1. DDoS云防護解決方案的興起

越來越多的公司正在部署基于云的DDoS緩解服務。采用基于云的保護有很多原因。隨著 DDoS 攻擊的不斷擴大，可以使入站通信渠道飽和的大容量 DDoS 攻擊變得越來越普遍。因此，必須具備大規模的基于云的清洗能力來吸收此類攻擊。

此外，基于云的 DDoS 防御按照按需購買的 SaaS 訂閱模式進行購買，企業可以快速擴張或收縮，無需提前分配大額資本支出 (CAPEX)。此外，云服務通常比本地設備更容易管理，開銷更低，并且不需要專職人員進行管理。

因此，越來越多的公司在云端尋求 DDoS 保護。然而，盡管云 DDoS 防護有諸多好處，但仍有許多關鍵原因導致企業仍希望使用高防服務器來維護在線業務。

2. 雙向交通可見性

根據定義，基于云的服務僅提供企業中入站或入站流量的可見性。他們檢查到達源站的流量并清理它識別的惡意流量。盡管這對于大多數類型的 DDoS 攻擊來說是完美的，但某些類型的 DDoS 攻擊需要能夠查看兩個流量通道才能被檢測和緩解。

需要查看出口流量以進行檢測的攻擊示例包括：

狀態外協議攻擊：這些攻擊利用協議通信中的弱點（例如 TCP 的三次握手）來創建耗盡服務器資源的“狀態外”連接請求。雖然這種類型的攻擊（如 SYN 泛洪）只能通過對入口流量的可見性來緩解，但其他類型的狀態外 DDoS 攻擊（如 ACK 泛洪）也需要對出站通道的可見性。將需要對出口通道的可見性來檢測這些 ACK 響應與合法的 SYN/ACK 響應無關，因此可以被阻止。

反射/放大攻擊：這些攻擊利用某些協議或請求類型的不對稱性來發起會耗盡服務器資源或使出站通信通道飽和的攻擊。此類攻擊的一個示例是大文件下載攻擊。在這種情況下，需要對出口通道的可見性來檢測來自網絡的出站流量峰值。

掃描攻擊：這些類型的攻擊通常顯示出 DDoS 攻擊的跡象，因為它們會導致網絡中出現大量不正確的連接請求。這種類型的掃描通常會產生大量的錯誤回復，這可能會阻塞出站通道。同樣，需要對出站流量的可見性來識別相對于合法入站流量的錯誤響應率，以便防御可以斷定攻擊正在發生。

3. 應用層保護

同樣，依靠基于位置的設備對于應用層（L7）的 DDoS 防護和 SSL 處理具有一定的優勢。某些類型的應用層 (L7) DDoS 攻擊利用協議中的已知弱點生成大量偽造的應用程序請求，從而耗盡服務器資源。此類攻擊的示例是低速和慢速攻擊或應用層 SYN 泛洪，它們提取 TCP 和 HTTP 連接以持續消耗服務器資源。

同樣，雖然云清洗服務可以緩解其中一些攻擊，但緩解某些類型的攻擊需要應用程序狀態感知，即基于云的緩解服務通常不具備這些功能。

4. SSL DDoS 防護

此外，SSL 加密增加了另一層復雜性，因為加密層使得檢查流量內容以發現惡意流量變得困難。為了檢查流量的內容，基于云的服務必須對所有流量進行解密、檢查、刪除不良流量并重新加密，然后將其轉發給客戶來源。

因此，大多數基于云的 DDoS 緩解服務根本不為基于 SSL 的流量提供保護，或者使用完全代理 SSL 卸載，這需要客戶將其證書上傳到服務提供商的云基礎設施。

但是，在云端執行全 SSL 卸載通常是一個繁瑣的過程，增加了客戶溝通的延遲，侵犯了用戶隱私。這就是為什么許多公司猶豫或無法與第三方云服務提供商共享其 SSL 密鑰的原因。同樣，基于位置的設備（例如香港反防御服務器）的部署允許公司在內部保留 SSL 證書，同時防止 SSL DDoS 的擴散。

5. 分級防護

最后，基于位置的硬件設備與云服務相結合，可以在攻擊流量以某種方式受到云端防護的情況下，實現分級防護。使用香港防衛服務器，企業可以直接通過設備配置和管理進行控制。盡管許多公司更喜歡由基于云的托管服務來處理，但一些公司（和一些安全管理員）更喜歡擁有更深層次的控制。

這種控制還允許安全策略的粒度，以便安全策略可以根據企業的需求進行精確調整，并覆蓋云未覆蓋或未覆蓋的攻擊向量。最后，這允許安全故障轉移，因此如果通過云以某種方式緩解惡意流量，設備將處理它。