與正常訪問相比，DoS（Denial-of-Service，拒絕服務）攻擊并沒有突出的特征，因而一直以來都比較缺乏有效的防護手段。對網站而言，除了一般的網絡層攻擊，還必須應對應用層的各種攻擊手段。

網絡層DoS攻擊通常都是通過海量數據傳輸消耗網站的接入帶寬，從而干擾甚至阻止普通用戶對網站的正常訪問，因而也被稱為“帶寬型攻擊”。這一類攻擊非常直觀，被攻擊服務器及相關的網絡設備上都能夠檢測出明顯的流量異常，而且隨著網絡接入帶寬的快速增長和路由器、防火墻等網絡設備的部署和發展，對這一類攻擊的識別和防護已經有了長足的進步，位于DMZ（Demilitarized Zone，非軍事區）的Web服務器已經能夠在很大程度上避免受到侵害。

與此同時，由于網絡應用的快速發展和豐富，Web服務器需要承載的功能越來越多，其對系統資源的消耗和需求也越來越高，從而使得應用層DoS攻擊逐漸成為主流。與網絡層DoS攻擊對帶寬的侵蝕不同，應用層DoS攻擊的目標是主機系統，以消耗系統運算和內存等資源為目的。針對Web服務器的應用層DoS攻擊可以從多方面進行：攻擊者可以同時發起各種服務，可以發出海量訪問請求，可以維持大量活動連接，可以建立很多會話，也可以發出惡意請求造成服務器出現緩沖區溢出。這些攻擊都是基于HTTP協議而精心設計的，因此如果不能深刻理解HTTP協議并識別具體的訪問請求，對目標Web服務器的防護將很難進行。

由于傳統上基于數據包的檢測通常都無法識別出應用層DoS攻擊，基于路由器、防火墻或IPS的防護措施對此大都無能為力，即使是專門的“流量清洗”設備，其作用也非常有限。與此同時，梭子魚則憑借先進的技術和深厚的積累提供了一個全面的解決方案：Web應用防火墻。梭子魚Web應用防火墻為Web服務器提供了全面的安全保護，針對應用層DoS攻擊的防護措施包括：

·反向代理的工作模式

通過建立虛擬服務器對外服務，將真實的Web服務器隱藏，并只轉發設定端口（例如80／443等）的訪問請求，從而減輕Web服務器的處理負擔。

· 隊列控制

控制從單個IP地址發起的并發訪問量，并維持訪問隊列，從而限制單個用戶對系統資源的占用。

·訪問頻率控制

如果某個源地址訪問網站的頻率超過設定門檻，源自該地址的訪問將被阻斷。

·會話跟蹤

如果某個地址訪問網站時在一定時間內新建應用會話的數量超過設定門檻，該地址將不能繼續新建任務會話。

·HTTP請求限制

限制HTTP請求中各參數的長度。這些限制能夠屏蔽惡意訪問，使Web服務器只對正常請求作出回應。

通過綜合運用上述保護手段，梭子魚Web應用防火墻能夠顯著提高Web服務器對應用層DoS攻擊的防御能力，保證網站正常運行。