DDoS(分布式拒绝服务攻击)是一种攻击强度大、危害严重的攻击方式。它利用合理的请求来占用过多的服务器资源,致使服务器超载,无法响应其他的请求。因为这种攻击一般通过分布在不同计算机上的攻击进程进行攻击,同时运用IP欺骗和洪水攻击等手段,因此对它进行检测和防御就显得非常困难。netfilter是Linux2.4以后的内核中采用的一个结构清晰,便于扩展的优秀的防火墙框架。本文主要介绍了如何在netfilter基础之上实现一个能防御DDoS攻击的防火墙。本文首先对网络安全的定义以及防火墙的分类做了一定的概括。然后深入到Linux内核分析了网络数据包的处理流程。对netfilter框架和iptables进行分析,了解了Linux内核防火墙的实现机制。随后研究了当前主要DDoS攻击的原理,尤其对SYN洪水攻击从原理到防御方法做了详尽的阐述,在此基础之上,介绍了如何通过自行设计的算法来实现一个基于netfilter框架的抗DDoS防火墙。该防火墙以模块的方式加载运行,工作在Linux内核网络协议栈的底层,随内核工作而工作,减少了系统消耗,提高了工作效率。单独的Linux内核防火墙并没有太大实用价值,所以本文又介绍了如何将内核模块程序与用JSP开发的Web应用程序有机结合起来,构成一个体系完整,具有实用意义的防火墙产品。经过大量的实验和数据分析,证明我们设计的防火墙能有效的防御各种DDoS攻击,且运行效率很高,达到了预期的设计目的。