抗DoS、DDoS防火牆產品大檢閱(轉)

抗DoS、DDoS防火牆產品大檢閱(轉)[@more@]

　　DDoS(分散式拒絕服務)攻擊是利用TCP/IP協議漏洞進行的一種簡單而致命的網路攻擊，由於TCP/IP協議的這種會話機制漏洞無法修改，因此缺少直接有效的防禦手段。大量例項證明利用傳統裝置被動防禦基本是徒勞的，而且現有防火牆裝置還會因為有限的處理能力陷入癱瘓，成為網路執行瓶頸;另外，攻擊過程中目標主機也必然陷入癱瘓。

　　今天，我們就為大家介紹一下國內軟體開發商針對這類網路攻擊而開發的抗DoS、DDoS軟硬體防火牆產品，由於各個公司的硬體防火牆一般都是在LINUX主機上安裝其相應的軟體防火牆產品，所以兩者就不進行區分介紹了。

　　目前國內抗DDOS防火牆比較知名的，同時信譽度和使用效果也比較好的應該是黑洞、金盾和傲盾的產品。一些其他的所謂“XX盾DDoS防火牆”多半是這些版本的抄襲篡改或者完全就是沒有實際效果只是用來騙錢的東西，我們無法對各款產品進行實際應用的考證，因此只能建議大家購買正規而專業的抗DDOS防火牆。

　　黑洞抗DDoS防火牆

　　黑洞抗DDoS防火牆是國內IDC中應用比較廣泛的一款抗DoS、DDoS攻擊產品，其技術比較成熟，而且防護效果顯著，已經得到各大IDC機構的共同認可。黑洞目前分百兆、千兆兩款產品，分別可以在相應網路環境下實現對高強度攻擊的有效防護，效能遠遠超過同類防護產品。千兆黑洞主要用於保護骨幹線路上的網路裝置如防火牆、路由器，百兆黑洞主要用於保護子網和伺服器，使用多種演算法識別攻擊和正常流量，能在高攻擊流量環境下保證95%以上的連線保持率和95%以上的新連線發起成功率，核心演算法由彙編實現，針對Intel IA32體系結構進行了指令集最佳化。對標準TCP狀態進行了精簡和最佳化，效率遠高於目前流行的SYN Cookie和Random Drop等演算法。

　　黑洞所帶來的防護:

　　自身安全:無IP地址，網路隱身。

　　能夠對SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS攻擊進行防護。

　　可以有效防止連線耗盡，主動清除伺服器上的殘餘連線，提高網路服務的品質;可以抑制網路蠕蟲的擴散。

　　可以防護DNS Query Flood，保護DNS伺服器正常執行。

　　可以給各種埠掃描軟體反饋迷惑性資訊，因此也可以對其它型別的攻擊起到防護作用。

　　金盾抗DDOS防火牆

　　金盾抗DDOS防火牆由合肥中新軟體有限公司開發，是一款針對ISP接入商、IDC服務商開發的專業性比較強的專業防火牆。適用於Internet平臺所有企業與個人使用者，尤其對一些大型的娛樂站點和重要企業站點的網路流暢起到了重要的安全保護作用。

　　產品目前採用了最底層驅動技術，提供完善的面向連線操作。公司在長期ISP運營和致力於網路安全的研究過程中，研究和發明了一種防禦和抵抗拒絕服務攻擊的解決辦法。測試的效果表明，目前的防禦演算法對所有已知的拒絕服務攻擊是免疫的，也就是說，是完全可以抵抗已知DoS/DDoS攻擊的。

　　金盾抗DDOS防火牆可以抵禦多種拒絕服務攻擊及其變種，可防各類 DoS/DDoS攻擊，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各種變種如Land，Teardrop，Smurf，Ping of Death等。

　　傲盾ddos防火牆

　　傲盾安全網的知名品牌“傲盾防火牆”是一套全面、創新、高安全性、高效能的網路安全系統。傲盾ddos防火牆具有DDOS、DOS攻擊防禦、NAT地址轉換功能、特有TCP標誌位檢測功能，傲盾ddos防火牆具有世界領先的資料流指紋檢測技術、獨立開發的高效率系統核心等特點，是國內一家可完全抵禦ACK、DOS、DDOS、SYN、FLOOD、FATBOY及各種變種如Land，Teardrop，Smurf，Ping of Death，FATBOY等攻擊的全防禦安全產品，致力於為個大企業、事業機關及網路服務商提供完整的資訊保安的解決方案及全面的技術支援服務!

　　傲盾ddos防火牆特點:

　　阻止DOS攻擊:TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等數百種

　　抵禦DDOS攻擊:SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻擊

　　拒絕TCP全連線攻擊:某一IP對伺服器特定埠的大量連線資源耗盡攻擊

　　防止指令碼攻擊:專業防範ASP、PHP、PERL、JSP 等指令碼程式的Flood攻擊

　　對付DDOS工具:XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等數十種

　　超強Web過濾:過濾URL關鍵字、Unicode惡意編碼、指令碼木馬、防木馬上傳

　　偵測駭客入侵:智慧檢測Port掃描、SQL隱碼攻擊、密碼猜測、Expolit利用等2000多種駭客入侵行為並阻斷。

　　天傲防火牆

　　“天傲防火牆”目前是國內一家可完全抵禦ACK、DOS/DDOS、SYN、FLOOD、FATBOY、CC、drdos及各種變種如Land，Teardrop，Smurf，Ping of Death，FATBOY等攻擊的全防禦安全產品，致力於為各大企業、事業機關、網路服務商及遊戲運營商，提供完整的資訊保安解決方案及全面的技術支援服務，天傲軟體抗DDOS版防火牆是採用的演算法，可以在系統丟棄上百萬攻擊包的同時採用底層驅動丟包模式，丟棄上百萬攻擊包，不耗費任何系統資源。防禦100M攻擊流量同時CPU耗費不會超過3%。

