DDoS攻击服务器或云服务器那防火墙到底有没有用？

作者/来源：新睿云小编发布时间：2019-08-19

DDoS攻击与DDoS反制，一直是相辅相成的关系，DDoS在爆发性增长后反制手段总会有效的抑制DDoS。有了反制的办法DDoS的攻击花样就会翻新，突破DDoS反制的层层封锁。整体的趋势就是：“魔消道长，道消魔长。”二者一直是相辅相成，不断都在斗争之中取得进步……

有的小伙伴也很好奇的问过笔者，买物理服务器或者云服务器，服务器防火墙能不能抵御DDoS攻击呢？

笔者在这里回答一下：“可能防御的住，也可能防御不住！”

有人或许会说：“这不是废话嘛！”

DDoS

下面笔者就跟大家说一下常见的服务器防火墙的原理，一般来说服务器上的防火墙有软防和硬防两种。

1、软件防火墙（软防）

我们一般用户都接触过软件防火墙，像Windows上的“防火墙”、Linux上的“iptables”等。它们以软件的形式时刻检查系统上的所有数据包，然后决定放行哪些数据包或者拦截哪些数据包。

软防在应对小流量DDoS时，可以搞得住。但一旦遇到大流量的DDoS，软防是抗不住的，可以把系统资源消耗尽，服务器直接卡死。

从成本上说，软防成本很低。

防火墙

2、硬件防火墙（硬防）

和防软不同，硬防是把防火墙程序做到硬件芯片中，由单独的硬件执行防护功能，减少了CPU的负担，性能上比软防高出很多，当然了，成本也比软防高得多。

综上，不管是软防还是硬防，其原理上都差不多；但是软防是基于系统的，硬防是基于硬件的。在面对稍大的DDoS时，软防基本上是无能为力的，而硬防也不是能抗得住所有的DDoS，不同配置的硬防能承受的DDoS流量不同。假设硬防只能抗住1G的流量，而你的网站受到了2G的DDoS流量，硬防也是白搭！

云服务器

3、这些硬件防火墙到底能不能防DDOS

大体上说是可以的，根据我们的了解，国内大部分机房都是表示硬件防火墙的效果还过得去，当然中级办法就算黑洞，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

但是，如果DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

不了解黑洞的小伙伴请阅读《简单利用路由黑洞解决DDOS流量攻击》

对付DDOS是一个比较复杂而庞大的系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90％的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。

所以，硬件防火墙是否能够防DDOS这个问题的答案其实是非常令人心酸的，从理论上说，确实有效果，但是有效果又怎么样，遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着，除了个别带宽充足、比较有实力的运营商，基本上没人敢接这样的客户。除非您用的是新睿云高防云服务器或者高防IP系列产品，所以您要是想防御DDoS一定要做好网站内部的安全工作，同时再选一个靠谱的运营商。

上一篇 : 安全专家十年来DDoS防御方法心得

下一篇 : DDoS攻击查询，看完您就成专家啦！

新睿云

DDoS攻击服务器或云服务器那防火墙到底有没有用？

云服务器免费用