IDC機房的硬件防火牆與防護能力

整體上說，這是一篇比較客觀的文章，轉貼在博客上也但願你們對於DDOS有一個更明確的概念。

不少朋友在尋×××器託管機房時，除了對機房的速度有要求，其次就是機房的穩定、安全和可靠了。

　　說到這裏，立刻就能夠引出咱們的話題－－關於IDC機房的防火牆。其實以前咱們也跟你們從技術、產品方面討論過很多相似的問題，而今天，咱們主要從邏輯上爲你們進行分析，讀完本文以後，相信你們就會清楚兩個很是重要的問題：

　　一、爲何你的服務器被DDOS時沒有機房肯接納？

　　二、機房的DDOS防護能力到底是否能夠給你安全保障？

　　先來講第一個問題吧。

　　假設你如今有一個服務器被***盯上了，天天都有的***流量，你原來放在一個沒有防火牆的機房，那天然是很快被網絡管理員拔線，而後通知你的服務商說機房不能接收這臺服務器，沒辦法，你就只能找一個能夠防護流量***的機房。

　　因而，你在網上找百度，看到一個運用商的介紹說能夠有效抵禦的流量***，因而你會想，他們連的***都頂得住，那的***確定是小意思，好，就放到那個機房。

　　因而你去聯繫這個運營商，把你的服務器放進了這個能夠抵禦***的機房，但是緊接着你的服務器一上線就馬上遭到DDOS***，流量仍是，機房又把你的服務器拔線了，你很奇怪，爲何防護的機房才的***就拔線？

    運營商說：「小夥子，你的服務器這段時間被人盯上了，因爲你的IP受到大流量***，影響了機房其餘服務器的正常訪問，因此咱們要把你的網絡停掉。」

    而後你會問：「大家不是說能夠防護的***嗎？爲何才***就要斷個人網絡？」

    運營商說：「小夥子，你想一想，咱們這個機房的帶寬一年得賣好幾十萬，如今你一個月才幾百塊的託管費就要我一直給你消耗的帶寬去頂住外面的***；要知道機房 帶寬如今的使用率是很是高的，的***已經嚴重影響機房其餘服務器的訪問，其餘用戶網絡變慢或者服務器沒法訪問，他們也一直會找咱們投訴啊，就算別人不投 訴，你說我這一直給你防着的***我得天天消耗多少帶寬費用啊。」

    因此，即便機房號稱的防護能力，你說就爲了一個月租幾百塊的客戶，機房會傻到天天犧牲那麼大一部分帶寬去幫他頂住***嗎？從成本上就明顯划不來，並且仍是 虧得厲害，那機房有啥好處呢？沒好處人家固然不幹。一些受到***的用戶總是抱怨找不到機房就是這麼個問題，並不必定是機房頂不住***，而是沒利潤，不想作 這單生意，正如IDC行內名人老孤說言「我爲了600塊接你的機器，我就是神經。」

　　另外就是一個很是敏感的話題：機房的DDOS防護能力是否是徒有虛名？

　 　首先要搞清楚一個概念：咱們前面說的防是整個機房能夠防，不是單個IP能夠防，單個服務器可以承受多少G的防護那是概念錯誤，通常 1U託管也就在服務器上面插共享的網線，還給你限制最大4Mb/s的流量，也就是超過500KB的訪問量你的服務器就已經訪問不到了，因此談單個 IP的防護那是比較滑稽的，別人用DDOS***一個IP，其實消耗的都是機房外部的帶寬，這就是爲何一個IP受到***，整個機房或者大半個機房都會受到 影響。至於機房的DDOS防護能力，這要從兩個方面去說：

　 　首先，咱們在之前的文章中已經從技術上分析過，機房的DDOS防火牆並非擋住大流量的***就萬事大吉了，DDOS防火牆只是消耗的外部帶寬去抵禦流量 的***，保障機房內部網絡設備和服務器的安全，也就是說若是機房全部的外部帶寬只有，那麼你放出的***流量，那麼這個機房裏面的服務器就無法被外界所訪問 了，由於總出口已經堵死了，這種狀況下，DDOS防火牆的防護能力再強都無濟於事。

　　所以，要是一個機房總的帶寬就不大，那麼它號稱能夠防護多大的帶寬、有多少DDOS防火牆那都死睜着眼睛說瞎話。

　　那麼，要是一個機房有好幾G甚至十幾G的帶寬，那麼它的防護效果會不會比較好呢？

　　那就要看它的網絡結構和防火牆設備了。

　 　從機房網絡架構來看，防火牆實際上是很被動的東西，並且機房拓撲結構很差的話，分的鏈路很亂的話，防護效果根本就不行；另外，你們注意一下 DDOS防火牆設備，都是千兆級的多，爲何？由於DDOS防火牆大多就是一臺小型服務器＋Linux系統＋DDOS軟件，因此它只能用服務器上的千兆網 卡，萬兆網絡那是骨幹網絡設備纔有的規格，民用萬兆網絡如今都還處於科研階段，因此千兆的防火牆要組成聯防系統也就是集羣，才能實現以上的防護效果。

　　所以，在總帶寬充足的狀況下，防火牆集羣的規模和網絡結構的設計直接影響到防護效果。

　　最後，順便告訴你們，就目前國內的狀況來看，可以實現以上實際防護能力的機房並很少，圈內公認的就那麼幾個（爲免廣告之嫌，這裏不透露名稱），因此你要是隨便跟一個運用商談對方都告訴你能夠防護多少個G，那多半是胡扯。