對(duì)于防火墻相信大家都很熟悉了，但是很多人都想知道防火墻可以防御DDoS攻擊嗎？防火墻通過監(jiān)視和跟蹤允許的網(wǎng)絡(luò)流量、數(shù)據(jù)包來提供周邊訪問控制。防火墻只是防御策略的一部分而不是一個(gè)完整的解決方案。

　　防火墻可以防御DDoS攻擊嗎?

　　在很多方面，防火墻扮演著網(wǎng)絡(luò)“交通警察”的角色。它允許好的、正常的數(shù)據(jù)包，不受阻礙地訪問服務(wù)器，同時(shí)阻止壞的、異常的數(shù)據(jù)包訪問服務(wù)器的網(wǎng)絡(luò)。防火墻可以有助于檢測(cè)進(jìn)入的惡意流量，但是在對(duì)于已進(jìn)入的惡意流量，在防御上沒有太大的能力。

　　很多租用服務(wù)器的企業(yè)用戶，單單依靠防火墻來緩解DDos攻擊.但僅依靠硬件防火墻抵御DDos攻擊，防御能力一般在30Gbps以內(nèi)，并且服務(wù)價(jià)格昂貴。這些使用傳統(tǒng)防火墻抵御DDos攻擊的企業(yè)用戶認(rèn)為，防火墻可以更新，這樣可以有效地防止DDos攻擊。然而事實(shí)并非如此，防火墻一般依照系統(tǒng)管理員預(yù)先定義好的規(guī)則，來控制數(shù)據(jù)包的進(jìn)出，它是一臺(tái)專屬的硬件或是架設(shè)在一般硬件上的一套軟件。大多數(shù)防火墻，并沒有對(duì)DDos攻擊進(jìn)行針對(duì)性的改進(jìn)和設(shè)計(jì)，也因此難以承受和抵御大規(guī)模的、多種類型的DDos攻擊。

　　防火墻和其他本地硬件，所享有的帶寬是非常有限的，其中包括企業(yè)租用的帶寬規(guī)模。當(dāng)DDos攻擊的規(guī)模超過“20—30G”時(shí)，該帶寬會(huì)迅速變得不堪重負(fù)，進(jìn)而出現(xiàn)防御崩潰。防火墻定義的規(guī)則管理，有時(shí)候會(huì)被偽裝成合法正常流量的“惡意流量”所愚弄，就像“SYN Flood”(一種DDos攻擊類型)一樣。提供深度數(shù)據(jù)包、流量檢測(cè)，可針對(duì)性地調(diào)整流量清洗規(guī)則，為對(duì)抗各種類型的DDos攻擊提供具體對(duì)策的解決方案，比防火墻使用規(guī)則管理的靜態(tài)操作更加行之有效。

　　服務(wù)器如何防御ddos

　　1、全面綜合地設(shè)計(jì)網(wǎng)絡(luò)的安全體系，注意所使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備。

　　2、提高網(wǎng)絡(luò)管理人員的素質(zhì)，關(guān)注安全信息，遵從有關(guān)安全措施，及時(shí)地升級(jí)系統(tǒng)，加強(qiáng)系統(tǒng)抗擊攻擊的能力。

　　3、在系統(tǒng)中加裝防火墻系統(tǒng)，利用防火墻系統(tǒng)對(duì)所有出入的數(shù)據(jù)包進(jìn)行過濾，檢查邊界安全規(guī)則，確保輸出的包受到正確限制。

　　4、優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)路由器進(jìn)行合理設(shè)置，降低攻擊的可能性。

　　5、優(yōu)化對(duì)外提供服務(wù)的主機(jī)，對(duì)所有在網(wǎng)上提供公開服務(wù)的主機(jī)都加以限制。

　　6、安裝入侵檢測(cè)工具（如 NIPC、NGREP），經(jīng)常掃描檢查系統(tǒng)，解決系統(tǒng)的漏洞，對(duì)系統(tǒng)文件和應(yīng)用程序進(jìn)行加密，并定期檢查這些文件的變化。

　　防火墻是可以防御一部分的ddos攻擊但不是完全依靠防火墻，想要更加全面有效地防御DDos攻擊，就絕不能僅僅依靠防火墻來解決，還需要結(jié)合其他技術(shù)和設(shè)備進(jìn)行防御。所以說防火墻雖然是作用強(qiáng)大，但是對(duì)于防御ddos攻擊效果并不是最明顯的。