主流硬件DDOS防火墙防御功能对比

• 关 键 词：
• cisco三层交换机
• freebsd系统
• ddos攻击
• apache
• 拒绝服务攻击

    功能三：多级别防御

    多级别防御是现有DDOS硬件防火墙普遍采用的防御策略之一，通过多种防御级别，能够让硬件防火墙在不同的攻击流量下提供不同的防御策略，在低攻击流量时，充分保障正常应用不受影响，在高攻击流量时，达到更高的防御效果。

    本次评测的几款硬件防火墙均提供了多级别防御的功能，例如遐迩提供了三级保护"普通"、"危急"、"高危"（如图四），金盾提供了二级保护"普通"、"危急"（如图五），ChinaDDOS DIY硬防提供了二级保护"普通"、"二级防御"（如图六）等。

    图四：遐迩硬件防火墙防御级别设置

    图五：金盾硬件防火墙防御级别设置

    图六：ChinaDDOS DIY硬防防御级别设置

    功能四：智能化及主动黑白名单管理

    在现有攻击防御体系中，针对真实源址的攻击（例如利用僵尸肉鸡发起的攻击）防御一般由DNA甄别、行为甄别来实现，加上智能化黑名单管理，将甄别出的攻击地址放入黑名单中进行防御。所以智能黑名单特性是有效防御此类攻击的主要特性之一。另外，所有的甄别行为都会产生一定的误判，所以黑名单中攻击源的屏蔽时间管理和手动对黑名单中地址进行添加和删除的功能也十分重要。

    在本次测试的硬件防火墙中，金盾硬防和ChinaDDOS DIY硬防都具有黑名单的特性，遐迩没有黑名单方面的管理特性。ChinaDDOS DIY硬防设置的"智能黑名单"延时功能，有利于在黑名单中主机再次发起攻击包时，自动延长其屏蔽时间（如图），这样可以设置一个更短的屏蔽时间，有利于保障正常访问。

    手动管理黑白名单方面，只有ChinaDDOS DIY硬防有这方面的功能。（如图）

    图七：金盾硬防黑名单屏蔽时间设置

    图八：ChinaDDOS DIY硬防黑名单属性管理

    图九：ChinaDDOS DIY硬防手动黑白名单管理

【深 度 阅 读】 相 关 文 章

• 揭开DDoS攻防的神秘面纱
• DDos仍然是对众多ISP的首要威胁
• DDoS防护设备 黑洞Defender 4000即将上市
• Trojan.MiniMo.06.ddos