拒绝服务攻击是发起其他攻击的一个先决条件。如先通过拒绝服务攻击导致DNS服务器瘫痪，然后再进行DNS欺骗等等。Baidu网站被黑，也可以见到拒绝服务攻击的影子。所以如何来有效防止Dos攻击对于企业网络安全来说，至关重要。

那么该如何有效防止Dos攻击呢?

有很多种方法可以实现这个目的。笔者今天要谈的是，如何通过防火墙来抵挡Dos攻击。希望借助这篇文章，能够帮助大家有效的抵御Dos拒绝服务攻击，提高服务器的安全。

阻止分段数据包通过防火墙

如上图所示，如果攻击者想要对防火墙后面的Web服务器发起Dos攻击，要如何进行呢?通常情况下，Sos攻击使用分段的IP数据包来攻击主机服务器。将一个IP数据包分隔成多个IP数据包叫做IP分段。通过这种分段的方式，可以提高Dos攻击的效率。如果防火墙能够阻止分段数据包通过防火墙，那么就可以有效的防治Dos攻击。

在PIX防火墙上，是可以使用Fragment命令，来阻止分段数据包通过防火墙。如可以使用如下的命令：fragment chain 1 outside。这个命令是什么意思呢?参数1表示所有的分组必须是完整的，也就是没有经过IP分段的。这个命令的含义就是阻止分段分组进出交换机。通过交换机的过滤，就可以有效的阻止分段数据包通过防火墙，对防火墙后面的Web等服务器发起攻击。

不过在有些场合下，确实需要对数据包进行IP分段。此时就需要在防火墙上启用分段防护功能。即根据一定的规则，对进入防火墙的分段数据包进行检测，判断其是否符合即定的规则。如果符合的话，就允许其通过。不符合的话，则会被丢弃。

如防火墙会检查每个非初始的IP段都有一个相关联的合法初始的IP段。如对分段的数量进行限制，当分段超过一定数量(默认情况下可能最多为24个分段)时这个分段数据包就不能够通过防火墙。具体的数量安全人员可以根据实际需要来设置。这些安全检查措施，也可以帮助企业来有效防止Dos攻击。在没有特殊的情况下，还是使用fragment命令阻止分段数据包进入防火墙为好。这可以从根本上杜绝DoS攻击。

【编辑推荐】

1. 浅析IPv6存在的攻击漏洞
2. 云安全服务：WAF和DDoS攻击预防
3. 针对拒绝服务攻击Forefront的应对措施
4. 当恶意攻击更具目标性：恐怖的APT攻击
5. 企业如何防范攻击者利用多个零日攻击？
6. 警惕黑客攻击你必须知道的蓝牙安全知识