DDoS攻击肆虐，你的防火墙和IPS够给力吗？

尽管越来越多的企业已经意识到，在进行网络安全规划的时候，针对DDoS攻击威胁的防范措施应该优先考虑，但是依然有很多人错误地认为防火墙和入侵防御系统(IPS)等传统安全工具可以完全应对DDoS攻击。Radware专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。

在过去的2012年,发生了很多起DoS和DDoS攻击事件，Radware紧急响应团队(ERT)于2020年年初发布的一份年度安全报告详细描述了这些攻击事件，并且在报告中指出，在33%的DoS和DDoS攻击事件中，防火墙和IPS设备变成了主要的瓶颈设备。

为何防火墙与IPS不能有效应对DDoS攻击？

答案很简单，防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为，而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点，接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

防火墙和IPS是状态监测设备

作为状态监测设备，防火墙和IPS可以跟踪检查所有连接，并将其存储在连接表里。每个数据包都与连接表相匹配，以确认该数据包是通过已经建立的合法连接进行传输的。

一个典型的连接表可以存储成千上万个活动连接，足以满足正常的网络访问活动。但是，DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备，防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量，就不再允许打开新的连接，最终会阻止合法用户建立连接。

专用的DDoS攻击缓解设备使用的是一种无状态保护机制，它可以处理数百万个连接尝试，无需连接表项的介入，也不会导致其它系统资源的耗尽。

防火墙和IPS不能区分恶意用户和合法用户

诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的，防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力，只能对单个会话进行检测，这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

防火墙和IPS在网络中的部署位置不合适

防止DDoS攻击的设备必须位于网络安全防范的最前线，但是防火墙和IPS部署在靠近被保护服务器的位置，并不是作为第一道防线使用，这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前，这样可以保证尽早检测到攻击。

毫无疑问，日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击，同时所部署的安全工具也必须不断升级更新与时俱进。尽管防火墙和IPS在保护网络安全方面仍然发挥着重要的作用，但是当前复杂的攻击威胁亟需一个全面的网络安全解决方案，在保护网络层和应用层的同时，能够有效地区分合法流量与非法流量，以保证企业网络和业务的正常运行。