【傻傻分不清? DDOS防护 VS 防火墙】

一直以来，我们都知道DDos防护 和 防护墙 都可以对于网络攻击进行拦截，但是二者具体有什么区别，实际中怎么使用，为什么这么使用? 带着这些疑问，进行了资料的查阅 ，加上个人开发经验和实际操作，整理记录了下📝，在这里和大家分享下，谈谈我个人理解 ，DDos防护 和 防火墙是什么，区别在哪。

注：本文涉及到的安全服务 ，基于阿里云厂商提供的安全服务进行设计实施。

什么是DDOS

DDoS-Distributed Denial of Service 分布式拒绝服务攻击，是一种网络安全攻击，其中攻击者利用大量计算机或其他设备向目标系统发送大量请求，使其无法正常响应或完全瘫痪，攻击手段为消耗服务器资源。

4层传输层的攻击包括在 ip，tls攻击，消耗socket资源。

7层应用层攻击还有伪造用户请求，进入到业务服务中，消耗服务器cpu以及数据库资源等。

特点：伪造，大量。

DDOS防护

ddos原生防护：阿里云DDoS原生防护是默认提供的基础防护服务，接入简单，直接使用阿里云本机房资源进行防御。其通过实时黑名单和智能分析流量，阻止常见DDoS攻击，但最大承载能力有限，在几百Gbps。
ddos高防：阿里云DDoS高防是定制化的专业防护解决方案，提供弹性防护、全面防护和专业支持，适用于对网络安全有更高要求的企业或网站。需要额外配置接入专门的ddos机房，配置麻烦，但能承载Tbps流量。

防火墙防护

web防火墙：主攻web方向，http层，支持ip黑名单，按ip限速等功能，但承载流量有限，超出需要额外计费。
云防火墙：通用性高，tcp udp层，偏向管理与网络问题自动化监测异常、告警。

DDOS防护 VS 防火墙防护

二者都可以对攻击流量进行拦截，所以有什么区别?

触发时机上

ddos不是实时生效的， 防火墙是常态化的 。

ddos只有在触发ddos场景时才会触发。某些防护功能比如端口封禁，ICMP协议禁用等，只有在ddos防护系统认为受到攻击时生效，才会生效。

功能

防火墙功能更丰富 ，更细致，如应用层规则设置 ，审计日志， 可以记录请求日志等。

小结

两者各有自己适合的场景，一般搭配使用，下面带入场景，在看下二者的效果。

场景

一个典型的部署结构，最外层域名，然后阿里云slb节点暴露做流量入口，后面再接application server。

当外部发起攻击时，如下图，阿里云slb本身是有基础的ddos防护的，当识别到的ddos攻击时，可以把这部分流量过滤掉。

但同时由此图也可以发现个问题，当攻击流量为中小量的时候，不会被判定为ddos攻击，从而触发不了ddos防护，比如突然每秒请求个几百次，这种对于中小型服务某些比较重的接口，可能造成cpu或者后面数据库等指标突刺，资源浪费。所以轻则被薅薅羊毛，重则可能造成服务的不稳定甚至短时间内crash。此时则可把防火墙加上，如下图，

防火墙功能更多，并且常态化生效，加上以后，可以进行ip粒度的过滤限流等，发现异常ip不合理请求，可以直接封禁，可以更全面的抵御攻击。这也是为什么ddos防护和防护墙一般搭配着用，大量的网络攻击，触发ddos场景，用ddos防护，更细致的常态化保护，限流封禁使用防护墙，搭配着来，做到完善可靠的网络安全架构。

Q&&A

Q：是否有必要单独搞防火墙 A：涉及到ddos和防火墙的本质区别，ddos不是实时生效的， 防火墙是常态化的 ，所以如果涉及到常态化生效的场景，就需要防火墙。 比如场景： 小流量限流，ddos小流量时不会触发，而WAF常态化的，所以可以随时调整防护。

Q： 阿里云slb上的防护是什么。
A： 阿里云slb上默认开启DDos攻击防护 ，有5G弹性带宽，可以拦截过滤掉的攻击，超过这个流量的话，需要提升防护额度 ，否则会造成slb节点停机。
过滤规则和防护等级 ：https://help.aliyun.com/zh/anti-ddos/anti-ddos-origin/user-guide/ip-protection-policy?spm=a2c4g.11186623.0.0.78ef7f1fZFX8qu

Q：阿里云云盾是什么
A：云安全中心，上面提供各种防护服务，包括防火墙，网站风险扫描等功能。