DDoS攻击肆虐,你的防火墙和IPS够给力吗?

日期: 2013-06-18 来源:TechTarget中国

  尽管越来越多的企业已经意识到,在进行网络安全规划的时候,针对DDoS攻击威胁的防范措施应该优先考虑,但是依然有很多人错误地认为防火墙和入侵防御系统(IPS)等传统安全工具可以完全应对DDoS攻击。Radware专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。

  在过去的2012年,发生了很多起DoS和DDoS攻击事件,Radware紧急响应团队(ERT)于2013年年初发布的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的DoS和DDoS攻击事件中,防火墙和IPS设备变成了主要的瓶颈设备。

  为何防火墙与IPS不能有效应对DDoS攻击?

  答案很简单,防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为,而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点,接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

  防火墙和IPS是状态监测设备

  作为状态监测设备,防火墙和IPS可以跟踪检查所有连接,并将其存储在连接表里。每个数据包都与连接表相匹配,以确认该数据包是通过已经建立的合法连接进行传输的。

  一个典型的连接表可以存储成千上万个活动连接,足以满足正常的网络访问活动。但是,DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备,防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项,这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量,就不再允许打开新的连接,最终会阻止合法用户建立连接。

  专用的DDoS攻击缓解设备使用的是一种无状态保护机制,它可以处理数百万个连接尝试,无需连接表项的介入,也不会导致其它系统资源的耗尽。

  防火墙和IPS不能区分恶意用户和合法用户

  诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的,防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力,只能对单个会话进行检测,这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

  防火墙和IPS在网络中的部署位置不合适

  防止DDoS攻击的设备必须位于网络安全防范的最前线,但是防火墙和IPS部署在靠近被保护服务器的位置,并不是作为第一道防线使用,这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前,这样可以保证尽早检测到攻击。

  毫无疑问,日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击,同时所部署的安全工具也必须不断升级更新与时俱进。尽管防火墙和IPS在保护网络安全方面仍然发挥着重要的作用,但是当前复杂的攻击威胁亟需一个全面的网络安全解决方案,在保护网络层和应用层的同时,能够有效地区分合法流量与非法流量,以保证企业网络和业务的正常运行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