注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

不透明的雾的博客

人生是一次记忆的旅行

 
 
 

日志

 
 
 
 

IDC机房的硬件防火墙与防御能力  

2007-05-29 14:31:04|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

总体上说,这是一篇比较客观的文章,转贴在博客上也希望大家对于DDOS有一个更明确的概念。

很多朋友在寻找服务器托管机房时,除了对机房的速度有要求,其次就是机房的稳定、安全和可靠了。

  说到这里,马上就可以引出我们的话题--关于IDC机房的防火墙。其实之前我们也跟大家从技术、产品方面讨论过不少类似的问题,而今天,我们主要从逻辑上为大家进行分析,读完本文之后,相信大家就会清楚两个非常重要的问题:

  1、为什么你的服务器被DDOS时没有机房肯接纳?

  2、机房的DDOS防御能力究竟是否可以给你安全保障?

  先来说第一个问题吧。

  假设你现在有一个服务器被黑客盯上了,每天都有1G的攻击流量,你原来放在一个没有防火墙的机房,那自然是很快被网络管理员拔线,然后通知你的服务商说机房不能接收这台服务器,没办法,你就只能找一个可以防御1G流量攻击的机房。

  于是,你在网上找百度,看到一个运用商的介绍说可以有效抵御6G的流量攻击,于是你会想,他们连6G的攻击都顶得住,那1G的攻击肯定是小意思,好,就放到那个机房。

  于是你去联系这个运营商,把你的服务器放进了这个可以抵御6G攻击的机房,可是紧接着你的服务器一上线就立刻遭到DDOS攻击,流量还是1G,机房又把你的服务器拔线了,你很奇怪,为什么6G防御的机房才1G的攻击就拔线?

    运营商说:“小伙子,你的服务器这段时间被人盯上了,由于你的IP受到1G大流量攻击,影响了机房其他服务器的正常访问,所以我们要把你的网络停掉。”

    然后你会问:“你们不是说可以防御6G的攻击吗?为什么才1G攻击就要断我的网络?”

    运营商说:“小伙子,你想想,我们这个机房1G的带宽一年得卖好几十万,现在你一个月才几百块的托管费就要我一直给你消耗1G的带宽去顶住外面的攻击;要知道机房带宽现在的使用率是非常高的,1G的攻击已经严重影响机房其他服务器的访问,其他用户网络变慢或者服务器无法访问,他们也一直会找我们投诉啊,就算别人不投诉,你说我这一直给你防着1G的攻击我得每天消耗多少带宽费用啊。”

    所以,即使机房号称6G的防御能力,你说就为了一个月租几百块的客户,机房会傻到每天牺牲那么大一部分带宽去帮他顶住攻击吗?从成本上就明显划不来,而且还是亏得厉害,那机房有啥好处呢?没好处人家当然不干。一些受到攻击的用户老是抱怨找不到机房就是这么个问题,并不一定是机房顶不住攻击,而是没利润,不想做这单生意,正如IDC行内名人老孤说言“我为了600块接你的机器,我就是神经。”

  另外就是一个非常敏感的话题:机房的DDOS防御能力是不是徒有虚名?

  首先要搞清楚一个概念:我们前面说的防6G是整个机房可以防6G,不是单个IP可以防6G,单个服务器能够承受多少G的防御那是概念错误,一般 1U托管也就在服务器上面插100M共享的网线,还给你限制最大4Mb/s的流量,也就是超过500KB的访问量你的服务器就已经访问不到了,所以谈单个 IP的防御那是比较滑稽的,别人用DDOS攻击一个IP,其实消耗的都是机房外部的带宽,这就是为什么一个IP受到攻击,整个机房或者大半个机房都会受到影响。至于机房的DDOS防御能力,这要从两个方面去说:

  首先,我们在以前的文章中已经从技术上分析过,机房的DDOS防火墙并不是挡住大流量的攻击就万事大吉了,DDOS防火墙只是消耗1G的外部带宽去抵御1G流量的攻击,保障机房内部网络设备和服务器的安全,也就是说如果机房所有的外部带宽只有1G,那么你放出1G的攻击流量,那么这个机房里面的服务器就没法被外界所访问了,因为总出口已经堵死了,这种情况下,DDOS防火墙的防御能力再强都无济于事。

  因此,要是一个机房总的带宽就不大,那么它号称可以防御多大的带宽、有多少DDOS防火墙那都死睁着眼睛说瞎话。

  那么,要是一个机房有好几G甚至十几G的带宽,那么它的防御效果会不会比较好呢?

  那就要看它的网络结构和防火墙设备了。

  从机房网络架构来看,防火墙其实是很被动的东西,而且机房拓扑结构不好的话,分的链路很乱的话,防御效果根本就不行;另外,大家注意一下 DDOS防火墙设备,都是千兆级的多,为什么?因为DDOS防火墙大多就是一台小型服务器+Linux系统+DDOS软件,所以它只能用服务器上的千兆网卡,万兆网络那是骨干网络设备才有的规格,民用万兆网络现在都还处于科研阶段,所以千兆的防火墙要组成联防系统也就是集群,才能实现1G以上的防御效果。

  因此,在总带宽充足的情况下,防火墙集群的规模和网络结构的设计直接影响到防御效果。

  最后,顺便告诉大家,就目前国内的情况来看,能够实现1G以上实际防御能力的机房并不多,圈内公认的就那么几个(为免广告之嫌,这里不透露名称),所以你要是随便跟一个运用商谈对方都告诉你可以防御多少个G,那多半是胡扯。

  评论这张
 
阅读(122)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017