主流硬件DDOS防火墙防御功能对比

• 关 键 词：
• cisco三层交换机
• freebsd系统
• ddos攻击
• apache
• 拒绝服务攻击

   功能五：模块化防御特性

    模块化防御是针对特殊的防御目标所定义的特殊防御策略，这些防御策略一般通过通用的防御策略设置无法起到有效的防御效果。针对特殊防御目标，各硬件防火墙厂商均开发了特殊的防御模块来实现攻击防御，如针对聊天室和传奇高级攻击的防御等。

    金盾在模块化防御上是领先开发的，也做得比较成熟，所有的防御功能均是基于模块化实现，现有的防御模块相对而言比较多样化（如图十），各种防御模块能够灵活搭配。遐迩硬防在模块化防御上没有相应的功能。ChinaDDOS DIY硬防也具有简单模块化防御的特点（如图十一）。

    图十：金盾模块化防御管理界面

    图十一：ChinaDDOS DIY硬防模块化防御管理界面

    功能六：切断访问，保护整体网络

    现今网络拒绝服务攻击流量不断增加，而IDC机房总体带宽增加较慢，这就使得不管采用何种防御手段和防御硬件，都无法100％的阻止所有的拒绝服务攻击。当攻击流量达到甚至超过机房总体带宽较大时，被攻击的目标主机及整个机房网络都会延迟甚至中断。如何在攻击流量达到机房总体带宽时，切断被攻击目标主机的网络流量，或者将发往该主机的网络流量导入黑洞路由，这是保护机房网络稳定的重要一环。

    所幸目前大部分硬防都提供切断主机的功能，放弃遭受超高流量攻击的主机保护整个网络运营稳定。例如遐迩硬防和ChinaDDOS DIY硬防提供切断单台服务器保护整个网络的功能。金盾防火墙没有提供这样的功能。

    图十二：遐迩硬防切断IP设置

    图十三：ChinaDDOS DIY硬防切断IP设置

    功能七：流量控制

    流量控制功能作为为IDC运营商所喜欢的贴心功能，在多数硬件防火墙上都已经实现，例如遐迩硬件防火墙和ChinaDDOS DIY硬件防火墙。通过设置IP的允许出口流量，能够防止单台主机占用过多的网络带宽，保护整个带宽内所有机器的访问速度，另外也可有效遏制机房内主机对外攻击的情况。

    金盾防火墙和ChinaDDOS DIY硬件防火墙在流量控制方面均有相应设置选项。虽然现在金盾和ChinaDDOS的带宽控制粒度为1Mbytes，但多少为机房管理提供了便利。而遐迩硬件防火墙在这方面没有相应设置界面。

    图十四：金盾防火墙流量控制界面

    图十五：ChinaDDOS DIY硬防流量控制界面

【深 度 阅 读】 相 关 文 章

• 揭开DDoS攻防的神秘面纱
• DDos仍然是对众多ISP的首要威胁
• DDoS防护设备 黑洞Defender 4000即将上市
• Trojan.MiniMo.06.ddos