防火墙几乎已经成为了企业安全防护的必需品,而面对DDOS攻击,DDOS防火墙又成为了企业关注的问题。然而添加DDOS防火墙成本的问题也是让各企业分外头疼。目前DDOS的解决放案可以分为三种:软件防火墙、硬件防火墙和DIY防火墙。本文简单分析了一下这几种防火墙在防御性能和防火墙成本需求方面的问题。
对于IDC运营而言,从成本和防御特点上分线,其优缺点如下:
1、软件防火墙解决方案因为是安装在被保护的服务器上,其防御能力和防御区域有限,在攻击流量稍大的情况下,对目标服务器硬件资源占用严重,且如果机房服务器数量较多,整体成本也很高。但软件防火墙安装方便,不用动硬件设备,部署很灵活。
2、硬件防火墙是目前IDC广泛采用且能起到实际效果的防御方案,其缺点是投资成本过高,中小IDC很难接受,购买成本一般在百兆产品在2-4万元,千兆在6-8万元左右。如果需要对高带宽进行防御,群集成本更高。
3、新出现的DIY硬件防火墙方案。和软件防火墙不同,DIY硬件防火墙方案是通过安装在客户自行准备的硬件平台上的内核软件实现和一般硬件防火墙相同的防御能力和防御功能。由于硬件平台有用户自行准备,所以可以利用现有设备,将整体拥有成本降至最低。一般而言,百兆防御成本大概为1000元每机房每月,千兆防御为1500元每月。
对于防御能力而言,软件防火墙因为其模式上的缺陷,无法对整个机柜或机房建立保护,过滤攻击数据包时消耗的系统资源也会影响目标系统的正常应用,所以在这里不予评价。
现在硬件防火墙全部是X86架构,通俗来说,防火墙硬件就是一台电脑,并不是专门用于网络处理的专用处理芯片,和DIY硬件防火墙防御模式相同,均能对整个机柜和机房进行保护,并能群集防御高流量攻击,所以我们将视线集中在硬件防火墙和DIY硬件防火墙上。
从拥有成本对表表格来看,硬件防火墙作为主流防御手段,其整体拥有成本也很高,作为折中方案的DIY硬件防火墙,其提供的按月收取服务费的方式倒是很好的解决了IDC面临的资金压力和投资风险等问题。
【编辑推荐】
