最新消息:阿里云双12优惠,史上最低折扣。

免费防火墙并不能防御DDoS,给您揭秘免费防火墙与IPS背后的套路!

服务器租用 aliyun 258浏览

企业适合用香港虚拟主机或者香港空间吗?

首先虚拟空间和虚拟主机是有区别,虚拟空间是一个比较大的概念。既可以指虚拟的云服务器,同时也可以指虚拟主机,云服务器和虚拟主机的区别就大了。

今天由云的安全专家为大家揭秘网络安全方面一直难以解决的问题,就是DDoS分布式拒绝攻击服务,下面有云安全专家为大家打破几个误区:

误区1:IPS可以防止分布式拒绝服务(DDoS)攻击

误区2:防火墙或下一代防火墙可以成为抵御DDoS的第一道防线

您是否认为遭受DDoS攻击的大多数金融机构,游戏公司和大型企业没有防火墙(和IPS)吗?让我在所有这些方面提出一个技术角度来揭开神话的神秘面纱。

在我们讨论防范DDoS的解决方案之前,让我们首先了解那里的DDoS攻击类型。以下是DDoS攻击的前三种类型:

容量泛滥(TCP SYN,UDP和HTTP泛洪)

反射攻击(NTP,DNS,SSDP / UPnP,Chargen,SNMP);

资源耗尽(碎片和格式错误的流量,低速和慢速请求)

让我们考虑攻击者如何确保这些攻击成功到达目标 – 面向服务器和服务的互联网。攻击者首先定位防火墙上最常打开的端口:80,53,25和443,仅举几例。攻击者最常利用网络对受害者的应用程序的薄弱处进行毁灭性的攻击。

现在,让我们看一下防火墙和入侵防御系统(IPS)提供的保护机制。

防火墙是一种有状态设备,其设计和配置可阻止不需要的端口。但是,端口80,53,25和443始终处于打开状态,因为它们是所需服务交付流量的入口点。上面提到的DDoS攻击发生在这些开放端口上,因此对防火墙是透明的。此外,容量泛洪攻击通过使用大量不需要的流量填充状态表来利用防火墙的状态特性,因此它几乎没有时间传递合法流量。你想要这种类型的瓶颈防御手段作为你的“第一道防线”吗?

IPS在网络中更深层次部署,通常位于防火墙后面。它旨在防止诸如服务器漏洞利用,代码注入,跨站点脚本尝试等入侵,从而执行深度数据包检查(DPI)以防止这些入侵,因为它们主要发生在应用程序层。现在,如果IPS必须处理除所有其他流量之外的DDoS流量,IPS设备将无法跟上在高吞吐量水平下检查所有流量,从而导致瓶颈。更重要的是,IPS的运营理念是只允许已知良好的流量。在重负载下,这通常会导致误报。

大多数IPS功能现在都被合并到下一代防火墙中。并且没有一个NGFW / NGIPS供应商解决DDoS问题,表明需要一个单独的专用解决方案来防止DDoS攻击。 在线和网络边缘部署的DDoS缓解系统是对DDoS最有效的保护。DDoS缓解系统必须检查控制流量(网络和应用程序头),而不是DPI,确定是否存在DDoS攻击,并以数十Gbps的线路速率即时缓解攻击。此外,DDoS缓解系统必须以“不伤害”的理念运行,即只丢弃已知的不良流量。主要目的是确保良好的流量始终通过,同时确保最小化DDoS攻击的影响。

作为安全专业人员,我们需要确保提供DDoS保护能力的产品,比如云的高防IP,而不是神话免费防火墙和IPS设备激增并给人一种虚假的安全感。

想了解更多云相关抵御DDoS的知识请阅读《被DDOS攻击时候如何组织防御?》

转载请注明:小猪云服务器租用推荐 » 免费防火墙并不能防御DDoS,给您揭秘免费防火墙与IPS背后的套路!