近年来，随着木马、病毒的日益泛滥，互联网拒绝服务攻击的频度和攻击流量也随之急速增加，在攻击方式、攻击技术和攻击资源不断成熟的同时，抗拒绝服务的相关软硬件产品也获得了长足的发展。现今的IDC市场基本上已经到了缺乏有效的拒绝服务攻击防御手段将无法进行稳定的IDC业务运营的境地。

      但拒绝服务防御产品种类繁多，价格差异也非常大，从几百元安装在目标服务器上对单台服务器进行保护的软件防火墙到几万甚至十几万元的百兆、千兆硬件防火墙，包括新出现的提供硬件防火墙方案并协助客户DIY硬件防火墙的实惠的替代方案等，客户往往无所适从，尤其对DIY硬件防火墙所使用的相关技术、防御能力等不了解，使其在选择时往往无所适从。

    在使用过各种拒绝服务攻击防御产品和方案后，本文笔者将就现今主流的拒绝服务攻击方式、相应防御手段及对应的防御策略来剖析现今各种主流攻击防御手段的优劣因为拒绝服务攻击，IDC行业进入门槛无形被提升了许多。对IDC市场了解的投资者在进行IDC机房投资时时不得不考虑相应的拒绝服务攻击防御策略。目前可供选择的拒绝服务攻击（DDoS）解决方案大概分为：

1、 软件防火墙解决方案

2、 硬件防火墙解决方案

3、 DIY硬件防火墙解决方案

    第一节 成本比较

    对于IDC运营而言，从成本和防御特点上分线，其优缺点如下：

    1、 软件防火墙解决方案因为是安装在被保护的服务器上，其防御能力和防御区域有限，在攻击流量稍大的情况下，对目标服务器硬件资源占用严重，且如果机房服务器数量较多，整体成本也很高。但软件防火墙安装方便，不用动硬件设备，部署很灵活。

    2、 硬件防火墙是目前IDC广泛采用且能起到实际效果的防御方案，其缺点是投资成本过高，中小IDC很难接受，购买成本一般在百兆产品在2-4万元，千兆在6-8万元左右。如果需要对高带宽进行防御，群集成本更高。

    3、 新出现的DIY硬件防火墙方案。和软件防火墙不同，DIY硬件防火墙方案是通过安装在客户自行准备的硬件平台上的内核软件实现和一般硬件防火墙相同的防御能力和防御功能。由于硬件平台有用户自行准备，所以可以利用现有设备，将整体拥有成本降至最低。一般而言，百兆防御成本大概为1000元每机房每月，千兆防御为1500元每月。

    对于防御能力而言，软件防火墙因为其模式上的缺陷，无法对整个机柜或机房建立保护，过滤攻击数据包时消耗的系统资源也会影响目标系统的正常应用，所以在这里不予评价。

    现在硬件防火墙全部是X86架构，通俗来说，防火墙硬件就是一台电脑，并不是专门用于网络处理的专用处理芯片，和DIY硬件防火墙防御模式相同，均能对整个机柜和机房进行保护，并能群集防御高流量攻击，所以我们将视线集中在硬件防火墙和DIY硬件防火墙上。

    防御能力及整体拥有成本对比：



    从拥有成本对表表格来看，硬件防火墙作为主流防御手段，其整体拥有成本也很高，作为折中方案的DIY硬件防火墙，其提供的按月收取服务费的方式倒是很好的解决了IDC面临的资金压力和投资风险等问题。

    第二节 防御功能对比（攻击方式篇）

    谈到防御功能，我们就不能不分析一下目前国内互联网上主要的拒绝服务攻击手段，现今互联网上主要使用的攻击手段有：SYN-FLOOD：老牌DDOS攻击方式，利用TCP协议三次握手的弱点发起的攻击，特点是攻击源地址是虚假地址，不容易跟踪到攻击源。攻击者在单位时间内构造的TCP-SYN数据包数量越多，其攻击效果就越显著。

