DDoS(分布式拒绝服务)攻击是利用TCP/IP进行的一种简单而致命的网络攻击，由于TCP/IP的这种会话机制无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有设备还会因为有限的处理能力陷入瘫痪，成为运行瓶颈;另外，攻击过程中目标主机也必然陷入瘫痪。

　　今天，我们就为大家介绍一下国内软件开发商针对这类攻击而开发的抗DoS、DDoS软硬件产品，由于各个公司的硬件一般都是在LINUX主机上安装其相应的软件防火墙产品，所以两者就不进行区分介绍了。

　　目前国内抗DDOS防火墙比较知名的，同时信誉度和使用效果也比较好的应该是黑洞、金盾和傲盾的产品。一些其他的所谓“XX盾DDoS防火墙”多半是这些版本的抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西，我们无法对各款产品进行实际应用的考证，因此只能建议大家购买正规而专业的抗DDOS防火墙。

　　黑洞抗DDoS防火墙

　　黑洞抗DDoS防火墙是国内IDC中应用比较广泛的一款抗DoS、DDoS攻击产品，其比较成熟，而且防护效果显著，已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器，使用多种算法识别攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率，核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　黑洞所带来的防护:

　　自身安全:无IP地址，隐身。

　　能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

　　可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质;可以抑制蠕虫的扩散。

　　可以防护DNS Query Flood，保护DNS服务器正常运行。

　　可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。

　　金盾抗DDOS防火墙

　　金盾抗DDOS防火墙由合肥中新软件有限公司开发，是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户，尤其对一些大型的娱乐站点和重要企业站点的流畅起到了重要的安全保护作用。

　　产品目前采用了最底层驱动，提供完善的面向连接操作。公司在长期ISP运营和致力于安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。

　　金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

　　傲盾ddos防火墙

　　傲盾安全网的知名品牌“傲盾防火墙”是一套全面、创新、高安全性、高性能的安全。傲盾ddos防火墙具有DDOS、DOS攻击防御、NAT地址转换功能、特有TCP标志位检测功能，傲盾ddos防火墙具有世界领先的数据流指纹检测、独立开发的高效率核心等特点，是国内一家可完全抵御ACK、DOS、DDOS、SYN、FLOOD、FATBOY及各种变种如Land，Teardrop，Smurf，Ping of Death，FATBOY等攻击的全防御安全产品，致力于为个大企业、事业机关及服务商提供完整的信息安全的解决方案及全面的支持服务!

　　傲盾ddos防火墙特点:

　　阻止DOS攻击:TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种

　　抵御DDOS攻击:SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击

　　拒绝TCP全连接攻击:某一IP对服务器特定端口的大量连接资源耗尽攻击

　　防止脚本攻击:专业防范ASP、PHP、PERL、JSP 等脚本程序的Flood攻击

　　对付DDOS工具:XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种

　　超强Web过滤:过滤URL关键字、Unicode恶意编码、脚本、防上传

　　侦测黑客:智能检测Port扫描、SQL注入、密码猜测、Expolit利用等2000多种黑客行为并阻断。

　　天傲防火墙

　　“天傲防火墙”目前是国内一家可完全抵御ACK、DOS/DDOS、SYN、FLOOD、FATBOY、CC、drdos及各种变种如Land，Teardrop，Smurf，Ping of Death，FATBOY等攻击的全防御安全产品，致力于为各大企业、事业机关、服务商及游戏运营商，提供完整的信息安全解决方案及全面的支持服务，天傲软件抗DDOS版防火墙是采用的算法，可以在丢弃上百万攻击包的同时采用底层驱动丢包模式，丢弃上百万攻击包，不耗费任何系统资源。防御100M攻击流量同时CPU耗费不会超过3%。

　　天傲硬件防火墙置于交换机前面独立存在，可保护防火墙后挂接的所有交换机和服务器，硬件防火墙采用透明模式，无I址限定，即插即用，百兆硬防拥有6个标准网卡接口，不限制连接数，千兆防火墙拥有四个光电接口，4个网卡接口。

　　以下产品在我们撰写本文时并未得到大部分人员的肯定，简介摘自产品开发者官方网站，不敢保证其信息的完全正确，资料仅供读者参考，大家可以根据各自的了解进行判断选择。

　　冰盾抗DDOS防火墙

　　冰盾抗DDOS防火墙(Bingdun Anti-DDOS Firewall)来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客行为，防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明:在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包;在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan上传、Exploit利用等2000多种黑客入侵行为并自动阻止，是迄今为止在抗DDOS领域功能最为强大的防火墙产品之一。

　　冰盾是专业级别抗DDOS防火强，在阻止DOS攻击、抵御DDOS攻击 、拒绝TCP全连接攻击、防止脚本攻击、安全Web过滤和侦测并阻止黑客入侵方面有其独到的特色，冰盾抗DDOS防火墙工作在系统的最底层，采用ActiveDefense微内核防御技术和基于生物基因的智能识别，从低到高，细粒度逐层控制，从而真正意义上防御了各个层次的DOS和DDOS攻击。

　　天盾Xddos防火墙

　　天盾Xddos防火墙是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙，适用于保护各类互联网服务器。Ddos

　　是互联网上对网络服务器威胁最大的攻击，随着攻击软件网上随意下载的越来越多(用google和百度搜索比比皆是)，广大服务器管理者越来越需要一种专门的防御ddos攻击的防火墙。天盾Xddos防火墙基于网卡驱动底层开发，使用了最先进的算法，标准版就可以防御各类ddos攻击(包括最新的cc等)，高级版更可以DIY千兆的网桥式防火墙。

　　天盾硬件防火墙抗DDOS版不会有占用系统资源的问题，他的工作原理是当你的网站不被DDOS攻击的时候防火墙本身并不工作，不对任何一个数据包进行验证或者拦截，所以更不会给的质量和速度带来丝毫的影响，防火墙采用底层与TC/IP内核开发，从设计原理上来说就已经把占用系统资源降低到了最小，内置强大的IDS模块在你的网站一旦受到DDOS攻击的时候立刻投入工作处理一切非法的请求包，但是不会丢掉任何一个正常合法的数据包。即使在大量处理攻击包的时候，合法数据包会也成功连接100%，响应时间不会超过1秒，所以即便在这个时候正常客户浏览你的网站也不会感觉到慢，FTP下载也是正常。硬件防火墙置于交换机前面独立存在，对硬件环境无特殊要求。

　　网盾软件DDOS防火墙

　　网盾防火墙是一款全功能并带有DOS攻击防护，DDOS攻击防护，SYN攻击防护等功能的防火墙产品，完全不限制服务器连接数，功能更胜一筹，目前多数防DDOS软件防火墙，仅有防御DOS攻击的功能，而没有其他防火墙应该必备的一些功能.遇到针对你服务器攻击的黑客，仍然无任何作用.网盾防火墙拥有强大的网络解析能力。可过滤经过精心伪装的恶意代码和攻击，有效阻止和预警各种攻击行为，对DDOS攻击和SQL注入等入侵的防护处于世界领先位置，这是其他安全软件 所无法做到的。

　　网盾防火墙可全面应用在IDC机房托管、虚拟主机、游戏站、聊天站、音乐站、电影站、电子商务站、企业站、邮件服务器，私服等服务器上。

　　总结:

　　对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。