有效防御 DDoS 攻击可以采取多种方法。

首先，保证服务器系统的安全至关重要。要确保服务器软件没有漏洞，保证系统和网络资源都采用最新系统，并打上安全补丁，防止攻击者入侵。采用高性能的网络设备，如选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能，尽量选用知名度高、口碑好的产品。开通充足的网络带宽，网络带宽直接决定了承受攻击的能力。有效利用云的资源，基于云的防御服务可以更早、更有效地检测到恶意流量。实现网站静态化，把网站尽可能做成静态页面或者伪静态，可以提高抗攻击能力。禁用未使用的服务，关闭所有不需要和未使用的服务及应用程序，以提高网络的安全性。隐藏服务器的真实 IP，在服务器前端加 CDN 中转，用于隐藏服务器的真实 IP，全部都使用 CDN 来进行解析。建立冗余网络，创建冗余网络资源，当服务器受到攻击时，其他组件可以处理额外的访问流量。保护 DNS 服务器，实践冗余，并将服务器放置在多个数据中心实现负载均衡，还可以咨询基于云的 DNS 提供商。制定 DDoS 防御机制，事前制定一个整体的防御策略是最根本的主动防御手段。

其次，定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。在骨干节点配置防火墙，可将攻击导向一些牺牲主机，保护真正的主机不被攻击。用足够的机器承受黑客攻击，虽然此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符，但也是一种应对策略。充分利用网络设备保护网络资源，当网络被攻击时最先死掉的是路由器，但其他机器没有死，死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。过滤不必要的服务和端口，只开放服务端口成为很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。检查访问者的来源，使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。限制 SYN/ICMP 流量，用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽。使用第三方防御，选用第三方的清洗，是一种经济、便捷的防御手段，现在常见的第三方防御有高防 ip、高防 dns、高防 cdn、ddos 云盾。

再者，增加带宽硬防护，提升 CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，能有效防御 ddos 攻击。如果是单个主机，及时修复系统漏洞并升级安全补丁，同时关闭不必要的服务、端口、系统加载项及自启动项，严格控制账户权限等。如果是整个服务器系统，使用负载均衡技术，减少单个服务器的负担。可以使用负载均衡将请求被均衡分配到各个服务器上，减少单个服务器的负担；使用 CDN，目前大部分的 CDN 节点都有 200G 的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的 DDoS 攻击了；分布式集群防御，分布式集群防御的特点是在每个节点服务器配置多个 IP 地址，并且每个节点能承受不低于 10G 的 DDoS 攻击。

评估风险，企业制定安全策略的第一步应该是明确企业所使用的应用程序及其运行模式，以便识别异常活动并及时作出响应。企业可以建立具有高级缓解功能的可扩展 DDoS 保护系统。制定 DDoS 响应策略，组建一个明确如何识别、缓解和监测攻击的 DDoS 快速响应团队。识别潜在风险，通过模拟网络攻击来评估系统安全防御质量、识别潜在的攻击风险。及时更改安全策略，在企业被 DDoS 攻击后，应立刻建立的 DDoS 响应团队或其他专业人员进行攻击调查和攻击后分析，及时溯源，修改安全防御措施。

流量过滤和防火墙、负载均衡、限制连接速率和频率、使用 CDN、实时分析和监控、云端防御等也是防御 DDoS 攻击的有效方法。

总之，防御 DDoS 攻击需要综合考虑多种策略和工具，采取综合的防御措施，才能有效地保护网络安全。

采用流量过滤和防火墙

流量过滤和防火墙是防御 DDoS 攻击的重要手段之一。防火墙可以检查网络数据包的来源、目的地、协议类型等信息，并根据预定义的规则对其进行过滤和阻止。例如，可以设置规则只允许特定的 IP 地址或 IP 范围访问服务器，阻止来自可疑来源的流量。同时，端口控制也是防火墙的一项重要功能，可以控制端口的开放和关闭，限制不必要的服务和应用程序的访问，从而减少攻击面。

对于流量过滤来说，可以根据协议类型对网络数据包进行过滤，例如只允许 HTTP 和 HTTPS 流量通过，禁止其他协议的流量。还可以进行内容过滤，检测和过滤特定内容的网络流量，例如违规的关键词、病毒、恶意软件等。在防御 DDoS 攻击中，流量过滤可以识别和阻止恶意流量，保护网络安全，避免网络遭受攻击。

此外，在网络边界设置流量过滤和防火墙规则，过滤掉异常或恶意流量，阻止潜在的攻击流量进入系统。比如，当检测到大量来自同一 IP 地址的请求时，可以自动将该 IP 地址列入黑名单，阻止其进一步访问。同时，不断更新防火墙规则和流量过滤策略，以适应不断变化的攻击手段。

在应对 DDoS 攻击时，流量过滤和防火墙能够在攻击的早期阶段就发挥作用，减少进入网络的恶意流量，为后续的防御措施争取时间。而且，流量过滤和防火墙不仅可以防御 DDoS 攻击，还能对其他类型的网络攻击起到一定的防范作用。

综上所述，采用流量过滤和防火墙是防御 DDoS 攻击的有效方法之一。通过合理设置防火墙规则和流量过滤策略，可以大大提高网络的安全性，降低遭受 DDoS 攻击的风险。

防御 DDoS 攻击是一个复杂的任务，需要综合多种策略和技术。除了采用流量过滤和防火墙之外，还可以使用负载均衡、CDN（内容分发网络）、流量限制和速率限制、弹性扩展和云服务、运营商合作、监测和分析以及制定应急响应计划等方法。这些方法可以相互配合，共同提高系统的弹性和抵御攻击的能力，确保网络和服务器的正常运行，为用户提供稳定可靠的服务。