抵御来自网络的攻击是防火墙产品的重要功能之一，除了应有效识别出不同种类的攻击，还必须起到屏蔽阻断的作用。在本次测试中，我们选择了Ping of Death、Teardrop、Smurf、Land-based 4种常规攻击与SYN Flood、Ping Flood、UDP Flood 3种流量型DoS攻击进行测试。DoS是现今互联网上最常见的一种攻击技术，可以使目标机因资源耗尽而瘫痪。流量型DoS攻击还会消耗网络带宽，使受影响范围由单点扩大至整个网络，防御起来也更具难度。与专业抗攻击产品不同，为保证其它功能模块正常工作，防火墙抗DoS功能大多以阀值方式实现。

我们使用TeraMetrics LAN-3301A配合WebSuite 2.60，分别生成10秒、线速10%与30秒、线速40%的攻击流量，考察产品在不同环境下的抗攻击能力。在测试中，5款产品都可以有效抵御所有攻击，其中天融信NGFW4000-UF 5564与东软FW5200-IP391/IP561因利用加速芯片辅助实现这部分功能，表现最为出色。

天融信NGFW4000-UF 5564利用其内置TopASIC的强大处理能力，以SYN Cookie机制防御SYN Flood攻击。这既解决了单纯靠CPU处理攻击流量影响整体性能的问题，又避免了阀值控制可能导致的新建连接数异常下降。

东软FW5200-IP391/IP561将阀值控制功能完全交由快速芯片处理，对流量型DoS攻击有着最精确的控制效果。对于SYN Flood攻击，两款产品也都利用快速芯片配合CPU实现了SYN Cookie防御机制。同时，FW5200-IP391/IP561还保留了对SYN请求的阀值控制功能。用户可以根据日常流量模型，设定一个合理的阀值，避免SYN Cookie机制在应对DoS攻击时造成无意义的资源消耗。