    单一原址SYN攻击：针对目前群集防御利用三层交换设备（如Cisco三层交换机）进行端口聚合和负载均衡时均衡算法的漏洞，使用真实的或者虚拟成单一源地址和相同的源端口进行攻击。此种攻击方式在大部分三层交换设备上会通过单一线路进行交换，从而削弱群集防御的效果。

    真实原址SYN攻击：针对某些软件防火墙和硬件防火墙的防御原理，专门针对防火墙的反向寻址防御方式发起的攻击方式。最近两年网络傀儡机价值链的建立，使得真实原址SYN攻击成为现在互联网上较多的一种攻击方式，攻击者通过控制的众多的傀儡机进行攻击数据包的发送。

    1、SYN大包攻击：和一般SYN攻击不同，SYN大包攻击是通过构造超大的TCP数据包，造成被攻击目标网络堵塞的方式达到攻击效果，和普通SYN不同，发起同样流量的攻击，发送超大数据包占用发送端的系统资源更少。

    2、UDP大包攻击：相对于TCP协议数据包而言，攻击端仅需要更少的系统资源就能构建出UDP数据包，这也为攻击者大肆发送UDP攻击包提供了条件，UDP攻击一般是通过超大数据包堵塞网络带宽来实现。

    3、代理CC攻击：最初由中华攻客的攻击软件引发的互联网大量代理CC攻击。通过收集互联网上出现的大量免费开放代理服务器，通过对这些服务器提交大量针对攻击目的地址的访问请求，由代理服务器中转进行的攻击。代理CC攻击因其发起端仅需要一条普通宽带线路，其攻击地址又是真实地址（代理服务器地址），曾一度使得众多网络运营者深受其害。

    4、SYN-ACK、PSH-ACK等：针对TCP连接的各种弱点发起的攻击方式。

    5、传奇DB攻击：专门针对传奇数据库的攻击方式，也是由中华攻客最先写的攻击程序，其攻击方式是模拟传奇客户段账号创建动作，使得传奇服务器瘫痪。

    6、传奇刷小人攻击：通过不停的上下线和模拟登陆，使得传奇服务器瘫痪。

    针对以上这些攻击方式，各类防火墙表现大致相同：



    第三节 防御功能对比（管理功能篇）

    在针对攻击方式的防御能力外，防火墙管理的便利性和各项管理功能的完善程度，针对新攻击的自由配置能力也是防御功能的体现之一。

    本节主要从各硬件防火墙的管理界面和管理功能着手，针对各项防御功能对各种防火墙进行横向对比，分析各硬件防火墙的配置功能。

    功能一：登陆安全性

    由于防火墙是工作在互联网上的安全设备，其登陆的安全性是其整体安全性的重要一环，对于登陆这个环节，主流硬件防火墙表现如下：

   ·基于SSL的HTTP协议登陆

    由于现在的DDOS防御硬件设备都是通过Web进行管理，针对Web用户名密码的安全策略就显得尤为重要，但我们对比的几款主流硬件防火墙都没有相应的基于SSL加密协议的管理界面，这无疑给黑客利用中间人进行密码嗅探提供了条件。

    ·多层密码验证

    遐迩防火墙特别支持多层密码验证功能，分别基于FreeBSD系统下Apache访问控制的密码验证和管理界面自身的密码验证，这样为安全性提供了额外的保护。其他硬件防火墙没有提供此功能。

    综合比较表如下



    功能二：针对单个IP设定防御策略

    因为机房内有各种各样的服务器，例如WEB网站服务器、游戏服务器、数据库服务器等等，每个服务器的正常流量也不同，针对单个服务器的攻击判定设置就成了重要的设置项目之一，一个完善的防火墙系统应该能针对不同的防御IP设置对应的防御策略。

    本次评测的几种主流硬件防火墙，ChinaDDOS的硬防DIY（如图1）和遐迩硬件防火墙（如图3）具有针对单个IP设置防御策略的功能，金盾在防御策略设置上，针对所有防御IP均采用同样的防御策略（如图2）。

