【傻傻分不清? DDOS防护 VS 防火墙】

2024-04-23 12:12

本文主要是介绍【傻傻分不清? DDOS防护 VS 防火墙】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一直以来,我们都知道DDos防护 和 防护墙 都可以对于网络攻击进行拦截,但是二者具体有什么区别,实际中怎么使用,为什么这么使用? 带着这些疑问,进行了资料的查阅 ,加上个人开发经验和实际操作,整理记录了下📝,在这里和大家分享下,谈谈我个人理解 ,DDos防护 和 防火墙是什么,区别在哪。

注:本文涉及到的安全服务 ,基于阿里云厂商提供的安全服务进行设计实施。

什么是DDOS

DDoS-Distributed Denial of Service 分布式拒绝服务攻击,是一种网络安全攻击,其中攻击者利用大量计算机或其他设备向目标系统发送大量请求,使其无法正常响应或完全瘫痪,攻击手段为消耗服务器资源。

4层传输层的攻击包括在 ip,tls攻击,消耗socket资源。

7层应用层攻击还有伪造用户请求,进入到业务服务中,消耗服务器cpu以及数据库资源等。

特点:伪造,大量。

DDOS防护

ddos原生防护:阿里云DDoS原生防护是默认提供的基础防护服务,接入简单,直接使用阿里云本机房资源进行防御。其通过实时黑名单和智能分析流量,阻止常见DDoS攻击,但最大承载能力有限,在几百Gbps。
ddos高防:阿里云DDoS高防是定制化的专业防护解决方案,提供弹性防护、全面防护和专业支持,适用于对网络安全有更高要求的企业或网站。需要额外配置接入专门的ddos机房,配置麻烦,但能承载Tbps流量。

防火墙防护

web防火墙:主攻web方向,http层,支持ip黑名单,按ip限速等功能,但承载流量有限,超出需要额外计费。
云防火墙:通用性高,tcp udp层,偏向管理与网络问题自动化监测异常、告警。

DDOS防护 VS 防火墙防护

二者都可以对攻击流量进行拦截,所以有什么区别?

触发时机上

ddos不是实时生效的, 防火墙是常态化的 。

ddos只有在触发ddos场景时才会触发。某些防护功能比如端口封禁,ICMP协议禁用等,只有在ddos防护系统认为受到攻击时生效,才会生效。

功能

防火墙功能更丰富 ,更细致,如应用层规则设置 ,审计日志, 可以记录请求日志等。

小结

两者各有自己适合的场景,一般搭配使用,下面带入场景,在看下二者的效果。

场景


一个典型的部署结构,最外层域名,然后阿里云slb节点暴露做流量入口,后面再接application server。

当外部发起攻击时,如下图,阿里云slb本身是有基础的ddos防护的,当识别到的ddos攻击时,可以把这部分流量过滤掉。

单独ddos防护

但同时由此图也可以发现个问题,当攻击流量为中小量的时候,不会被判定为ddos攻击,从而触发不了ddos防护,比如突然每秒请求个几百次,这种对于中小型服务某些比较重的接口,可能造成cpu或者后面数据库等指标突刺,资源浪费。所以轻则被薅薅羊毛,重则可能造成服务的不稳定甚至短时间内crash。此时则可把防火墙加上,如下图,

ddos防护 + 防护墙

防火墙功能更多,并且常态化生效,加上以后,可以进行ip粒度的过滤限流等,发现异常ip不合理请求,可以直接封禁,可以更全面的抵御攻击。这也是为什么ddos防护和防护墙一般搭配着用,大量的网络攻击,触发ddos场景,用ddos防护,更细致的常态化保护,限流封禁使用防护墙,搭配着来,做到完善可靠的网络安全架构。

Q&&A

Q:是否有必要单独搞防火墙 A:涉及到ddos和防火墙的本质区别,ddos不是实时生效的, 防火墙是常态化的 ,所以如果涉及到常态化生效的场景,就需要防火墙。 比如场景: 小流量限流,ddos小流量时不会触发,而WAF常态化的,所以可以随时调整防护。

Q: 阿里云slb上的防护是什么。
A: 阿里云slb上默认开启DDos攻击防护 ,有5G弹性带宽,可以拦截过滤掉的攻击,超过这个流量的话,需要提升防护额度 ,否则会造成slb节点停机。
过滤规则和防护等级 :https://help.aliyun.com/zh/anti-ddos/anti-ddos-origin/user-guide/ip-protection-policy?spm=a2c4g.11186623.0.0.78ef7f1fZFX8qu

