随着计算机网络的全球化，网络应用不断发展，随之引发的网络安全问题越来越为企业和政府所重视。传统的网络安全技术侧重于网络的入侵检测或防病毒软件，这类安全措施通常不能减少网络中的异常包，特别是面对不断发展的DoS/DDoS攻击，用户网络只能处于一种被动的防御地位。 随着Linux的不断完善发展，在linux2.4内核中提出并实现了Netfilter框架。Netfilter框架中使用了连线跟踪、包过滤、地址转换等技术，并采用了动态的安全策略。目前Netfilter/IPtables经受住了大量用户广泛使用的考验，取得了令人十分满意的效果。 本文在分析Netfilter框架的基础上，设计并实现了一个基于流量分析的双阈值包过滤防火墙系统。该系统实现了对拒绝服务攻击的入侵检测以及当攻击产生时过滤异常包等功能。