一般的訪問控制主要在防火墻中進行設置，制定一些安全策略：如內部局域網的資源不允許外部網上的用戶使用；不設防區(又稱非軍事區)可以為內部或外部局域網，其中的資源允許外部網的用戶有限度地使用；可以使外部用戶訪問非軍事區（DMZ區）的WEB服務器等等。深入分析研究防火墻技術，利用防火墻配置和實現的漏洞，可以對它實施攻擊。通常情況下，有效的攻擊都是從相關的子網進行的，因為這些網址得到了防火墻的信賴，雖說成功與否尚取決于機遇等其他因素，但對攻擊者而言很值得一試。

　　突破防火墻系統最常用的方法是IP地址欺騙，它同時也是其他一系列攻擊方法的基礎。之所以使用這個方法，是因為IP自身的缺點。IP協議依據IP頭中的目的地址項來發送IP數據包。如果目的地址是本地網絡內的地址，該IP包就被直接發送到目的地。如果目的地址不在本地網絡內，該IP包就會被發送到網關，再由網關決定將其發送到何處。這是IP路由IP包的方法。IP路由IP包時對IP頭中提供的IP源地址不做任何檢查，并且認為IP頭中的IP源地址即為發送該包的機器的IP地址。當接收到該包的目的主機要與源主機進行通訊時，它以接收到的IP包的IP頭中IP源地址作為其發送的IP包的目的地址，來與源主機進行數據通訊。IP的這種數據通訊方式雖然非常簡單和高效，但它同時也是IP的一個安全隱患，很多網絡安全事故都是因為IP這個的缺點而引發的。

　　黑客或入侵者利用偽造的IP發送地址產生虛假的數據分組，喬裝成來自內部站的分組過濾器，這種類型的攻擊是非常危險的。關于涉及到的分組真正是內部的還是外部的分組被包裝得看起來象內部的種種跡象都已喪失殆盡。只要系統發現發送地址在其自己的范圍之內，則它就把該分組按內部通信對待并讓其通過。

　　通常主機A與主機B的TCP連接(中間有或無防火墻)是通過主機A向主機B提出請求建立起來的，而其間A和B的確認僅僅根據由主機A產生并經主機B驗證的初始序列號ISN。具體分三個步驟：

　　主機A產生它的ISN，傳送給主機B，請求建立連接；B接收到來自A的帶有SYN標志的ISN后，將自己本身的ISN連同應答信息ACK一同返回給A；A再將B傳送來ISN及應答信息ACK返回給B。至此，正常情況，主機A與B的TCP連接就建立起來了。

　　B ---- SYN ----> A
　　B <---- SYN+ACK ---- A
　　B ---- ACK ----> A

　　假設C企圖攻擊A，因為A和B是相互信任的，如果C已經知道了被A信任的B，那么就要相辦法使得B的網絡功能癱瘓，防止別的東西干擾自己的攻擊。在這里普遍使用的是SYN flood。攻擊者向被攻擊主機發送許多TCP- SYN包。這些TCP-SYN包的源地址并不是攻擊者所在主機的IP地址，而是攻擊者自己填入的IP地址。當被攻擊主機接收到攻擊者發送來的TCP-SYN包后，會為一個TCP連接分配一定的資源，并且會以接收到的數據包中的源地址（即攻擊者自己偽造的IP地址）為目的地址向目的主機發送TCP-（SYN+ACK）應答包。由于攻擊者自己偽造的IP地址一定是精心選擇的不存在的地址，所以被攻擊主機永遠也不可能收到它發送出去的TCP-（SYN+ACK）包的應答包，因而被攻擊主機的TCP狀態機會處于等待狀態。如果被攻擊主機的TCP狀態機有超時控制的話，直到超時，為該連接分配的資源才會被回收。因此如果攻擊者向被攻擊主機發送足夠多的TCP-SYN包，并且足夠快，被攻擊主機的TCP模塊肯定會因為無法為新的TCP連接分配到系統資源而處于服務拒絕狀態。并且即使被攻擊主機所在網絡的管理員監聽到了攻擊者的數據包也無法依據IP頭的源地址信息判定攻擊者是誰。