scsi 硬盤 數據 訪問 充足 若是 配置防火墻 計算 路由器

總體來說，對DoS和DDoS的防範主要從下面幾個方面考慮：

1. 盡可能對系統加載最新補丁，並采取有效的合規性配置，降低漏洞利用風險；
2. 采取合適的安全域劃分，配置防火墻、入侵檢測和防範系統，減緩攻擊。
3. 采用分布式組網、負載均衡、提升系統容量等可靠性措施，增強總體服務能力。

可參考措施如下： 1、采用高性能的網絡設備引 首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、 口碑好的產品。 再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS 攻擊是非常有效的。 2、盡量避免 NAT 的使用 無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換 NAT 的使用， 因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為 NA T 需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多 CPU 的時間，但有些時候必須使用 NA T，那就沒有好辦法了。 3、充足的網絡帶寬保證 網絡帶寬直接決定了能抗受攻擊的能力， 假若僅僅有 10M 帶寬的話， 無論采取什麽措施都很難對抗當今的 SYNFlood 攻擊， 至少要選擇 100M 的共享帶寬，最好的當然是掛在1000M 的主幹上了。但需要註意的是，主機上的網卡是 1000M 的並不意味著它的網絡帶寬就是千兆的， 若把它接在 100M 的交換機上， 它的實際帶寬不會超過 100M， 再就是接在 100M的帶寬上也不等於就有了百兆的帶寬， 因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。 4、升級主機服務器硬件 在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒 10 萬個 SYN 攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是 CPU 和內存， 若有誌強雙 CPU 的話就用它吧， 內存一定要選擇 DDR 的高速內存， 硬盤要盡量選擇SCSI 的，別只貪 IDE 價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用 3COM 或 Intel 等名牌的，若是 Realtek 的還是用在自己的 PC 上吧。 5、把網站做成靜態頁面 大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到為止關於 HTML 的溢出還沒出現，新浪、搜狐、網易等門戶網站主要都是靜態頁面， 若你非需要動態腳本調用， 那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器， 當然， 適當放一些不做數據庫調用腳本還是可以的， 此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問， 因為經驗表明使用代理訪問你網站的80%屬於惡意行為。

ddos（分布式拒絕服務）攻擊防禦措施