防火墙和IPS都有抗DDOS的功能,和专门的抗DDOS设备有什么区别呢?
现在大多数防火墙,IPS产品都附带了抗DDOS攻击的功能,但是,由于它们本身对数据的处理机制,造成自己不能够准确的检测出DDOS攻击数据包和正常数据包,因此,它们对DDOS攻击的处理方式和专业的抗DDOS攻击设备还是有很大不同的。它们的处理方式主要有两种。
(1)设置阀值,控制访问数据速率。由于防火墙,IPS会放在网络出口处,而WEB防火墙会放在网站服务器的前面,它们会根据自己网络的性能和服务器性能,设定一个处理数据的阀值,比如说我的服务器每秒中只能处理1000个人访问,那么我的防火墙,IPS,WEB防火墙就会设定1000个数据包/秒,超过这个值的数据包会丢弃。举个银行的例子,假设银行拥有八个柜台,一上午最多处理100人的业务,那么当前100个号都排满以后,银行肯定会拒绝服务,让其他人在其他时间再来了。大家可以看到,这种方式,实际上已经影响到了其他正常用户的业务办理。对于防火墙也一样,阀值的设置,在一定程度上会将正常用户的访问拒绝掉。
(2)随机丢弃数据包,即设定每接受几个数据包就丢弃其中一个。列举邮箱事例,为了担心接收过多的垃圾邮件,于是在接收邮件时,设定每收两封邮件,就自动拒收一封邮件,这种方式很容易就令人想到,如果我拒收的当中有正常邮件呢?同样道理,如果采用随机丢包方式,也有一定几率将正常用户请求包丢掉,造成正常用户无法访问应用服务。
(3)对于特殊攻击的处理。随着技术的发展,近几年的新的攻击类型层出不穷,攻击手段多种多样,攻击的的针对性也越来越强,应对特殊的攻击自然就需要有针对性的防护手段,
国内专业的抗DDOS设备和解决方案提供商中新金盾,实现了可以针对于这些特殊攻击而随时制定防护策略,从而避免了传统设备在面临特殊类型攻击只能被动挨打的局面。
总体来说,正因为传统的安全设备没有能够验证攻击包 非攻击包的机制和面对特殊攻击的不足,因此,只能采用这两种方式,牺牲部分用户的权益,来保证整个网络和应用服务受到DDOS攻击的影响。而金盾抗拒绝服务系统作为专业的设备,利用自主的算法能够准确判断DDOS攻击数据包,因此能够很有效防御此类攻击。
用防火墙可以防御DDoS攻击吗?
防火墙通过监视和跟踪允许的网络流量、数据包,来提供周边访问控制。在很多方面,防火墙扮演着网络“交通警察”的角色。它允许好的、正常的数据包,不受阻碍地访问服务器,同时阻止坏的、异常的数据包访问服务器的网络。防火墙可以有助于检测进入的恶意流量,但是在对于已进入的恶意流量,在防御上没有太大的能力。 很多租用服务器的企业用户,单单依靠防火墙来缓解DDos攻击.但仅依靠硬件防火墙抵御DDos攻击,防御能力一般在30Gbps以内,并且服务价格昂贵。这些使用传统防火墙抵御DDos攻击的企业用户认为,防火墙可以更新,这样可以有效地防止DDos攻击。然而事实并非如此,防火墙一般依照系统管理员预先定义好的规则,来控制数据包的进出,它是一台专属的硬件或是架设在一般硬件上的一套软件。大多数防火墙,并没有对DDos攻击进行针对性的改进和设计,也因此难以承受和抵御大规模的、多种类型的DDos攻击。 这里主要有两个原因: 一、 防火墙受制于带宽,容易被攻破 防火墙和其他本地硬件,所享有的带宽是非常有限的,其中包括企业租用的带宽规模。 当DDos攻击的规模超过“20—30G”时,该带宽会迅速变得不堪重负,进而出现防御崩溃。 二、 防火墙规则管理 防火墙定义的规则管理,有时候会被伪装成合法正常流量的“恶意流量”所愚弄,就像“SYN Flood”(一种DDos攻击类型)一样。 所以,提供深度数据包、流量检测,可针对性地调整流量清洗规则,为对抗各种类型的DDos攻击提供具体对策的解决方案,比防火墙使用规则管理的静态操作更加行之有效。 因此,防火墙只是防御策略的一部分,而不是一个完整的解决方案。想要更加全面有效地防御DDos攻击,就绝不能仅仅依靠防火墙来解决,还需要结合其他技术和设备进行防御。 防御吧高防服务器,专业抗DDos攻击,具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点。防御吧在部署高防服务器的高防机房,接入了T级(1000G)超大防护带宽,单机(单台高防服务器)防御峰值最高可达数百G,并附有CC攻击的防御能力,可防御超大规模的DDos攻击和高密度的CC攻击