    图1：ChinaDDOS DIY防火墙防御策略设置界面







    图2：金盾防火墙防御策略设置界面



    图3：遐迩防火墙防御策略设置界面







   功能三：多级别防御

    多级别防御是现有DDOS硬件防火墙普遍采用的防御策略之一，通过多种防御级别，能够让硬件防火墙在不同的攻击流量下提供不同的防御策略，在低攻击流量时，充分保障正常应用不受影响，在高攻击流量时，达到更高的防御效果。

    本次评测的几款硬件防火墙均提供了多级别防御的功能，例如遐迩提供了三级保护"普通"、"危急"、"高危"（如图四），金盾提供了二级保护"普通"、"危急"（如图五），ChinaDDOS DIY硬防提供了二级保护"普通"、"二级防御"（如图六）等。

    图四：遐迩硬件防火墙防御级别设置



    图五：金盾硬件防火墙防御级别设置



    图六：ChinaDDOS DIY硬防防御级别设置



    功能四：智能化及主动黑白名单管理

    在现有攻击防御体系中，针对真实源址的攻击（例如利用僵尸肉鸡发起的攻击）防御一般由DNA甄别、行为甄别来实现，加上智能化黑名单管理，将甄别出的攻击地址放入黑名单中进行防御。所以智能黑名单特性是有效防御此类攻击的主要特性之一。另外，所有的甄别行为都会产生一定的误判，所以黑名单中攻击源的屏蔽时间管理和手动对黑名单中地址进行添加和删除的功能也十分重要。

    在本次测试的硬件防火墙中，金盾硬防和ChinaDDOS DIY硬防都具有黑名单的特性，遐迩没有黑名单方面的管理特性。ChinaDDOS DIY硬防设置的"智能黑名单"延时功能，有利于在黑名单中主机再次发起攻击包时，自动延长其屏蔽时间（如图），这样可以设置一个更短的屏蔽时间，有利于保障正常访问。

    手动管理黑白名单方面，只有ChinaDDOS DIY硬防有这方面的功能。（如图）

    图七：金盾硬防黑名单屏蔽时间设置



    图八：ChinaDDOS DIY硬防黑名单属性管理



    图九：ChinaDDOS DIY硬防手动黑白名单管理





    功能五：模块化防御特性

    模块化防御是针对特殊的防御目标所定义的特殊防御策略，这些防御策略一般通过通用的防御策略设置无法起到有效的防御效果。针对特殊防御目标，各硬件防火墙厂商均开发了特殊的防御模块来实现攻击防御，如针对聊天室和传奇高级攻击的防御等。

    金盾在模块化防御上是领先开发的，也做得比较成熟，所有的防御功能均是基于模块化实现，现有的防御模块相对而言比较多样化（如图十），各种防御模块能够灵活搭配。遐迩硬防在模块化防御上没有相应的功能。ChinaDDOS DIY硬防也具有简单模块化防御的特点（如图十一）。

    图十：金盾模块化防御管理界面



    图十一：ChinaDDOS DIY硬防模块化防御管理界面



    功能六：切断访问，保护整体网络

    现今网络拒绝服务攻击流量不断增加，而IDC机房总体带宽增加较慢，这就使得不管采用何种防御手段和防御硬件，都无法100％的阻止所有的拒绝服务攻击。当攻击流量达到甚至超过机房总体带宽较大时，被攻击的目标主机及整个机房网络都会延迟甚至中断。如何在攻击流量达到机房总体带宽时，切断被攻击目标主机的网络流量，或者将发往该主机的网络流量导入黑洞路由，这是保护机房网络稳定的重要一环。

    所幸目前大部分硬防都提供切断主机的功能，放弃遭受超高流量攻击的主机保护整个网络运营稳定。例如遐迩硬防和ChinaDDOS DIY硬防提供切断单台服务器保护整个网络的功能。金盾防火墙没有提供这样的功能。

    图十二：遐迩硬防切断IP设置



    图十三：ChinaDDOS DIY硬防切断IP设置



    功能七：流量控制

    流量控制功能作为为IDC运营商所喜欢的贴心功能，在多数硬件防火墙上都已经实现，例如遐迩硬件防火墙和ChinaDDOS DIY硬件防火墙。通过设置IP的允许出口流量，能够防止单台主机占用过多的网络带宽，保护整个带宽内所有机器的访问速度，另外也可有效遏制机房内主机对外攻击的情况。

