我运行了几个Ubuntu服务器(虚拟化),并安装了fail2ban以减lessDDOS。 对于防火墙,每台服务器都有iptables。
我正在评估我的安全选项,并想知道fail2ban如何保护您免受DDOS攻击与专用硬件设备的冲击? 而且,是一个硬件防火墙将提供比iptables更好/更多的保护(或者它只是在堆栈中更高)?
我想你一直在听太多的营销手段。
硬件防火墙和软件防火墙之间并没有真正的区别。 两者都是由软件驱动的。
所谓的硬件防火墙也是一台电脑,但没有一些像USB或SATA这样的外设接口。 他们中的一些甚至在Linux下运行Linux和IPTables,但提供了一个很好的Web界面。 其他人提供他们自己的操作系统,在我看来可能有更less的function,并没有比iptables更多的testing。
那么有没有什么好的理由来购买“硬件防火墙”? 或许。 一般来说,他们很好的支持,并提供了一个非常优美的用户界面和良好的支持 他们也看起来很光滑在你的机架。 但是,现在真的有抛光的linux / freebsd发行版可以提供相同的function,您可以在普通计算机或定制硬件上运行它。 例如Untangle,Astaro,Monowall,pfSense等,我没有看到这么大的优势。
现在,当涉及到DDoS附件时,绝对没有办法保护它。 如果你可以防止这些数据包在源发送,那么这将是答案,但你不能。
几年前,我想起了一个大公司在IT界引起轰动的案例,在几天之内他们的网站被DDoS攻击淹没。 最后,他们不得不放弃主要域名并将其改为另一个域名。 即使他们用大量的IT预算也做不了多less事情。
如果这是一个真正的DDoS攻击,本地networking上的任何东西都不会阻止它。 你需要你的上游供应商的合作。 当包被丢弃的时候,它们仍然会堵塞你的pipe道。
使用硬件防火墙比软件防火墙有很多原因(function,易pipe理性,日志logging的中心点等),但是就DDoS而言,对于任何规模的实际攻击来说都是不够的。