【傻傻分不清? DDOS防护 VS 防火墙】

2024-04-23 12:12

本文主要是介绍【傻傻分不清? DDOS防护 VS 防火墙】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一直以来,我们都知道DDos防护 和 防护墙 都可以对于网络攻击进行拦截,但是二者具体有什么区别,实际中怎么使用,为什么这么使用? 带着这些疑问,进行了资料的查阅 ,加上个人开发经验和实际操作,整理记录了下📝,在这里和大家分享下,谈谈我个人理解 ,DDos防护 和 防火墙是什么,区别在哪。

注:本文涉及到的安全服务 ,基于阿里云厂商提供的安全服务进行设计实施。

什么是DDOS

DDoS-Distributed Denial of Service 分布式拒绝服务攻击,是一种网络安全攻击,其中攻击者利用大量计算机或其他设备向目标系统发送大量请求,使其无法正常响应或完全瘫痪,攻击手段为消耗服务器资源。

4层传输层的攻击包括在 ip,tls攻击,消耗socket资源。

7层应用层攻击还有伪造用户请求,进入到业务服务中,消耗服务器cpu以及数据库资源等。

特点:伪造,大量。

DDOS防护

ddos原生防护:阿里云DDoS原生防护是默认提供的基础防护服务,接入简单,直接使用阿里云本机房资源进行防御。其通过实时黑名单和智能分析流量,阻止常见DDoS攻击,但最大承载能力有限,在几百Gbps。
ddos高防:阿里云DDoS高防是定制化的专业防护解决方案,提供弹性防护、全面防护和专业支持,适用于对网络安全有更高要求的企业或网站。需要额外配置接入专门的ddos机房,配置麻烦,但能承载Tbps流量。

防火墙防护

web防火墙:主攻web方向,http层,支持ip黑名单,按ip限速等功能,但承载流量有限,超出需要额外计费。
云防火墙:通用性高,tcp udp层,偏向管理与网络问题自动化监测异常、告警。

DDOS防护 VS 防火墙防护

二者都可以对攻击流量进行拦截,所以有什么区别?

触发时机上

ddos不是实时生效的, 防火墙是常态化的 。

ddos只有在触发ddos场景时才会触发。某些防护功能比如端口封禁,ICMP协议禁用等,只有在ddos防护系统认为受到攻击时生效,才会生效。

功能

防火墙功能更丰富 ,更细致,如应用层规则设置 ,审计日志, 可以记录请求日志等。

小结

两者各有自己适合的场景,一般搭配使用,下面带入场景,在看下二者的效果。

场景


一个典型的部署结构,最外层域名,然后阿里云slb节点暴露做流量入口,后面再接application server。

当外部发起攻击时,如下图,阿里云slb本身是有基础的ddos防护的,当识别到的ddos攻击时,可以把这部分流量过滤掉。

单独ddos防护

但同时由此图也可以发现个问题,当攻击流量为中小量的时候,不会被判定为ddos攻击,从而触发不了ddos防护,比如突然每秒请求个几百次,这种对于中小型服务某些比较重的接口,可能造成cpu或者后面数据库等指标突刺,资源浪费。所以轻则被薅薅羊毛,重则可能造成服务的不稳定甚至短时间内crash。此时则可把防火墙加上,如下图,

ddos防护 + 防护墙

防火墙功能更多,并且常态化生效,加上以后,可以进行ip粒度的过滤限流等,发现异常ip不合理请求,可以直接封禁,可以更全面的抵御攻击。这也是为什么ddos防护和防护墙一般搭配着用,大量的网络攻击,触发ddos场景,用ddos防护,更细致的常态化保护,限流封禁使用防护墙,搭配着来,做到完善可靠的网络安全架构。

Q&&A

Q:是否有必要单独搞防火墙 A:涉及到ddos和防火墙的本质区别,ddos不是实时生效的, 防火墙是常态化的 ,所以如果涉及到常态化生效的场景,就需要防火墙。 比如场景: 小流量限流,ddos小流量时不会触发,而WAF常态化的,所以可以随时调整防护。

Q: 阿里云slb上的防护是什么。
A: 阿里云slb上默认开启DDos攻击防护 ,有5G弹性带宽,可以拦截过滤掉的攻击,超过这个流量的话,需要提升防护额度 ,否则会造成slb节点停机。
过滤规则和防护等级 :https://help.aliyun.com/zh/anti-ddos/anti-ddos-origin/user-guide/ip-protection-policy?spm=a2c4g.11186623.0.0.78ef7f1fZFX8qu

