DDOS防火墻主要分為軟件防火墻、硬件防火墻和DIY防火墻三種，本篇文章通過(guò)選取這三種DDOS防火墻中比較有代表性的防護(hù)產(chǎn)品，在它們的各個(gè)功能性方面進(jìn)行橫向?qū)Ρ?，使得網(wǎng)絡(luò)安全管理員能夠在DDOS防火墻選擇上有著清醒的認(rèn)識(shí)。

功能一：登陸安全性

由于DDOS防火墻是工作在互聯(lián)網(wǎng)上的安全設(shè)備，其登陸的安全性是其整體安全性的重要一環(huán)，對(duì)于登陸這個(gè)環(huán)節(jié)，主流硬件防火墻表現(xiàn)如下：

·基于SSL的HTTP協(xié)議登陸

由于現(xiàn)在的DDOS防御硬件設(shè)備都是通過(guò)Web進(jìn)行管理，針對(duì)Web用戶名密碼的安全策略就顯得尤為重要，但我們對(duì)比的幾款主流硬件防火墻都沒(méi)有相應(yīng)的基于SSL加密協(xié)議的管理界面，這無(wú)疑給黑客利用中間人進(jìn)行密碼嗅探提供了條件。

·多層密碼驗(yàn)證

遐邇防火墻特別支持多層密碼驗(yàn)證功能，分別基于FreeBSD系統(tǒng)下Apache訪問(wèn)控制的密碼驗(yàn)證和管理界面自身的密碼驗(yàn)證，這樣為安全性提供了額外的保護(hù)。其他硬件防火墻沒(méi)有提供此功能。

功能二：針對(duì)單個(gè)IP設(shè)定防御策略

因?yàn)闄C(jī)房?jī)?nèi)有各種各樣的服務(wù)器，例如WEB網(wǎng)站服務(wù)器、游戲服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等等，每個(gè)服務(wù)器的正常流量也不同，針對(duì)單個(gè)服務(wù)器的攻擊判定設(shè)置就成了重要的設(shè)置項(xiàng)目之一，一個(gè)完善的防火墻系統(tǒng)應(yīng)該能針對(duì)不同的防御IP設(shè)置對(duì)應(yīng)的防御策略。

本次評(píng)測(cè)的幾種主流硬件防火墻，ChinaDDOS的硬防DIY和遐邇硬件防火墻具有針對(duì)單個(gè)IP設(shè)置防御策略的功能，金盾在防御策略設(shè)置上，針對(duì)所有防御IP均采用同樣的防御策略。

功能三：多級(jí)別防御

多級(jí)別防御是現(xiàn)有DDOS防火墻普遍采用的防御策略之一，通過(guò)多種防御級(jí)別，能夠讓硬件防火墻在不同的攻擊流量下提供不同的防御策略，在低攻擊流量時(shí)，充分保障正常應(yīng)用不受影響，在高攻擊流量時(shí)，達(dá)到更高的防御效果。

本次評(píng)測(cè)的幾款硬件防火墻均提供了多級(jí)別防御的功能，例如遐邇提供了三級(jí)保護(hù)"普通"、"危急"、"高危"，金盾提供了二級(jí)保護(hù)"普通"、"危急"，ChinaDDOSDIY硬防提供了二級(jí)保護(hù)"普通"、"二級(jí)防御"等。

功能四：智能化及主動(dòng)黑白名單管理

在現(xiàn)有攻擊防御體系中，針對(duì)真實(shí)源址的攻擊（例如利用僵尸肉雞發(fā)起的攻擊）防御一般由DNA甄別、行為甄別來(lái)實(shí)現(xiàn)，加上智能化黑名單管理，將甄別出的攻擊地址放入黑名單中進(jìn)行防御。所以智能黑名單特性是有效防御此類(lèi)攻擊的主要特性之一。另外，所有的甄別行為都會(huì)產(chǎn)生一定的誤判，所以黑名單中攻擊源的屏蔽時(shí)間管理和手動(dòng)對(duì)黑名單中地址進(jìn)行添加和刪除的功能也十分重要。

在本次測(cè)試的硬件防火墻中，金盾硬防和ChinaDDOSDIY硬防都具有黑名單的特性，遐邇沒(méi)有黑名單方面的管理特性。ChinaDDOSDIY硬防設(shè)置的"智能黑名單"延時(shí)功能，有利于在黑名單中主機(jī)再次發(fā)起攻擊包時(shí)，自動(dòng)延長(zhǎng)其屏蔽時(shí)間，這樣可以設(shè)置一個(gè)更短的屏蔽時(shí)間，有利于保障正常訪問(wèn)。

