@Lemon
2年前 提问
1个回答

防火墙访问控制和DDoS攻击防护有什么不同

GQQQy
2年前

防火墙访问控制和DDoS攻击防护有以下不同:

  • 客户业务流量与云服务中心的关系上完全不同:防火墙访问控制业务要求客户流量长期流经云服务中心进行流量检测和安全策略的控制,而DDoS攻击防护类业务仅在客户网络检测到DDoS攻击时才要求将特定流量牵引至云服务中心进行流量的检测和过滤。

  • 两种业务对于流量的控制点不同:为了达到更好的安全防护能力,对于防火墙访问控制业务的流量控制点应该尽量靠近客户的网络;而对于DDoS攻击防护业务,流量的控制点应该尽量靠近DDoS攻击发起的网络源端(很多时候源端并非只有一个),这种近源的过滤思路不仅能最大限度保障客户网络在遭受DDoS攻击时的可用性,而且能够节省网络带宽,保障其不为DDoS垃圾流量所挤占。

  • 设备对于网络状态检测的依赖程度不同:尽管历史上也有过完全不依赖于网络状态检测的包过滤防火墙,但为了提高性能和安全防范能力,现在大多数的防火墙均采用了状态检测技术;而对于DDoS攻击防护设备,现在大部分均不依赖于状态检测技术。这个不同也影响到了这两种业务资源池化实现方案的不同。

  • 客户业务使用和业务体验导致了虚拟化要求的不同:相比较于云计算的IaaS服务,安全云服务客户一般只关注于安全防范保护的效果,而对安全云服务设备使用的逻辑独立性等虚拟化要求通常偏低。防火墙访问控制业务由于具有客户自行维护其防火墙安全策略的要求,因此需要实现资源池化后的设备虚拟化;而对于DDoS攻击防护业务,由于在业务实施中无须客户的交互和配置,因而几乎不需要为用户提供相应的虚拟设备。当然,在虚拟化过程中对于业务复用和状态智能感知的实现均是这两种业务要解决的重要问题。

  • 防御能力不同:防火墙本身对DDOS攻击的防御能力并不是很强,只能通过控制访问业务的流量的限制攻击,所以针对DDOS攻击防御能力很弱,一般也不推荐使用防火墙来进行防御。而DDOS防护设备是专门针对DOOS攻击的,所以针对DDOS攻击的防御能力很强,所以要针对DDOS防御还是建议使用DOOS防护软件。