本发明提供一种防火墙攻击防御方法,其通过将一攻击防范模块应用于已具备基于安全区域的配置管理、报文管理和会话管理等功能的防火墙,实现网络攻击检测功能,精确检测单包攻击、扫描攻击和泛洪攻击。单包攻击具体包括:ICMP重定向攻击、ICMP不可达攻击、IP源站选路选项攻击、路由记录选项攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击。扫描攻击具体包括:地址扫描攻击、端口扫描攻击。泛洪攻击包括:TCP SYN Flood攻击、ICMP Flood攻击、UDP Flood攻击。检测到网络攻击后,根据配置采取相应的防范措施,例如丢弃报文、加入黑名单、输出告警日志等。实现TCP代理联动机制下的Safe Reset技术,有效防御TCP SYN Flood攻击。