DDoS攻击肆虐你的防火墙和IPS够给力吗

尽管越来越多的企业已经意识到，在进行网络安全规划的时候，针对DDoS攻击威胁的防范措施应该优先考虑，但是依然有很多人错误地认为防火墙和入侵防御系统(IPS)等传统安全工具可以完全应对DDoS攻击。Radware专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。

在过去的2012年,发生了很多起DoS和DDoS攻击事件，Radware紧急响应团队(ERT)于2013年年初发布的一份年度安全报告详细描述了这些攻击事件，并且在报告中指出，在33%的DoS和DDoS攻击事件中，防火墙和IPS设备变成了主要的瓶颈设备。

为何防火墙与IPS不能有效应对DDoS攻击？

答案很简单，防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为，而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点，接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

防火墙和IPS是状态监测设备

作为状态监测设备，防火墙和IPS可以跟踪检查所有连接，并将其存储在连接表里。每个数据包都与连接表相匹配，以确认该数据包是通过已经建立的合法连接进行传输的。

一个典型的连接表可以存储成千上万个活动连接，足以满足正常的网络访问活动。但是，DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备，防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量，就不再允许打开新的连接，最终会阻止合法用户建立连接。

专用的DDoS攻击缓解设备使用的是一种无状态保护机制，它可以处理数百万个连接尝试，无需连接表项的介入，也不会导致其它系统资源的耗尽。

防火墙和IPS不能区分恶意用户和合法用户

诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的，防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力，只能对单个会话进行检测，这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

防火墙和IPS在网络中的部署位置不合适

防止DDoS攻击的设备必须位于网络安全防范的最前线，但是防火墙和IPS部署在靠近被保护服务器的位置，并不是作为第一道防线使用，这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前，这样可以保证尽早检测到攻击。

毫无疑问，日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击，同时所部署的安全工具也必须不断升级更新与时俱进。尽管防火墙和IPS在保护网络安全方面仍然发挥着重要的作用，但是当前复杂的攻击威胁亟需一个全面的网络安全解决方案，在保护网络层和应用层的同时，能够有效地区分合法流量与非法流量，以保证企业网络和业务的正常运行。

关于Radware

Radware(NASDAQ:RDWR)是为虚拟数据中心和云数据中心提供应用交付和应用安全解决方案的全球领导者。Radware屡获殊荣的解决方案为关键业务应用提供充分的弹性、最大的IT效率和完整的业务灵敏性。Radware解决方案帮助全球上万家企业和运营商快速应对市场挑战，保持业务的连续性，在实现最高生产效率的同时有效降低成本。欲知详情，请访问：www.radware.com.cn

济南容器检测试验机公司

水压爆破试验机

济南空气能内胆脉冲试验机