三、 DDoS防护
    以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN或者变种的SYNACK攻击效果不错,但是不能从根本上来分析TCP、UDP协议和针对应用层的协议。比如http、游戏协议、软件视频音频协议。现在的新的攻击越来越多的针对应用层协议漏洞攻击，或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本无法很好的防护新型的攻击。

    目前防护网络攻击效果比较好的有傲盾，黑洞，和金盾防火墙.傲盾是基于连接状态检测的防火墙,防护SYN攻击和SYN变种攻击、TCP混乱数据包攻击，效果都差不多。因为傲盾基于连接状态检测的防火墙，3-7类的涉及到网络软件自己的网络协议的效果会好一些。 根据傲盾实验室测试，针对UDP协议的攻击，基于连接状态检测的傲盾防火墙可以记录每个UDP包所属的连接，判断此连接是否登陆，是否通过验证，如果没有通过验证，无论发送的数据包是否合法都会被拦截掉。第4、5、6 种攻击，基于连接状态检测的傲盾防火墙可以彻底分析HTTP协议，分析每个数据包所归属的HTTP连接，此连接是否是正常请求，如果不是正常请求，就进行拦截。也可以在防火墙里设置HTTP验证标记，这样防火墙处理新的HTTP协议的时候会随机生成一个HTTP标记，肉鸡攻击的时候不会处理这个标记，正常的IE打开的时候，会处理这个标记，这样防火墙就可以区分是不是正常IE打开的网页。对于第7种攻击，基于连接状态检测的防火墙可以通过多种策略混合过滤来达到效果，比如可以判断这个登陆进来的连接有没有发送过非法的特殊攻击包，因为肉鸡模拟的攻击假人毕竟是程序控制的，动作很少或者一直重复甚至一直不动，这样就可以判断这个连接在游戏里的动作10秒内是不是一直重复，重复多少次，或者是不是一直不动，来达到封锁假人的效果。
 
    四、小结
    现在网络发展速度飞快，新攻击每个星期都会有，传统的防火墙只能通过设置传统的规则封IP,端口，封连接数或者按照连接的一些基本特征来封锁，很难对新的攻击做出第一时间的解决方案。防火墙和攻击是矛和盾的关系，防火墙必须做到像杀毒软件一样有迅速处理的机制才能真正把新攻击扼杀到摇篮之中。