这是一个创建于 4318 天前的主题,其中的信息可能已经有所发展或是发生改变。
server放公司,接电信光纤,固定IP。以前有过DDOS攻击。
现在需要重新启用,那硬防是不是必需的?有没有什么推荐?
如果系统只允许某些IP段访问,那IP段外的攻击的影响会有多大呢?
现在需要重新启用,那硬防是不是必需的?有没有什么推荐?
如果系统只允许某些IP段访问,那IP段外的攻击的影响会有多大呢?
 |
1
coagent 2013-01-28 17:33:43 +08:00
有硬防当然好,访问量不大,像juniper/cisco的防火墙,2W 左右能拿到不错的了。
|
|
2
coagent 2013-01-28 17:34:34 +08:00
其实你也可以用一台 linux 自己弄,endian firewall 是一个还不错的产品
|
 |
3
qiuai 2013-01-28 17:38:00 +08:00
弄个小路由器在机器前面.就算是防火墙了...
也可以弄个小机器DIY个防火墙. 至于专业级别的硬防...又不是成天D... |
 |
4
coosir OP |
 |
5
keithl 2013-01-28 18:14:15 +08:00
无效,你的带宽要超过打过来的带宽.
|
 |
8
vking 2013-01-28 18:29:20 +08:00 via Android
順便問一下:一般洪水的帶寬有多寬?
是不是這樣計算,如果按每台1mb,1000台也就1G左右。 |
|
9
coosir OP @keithl thanks,那我前面再加一道server,设置iptable只允许白名单,其他的就都挡掉了。这种方式可行么?跟我目前本身的server配置iptable有很大差别么?
(我还一直停留在水管的概念上,假设我某端口不开放,硬是有很多人访问这个端口,这个不会造成拥堵么?) |
 |
12
Js 2013-01-28 18:45:40 +08:00  1
@coosir 没用,带宽不够,关机都能把你堵死, 好比你家里被硬防洗得比较干净, 但是你家门口、楼道甚至小区门口、街道都被堵住,你一样寸步难行。 没几G带宽接入, 为了抗DDOS的目的上硬防比较多余
|
 |
14
edwinlai 2013-01-29 07:56:51 +08:00
硬防几乎没用,拼带宽,上个检测设备还是有必要的,比如那个ip受攻击了,然后可以及时反应,大部分机房都是null 路由,
|
 |
15
Ultratude 2013-01-29 08:35:14 +08:00 via iPhone
话说这叫自建机房?
|
 |
16
BigZ 2013-01-29 12:24:56 +08:00
10万以下的硬防没有啥用,都是跑的软件,原理和iptable 差不多
DDOS拼的是带宽,用啥防火墙都没有效果 |
|
18
Js 2013-01-29 15:50:58 +08:00 1
@coosir 这就反过来,好比楼道之类都没堵塞,但是你家里被堵满了。硬防的作用就是用来洗流量的。 不过抗ddos, 扛ddos带宽还是第一位的, 小规模软路由足够了, 我记得早几年国内bsd社区有大牛用单核废弃机装freebsd做软路扛了gbps规模的ddos
|
|
19
coosir OP 1
@Js 所以硬防的作用主要是用在带宽尚够时的流量清洗,以免大量服务请求导致server宕机。
嗯,@coagent 提到的endian firewall还有RouterOS等用于自建防火墙也能起到一定作用的咯 |
 |
20
hq5261984 2013-01-29 17:50:10 +08:00
DDOS对抗就是针对你机房的带宽,服务器的CPU,内存,硬盘这些东东的总的对抗,任何一个点出现瓶颈你就挂了。理论上来说你只建一个机房其实就等于是个瓶颈了。
|
Select Language