防火墙技术体系作为网络安全领域的一个重要分支,越来越受到业界的关注。目前,基于Linux的防火墙已有很多并各具特点。但是,它们在抵御DoS/DDoS攻击方面,还有些不足。针对于此,本文就DoS/DDoS攻击原理、监测方法、防御手段等方面进行了研究。本文首先简要分析了DoS/DDoS的攻击原理、攻击方式及SYN Cookie的实现原理,对该机制的不足之处进行了较为深入的剖析。使用SYN Cookie机制,一方面可以有效的抵御SYN Flood攻击,另一方面却为ACK Flood攻击提供了机会。为此,本文提出了使用微量内存建立连接表的方法,提升了系统遭受攻击时的生存水平。在攻击监测方面,本文通过分析攻击数据流的特征,提出使用多个门限值的监测方法,提高了监测的准确率,降低了监测的误报率,并在有线驱动中,在网卡收发数据报文的地方实现数据包的捕获,捕获的成功率要优于Libpcap方法。在攻击的防御方面,本文提出了IP身份认证机制,建立状态表对请求连接的IP进行分类,对可信任的IP不进行复杂的过滤,提高了防御的效率,在遭受攻击时最大程度的保证了合法用户的连接。软件编程方面,实现了使用微量内存建立连接表、基于多个门限值的攻击监测模块,使用状态表的IP身份认证机制,并按测试规范进行了较充分的测试。测试结果表明,在抵御SYN/ACK Flood混合攻击的时候,本文设计的防火墙系统要优于Linux自带的SYN Cookie机制,使用本防火墙的路由器产品要优于目前市场上的主流路由器产品。