我运行了多个 Ubuntu 服务器(虚拟化),并安装了 fail2ban 以缓解 DDOS 攻击。对于防火墙,每个服务器都有 iptables。
我正在评估我的安全选项,想知道与专用硬件设备相比,fail2ban 在保护您免受 DDOS 攻击方面表现如何?而且,硬件防火墙是否会比 iptables 提供更好/更多的保护(或者它只是在堆栈中更高)?
答案1
我觉得你听了太多营销废话。
硬件防火墙和软件防火墙其实没什么区别,都是由软件驱动的。
所谓的硬件防火墙也是一台计算机,但没有 USB 或 SATA 等外围接口。其中一些甚至在底层运行 Linux 和 IPTables,但提供了不错的 Web 界面。其他防火墙提供自己的操作系统,在我看来,这些操作系统的功能可能比 iptables 少,而且没有经过更多测试。
那么,购买“硬件防火墙”有什么好的理由吗?也许吧。通常,它们得到很好的支持,并提供非常精致的用户界面和良好的支持。它们在机架上看起来也很时尚。但是,现在有非常精致的 linux/freebsd 发行版提供同样的东西,您可以在普通计算机或自定义硬件上运行它。例如 Untangle、Astaro、Monowall、pfSense 等,我看不出有什么大的优势。
现在,当涉及到 DDoS 攻击时,绝对没有办法防范。如果你能阻止这些数据包在源头发送,那么这就是答案,但你做不到。
我记得几年前发生过一个案例,一家大公司在 IT 界引起了轰动,几天之内他们的网站就遭到了 DDoS 攻击。最后他们不得不放弃主域名,将其更改为其他名称。即便他们有庞大的 IT 预算,也无能为力。
答案2
如果这是真正的 DDoS 攻击,您本地网络上的任何东西都无法阻止它。您需要上游提供商的合作。当数据包在您这端被丢弃时,它们仍然会堵塞您的管道。
使用硬件防火墙而非软件防火墙的原因有很多(功能、易于管理、中心日志记录点等),但就 DDoS 而言,两者都不足以抵御任何规模的实际攻击。