為何防火牆和ips不能有效應對ddos攻擊

首頁 > 科技
時間 2021-12-25 01:48:30

1樓:小希

radware專家告誡這部分企業萬萬不能掉以輕心,完全依靠防火牆和ips來防範愈演愈烈的ddos攻擊。

在過去的2023年,發生了很多起dos和ddos攻擊事件,radware緊急響應團隊(ert)於2023年年初發布的一份年度安全報告詳細描述了這些攻擊事件,並且在報告中指出,在33%的dos和ddos攻擊事件中,防火牆和ips裝置變成了主要的瓶頸裝置。

答案很簡單,防火牆與ips最初並不是為了應對ddos攻擊而設計的。防火牆和ips的設計目的是檢測並阻止單一實體在某個時間發起的入侵行為,而非為了探測那些被百萬次傳送的貌似合法資料包的組合行為。為了更好說明這一觀點,接下來的說明可以解釋防火牆和ips在有效阻止ddos攻擊時的種種缺陷。

防火牆和ips是狀態監測裝置

作為狀態監測裝置,防火牆和ips可以跟蹤檢查所有連線,並將其儲存在連線表裡。每個資料包都與連線表相匹配,以確認該資料包是通過已經建立的合法連線進行傳輸的。

一個典型的連線表可以儲存成千上萬個活動連線,足以滿足正常的網路訪問活動。但是,ddos攻擊每秒可能會傳送數千個資料包。作為企業網路中處理流量的視窗裝置,防火牆或ips將會在連線表中為每一個惡意資料包建立一個新連線表項,這會導致連線表空間被快速耗盡。

一旦連線表達到其最大容量,就不再允許開啟新的連線,最終會阻止合法使用者建立連線。

專用的ddos攻擊緩解裝置使用的是一種無狀態保護機制,它可以處理數百萬個連線嘗試,無需連線表項的介入,也不會導致其它系統資源的耗盡。

防火牆和ips不能區分惡意使用者和合法使用者

諸如http洪水等諸多ddos攻擊是由數百萬個合法會話構成的。每個會話本身都是合法的,防火牆和ips無法將其標記為威脅。這主要是因為防火牆和ips不具有對數百萬併發會話的行為進行全面觀察與分析的能力,只能對單個會話進行檢測,這就削弱了防火牆或ips對由數百萬個合法請求構成的攻擊的識別能力。

防火牆和ips在網路中的部署位置不合適

防止ddos攻擊的裝置必須位於網路安全防範的最前線,但是防火牆和ips部署在靠近被保護伺服器的位置,並不是作為第一道防線使用,這將導致ddos攻擊成功入侵資料中心。專用ddos攻擊緩解裝置通常部署在接入路由之前,這樣可以保證儘早檢測到攻擊。

毫無疑問,日益氾濫的dos及ddos攻擊以及攻擊趨勢的複雜化已經從根本上改變了當前的安全環境。企業急需適時調整自己的安全架構以有效應對不斷增多的dos攻擊,同時所部署的安全工具也必須不斷升級更新與時俱進。

2樓:01q我

在於d量太大,正常的處理不過來。

抗ddos攻擊裝置和防火牆,ips,防毒牆功能一樣嗎?

3樓:匿名使用者

抗ddos攻擊產品和ips,防毒牆一樣都是專業的安全裝置,就像ips不能取代防毒牆,防毒牆不能取代ips一樣,專業抗ddos攻擊產品在防禦ddos攻擊方面,也是其他安全產品無法取代的。網路安全領域有一種「木桶原理」,一隻木桶能盛多少水並不取決於桶壁上最長的那塊木板,而恰恰取決於最短的那塊。在你的安全體系裡,即使防火牆,ips,防毒牆,漏洞掃描,身份認證等一切安全裝置都有了,一旦缺少了抗ddos攻擊這一塊,那你的安全體系根本就是不安全的。

如果你的整個網路因為一次ddos攻擊而崩潰,那之前所做的一切安全防護措施也都白費了。

4樓:匿名使用者

在這裡,我們不能說免疫牆好還是防火牆好,因為他們所針對的問題是不同的,防火牆是主要針對網路層以上的安全,並且傳統意義上來講防火牆主要是針對外網的安全,不能管控到內網,而免疫牆是近些年一種新型的專門針對內網安全的,諸如arp、ddos、cam等等。所以我們不能這樣狹隘的去定義防火牆好還是免疫牆好。

不過就目前網路狀況而言,網路安全已經逐漸由外網安全轉向內網安全,並且百分之八十的網路問題是由內網引起,像公司內部的oa、erp等伺服器連線不上,郵件收發慢,經常掉線等著都是由於我們的乙太網協議本身的漏洞所造成的不安全,最常見的來說就是arp、ip欺騙了,對於這些問題防火牆也是素手無策,這個時候就需要免疫網路了。

所以建議朋友,如果你是為了預防黑客攻擊那麼防火牆還能頂一下,但是伱如果是解決內網安全,掉線、卡滯的話那麼免疫牆材是正確的選擇。因為傳統的「老三樣」(防火牆、殺軟、入侵檢測)是不能解決內網問題的。。。。。。

天網防火牆和其他防火牆例如KIS 瑞星 金山比起來有哪些優點缺點 功能上有何差別

防火牆的基本功能都是差不多的,對付病毒主要是要靠防毒軟體,所謂口碑好,也就是用的人多一點罷了。其實防火牆的效能好不好,真的很難說。所以我一般都是看各種測試,比如掃描埠,流量控制之類的專業測試。不過很久沒看了,所以記得不太清楚了。反正,瑞星 金山的防火牆都是比較一般的。防毒軟體附帶的防火牆裡,似乎只有...

360防火牆和瑞星防火牆功能完全一樣嗎 請回答者看清我的問題,別向我什麼防毒軟體

其實防火牆的本質是一樣的,好與不好在於防火牆是否智慧化 自動化。比如windows自帶防火牆就不夠智慧,自己沒有判斷意識,而360防火牆是在360安全衛士和360防毒的基礎之上進行防護判斷,一般不會影響到我們的正常工作。瑞星也是同理。工作機制取決於本身關聯的平臺是否先進,對流氓軟體和病毒木馬的識別。...

防火牆和交換機設定問題,防火牆設計和交換機問題!

如果你只是簡單的想訪問伺服器的話嗎,可以直接把伺服器ip設定成10.0.0.x 8,然後在pc1的ip設定裡面附加一個同網段的ip就可以訪問了 直接在思科上面設定2個vlan不就行了,要這麼麻煩 防火牆設計和交換機問題!5 防火牆口可以支援vlan的,這樣一個物理介面可以將多個vlan口對應多條線路...