IDC机房的硬件防火墙与防护能力

整体上说，这是一篇比较客观的文章，转贴在博客上也但愿你们对于DDOS有一个更明确的概念。

不少朋友在寻×××器托管机房时，除了对机房的速度有要求，其次就是机房的稳定、安全和可靠了。

　　说到这里，立刻就能够引出咱们的话题－－关于IDC机房的防火墙。其实以前咱们也跟你们从技术、产品方面讨论过很多相似的问题，而今天，咱们主要从逻辑上为你们进行分析，读完本文以后，相信你们就会清楚两个很是重要的问题：

　　一、为何你的服务器被DDOS时没有机房肯接纳？

　　二、机房的DDOS防护能力到底是否能够给你安全保障？

　　先来讲第一个问题吧。

　　假设你如今有一个服务器被***盯上了，天天都有的***流量，你原来放在一个没有防火墙的机房，那天然是很快被网络管理员拔线，而后通知你的服务商说机房不能接收这台服务器，没办法，你就只能找一个能够防护流量***的机房。

　　因而，你在网上找百度，看到一个运用商的介绍说能够有效抵御的流量***，因而你会想，他们连的***都顶得住，那的***确定是小意思，好，就放到那个机房。

　　因而你去联系这个运营商，把你的服务器放进了这个能够抵御***的机房，但是紧接着你的服务器一上线就马上遭到DDOS***，流量仍是，机房又把你的服务器拔线了，你很奇怪，为何防护的机房才的***就拔线？

    运营商说：“小伙子，你的服务器这段时间被人盯上了，因为你的IP受到大流量***，影响了机房其余服务器的正常访问，因此咱们要把你的网络停掉。”

    而后你会问：“大家不是说能够防护的***吗？为何才***就要断个人网络？”

    运营商说：“小伙子，你想一想，咱们这个机房的带宽一年得卖好几十万，如今你一个月才几百块的托管费就要我一直给你消耗的带宽去顶住外面的***；要知道机房 带宽如今的使用率是很是高的，的***已经严重影响机房其余服务器的访问，其余用户网络变慢或者服务器没法访问，他们也一直会找咱们投诉啊，就算别人不投 诉，你说我这一直给你防着的***我得天天消耗多少带宽费用啊。”

    因此，即便机房号称的防护能力，你说就为了一个月租几百块的客户，机房会傻到天天牺牲那么大一部分带宽去帮他顶住***吗？从成本上就明显划不来，并且仍是 亏得厉害，那机房有啥好处呢？没好处人家固然不干。一些受到***的用户总是抱怨找不到机房就是这么个问题，并不必定是机房顶不住***，而是没利润，不想作 这单生意，正如IDC行内名人老孤说言“我为了600块接你的机器，我就是神经。”

　　另外就是一个很是敏感的话题：机房的DDOS防护能力是否是徒有虚名？

　 　首先要搞清楚一个概念：咱们前面说的防是整个机房能够防，不是单个IP能够防，单个服务器可以承受多少G的防护那是概念错误，通常 1U托管也就在服务器上面插共享的网线，还给你限制最大4Mb/s的流量，也就是超过500KB的访问量你的服务器就已经访问不到了，因此谈单个 IP的防护那是比较滑稽的，别人用DDOS***一个IP，其实消耗的都是机房外部的带宽，这就是为何一个IP受到***，整个机房或者大半个机房都会受到 影响。至于机房的DDOS防护能力，这要从两个方面去说：

　 　首先，咱们在之前的文章中已经从技术上分析过，机房的DDOS防火墙并非挡住大流量的***就万事大吉了，DDOS防火墙只是消耗的外部带宽去抵御流量 的***，保障机房内部网络设备和服务器的安全，也就是说若是机房全部的外部带宽只有，那么你放出的***流量，那么这个机房里面的服务器就无法被外界所访问 了，由于总出口已经堵死了，这种状况下，DDOS防火墙的防护能力再强都无济于事。

　　所以，要是一个机房总的带宽就不大，那么它号称能够防护多大的带宽、有多少DDOS防火墙那都死睁着眼睛说瞎话。

　　那么，要是一个机房有好几G甚至十几G的带宽，那么它的防护效果会不会比较好呢？

　　那就要看它的网络结构和防火墙设备了。

　 　从机房网络架构来看，防火墙实际上是很被动的东西，并且机房拓扑结构很差的话，分的链路很乱的话，防护效果根本就不行；另外，你们注意一下 DDOS防火墙设备，都是千兆级的多，为何？由于DDOS防火墙大多就是一台小型服务器＋Linux系统＋DDOS软件，因此它只能用服务器上的千兆网 卡，万兆网络那是骨干网络设备才有的规格，民用万兆网络如今都还处于科研阶段，因此千兆的防火墙要组成联防系统也就是集群，才能实现以上的防护效果。

　　所以，在总带宽充足的状况下，防火墙集群的规模和网络结构的设计直接影响到防护效果。

　　最后，顺便告诉你们，就目前国内的状况来看，可以实现以上实际防护能力的机房并很少，圈内公认的就那么几个（为免广告之嫌，这里不透露名称），因此你要是随便跟一个运用商谈对方都告诉你能够防护多少个G，那多半是胡扯。