一般防火牆都支援靜態路由，有的也支援動態路由，因此滿足基本路由功能是沒問題，但作為高階路由，尤其是一些策略路由，以及網際網路以不同網路（如xDSL, E1, ATM，乙太網）技術連線的時候，大部分防火牆就不具備。

路由器，以企業級寬頻路由器來說，它其實是NAT閘道器和內網路由器的結合體，一般來說它是比較開放的，也就是說預設情況下聯通方面的功能是開啟的，而簡易防護功能（簡易防火牆）是關閉的。預設值基本都是允許透過。經過很簡單的配置就能做為網路的閘道器使用。

NAPT的規則是多內部地址對應使用一個合法的公網地址，NAPT將一箇中小型私有網路隱藏在一個合法IP的後面。如果企業只存在這一種NAT使用方法，相對來說這種路由器就是一臺天然防火牆。因為只能從私網內部發起連結。從外面發起的連結，是不能直接進去私網的，路由器會忽略這種連結。當然這種路由器具備一定的防dos攻擊還是有點用的。

NAPT這種純粹的使用環境在中小企業中比較常見，使用企業級路由器（帶點基礎防護功能）還是夠用的。如果企業需要使用其他NAT的功能，比如將內網的一臺伺服器完全對映到公網的一個IP，典型叫法是DMZ非軍事區，其實叫“不安全區”更貼切，也就是這臺伺服器的所有埠透過閘道器直接暴露在網路上！有這種需求的中小企業建議不要隨意使用DMZ功能。只對需要開放的埠進行對映，也就是使用閘道器的埠對映功能，比如只開放公網IP的80口到私網HTTP伺服器上，避免很多安全隱患。

另外還有一種傳統網間路由器，他一般存在於公網、教育網等中大型網路中，承擔的是大型網段間的資料包傳遞工作和透過路由協議傳遞整個網路的路由路徑。一般是不做特殊限制的，想做也是可以的，有ACL訪問控制策略。

目前市面上主流防火牆一般具有兩種模式，網閘（路由）模式和透明模式。

網閘模式也就是閘道器的升級版，也可以說是企業級寬頻路由器的升級版。它的配置和寬頻路由器的配置剛好相反。防火牆是封閉式的，也就是預設什麼都不通。你要手動指定埠是內網口還是網路口，然後手動設定內網口能訪問網路口（制定訪問策略）。你需要一個功能就必須做一項配置。開放一個內部Http伺服器到公網，你就需要制定一個允許網路訪問某內部IP:80埠的策略！

透明模式是指防火牆沒有IP，不路由兩個網路的資料包。平時當隱形人，只聽不幹，只有出現非法資料包時，才出手截斷。理論上可以架設在網路任何位置，用來保護它身後的網路主機！

中大型企業預算充足，有專業網路管理人員的優先考慮使用專業防火牆。

——由此我們可以看出：

主流防火牆完全勝任NAT場景下寬頻路由器的角色，在安全方面做的比寬頻路由器做的更好。中大型企業完全可以在條件允許的情況下，用防火牆替代寬頻路由器；

主流防火牆受功能限制只能作為小型網路的網間路由器（非NAT環境），不能作為中大型網路的網間路由器。