新睿云带您深度分析，企业防火墙为何无法有效抵御DDoS的三大根本原因！

作者/来源：新睿云小编发布时间：2019-08-23

对于DDoS攻击并不是什么样的防御都能挡住的，目前来说遇到DDoS攻击使用新睿云的高防IP或者高防服务器是最有效的办法！其余WEB防火墙，亦或是内容交付网络（CDN）还是最传统意义上的防火墙，都不能有效抵御DDoS攻击。因为这些防护每一个都有其自身的目的性，不是他们不够优秀，而他们不是为了抵抗DDoS而生的。下面新睿云小编给您详尽的分析一下，为什么防火墙不能有效的阻挡其攻击！

如果想学习一些简单的防御手段请阅读《DDoS攻击不用怕，新睿云高防IP与高防云服务器帮您解决一切》

DDoS

防火墙为何不能有效的阻挡DDoS攻击？

在早些年很多人们和企业还对防火墙防御DDoS抱有一丝幻想，有的安全公司也生成他们的防火墙可以提供专门对DDoS防御的引擎安装包！不过这项技术需要收费，而且收费还不少呢！其实现在也有人明白了，当初这就是安全公司赚钱的宣传罢了！因为防火墙本身出现就不是为了抵御DDoS攻击的。

我们我们把防火墙具现化，可能就是明白这个原理了。在社会这个大型“网络”中，防火墙扮演的是交警的角色，一般来说它只协调道路上的汽车（数据包）按照规则新进罢了！免得大家一起抢路把道路堵死了，具体哪些车中做着罪犯，交警也不知道。只有哪些车辆超重、超载等特别明显的违规行为，交警才会拦截。伪装成正常车辆的车（请求）交警也不知道里面是不是有罪犯呀！

防火墙可以帮助检测传入的DDoS攻击，但防御攻击并没有太大作用。以下是三个原因：

1. 防火墙可以容易被数据流量包淹没

防火墙：和其他本地硬件，具有有限的带宽，其中包括进入企业的电路的大小。许多组织的互联网服务提供商（ISP）拥有1到5 Gbps的带宽，这听起来像是一个足够好的数字。但是，如果您认为DDoS攻击的平均大小为6.63Gbps，那么该带宽很快就会不堪重负并且攻击有增无减。

2.防火墙规则管理

防火墙规则管理是抵御DDoS攻击的一种危险方式，因为如果攻击最初看起来像是合法的网络流量（如SYN泛洪），防火墙可能会被欺骗。DDoS保护提供深度数据包检测，并具有对抗和阻止所有类型DDoS攻击的具体对策，与在防火墙中使用流量规则的静态操作非常不同。防火墙应该被视为防御策略的一个要素，而不是一个完整的解决方案。

3.并非所有需要防护的目标都位于防火墙之后

外围网络上的网站以及与第三方平台和DNS服务共享/提供的应用程序无法通过具有更新规则集的内部部署防火墙进行保护。如果对DNS的DDoS攻击成功，则不存在Web存在且没有应用程序可用性。毋庸置疑，这并不好。

DDoS防护