在过去的2012年，发生了很多起DoS和DDoS攻击事件，Radware紧急响应团队（ERT）于2013年年初发布的一份年度安全报告详细描述了这些攻击事件，并且在报告中指出，在33%的DoS和DDoS攻击事件中，防火墙和IPS设备变成了主要的瓶颈设备。

    为何防火墙与IPS不能有效应对DDoS攻击？

    答案很简单，防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为，而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点，接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

    防火墙和IPS是状态监测设备

    作为状态监测设备，防火墙和IPS可以跟踪检查所有连接，并将其存储在连接表里。每个数据包都与连接表相匹配，以确认该数据包是通过已经建立的合法连接进行传输的。

    一个典型的连接表可以存储成千上万个活动连接，足以满足正常的网络访问活动。但是，DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备，防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量，就不再允许打开新的连接，最终会阻止合法用户建立连接。

    专用的DDoS攻击缓解设备使用的是一种无状态保护机制，它可以处理数百万个连接尝试，无需连接表项的介入，也不会导致其它系统资源的耗尽。

    防火墙和IPS不能区分恶意用户和合法用户

    诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的，防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力，只能对单个会话进行检测，这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

    防火墙和IPS在网络中的部署位置不合适

    防止DDoS攻击的设备必须位于网络安全防范的最前线，但是防火墙和IPS部署在靠近被保护服务器的位置，并不是作为第一道防线使用，这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前，这样可以保证尽早检测到攻击。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。