生产环境防攻击，使用硬件防火墙，大家有什么推荐吗？

恶意爬虫，ddos等等，对线上环境的带宽造成了比较恶劣的影响。
大家帮忙给些宝贵意见吧。

luyg

2014-05-11 16:59:55 +08:00

爬虫的话可以通过抓包分析出来，然后通过防火墙去阻止，当然分析一次肯定不够。
ddos的话这个防火墙应该无能为力（至少我知道的牌子都不行）。

bobopu

2014-05-11 20:22:09 +08:00

@luyg Checkpoint有没啥好解决方案？

thinkxen

2014-05-12 06:32:58 +08:00

恶意爬虫消耗不了太多的带宽吧？分析日志可以判定特征然后封掉。
DDOS和CC的话选个有防护的机房就可以了，10G以内的DDOS 一般都可以轻松应对。

hydrazt

2014-05-12 10:20:28 +08:00

@luyg @wwek 单纯希望提高生产环境安全级别的话，有没有什么建议呢？ddos的确比较难招架

hydrazt

2014-05-12 10:23:07 +08:00

@thinkxen 现在上海100m的宽带已经只要1200了。生产环境1m的带宽要几百。。拼不过啊。当然单个ip的话，iptables可以封掉。

Actrace

2014-05-12 10:41:22 +08:00

说个笑话,
防攻击的最好方法就是不要拉仇恨.

wwek

2014-05-12 12:19:14 +08:00

@hydrazt
1、权限控制好，查找安全的薄弱环节。不要千里之提溃于蚁穴。
2、代码安全审查好。这个大厂都没办法完全避免，不过都得尽量。尽量把代码写的安全。

wwek

2014-05-12 12:20:36 +08:00

@hydrazt waf方面，有精力去看看 nginx + lua做waf 也是业界软waf 方面的主流。

代码写安全了，waf实际上很多作为防御cc用。 udp就不说了，完全是拼带宽的事，自己也没法搞，只有机房帮助防御。

hydrazt

2014-05-12 19:09:09 +08:00

@wwek thanks, waf有推荐吗？直接上硬件吧，还是使用专业软件简单一些

webjin

2014-05-13 17:10:12 +08:00

@Actrace 这句是真理。各种攻击都是引仇恨和利益引起的，而DDOS是一门耗资源没多少技术含量的攻击，而且又大多数是仇恨引起。

hydrazt

2014-05-13 17:42:00 +08:00

拉仇恨不可避免，每个行业都有竞争，做好安全吧

wwek

2014-07-28 08:48:31 +08:00

@hydrazt 没撒好推荐的. 大抵也是搜索 nginx waf lua 什么的.
商业环境可以购买硬 waf防火墙呢. 梭子鱼什么的

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.