ddos攻击可以防御吗_防火墙的防ddos攻击吗

为何防火墙和IPS不能有效应对DDoS攻击?

Radware专家告诫这部分企业万万不能掉以轻心，完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。

在过去的2012年，发生了很多起DoS和DDoS攻击事件，Radware紧急响应团队（ERT）于2013年年初发布的一份年度安全报告详细描述了这些攻击事件，并且在报告中指出，在33%的DoS和DDoS攻击事件中，防火墙和IPS设备变成了主要的瓶颈设备。

答案很简单，防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为，而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点，接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

防火墙和IPS是状态监测设备

作为状态监测设备，防火墙和IPS可以跟踪检查所有连接，并将其存储在连接表里。每个数据包都与连接表相匹配，以确认该数据包是通过已经建立的合法连接进行传输的。

一个典型的连接表可以存储成千上万个活动连接，足以满足正常的 *** 访问活动。但是，DDoS攻击每秒可能会发送数千个数据包。作为企业 *** 中处理流量的窗口设备，防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接表达到其更大容量，就不再允许打开新的连接，最终会阻止合法用户建立连接。

专用的DDoS攻击缓解设备使用的是一种无状态保护机制，它可以处理数百万个连接尝试，无需连接表项的介入，也不会导致其它系统资源的耗尽。

防火墙和IPS不能区分恶意用户和合法用户

诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的，防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力，只能对单个会话进行检测，这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

防火墙和IPS在 *** 中的部署位置不合适

防止DDoS攻击的设备必须位于 *** 安全防范的最前线，但是防火墙和IPS部署在靠近被保护服务器的位置，并不是作为之一道防线使用，这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前，这样可以保证尽早检测到攻击。

毫无疑问，日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击，同时所部署的安全工具也必须不断升级更新与时俱进。

用防火墙可以防御DDoS吗？

这个得看你买的防火墙具体防护能力。现在很多厂商是有提供死扛流量的套餐，不过很贵就是了，只要你有钱，防是肯定能防得下来的。

防火墙到底能不能防DDOS

DDoS防火墙其自主研发的独特抗攻击算法，高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、 *** CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击，传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，具备远处 *** 监控和数据包分析功能，能够迅速获取、分析最新的攻击特征，防御最新的攻击手段。

ddos防火墙是什么原理？真的是有用的吗？

专业的DDOS 防火墙肯定对DDOS 有用的，当然，这个问题也不能100% 来说，毕竟，DDOS 绝对是不能100% 防御了的。 从某一品牌来说，有没有用直接看客户使用量及 *** 知名度就知晓了。

而技术嘛，简单讲得话，是根据DDOS攻击的原理，来做出的规则等方面技术来防御DDOS.

什么么防火墙能防御DDOS攻击呢？谢谢了，大神帮忙啊

用防火墙能防御DDOS流量攻击么？ 回答：防火墙只是起一个访问控制的作用。也就是允许某某访问某某，不允许某某访问某某，所谓的防攻击之类的功能其实是无法实现的，现在的防火墙所宣称的能够防护什么什么攻击，完全是忽悠。就算防火墙中有这样的功能。那也只是另外一种防火墙了，俗称UTM。但是在UTM上如果使用这样的功能的话。一旦遇到了DDOS攻击。。UTM由于自身的芯片处理能力不够（功能太多），一般都会死机。现在真正能做到防御DDOS流量攻击的，有黑洞等硬件设备，它起一个引导作用，会识别那些流量是DDOS流量还是正常的访问流量，从而达到允许正常流量访问。引导DDOS流量进入黑洞。 DDOS流量攻击怎么解释呢？ 回答：DDOS流量攻击也就是分布式拒绝服务攻击，由多台机器多个IP对某个IP进行TCP连接。TCP连接分三步：访问者发出指令；被访问者回应该指令；访问者确认指令。 DDOS就是利用这个原理，不断的向被攻击者发出访问请求，被攻击者由于攻击者的访问请求过多，一直在处理这些无用的请求，导致其他的正常请求无法被处理。也就是无法回应正常的请求，这样就造成正常访问被主机拒绝服务。

麻烦采纳，谢谢!

用防火墙可以防御DDoS攻击吗?

防火墙通过监视和跟踪允许的 *** 流量、数据包，来提供周边访问控制。在很多方面，防火墙扮演着 *** “交通警察”的角色。它允许好的、正常的数据包，不受阻碍地访问服务器，同时阻止坏的、异常的数据包访问服务器的 *** 。防火墙可以有助于检测进入的恶意流量，但是在对于已进入的恶意流量，在防御上没有太大的能力。

很多租用服务器的企业用户，单单依靠防火墙来缓解DDos攻击.但仅依靠硬件防火墙抵御DDos攻击，防御能力一般在30Gbps以内，并且服务价格昂贵。这些使用传统防火墙抵御DDos攻击的企业用户认为，防火墙可以更新，这样可以有效地防止DDos攻击。然而事实并非如此，防火墙一般依照系统管理员预先定义好的规则，来控制数据包的进出，它是一台专属的硬件或是架设在一般硬件上的一套软件。大多数防火墙，并没有对DDos攻击进行针对性的改进和设计，也因此难以承受和抵御大规模的、多种类型的DDos攻击。

这里主要有两个原因：

一、 防火墙受制于带宽，容易被攻破

防火墙和其他本地硬件，所享有的带宽是非常有限的，其中包括企业租用的带宽规模。

当DDos攻击的规模超过“20—30G”时，该带宽会迅速变得不堪重负，进而出现防御崩溃。

二、 防火墙规则管理

防火墙定义的规则管理，有时候会被伪装成合法正常流量的“恶意流量”所愚弄，就像“SYN Flood”(一种DDos攻击类型)一样。

所以，提供深度数据包、流量检测，可针对性地调整流量清洗规则，为对抗各种类型的DDos攻击提供具体对策的解决方案，比防火墙使用规则管理的静态操作更加行之有效。

因此，防火墙只是防御策略的一部分，而不是一个完整的解决方案。想要更加全面有效地防御DDos攻击，就绝不能仅仅依靠防火墙来解决，还需要结合其他技术和设备进行防御。

防御吧高防服务器，专业抗DDos攻击，具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点。防御吧在部署高防服务器的高防机房，接入了T级(1000G)超大防护带宽，单机(单台高防服务器)防御峰值更高可达数百G，并附有CC攻击的防御能力，可防御超大规模的DDos攻击和高密度的CC攻击