关掉防火墙的这个神秘功能,网络可能快十倍
大部分防火墙都有一个功能:DDoS防护,某些情况下,里面的部分选项会严重影响网络速度,关掉可以让网络更顺畅。
DDoS(分布式拒绝服务)防护
绝大多数防火墙都具备抗DDoS的功能,用于检测、过滤和应对DDoS攻击,保护目标网络或服务器免受服务中断、资源耗尽和安全威胁的影响,提高网络的稳定性和安全性,确保网络的正常运行。
DDoS攻击可以采用多种不同的方式和技术来实施,下面是一些常见的DDoS攻击类型:
SYN Flooding
攻击者发送大量的SYN请求到目标服务器,但不完成握手过程,从而耗尽服务器资源,使其无法处理其他合法的连接请求。
UDP Flooding
攻击者发送大量的UDP数据包到目标服务器或网络,消耗目标资源的带宽和处理能力,导致服务不可用。
CC攻击
攻击者通过多个代理服务器或僵尸主机,模拟合法用户或使用合法用户的身份发起大量的连接请求进行攻击,使目标服务器无法正常响应合法用户的请求,从而导致服务不可用。
反射攻击
攻击者利用某些协议(DNS、NTP、SSDP等)的放大效应,向特定服务器发送请求,从而将响应的数据放大,发送给目标服务器,导致目标服务器被大量响应数据包淹没。
其中,对于UDP Flooding,防火墙通常会检测每秒每个会话的UDP包速率并设定阈值,超过阈值的数据包就会被丢弃。
防火墙的UDP Flooding防护功能虽然可以提供一定的保护措施,但很多时候却会对网络性能造成影响。
首先,防火墙在过滤UDP数据包时,可能会将一些合法的UDP数据包误判为攻击流量,从而导致误拦截;其次,为了防止UDP Flooding攻击,防火墙可能会对所有UDP流量进行过滤和限制,从而对合法UDP流量造成影响。
常见的可能遭受影响的应用协议如下:
■ UDP类隧道
■ 正常的P2P下载
■ 日志数据
■ Radius认证交互数据
■ HTTP/3(基于UDP,太快就会命中规则)
总之,一些防火墙对UDP Flooding攻击的过滤算法较为粗暴、过滤粗糙,可能会误判正常流量,导致合法用户的连接遭受影响,从而影响正常业务的性能和可用性。因此,关闭UDP Flooding防护可以避免这种过滤策略对正常业务造成的负面影响。
从另一个角度来说,UDP Flooding主要是打满上游带宽,对普通政企用户而言,本地过滤意义实际上并不大;另一方面,随着网络安全威胁的不断演变,政企出口攻击如今已由DDoS向勒索病毒演化,用户关注的重点也应向这方面转移。
建议
当我们发现单一UDP会话的速度上不去时,建议检查防火墙设置,关闭UDP Flooding防护,或是将合法的IP地址加入白名单。
某防火墙配置界面
基于AX50平台打造的新产品已上架京东官方旗舰店并长期供应中,一体包打满足以下功能需求:分与支总部间组网,路由,负载,流控,上行网为管理,SD-WAN,威胁情报,AC(WiFi控制器),网故络障定位,视会频议卡顿,公安151号日令志留存计审法规要求,“挖风”矿险等问题…
左右滑动查看更多
解决方案&销售咨询
联系我们
更多精彩: