2、智能TCP代理有效防范SYN Flood

　　SYN Flood是DDOS攻击中危害性最强，也是最难防范的一种。这种攻击利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）。SmartHammer系列防火墙能够利用智能TCP代理技术，判断连接合法性，保护网络资源，如下图所示。

　　防火墙工作时，并不会立即开启TCP代理（以免影响速度），只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时，正常TCP Intercept会自动启动，并且当系统的TCP半连接超过系统TCP Intercept高警戒线时，系统进入入侵模式，此时新连接会覆盖旧的TCP连接；此后，系统全连接数增多，半连接数减小，当半连接数降到入侵模式低警戒线时，系统推出入侵模式。如果此时攻击停止，系统半连接数量逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击，保证网络资源安全。

　　3、利用NETFLOW对DOS攻击和病毒监测

　　网络监控在抵御DDOS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能，它将网络交换中的资料包识别为流的方式加以记录，并封装为UDP资料包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息，并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。

　　利用NetFlow监视网络流量。防火墙可以有效的抵御DDOS攻击，但当攻击流数量超过一定程度，已经完全占据了带宽时，虽然防火墙已经通过安全策略把攻击数据包丢弃，但由于攻击数据包已经占据了所有的网络带宽，正常的用户访问依然无法完成。此时网络的流量是很大的，SmartHammer防火墙可以利用内置的NetFlow统计分析功能，查找攻击流的数据源，并上报上级ISP，对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能，并设置NETFLOW输出服务器地址，这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等，以此做为标准，当发现网络流量异常的时候，就可以利用NetFlow有效的查找、定位DDOS攻击的来源。