部署 清洗设备-防DDOS的部署 的经历
10年磨一剑,回赠互联网,生不带来,死不带走。我们不生产技术,只是互联网额搬运工。
-----------佛山 小西
网络DDOS***,是一个另人非常头痛的事情,随着网络带宽的扩容(ADSL的各种升级什么光纤到户)导致我们***流量越来越廉价,做IT的服务的越来越难做。
考虑成本性价比的问题,企业高管不会过分的去买知名品牌(X为、X盟等),主要看公司规模。。。。
站在技术角度,稳定的网络,轻松的管理不需要过多的人员干预。(终于能睡个安稳觉了)。。。
近段大半年时间,开始做这块的网络安全部署,接触了不少厂家。发现清洗设备这块市场已经非常常熟,但是就是比较贵,选择性价比高的。。。
简单说一下厂家使用的感受:
某为:外观 满分,服务 60分(问题需要邮件,部分问题不能1-3日解决),部分***防不了。
某盾:外观 80分,服务 70分(在线响应),部分***防不住,经常用招远程协助,查看日志,重启
某普*盾:外观60分(服务器),服务80分(1-3日解决问题,快的半日内),新型***更新速度快。
拿NTP反射***比较:
某为:清洗不干净,用限速解决。
某盾:清洗不干净,用策略禁止。
某普*盾:清洗干净,新型***,提供数据特征可以快速更新特征。
因为大半年内,用过几家设备,做了一下对比几个厂家的数据:
某普*盾 | 某为 | 某盾 | 某盟 | |
设备Web管理 | 支持 | 不支持 | 支持 | - |
命令配置管理 | 不提供 | 支持 | 支持 | - |
单设备U数(机柜空间) | 1U | 5U~1柜 | 2U | 2U |
单台设备10G清洗带宽 | 支持 | 支持 | 支持 | 支持 |
单台设备20G清洗带宽 | 支持 | 支持 | 不支持 | 支持 |
单台设备30G清洗带宽 | 支持(主推) | 支持 | 不支持 | 支持 |
单台设备40G清洗带宽 | 支持 | 支持 | 不支持 | 支持 |
单台40G以上 | 不支持(但有综方案) | 支持 | - | - |
多检测设备对应单清洗 | 支持 | 不支持 | 不支持 | - |
单检测设备对应多清洗 | 不支持 | 支持 | 支持 | - |
每节点需要管理机 | 不需要 | 需要 | 需要 | - |
10G光模块接入 | 是 | 是 | 是 | - |
是否支持端口汇聚 | 是 | 是 | 否 | - |
产品是否支持扩展性 | 否 | 支持(模块化、框架化) | 否 | - |
电源功率 | 502/717W | 1368W/3231W/6195W | - | - |
产品尺寸 | 42.6×482.4×772mm | - | - | - |
产品重量 | 18kg | - | - | - |
自动捉包功能|分析 | 支持 | 支持 | 支持 | - |
自动学习特征库功能 | 不支持 | 支持 | 不支持 | - |
防御NTP反射|放大*** | 支持 | 不支持 | 不支持 | - |
过滤规则 | 支持 | 支持 | 支持 | - |
黑白名单列表 | 支持 | 不支持 | 支持 | - |
统一的多节点管理 | 支持 | 不支持 | 不支持 | - |
串行模式部署 | 支持 | 不支持(换型号) | 不支持 | - |
旁路模式部署 | 支持 | 支持 | 支持 | - |
特征库更新 | 随时 | 定期-官网 | 不更新-用过滤规则解决 | - |
DDOS流量***清洗 | 支持 | 支持 | 支持 | 支持 |
基本的flood防御 | syn;dns等 | syn;dns等 | syn;dns等 | - |
支持客户自定义协议协商 | 支持 | 不支持 | 不支持 | - |
检测下达清洗命令-反应时间 | 3秒 | 2秒 | - | - |
支持黑洞封阻最大时间 | 无限-用户自定义 | 最大10小时 | 无限-用户自定义 | - |
提供原始捉包文件下载 | 支持 | 支持 | 支持 | - |
例外/排除IP功能 | 支持 | 支持 | 支持 | - |
自定义个性化封阻阀值 | 支持 | 不支持 | 不支持 | - |
例外IP被***时,是否提醒 | 支持 | 不支持 | 不支持 | - |
放行客户的自主协议/协商 | 支持 | 不支持 | 不支持 | - |
IPv4/IPv6双栈防御 | 不支持 | 支持 | - | - |
SYN FLOOD | 支持 | 支持 | - | - |
分片*** | 支持 | 支持 | - | - |
CHARGEN REPLY FLOOD | 支持 | 支持 | - | - |
SSDP REPLY FLOOD | 支持 | 支持 | - | - |
NTP REPLY FLOOD | 支持 | 支持 | - | - |
DNS REPLY FLOOD | 支持 | 支持 | - | - |
DNS FLOOD | 支持 | 支持 | - | - |
ACK FLOOD | 支持 | 支持 | - | - |
HTTP FLOOD | 支持 | 支持 | - | - |
ICMP FLOOD | 支持 | 支持 | - | - |
UDP FLOOD | 支持 | 支持 | - | - |
TCP FLOOD | 支持 | 支持 | - | - |
最后因为性价比、适合使用性的原因:我们选择了 某普*盾。
灵活的部署方法:不工作不影响网络、瓜了不影响原有网络:
目前我部署了18个节点机房,领导再 不用担心我因为***而晚上要起床封IP 。。。。
部署逻辑:
管理页面: