DDOS防火墻主要分為軟件防火墻、硬件防火墻和DIY防火墻三種，本篇文章通過選取這三種DDOS防火墻中比較有代表性的防護產(chǎn)品，在它們的各個功能性方面進行橫向?qū)Ρ龋沟镁W(wǎng)絡(luò)安全管理員能夠在DDOS防火墻選擇上有著清醒的認識。

功能一：登陸安全性

由于DDOS防火墻是工作在互聯(lián)網(wǎng)上的安全設(shè)備，其登陸的安全性是其整體安全性的重要一環(huán)，對于登陸這個環(huán)節(jié)，主流硬件防火墻表現(xiàn)如下：

·基于SSL的HTTP協(xié)議登陸

由于現(xiàn)在的DDOS防御硬件設(shè)備都是通過Web進行管理，針對Web用戶名密碼的安全策略就顯得尤為重要，但我們對比的幾款主流硬件防火墻都沒有相應(yīng)的基于SSL加密協(xié)議的管理界面，這無疑給黑客利用中間人進行密碼嗅探提供了條件。

·多層密碼驗證

遐邇防火墻特別支持多層密碼驗證功能，分別基于FreeBSD系統(tǒng)下Apache訪問控制的密碼驗證和管理界面自身的密碼驗證，這樣為安全性提供了額外的保護。其他硬件防火墻沒有提供此功能。

功能二：針對單個IP設(shè)定防御策略

因為機房內(nèi)有各種各樣的服務(wù)器，例如WEB網(wǎng)站服務(wù)器、游戲服務(wù)器、數(shù)據(jù)庫服務(wù)器等等，每個服務(wù)器的正常流量也不同，針對單個服務(wù)器的攻擊判定設(shè)置就成了重要的設(shè)置項目之一，一個完善的防火墻系統(tǒng)應(yīng)該能針對不同的防御IP設(shè)置對應(yīng)的防御策略。

本次評測的幾種主流硬件防火墻，ChinaDDOS的硬防DIY和遐邇硬件防火墻具有針對單個IP設(shè)置防御策略的功能，金盾在防御策略設(shè)置上，針對所有防御IP均采用同樣的防御策略。

功能三：多級別防御

多級別防御是現(xiàn)有DDOS防火墻普遍采用的防御策略之一，通過多種防御級別，能夠讓硬件防火墻在不同的攻擊流量下提供不同的防御策略，在低攻擊流量時，充分保障正常應(yīng)用不受影響，在高攻擊流量時，達到更高的防御效果。

本次評測的幾款硬件防火墻均提供了多級別防御的功能，例如遐邇提供了三級保護"普通"、"危急"、"高危"，金盾提供了二級保護"普通"、"危急"，ChinaDDOSDIY硬防提供了二級保護"普通"、"二級防御"等。

功能四：智能化及主動黑白名單管理

在現(xiàn)有攻擊防御體系中，針對真實源址的攻擊（例如利用僵尸肉雞發(fā)起的攻擊）防御一般由DNA甄別、行為甄別來實現(xiàn)，加上智能化黑名單管理，將甄別出的攻擊地址放入黑名單中進行防御。所以智能黑名單特性是有效防御此類攻擊的主要特性之一。另外，所有的甄別行為都會產(chǎn)生一定的誤判，所以黑名單中攻擊源的屏蔽時間管理和手動對黑名單中地址進行添加和刪除的功能也十分重要。

在本次測試的硬件防火墻中，金盾硬防和ChinaDDOSDIY硬防都具有黑名單的特性，遐邇沒有黑名單方面的管理特性。ChinaDDOSDIY硬防設(shè)置的"智能黑名單"延時功能，有利于在黑名單中主機再次發(fā)起攻擊包時，自動延長其屏蔽時間，這樣可以設(shè)置一個更短的屏蔽時間，有利于保障正常訪問。

