盡管越來越多的企業(yè)已經(jīng)意識到�����,在進行網(wǎng)絡安全規(guī)劃的時候�,針對DDoS攻擊威脅的防范措施應該優(yōu)先考慮,但是依然有很多人錯誤地認為防火墻和入侵防御系統(tǒng)(IPS)等傳統(tǒng)安全工具可以完全應對DDoS攻擊����。Radware專家告誡這部分企業(yè)萬萬不能掉以輕心,完全依靠防火墻和IPS來防范愈演愈烈的DDoS攻擊。
在過去的2012年,發(fā)生了很多起DoS和DDoS攻擊事件���,Radware緊急響應團隊(ERT)于2013年年初發(fā)布的一份年度安全報告詳細描述了這些攻擊事件����,并且在報告中指出�,在33%的DoS和DDoS攻擊事件中,防火墻和IPS設備變成了主要的瓶頸設備�����。
為何防火墻與IPS不能有效應對DDoS攻擊�����?
答案很簡單���,防火墻與IPS最初并不是為了應對DDoS攻擊而設計的�����。防火墻和IPS的設計目的是檢測并阻止單一實體在某個時間發(fā)起的入侵行為���,而非為了探測那些被百萬次發(fā)送的貌似合法數(shù)據(jù)包的組合行為�。為了更好說明這一觀點�����,接下來的說明可以解釋防火墻和IPS在有效阻止DDoS攻擊時的種種缺陷�。
防火墻和IPS是狀態(tài)監(jiān)測設備
作為狀態(tài)監(jiān)測設備,防火墻和IPS可以跟蹤檢查所有連接����,并將其存儲在連接表里��。每個數(shù)據(jù)包都與連接表相匹配��,以確認該數(shù)據(jù)包是通過已經(jīng)建立的合法連接進行傳輸?shù)摹?/p>
一個典型的連接表可以存儲成千上萬個活動連接���,足以滿足正常的網(wǎng)絡訪問活動��。但是��,DDoS攻擊每秒可能會發(fā)送數(shù)千個數(shù)據(jù)包���。作為企業(yè)網(wǎng)絡中處理流量的窗口設備�,防火墻或IPS將會在連接表中為每一個惡意數(shù)據(jù)包創(chuàng)建一個新連接表項��,這會導致連接表空間被快速耗盡��。一旦連接表達到其最大容量����,就不再允許打開新的連接,最終會阻止合法用戶建立連接�。
專用的DDoS攻擊緩解設備使用的是一種無狀態(tài)保護機制,它可以處理數(shù)百萬個連接嘗試��,無需連接表項的介入�����,也不會導致其它系統(tǒng)資源的耗盡���。
防火墻和IPS不能區(qū)分惡意用戶和合法用戶
諸如HTTP洪水等諸多DDoS攻擊是由數(shù)百萬個合法會話構成的���。每個會話本身都是合法的��,防火墻和IPS無法將其標記為威脅����。這主要是因為防火墻和IPS不具有對數(shù)百萬并發(fā)會話的行為進行全面觀察與分析的能力��,只能對單個會話進行檢測����,這就削弱了防火墻或IPS對由數(shù)百萬個合法請求構成的攻擊的識別能力。
防火墻和IPS在網(wǎng)絡中的部署位置不合適
防止DDoS攻擊的設備必須位于網(wǎng)絡安全防范的最前線�,但是防火墻和IPS部署在靠近被保護服務器的位置,并不是作為第一道防線使用��,這將導致DDoS攻擊成功入侵數(shù)據(jù)中心���。專用DDoS攻擊緩解設備通常部署在接入路由之前,這樣可以保證盡早檢測到攻擊��。
毫無疑問���,日益泛濫的DoS及DDoS攻擊以及攻擊趨勢的復雜化已經(jīng)從根本上改變了當前的安全環(huán)境�。企業(yè)急需適時調(diào)整自己的安全架構以有效應對不斷增多的DoS攻擊,同時所部署的安全工具也必須不斷升級更新與時俱進��。盡管防火墻和IPS在保護網(wǎng)絡安全方面仍然發(fā)揮著重要的作用����,但是當前復雜的攻擊威脅亟需一個全面的網(wǎng)絡安全解決方案,在保護網(wǎng)絡層和應用層的同時����,能夠有效地區(qū)分合法流量與非法流量,以保證企業(yè)網(wǎng)絡和業(yè)務的正常運行�。
