应用防火墙能否击败DDoS攻击

防火墙VSDDoS攻击

据有关人士表示，超过80%的网络攻击是针对网络应用程序的，而传统的防护措施，诸如服务器周边的防火墙设备所能起到的防护作用很小。这就是为什么DDOS类的攻击总能成功击溃网站或支付系统的原因。由于DDOS攻击所采用的访问请求很难与正常访问请求区别开，因此传统的防御系统，比如入侵预防系统或入侵检测系统很难阻挡住DDOS的攻击。

一般来说，在应用防火墙允许请求进入系统前，会通过发送并响应cookie来判断该用户是否真实，以及该访问请求是否有效。而在最近很多DDOS攻击实例中，比如针对Paypal，MasterCard以及Visa网站所进行的攻击，都是通过僵尸网络中的肉鸡电脑发送的，而这些电脑并不能响应应用防火墙发送的查询请求。

据报道，这一系列网络攻击被称作“Operation Payback”，其目的是声援被羁押的维基解密创始人Julian Assange。而维基解密网站也由于美国和欧洲ISP，网络托管商以及支付供应商的退出而关闭。

作为对Wikileaks和Assange所受遭遇的报复，支持者们动用了超过3000台志愿电脑以及超过3万台肉鸡电脑对PayPal,_masterCard和Visa网站发动了DDOS攻击。

没有傻瓜式的解决方案

除了建立应用防火墙，企业能考虑的其它类型的防护手段包括利用ISP过滤非法网络请求后提供给企业接入的“清洁管道”以及采用更高级别的安全协议等。另外，企业还可以对网络协议进行修改，确保所有需要连接到服务器的请求都是预先核准的。

但是，随着技术的不断进步，黑客和网络罪犯们也在尝试各种方法来破坏系统，移动设备接入量的不断增加，加剧了安全人员进行系统防护的难度。 Yordanov认为，员工的分散程度越大，企业网络收到攻击的风险也就越大，因为很多网络罪犯正是利用了这种分散办公模式中存在的安全漏洞。

没有什么傻瓜式的解决方案能够百分百的安全，而能够想到的傻瓜式解决方案就只有关闭系统电源了。

他说：“与其看着系统被攻击，更好的办法就是彻底关闭系统。在以前，如果网管能够追踪IP地址，找出DDOS攻击的发源地，他们就可以将发源地的IP地址段列入黑名单，但这仅限于静态IP地址。而现在，越来越多的攻击采用变化频繁的地址，使得这种黑名单的方式也失效了。”

而另一种不必关闭系统的方法，就是派人不断地监控网络流量，但是这需要大量的网络技术人员，并不适合中小企业。

云安全的前途

对于云计算安全性的看法时，对于目前的云计算安全性很多人都表示出了悲观态度，但是同时，假以时日云计算的安全性将会得到改善。曾经有六个云计算供应商提供的SLA(服务等级协议)，但是没有一个供应商在协议中承诺能够完全保护用户的数据。实际上，云计算行业还处在起步阶段，就好像电子商务刚起步时一样。我们都希望看到有一天云计算在安全性以及普及率上能像电子商务一样有一个革命性的进化。目前很多企业更加关注私有云，而不是公共云。这是因为供应商自己也不能确定能否完全保护客户的数据，就利用私有云来避开承诺保护客户数据的潜在法律问题。

DDos攻击技术不断扩展，防火墙产品的研发也不会就此停滞不前的，我们期盼，我们的网络越来越安全
 

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友