盡管越來(lái)越多的企業(yè)已經(jīng)意識(shí)到，在進(jìn)行網(wǎng)絡(luò)安全規(guī)劃的時(shí)候，針對(duì)DDoS攻擊威脅的防范措施應(yīng)該優(yōu)先考慮，但是依然有很多人錯(cuò)誤地認(rèn)為防火墻和入侵防御系統(tǒng)(IPS)等傳統(tǒng)安全工具可以完全應(yīng)對(duì)DDoS攻擊。Radware專家告誡這部分企業(yè)萬(wàn)萬(wàn)不能掉以輕心,完全依靠防火墻和IPS來(lái)防范愈演愈烈的DDoS攻擊。

在過(guò)去的2012年,發(fā)生了很多起DoS和DDoS攻擊事件，Radware緊急響應(yīng)團(tuán)隊(duì)(ERT)于2013年年初發(fā)布的一份年度安全報(bào)告詳細(xì)描述了這些攻擊事件，并且在報(bào)告中指出，在33%的DoS和DDoS攻擊事件中，防火墻和IPS設(shè)備變成了主要的瓶頸設(shè)備。

為何防火墻與IPS不能有效應(yīng)對(duì)DDoS攻擊？

答案很簡(jiǎn)單，防火墻與IPS最初并不是為了應(yīng)對(duì)DDoS攻擊而設(shè)計(jì)的。防火墻和IPS的設(shè)計(jì)目的是檢測(cè)并阻止單一實(shí)體在某個(gè)時(shí)間發(fā)起的入侵行為，而非為了探測(cè)那些被百萬(wàn)次發(fā)送的貌似合法數(shù)據(jù)包的組合行為。為了更好說(shuō)明這一觀點(diǎn)，接下來(lái)的說(shuō)明可以解釋防火墻和IPS在有效阻止DDoS攻擊時(shí)的種種缺陷。

防火墻和IPS是狀態(tài)監(jiān)測(cè)設(shè)備

作為狀態(tài)監(jiān)測(cè)設(shè)備，防火墻和IPS可以跟蹤檢查所有連接，并將其存儲(chǔ)在連接表里。每個(gè)數(shù)據(jù)包都與連接表相匹配，以確認(rèn)該數(shù)據(jù)包是通過(guò)已經(jīng)建立的合法連接進(jìn)行傳輸?shù)摹?/p>

一個(gè)典型的連接表可以存儲(chǔ)成千上萬(wàn)個(gè)活動(dòng)連接，足以滿足正常的網(wǎng)絡(luò)訪問(wèn)活動(dòng)。但是，DDoS攻擊每秒可能會(huì)發(fā)送數(shù)千個(gè)數(shù)據(jù)包。作為企業(yè)網(wǎng)絡(luò)中處理流量的窗口設(shè)備，防火墻或IPS將會(huì)在連接表中為每一個(gè)惡意數(shù)據(jù)包創(chuàng)建一個(gè)新連接表項(xiàng)，這會(huì)導(dǎo)致連接表空間被快速耗盡。一旦連接表達(dá)到其最大容量，就不再允許打開新的連接，最終會(huì)阻止合法用戶建立連接。

專用的DDoS攻擊緩解設(shè)備使用的是一種無(wú)狀態(tài)保護(hù)機(jī)制，它可以處理數(shù)百萬(wàn)個(gè)連接嘗試，無(wú)需連接表項(xiàng)的介入，也不會(huì)導(dǎo)致其它系統(tǒng)資源的耗盡。

防火墻和IPS不能區(qū)分惡意用戶和合法用戶

諸如HTTP洪水等諸多DDoS攻擊是由數(shù)百萬(wàn)個(gè)合法會(huì)話構(gòu)成的。每個(gè)會(huì)話本身都是合法的，防火墻和IPS無(wú)法將其標(biāo)記為威脅。這主要是因?yàn)榉阑饓虸PS不具有對(duì)數(shù)百萬(wàn)并發(fā)會(huì)話的行為進(jìn)行全面觀察與分析的能力，只能對(duì)單個(gè)會(huì)話進(jìn)行檢測(cè)，這就削弱了防火墻或IPS對(duì)由數(shù)百萬(wàn)個(gè)合法請(qǐng)求構(gòu)成的攻擊的識(shí)別能力。

防火墻和IPS在網(wǎng)絡(luò)中的部署位置不合適

防止DDoS攻擊的設(shè)備必須位于網(wǎng)絡(luò)安全防范的最前線，但是防火墻和IPS部署在靠近被保護(hù)服務(wù)器的位置，并不是作為第一道防線使用，這將導(dǎo)致DDoS攻擊成功入侵?jǐn)?shù)據(jù)中心。專用DDoS攻擊緩解設(shè)備通常部署在接入路由之前，這樣可以保證盡早檢測(cè)到攻擊。

毫無(wú)疑問(wèn)，日益泛濫的DoS及DDoS攻擊以及攻擊趨勢(shì)的復(fù)雜化已經(jīng)從根本上改變了當(dāng)前的安全環(huán)境。企業(yè)急需適時(shí)調(diào)整自己的安全架構(gòu)以有效應(yīng)對(duì)不斷增多的DoS攻擊，同時(shí)所部署的安全工具也必須不斷升級(jí)更新與時(shí)俱進(jìn)。盡管防火墻和IPS在保護(hù)網(wǎng)絡(luò)安全方面仍然發(fā)揮著重要的作用，但是當(dāng)前復(fù)雜的攻擊威脅亟需一個(gè)全面的網(wǎng)絡(luò)安全解決方案，在保護(hù)網(wǎng)絡(luò)層和應(yīng)用層的同時(shí)，能夠有效地區(qū)分合法流量與非法流量，以保證企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)的正常運(yùn)行。