防火墻的攻擊防范功能能夠檢測(cè)出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)主機(jī)的正常運(yùn)行

攻擊防范功能可以抵御傳統(tǒng)的單包攻擊，也能防御常見的DDoS攻擊

單包攻擊主要包括掃描類攻擊、畸形報(bào)文類攻擊、特殊報(bào)文類攻擊

掃描類攻擊：一種潛在的攻擊行為，并不具有直接的破壞行為，通常是攻擊者發(fā)動(dòng)真正攻擊前的網(wǎng)絡(luò)探測(cè)行為（如IP地址掃描攻擊、端口掃描攻擊等）

畸形報(bào)文類攻擊：通常指攻擊者發(fā)送大量有缺陷的報(bào)文，從而造成主機(jī)或服務(wù)器在處理這類報(bào)文時(shí)系統(tǒng)崩潰（ping of death攻擊、Smurf攻擊、fraggle攻擊、land攻擊等）

特殊報(bào)文類攻擊：也是一種潛在的攻擊行為，不具有直接的破壞行為，攻擊者通過發(fā)送特殊控制報(bào)文探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，為后續(xù)發(fā)送真正的攻擊做準(zhǔn)備（icmp重定向攻擊、tracert攻擊等）

DDoS攻擊是一種分布式的DoS攻擊，DoS即拒絕服務(wù)，利用TCP/IP協(xié)議缺陷，通過占用協(xié)議棧資源或發(fā)起大量流量，導(dǎo)致鏈路擁塞，消耗目標(biāo)主機(jī)性能或服務(wù)器資源、帶寬資源等，致使無法向合法用戶提供服務(wù)

DDoS即分布式拒絕服務(wù)，在DoS攻擊的基礎(chǔ)上，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力，致使目標(biāo)服務(wù)器無法提供正常服務(wù)