目前,大多数机房的防火墙设备都提供抗DDOS攻击服务,为了预防DDOS攻击,高防服务器机房的防火墙设备一般一直开启着抗DDOS攻击服务,以有效的阻止DDOS攻击行为。但是,如果高防服务器机房的防火墙一直 开启着抗DDOS攻击服务,则需要对所有通过高防服务器机房的防火墙的数据包都进行攻击检测,如此,增加 了高防服务器机房的防火墙的检测负担,从而导致高防服务器机房的防火墙转发数据包的速率下降,降低了高防服务器机房的防火墙的性能。
拒绝服务(Denial Of Service, DOS)攻击是当前网络中威胁最大的攻击之一。DOS攻击主要是通过恶意手段使目标服务器的CPU达到满载,耗尽服务器的资源,从而使用户 无法实现对服务器的正常访问。分布式拒绝服务(Distributed Denial Of Service, DDOS) 攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目 标发动攻击,从而成倍地提高DOS攻击的威力。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
那么应对DDOS攻击,高防服务器机房的防火墙是如何防御的呢?
高防服务器机房的防火墙抗分布式拒绝服务DDOS攻击的方法包括:
检测高防服务器机房的防火墙CPU的当前使用率;
判断所述当前使用率是否大于预设的CPU使用率安全临界值;
当前使用率大于所述安全临界值时,开启抗DDOS攻击服务;
当前使用率小于或等于所述安全临界值时,关闭抗DDOS攻击服务。
检测高防服务器机房的防火墙CPU的当前使用率之前,还包括:获取高防服务器机房的防火墙CPU的使用率的统计信息,根据所述统计信息预设所述CPU使用率安全临界值。
统计信息至少包括:当日高防服务器机房的防火墙CPU使用率的统计值、当前周高防服务器机房的防火墙CPU使用率的统计值和当前月高防服务器机房的防火墙CPU使用率的统计值。
根据所述统计信息预设所述CPU使用率安全临界值,包括:根据 所述当日高防服务器机房的防火墙CPU使用率的统计值、所述当前周高防服务器机房的防火墙CPU使用率的统计值和所述当前月高防服务器机房的防火墙CPU使用率的统计值中的一项或多项的组合,预设所述CPU使用率安全临界值。
当日高防服务器机房的防火墙CPU使用率的统计值包括当日高防服务器机房的防火墙CPU使用率的 最大值和平均值;所述当前周高防服务器机房的防火墙CPU使用率的统计值包括当前周高防服务器机房的防火墙CPU使用率的 最大值和平均值;所述当前月高防服务器机房的防火墙CPU使用率的统计值包括当前月高防服务器机房的防火墙CPU使用率的 最大值和平均值。
高防服务器机房的防火墙通过检测高防服务器机房的防火墙CPU的当前使用率,判断所述当前使用率是否大于预设的CPU使用率安全临界值:当所述当前使用 率大于所述安全临界值时,开启抗DDOS攻击服务;当所述当前使用率小于或等于所述安全临界值时,关闭抗DDOS攻击服务。如此,仅当存在DDOS攻击威胁的时候才开启抗DDOS攻击服务,克服了现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的弊端,在保证阻止DDOS攻击的前提下,有效的保证了数据转发的速率。
