一直以来,我们都知道DDos防护 和 防护墙 都可以对于网络攻击进行拦截,但是二者具体有什么区别,实际中怎么使用,为什么这么使用? 带着这些疑问,进行了资料的查阅 ,加上个人开发经验和实际操作,整理记录了下📝,在这里和大家分享下,谈谈我个人理解 ,DDos防护 和 防火墙是什么,区别在哪。
注:本文涉及到的安全服务 ,基于阿里云厂商提供的安全服务进行设计实施。
什么是DDOS
DDoS-Distributed Denial of Service 分布式拒绝服务攻击,是一种网络安全攻击,其中攻击者利用大量计算机或其他设备向目标系统发送大量请求,使其无法正常响应或完全瘫痪,攻击手段为消耗服务器资源。
4层传输层的攻击包括在 ip,tls攻击,消耗socket资源。
7层应用层攻击还有伪造用户请求,进入到业务服务中,消耗服务器cpu以及数据库资源等。
特点:伪造,大量。
DDOS防护
ddos原生防护:阿里云DDoS原生防护是默认提供的基础防护服务,接入简单,直接使用阿里云本机房资源进行防御。其通过实时黑名单和智能分析流量,阻止常见DDoS攻击,但最大承载能力有限,在几百Gbps。
ddos高防:阿里云DDoS高防是定制化的专业防护解决方案,提供弹性防护、全面防护和专业支持,适用于对网络安全有更高要求的企业或网站。需要额外配置接入专门的ddos机房,配置麻烦,但能承载Tbps流量。
防火墙防护
web防火墙:主攻web方向,http层,支持ip黑名单,按ip限速等功能,但承载流量有限,超出需要额外计费。
云防火墙:通用性高,tcp udp层,偏向管理与网络问题自动化监测异常、告警。
DDOS防护 VS 防火墙防护
二者都可以对攻击流量进行拦截,所以有什么区别?
触发时机上
ddos不是实时生效的, 防火墙是常态化的 。
ddos只有在触发ddos场景时才会触发。某些防护功能比如端口封禁,ICMP协议禁用等,只有在ddos防护系统认为受到攻击时生效,才会生效。
功能
防火墙功能更丰富 ,更细致,如应用层规则设置 ,审计日志, 可以记录请求日志等。
小结
两者各有自己适合的场景,一般搭配使用,下面带入场景,在看下二者的效果。
场景
一个典型的部署结构,最外层域名,然后阿里云slb节点暴露做流量入口,后面再接application server。
当外部发起攻击时,如下图,阿里云slb本身是有基础的ddos防护的,当识别到的ddos攻击时,可以把这部分流量过滤掉。
单独ddos防护但同时由此图也可以发现个问题,当攻击流量为中小量的时候,不会被判定为ddos攻击,从而触发不了ddos防护,比如突然每秒请求个几百次,这种对于中小型服务某些比较重的接口,可能造成cpu或者后面数据库等指标突刺,资源浪费。所以轻则被薅薅羊毛,重则可能造成服务的不稳定甚至短时间内crash。此时则可把防火墙加上,如下图,
ddos防护 + 防护墙防火墙功能更多,并且常态化生效,加上以后,可以进行ip粒度的过滤限流等,发现异常ip不合理请求,可以直接封禁,可以更全面的抵御攻击。这也是为什么ddos防护和防护墙一般搭配着用,大量的网络攻击,触发ddos场景,用ddos防护,更细致的常态化保护,限流封禁使用防护墙,搭配着来,做到完善可靠的网络安全架构。
Q&&A
Q:是否有必要单独搞防火墙 A:涉及到ddos和防火墙的本质区别,ddos不是实时生效的, 防火墙是常态化的 ,所以如果涉及到常态化生效的场景,就需要防火墙。 比如场景: 小流量限流,ddos小流量时不会触发,而WAF常态化的,所以可以随时调整防护。
Q: 阿里云slb上的防护是什么。
A: 阿里云slb上默认开启DDos攻击防护 ,有5G弹性带宽,可以拦截过滤掉的攻击,超过这个流量的话,需要提升防护额度 ,否则会造成slb节点停机。
过滤规则和防护等级 :https://help.aliyun.com/zh/anti-ddos/anti-ddos-origin/user-guide/ip-protection-policy?spm=a2c4g.11186623.0.0.78ef7f1fZFX8qu
Q:阿里云云盾是什么
A:云安全中心,上面提供各种防护服务,包括防火墙,网站风险扫描等功能。
网友评论