    金盾防火墙和ChinaDDOS DIY硬件防火墙在流量控制方面均有相应设置选项。虽然现在金盾和ChinaDDOS的带宽控制粒度为1Mbytes，但多少为机房管理提供了便利。而遐迩硬件防火墙在这方面没有相应设置界面。

    图十四：金盾防火墙流量控制界面



    图十五：ChinaDDOS DIY硬防流量控制界面



    功能八：自定义规则过滤

    自定义规则作为高级DDOS硬件防火墙的防御功能，为阻止新出现的攻击提供了有效手段，金盾硬防和ChinaDDOS DIY硬防在自定义防御规则方面实现了相应功能。遐迩防火墙没有实现这些方面的功能。

    金盾防火墙允许按照源、目的IP地址（或地址段），协议类型，匹配规则，时限，连接方向自定义防御行为，功能较为强大，而ChinaDDOS DIY硬防允许按照协议类型，源、目的IP地址（不支持地址段），包DNA特性及匹配规则设置防御行为，没有时限和连接方向等方面设置。

    图十六：金盾防火墙自定义防御规则



    图十七：ChinaDDOS DIY硬防自定义防御规则



    各项防御功能综合对比表：



    第四节 辅助管理功能对比

    对于拒绝服务攻击防火墙而言，除了防御效果和防御功能外，拥有有效的辅助管理功能将为分析攻击行文、了解网络状况进而实现机房网络稳定提供有力手段。本节将针对"实时图表"、"IP流量分析表"、"黑名单表"、"攻击告警功能"、"日志记录功能"、"数据包截取"等几项主要辅助功能做一个对比。

    功能一：实时图表分析功能

    应该说，实时图表（防火墙资源占用图表、网络流量图表、攻击状况图表等）作为网络管理不可或缺的分析工具，在目前主流DDOS硬件防火墙上实现得还非常有限，本次评测的几款主流硬件防火墙中，只有ChinaDDOS DIY硬防提供了图表分析功能，表现比较让人满意。其他硬件防火墙如金盾、遐迩仅能提分析数值。

    图十八：ChinaDDOS DIY硬防每秒刷新的实时图表



    图十九：遐迩硬防流量查看数据表



    图二十：金盾硬防流量查看数据表



    功能二：连接查看分析表

    本次测试的防火墙中，仅金盾的硬件防火墙拥有查看IP连接的功能。如图：



    功能三：实时黑名单列表

    本次测试的防火墙中，仅ChinaDDOS DIY硬件防火墙拥有查看屏蔽黑名单的功能。如图：



    功能四：攻击告警功能

    攻击告警功能是在保护主机受到攻击时，防火墙系统按照预设的告警策略和告警手机发送短信或其他方式告警的功能。ChinaDDOS DIY硬件防火墙提供了手机短信告警的功能。设置如图：



    功能五：日志记录功能

    金盾防火墙日志记录功能包含了每分钟记录的系统状态信息，攻击防御设置记录等，比较翔实。



    ChinaDDOS DIY硬防提供了每次攻击的详细图表记录，包含攻击目的IP、攻击流量、网络流量、资源占用图表等，如图：



    遐迩硬防提供了防御日志输出功能，其输出的是防火墙系统进入和退出防御状态时（遭受攻击时）系统的网络流量信息、数据表数量信息等，如图：



    功能六：抓包分析功能

    抓包分析功能是硬件防火墙提供的高级功能，利用嗅探技术，将网络上数据表按照抓包规则截获并输出，方便攻击行为进行分析，在新的攻击出现时，也方便用户按照攻击包定义新的防御规则。

    遐迩硬件防火墙和ChinaDDOS DIY硬防提供了数据包截获的相应功能：

    图：遐迩防火墙抓包分析功能（按网络接口、协议、主机进行抓包）



    图：ChinaDDOS DIY硬件防火墙抓包分析功能（按协议、端口、源目的IP、方向等进行抓包）



    各项辅助管理功能综合对比表：

有广告嫌疑， 再出现的话杀无赦！