方案助企業對抗拒絕服務攻擊 (DDoS)

無論甚麼時候，DDoS 攻擊都可以說是戰無不勝的。事關只要擁有大型的基建作支援，並針對性向單一目標發動 DDoS 攻擊，縱使透過某些方案能夠有效預防，但卻會因為攻擊的次數頻密及速度極高而癱瘓。現時常見的 DDoS 攻擊會使網絡通訊因超負荷運行而中斷或禁止網絡服務。黑客會通過發起過度流量或一些虛假請求來完全中斷合法流量，從而導致那些依賴網絡和 Web 服務來運營的企業發生嚴重的網絡中斷。根據 Ponemon 機構的最新調查顯示 DDoS 攻擊是 IT 從業者遇到的最高風險的攻擊，在美國是位列頭名的危險攻擊。

假如你的對手是政府的話，即使所使用的是最高階的防 DDoS 亦似乎是得物無所用，但一般情況下，企業遇到的只會是黑客組織發動的攻擊，因此一套能夠提供足夠吞吐量的防 DDoS 設備便應能應付自如。

最近 CheckPoint 便推出了旨在防禦分布式拒絕服務 (DDoS)攻擊的安全設備系列，當中 DDoS Protector 設備可提供多層保護，吞吐量高達 12 Gbps，足以讓企業應付大範圍的 DDoS 攻擊。而有關方案亦可阻擋包括網絡泛洪攻擊、服務器泛洪攻擊、應用層 DoS 攻擊以及 low-and-slow 攻擊，從而保護機構。

網絡和流量泛洪攻擊防護

行為 DoS — 通過基於自適應行為的探測來抵禦 TCP, UDP, ICMP, IGMP 和 Fragment DDoS 攻擊。
DoS 防護 — 利用預先定義和定制的過濾器來阻擋已知的 DDoS 攻擊工具。
SYN 防護 — 在每台受保護的服務器上設置 SYN 速率閾值，阻擋帶有 SYN 欺騙的 Dos。
黑名單 — 通過 L3 和 L4 源，目的地分類和到期規則阻擋一般攻擊。
連接速率限制 — 通過設置速率閾限阻擋一般非支持協議（非 DNS 和 HTTP）。

基於應用的 DDoS 防禦

帶 Web Challenge 的 SYN 防護 — 在每個受保護的服務器上設置 SYN 速率閾限來阻擋 HTTP 連接 DoS 攻擊。
行為 DNS 防護 — 使用 DNS 足跡阻攔速率限制和 DNS 問詢及響應，通過 DNS 自適應行為探測來阻攔 DNS 查詢 DoS 攻擊。
行為 HTTP 保護（“HTTP Mitigator”）— 通過基於服務器的 HTTP 自適應行為探測和帶有 Web 問詢的 HTTP 足跡，來阻擋 HTTP 連接 DoS 攻擊和上游 HTTP 帶寬攻擊。

擊退 DoS 和 DDoS 攻擊需要特殊的過濾準則。靈活過濾定義搜索每個數據包內的特定內容模式，可以通過定義即時防護來分析和阻擋正在進行的攻擊。根據官方指引，DDoS Protector 設備應部署在企業的外圍網關前面，可在流量到達主要安全網關之前，清除流量中的 DDoS 攻擊。該設備集成在 Check Point 管理套件中，提供單點安全控制，對安全事件進行全域掌控，而透過 Check Point SmartEvent, SmartLog 和 SmartViewTracker 的防護，企業便可以全面瞭解企業整體網絡安全及 DDoS 攻擊狀態的當前和歷史情況。