DDOS防火墙主要分为软件防火墙、硬件防火墙和DIY防火墙三种,本篇文章通过选取这三种DDOS防火墙中比较有代表性的防护产品,在它们的各个功能性方面进行横向对比,使得网络安全管理员能够在DDOS防火墙选择上有着清醒的认识。
功能一:登陆安全性
由于DDOS防火墙是工作在互联网上的安全设备,其登陆的安全性是其整体安全性的重要一环,对于登陆这个环节,主流硬件防火墙表现如下:
·基于SSL的HTTP协议登陆
由于现在的DDOS防御硬件设备都是通过Web进行管理,针对Web用户名密码的安全策略就显得尤为重要,但我们对比的几款主流硬件防火墙都没有相应的基于SSL加密协议的管理界面,这无疑给黑客利用中间人进行密码嗅探提供了条件。
·多层密码验证
遐迩防火墙特别支持多层密码验证功能,分别基于FreeBSD系统下Apache访问控制的密码验证和管理界面自身的密码验证,这样为安全性提供了额外的保护。其他硬件防火墙没有提供此功能。
功能二:针对单个IP设定防御策略
因为机房内有各种各样的服务器,例如WEB网站服务器、游戏服务器、数据库服务器等等,每个服务器的正常流量也不同,针对单个服务器的攻击判定设置就成了重要的设置项目之一,一个完善的防火墙系统应该能针对不同的防御IP设置对应的防御策略。
本次评测的几种主流硬件防火墙,ChinaDDOS的硬防DIY和遐迩硬件防火墙具有针对单个IP设置防御策略的功能,金盾在防御策略设置上,针对所有防御IP均采用同样的防御策略。
功能三:多级别防御
多级别防御是现有DDOS防火墙普遍采用的防御策略之一,通过多种防御级别,能够让硬件防火墙在不同的攻击流量下提供不同的防御策略,在低攻击流量时,充分保障正常应用不受影响,在高攻击流量时,达到更高的防御效果。
本次评测的几款硬件防火墙均提供了多级别防御的功能,例如遐迩提供了三级保护"普通"、"危急"、"高危",金盾提供了二级保护"普通"、"危急",ChinaDDOSDIY硬防提供了二级保护"普通"、"二级防御"等。
功能四:智能化及主动黑白名单管理
在现有攻击防御体系中,针对真实源址的攻击(例如利用僵尸肉鸡发起的攻击)防御一般由DNA甄别、行为甄别来实现,加上智能化黑名单管理,将甄别出的攻击地址放入黑名单中进行防御。所以智能黑名单特性是有效防御此类攻击的主要特性之一。另外,所有的甄别行为都会产生一定的误判,所以黑名单中攻击源的屏蔽时间管理和手动对黑名单中地址进行添加和删除的功能也十分重要。
在本次测试的硬件防火墙中,金盾硬防和ChinaDDOSDIY硬防都具有黑名单的特性,遐迩没有黑名单方面的管理特性。ChinaDDOSDIY硬防设置的"智能黑名单"延时功能,有利于在黑名单中主机再次发起攻击包时,自动延长其屏蔽时间,这样可以设置一个更短的屏蔽时间,有利于保障正常访问。
手动管理黑白名单方面,只有ChinaDDOSDIY硬防有这方面的功能。
功能五:模块化防御特性
模块化防御是针对特殊的防御目标所定义的特殊防御策略,这些防御策略一般通过通用的防御策略设置无法起到有效的防御效果。针对特殊防御目标,各硬件防火墙厂商均开发了特殊的防御模块来实现攻击防御,如针对聊天室和传奇高级攻击的防御等。
金盾在模块化防御上是领先开发的,也做得比较成熟,所有的防御功能均是基于模块化实现,现有的防御模块相对而言比较多样化,各种防御模块能够灵活搭配。遐迩硬防在模块化防御上没有相应的功能。ChinaDDOSDIY硬防也具有简单模块化防御的特点。
功能六:切断访问,保护整体网络
现今网络拒绝服务攻击流量不断增加,而IDC机房总体带宽增加较慢,这就使得不管采用何种防御手段和防御硬件,都无法100%的阻止所有的拒绝服务攻击。当攻击流量达到甚至超过机房总体带宽较大时,被攻击的目标主机及整个机房网络都会延迟甚至中断。如何在攻击流量达到机房总体带宽时,切断被攻击目标主机的网络流量,或者将发往该主机的网络流量导入黑洞路由,这是保护机房网络稳定的重要一环。
所幸目前大部分硬防都提供切断主机的功能,放弃遭受超高流量攻击的主机保护整个网络运营稳定。例如遐迩硬防和ChinaDDOSDIY硬防提供切断单台服务器保护整个网络的功能。金盾DDOS防火墙没有提供这样的功能。
功能七:流量控制
流量控制功能作为为IDC运营商所喜欢的贴心功能,在多数硬件防火墙上都已经实现,例如遐迩硬件防火墙和ChinaDDOSDIY硬件防火墙。通过设置IP的允许出口流量,能够防止单台主机占用过多的网络带宽,保护整个带宽内所有机器的访问速度,另外也可有效遏制机房内主机对外攻击的情况。
金盾防火墙和ChinaDDOSDIY硬件防火墙在流量控制方面均有相应设置选项。虽然现在金盾和ChinaDDOS的带宽控制粒度为1Mbytes,但多少为机房管理提供了便利。而遐迩硬件防火墙在这方面没有相应设置界面。
功能八:自定义规则过滤
自定义规则作为高级DDOS防火墙的防御功能,为阻止新出现的攻击提供了有效手段,金盾硬防和ChinaDDOSDIY硬防在自定义防御规则方面实现了相应功能。遐迩防火墙没有实现这些方面的功能。
金盾防火墙允许按照源、目的IP地址(或地址段),协议类型,匹配规则,时限,连接方向自定义防御行为,功能较为强大,而ChinaDDOSDIY硬防允许按照协议类型,源、目的IP地址(不支持地址段),包DNA特性及匹配规则设置防御行为,没有时限和连接方向等方面设置。
各项防御功能综合对比表:
【编辑推荐】