مسیر جلوگیری از حملات DDOS را اصلاح کنید!

سلام آقای وزیر
منظور شما از لایه های امنیتی این است که مثلا از فایروال‌های نرم افزاری و سخت افزاری
Quantum Intrusion Prevention System (IPS)
استفاده شود که امنیت به صد درصد نزدیک شود نه خود صد.
راه دیگر ساخت لایه های امنیتی بومی .
این موارد همانطور که امنیت را بالا میبرن خودشون چالشهای بزرگی ایجاد میکنن چرا؟
مثلا فایروال‌های سخت افزاری و نرم افزاری تشخیص نفوذ تهیه شده از کجا مشخصه که چی های پروگرام شده دارای باگ حملات روز صفر نباشن چرا؟
چون ما که مبدع این نبودیم.
لایه های امنیتی بومی چرا؟
چون نیاز به آپدیتهای روز و مداوم دنیا را دارد و از کجا معلوم چیزی که درون تجهیزات بومی خود استفاده میکنید و پروگرام میشود دارای حفره حملات روز صفر نباشد .
پس نتیجه میگیریم هر چقدر این لایه های امنیتی دقیقتر و ساده تر باشند بهتر است چرا؟
چون حداقل میتوانیم بهتر مانیتور کنیم.
مثلا همون بستن آیپیهای خارج ایران که فرمودید به نظر ایده خوبیست با کمترین هزینه اما باید با تنظیمات دقیق انجام شود؟
یعنی فقط بستن آی پی خارج نه بلکه بستن تمامی پروتکلها و پورتهای غیر مفید.
خب این چیزی که من میگویم هم دقیق نیست چون باید علاوه بر این کار کار های دیگری مثل استفاده از تونل‌های جداگانه همراه با فایروال ids/ips بومی برای سایت هاست این مورد تقریبا امن میشود با هزینه کم.
حداقل اینه که اگر حمله انجام شود لاگ بر میدارد و میشود پیگیری کرد از داخل.
درکل برای همه ای موارد باید نظارت دایم باشد نه اینکه فی امان الله ماهی یک بار بررسی شود.
در کل امنیت ۱۰۰ درصد نیست.