防火墙放置DDOS攻击，可以屏蔽他们链接，但是防火墙本身是不是还要处理ACL啊！

防火墙一般可以处理某些类型的DDoS攻击，主要是链接型的攻击，例如链接耗尽型攻击；而且由于防火墙有NAT和访问控制，所以可以一定程度缓解DDoS攻击。

但是防火墙不是专业抗DDoS工具，主要问题是：
1. 对于主流的Syn flood类型的非链接型攻击无法解决
2. 对于带宽消耗型攻击，如UDP类，本身就是把防火墙或路由器前面的带宽打死，所以防火墙无能为力。
3. 对于CC等应用层攻击无法解决，防火墙一般只是4层设备，应用防护很难做好。

因此，防火墙做DDoS攻击，可以做，而且和防火墙ACL没有冲突，也不会消耗带宽。但是防火墙抗DDoS效果非常弱，做了和不做也差不多，你要乐意打开这个功能也没有大问题，但是要是一旦有了DDoS还是需要抓包分析，对具体DDoS类型针对性的操作，必要时可以利用防火墙ACL做一些针对性设置，可能会防护住具体的DDoS