在网络技术不断发展的今天,网络在带给我们便捷高效的生活的同时也伴随着各式各样的网络安全问题。近几年来不断爆发各种网络安全事件如12306泄密事件,棱镜事件等,都在警示着我们不能忽视网络安全问题。防火墙作为防止网络攻击的一种主要方式,通常被用作阻止不合法的连接和将内部网络从不安全的网络中分割出来。iptables表链规则作为Linux防火墙过滤数据包的依据,是服务器安全策略的具体实现,Linux防火墙的防御能力直接受过滤规则配置的好坏的影响。Linux为我们提供了防火墙框架Netfilter,我们能够使用用户空间模块工具--iptables在该框架上实现防火墙功能。iptables提供了日志功能录数据包的各种信息,使得我们能够根据日志信息及时发现网络攻击,改进我们的配置,从而配置出更为安全的Linux防火墙。本文基于个人Linux主机对于防火墙的需求,通过使用Linux防火墙工具Netfilter/Iptables对防火墙进行配置,设计并实现了一个基于Linux操作系统的状态检测包过滤防火墙,最后通过使用SSH Secure Shell等测试工具验证了防火墙的安全性和有效性。具体的研究内容和成果如下:1、本文基于防火墙系统中的netfilter/iptablesIP过滤包系统实现了常见协议的状态检测功能,通过状态检测功能我们能够降低常见包过滤防火墙因检查每个报文头文件所带来的资源浪费和时延,从而大大减低了个人主机因防火墙所带来的额外开销。2、针对Linux用户主机,分析常见DDoS的攻击原理和攻击方法,通过分析和调节Linux主机下/proc目录下各个文件,并通过netfilter/iptablesIP过滤包系统为用户添加相应的的规则链,设计实现了SYN Flood、ping Flood和端口扫描攻击的防御模块。最后通过测试,该防火墙能够抵御常见的DDoS攻击,并对用户主机的性能影响较小。