Q:阿里云云盾是什么
A:云安全中心,上面提供各种防护服务,包括防火墙,网站风险扫描等功能。

这篇关于【傻傻分不清? DDOS防护 VS 防火墙】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/928760

相关文章

Nginx安全防护的多种方法

《Nginx安全防护的多种方法》在生产环境中,需要隐藏Nginx的版本号,以避免泄漏Nginx的版本,使攻击者不能针对特定版本进行攻击,下面就来介绍一下Nginx安全防护的方法,感兴趣的可以了解一下... 目录核心安全配置1.编译安装 Nginx2.隐藏版本号3.限制危险请求方法4.请求限制(CC攻击防御)

Python中文件读取操作漏洞深度解析与防护指南

《Python中文件读取操作漏洞深度解析与防护指南》在Web应用开发中,文件操作是最基础也最危险的功能之一,这篇文章将全面剖析Python环境中常见的文件读取漏洞类型,成因及防护方案,感兴趣的小伙伴可... 目录引言一、静态资源处理中的路径穿越漏洞1.1 典型漏洞场景1.2 os.path.join()的陷

VS配置好Qt环境之后但无法打开ui界面的问题解决

《VS配置好Qt环境之后但无法打开ui界面的问题解决》本文主要介绍了VS配置好Qt环境之后但无法打开ui界面的问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要... 目UKeLvb录找到Qt安装目录中designer.UKeLvBexe的路径找到vs中的解决方案资源

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

令人不想回忆的DDos

免责声明:本文仅做分享!!!    目录 DDos 介绍: 常见攻击方式: 基于TCP协议的攻击 基于icmp协议的攻击 web压力测试 攻击----> 1-工具脚本 MHDDos项目 LOIC(低轨道离子炮) HOIC(高轨道离子炮) HULK OWASP HTTP POST Tors Hammer 2-在线平台 防御----> 1-高防 2-C

开源Apache服务器安全防护技术精要及实战

Apache 服务简介   Web服务器也称为WWW服务器或HTTP服务器(HTTPServer),它是Internet上最常见也是使用最频繁的服务器之一,Web服务器能够为用户提供网页浏览、论坛访问等等服务。   由于用户在通过Web浏览器访问信息资源的过程中,无须再关心一些技术性的细节,而且界面非常友好,因而Web在Internet上一推出就得到了爆炸性的发展。现在Web服务器已

VS Code 调试go程序的相关配置说明

用 VS code 调试Go程序需要在.vscode/launch.json文件中增加如下配置:  // launch.json{// Use IntelliSense to learn about possible attributes.// Hover to view descriptions of existing attributes.// For more information,

DDoS对策是什么?详细解说DDoS攻击难以防御的理由和对策方法

攻击规模逐年增加的DDoS攻击。据相关调查介绍,2023年最大的攻击甚至达到了700Gbps。 为了抑制DDoS攻击的危害,采取适当的对策是很重要的。 特别是在网站显示花费时间或频繁出现504错误的情况下,可能已经受到了DDoS攻击,需要尽早采取对策。 本文将介绍受到DDoS攻击时的事件、受害内容和作为DDoS对策有效的三种服务。 到底什么是DDoS攻击? 理解事件、手段和损害 D

解决服务器VS Code中Jupyter突然崩溃的问题

问题 本来在服务器Anaconda的Python环境里装其他的包,装完了想在Jupyter里写代码验证一下有没有装好,一运行发现Jupyter崩溃了!?报错如下所示 Failed to start the Kernel. ImportError: /home/hujh/anaconda3/envs/mia/lib/python3.12/lib-dynload/_sqlite3.cpython-

VSC++: 括号对称比较

括号的使用规则:大括号,中括号,小括号{[()]};中括号,小括号[()];小括号();大括号、中括号、小括号、中括号、小括号、大括号{[()][()]};大括号,中括号,小括号,小括号{[(())]};大括号,中括号,小括号,小括号{[()()]};小括号不能嵌套,小括号可连续使用。 {[]}、{()}、([])、({})、[{}]、{}、[]、{[}]、[(])都属非法。 char aa[