既然都說了DDoS攻擊,那就來說可以防禦攻擊的網路設備。
在說網路設備的時候,從最常見也最常使用的防火牆(Firewall)說起:
防火牆:基於設定的安全策略(Security Policy),過濾、監控與控制進出網路的封包流量,防止未授權的存取與惡意攻擊。
也就是說可以做到:流量過濾、狀態檢測。
可以想像成是你家裡是住在社區裡面,社區的大門會有警衛,警衛會根據政策略來決定訪客,甚至是住戶往來。
防火牆的類型分為在網路層和傳輸層或是應用層,網路層和傳輸層就是常見的一般(傳統)防火牆,根據IP、Port、Protocl規則運行,甚至是判斷連線狀態。
至於應用層防火牆(Web Application Firewall),簡稱WAF,可以抵禦應用層的網路攻擊(像是SQL Injection、XSS等),可以檢查資料內容。
最後是次世代防火牆(Next-Generation Firewall),簡稱NGFW,聽名子就覺得很厲害? 它是融合了很多功能的防火牆,如:傳統防火牆、IPS(入侵防禦系統)、應用識別(Application Awareness)、惡意軟體檢測、入侵指標IOC等。
我們知道防火牆是用來隔離內外網(最基本),因此還可以再用來隔離DMZ區、外網、內網(可用來對外的Web、Mail等服務),還有分層,讓每個節點都區分開建立縱深防禦(Defense-in-Depth)。