现在大多数防火墙,IPS产品都附带了抗DDOS***的功能,但是,由于它们本身对数据的处理机制,造成自己不能够准确的检测出DDOS***数据包和正常数据包,因此,它们对DDOS***的处理方式和专业的抗DDOS***设备还是有很大不同的。它们的处理方式主要有两种。
(1)设置阀值,控制访问数据速率。由于防火墙,IPS会放在网络出口处,而WEB防火墙会放在网站服务器的前面,它们会根据自己网络的性能和服务器性能,设定一个处理数据的阀值,比如说我的服务器每秒中只能处理1000个人访问,那么我的防火墙,IPS,WEB防火墙就会设定1000个数据包/秒,超过这个值的数据包会丢弃。举个银行的例子,假设银行拥有八个柜台,一上午最多处理100人的业务,那么当前100个号都排满以后,银行肯定会拒绝服务,让其他人在其他时间再来了。大家可以看到,这种方式,实际上已经影响到了其他正常用户的业务办理。对于防火墙也一样,阀值的设置,在一定程度上会将正常用户的访问拒绝掉。

(2)随机丢弃数据包,即设定每接受几个数据包就丢弃其中一个。列举邮箱事例,为了担心接收过多的垃圾邮件,于是在接收邮件时,设定每收两封邮件,就自动拒收一封邮件,这种方式很容易就令人想到,如果我拒收的当中有正常邮件呢?同样道理,如果采用随机丢包方式,也有一定几率将正常用户请求包丢掉,造成正常用户无法访问应用服务。
(3)对于特殊***的处理。随着技术的发展,近几年的新的***类型层出不穷,***手段多种多样,***的的针对性也越来越强,应对特殊的***自然就需要有针对性的防护手段。
总体来说,正因为传统的安全设备没有能够验证***包  非***包的机制和面对特殊***的不足,因此,只能采用这两种方式,牺牲部分用户的权益,来保证整个网络和应用服务受到DDOS***的影响。专门的DDOS设备主要是在硬件性能,和抗***负荷上有优势。专门设备可以抵抗更高强度的DDOS***。