TCP代理：

防止SYN Flood攻击的一个有效的办法就是采用防火墙的TCP代理功能。 我们把连接发起端称为客户，对端称为服务器，它们通过防火墙的中继进行通信。客户发起连接，防火墙并不把 SYN 包传递给服务器，而是自己伪装成服务器返回应答；客户确认后再以当初客户发起连接时的信息向服务器发起连接。当客户和服务器之间传输的数据通过防火墙时，防火墙只需对它们的序号进行调整就可以了。

通过TCP代理功能，防火墙就能拦截所有到达的连接请求，并代表服务器建立与客户机的连接，代表客户机建立与服务器的连接。如果两个连接都成功地建立，防火墙就会将两个连接进行中继。这样防火墙就能很好的保护服务器不受SYN-Flood的攻击，同时防火墙有更严格的超时限制，以防止其自身的资源被 SYN 攻击耗尽。

同时也可以采用针对半开连接的数目和速率等来监控syn flood攻击，检测特定目的地址SYN报文的接收速率和TCP半开连接数。当特定目的地址SYN报文的连接速率或TCP半连接数超过设定的阈值时，通知系统目的主机受到SYN Flood攻击，并根据攻击防范配置决定是否启动TCP代理功能；当SYN报文连接速率和TCP半连接数均低于阈值的80%时，通知系统SYN Flood攻击结束，并根据攻击防范配置决定是否关闭代理功能。当攻击发生时，对攻击记录日志。