1.一種網關保護Web服務器免受HTTP?Flood分布式拒絕服務攻擊的防御方法，所述的網關設置在Web服務器所在的網絡邊緣，所述方法包括步驟：

客戶端連接Web服務器的開放端口，建立三次握手，網關接收客戶端向服務器發送的HTTP請求；

網關代替Web服務器向客戶端發送301應答；為該客戶端生成全局唯一的Cookie和端口值；使用新生成的端口號代替開放端口，構造新的URL，將Cookie值和新URL在301應答頭部返回給客戶端；301應答的頭部設置Connection字段值為close，通知客戶端關閉本次連接；

網關接收客戶端發送的帶FIN標志的TCP包，該數據包是客戶端用于通知服務器關閉本次連接的，網關作為中間人以服務器名義向客戶端發送帶ACK標志的TCP包響應連接的關閉；

網關以客戶端名義向服務器發送帶RST標志的TCP包，通知服務器關閉連接；

客戶端連接Web服務器的非開放端口；網關接收建立三次握手的SYN數據包，驗證目的端口值是否為預期的值，若是，對數據包進行端口轉發，允許TCP連接的建立；若不是，丟棄SYN數據包；

在非開放端口建立連接后，網關接收客戶端向服務器發送的HTTP請求，網關驗證HTTP請求頭部是否包含預期的Cookie值，若包含，將HTTP請求轉發給Web服務器；若不包含，將HTTP請求丟棄，并以客戶端名義向服務器發送帶RST標志的TCP包，通知服務器關閉連接。

2.如權利要求1所述的方法，其特征在于網關位于客戶端與Web服務器之間，包括對所有經過的IP報文進行IP分片重組的裝置。

3.如權利要求1所述的方法，其特征在于網關包括對所有經過的TCP數據包進行流重組的裝置。

4.如權利要求1所述的方法，其特征在于網關包括識別HTTP請求，并對請求頭部進行解析的裝置。

5.如權利要求1所述的方法，其特征在于網關包括代替Web服務器對客戶端HTTP請求進行應答的裝置。

6.如權利要求1所述的方法，其特征在于網關包括獲取正確的TCP頭部序列號、確認號，代替Web服務器對客戶端發送的帶FIN標志TCP包進行應答的裝置。

7.如權利要求1所述的方法，其特征在于網關包括代替客戶端對服務器發送帶RST標志TCP包的裝置。

8.如權利要求1所述的方法，其特征在于網關包括驗證TCP連接目的端口是否合法的裝置，包含對所有客戶端端口值進行生成、維護、更新的裝置。

9.如權利要求1所述的方法，其特征在于網關包括對數據包進行端口轉發的裝置。

10.如權利要求1所述的方法，其特征在于網關包括對每個客戶端的Cookie進行生成、維護、更新的裝置；包含檢查Cookie是否有效的裝置。?