與正常訪問相比，DoS（Denial-of-Service，拒絕服務）攻擊并沒有突出的特征，因而一直以來都比較缺乏有效的防護手段。對網(wǎng)站而言，除了一般的網(wǎng)絡層攻擊，還必須應對應用層的各種攻擊手段。

網(wǎng)絡層DoS攻擊通常都是通過海量數(shù)據(jù)傳輸消耗網(wǎng)站的接入帶寬，從而干擾甚至阻止普通用戶對網(wǎng)站的正常訪問，因而也被稱為“帶寬型攻擊”。這一類攻擊非常直觀，被攻擊服務器及相關的網(wǎng)絡設備上都能夠檢測出明顯的流量異常，而且隨著網(wǎng)絡接入帶寬的快速增長和路由器、防火墻等網(wǎng)絡設備的部署和發(fā)展，對這一類攻擊的識別和防護已經有了長足的進步，位于DMZ（Demilitarized Zone，非軍事區(qū)）的Web服務器已經能夠在很大程度上避免受到侵害。

與此同時，由于網(wǎng)絡應用的快速發(fā)展和豐富，Web服務器需要承載的功能越來越多，其對系統(tǒng)資源的消耗和需求也越來越高，從而使得應用層DoS攻擊逐漸成為主流。與網(wǎng)絡層DoS攻擊對帶寬的侵蝕不同，應用層DoS攻擊的目標是主機系統(tǒng)，以消耗系統(tǒng)運算和內存等資源為目的。針對Web服務器的應用層DoS攻擊可以從多方面進行：攻擊者可以同時發(fā)起各種服務，可以發(fā)出海量訪問請求，可以維持大量活動連接，可以建立很多會話，也可以發(fā)出惡意請求造成服務器出現(xiàn)緩沖區(qū)溢出。這些攻擊都是基于HTTP協(xié)議而精心設計的，因此如果不能深刻理解HTTP協(xié)議并識別具體的訪問請求，對目標Web服務器的防護將很難進行。

由于傳統(tǒng)上基于數(shù)據(jù)包的檢測通常都無法識別出應用層DoS攻擊，基于路由器、防火墻或IPS的防護措施對此大都無能為力，即使是專門的“流量清洗”設備，其作用也非常有限。與此同時，梭子魚則憑借先進的技術和深厚的積累提供了一個全面的解決方案：Web應用防火墻。梭子魚Web應用防火墻為Web服務器提供了全面的安全保護，針對應用層DoS攻擊的防護措施包括：

·反向代理的工作模式

通過建立虛擬服務器對外服務，將真實的Web服務器隱藏，并只轉發(fā)設定端口（例如80／443等）的訪問請求，從而減輕Web服務器的處理負擔。

· 隊列控制

控制從單個IP地址發(fā)起的并發(fā)訪問量，并維持訪問隊列，從而限制單個用戶對系統(tǒng)資源的占用。

·訪問頻率控制

如果某個源地址訪問網(wǎng)站的頻率超過設定門檻，源自該地址的訪問將被阻斷。

·會話跟蹤

如果某個地址訪問網(wǎng)站時在一定時間內新建應用會話的數(shù)量超過設定門檻，該地址將不能繼續(xù)新建任務會話。

·HTTP請求限制

限制HTTP請求中各參數(shù)的長度。這些限制能夠屏蔽惡意訪問，使Web服務器只對正常請求作出回應。

通過綜合運用上述保護手段，梭子魚Web應用防火墻能夠顯著提高Web服務器對應用層DoS攻擊的防御能力，保證網(wǎng)站正常運行。