由于现在的网络环境越来越复杂，而且不少黑客和恶意攻击已经把主要目标锁定在机房的服务器上，所以不少网络公司也为服务器的安全问题深感头痛。于是，对数据中心机房的安全要求也提上日程，很多用户对于服务器机房的要求侧重点也有所变化，机房是否采用专业的硬件防火墙成为一个必要的考虑因素，而托管价格和机房其他设施的考核则次于安全问题。

鉴于市场对机房网络安全问题的日益重视，很多IDC运营商也纷纷采用了各式各样的防火墙方案，然后在站点上宣传“本机房采用千兆硬件防火墙”，或是“机房使用抗DDos防火墙”。

其实目前针对数据中心机房设计的防火墙产品并不是很多，比起单机版的服务器防火墙百花齐放的局面，局网联防的专业防火墙比较著名的也就寥寥可数的几款。

·黑洞DDOS防火墙

黑洞防火墙知名度相当高，该产品于2002年9月正式推向市场，是绿盟科技开发的一款高技术含量产品，在抗DDos行业，这款防火墙据说已经达到国际一流水平，从一些机房技术人员的反馈中也基本证实了这一说法。

黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器。

　　黑洞的核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　另外，黑洞使用多种算法识别攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。

黑洞可防护种类：

　　能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。
　　可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质；可以抑制网络蠕虫的扩散。
　　可以防护DNS Query Flood，保护DNS服务器正常运行。
　　可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。

防护范围：

　　能够保护网络主机、路由器、防火墙等网络设备，以及整个子网。

·金盾防火墙

金盾防火墙诞生于2002年，是亚维恩科（北京）信息技术有限公司与中新软件共同创造的业内领先的网络安全产品。金盾防火墙有针对不同应用需求而设计的几类产品，比较成功的是它的JDFW系列，前两年整合了多种最佳网络边界安全功能的JDFW--100M、及JDFW--1000M硬件防火墙就在不少IDC机房中得到了广泛的应用。

JDFW--100M及JDFW--1000M硬件防火墙, 采用防护模块化设计及独特的处理架构，包括新型第四代ASIC芯片的整合了防火墙及VPN功能，以及完善高效率的核心入侵检测与防护(IDP)功能。具备卓越的性能，以及灵活性和可扩展性，从而有效抵御今天和未来日益复杂的网络威胁。独特的处理架构还包括了强大的连接跟踪机制，产品内部实现了完整的TCP协议栈状态，使每个进入的连接，防火墙都会根据其源地址进行分类，并显示给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，临时屏蔽，永久屏蔽等功能，弥补了TCP协议本身的不足，使您的服务器在攻击中游刃有余。所以说，金盾防火墙是企业、电信运营商和数据中心的网管人员的理想选择，可帮助他们有效应对不断增加且更为隐蔽的网络攻击，同时确保超卓的网络性能，平衡有限的网络资源和预算。

现在金盾新一代的产品已经问世了，大概是为了延续前代产品较好的市场形象，新产品命名为200型和2000型，可抵御200Mbps（JDFW-200型）或者2GBps（JDFW-2000型）的攻击流量，充分利用现有的带宽实现更强的防御效果。

·DOSNIPE防火墙

遐迩科技的DOSNIPE系列防火墙也是机房防火墙中比较出色的产品，抗DDos攻击功能也很强，现已推出DosNipe V8.0版本,此核心极其高效，可以抵御一切拒绝服务攻击。特别是针对CC攻击，最新更新的算法可以高效的抵御所有CC攻击及其变种，识别准确率为100%，没有任何误判的可能性,成为国内第一款在硬件上彻底解决CC攻击的防火墙。

DOSNIPE防火墙还在此基础上实现了防火墙集群性防护的功能，并且在各大机房成功的应用。集群技术的实现将使防火墙产业进入低价高防的新时代。

愈发升级的“多重防火墙”安全体系：

上面这几款防火墙就是目前IDC机房中比较常用的安全设备，不过很多时候只采用一款防火墙还难以做到万无一失，因此一些机房也推出了“双防火墙”甚至是“三防火墙”方案，例如采用金盾＋黑洞的配合，实现全方位的防护，因此，大家在选择IDC的时候不妨多看看他们网站上关于网络安全设备方面的介绍再进行比较 ，相信对大家还是很有好处的。

硬件防火墙服务的情况：

大家如果查阅过我们的各地运营商资料和各地机房资料后可能会发现，大部分运营商和机房并不提供此项服务，提供机房网络硬件安全措施的大概只有不到2成，为什么呢？

我们知道，大部分的IDC机房都是电信和网通修建的，而电信部门多数情况下都不会自己去运营机房的大众端业务，因为比较繁琐，需要太多人力，于是电信部门把机房业务交给各个IDC运营商和代理商去打理；而硬件防火墙售价都比较昂贵，考虑到不是每个运营商都愿意去负担这笔费用，因此电信网通以及铁通等所建设的机房一般都是出售机柜和带宽，而是否为机房设备提供硬件防火墙，就取决于不同运营商和代理商对自身业务需要和经济能力的权衡。

当然也不是绝对，例如某个地区的电信分公司建好机房后同时还自己成立一个部门专门经营机房的常规IDC业务，那么这个机房就有可能采用硬件防火墙。

另外还有少量IDC运营商是自建机房的，那也很可能采用硬件防火墙。

因此，我们看到的提供硬件防火墙支持的服务商并不多，基本都是具备一定实力的非电信类运营商或一级代理商，另外还有一些代理商本身是不购置硬件防火墙的，但是他们通过代理这些运营商的业务，也能够为用户提供千兆硬防级服务。