随着计算机网络的飞速发展，各公司、企业、政府机关交流信息的方式正在发生变化。但这些部门面临的最大的问题就是如何用一种有效的安全解决方案来保护网络及信息系统不受攻击。在众多的方案中，防火墙是安全解决策略的关键部分。　　 防火墙是位于私有网络和公有网络之间的一种安全信任机制。本文主要针对防火墙技术和防火墙应用的模型、实现进行研究。研究工作主要分为三部分。首先，改进Linux防火墙以防范TCP Flood的DoS(Denial of Service)攻击；其次，设计一种新的基于双网关的单工通信防火墙模型；第三，通过改进ARP协议机制，提出一种新方法来防范ARP欺骗攻击。论文主要组织如下。　　 第一部分研究了防火墙技术的相关概念及其在Linux防火墙的实现框架。鉴于TCP洪泛攻击是最主要的DoS攻击方法，我们分析了现有防范方法的不足，然后提出了一种分配TCP连接信息摘要的方案。该方案可以同时抵御主机资源攻击和网络带宽资源攻击。　　 第二部分我们讨论了现有的防火墙模型。金融部门对网络安全格外关注，既要阻止外网对内网用户私有资源的访问，又要将实时信息发布到外网。为解决这个问题，我们提出了一种新的防火墙模型，即基于双网关的单工通信系统，然后在内外网关链路层设计了专有协议，并通过形式化描述工具Petri网对该协议进行了描述和验证。　　 第三部分，防火墙仅仅能有效地保护内部网络不受外网攻击，也就是说，如果攻击来自内部网络，防火墙就无法处理。据统计，网络攻击有70％以上来自内部，而ARP欺骗是一种最常见的内部攻击。因此，对ARP协议探讨一种有效的改进机制具有极其重要的意义。本文深入研究了ARP协议的工作原理，ARP协议存在的缺陷和已有的ARP攻击对策。在此基础上，我们提出通过改进协议机制的新方法来有效抵制ARP欺骗攻击。　　 论文最后对下一步的工作做出了展望。