随着网络应用的普及和深入,拒绝服务(DoS)攻击对网络安全的威胁日益增加。拒绝服务攻击的目的不是盗取信息,但它能使设备或网络陷于瘫患,导致用户不能访问网络资源。基于目前DDoS攻击的破坏性,所以对于研究防御此种攻击的工作尤为重要。本文围绕DDoS防护网关这一主题展开工作,在Linux Netfilter-iptables的基础上,设计并实现了一种动态过滤DDoS攻击报文的模块,并且取得了良好的实验效果。首先,本文介绍了TCP/IP协议的分层情况,详细叙述了TCP/IP协议族中的几个重要协议,IP网际协议,TCP传输控制协议,UDP用户数据报协议。对这3个重要协议进行了详细解释和描述。并对两种传输层协议进行了比较。其次,本文详细分析了DoS攻击的各种方式以及原理,描述了DDoS的攻击方式和原理。然后详细分析了大多数的DDOS攻击主要是采用TCP洪流攻击SYN Flood,给出了目前最有效的防止此攻击的SYN Cookie原理,并且做出了改进,给出了实现防火墙的模型原理。再次,本文介绍了本系统采用的硬件平台,以及本系统的平台结构和原理,在深入分析了Linux Netfilter-iptables结构以及代码的基础上,设计了一种动念过滤的方法来过滤DDoS的攻击包的防护系统模块,给出了防护攻击的整体思路和流程以及各种处理相关攻击报文的动作算法,并给出了本防火墙的操作主界面,以及实验测试数据,为以后的研究工作提供了理论和应用依据。最后,对全文做了总结,并且对网络安全的前景进行了展望。