路由器因为要处理网络层协议的转换、路由表更新等工作，其工作负担是很重的。高性能的路由器价格也是相当昂贵的。因此，通常路由器192.168.1.1内置的包过滤只是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加。而真正的防火墙采用的是状态包过滤，规则条数、NAT的规则数对性能的影响接近于零。简单的包过滤对于某些基于会话的攻击阻断是无能为力的.例如，IP地址欺骗(使连接非正常复位)以及TCP欺编(会话重放和劫持)。路由器192.168.0.1是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于实施安全功能时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大。路由器由于其硬件成本比较高，其高性能配咒时硬件的成本都比较人。
　　另外，路由器的默认配置对安全性的考虑不够，要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是鉴于命令行的，其针对安全性的规则的制定相对比较复杂，配咒出错的概率较高。而防火墙的默认配置就可以防止各种攻击，既实用又安全.
　　其安全策略的制定人性化，配置简单，出错率低。
　　最后，很多路由器本身没有强大的审计分析工其，对日志、事件的描述采用的是不太容易理解的语言，路由器对攻击等安全事件的响应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件日志。审计功能的弱化.使管理员不能够对安全事件进行及时、准确的响应。
　　当然.现在的路由器在安全功能及易用性上有了很大的提高，近年来，安全路由器的安全功能不再局限于简单的包过滤了。但是，用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度、路由器安全功能的强大与否不是决定是否将路由器作为唯一的安全组件的标准，决定用户是否使用其他安全组件(比如防火墙)的一个根本条件是用户对网络安全的要求以及用户的设备预算。
　　例如，对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要升级OSI为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的
　　升级，进一步增加了成本，而且很多厂家的路由器不其有这样的高级安全功能。在安全功能、路由转发、协议转换、性能等方面都面面俱到的安全路由器产品是非常昂贵的。
　　往往可以得到以下的结论:
    .具有防火墙特性的路由器成本>防火墙+路由器;
    .具有防火墙特性的路由器功能<防火墙+路OM;
    .具有防火墙特性的路由器可扩展性<防火境+路由器。
    因此，在一个全面安全体系结构中，路由器应作为安全组件的一部分。路由器经常用作屏蔽设备，执行包过涟功能，使得应用级的防火墙的下行负载有所降低。这种做法优化了防火墙与路由器的体系结构，路由器只执行简单的包过A功能，而拥有强大功能的防火墙则对能够通过路由器的数据包进行检查。对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。因此.构建一个安全的网络环境，应该综合利用各种设备，这才是最合理、有效、经济的办法。