手動(dòng)管理黑白名單方面，只有ChinaDDOSDIY硬防有這方面的功能。

功能五：模塊化防御特性

模塊化防御是針對(duì)特殊的防御目標(biāo)所定義的特殊防御策略，這些防御策略一般通過(guò)通用的防御策略設(shè)置無(wú)法起到有效的防御效果。針對(duì)特殊防御目標(biāo)，各硬件防火墻廠商均開(kāi)發(fā)了特殊的防御模塊來(lái)實(shí)現(xiàn)攻擊防御，如針對(duì)聊天室和傳奇高級(jí)攻擊的防御等。

金盾在模塊化防御上是領(lǐng)先開(kāi)發(fā)的，也做得比較成熟，所有的防御功能均是基于模塊化實(shí)現(xiàn)，現(xiàn)有的防御模塊相對(duì)而言比較多樣化，各種防御模塊能夠靈活搭配。遐邇硬防在模塊化防御上沒(méi)有相應(yīng)的功能。ChinaDDOSDIY硬防也具有簡(jiǎn)單模塊化防御的特點(diǎn)。

功能六：切斷訪問(wèn)，保護(hù)整體網(wǎng)絡(luò)

現(xiàn)今網(wǎng)絡(luò)拒絕服務(wù)攻擊流量不斷增加，而IDC機(jī)房總體帶寬增加較慢，這就使得不管采用何種防御手段和防御硬件，都無(wú)法100％的阻止所有的拒絕服務(wù)攻擊。當(dāng)攻擊流量達(dá)到甚至超過(guò)機(jī)房總體帶寬較大時(shí)，被攻擊的目標(biāo)主機(jī)及整個(gè)機(jī)房網(wǎng)絡(luò)都會(huì)延遲甚至中斷。如何在攻擊流量達(dá)到機(jī)房總體帶寬時(shí)，切斷被攻擊目標(biāo)主機(jī)的網(wǎng)絡(luò)流量，或者將發(fā)往該主機(jī)的網(wǎng)絡(luò)流量導(dǎo)入黑洞路由，這是保護(hù)機(jī)房網(wǎng)絡(luò)穩(wěn)定的重要一環(huán)。

所幸目前大部分硬防都提供切斷主機(jī)的功能，放棄遭受超高流量攻擊的主機(jī)保護(hù)整個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)穩(wěn)定。例如遐邇硬防和ChinaDDOSDIY硬防提供切斷單臺(tái)服務(wù)器保護(hù)整個(gè)網(wǎng)絡(luò)的功能。金盾DDOS防火墻沒(méi)有提供這樣的功能。

功能七：流量控制

流量控制功能作為為IDC運(yùn)營(yíng)商所喜歡的貼心功能，在多數(shù)硬件防火墻上都已經(jīng)實(shí)現(xiàn)，例如遐邇硬件防火墻和ChinaDDOSDIY硬件防火墻。通過(guò)設(shè)置IP的允許出口流量，能夠防止單臺(tái)主機(jī)占用過(guò)多的網(wǎng)絡(luò)帶寬，保護(hù)整個(gè)帶寬內(nèi)所有機(jī)器的訪問(wèn)速度，另外也可有效遏制機(jī)房?jī)?nèi)主機(jī)對(duì)外攻擊的情況。

金盾防火墻和ChinaDDOSDIY硬件防火墻在流量控制方面均有相應(yīng)設(shè)置選項(xiàng)。雖然現(xiàn)在金盾和ChinaDDOS的帶寬控制粒度為1Mbytes，但多少為機(jī)房管理提供了便利。而遐邇硬件防火墻在這方面沒(méi)有相應(yīng)設(shè)置界面。

功能八：自定義規(guī)則過(guò)濾

自定義規(guī)則作為高級(jí)DDOS防火墻的防御功能，為阻止新出現(xiàn)的攻擊提供了有效手段，金盾硬防和ChinaDDOSDIY硬防在自定義防御規(guī)則方面實(shí)現(xiàn)了相應(yīng)功能。遐邇防火墻沒(méi)有實(shí)現(xiàn)這些方面的功能。

金盾防火墻允許按照源、目的IP地址（或地址段），協(xié)議類(lèi)型，匹配規(guī)則，時(shí)限，連接方向自定義防御行為，功能較為強(qiáng)大，而ChinaDDOSDIY硬防允許按照協(xié)議類(lèi)型，源、目的IP地址（不支持地址段），包DNA特性及匹配規(guī)則設(shè)置防御行為，沒(méi)有時(shí)限和連接方向等方面設(shè)置。

各項(xiàng)防御功能綜合對(duì)比表：

【編輯推薦】

1. DDoS拒絕服務(wù)攻擊和安全防范技術(shù)
2. ROS防止外網(wǎng)的DDOS的好辦法
3. 淺析企業(yè)DDOS防火墻成本比較
4. DDoS deflate:自動(dòng)屏蔽DDOS攻擊者IP
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