谈及DDoS防御，先来说明下什么是DDoS攻击。

简单来说，就是攻击者借助于公网，将数量极其庞大的计算机设备集合起来作为攻击平台，对一个或者多个目标发起攻击，以达到瘫痪目标服务器的目的。

了解了DDoS的原理，那么就来浅谈下如何防御（本人不是专业应对网络攻击的人员，只是从事it行业，平时碰到过一次近似ddos的场景，所以只能说“浅谈”一下，笔者写过一篇关于ddos的文章，里面涉及了ddos的常见攻击方式，想要了解的可以去翻阅，这里不再详谈），下面进入正题。

1、经济条件允许的情况下，首选高性能网络服务器及专业防御平台，毕竟是专业性质的应对方案，比起我们自行考虑要安全、周全的多，当然毋庸置疑，价格肯定很昂贵了，中小型企业估计要望而却步；

2、别人攻击你的服务器，必然需要知道你的ip、dns之类的信息，比如，我们既然对外暴露自己的网站，那么可以尝试隐藏自身服务器的ip和变更dns，现在市面上还是有诸如百度、360之类的专业做安全防御的公司，他们会提供一些产品以达到上诉目的，当然，比起第一个方案确实要经济很多，也有一定呢防御效果；

3、我们自身可以做的事，比如监控到某些个异常ip一直高频访问，那么直接进行黑名单控制举行拒绝流量，同时我们的网站尽量静态化，越少的后端请求，被攻击的概率也就越低了；

4、另外，还看到过专业公司的一些解决方案，比如采用旁路部署等等，也有将防御提升到运营商层面的，在上游进行处理。

总而言之，我们既然处在互联网大环境下，就不可避免的可能会收到攻击威胁，网络中没有绝对的安全，只有尽可能的更安全，我们要做的是了解攻击者的原理和手段，从而采取相应的有效的措施，这才是上上之选。

随便一个硬件防火墙都能防ddos

首先要保证网络出口设备的足够强壮，不成为带宽上的瓶颈。其次数据中心出口部署链路负载均衡设备，保证当某条链路上的IP被flood带宽耗尽时，仍有其他链路可以对外提供服务。其次使用服务器负载设备发布虚拟应用，实现服务器负载均衡，保证不会因为某个服务器被攻击后资源耗尽宕机影响业务，第三启用负载均衡的连接复用功能避免遭受TCP全连接攻击时导致服务器资源耗尽的情况。第三针对script脚本攻击的特征部署具有反向代理功能的WAF设备，对于外部非信任脚本执行拒绝服务，并同时制订单一ip连接数限制，防火墙设置尽量减小长连接保持时间。

还有就是可以租用基于CDN的云端DDOS服务，隐藏真实服务IP规避无效流量。

尽量将前端WEB服务静态化，中间件服务器和数据库服务器单独部署，这样可以降低数据库服务器资源大量耗用的风险，建议单一业务服务器建立安全域，限定服务器见的访问策略，防止数据中心内部其他主机的非法访问，如果是虚拟化平台这点很方便通过NSX或分布式防火墙来实现。

最后运维团队建议通过各种现在的运维软硬件产品绘制各个对外业务的日常基线，当有异常流量时能有参照物预警。

个人观点，有同行可以探讨：）