由于DDoS攻擊變得更頻繁、更強大，也更復雜，許多企業(yè)都開始求助于DDoS緩解服務提供商來保護自己免受攻擊。然而，DDoS防護措施并不是一個放之四海皆為準的固定菜單;確切地說，它是一個多種選擇的點菜式自助餐。每個選項都有其獨特的優(yōu)缺點，企業(yè)需選定最適合他們自己的需求、面對的威脅和預算的最佳解決方案。

[[226583]]

此系列文章研究了DDoS防護措施部署的各種選項，并討論了每種方法的注意事項、優(yōu)缺點以及最適合哪些企業(yè)使用。

本文重點介紹了DDoS緩解措施的原始形式——本地設備。后續(xù)文章將重點討論云和混合部署。

最初的DDoS防護措施

本地設備是DDoS防護措施的第一種形式，始于2000年初，是為了應對第一代的DDoS攻擊。這些設備可以與其他網絡設備(如：防火墻、交換機、路由器等)一起部署在客戶數(shù)據中心。

盡管許多企業(yè)正在遷移至云端DDoS防護措施，DDoS緩解設備的使用仍然非常普遍，并且可以在許多企業(yè)和案例中找到。

優(yōu)點：

• 低延遲：本地設備的一個關鍵優(yōu)勢就是它所實現(xiàn)的低延遲。該設備直接部署在數(shù)據中心，靠近應用服務器，延遲最小或沒有延遲。此外，一些本地設備也可以進行旁路部署，并在發(fā)生攻擊時啟動，這就意味著在和平時期不會增加延遲。
• 控制：選擇本地DDoS防護設備的另一個重要原因就是控制能力。許多企業(yè)(和網絡管理員)都高度重視控制能力，并將設備直接部署在數(shù)據中心，實現(xiàn)最大限度的控制。
• 監(jiān)管：最后，一些企業(yè)處于醫(yī)療或金融等受監(jiān)管的行業(yè)，在將IT工作負載遷移至云端的時候會受到行業(yè)規(guī)范的限制。

然而，部署本地設備也有一些缺點：

• 成本：許多企業(yè)的重要考慮因素就是DDoS緩解解決方案的可用預算。DDoS緩解設備的成本從入門級設備的數(shù)萬美元到電信級設備的數(shù)十萬美元不等。此外，也經常會有相關的支持和維護費用，以及管理設備所需的專職人員，這可能影響到整體的TCO。
• 管理費用：重大的管理責任也會帶來額外的開銷。除了電力、網絡和冷卻等公用管理費用之外，本地設備經常需要專職人員來管理。
• 容量：隨著DDoS攻擊規(guī)模的持續(xù)增加，本地DDoS設備會受到規(guī)模和可以處理的可用帶寬的限制。

注意事項：企業(yè)需要思考的問題

如果企業(yè)正在考慮部署或移除本地設備，就需要考慮以下的這些問題，來確定這是否是企業(yè)的證券選擇。

• 企業(yè)數(shù)據中心規(guī)劃是什么?許多企業(yè)正在將數(shù)據中心工作負載遷移到云端部署。是否投資新設備在很大程度上都取決于這一考慮因素。然而，如果企業(yè)肯定要在可預見的未來維護物理數(shù)據中心，那么選擇DDoS緩解設備可能就很值得。
• 控制能力對企業(yè)而言有多重要?一些企業(yè)非常重視控制能力，而另一些企業(yè)則希望由其他人來處理這一負擔。物理設備可以為企業(yè)提供更多控制能力，但也需要更多的開銷。
• 企業(yè)對延遲有多敏感?另一個重要考慮因素就是企業(yè)的敏感性和應用延遲。云端設備往往會增加應用流量的延遲，因此，如果延遲是一個大問題，那么本地解決方案——無論是內聯(lián)或旁路部署——都可能是相關的。
• 企業(yè)是否處在受監(jiān)管行業(yè)?一些企業(yè)處在需要處理敏感用戶數(shù)據的受監(jiān)管行業(yè)，并且不被允許(或不喜歡)將服務遷移至云端。在這些情況下，除了使用本地設備，也沒有其他辦法了。
• 企業(yè)的威脅概況是什么?確定DDoS設備是否適合企業(yè)，很大程度上取決于企業(yè)的威脅概況。如果企業(yè)經常遭受到一系列低水平DDoS攻擊的侵擾，那么本地設備可能就是有效的解決方案。然而，如果他們面臨大規(guī)模的大流量攻擊，那么云端或混合解決方案可能會更好。
• TCO是什么?最后，在選擇本地解決方案時，了解總體擁有成本(TCO)很重要，包括額外的開銷、基礎架構、支持、員工和培訓。

最適合的企業(yè)是哪些?

考慮到獨立式本地DDoS設備各自的優(yōu)缺點，以下幾類客戶可以選擇這一解決方案：

• 服務提供商，他們擁有大量安裝基礎并為使用他們數(shù)據中心的最終客戶提供服務
• 擁有數(shù)據中心的企業(yè)，并計劃在可預見的未來維護數(shù)據中心
• 處在受監(jiān)管行業(yè)的企業(yè)，他們無法將工作負載遷移至云端
• 對延遲敏感的關鍵應用，需要低延遲和高度的控制能力
• 然而，獨立式本地解決方案可能不適合：
• 托管在云中的應用，這些應用無法通過本地設備得到保護
• 遷移至云端的企業(yè)，他們計劃縮小數(shù)據中心的覆蓋范圍
• 對價格敏感的客戶，他們沒有大筆預算
• 頻繁遭受到大流量攻擊的企業(yè)，這些攻擊可能擁塞連接管道或壓垮設備

無論企業(yè)認為本地DDoS設備是最合適的他們的方案與否，企業(yè)都應該先了解自己有什么選擇。