DoS（Denial of Service拒絕服務）和DDoS（Distributed Denial of Service分散式拒絕服務）攻擊是大型網站和網路伺服器的安全威脅之一。2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。SYN Flood由於其攻擊效果好，已經成為目前最流行的DoS和DDoS攻擊手段。

SYN Flood利用TCP協議缺陷，傳送了大量偽造的TCP連線請求，使得被攻擊方資源耗盡，無法及時迴應或處理正常的服務請求。一個正常的TCP連線需要三次握手，首先客戶端傳送一個包含SYN標誌的資料包，其後伺服器返回一個SYN/ACK的應答包，表示客戶端的請求被接受，最後客戶端再返回一個確認包ACK，這樣才完成TCP連線。在伺服器端傳送應答包後，如果客戶端不發出確認，伺服器會等待到超時，期間這些半連線狀態都儲存在一個空間有限的快取佇列中；如果大量的SYN包發到伺服器端後沒有應答，就會使伺服器端的TCP資源迅速耗盡，導致正常的連線不能進入，甚至會導致伺服器的系統崩潰。

防火牆通常用於保護內部網路不受外部網路的非授權訪問，它位於客戶端和伺服器之間，因此利用防火牆來阻止DoS攻擊能有效地保護內部的伺服器。針對SYN Flood，防火牆通常有三種防護方式：SYN閘道器、被動式SYN閘道器和SYN中繼。

SYN閘道器 防火牆收到客戶端的SYN包時，直接轉發給伺服器；防火牆收到伺服器的SYN/ACK包後，一方面將SYN/ACK包轉發給客戶端，另一方面以客戶端的名義給伺服器回送一個ACK包，完成TCP的三次握手，讓伺服器端由半連線狀態進入連線狀態。當客戶端真正的ACK包到達時，有資料則轉發給伺服器，否則丟棄該包。由於伺服器能承受連線狀態要比半連線狀態高得多，所以這種方法能有效地減輕對伺服器的攻擊。

被動式SYN閘道器 設定防火牆的SYN請求超時引數，讓它遠小於伺服器的超時期限。防火牆負責轉發客戶端發往伺服器的SYN包，伺服器發往客戶端的SYN/ACK包、以及客戶端發往伺服器的ACK包。這樣，如果客戶端在防火牆計時器到期時還沒傳送ACK包，防火牆則往伺服器傳送RST包，以使伺服器從佇列中刪去該半連線。由於防火牆的超時引數遠小於伺服器的超時期限，因此這樣能有效防止SYN Flood攻擊。

SYN中繼 SYN中繼防火牆在收到客戶端的SYN包後，並不向伺服器轉發而是記錄該狀態資訊然後主動給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火牆向伺服器傳送SYN包並完成三次握手。這樣由防火牆做為代理來實現客戶端和伺服器端的連線，可以完全過濾不可用連線發往伺服器。