軟體與硬體設備 DD OS 和防火牆

我執行了幾個 Ubuntu 伺服器（虛擬化）並安裝了 fail2ban 以緩解 DDOS。對於防火牆，每個伺服器都有 iptables。

我正在評估我的安全選項，並想知道 fail2ban 與專用硬體設備相比如何保護您免受 DDOS 攻擊？而且，硬體防火牆是否會比 iptables 為您提供更好/更多的保護（或者它只是在堆棧中更高）？

我認為你一直在聽太多的行銷廢話。

您所謂的硬體防火牆和軟體防火牆之間沒有真正的區別。兩者都是由軟體驅動的。

所謂的硬體防火牆也是一台電腦，但沒有USB或SATA等一些外圍介面。其中一些甚至在後台執行 Linux 和 IPTables，但提供了一個不錯的 Web 界面。其他人提供他們自己的作業系統，在我看來，這些作業系統的功能可能比 iptables 少，而且測試的次數也不多。

那麼購買“硬體防火牆”有什麼好的理由嗎？也許好吧。通常，它們得到很好的支持，並提供了非常精美的使用者界面和良好的支持。它們在您的機架上看起來也非常時尚。然而，現在有真正完善的 linux/freebsd 發行版提供相同的功能，您可以在普通電腦或自定義硬體上執行它。例如 Untangle、Astaro、Monowall、pfSense 等，我看不出有這麼大的優勢。

現在，當涉及到 DDoS 附加時，絕對沒有辦法防範它。如果您可以阻止從源頭髮送這些數據包，那麼這就是答案，但您不能。

幾年前，我記得有一個案例，一家大公司在 IT 界引起了轟動，幾天之內他們的網站就被 DDoS 攻擊淹沒了。最後他們不得不放棄他們的主域名並將其更改為另一個名稱。即使他們用龐大的 IT 預算也無能為力。

引用自：https://serverfault.com/questions/338808