給伺服器加了防火牆只能防住小流量，真正的大流量洪水DDOS來襲，防火牆會馬上耗盡系統資源，什麼防火牆都頂不住的，而且大部分DDOS都是模擬真實使用者資料，防火牆都不一定檢測的到，所以想要保障網路安全，還是接入高防更靠譜，像墨者/安全高防可以抗1000G以上流量，國內DDOS一般最多幾十到幾百G左右吧

當我們發現網站伺服器被攻擊的時候不要過度驚慌失措，先檢視一下伺服器是不是被黑了，找出網站存在的黑鏈，然後做好網站的安全防禦，開啟IP禁PING，可以防止被掃描，關閉不需要的埠。這些是隻能防簡單的攻擊，對於大流量DDOS攻擊，必須要有足夠的頻寬和防火牆配合起來才能防禦，你的防禦能力大於攻擊者的攻擊流量那就防住了。不過單獨硬防的成本挺高的，企業如果對成本控制有要求的話可以選擇墨者.安全的叢集防護，防禦能力是很不錯的，成本也比阿里雲網易雲這些大牌低。

相信不少站長或多或少都經歷過DDoS攻擊（DDoS攻擊是透過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的），一旦你的網站被人DDoS攻擊後，網站就會無法被訪問了，嚴重時伺服器都能卡死。

如果網站遇到DDoS攻擊時，該如何解決呢？相信大家都知道，要靠防火牆（防火牆是位於內網和網路之間的屏障隔離技術）來處理一部分攻擊流量。 這是不是就說明防火牆可以防禦DDoS呢？其實沒有這麼簡單。

首先我要說的是，不是有所防火牆都可以有效抵禦DDoS攻擊。DDoS攻擊和其它攻擊不同，它本身也算是一種合法的網路請求！

防火牆種類很多，主要有：軟體防火牆（軟防）、硬體防火牆。這兩類防火牆在對待DDoS時的表現也不同。

1、軟體防火牆（軟防）

我們一般使用者都接觸過軟體防火牆，像Windows上的“防火牆”、Linux上的“iptables”等。它們以軟體的形式時刻檢查系統上的所有資料包，然後決定放行哪些資料包或者攔截哪些資料包。

軟防在應對小流量DDoS時，可以搞得住。但一旦遇到大流量的DDoS，軟防是抗不住的，可以把系統資源消耗盡，伺服器直接卡死。

從成本上說，軟防成本很低。

2、硬體防火牆（硬防）

和防軟不同，硬防是把防火牆程式做到硬體晶片中，由單獨的硬體執行防護功能，減少了CPU的負擔，效能上比軟防高出很多，當然了，成本也比軟防高得多。

綜上，不管是軟防還是硬防，其原理上都差不多；但是軟防是基於系統的，硬防是基於硬體的。在面對稍大的DDoS時，軟防基本上是無能為力的，而硬防也不是能抗得住所有的DDoS，不同配置的硬防能承受的DDoS流量不同。假設硬防只能抗住1G的流量，而你的網站受到了2G的DDoS流量，硬防也是白搭！

最後，結合我近10年的從業經驗，將一些經驗分享給大家，儘可能減少網站被DDoS的可能，主要措施有：

禁用伺服器的ICMP響應，這樣別人無法透過Ping來判斷你的伺服器IP是否存活；

網站啟用CDN來隱藏後端伺服器的真實IP，CDN本身也帶有一定的抗洪能力；

一旦受到DDoS時，將域名解析至 127.0.0.1 ，你懂的 ~