随着计算机网络的迅速发展，网络攻击形式也变得越来越复杂、难于防御，尤其是DDoS攻击的出现，更是对网络安全造成巨大的威胁。如何构建一个高效的、完善的安全系统已成为安全管理领域的研究热点。 在研究和分析现有的安全机制的基础上，有针对性地指出当前研究的安全技术在防范与反应现在广泛流行的DDoS攻击时所体现的不足。一方面，由于该攻击利用正常的网络数据包实现对网络的攻击，因而通用的基于特征的误用检测技术无法实现对DDoS攻击的检测；另一方面，大部分DDoS攻击都会采用伪造源IP地址的技术，从而躲避基于异常模式监控工具的识别，且增加了网络设备或者通用的边界安全设备的安全配置难度。最后还提出了一种全新的基于QoS策略的DDoS防火墙防御模式。 同样的，ARP攻击也是大型局域网面临的最大威胁之一。利用此攻击进行网络监听是黑客们经常用的招数。论文介绍了ARP攻击的原理以及常见的攻击方式，防御方式，给出新型的了基于Cisco交换机的动态ARP检测构建方式。 由于研究的主要目的主要是针对IDC大型网络的需求，对此类攻击进行预防与防御。因此，分别通过2次实验，对2种攻击最常见攻击的行为进行分析，对防御工具性能进行测试与评价，提出了一系列IDC大型网络的防御系统构建措施，对实际应用有非常大的指导性作用。