對于防火墻相信大家都很熟悉了，但是很多人都想知道防火墻可以防御DDoS攻擊嗎？防火墻通過監視和跟蹤允許的網絡流量、數據包來提供周邊訪問控制。防火墻只是防御策略的一部分而不是一個完整的解決方案。

　　防火墻可以防御DDoS攻擊嗎?

　　在很多方面，防火墻扮演著網絡“交通警察”的角色。它允許好的、正常的數據包，不受阻礙地訪問服務器，同時阻止壞的、異常的數據包訪問服務器的網絡。防火墻可以有助于檢測進入的惡意流量，但是在對于已進入的惡意流量，在防御上沒有太大的能力。

　　很多租用服務器的企業用戶，單單依靠防火墻來緩解DDos攻擊.但僅依靠硬件防火墻抵御DDos攻擊，防御能力一般在30Gbps以內，并且服務價格昂貴。這些使用傳統防火墻抵御DDos攻擊的企業用戶認為，防火墻可以更新，這樣可以有效地防止DDos攻擊。然而事實并非如此，防火墻一般依照系統管理員預先定義好的規則，來控制數據包的進出，它是一臺專屬的硬件或是架設在一般硬件上的一套軟件。大多數防火墻，并沒有對DDos攻擊進行針對性的改進和設計，也因此難以承受和抵御大規模的、多種類型的DDos攻擊。

　　防火墻和其他本地硬件，所享有的帶寬是非常有限的，其中包括企業租用的帶寬規模。當DDos攻擊的規模超過“20—30G”時，該帶寬會迅速變得不堪重負，進而出現防御崩潰。防火墻定義的規則管理，有時候會被偽裝成合法正常流量的“惡意流量”所愚弄，就像“SYN Flood”(一種DDos攻擊類型)一樣。提供深度數據包、流量檢測，可針對性地調整流量清洗規則，為對抗各種類型的DDos攻擊提供具體對策的解決方案，比防火墻使用規則管理的靜態操作更加行之有效。

　　服務器如何防御ddos

　　1、全面綜合地設計網絡的安全體系，注意所使用的安全產品和網絡設備。

　　2、提高網絡管理人員的素質，關注安全信息，遵從有關安全措施，及時地升級系統，加強系統抗擊攻擊的能力。

　　3、在系統中加裝防火墻系統，利用防火墻系統對所有出入的數據包進行過濾，檢查邊界安全規則，確保輸出的包受到正確限制。

　　4、優化路由及網絡結構。對路由器進行合理設置，降低攻擊的可能性。

　　5、優化對外提供服務的主機，對所有在網上提供公開服務的主機都加以限制。

　　6、安裝入侵檢測工具（如 NIPC、NGREP），經常掃描檢查系統，解決系統的漏洞，對系統文件和應用程序進行加密，并定期檢查這些文件的變化。

　　防火墻是可以防御一部分的ddos攻擊但不是完全依靠防火墻，想要更加全面有效地防御DDos攻擊，就絕不能僅僅依靠防火墻來解決，還需要結合其他技術和設備進行防御。所以說防火墻雖然是作用強大，但是對于防御ddos攻擊效果并不是最明顯的。