防火墙不仅肩负着阻隔 Internet 上的用户对局域网非法攻击的任务，很多时候由于局域网内有电脑中毒，会向网关发送大量的数据包，这样有可能会造成带宽阻塞或者网关死机。SANGFOR VPN 设备内部集成了『防 DOS 攻击』功能，可以监测单位时间内某个 IP 向网关发送了多少数据量，当超过一定值时则 VPN 设备会认为受到此 IP 的 DOS 攻击， 并会阻断此 IP 一段时间从而保护自己。页面如下：

勾选[启用防 DOS 攻击]即开启防 DOS 攻击功能。

在『内网网段列表』中添加局域网所包含的网段，当这里为空的时候即表示不检查 IP 地址。当添加了内网网段后，当源 IP 不属于『内网网段列表』所列网段范围之内，则该数据包会被直接丢弃。属于『内网网段列表』范围时，则会进行下面防 DOS 攻击各项设置的计算和探测，以进行相应的处理。

同理，『内网路由器列表』的功能和『内网网段列表』功能类似。

在『排除地址列表』中添加局域网所包含的 IP 地址，当这里为空的时候即表示检查所有 IP 地址。当添加了内网 IP 后，来自这个 IP 地址的攻击不会被防御。

其它选项可根据情况来进行相应设置，包括『最大 TCP 连接数』，『最大 SYN 包数』及『防 DOS 攻击的封锁时间』等。