部署清洗设备-防DDOS的部署的经历

时间：2016-05-15 20:07:06 阅读：271 评论：0 收藏：0 [点我收藏+]

标签：部署清洗设备-防ddos的部署的经历

10年磨一剑，回赠互联网，生不带来，死不带走。我们不生产技术，只是互联网额搬运工。

-----------佛山小西

网络DDOS攻击，是一个另人非常头痛的事情，随着网络带宽的扩容（ADSL的各种升级什么光纤到户）导致我们攻击流量越来越廉价，做IT的服务的越来越难做。

考虑成本性价比的问题，企业高管不会过分的去买知名品牌（X为、X盟等），主要看公司规模。。。。

站在技术角度，稳定的网络，轻松的管理不需要过多的人员干预。（终于能睡个安稳觉了）。。。

近段大半年时间，开始做这块的网络安全部署，接触了不少厂家。发现清洗设备这块市场已经非常常熟，但是就是比较贵，选择性价比高的。。。

简单说一下厂家使用的感受：

某为：外观满分，服务 60分（问题需要邮件，部分问题不能1-3日解决），部分攻击防不了。

某盾：外观 80分，服务 70分（在线响应），部分攻击防不住，经常用招远程协助，查看日志，重启

某普*盾：外观60分（服务器），服务80分（1-3日解决问题，快的半日内），新型攻击更新速度快。

拿NTP反射攻击比较：

某为：清洗不干净，用限速解决。

某盾：清洗不干净，用策略禁止。

某普*盾：清洗干净，新型攻击，提供数据特征可以快速更新特征。

因为大半年内，用过几家设备，做了一下对比几个厂家的数据：

	某普*盾	某为	某盾	某盟
设备Web管理	支持	不支持	支持	-
命令配置管理	不提供	支持	支持	-
单设备U数（机柜空间）	1U	5U~1柜	2U	2U
单台设备10G清洗带宽	支持	支持	支持	支持
单台设备20G清洗带宽	支持	支持	不支持	支持
单台设备30G清洗带宽	支持（主推）	支持	不支持	支持
单台设备40G清洗带宽	支持	支持	不支持	支持
单台40G以上	不支持（但有综方案)	支持	-	-
多检测设备对应单清洗	支持	不支持	不支持	-
单检测设备对应多清洗	不支持	支持	支持	-
每节点需要管理机	不需要	需要	需要	-
10G光模块接入	是	是	是	-
是否支持端口汇聚	是	是	否	-
产品是否支持扩展性	否	支持（模块化、框架化）	否	-
电源功率	502/717W	1368W/3231W/6195W	-	-
产品尺寸	42.6×482.4×772mm	-	-	-
产品重量	18kg	-	-	-
自动捉包功能\|分析	支持	支持	支持	-
自动学习特征库功能	不支持	支持	不支持	-
防御NTP反射\|放大攻击	支持	不支持	不支持	-
过滤规则	支持	支持	支持	-
黑白名单列表	支持	不支持	支持	-
统一的多节点管理	支持	不支持	不支持	-
串行模式部署	支持	不支持（换型号）	不支持	-
旁路模式部署	支持	支持	支持	-
特征库更新	随时	定期-官网	不更新-用过滤规则解决	-
DDOS流量攻击清洗	支持	支持	支持	支持
基本的flood防御	syn;dns等	syn;dns等	syn;dns等	-
支持客户自定义协议协商	支持	不支持	不支持	-
检测下达清洗命令-反应时间	3秒	2秒	-	-
支持黑洞封阻最大时间	无限-用户自定义	最大10小时	无限-用户自定义	-
提供原始捉包文件下载	支持	支持	支持	-
例外/排除IP功能	支持	支持	支持	-
自定义个性化封阻阀值	支持	不支持	不支持	-
例外IP被攻击时，是否提醒	支持	不支持	不支持	-
放行客户的自主协议/协商	支持	不支持	不支持	-
IPv4/IPv6双栈防御	不支持	支持	-	-
SYN FLOOD	支持	支持	-	-
分片攻击	支持	支持	-	-
CHARGEN REPLY FLOOD	支持	支持	-	-
SSDP REPLY FLOOD	支持	支持	-	-
NTP REPLY FLOOD	支持	支持	-	-
DNS REPLY FLOOD	支持	支持	-	-
DNS FLOOD	支持	支持	-	-
ACK FLOOD	支持	支持	-	-
HTTP FLOOD	支持	支持	-	-
ICMP FLOOD	支持	支持	-	-
UDP FLOOD	支持	支持	-	-
TCP FLOOD	支持	支持	-	-