用防火墻可以防御DDoS嗎？

相信不少站長或多或少都經歷過DDoS攻擊（DDoS攻擊是通過大量合法的請求占用大量網絡資源，以達到癱瘓網絡的目的），一旦你的網站被人DDoS攻擊后，網站就會無法被訪問了，嚴重時服務器都能卡死。

如果網站遇到DDoS攻擊時，該如何解決呢？相信大家都知道，要靠防火墻（防火墻是位于內網和外網之間的屏障隔離技術）來處理一部分攻擊流量。 這是不是就說明防火墻可以防御DDoS呢？其實沒有這么簡單。

首先我要說的是，不是有所防火墻都可以有效抵御DDoS攻擊。DDoS攻擊和其它攻擊不同，它本身也算是一種合法的網絡請求！

防火墻種類很多，主要有：軟件防火墻（軟防）、硬件防火墻。這兩類防火墻在對待DDoS時的表現也不同。

1、軟件防火墻（軟防）

我們一般用戶都接觸過軟件防火墻，像Windows上的“防火墻”、Linux上的“iptables”等。它們以軟件的形式時刻檢查系統上的所有數據包，然后決定放行哪些數據包或者攔截哪些數據包。

軟防在應對小流量DDoS時，可以搞得住。但一旦遇到大流量的DDoS，軟防是抗不住的，可以把系統資源消耗盡，服務器直接卡死。

從成本上說，軟防成本很低。

2、硬件防火墻（硬防）

和防軟不同，硬防是把防火墻程序做到硬件芯片中，由單獨的硬件執行防護功能，減少了CPU的負擔，性能上比軟防高出很多，當然了，成本也比軟防高得多。

綜上，不管是軟防還是硬防，其原理上都差不多；但是軟防是基于系統的，硬防是基于硬件的。在面對稍大的DDoS時，軟防基本上是無能為力的，而硬防也不是能抗得住所有的DDoS，不同配置的硬防能承受的DDoS流量不同。假設硬防只能抗住1G的流量，而你的網站受到了2G的DDoS流量，硬防也是白搭！

最后，結合我近10年的從業經驗，將一些經驗分享給大家，盡可能減少網站被DDoS的可能，主要措施有：

禁用服務器的ICMP響應，這樣別人無法通過Ping來判斷你的服務器IP是否存活；

網站啟用CDN來隱藏后端服務器的真實IP，CDN本身也帶有一定的抗洪能力；

一旦受到DDoS時，將域名解析至 127.0.0.1 ，你懂的 ~

我是科技領域創作者，十年互聯網從業經驗，歡迎關注我了解更多科技知識！如果大家有不同看法，歡迎在下方評論區發表自己的觀點 ~