随着互联网覆盖范围的日益扩大,网络应用服务的增多以及互联网网民人数的大幅增长,越来越多的人通过网络进行购物、账单缴费等活动,但与此同时网络攻击、病毒感染的次数也在随之增长。为维护网民的合法权益及个人信息安全,保障网络安全成为当前的重要研究课题。在所有的安全威胁中分布式拒绝服务攻击(Distributed Denial of Service,DDoS)因其易于发起、攻击危害大等特点而被广泛使用,这使得针对DDoS攻击的检测与防御技术研究成为热点。针对网络层和传输层协议漏洞的攻击自DDoS攻击诞生以来就成为其重要的攻击手段,随着防御方法的不断提升,人们提高了对网络层和传输层攻击的防御能力,但目前针对应用层的攻击不断涌现且破坏力更大,成为DDoS攻击研究的新目标。防火墙是维护网络安全的核心设备,为保护网络安全,防火墙会按照策略对出入其的报文进行监控,常用的防火墙技术包括数据包状态过滤技术、网络地址转换技术、数据加密技术、隧道传输技术等。为使防火墙设备可以应对DDoS攻击,有效保护网络安全,本文在防火墙设备上实现了DDoS攻击防御功能。本文首先分析了DDoS攻击现状及发展方向,并依次介绍了网络层、传输层及应用层报文结构、协议交互过程,针对不同类型报文及协议交互过程给出相应的防御策略,其中重点研究了应用层攻击防御策略。在以上研究基础上提出了DDoS攻击防御系统,对系统进行了详细的需求分析和运行设计,并在防火墙设备上实现了DDoS攻击检测与防御系统。最后,通过手工测试及自动化测试等方法对系统进行基本功能测试、性能测试及压力异常测试。本系统具有实时配置功能,可根据不同的攻击类型来配置策略,来执行相应的防御动作,可执行的动作包括:加入代理验证源端真实性,丢弃报文和加入黑名单。源端认证是防御过程的核心,当开启源端认证命令后,系统会向报文的源端发送构造的认证报文,若源端能够正确回应则认为不存在恶意攻击。当源端通过认证后,会被加入信任列表,但信任列表具有时限性,一段时间后当有该源端报文到达设备时,则需再次进行源端认证。测试结果表明本系统可以有效检测与防御DDoS攻击。