我们在数据中心的 colo 上有三台服务器,用于高负载电子商务网站项目,通过 cisco catalyst 2960 连接。我们需要使用硬件防火墙、CISCO Guard 等来构建反 DDoS 系统。CISCO Guard 已经过时,不再销售,供应商可能不再提供支持。哪种硬件解决方案适合我们?
答案1
如果这是真正的 DDOS,你需要让你的 ISP 丢弃主干上的流量。当它到达托管机架中的防火墙时,它已经消耗了资源。当然,在满足请求之前丢弃流量减少影响,但不能阻止真正的 DDOS。
答案2
我总是对“硬件 DDoS 保护”设备持怀疑态度。主要是因为如果它们只是减少流量,那么您可以使用运行 pfsense 的服务器自己做到这一点(除了服务器硬件外,您无需花费任何费用)。
如果您正在寻找一种可以检测流量来源的设备,那么这是一个不同的问题。
对于这种事情,有很多不同的选择。 博科 ADX立即想到了,但我确信其他供应商也提供类似的盒子。
有一个整洁的幻灯片分享在这里关于选择 DDoS 缓解平台的建议。
实际上,您必须自己决定购买哪种产品、选择哪种途径,或者聘请专门从事 DDoS 缓解的咨询公司,让他们为您完成艰苦的工作。
MDMarra 所说也有很大道理......如果这是真正的 DDoS 攻击,并且您的链路完全被入站流量所饱和,那么唯一的选择就是要求您的上游提供商将其放入黑洞,即使您在边缘无限快地丢弃数据包,您仍然无法从外部访问。