　　天傲硬體防火牆置於交換機前面獨立存在，可保護防火牆後掛接的所有交換機和伺服器，硬體防火牆採用透明模式，無I址限定，即插即用，百兆硬防擁有6個標準網路卡介面，不限制連線數，千兆防火牆擁有四個光電介面，4個網路卡介面。

　　以下產品在我們撰寫本文時並未得到大部分網路技術人員的肯定，簡介摘自產品開發者官方網站，不敢保證其資訊的完全正確，資料僅供讀者參考，大家可以根據各自的瞭解進行判斷選擇。

　　冰盾抗DDOS防火牆

　　冰盾抗DDOS防火牆(Bingdun Anti-DDOS Firewall)來自IT技術世界一流的美國矽谷，由華人留學生Mr.Bingle Wang和Mr.Buick Zhang設計開發，採用國際領先的生物基因鑑別技術智慧識別各種DDOS攻擊和駭客入侵行為，防火牆採用MicroKernel微核心和ActiveDefense主動防禦引擎技術實現，工作在系統的最底層，充分發揮CPU的效能，僅耗費少許記憶體即獲得驚人的處理效能。經高強度攻防試驗測試表明:在抗DDOS攻擊方面，工作於100M網路卡冰盾約可抵禦每秒25萬個SYN包攻擊，工作於1000M網路卡冰盾約可抵禦160萬個SYN攻擊包;在防駭客入侵方面，冰盾可智慧識別Port掃描、Unicode惡意編碼、SQL隱碼攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種駭客入侵行為並自動阻止，是迄今為止在抗DDOS領域功能最為強大的防火牆產品之一。

　　冰盾是專業級別抗DDOS防火強，在阻止DOS攻擊、抵禦DDOS攻擊 、拒絕TCP全連線攻擊、防止指令碼攻擊、安全Web過濾和偵測並阻止駭客入侵方面有其獨到的特色，冰盾抗DDOS防火牆工作在系統的最底層，採用ActiveDefense微核心防禦技術和基於生物基因的智慧識別技術，從低到高，細粒度逐層控制，從而真正意義上防禦了各個層次的DOS和DDOS攻擊。

　　天盾Xddos防火牆

　　天盾Xddos防火牆是一款針對ISP接入商、IDC服務商開發的專業性比較強的專業防火牆，適用於保護各類網際網路伺服器。Ddos

　　是網際網路上對網路伺服器威脅最大的攻擊，隨著網路攻擊軟體網上隨意下載的越來越多(用google和百度搜尋比比皆是)，廣大伺服器管理者越來越需要一種專門的防禦ddos攻擊的防火牆。天盾Xddos防火牆基於網路卡驅動底層開發，使用了最先進的演算法，標準版就可以防禦各類ddos攻擊(包括最新的cc等)，高階版更可以DIY千兆的網橋式防火牆。

　　天盾硬體防火牆抗DDOS版不會有佔用系統資源的問題，他的工作原理是當你的網站不被DDOS攻擊的時候防火牆本身並不工作，不對任何一個資料包進行驗證或者攔截，所以更不會給網路的質量和速度帶來絲毫的影響，防火牆採用底層技術與TC/IP核心開發，從設計原理上來說就已經把佔用系統資源降低到了最小，內建強大的IDS模組在你的網站一旦受到DDOS攻擊的時候立刻投入工作處理一切非法的請求包，但是不會丟掉任何一個正常合法的資料包。即使在大量處理攻擊包的時候，合法資料包會也成功連線100%，響應時間不會超過1秒，所以即便在這個時候正常客戶瀏覽你的網站也不會感覺到慢，FTP下載也是正常。硬體防火牆置於交換機前面獨立存在，對硬體環境無特殊要求。

　　網盾軟體DDOS防火牆

　　網盾防火牆是一款全功能並帶有DOS攻擊防護，DDOS攻擊防護，SYN攻擊防護等功能的防火牆產品，完全不限制伺服器連線數，功能更勝一籌，目前多數防DDOS軟體防火牆，僅有防禦DOS攻擊的功能，而沒有其他防火牆應該必備的一些功能.遇到針對你伺服器攻擊的駭客，仍然無任何作用.網盾防火牆擁有強大的網路協議解析能力。可過濾經過精心偽裝的惡意程式碼和攻擊，有效阻止和預警各種攻擊行為，對DDOS攻擊和SQL隱碼攻擊等入侵的防護處於世界領先位置，這是其他網路安全軟體 所無法做到的。

　　網盾防火牆可全面應用在IDC機房託管、虛擬主機、遊戲站、聊天站、音樂站、電影站、電子商務站、企業站、郵件伺服器，私服等伺服器上。

　　總結:

　　對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但透過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若透過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。