組織通常傾向于嚴重且完全依賴防火墻、負載平衡器和 VPN 等，以防止 DDoS 攻擊、保護其任務關鍵型資產并保護其 IT 基礎設施。但是攻擊變得更加致命和嚴重；攻擊者已經對其攻擊方法進行了現代化改造，并利用一流的技術來協調分布式拒絕服務攻擊。眾所周知，防火墻存在漏洞，尤其是那些由實施失敗引起的漏洞，這使得它們無法有效地保護應用程序并使它們成為威脅參與者的 DDoS 目標。

那么，使防火墻容易受到DDoS 攻擊的這些實施缺陷是什么？組織可以做些什么來加強他們的安全態勢并有效地防止這些攻擊？請仔細閱讀，找出答案。

什么是防火墻？

防火墻是一種基于硬件或軟件的系統，可保護專用網絡的資產免受來自外部網絡的用戶未經授權的訪問。它們被放置在網絡網關或外圍，檢查所有傳入和傳出的數據包，并過濾掉那些不符合安全策略的數據包。它們缺乏靈活性、可擴展性、敏捷性和透明度。它們只能保護局域網免受未經授權的訪問，并且對高級威脅無效。

另一方面，下一代WAF位于用戶和 Web 應用程序之間，用于審查、監控和過濾對服務器的所有請求。這在云計算和物聯網時代特別有用，因為網絡沒有固定、嚴格的邊界。WAF 分析所有 HTTP 通信以決定是否允許、阻止、標記或挑戰每個請求。惡意請求在到達服務器之前被過濾掉，并且應用程序保持受保護和可用。

下一代 WAF 還利用最新技術，包括自學習 AI 系統和分析，并為方程式注入更高的準確性、靈活性、敏捷性和透明度。因此，WAF 能夠更好地阻止零日威脅、應用層 DDoS 攻擊和各種現代高級威脅。

糟糕的防火墻實施如何為 DDoS 鋪平道路？

1. 防火墻中TCP實現的弱點

攻擊者利用防火墻中 TCP 協議的不良實施來協調反射放大 DDoS 攻擊。傳統上，放大攻擊使用 UDP 協議的無連接特性來用大量欺騙性請求/數據包淹沒目標服務器（通常是打開的、配置錯誤的服務器），從而使服務器無法訪問。他們使用 UDP 協議主要是因為 TCP 協議在基于 IP 的網絡上建立 TCP/IP 連接所需的三次握手所帶來的挑戰和復雜性。

然而，許多防火墻并不總是符合這些 TCP 標準，并且容易出現糟糕的實現，從而為反射放大攻擊鋪平了道路。一種糟糕的 TCP 實現是建立會話的方式。通常，目的主機向 TCP 主機發送一個 SYN 請求，TCP 主機以 SYN/ACK 響應并等待來自客戶端的 ACK 響應。威脅參與者用會話請求淹沒 TCP 主機，但不返回 ACK 響應。這會導致所謂的SYN 洪水。隨著大量不完整的會話打開，主機的緩沖區被填滿，它無法接受來自合法用戶的新會話請求，從而導致拒絕服務。

2. 僅使用狀態檢查

傳統防火墻使用狀態數據包檢查來檢查網絡流量，了解傳入流量的風險，并決定是否允許資源請求。雖然檢查數據包中的所有內容并識別風險，但有狀態解決方案不會根據預定義的規則查看其他重要參數，例如源、目標等。

因此，即使沒有有效的 TCP 握手，惡意行為者也可以欺騙防火墻響應欺騙性審查請求并返回大塊頁面。它們也無法提供對 DDoS 流量的完全可見性，并且無法與其他基于云的解決方案進行良好的集成和通信以阻止攻擊。

3. 所有流量都通過防火墻路由

如果所有流量都通過它，防火墻本身可能會被協議和容量攻擊耗盡。大多數現代DDoS 服務通過內容交付網絡 (CDN) 支持防火墻。鑒于其全球邊緣服務器網絡，CDN 能夠無縫地處理迅猛的流量激增，而無需處理大量請求使源服務器或防火墻不堪重負。只有對未緩存內容的請求才會通過防火墻路由到源服務器。

4. 控件激活不當

當組織未激活安全控制或操作不當時，它們往往會侵蝕防火墻安全性并使應用程序容易受到 DDoS 攻擊。例如，不打開安全解決方案中的反欺騙控制將使應用程序面臨各種威脅，包括 DDoS、惡意軟件等。

其他防火墻實施失敗

• 缺少/不正確的防火墻策略
• 過時的防火墻軟件
• 使用與技術堆棧不兼容的防火墻安全解決方案
• 防火墻上可用的不必要的端口、功能和服務

結論

為確保您的應用程序始終可用，您必須選擇像AppTrana這樣的下一代托管 WAF 解決方案，該解決方案易于部署并針對 DDoS 和大量威脅提供強大的安全性。