自建机房，硬防的重要性

有硬防当然好，访问量不大，像juniper/cisco的防火墙，2W 左右能拿到不错的了。

其实你也可以用一台 linux 自己弄，endian firewall 是一个还不错的产品

弄个小路由器在机器前面.就算是防火墙了...
也可以弄个小机器DIY个防火墙.
至于专业级别的硬防...又不是成天D...

@coagent
@qiuai
谢谢，假如我只允许白名单内IP访问，那么大量其他IP过来的流量被挡住了，这种情况下他们的攻击还有效么（对服务器还有很大影响么）？

无效,你的带宽要超过打过来的带宽.

@keithl 如果是按带宽来看，那么硬防也没用吧，岂不是拥堵还是拥堵 （小白俺不知道硬防原理）

@coosir 硬防可以过滤攻击到后端服务器的攻击流量,防止服务器挂掉.
既然要过滤就肯定要接受数据包,这时带宽已经用掉了.

順便問一下:一般洪水的帶寬有多寬？
是不是這樣計算，如果按每台1mb，1000台也就1G左右。

@keithl thanks,那我前面再加一道server，设置iptable只允许白名单，其他的就都挡掉了。这种方式可行么？跟我目前本身的server配置iptable有很大差别么？

（我还一直停留在水管的概念上，假设我某端口不开放，硬是有很多人访问这个端口，这个不会造成拥堵么？）

@coosir 那也要看你的白名单怎么实现的,DDOS的时候对百名单服务器也是压力

@coosir 没用的,入口饱和的话一样挂掉.

@coosir 没用，带宽不够，关机都能把你堵死， 好比你家里被硬防洗得比较干净， 但是你家门口、楼道甚至小区门口、街道都被堵住，你一样寸步难行。 没几G带宽接入， 为了抗DDOS的目的上硬防比较多余

@Js 这样比较形象。。。可是这样的话带宽充裕的情况下也不太需要硬防吧，那这样是不是可以概括为：硬防没啥用

硬防几乎没用,拼带宽,上个检测设备还是有必要的,比如那个ip受攻击了,然后可以及时反应,大部分机房都是null 路由,

话说这叫自建机房？

10万以下的硬防没有啥用，都是跑的软件，原理和iptable 差不多

DDOS拼的是带宽，用啥防火墙都没有效果

@Ultratude 只是相对于托管而言啦，不是实际意义上的大型机房

@coosir 这就反过来，好比楼道之类都没堵塞，但是你家里被堵满了。硬防的作用就是用来洗流量的。 不过抗ddos, 扛ddos带宽还是第一位的， 小规模软路由足够了， 我记得早几年国内bsd社区有大牛用单核废弃机装freebsd做软路扛了gbps规模的ddos

@Js 所以硬防的作用主要是用在带宽尚够时的流量清洗，以免大量服务请求导致server宕机。
嗯，@coagent 提到的endian firewall还有RouterOS等用于自建防火墙也能起到一定作用的咯

DDOS对抗就是针对你机房的带宽，服务器的CPU,内存，硬盘这些东东的总的对抗，任何一个点出现瓶颈你就挂了。理论上来说你只建一个机房其实就等于是个瓶颈了。