手動管理黑白名單方面，只有ChinaDDOSDIY硬防有這方面的功能。

功能五：模塊化防御特性

模塊化防御是針對特殊的防御目標所定義的特殊防御策略，這些防御策略一般通過通用的防御策略設(shè)置無法起到有效的防御效果。針對特殊防御目標，各硬件防火墻廠商均開發(fā)了特殊的防御模塊來實現(xiàn)攻擊防御，如針對聊天室和傳奇高級攻擊的防御等。

金盾在模塊化防御上是領(lǐng)先開發(fā)的，也做得比較成熟，所有的防御功能均是基于模塊化實現(xiàn)，現(xiàn)有的防御模塊相對而言比較多樣化，各種防御模塊能夠靈活搭配。遐邇硬防在模塊化防御上沒有相應(yīng)的功能。ChinaDDOSDIY硬防也具有簡單模塊化防御的特點。

功能六：切斷訪問，保護整體網(wǎng)絡(luò)

現(xiàn)今網(wǎng)絡(luò)拒絕服務(wù)攻擊流量不斷增加，而IDC機房總體帶寬增加較慢，這就使得不管采用何種防御手段和防御硬件，都無法100％的阻止所有的拒絕服務(wù)攻擊。當攻擊流量達到甚至超過機房總體帶寬較大時，被攻擊的目標主機及整個機房網(wǎng)絡(luò)都會延遲甚至中斷。如何在攻擊流量達到機房總體帶寬時，切斷被攻擊目標主機的網(wǎng)絡(luò)流量，或者將發(fā)往該主機的網(wǎng)絡(luò)流量導入黑洞路由，這是保護機房網(wǎng)絡(luò)穩(wěn)定的重要一環(huán)。

所幸目前大部分硬防都提供切斷主機的功能，放棄遭受超高流量攻擊的主機保護整個網(wǎng)絡(luò)運營穩(wěn)定。例如遐邇硬防和ChinaDDOSDIY硬防提供切斷單臺服務(wù)器保護整個網(wǎng)絡(luò)的功能。金盾DDOS防火墻沒有提供這樣的功能。

功能七：流量控制

流量控制功能作為為IDC運營商所喜歡的貼心功能，在多數(shù)硬件防火墻上都已經(jīng)實現(xiàn)，例如遐邇硬件防火墻和ChinaDDOSDIY硬件防火墻。通過設(shè)置IP的允許出口流量，能夠防止單臺主機占用過多的網(wǎng)絡(luò)帶寬，保護整個帶寬內(nèi)所有機器的訪問速度，另外也可有效遏制機房內(nèi)主機對外攻擊的情況。

金盾防火墻和ChinaDDOSDIY硬件防火墻在流量控制方面均有相應(yīng)設(shè)置選項。雖然現(xiàn)在金盾和ChinaDDOS的帶寬控制粒度為1Mbytes，但多少為機房管理提供了便利。而遐邇硬件防火墻在這方面沒有相應(yīng)設(shè)置界面。

功能八：自定義規(guī)則過濾

自定義規(guī)則作為高級DDOS防火墻的防御功能，為阻止新出現(xiàn)的攻擊提供了有效手段，金盾硬防和ChinaDDOSDIY硬防在自定義防御規(guī)則方面實現(xiàn)了相應(yīng)功能。遐邇防火墻沒有實現(xiàn)這些方面的功能。

金盾防火墻允許按照源、目的IP地址（或地址段），協(xié)議類型，匹配規(guī)則，時限，連接方向自定義防御行為，功能較為強大，而ChinaDDOSDIY硬防允許按照協(xié)議類型，源、目的IP地址（不支持地址段），包DNA特性及匹配規(guī)則設(shè)置防御行為，沒有時限和連接方向等方面設(shè)置。

各項防御功能綜合對比表：

【編輯推薦】

1. DDoS拒絕服務(wù)攻擊和安全防范技術(shù)
2. ROS防止外網(wǎng)的DDOS的好辦法
3. 淺析企業(yè)DDOS防火墻成本比較
4. DDoS deflate:自動屏蔽DDOS攻擊者IP
5. 實例體驗自造DDOS硬件防火墻