Я запускаю несколько серверов Ubuntu (виртуализированных) и установил fail2ban для защиты от DDOS. Для брандмауэра на каждом сервере есть iptables.
Я оцениваю свои варианты безопасности и интересуюсь, насколько хорошо fail2ban защищает вас от DDOS-атак по сравнению с выделенным аппаратным устройством? И обеспечит ли аппаратный брандмауэр лучшую / большую защиту, чем iptables (или он просто выше в стеке)?
Если это настоящая DDoS-атака, ничто в вашей локальной сети не остановит ее. Вам понадобится сотрудничество с вашим провайдером. К тому времени, как пакеты будут отброшены на вашем конце, они все еще будут забивать ваш канал.
Есть много причин использовать аппаратный брандмауэр по сравнению с программным (функции, простота управления, центральная точка регистрации и т. Д.), Но что касается DDoS, ни один из них не подходит для реальной атаки любого размера.
Я думаю, вы слишком много прислушиваетесь к маркетинговой болтовне.
Нет реальной разницы между тем, что вы называете аппаратным межсетевым экраном и программным. Оба управляются программным обеспечением.
Так называемый аппаратный брандмауэр - это тоже компьютер, но без некоторых периферийных интерфейсов, таких как USB или SATA. Некоторые из них даже работают под управлением Linux и IPTables, но имеют приятный веб-интерфейс. Другие предоставляют свою собственную операционную систему, которая, на мой взгляд, может иметь меньше функций и быть не более проверенной, чем iptables.
Так есть ли веские причины покупать «аппаратный межсетевой экран»? ну возможно. Как правило, они хорошо поддерживаются и обеспечивают отточенный пользовательский интерфейс и хорошую поддержку. Они также выглядят очень гладко в вашей стойке. Тем не менее, сейчас существуют действительно отполированные дистрибутивы linux / freebsd, которые предоставляют то же самое, и вы можете запускать его на обычном компьютере или специальном оборудовании. например Untangle, Astaro, Monowall, pfSense и т.д., я не вижу такого большого преимущества.
Теперь, когда дело доходит до DDoS-присоединения, нет абсолютно никакого способа защитить от него. Если бы вы могли предотвратить отправку этих пакетов в источник, это было бы ответом, но вы не можете.
Несколько лет назад я вспоминаю случай, когда крупная компания произвела ажиотаж в ИТ-мире, и через несколько дней их веб-сайт подвергся атаке DDoS. В конце концов им пришлось отказаться от своего основного доменного имени и сменить его на другое имя. Даже они ничего не могли поделать с их большим ИТ-бюджетом.