那么企业应该采取哪些DDoS防护措施呢？具体方式如下：

1、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。

2、把网站做成静态页面或者伪静态

减少动态脚本的使用，这样能大大提高抗攻击能力，也让黑客不那么容易入侵，此外如果需要调用数据库的脚本，一定要拒绝代理服务的访问。如新浪、搜狐、网易等门户网站主要都是静态页面。

3、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

4、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，会较大降低网络通信能力，但有些时候必须使用NAT，那就没有好办法了。

5、隐藏服务器的真实IP地址

服务器前端加CDN中转，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

6、部署CDN

CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种DDoS防护方法。

7、增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统，本身就具备一定的DDoS防护能力，只是默认状态下没有开启而已。若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个。

8、拦截含特定词语的HTTP 请求

HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。

9、定期检查

（1）定期扫描漏洞，时打上补丁。要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。（2）检查访客来源。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源。使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽，有助于提高网络安全性。