1. Tariefbeperking: Dit is de meest voorkomende en effectieve verdediging. De firewall controleert binnenkomend verkeer van elk IP-adres of subnet. Als het aantal verzoeken van een enkele bron binnen een gespecificeerd tijdsbestek een vooraf gedefinieerde drempel overschrijdt, zal de firewall automatisch verdere pakketten van die bron verwijderen. Dit voorkomt dat een enkele aanvaller of een botnet het netwerk overspoelt met een stortvloed aan verzoeken. Effectieve snelheidsbeperking vereist een zorgvuldige configuratie om de beveiliging in evenwicht te brengen met legitiem verkeer. Te agressieve instellingen kunnen legitieme gebruikers blokkeren.

2. Pakketfiltering: Firewalls kunnen verkeer filteren op basis van verschillende criteria, zoals bron-IP-adres, doel-IP-adres, poortnummer en protocol. Hierdoor kan de firewall bekende kwaadaardige IP-adressen of -bereiken blokkeren die verband houden met DDoS-aanvallen. Het op de zwarte lijst zetten van bekende botnet-IP’s en/of landen met veel DDoS-activiteit is een veel voorkomende tactiek.

3. Inbraakdetectie-/preventiesystemen (IDS/IPS): Sommige firewalls integreren IDS/IPS-mogelijkheden. Deze systemen kunnen patronen detecteren die indicatief zijn voor DDoS-aanvallen, zoals SYN-overstromingen of UDP-overstromingen. Een IPS kan dan automatisch actie ondernemen, zoals het laten vallen van kwaadaardige pakketten of het blokkeren van het bron-IP-adres.

4. Geoblocking: Dit omvat het blokkeren van verkeer dat afkomstig is van specifieke geografische locaties waarvan bekend is dat ze verband houden met grootschalige DDoS-aanvallen. Hoewel het in sommige gevallen effectief is, kan het ook legitieme gebruikers uit die regio's blokkeren.

5. Inhoudsfiltering: Sommige geavanceerde firewalls kunnen de inhoud van pakketten inspecteren om kwaadaardig verkeer dat verband houdt met DDoS-aanvallen te identificeren en te blokkeren. Dit kan nuttig zijn bij het detecteren en blokkeren van geavanceerde aanvallen die traditionele methoden proberen te omzeilen.

6. Gateways op applicatieniveau (ALG's): Deze gateways analyseren verkeer op applicatieniveau (bijvoorbeeld HTTP, HTTPS) om aanvallen te detecteren en te beperken die gericht zijn op specifieke applicaties in plaats van op het netwerk als geheel. Dit kan van cruciaal belang zijn bij de verdediging tegen DDoS-aanvallen op de applicatielaag.

7. DDoS-beperkingsdiensten: Hoewel het niet strikt onderdeel is van de firewall zelf, maken veel bedrijven gebruik van externe DDoS-beperkingsdiensten. Deze services fungeren als een eerste verdedigingslinie en zuiveren kwaadaardig verkeer voordat het zelfs maar de firewall en het netwerk van het bedrijf bereikt. Bij zeer grootschalige aanvallen is dit vaak nodig.

Beperkingen:

* Geavanceerde aanvallen: Zeer geavanceerde DDoS-aanvallen kunnen technieken gebruiken om detectie te omzeilen en firewallregels te omzeilen, zoals het gebruik van gedistribueerde bronnen en voortdurend veranderende IP-adressen.

* Volume: Een voldoende grote DDoS-aanval kan zelfs de meest robuuste firewall en zijn bronnen nog steeds overweldigen.

* Zero-day-aanvallen: Firewalls zijn niet altijd voorbereid op nieuwe en onbekende aanvalsvectoren.

Kortom, een firewall is een cruciaal onderdeel van een alomvattende DDoS-beschermingsstrategie, maar het is geen wondermiddel. Een gelaagde aanpak die meerdere beveiligingsmaatregelen omvat, zoals snelheidsbeperking, filtering, IDS/IPS, externe mitigatiediensten en een robuust netwerkontwerp, is noodzakelijk om het risico van DDoS-aanvallen effectief te beperken.