对于PIX防火墙来说，默认情况下DNS防护功能是开启的。在有DNS服务器的情况下，请安全管理人员保持这个功能的开启状态。因为这个功能确实可以在很大程度上使得DNS服务器免受Dos拒绝服务攻击。效果非常的明显。


 

　　三、通过限制初期连接的最大数据来防止泛洪攻击

　　Dos攻击除了以上几种形式之外，还有一种典型的攻击行为，即泛洪攻击。这种Dos攻击方式主要是使用半开的TCP初期连接来防洪攻击某一个特定的借口。泛洪攻击的名字也由此而来。其实泛洪攻击本质上仍然属于Dos攻击。了解这个攻击的原理之后，要预防起来也相对简单许多。通常情况下，只要能够限制初期连接的数量或者限制主机服务器的连接数据就可以预防这种攻击。在实际工作中，可以使用static命令来限制初期连接的最大数目。如根据需要，可以将这个数值设置为200或者500等等。

　　这里需要注意的是，这个最大的初期连接数不能够设置的太低。如果设置的比较低的话，则等到达到最大值之后，就会拒绝合法用户的访问，从而正中攻击者的下怀，导致了拒绝服务攻击。那么这个数值到底多少为合适呢?任何网络专家都无法给出一个肯定的答案。这主要是因为企业的网络环境不同、客户端的数量不同、用户并发访问的数量不同、所采取的应用不同，这个值的合理取值范围也是不同的。其他企业比较合适的初期连接最大数据，换一个企业可能就不合适了。那么该如何确定呢?笔者认为，安全管理人员可以先设置一个比较大的值。然后再通过命令“show local-host ip地址”来观察到主机的连接数据与初期连接数据的情况。在实际工作中，可能需要持续一段时间的跟踪与调整，最后才能够得到一个比较适合企业的参数值。

　　从以上三个DoS攻击的典型案例中大家可以看出，只要选择了合适的防火墙，并且对其进行了合适的配置，还是可以有效的预防DoS攻击的。