金盾防火墙能不能防DDOS攻击呢?

目前IDC行业抗DDOS服务器用得比较多的是金盾防火墙。金盾抗DDOS防火墙适用于Internet平台所有企业与个人用户，尤其对一些大型的娱乐站点和重要企业站点的网络流畅起到了重要的安全保护作用。

产品目前采用了最底层驱动技术，提供完善的面向连接操作。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

当然也有一些技术人员提出观点，认为从原则上说，上面类似产品不能说是防火墙，应该说一种异常流量清洗系统;现在的DDoS防御技术在防火墙也有，但防火墙的能力有限，不能很深入的针对每一个阀值参数进行分析和执行，而只有一个执行，而且执行的度量是定死了;没有一个学习后再细化，这就是防火墙的弱点，但这种产品一般是在高带宽流量的环境应用，说白一点，是放到运营商上面应用，所以产品的性能要求十分严苛，要经得起考验，这不是闹着玩;因为这套东西，运营商拿去也是给增值服务客户应用的，要收钱的，如果不能抵御一定流量的攻击客户肯定会翻脸。

硬件防火墙到底能不能防DDOS呢?

大体上说是可以的，根据我们的了解，国内大部分机房都是表示金盾效果还过得去，黑洞效果则更好一些，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

但是，如果DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

因此，即使很多机房都号称采用多好的硬件防火墙，可以防御多大流量的攻击，但如果你的服务器真的遭到大流量攻击，机房还是不敢放你进去，因为会影响到其他服务器的正常访问，而且托管一台服务器收取的费用本来就不多，为了做成这么一笔小生意而招惹大麻烦，运营商肯定觉得不划算，最可怜的还是那些机房的网管人员，得手忙脚乱的封IP。

对付DDOS是一个比较复杂而庞大的系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。

纵横云是老牌IDC服务商，专注于idc行业16年，服务超8万用户，为广大用户提供包括云服务器、站群服务器、动态拨号vps、挂机宝、PPTP、云手机、显卡服务器、高防服务器、大带宽服务器、CN2服务器、BGP服务器、裸金属服务器、虚拟主机、网站空间、服务器托管、域名注册、域名备案、网站建设、公网ip、跨境专线、SD-WAN、高防CDN、SSL证书、企业邮局等多种idc服务，有需要的朋友可以咨询我们，官网：http://www.zonghengcloud.com/，QQ：3494196421，微信：19906048603。