DDOS防火墻防御功能對比
DDOS防火墻主要分為軟件防火墻、硬件防火墻和DIY防火墻三種,本篇文章通過選取這三種DDOS防火墻中比較有代表性的防護產品,在它們的各個功能性方面進行橫向對比,使得網絡安全管理員能夠在DDOS防火墻選擇上有著清醒的認識。
功能一:登陸安全性
由于DDOS防火墻是工作在互聯網上的安全設備,其登陸的安全性是其整體安全性的重要一環,對于登陸這個環節,主流硬件防火墻表現如下:
·基于SSL的HTTP協議登陸
由于現在的DDOS防御硬件設備都是通過Web進行管理,針對Web用戶名密碼的安全策略就顯得尤為重要,但我們對比的幾款主流硬件防火墻都沒有相應的基于SSL加密協議的管理界面,這無疑給黑客利用中間人進行密碼嗅探提供了條件。
·多層密碼驗證
遐邇防火墻特別支持多層密碼驗證功能,分別基于FreeBSD系統下Apache訪問控制的密碼驗證和管理界面自身的密碼驗證,這樣為安全性提供了額外的保護。其他硬件防火墻沒有提供此功能。
功能二:針對單個IP設定防御策略
因為機房內有各種各樣的服務器,例如WEB網站服務器、游戲服務器、數據庫服務器等等,每個服務器的正常流量也不同,針對單個服務器的攻擊判定設置就成了重要的設置項目之一,一個完善的防火墻系統應該能針對不同的防御IP設置對應的防御策略。
本次評測的幾種主流硬件防火墻,ChinaDDOS的硬防DIY和遐邇硬件防火墻具有針對單個IP設置防御策略的功能,金盾在防御策略設置上,針對所有防御IP均采用同樣的防御策略。
功能三:多級別防御
多級別防御是現有DDOS防火墻普遍采用的防御策略之一,通過多種防御級別,能夠讓硬件防火墻在不同的攻擊流量下提供不同的防御策略,在低攻擊流量時,充分保障正常應用不受影響,在高攻擊流量時,達到更高的防御效果。
本次評測的幾款硬件防火墻均提供了多級別防御的功能,例如遐邇提供了三級保護"普通"、"危急"、"高危",金盾提供了二級保護"普通"、"危急",ChinaDDOSDIY硬防提供了二級保護"普通"、"二級防御"等。
功能四:智能化及主動黑白名單管理
在現有攻擊防御體系中,針對真實源址的攻擊(例如利用僵尸肉雞發起的攻擊)防御一般由DNA甄別、行為甄別來實現,加上智能化黑名單管理,將甄別出的攻擊地址放入黑名單中進行防御。所以智能黑名單特性是有效防御此類攻擊的主要特性之一。另外,所有的甄別行為都會產生一定的誤判,所以黑名單中攻擊源的屏蔽時間管理和手動對黑名單中地址進行添加和刪除的功能也十分重要。
在本次測試的硬件防火墻中,金盾硬防和ChinaDDOSDIY硬防都具有黑名單的特性,遐邇沒有黑名單方面的管理特性。ChinaDDOSDIY硬防設置的"智能黑名單"延時功能,有利于在黑名單中主機再次發起攻擊包時,自動延長其屏蔽時間,這樣可以設置一個更短的屏蔽時間,有利于保障正常訪問。
手動管理黑白名單方面,只有ChinaDDOSDIY硬防有這方面的功能。
功能五:模塊化防御特性
模塊化防御是針對特殊的防御目標所定義的特殊防御策略,這些防御策略一般通過通用的防御策略設置無法起到有效的防御效果。針對特殊防御目標,各硬件防火墻廠商均開發了特殊的防御模塊來實現攻擊防御,如針對聊天室和傳奇高級攻擊的防御等。
金盾在模塊化防御上是領先開發的,也做得比較成熟,所有的防御功能均是基于模塊化實現,現有的防御模塊相對而言比較多樣化,各種防御模塊能夠靈活搭配。遐邇硬防在模塊化防御上沒有相應的功能。ChinaDDOSDIY硬防也具有簡單模塊化防御的特點。
功能六:切斷訪問,保護整體網絡
現今網絡拒絕服務攻擊流量不斷增加,而IDC機房總體帶寬增加較慢,這就使得不管采用何種防御手段和防御硬件,都無法100%的阻止所有的拒絕服務攻擊。當攻擊流量達到甚至超過機房總體帶寬較大時,被攻擊的目標主機及整個機房網絡都會延遲甚至中斷。如何在攻擊流量達到機房總體帶寬時,切斷被攻擊目標主機的網絡流量,或者將發往該主機的網絡流量導入黑洞路由,這是保護機房網絡穩定的重要一環。
所幸目前大部分硬防都提供切斷主機的功能,放棄遭受超高流量攻擊的主機保護整個網絡運營穩定。例如遐邇硬防和ChinaDDOSDIY硬防提供切斷單臺服務器保護整個網絡的功能。金盾DDOS防火墻沒有提供這樣的功能。
功能七:流量控制
流量控制功能作為為IDC運營商所喜歡的貼心功能,在多數硬件防火墻上都已經實現,例如遐邇硬件防火墻和ChinaDDOSDIY硬件防火墻。通過設置IP的允許出口流量,能夠防止單臺主機占用過多的網絡帶寬,保護整個帶寬內所有機器的訪問速度,另外也可有效遏制機房內主機對外攻擊的情況。
金盾防火墻和ChinaDDOSDIY硬件防火墻在流量控制方面均有相應設置選項。雖然現在金盾和ChinaDDOS的帶寬控制粒度為1Mbytes,但多少為機房管理提供了便利。而遐邇硬件防火墻在這方面沒有相應設置界面。
功能八:自定義規則過濾
自定義規則作為高級DDOS防火墻的防御功能,為阻止新出現的攻擊提供了有效手段,金盾硬防和ChinaDDOSDIY硬防在自定義防御規則方面實現了相應功能。遐邇防火墻沒有實現這些方面的功能。
金盾防火墻允許按照源、目的IP地址(或地址段),協議類型,匹配規則,時限,連接方向自定義防御行為,功能較為強大,而ChinaDDOSDIY硬防允許按照協議類型,源、目的IP地址(不支持地址段),包DNA特性及匹配規則設置防御行為,沒有時限和連接方向等方面設置。
各項防御功能綜合對比表:
【編輯推薦】
