虽然愈来愈多的企业已意想到，在进行收集安然打算的时辰，针对DDoS报复打击威胁的防备办法应当优先考虑，可是仍然有良多人弊端地觉得防火墙和进侵防御系统(IPS)等传统安然东西可以完全应对DDoS报复打击。Radware专家警告这部门企业千万不克不及掉落以轻心,完全依托防火墙和IPS来防备愈演愈烈的DDoS报复打击。

　　在过往的2012年,产生了良多起DoS和DDoS报复打击事务，Radware告急响应团队(ERT)于2013年年初发布的一份年度安然陈述具体描述了这些报复打击事务，并且在陈述中指出，在33%的DoS和DDoS报复打击事务中，防火墙和IPS设备变成了首要的瓶颈设备。

　　为何防火墙与IPS不克不及有效应对DDoS报复打击？

　　谜底很简单，防火墙与IPS最初其实不是为了应对DDoS报复打击而设计的。防火墙和IPS的设计目标是检测并禁止单一实体在某个时候倡议的进侵行动，而非为了探测那些被百万次发送的貌似合法数据包的组合行动。为了更好申明这一不雅点，接下来的申明可以诠释防火墙和IPS在有效禁止DDoS报复打击时的各种缺点。

　　防火墙和IPS是状况监测设备

　　作为状况监测设备，防火墙和IPS可以跟踪查抄所有连接，并将其存储在连接表里。每个数据包都与连接表相匹配，以确认该数据包是经由过程已成立的合法连接进行传输的。

　　一个典型的连接表可以存储不计其数个勾当连接，足以知足正常的收集拜候勾当。可是，DDoS报复打击每秒可能会发送数千个数据包。作为企业收集中措置流量的窗口设备，防火墙或IPS将会在连接表中为每个歹意数据包成立一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接表达到其最大年夜容量，就不再承诺打开新的连接，最终会禁止合法用户成立连接。

　　专用的DDoS报复打击减缓设备利用的是一种无状况呵护机制，它可以措置数百万个连接测验测验，无需连接表项的介入，也不会导致其它系统资本的耗尽。

　　防火墙和IPS不克不及辨别歹意用户和合法用户

　　诸如HTTP洪水等诸多DDoS报复打击是由数百万个合法会话构成的。每个会话本身都是合法的，防火墙和IPS没法将其标识表记标帜为威胁。这主如果因为防火墙和IPS不具有对数百万并发会话的行动进行周全不雅察与阐发的能力，只能对单个会话进行检测，这就减弱了防火墙或IPS对由数百万个合法要求构成的报复打击的辨认能力。

　　防火墙和IPS在收集中的摆设位置不合适

　　避免DDoS报复打击的设备必需位于收集安然防备的最火线，可是防火墙和IPS摆设在接近被呵护办事器的位置，其实不是作为第一道防地利用，这将导致DDoS报复打击成功进侵数据中间。专用DDoS报复打击减缓设备凡是摆设在接进路由之前，如许可以包管尽早检测到报复打击。

　　毫无疑问，日趋泛滥的DoS及DDoS报复打击和报复打击趋势的复杂化已从底子上改变了当前的安然环境。企业急需当令调剂本身的安然架构以有效应对不竭增多的DoS报复打击，同时所摆设的安然东西也必需不竭进级更新与时俱进。虽然防火墙和IPS在呵护收集安然方面仍然阐扬着首要的感化，可是当前复杂的报复打击威胁亟需一个周全的收集安然解决方案，在呵护收集层和利用层的同时，可以或许有效地辨别合法流量与不法流量，以包管企业收集和营业的正常运行。