应用防火墙能否击败DDoS攻击

防火墙VSDDoS进犯

据有关人士表明，超越80%的网络进犯是对准网络使用程序的，而传统的防护办法，比方效劳器周边的防火墙设备所能起到的防护效果很小。这就是为什么DDOS类的进犯总能成功击退网站或付出体系的缘由。由于DDOS进犯所选用的拜访恳求很难与正常拜访恳求区别开，因而传统的防护体系，比方侵略防止体系或侵略检测体系很难阻挡住DDOS的进犯。

一般来说，在使用防火墙答应恳求进入体系前，会经过发送并呼应cookie来判别该用户能否实在，以及该拜访恳求能否有用。而在比来许多DDOS进犯实例中，比方对准Paypal，MasterCard以及Visa网站所进行的进犯，都是经过僵尸网络中的肉鸡电脑发送的，而这些电脑并不能呼应使用防火墙发送的查询恳求。

据报道，这一系列网络进犯被称作“Operation Payback”，其意图是支援被拘押的维基解密创始人Julian Assange。而维基解密网站也由于美国和欧洲ISP，网络托管商以及付出供货商的退出而封闭。

作为对Wikileaks和Assange所受遭受的报复，支持者们动用了超越3000台自愿电脑以及超越3万台肉鸡电脑对PayPal, MasterCard和Visa网站发动了DDOS进犯。

没有傻瓜式的解决方案


除了树立使用防火墙，公司能思考的其它类型的防护手法包罗使用ISP过滤不合法网络恳求后供给给公司接入的“卫生管道”以及选用更高级别的安全协议等。别的，公司还可以对网络协议进行修正，保证一切需求连接到效劳器的恳求都是预先核准的。

可是，跟着技能的不断进步，黑客和网络罪犯们也在测验各种办法来损坏体系，挪动设备接入量的不断添加，加重了安全人员进行体系防护的难度。 Yordanov以为，职工的涣散程度越大，公司网络收到进犯的危险也就越大，由于许多网络罪犯正是使用了这种涣散工作形式中存在的安全漏洞。

没有什么傻瓜式的解决方案可以百分百的安全，而可以想到的傻瓜式解决方案就只有封闭体系电源了。

他说：“与其看着体系被进犯，更好的办法就是彻底封闭体系。在曾经，若是网管可以追寻IP地址，找出DDOS进犯的发源地，他们就可以将发源地的IP地址段列入黑名单，但这仅限于静态IP地址。而如今，越来越多的进犯选用改变频频的地址，使得这种黑名单的办法也失效了。”

而另一种不用封闭体系的办法，就是派人不断地监控网络流量，可是这需求许多的网络技能人员，并不合适中小公司。

云安全的出路


关于云核算安全性的观点时，关于当前的云核算安全性许多人都表明出了失望情绪，可是一起，假以时日云核算的安全性将会得到改进。曾经有六个云核算供货商供给的SLA（效劳等级协议），可是没有一个供货商在协议中许诺可以彻底维护用户的数据。实际上，云核算职业还处在起步期间，就好像电子商务刚起步时相同。咱们都期望看到有一天云核算在安全性以及普及率上能像电子商务相同有一个革命性的进化。当前许多公司愈加重视私有云，而不是公共云。这是由于供货商本人也不能断定能否彻底维护客户的数据，就使用私有云来避开许诺维护客户数据的潜在法律问题。

DDos进犯技能不断扩大，防火墙产物的研制也不会就此停滞不前的，咱们期盼，咱们的网络越来越安全。本文原文地址：http://www.mgddos.com/wendang/55.html，转载请注明出处，同时欢迎大家访问博客并提出意见和建议。