路由器在防火墙前面的原因是在许多/大多数网络中，ISP和客户之间的传输介质不受防火墙支持，因此需要路由器。

最近，许多运营商向他们的客户提供以太网切换，因此在防火墙前安装路由器并不总是必要的。

随着一切都是以太网的兴起，ISP 的交接直接进入防火墙变得越来越普遍。

但是，根据您的网络需求和防火墙功能，可能需要/希望使用路由器来处理典型的“路由”负载——路由协议、QoS、速率限制、多协议支持（例如 DHCPv6、PPP、VLAN）、链路身份验证（802.1x、MACSec 等）

在我的办公室里，有两个 ISP（及其相关设备）直接进入我的防火墙组。一个完美处理多宿主，另一个不太好，第三个只连接到一个 ISP。在多种情况下，我使用 ISP 路由器在到达防火墙之前过滤流量。

（如果我使用自己的地址空间进行多宿主，我将不得不使用前端路由器，因为我的防火墙都不能运行 BGP。）

注意：这主要适用于小型网络。在大公司，这有点复杂。

您大多是对的，但这取决于我们正在谈论的路由器。

在某些公司环境中（在欧洲很常见，在美国则不然），ISP 会在现场放置自己的路由器。这是 CPE -客户端设备

所以业务防火墙直接连接在 CPE 后面，CPE 通常（但不总是）是一个路由器，那么你可以在这个防火墙后面有一个或多个路由器。

另请注意，防火墙通常是主路由器上的一项功能。

ISP (CPE) > 防火墙 > 路由器 > LAN

正如 Ron 所指出的，防火墙可能不支持 WAN 链接协议或身份验证方案。此外，如果“路由器”意味着 SNAT，则防火墙不会看到特定的用户 IP，而只会看到实际上无法进行日志记录的公共 IP（池）。

ISP (CPE) > 路由器 > 防火墙 > LAN

现在防火墙可以区分访问 Internet 的最终用户，正确登录并使用细粒度策略。