Q:阿里云云盾是什么
A:云安全中心,上面提供各种防护服务,包括防火墙,网站风险扫描等功能。

这篇关于【傻傻分不清? DDOS防护 VS 防火墙】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/928760

相关文章

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

令人不想回忆的DDos

免责声明:本文仅做分享!!!    目录 DDos 介绍: 常见攻击方式: 基于TCP协议的攻击 基于icmp协议的攻击 web压力测试 攻击----> 1-工具脚本 MHDDos项目 LOIC(低轨道离子炮) HOIC(高轨道离子炮) HULK OWASP HTTP POST Tors Hammer 2-在线平台 防御----> 1-高防 2-C

开源Apache服务器安全防护技术精要及实战

Apache 服务简介   Web服务器也称为WWW服务器或HTTP服务器(HTTPServer),它是Internet上最常见也是使用最频繁的服务器之一,Web服务器能够为用户提供网页浏览、论坛访问等等服务。   由于用户在通过Web浏览器访问信息资源的过程中,无须再关心一些技术性的细节,而且界面非常友好,因而Web在Internet上一推出就得到了爆炸性的发展。现在Web服务器已

VS Code 调试go程序的相关配置说明

用 VS code 调试Go程序需要在.vscode/launch.json文件中增加如下配置:  // launch.json{// Use IntelliSense to learn about possible attributes.// Hover to view descriptions of existing attributes.// For more information,

DDoS对策是什么?详细解说DDoS攻击难以防御的理由和对策方法

攻击规模逐年增加的DDoS攻击。据相关调查介绍,2023年最大的攻击甚至达到了700Gbps。 为了抑制DDoS攻击的危害,采取适当的对策是很重要的。 特别是在网站显示花费时间或频繁出现504错误的情况下,可能已经受到了DDoS攻击,需要尽早采取对策。 本文将介绍受到DDoS攻击时的事件、受害内容和作为DDoS对策有效的三种服务。 到底什么是DDoS攻击? 理解事件、手段和损害 D

解决服务器VS Code中Jupyter突然崩溃的问题

问题 本来在服务器Anaconda的Python环境里装其他的包,装完了想在Jupyter里写代码验证一下有没有装好,一运行发现Jupyter崩溃了!?报错如下所示 Failed to start the Kernel. ImportError: /home/hujh/anaconda3/envs/mia/lib/python3.12/lib-dynload/_sqlite3.cpython-

VSC++: 括号对称比较

括号的使用规则:大括号,中括号,小括号{[()]};中括号,小括号[()];小括号();大括号、中括号、小括号、中括号、小括号、大括号{[()][()]};大括号,中括号,小括号,小括号{[(())]};大括号,中括号,小括号,小括号{[()()]};小括号不能嵌套,小括号可连续使用。 {[]}、{()}、([])、({})、[{}]、{}、[]、{[}]、[(])都属非法。 char aa[

【linux 防火墙设置】3条命令关闭linux防火墙

检查防火墙是否开启 firewall-cmd --state runing是防火墙运行中 如果 not runing的话不用次步骤 防火墙配置 说明:防火墙中有一个配置文件,表示当Linux系统启动时防火墙应该如何操作!!! 需求: 告诉linux系统以后开机不需要启动防火墙 命令: systemctl disable firewalld.service 手动关闭防火墙 说明:

DDoS安全防护:为您的业务保驾护航

随着互联网技术的发展,网络安全问题日益凸显,尤其是分布式拒绝服务(DDoS)攻击,已成为众多企业和个人无法忽视的风险之一。DDoS攻击是指攻击者利用多台受感染的计算机作为“僵尸”向目标发起大量合法请求,以耗尽目标资源或带宽,导致合法用户无法访问服务。 DDoS安全防护的特性 DDoS安全防护不仅能够实时监控并检测潜在的攻击威胁,还能迅速采取措施进行流量清洗,确保业务的连续性和稳定性。具体来说,

Apache Kylin VS Apache Doris全方位对比

1 系统架构 1.1 What is Kylin1.2 What is Doris2 数据模型 2.1 Kylin的聚合模型2.2 Doris的聚合模型2.3 Kylin Cuboid VS Doris RollUp2.4 Doris的明细模型3 存储引擎4 数据导入5 查询6 精确去重7 元数据8 高性能9 高可用10 可维护性 10.1 部署10.2 运维10.3 客服11 易用性 11.1