防火墻幾乎已經(jīng)成為了企業(yè)安全防護(hù)的必需品，而面對(duì)DDOS攻擊，DDOS防火墻又成為了企業(yè)關(guān)注的問題。然而添加DDOS防火墻成本的問題也是讓各企業(yè)分外頭疼。目前DDOS的解決放案可以分為三種：軟件防火墻、硬件防火墻和DIY防火墻。本文簡單分析了一下這幾種防火墻在防御性能和防火墻成本需求方面的問題。

對(duì)于IDC運(yùn)營而言，從成本和防御特點(diǎn)上分線，其優(yōu)缺點(diǎn)如下：

1、軟件防火墻解決方案因?yàn)槭前惭b在被保護(hù)的服務(wù)器上，其防御能力和防御區(qū)域有限，在攻擊流量稍大的情況下，對(duì)目標(biāo)服務(wù)器硬件資源占用嚴(yán)重，且如果機(jī)房服務(wù)器數(shù)量較多，整體成本也很高。但軟件防火墻安裝方便，不用動(dòng)硬件設(shè)備，部署很靈活。

2、硬件防火墻是目前IDC廣泛采用且能起到實(shí)際效果的防御方案，其缺點(diǎn)是投資成本過高，中小IDC很難接受，購買成本一般在百兆產(chǎn)品在2-4萬元，千兆在6-8萬元左右。如果需要對(duì)高帶寬進(jìn)行防御，群集成本更高。

3、新出現(xiàn)的DIY硬件防火墻方案。和軟件防火墻不同，DIY硬件防火墻方案是通過安裝在客戶自行準(zhǔn)備的硬件平臺(tái)上的內(nèi)核軟件實(shí)現(xiàn)和一般硬件防火墻相同的防御能力和防御功能。由于硬件平臺(tái)有用戶自行準(zhǔn)備，所以可以利用現(xiàn)有設(shè)備，將整體擁有成本降至最低。一般而言，百兆防御成本大概為1000元每機(jī)房每月，千兆防御為1500元每月。

對(duì)于防御能力而言，軟件防火墻因?yàn)槠淠Ｊ缴系娜毕?，無法對(duì)整個(gè)機(jī)柜或機(jī)房建立保護(hù)，過濾攻擊數(shù)據(jù)包時(shí)消耗的系統(tǒng)資源也會(huì)影響目標(biāo)系統(tǒng)的正常應(yīng)用，所以在這里不予評(píng)價(jià)。

現(xiàn)在硬件防火墻全部是X86架構(gòu)，通俗來說，防火墻硬件就是一臺(tái)電腦，并不是專門用于網(wǎng)絡(luò)處理的專用處理芯片，和DIY硬件防火墻防御模式相同，均能對(duì)整個(gè)機(jī)柜和機(jī)房進(jìn)行保護(hù)，并能群集防御高流量攻擊，所以我們將視線集中在硬件防火墻和DIY硬件防火墻上。

從擁有成本對(duì)表表格來看，硬件防火墻作為主流防御手段，其整體擁有成本也很高，作為折中方案的DIY硬件防火墻，其提供的按月收取服務(wù)費(fèi)的方式倒是很好的解決了IDC面臨的資金壓力和投資風(fēng)險(xiǎn)等問題。

【編輯推薦】

1. DDoS拒絕服務(wù)攻擊和安全防范技術(shù)
2. ROS防止外網(wǎng)的DDOS的好辦法
3. 揭秘黑客手中DDoS攻擊利器——黑色能量2代
4. DDoS deflate:自動(dòng)屏蔽DDOS攻擊者IP
5. DDoS防御進(jìn)入“云”清洗階段