ddos硬件防火墙防火墙和IPS都有抗DDOS的功能，和专门的抗DDOS设备有什么区别呢？

租用的VPS遭到DDos攻击，需要硬件防火墙防御，但是服务器提供商说不关他们的事。这个问题怎么办？

理论上是需要服务器提供商去解决，主要看是不是正规的了，他们提供的是网络在线服务，现在不能让你享受正常的服务，是可以提出赔偿的，或是更换VPS的IP地址，或是换台别的机器上的VPS。

DDoS防火墙是怎么样来进行防御的呢

我们知道，对于分布式拒绝服务攻击来说，若他的方法很难真正的让它达到很好的防御性，而如果是使用DDoS防火墙的话，则不然了，它在使用的时候，能达到很高的防御性，那么它是怎么样来进行防御的呢？首先就是它在使用的时候，有着很好的地址分辨能力，这也是最为重要的。

这种类型的攻击，往往也都是大流量来达到攻击的效果，也正是因为这样，所以地址必然会有所变化，而DDoS防火墙则可以更好的分辨访问的IP地址，而对于一些异常的地址，则可以进行拒绝访问，这样自然也就能对于自己的服务器进行保护，当然，除了这方面的功能之外，另外还有一个方面，也就是它的自我清理功能。

其实也有很攻击除了自己有着很强大的流量造成的效果之外，另外还有一点，则是它利用了服务器在使用的时候所产生的漏洞，而能及时的对于自己的服务器进行清理或者漏洞修复，也是一个必然要达到的功能，而这种DDoS防火墙则是起到了这方面的作用，所以这也是防御攻击的一个原因，最后还有它的云空间支持功能。

看到这样网络攻击的话：若ddos流量很大的话，建议购买硬件防火墙，软硬件结合的防护来防御效果会更好些

让你安装硬件防火墙 1. 简单的来说就是软件防火墙是保护软件的，硬件防火墙是防护硬件的，所以都防护了不就是最完美的了，软件和硬件是相通的，软件是建立在硬件上的。

2. 流量大就是说持续太长的时间硬件（硬盘）会超负荷（可能会损坏） 3. 不过我告诉你不管什么防火墙是防不掉ddos，因为防火墙也会承受不住那么多的ddos流量，只能说硬件防火墙这方面要比软件防火墙要好点而已。

DDOS是什么？如何防御DDOS？ DDOS防火墙和CDN哪个好？

高防服务器 价格如下： 防护级别 费用 10G：12000元（独享防护） 15G：20000元（独享防护） 20G：30000元（独享防护） 25G：40000元（独享防护） 30G：70000元（独享防护） 35G：120000元（独享防护） 40G：180000元（独享防护） 防护级别指的是DDOS/SYN 防护，以上费用均按月计费。

IP段：122.228.207.X T-E-L：1-3-9-1-6-1-8-4-0-2-1 Q-Q:43545354 李-亮-

通用防火墙是怎么样防DDOS的，是依靠规则，策略，还是什么

DoS（Denial of Service拒绝服务）和DDoS（Distributed Denial of Service分布式拒绝服务）攻击是大型网站和网络服务器的安全威胁之一。

DoS（Denial of Service拒绝服务）和DDoS（Distributed Denial of Service分布式拒绝服务）攻击是大型网站和网络服务器的安全威胁之一。

2000年2月，Yahoo、亚马逊、CNN被攻击等事例，曾被刻在重大安全事件的历史中。

SYN Flood由于其攻击效果好，已经成为目前最流行的DoS和DDoS攻击手段。

?? SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。

一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。

在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

??防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。

针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。

??SYN网关 防火墙收到客户端的SYN包时，直接转发给服务器；防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。

当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。

由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

??被动式SYN网关 设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。

防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。

这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。

由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。

??SYN中继防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。

这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。

防火墙和IPS都有抗DDOS的功能，和专门的抗DDOS设备有什么区别呢？

这个问题我也不太懂，之前我也有去了解下，百度里面是这么回答的，希望对你有所帮助。

现在大多数防火墙，IPS产品都附带了抗DDOS攻击的功能，但是，由于它们本身对数据的处理机制，造成自己不能够准确的检测出DDOS攻击数据包和正常数据包，因此，它们对DDOS攻击的处理方式和专业的抗DDOS攻击设备还是有很大不同的。

它们的处理方式主要有两种。

（1）设置阀值，控制访问数据速率。

由于防火墙，IPS会放在网络出口处，而WEB防火墙会放在网站服务器的前面，它们会根据自己网络的性能和服务器性能，设定一个处理数据的阀值，比如说我的服务器每秒中只能处理1000个人访问，那么我的防火墙，IPS，WEB防火墙就会设定1000个数据包/秒，超过这个值的数据包会丢弃。

举个银行的例子，假设银行拥有八个柜台，一上午最多处理100人的业务，那么当前100个号都排满以后，银行肯定会拒绝服务，让其他人在其他时间再来了。

大家可以看到，这种方式，实际上已经影响到了其他正常用户的业务办理。

对于防火墙也一样，阀值的设置，在一定程度上会将正常用户的访问拒绝掉。

（2）随机丢弃数据包，即设定每接受几个数据包就丢弃其中一个。

列举邮箱事例，为了担心接收过多的垃圾邮件，于是在接收邮件时，设定每收两封邮件，就自动拒收一封邮件，这种方式很容易就令人想到，如果我拒收的当中有正常邮件呢？同样道理，如果采用随机丢包方式，也有一定几率将正常用户请求包丢掉，造成正常用户无法访问应用服务。

（3）对于特殊攻击的处理。

随着技术的发展，近几年的新的攻击类型层出不穷，攻击手段多种多样，攻击的的针对性也越来越强，应对特殊的攻击自然就需要有针对性的防护手段，国内专业的抗DDOS设备和解决方案提供商中新金盾，实现了可以针对于这些特殊攻击而随时制定防护策略，从而避免了传统设备在面临特殊类型攻击只能被动挨打的局面。

总体来说，正因为传统的安全设备没有能够验证攻击包 非攻击包的机制和面对特殊攻击的不足，因此，只能采用这两种方式，牺牲部分用户的权益，来保证整个网络和应用服务受到DDOS攻击的影响。

而金盾抗拒绝服务系统作为专业的设备，利用自主的算法能够准确判断DDOS攻击数据包，因此能够很有效防御此类攻击。