云主机的安全性是保障业务正常运行的重要因素之一。而面对日趋猖獗的DDoS攻击要挟，采取适当的防御措施是相当重要的。本文将介绍一些有效的方法，帮助云主机防御DDoS攻击，确保网络的稳定和安全。

定期扫描漏洞
定期扫描网络主节点，及时清算可能存在的安全漏洞，对新出现的漏洞进行修复是防御DDoS攻击的重要步骤。特别是对连接到网络主节点的服务器级别计算机，漏洞扫描尤其重要，以确保系统的整体安全性。

配置防火墙在骨干节点
在骨干节点配置防火墙是一种有效的防御措施。防火墙可以抵抗DDoS攻击和其他一些攻击，保护真实的主机不受攻击。当发现遭到攻击时，可以将攻击流量导向一些牺牲主机，从而保护核心服务器的安全。

足够的机器承受攻击
具有足够的机器资源来承受黑客攻击是一种理想的防御策略。当黑客攻击不断访问用户并消耗其资源时，用户也能够将攻击者的能量逐步消耗殆尽。但是，这类方法需要投入较大的资金，并且在平时大部份装备处于空闲状态，不合适中小企业网络的实际情况。

充分利用网络装备保护资源
充分利用网络装备如路由器、防火墙和负载均衡装备可以有效保护网络资源。在网络遭到攻击时，路由器多是首先遭到攻击的目标，但其他服务器依然可以正常工作。通过使用负载均衡装备，当一台路由器被攻击时，另外一台可以立即代替工作，最大程度地减少DDoS攻击的影响。

过滤没必要要的服务和端口
通过过滤没必要要的服务和端口，只开放必要的服务端口，可以有效减少系统的攻击面。例如，对WWW服务器，只开放80端口，并关闭其他所有端口或在防火墙上设置禁止策略，可以有效避免一些常见的攻击。

检察访问者的来源
利用反向路由器查询方法，检察访问者的IP地址的真实性。黑客常常使用捏造的IP地址来迷惑用户，因此利用反向路由器查询可以减少假IP地址的出现，提高网络的安全性。

过滤所有RFC1918IP地址
过滤所有RFC1918IP地址，即内部网的IP地址范围，可以减轻DDoS攻击的影响。这其实不是过滤内部员工的访问，而是过滤攻击时捏造的大量虚假内部IP地址，从而提高网络的安全性。

限制SYN/ICMP流量
通过在路由器上配置SYN/ICMP流量的最大限制，限制封包所占用的频宽，可以有效防范DDoS攻击。当出现超过限定的SYN/ICMP流量时，极可能是非正常的网络访问，可能存在黑客入侵。

寻觅机器防火墙厂商的合作
与专业的机器防火墙厂商合作，使用他们的解决方案来保护云主机免受DDoS攻击。这些厂商通常具有先进的防御技术和实时攻击监测系统，可和时检测和应对各种类型的攻击。

使用流量清洗服务
流量清洗服务是一种外部的防御措施，可以通过将所有流量导入其系统进行检查和过滤，挑选出歹意流量并将其隔离，只将合法的流量转发到云主机。这类服务通常由专业的网络安全公司提供，可以有效减轻DDoS攻击对云主机的影响。

实行多层次防御策略
采取多层次的防御策略是防御DDoS攻击的最好实践之一。结合使用防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、负载均衡装备等多种安全措施，构成一个综合的防御体系。这样可以提高云主机的安全性，并在遭受DDoS攻击时提供更强大的保护。

定期备份数据
定期备份云主机上的重要数据是一项关键的安全举措。在遭受DDoS攻击或其他情势的攻击时，可和时从备份中恢复数据，避免数据丢失和业务中断。

延续监控和响应
延续监控云主机的网络流量和系统性能，及时发现异常活动和攻击迹象。建立有效的响应机制，当发现DDoS攻击时，能够快速采取措施，如封闭攻击源IP、增加带宽、切换到备用系统等，以最小化攻击对业务的影响。

总结起来，云主机防御DDoS攻击需要综合利用多种防御措施，包括定期扫描漏洞、配置防火墙、足够的机器承受攻击、利用网络装备保护资源、过滤没必要要的服务和端口、检察访问者的来源、过滤所有RFC1918IP地址、限制SYN/ICMP流量等。另外，与机器防火墙厂商合作、使用流量清洗服务、实行多层次防御策略、定期备份数据、延续监控和响应也是非常重要的。通过综合利用这些方法和策略，可以有效提高云主机的安全性，保护业务免受DDoS攻击的要挟。