越来越多的企业正在采用基于云的 DDoS 防御措施（例如高防IP），并将其替换传统的 DDoS
高防服务器。对用户来说，尽管如此，仍有许多原因可能使您想要保留您的 DDoS 香港高防服务器。

　　一、DDoS 云端保护方案的兴起

　　越来越多的企业正在部署基于云的 DDoS 缓解服务（高防IP等）。事实上，估计到 2021 年，基于云的缓解服务将占 DDoS 保护支出的 70%。

　　采用基于云的保护的原因很多。首先，是能力。随着 DDoS 攻击不断扩大，能够使入站通信管道饱和的大容量 DDoS
攻击变得越来越普遍。因此，具有大规模的基于云的清洗能力来吸收这种攻击是必不可少的。

　　此外，基于云的 DDoS 防御是按照现买现用的 SaaS
订阅模式购买的，因此企业可以快速扩大或缩小，并且不需要提前分配大量资本支出(CAPEX)。例如高防IP，你只需修改DNS设置即可快速获得防御能力，并在需要时快速无缝升级防御能力。此外，云服务通常比本地设备提供更容易的管理和更低的开销，并且不需要专职人员来管理。

　　因此，越来越多的企业正在寻求云端的 DDoS 保护。然而，尽管云端 DDoS
保护有诸多好处，但仍然有很多关键原因使得企业仍然希望采用高防服务器来维护在线业务。

　　二、双向流量可见性

　　根据定义，基于云的服务仅提供对企业中入口或入站流量的可见性。他们检查流量到达原点时的流量，并清除它识别出的恶意流量。虽然这对于大多数类型的 DDoS
攻击来说都是完美的，但是某些类型的 DDoS 攻击需要能够查看两个流量信道才能被检测和缓解。

　　需要查看出口流量以便检测的攻击示例包括：

　　• 状态外协议攻击：这些攻击利用协议通信过程中的弱点(例如 TCP 的三次握手)来创建耗尽服务器资源的 “状态外”
连接请求。虽然这种类型的攻击(例如 SYN 泛洪)可以仅通过对入口流量的可见性来缓解，但其他类型的状态外 DDoS 攻击(例如 ACK
泛洪)也需要对出站信道的可见性。将需要对出口信道的可见性来检测这些 ACK 响应与合法的 SYN / ACK 响应无关，因此可以被阻止。

　　• 反射 / 放大攻击：这些攻击利用某些协议或请求类型的非对称性，以便发动将耗尽服务器资源或使出站通信信道饱和的攻击。此类攻击的一个示例是大型文件下载攻击。在这种情况下，需要对出口信道的可见性来检测从网络流出的出站流量的尖峰。

　　• 扫描攻击：此类攻击经常出现 DDoS
攻击的标志，因为它们会在网络中出现大量错误的连接请求。此类扫描经常会产生大量错误回复，这可能会堵塞出站通道。同样，需要对出站流量的可见性来识别相对于合法入站流量的错误响应率，以便防御可以断定正在发生攻击。

　　三、应用层保护

　　同样，依赖基于场所的设备对应用层(L7)DDoS 保护和 SSL 处理具有一定的优势。某些类型的应用层(L7)DDoS
攻击利用已知的协议弱点，以生成大量耗尽服务器资源的伪造应用请求。这种攻击的示例是低速和慢速攻击或应用层 SYN 泛洪，它们抽取 TCP 和 HTTP
连接以持续消耗服务器资源。

　　同样，尽管云清理服务可以减轻某些此类攻击，但减轻某些类型的攻击需要应用程序状态感知，即基于云的缓解服务通常不具备这些功能。使用具有应用层 DDoS
保护功能的 DDoS 香港高防服务器，允许企业拥有此功能。

　　四、SSL DDoS 保护

　　此外，SSL
加密增加了另一层复杂性，因为加密层使得难以检查流量内容以查找恶意流量。为了检查流量内容，基于云的服务需要解密所有流量，检查它，清除不良流量并重新加密，然后再将其转发给客户来源。

　　因此，大多数基于云的 DDoS 缓解服务根本不为基于 SSL 的流量提供保护，或者使用全代理 SSL
卸载，这要求客户将其证书上载到服务提供商的云基础架构。

　　但是，在云中执行完全 SSL 卸载通常是一个繁重的过程，会增加客户通信的延迟并侵犯用户隐私。这就是为什么许多企业犹豫不决 – 或者没有能力 –
与第三方云服务提供商共享他们的 SSL 密钥。

　　同样，部署基于场所的设备(例如香港高防服务器)允许企业在内部保留 SSL 证书的同时防止 SSL DDoS 泛滥。

　　五、分层保护

　　最后，将基于场所的硬件设备与云服务结合使用，可以在攻击流量以某种方式通过云保护的情况下实现分层保护。

　　使用香港高防服务器允许企业直接通过设备配置和管理进行控制。虽然许多企业更喜欢由基于云的托管服务来处理，但是一些企业(以及一些安全管理员)更喜欢具有更深层次的控制。

　　此控件还允许安全策略粒度，以便可以根据企业的需要准确调整安全策略，并覆盖云层未覆盖或不可覆盖的攻击媒介。最后，这允许安全故障转移，因此如果恶意流量以某种方式通过云缓解，设备将处理它。