純 FW 老實說抵擋不了真正龐大的攻擊
最後還是要配合 ISP 還有 CDN 廠商的協助
我大約從 2014 年就開始意識到
WEB 的防護，只靠 FW 是完全沒有用的
你就算花個五六百萬買的 FW
對攻擊者來說，他的成本不用你 FW 的百分之一
就可以控制遠遠大於你 FW 所能處裡的流量來阻斷服務

而頻寬攻擊這本來就不是 FW 能防的了得
攻擊流量遠大於你家水管，幾百萬的 FW 都讓你全部擋住好了
正常流量也進不來

擋不擋得住根本不是問題
問題在於你的服務通不通

我前面所說的 CDN 大廠
包括 incapsula, CloudFlare, Akamai
全部都是攻擊流量超過一定程度
通通都是斷網處裡
而我提一個月幾十萬
這是一般台灣中小企業
普遍能承擔的價格區間

以 WEB 來說
最好的是環境本身就先做多網段
以及 BLACKHOLE 網段
通過 DNS 控制以及啟動來達成緩解
當然還是得靠 CDN, ISP 廠商協助才可以達成
單純靠 CDN, ISP 廠商，自己沒建置 BLACKHOLE
其實也是沒用，以上缺一不可

這也是現在連國內前三大 ISP
都開始跟這些傳統 CDN 大廠搶生意的原因
因為不管怎樣他們總是需要配合處理
納為啥不一開始就自己來的原因

現在外面那種跟你說買一個高等級的 FW
就跟你說萬事 OK 的這種絕對是在唬人