網路安全防禦的重點不在於 不遭受攻擊, 而是受攻擊後能盡量存活.
阻擋 阻斷式攻擊 可以分網路層與應用層 兩個層次來看
DDOS的效應主要是 資源耗竭, 耗竭的東西有兩種 一是 網路頻寬, 二是 主機資源.

大量封包造成 網路頻寬 的耗竭是無法在第一時間避免的, 只能等風暴過去.
雖然不能阻止別人發封包過來, 但是實際上, 因為頻寬用完而不能提供服務的例子較少
較多的情況是在網路還有頻寬可用, 但主機已被癱瘓(當機),無法提供服務.

伺服器為何會被癱瘓? 大致上是資源被用盡(RAM/CPU), 或是軟體有缺陷被利用.(應用層)
那接下來就可以針對問題找解答了.

資源會被用盡(先排除主機規格實在太差的情況) 就是有人濫用, "濫用"就是 使用量異常的多
所以可以在主機端前面放置防火牆或是IDP, 設定針對每個伺服器應該有的存取設定安全臨界值
當存取量太過於頻繁的時候, 超過臨界值即開始進行防禦/過濾, 而不管來源IP是哪個.
例如: 對單一主機,每秒超過200個存取時啟動防禦(ex: syn-cookie),
or 每一來源IP只允許最多20個連線....etc

傳統以封鎖IP的方式會誤殺很多NAT出來的使用者, 故不建議, 我們要做的是在混合流量中
還能讓正常的存取能成功, 並讓惡意的存取會失敗, 這樣才有兼顧防禦與維運的效果.
至於網路層的防禦原理,細節很多暫不贅述, 但重點是要有夠OK的網路安全設備+良好的設定,會有幫助.

應用層的弱點,就要靠良好的系統修正補強與良好的設定來規避問題. 如果是網頁服務, 較先進
的方案是針對web server source code進行查驗, 改寫修補掉會被利用的弱點, 達到免疫.
這樣可以補強 firewall/IDP 設備的不足, 以及補強作業系統之外的伺服器弱點.

如果還有預算, 可以再使用application front end 的負載平衡器, 進行layer 4的off load
與L7的content inspection. 都對主機的網路安全與效能提升有加分的作用.