这些硬件防火墙到底能不能防DDOS：

　　大体上说是可以的，根据我们的了解，国内大部分机房都是表示金盾效果还过得去，黑洞效果则更好一些，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

　　但是，如果DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

　　因此，即使很多机房都号称采用多好的硬件防火墙，可以防御多大流量的攻击，但如果你的服务器真的遭到大流量攻击，机房还是不敢放你进去，因为会影响到其他服务器的正常访问，而且托管一台服务器收取的费用本来就不多，为了做成这么一笔小生意而招惹大麻烦，运营商肯定觉得不划算，最可怜的还是那些机房的网管人员，得手忙脚乱的封IP。

　　总结：

　　对付DDOS是一个比较复杂而庞大的系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90％的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。

　　所以，硬件防火墙是否能够防DDOS这个问题的答案其实是非常令人心酸的，从理论上说，确实有效果，但是有效果又怎么样，遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着，除了个别带宽充足、比较有实力的运营商，基本上没人敢接这样的客户。