发现，80%还是使用第一种架构，为什么呢？原因有几点：

1. 第一种架构 出口路由器部署NAT，路由器以下都可以使用私网IP，也就是只需要路由器一个公网IP就能搞定，在这个公网IP紧缺的年代，非常受用。
2. 防火墙一般会旁挂服务器，即DMZ区域，采用第一种架构，服务器在私网IP域，相对安全。黑客攻击首先需要穿透路由器的NAT，还需绕过防火墙的检测。

典型网络架构参考（中小型网络只有防火墙的案例太多，没罗列）

某省审计网络架构

某物联网中心网络架构

某省电子政务外网架构

某市电子政务外网架构

某国内顶尖高校校园网架构

某教育城域网网络架构