（3）SYN中继

防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。

各企业在选择防火墙时，除了根据以上几种保护方式进行选择以外，还需要根据企业本身的业务量来决定选择的防火墙的性能。性能越好，当然价格也就越高，而且防火墙的性能和资源的占用是相关的，性能越高，占用资源也就越多，占用带宽比例也就越高。另外一般企业如果不想在安全产品上投入过多，则会要求防火墙同时具有入侵检测、VPN等功能，甚至防病毒功能。现在国内外防火墙种类繁多，各企业可以根据自己单位的需求，选择一款性价比高的产品。

还需要网络管理员注意的是，防火墙设立后并非一劳永逸了，防火墙的默认设置适合于大多数企业的要求，但可能并不安全，因为各个企业的提供的服务不一样，所以管理员需要根据自己企业提供的服务可能遭受的攻击来设置其安全策略，另外新的漏洞攻击在不断出现，还需要管理员随时更新防火墙的漏洞代码，以阻止可能出现的新的漏洞攻击。

3.增设专用的防范拒绝服务攻击产品──黑洞

尽管防火墙可以阻挡很多种类的攻击，但是对于DoS类的攻击，却只能阻挡有限的几种。所以近几年来，一种综合多种算法、集多种网络设备功能（如路由和防火墙技术）的防范大流量DoS攻击或多类型DoS攻击的新技术产品──中联绿盟生产的“黑洞”，逐渐应用于各大型门户网站，国外虽然也有类似产品，但并未引入国内。

“黑洞”采用了被称为反向检测和指纹识别的新算法，可高效抵挡SYN Flood、UDP Flood、ICMP Flood和Stream Flood等DoS攻击。这种算法的独特之处在于可高效检测所发数据包的真实性。一方面，通过判断数据包是否来自网络中的已有主机，决定是否丢弃它;另一方面，根据攻击报文携带的特定“指纹”来判定其非法性（凡非法者均抛弃）。为了不影响正常网络流量和消耗系统资源，该算法的一部分通过硬件芯片技术实现，大大提高了运算速率，在一定程度上将攻击流量分解，并对网络负载进行了均衡。

另外，用户在购买此款产品时还可以选配IDS模块，使“黑洞”提供IDS功能，防止Ping of Death、Land、Tear Drop和WinNuke等对应用层的DoS攻击。由于该技术的自动化处理能力很强，面对不断花样翻新的DoS攻击，可经升级而及时更新系统代码，并联动IDS技术，提升防范性能。

三、预防弱口令攻击

我们可以采取以下一些步骤来消除口令漏洞，预防弱口令攻击。

第一步：删除所有没有口令的帐号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。

第二步：制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。

第三步：加强所有的弱口令，并且设置为不易猜测的口令，为了保证口令的强壮性，我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如采用一首诗的部分诗句中第一或第二个字母，加上一些数字来组成口令，还可以在口令中加入一些特殊符号将使口令更难破解。

第四步：使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。

第五步：对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。（在你这么做之前，先确定你有权利这么做，你是管理员）

另一个避免没有口令或弱口令的方法是采用认证手段，例如采用RSA认证令牌。每分钟变一次，相信没有人可以在没有令牌的情况下进入你的FTP服务器。

四、对重要数据进行备份

服务器虽然在各方面的性能上都比普通计算机更好，但是依然不可避免可能遭受病毒、硬件故障、误操作、软件崩溃等方面的困扰，这些困扰都会给存储在服务器上数据带来威胁。可以这样说，很多时候服务器内保存的数据比服务器本身更值钱，甚至可能因数据丢失带来无法估量的损失。花了很长时间辛辛苦苦建立起的数据，突然因系统关机、硬盘毁损或病毒侵害等灾难，在一时之间毁损，那种损失几乎是无法估量的，所以做好资料的备份就显得非常重要了。