Loading... ## 路由和网关的区别 | 概念 | 是什么 | 作用 | | -------------------- | ----------------- | ------------------------------------------------------------------------------- | | **路由器**(Router) | 一个**设备** | 根据路由表,把数据包**从一个网络送到另一个网络** | | **网关**(Gateway) | 一个**角色/概念** | 是某个网络中**通向外部网络的“默认出口”**,通常是一个路由器、防火墙或 NAT 设备 | ## 4-7层交换机和网关的理解 4\~7 层交换机(也叫**应用层交换机**)能做的: | 功能 | 示例 | 实际用途 | | -------- | -------------------------------------------- | ---------------------------------------- | | 负载均衡 | 把 HTTP 请求按 URL、Session 分配给不同服务器 | 比如把`/api`转给后端1,`/admin`转给后端2 | | 应用识别 | 根据协议内容识别业务类型 | 比如识别出访问的是微信/抖音 | | 内容路由 | 根据内容做转发 | 比如 header 包含某个字段就发给特定服务器 | | 安全控制 | 阻止非法应用层请求 | 比如拦截恶意请求、SQL 注入 | | SSL 解密 | 解密 HTTPS 流量做流控和检测 | 应用于企业内部 HTTPS 分析网关 | --- 七层网关(如 API 网关、WAF、SSL VPN)能做的: | 类型 | 功能 | 举例 | | --------------------- | ------------------------------- | -------------------------------------- | | WAF(Web 应用防火墙) | 检查 HTTP 请求,阻断攻击 | 拦截 SQL 注入、XSS | | API 网关 | 鉴权、限流、路由 | 登录时校验 token、将流量分配给后端服务 | | SSL VPN 网关 | 解密加密流量、加密连接 | 给远程用户提供安全接入 | | 应用防火墙 | 检查 DNS、SMTP、HTTP 等协议内容 | 阻止 DNS 隧道攻击、垃圾邮件等 | --- 对比三层设备: > 你访问公司业务系统 `https://erp.company.com/login` | 设备 | 能力 | 能否理解你访问的内容? | | ---------- | ------------------------------------------------ | ---------------------------------------- | | 三层交换机 | 只知道你访问了`220.1.1.1:443` | ❌ 看不懂你访问了`erp.company.com/login` | | 七层网关 | 能解密 HTTPS、识别你访问了`/login`,能限流、鉴权 | ✅ 完全理解内容,并控制行为 | ## 常见设备OSI工作层: | 设备名称(角色) | 实际工作层 | 能力范围 | 举例说明 | | --------------------------- | ----------------------------- | ---------------------------------- | ------------------------ | | **交换机**(Switch) | 通常是**第2层**(数据链路层) | 处理**MAC 地址**,局域网转发 | 家用/办公交换机 | | **三层交换机** | 第3层(网络层) | 支持 IP 路由、VLAN 间通信 | 企业网络核心层 | | **路由器**(Router) | 第3层 | 把数据包从一个网络路由到另一个网络 | 家用路由器、公司出口设备 | | **4-7层交换机**(应用交换) | 第4\~7层 | 能识别端口号、协议、HTTP内容等 | F5、Nginx、负载均衡器 | | **防火墙** | 第3\~7层不等 | 控制访问、拦截异常流量 | 企业边界防护设备 | | **WAF、堡垒机、API 网关** | 第7层为主 | 能看懂应用内容,做安全控制或鉴权 | Web 应用层控制工具 | 最后修改:2025 年 06 月 09 日 © 允许规范转载 打赏 赞赏作者 如果觉得我的文章对你有用,请随意赞赏