面对DDoS攻击目前很多都会采用高防服务器或高防IP进行防御，这其中哪一种效果更好？企业该如何选择？

高防服务器更好，防御种类更多，针对DDOS和CC攻击。

首先，先弄清楚高防服务器和高防IP概念有什么不同。高防服务器是指独立单个防御50G以上的服务器，根据IDC机房环境，可分为硬防和软防，可以应对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击；高防IP是指高防机房所提供的IP段，针对服务器在遭受大流量DDoS攻击情况下使用，可以通过配置高防IP，将攻击流量引流到高防IP，确保源服务器的正常运行。

如果原服务器遭受DDoS攻击，但又不想迁移数据不想换服务器的，就可以用高防IP 来部署防御和加速，在原有服务器上部署DDoS防御服务。

其实本质上来说，高防服务器与高防IP是存在很多联系的，高防IP属于是高防服务器的一部分，一般高防服务器都是针对IP来进行防御和管理，如果某IP出现异常流量时，高防机房中的硬件防火墙，牵引系统等会对流量进行智能识别，对恶意流量进行过滤，保证正常流量能够对服务器发出请求并得到正常的处理。

高防服务器如果爆掉了就会影响业务，但高防IP在隐藏源IP的基础上，即使单个节点爆了，也不会影响源站。

高防IP一般是增值服务，是在原有服务器上部署DDoS防护来增强防御级别。

之前看过一个总结，对二者总结挺到位的：

1、防御力攻击种类不同，高防IP针对的是DDoS和CC攻击，高防服务器通常集独享带宽、清洗能力、高防IP、流量牵引、专业抗DDoS攻击防御能力等高性能于一体；

2、实际操作方法不同，高防IP没有远程登陆的操作，高防服务器有远程登陆一系列的实际操作；

3、价格不同，高防IP按实际攻击量计费，成本更低，高防服务器硬件成本较高。

所以，如果预算有限就高防IP，不差钱的直接高防服务器吧。

Q：高防服务器或IP最高能防御多大攻击？真有打不死的高防吗？

最高目前不得而知，毕竟如果可以的话，一直打，只要一直打，都会被打死的。

与其说有没有打不死的高防，不如说企业到底能有几个钱支撑多大的高防，现在的都可以防御T级的攻击，就看企业烧的起钱不。

现在的云防御最大可防御2T的峰值，传统的高防服务器最大防御量取决于机房的可清洗的带宽总量，一般不会高到哪去，国内的高防机房一般都是在1T峰值左右。现在一些DDoS放大手段也可以达到T级别，所以说高防有没有打不死的，很难说，看攻击量大小。

除了利用高防服务器或IP，应该也有其他的一些方式策略吧。

过滤不必要的服务和端口；异常流量的清洗过滤；分布式集群防御。

我们本地60G的硬防+上层接入运营商600G的清洗能力+运营商的骨干网近源清洗和盾。

运营商要开启流量清洗，需要上报，做这个最好的是云。

本地设备清洗存在上限，运营商弹性清洗看你能投入多少了。

前几天有个新闻，被D了以后指向到GOV，然后把政府网站打挂了。

被DDoS攻击了的话，高防买不起，就只能躺了吗？转接还犯罪。

首先，DDoS也是有成本的，先评估下你有没有被D的资格，如果有，那说明你还是有钱，有钱就用钱去解决。

有些是可以应用优化设计吧，比如一下查询，下载的做限制，像这种的，得看场景和钱了。

话题二：大家漏洞管理平台用的哪个？洞察满足不了了，一个漏洞能牵扯出好几个部门，没办法指定给单个部门，有没有可推荐的？

直接对接你们OA，落实到个人。要不然只是落实到组织个人没啥用，还有对接你们得邮件系统，通过下发方式勾选，邮件、OA、手机短信都行。

落实到组织也得有人对接啊，不然没人认领都当不存在。

有人对接也不行，缺乏时效性，等通知下去，都不知道什么时候了。

正好我也想问下，对接OA，你们是下发工具导出格式，还是自己拟定报告，还是做在流程里字段固化？

我之前是拟定报告下发，因为有些问题多问题少，固定下去怕有问题。

漏洞信息手动填还是对接漏洞扫描器？

对接扫描器报告标准化格式，要自己做好上传样式和后台字段。

我们现在是自己编个报告，对接方式感觉有问题，比如扫描器告诉你十几个Tomcat版本漏洞，其实我只要一句话就完了。

我们现在是编报告的话，没法对应到不同部门，而且还得太慢了。

看你们得设计需求，我们当时得设计需求是每个漏洞都必须下发下去，所以对接某厂的RSAS标准导出格式，然后自己设计样式和字段录入。

OA流程的话你去选择多个部门的处理人员。

其实你把漏洞管理系统，当成OA一样就可以了，这个下发流程设计一样的多环节勾选、审批。

发报告，还是发漏洞，还是有点区别，发报告的话，处理人员只对报告内容负责，闭环，如果是面向漏洞，跟现在的OA系统兼容性，流程能不能处理下去，细节上总感觉有很多问题。特别版本性的，归总为一个叫版本漏洞，比发几十个什么漏洞简洁明了多了。

个人感觉你的方向有问题，报告和漏洞本质对我们来说都是一样的，工作应该做细致，你可以私下和系统负责人沟通，大版本升级，但是你下发下去，不能漏发扫描出来的漏洞。

这个可能大家理解和工作形式有点区别吧，从扫描器到OA有个漏洞数据清洗的过程，我认为把几十个PHP版本漏洞名称告诉管理员没有价值。

正常，每个人工作都有自己的方式，我认为工作要细致，也是为了防止背锅，有问题可以私下沟通，但是流程一定要走规范。

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

FreeBuf甲方群成员（因篇幅限制仅展现部分行业成员）：

金融行业：贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商：中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总监