为什么不能仅依靠防火墙防御DDos攻击?

　　很多租用服务器的企业用户，单单依靠防火墙来缓解DDos攻击.

　　仅依靠硬件防火墙抵御DDos攻击，防御能力一般在30 Gbps以内，并且服务价格昂贵。

　　这些使用传统防火墙抵御DDos攻击的企业用户认为，防火墙可以更新，这样可以有效地防止DDos攻击。
 

　　然而事实并非如此，防火墙一般依照系统管理员预先定义好的规则，来控制数据包的进出，它是一台专属的硬件或是架设在一般硬件上的一套软件。

　　大多数防火墙，并没有对DDos攻击进行针对性的改进和设计，也因此难以承受和抵御“大规模的、多种类型的DDos攻击”。

　　防火墙通过监视和跟踪允许的网络流量、数据包，来提供周边访问控制。在很多方面，防火墙扮演着网络“交通警察”的角色。

　　它允许好的、正常的数据包，不受阻碍地访问服务器，同时阻止坏的、异常的数据包访问服务器的网络。防火墙可以有助于检测进入的恶意流量，但是在对于已进入的恶意流量，在防御上没有太大的能力。
 

　　1.防火墙受制于带宽，容易被攻破

　　防火墙和其他本地硬件，所享有的带宽是非常有限的，其中包括企业租用的带宽规模。

　　当DDos攻击的规模超过“20—30G”时，该带宽会迅速变得不堪重负，进而出现防御崩溃。
 

　　2.防火墙规则管理

　　防火墙定义的规则管理，有时候会被伪装成合法正常流量的“恶意流量”所愚弄，就像一种DDos攻击类型一样。

　　提供深度数据包、流量检测，可针对性地调整流量清洗规则，为对抗各种类型的DDos攻击提供具体对策的解决方案，比防火墙使用规则管理的静态操作，更加行之有效。

　　防火墙是防御策略的一部分，但并不是一个完整的解决方案。想要更加全面有效地防御DDos攻击，就绝不能仅仅依靠防火墙来解决，还需要结合其他技术和设备进行防御。