Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công.
Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính.
Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất.
SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi
hỏi ứng dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.
Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard.
Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ
chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology).