这可能有几个原因。

• 为什么要让防火墙负担主要功能以外的运行服务？您将在防火墙上获得更少的吞吐量，这可能很重要。
• 并非所有企业都使用 NAT，或者它们在企业内部进行更远的 NAT，因为企业拥有在网络边缘公开的公共地址块。
• 使用 ISP 运行路由协议可能会更好地使用专用路由器。（同样，不要让防火墙负担与其主要功能无关的服务。）
• 等等。

我还建议企业可能（或应该）使用单独的 DHCP 服务器。

网络拓扑结构也可能比您看到的更多。如果没有具体细节，我们真的无法告诉您为什么要以这种方式完成任何特定的实施。

以下是我的意见：

1. ISP --- 路由器（你的） --- 防火墙 --- 内部网络

   我经常在拥有自己的公共 IP 块和 AS 编号的大型网络中看到这种设置。主要目的可能是：

   • 处理您的网络和 ISP 之间的路由部分。在这种情况下，您更有可能运行 BGP 并接收完整的 Internet 前缀。然后，您可以按照您想要的方式处理这些前缀。在这里放置路由器并简单地将默认路由指向ISP的IP地址是没有意义的。

   • 对您自己的公共 IP 块有更多的控制权并保持其不变，无论 ISP 是什么。在大多数情况下，用于连接路由器和 ISP 的公共 IP 范围由 ISP 管理，当您更改 ISP 时，该范围将消失。您自己的公共 IP 块的一部分将用于路由器和防火墙之间的连接，当您将 ISP 从一个更改为另一个时，这将保持不变。这是一个巨大的好处，尤其是当您在防火墙上终止了数百条 VPN 隧道（到分支机构）时。

   • 将网络的其他部分（不是内部网络）连接到此路由器，并在其接口或子接口上进行配置。如有必要，这些设置可能会直接暴露在 Internet 上。

   • 在路由器上运行几乎不支持的功能。

2. ISP --- 防火墙 --- 内部网络

   我经常在 SMB 的网络中看到这种情况，而且大多数情况下您不拥有公共 IP 范围，但您的 ISP 拥有。

防火墙更有可能是安全设备。但是路由器更适合路由流量。一些 ISP 运行边界网关协议 (BGP)。因此路由器可以更有效地运行 BGP 以建立与 ISP 的连接。

通过在路由器后面部署防火墙，可以通过使用 ACL 配置允许和限制公共 IP 在边缘路由器设备上完成对入站和出站流量的额外控制。它为组织网络设置增加了额外的安全性。