抵抗DDoS 防火墙更新换代

    【IT168 专稿】面对DDoS的强势攻击，历数现有的很多先进的防火墙产品概念，往往会不由自主地思考，为了抵抗DDoS简单粗暴的进攻，哪种模式更具竞争力，更先进的防火墙模式应该是怎样的，或许防火墙是应该再变变了。

    与那些优雅而精密的攻击手段相比，DDoS显得十分“粗线条”，甚至非常的不具有技术含量。然而，利用控制大面积的僵尸主机，现今的攻击者可以发起非常大规模的攻击，足以造成一些大规模网络设施的瘫痪。

    DDoS成与无解的难题

    2008年度大规模爆发的Conficker蠕虫所造成的影响至今仍历历在目，尽管该蠕虫利用的系统漏洞很快就被发现同时也发布了修补程序，但是在随后的一个季度里，Conficker和它的变种程序仍旧控制了超过150个国家的上千万台计算机。

    与传统的、单纯的DDoS攻击不同，追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机。他们依赖出售所控制的计算机资源给最终发起攻击的人来谋取利益，或者对所控制的计算机施行网络钓鱼等欺诈性操作从而获得有经济价值的情报。

    事实上，当全球的公司和组织仍旧将信息安全防护的中心指向互联网的时候，其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。

    DDoS作为一种典型的互联网攻击手段，其名字当中所包含的“分布式”字样已经明确地表明了自己的本质所在。而其背后的僵尸网络体系，更是汇集了互联网安全领域的诸多问题。

    事实上，当下流行的绝大多数安全问题，都表现出综合多种攻击方式、结合社交工程手段、有目的分阶段地展开动作等特征。互联网时代的安全问题，正在呈现出高度分布化的特征，传统的安全防护手段显得捉襟见肘也就不足为怪了。

    与分布式攻击对应的，用户的防范措施不能停留在诸如网关防护这样的单点防御层面上，而也应该具有相适应的体系。各种不同防护措施的联动已经不能够完全满足需要，能够跨越组织边界的、彻底面向互联网的安全防护体系，才能够真正保障用户的信息安全性。