盡管越來越多的企業已經意識到，在進行網絡安全規劃的時候，針對DDoS攻擊威脅的防范措施應該優先考慮，但是依然有很多人錯誤地認為防火墻和入侵防御系統(IPS)等傳統安全工具可以完全應對DDoS攻擊。Radware專家告誡這部分企業萬萬不能掉以輕心,完全依靠防火墻和IPS來防范愈演愈烈的DDoS攻擊。

在過去的2012年,發生了很多起DoS和DDoS攻擊事件，Radware緊急響應團隊(ERT)于2013年年初發布的一份年度安全報告詳細描述了這些攻擊事件，并且在報告中指出，在33%的DoS和DDoS攻擊事件中，防火墻和IPS設備變成了主要的瓶頸設備。

為何防火墻與IPS不能有效應對DDoS攻擊？

答案很簡單，防火墻與IPS最初并不是為了應對DDoS攻擊而設計的。防火墻和IPS的設計目的是檢測并阻止單一實體在某個時間發起的入侵行為，而非為了探測那些被百萬次發送的貌似合法數據包的組合行為。為了更好說明這一觀點，接下來的說明可以解釋防火墻和IPS在有效阻止DDoS攻擊時的種種缺陷。

防火墻和IPS是狀態監測設備

作為狀態監測設備，防火墻和IPS可以跟蹤檢查所有連接，并將其存儲在連接表里。每個數據包都與連接表相匹配，以確認該數據包是通過已經建立的合法連接進行傳輸的。

一個典型的連接表可以存儲成千上萬個活動連接，足以滿足正常的網絡訪問活動。但是，DDoS攻擊每秒可能會發送數千個數據包。作為企業網絡中處理流量的窗口設備，防火墻或IPS將會在連接表中為每一個惡意數據包創建一個新連接表項，這會導致連接表空間被快速耗盡。一旦連接表達到其最大容量，就不再允許打開新的連接，最終會阻止合法用戶建立連接。

專用的DDoS攻擊緩解設備使用的是一種無狀態保護機制，它可以處理數百萬個連接嘗試，無需連接表項的介入，也不會導致其它系統資源的耗盡。

防火墻和IPS不能區分惡意用戶和合法用戶

諸如HTTP洪水等諸多DDoS攻擊是由數百萬個合法會話構成的。每個會話本身都是合法的，防火墻和IPS無法將其標記為威脅。這主要是因為防火墻和IPS不具有對數百萬并發會話的行為進行全面觀察與分析的能力，只能對單個會話進行檢測，這就削弱了防火墻或IPS對由數百萬個合法請求構成的攻擊的識別能力。

防火墻和IPS在網絡中的部署位置不合適

防止DDoS攻擊的設備必須位于網絡安全防范的最前線，但是防火墻和IPS部署在靠近被保護服務器的位置，并不是作為第一道防線使用，這將導致DDoS攻擊成功入侵數據中心。專用DDoS攻擊緩解設備通常部署在接入路由之前，這樣可以保證盡早檢測到攻擊。

毫無疑問，日益泛濫的DoS及DDoS攻擊以及攻擊趨勢的復雜化已經從根本上改變了當前的安全環境。企業急需適時調整自己的安全架構以有效應對不斷增多的DoS攻擊，同時所部署的安全工具也必須不斷升級更新與時俱進。盡管防火墻和IPS在保護網絡安全方面仍然發揮著重要的作用，但是當前復雜的攻擊威脅亟需一個全面的網絡安全解決方案，在保護網絡層和應用層的同時，能夠有效地區分合法流量與非法流量，以保證企業網絡和業務的正常運行。