防火墻訪問控制和 DDoS 攻擊防護這兩類安全云業務有什么不同

防火墻訪問控制和DDoS攻擊防護這兩類安全云業務有以下不同：

• 兩種業務在客戶業務流量與云服務中心的關系上不同：防火墻訪問控制和DDoS攻擊防護盡管均屬于流量檢測和控制類業務，但在客戶業務流量與云服務中心的關系上完全不同。防火墻訪問控制業務要求客戶流量長期流經云服務中心進行流量檢測和安全策略的控制，而DDoS攻擊防護類業務僅在客戶網絡檢測到DDoS攻擊時才要求將特定流量牽引至云服務中心進行流量的檢測和過濾。

• 兩種業務對于流量的控制點不同：為了達到更好的安全防護能力，對于防火墻訪問控制業務的流量控制點應該盡量靠近客戶的網絡；而對于DDoS攻擊防護業務，流量的控制點應該盡量靠近DDoS攻擊發起的網絡源端（很多時候源端并非只有一個），這種近源的過濾思路不僅能最大限度保障客戶網絡在遭受DDoS攻擊時的可用性，而且能夠節省網絡帶寬，保障其不為DDoS垃圾流量所擠占。

• 設備對于網絡狀態檢測的依賴程度不同：盡管歷史上也有過完全不依賴于網絡狀態檢測的包過濾防火墻，但為了提高性能和安全防范能力，現在大多數的防火墻均采用了狀態檢測技術；而對于DDoS攻擊防護設備，現在大部分均不依賴于狀態檢測技術。這個不同也影響到了這兩種業務資源池化實現方案的不同。

• 客戶業務使用和業務體驗導致了虛擬化要求的不同：相比較于云計算的IaaS服務，安全云服務客戶一般只關注于安全防范保護的效果，而對安全云服務設備使用的邏輯獨立性等虛擬化要求通常偏低。防火墻訪問控制業務由于具有客戶自行維護其防火墻安全策略的要求，因此需要實現資源池化后的設備虛擬化；而對于DDoS攻擊防護業務，由于在業務實施中無須客戶的交互和配置，因而幾乎不需要為用戶提供相應的虛擬設備。當然，在虛擬化過程中對于業務復用和狀態智能感知的實現均是這兩種業務要解決的重要問題。

回答所涉及的環境：聯想天逸510S、Windows 10。