Ubuntu

軟體與硬體設備 DD OS 和防火牆

  • December 8, 2011

我執行了幾個 Ubuntu 伺服器(虛擬化)並安裝了 fail2ban 以緩解 DDOS。對於防火牆,每個伺服器都有 iptables。

我正在評估我的安全選項,並想知道 fail2ban 與專用硬體設備相比如何保護您免受 DDOS 攻擊?而且,硬體防火牆是否會比 iptables 為您提供更好/更多的保護(或者它只是在堆棧中更高)?

我認為你一直在聽太多的行銷廢話。

您所謂的硬體防火牆和軟體防火牆之間沒有真正的區別。兩者都是由軟體驅動的。

所謂的硬體防火牆也是一台電腦,但沒有USB或SATA等一些外圍介面。其中一些甚至在後台執行 Linux 和 IPTables,但提供了一個不錯的 Web 界面。其他人提供他們自己的作業系統,在我看來,這些作業系統的功能可能比 iptables 少,而且測試的次數也不多。

那麼購買“硬體防火牆”有什麼好的理由嗎?也許好吧。通常,它們得到很好的支持,並提供了非常精美的使用者界面和良好的支持。它們在您的機架上看起來也非常時尚。然而,現在有真正完善的 linux/freebsd 發行版提供相同的功能,您可以在普通電腦或自定義硬體上執行它。例如 Untangle、Astaro、Monowall、pfSense 等,我看不出有這麼大的優勢。

現在,當涉及到 DDoS 附加時,絕對沒有辦法防範它。如果您可以阻止從源頭髮送這些數據包,那麼這就是答案,但您不能。

幾年前,我記得有一個案例,一家大公司在 IT 界引起了轟動,幾天之內他們的網站就被 DDoS 攻擊淹沒了。最後他們不得不放棄他們的主域名並將其更改為另一個名稱。即使他們用龐大的 IT 預算也無能為力。

引用自:https://serverfault.com/questions/338808