既然都說了DDoS攻擊，那就來說可以防禦攻擊的網路設備。

在說網路設備的時候，從最常見也最常使用的防火牆(Firewall)說起：
防火牆：基於設定的安全策略（Security Policy），過濾、監控與控制進出網路的封包流量，防止未授權的存取與惡意攻擊。
也就是說可以做到：流量過濾、狀態檢測。
可以想像成是你家裡是住在社區裡面，社區的大門會有警衛，警衛會根據政策略來決定訪客，甚至是住戶往來。
防火牆的類型分為在網路層和傳輸層或是應用層，網路層和傳輸層就是常見的一般(傳統)防火牆，根據IP、Port、Protocl規則運行，甚至是判斷連線狀態。
至於應用層防火牆(Web Application Firewall)，簡稱WAF，可以抵禦應用層的網路攻擊(像是SQL Injection、XSS等)，可以檢查資料內容。
最後是次世代防火牆(Next-Generation Firewall)，簡稱NGFW，聽名子就覺得很厲害? 它是融合了很多功能的防火牆，如：傳統防火牆、IPS(入侵防禦系統)、應用識別(Application Awareness)、惡意軟體檢測、入侵指標IOC等。

我們知道防火牆是用來隔離內外網(最基本)，因此還可以再用來隔離DMZ區、外網、內網(可用來對外的Web、Mail等服務)，還有分層，讓每個節點都區分開建立縱深防禦（Defense-in-Depth）。