相信不少有过托管经验的朋友都碰到过这种情况：服务器本来还正常运行，但是突然无法访问，ping也都是超时，去ping同一IP段的其他地址也都是类似情况，打电话到机房才知道机房遭到DDOS(拒绝服务估计，一种通过发动大量客户机请求消耗被攻击服务器或是被攻击机房带宽的网络攻击手段，造成被攻击者网络超负荷，无法被外界访问)。碰到这种情况，相信用户也是非常无奈，除了等机房解决问题之外束手无策。

的确，随着互联网的飞速发展，网络安全已经成为一个巨大问题，网络恶性攻击日益突出，解决DOS攻击也是IDC行业必须要解决的问题。为了机房服务器的稳定运行，作为站在抵御DDOS第一线的硬件防火墙设备也是面临巨大考验，用户对防火墙的整体性能提出了越来越高的要求，一旦发生大流量攻击事件时，往往最先失去抵抗能力的就是发生在这里，如果流量达到一定的程度可以将整个机房的上层设备带宽堵满，形成网络瓶颈和系统单点故障，导致整个网络中断。

不幸的是，国内不少机房并没有采用DDOS硬件防火墙，包括一些大型的机房都是如此，我们看到的不少带千兆硬防的托管、虚机广告其实是运营商自己购买硬件防火墙再加上去，这种防护方式有个很大的缺陷，就是运营商自己拿到的机房带宽是比较少的，这点带宽如果真正发生DDOS攻击的时候其实很快就被耗尽了，也就是说防火墙硬件的负载还没多大，防火墙接入的带宽就耗尽了，因此防火墙这时只是一个摆设;真正防护效果好的方案应该是由机房方面将防火墙或者防火墙群集放在机房网络出口，把DDOS挡在机房的门口，因为整个机房的总带宽比较大，因此黑客发动的DDOS攻击如果要耗尽整个机房的带宽也不是一件那么容易的事。

在防火墙集群系统中，将单台防火墙体系升级成多台防火墙集群多层联路结构防护，升级后针对SYN攻击防护能力将提升成倍的效果，可以有效防护各种类型的DOS攻击。将防火墙集群理论技术与思想成功应用于防火墙产品能够有效实现防火墙的高可用性(High Availability)，从而保证网络及业务系统的持续性。防火墙集群技术区别于以往防火墙单向，单线，单机导通的过滤机制，该机制支持双机负载防护，多机负载防护，以及单机多线负载防护的过滤功能。集群防火墙负载均衡，为冗余的防火墙部署提供了更高的可用性。

所以，选择硬件防火墙服务不能只看运营商是否提供这个服务，还要看运营商为你提供的机房有没有硬防，如果防火墙是机房架设的，那么效果要比运营商或者代理商自己架设的好很多。