防火墙访问控制和DDoS攻击防护这两类安全云业务有什么不同
防火墙访问控制和DDoS攻击防护这两类安全云业务有以下不同:
两种业务在客户业务流量与云服务中心的关系上不同:防火墙访问控制和DDoS攻击防护尽管均属于流量检测和控制类业务,但在客户业务流量与云服务中心的关系上完全不同。防火墙访问控制业务要求客户流量长期流经云服务中心进行流量检测和安全策略的控制,而DDoS攻击防护类业务仅在客户网络检测到DDoS攻击时才要求将特定流量牵引至云服务中心进行流量的检测和过滤。
两种业务对于流量的控制点不同:为了达到更好的安全防护能力,对于防火墙访问控制业务的流量控制点应该尽量靠近客户的网络;而对于DDoS攻击防护业务,流量的控制点应该尽量靠近DDoS攻击发起的网络源端(很多时候源端并非只有一个),这种近源的过滤思路不仅能最大限度保障客户网络在遭受DDoS攻击时的可用性,而且能够节省网络带宽,保障其不为DDoS垃圾流量所挤占。
设备对于网络状态检测的依赖程度不同:尽管历史上也有过完全不依赖于网络状态检测的包过滤防火墙,但为了提高性能和安全防范能力,现在大多数的防火墙均采用了状态检测技术;而对于DDoS攻击防护设备,现在大部分均不依赖于状态检测技术。这个不同也影响到了这两种业务资源池化实现方案的不同。
客户业务使用和业务体验导致了虚拟化要求的不同:相比较于云计算的IaaS服务,安全云服务客户一般只关注于安全防范保护的效果,而对安全云服务设备使用的逻辑独立性等虚拟化要求通常偏低。防火墙访问控制业务由于具有客户自行维护其防火墙安全策略的要求,因此需要实现资源池化后的设备虚拟化;而对于DDoS攻击防护业务,由于在业务实施中无须客户的交互和配置,因而几乎不需要为用户提供相应的虚拟设备。当然,在虚拟化过程中对于业务复用和状态智能感知的实现均是这两种业务要解决的重要问题。