深信服下一代防火墙采用自主研发的DOS攻击算法，可针对数据包、IP协议报文、TCP协议报文、基于HTTP协议的DoS/DDoS攻击等各种泛洪类攻击进行防范，并对各种畸形报文攻击进行检测，抵御各种IP地址和端口扫描等窥探攻击。

深信服下一代防火墙通过两个检测阶段进行DDoS的检测和防护：

1. 图 3‑1 DoS检测与防护

1、对于业务数据第一阶段进行TCP异常包、IP选项攻击、未知IP协议攻击、IP分片攻击、LAND攻击、WINNUKE攻击、SMURF攻击、TCP选项攻击、各种FLOOD攻击（包括SYN FLOOD, ICMP FLOOD, UDP FLOOD, DNS QUERY FLOOD）等DDoS检测。当第一阶段中检测到SYN包频率过高时，将在第二阶段对TCP连接做SYN COOKIE代理，第二阶段还进行ICMP大包攻击(即ping of death)等检测。

2、对于本机（访问深信服下一代防火墙本身）数据，DDoS检测模块会在第一阶段做端口扫描的检测（SYN扫描和CONNECT扫描），包括所有的nmap扫描：FIN扫描，NULL扫描，xmas tree扫描，UDP扫描，ACK扫描，MAIMON扫描，WINDOWS扫描，TCP Idle扫描。而第二阶段根据第一阶段的检测结果决定是否做本机的syn代理。