防火墙硬件规范必须比它所保护的网络更好吗？

Question

如果我需要一个保镖，我将不得不雇用一个肌肉比我强壮得多的人。如果服务器由于消耗它的资源而无法处理DoS/DDoS攻击，这是否意味着防火墙必须拥有比它所保护的服务器更好的资源？更大的内存，更好的处理器，当然这意味着防火墙比服务器本身花费更多的钱？我的假设有什么不对？

Answer 1

你说：

如果我需要保镖，我就得雇一个比我强壮得多的人

这意味着，如果你需要一个保镖，你将需要一个非常特定的能力，使他能够有效地保护你。他不需要和你有相同的学习背景，他不需要管理服务器，他不需要在国际象棋或其他方面击败你。

换句话说，保镖不需要比你“更好”，他需要致力于他的工作。

同样适用于防火墙:他将需要可靠的网卡，低延迟总线。但是，他将不必处理运行HTTP守护进程、代理、数据库、应用服务器的完整web服务器所需的所有铃声和哨声，列表可能会无休止地继续下去，列表越长，您就越需要RAM和CPU。但是，当谈到防火墙只是处理小的TCP/UDP数据包以决定让它们通过或阻止它们时，RAM和CPU能力就变得不那么重要了。

最近我写了一篇关于这类话题的有趣文章，不要犹豫检查它。