目前，随着网络入侵和攻击行为的迅速增长，网络安全问题成为人们日益关心且必须解决的问题。防火墙和网络入侵检测作为网络安全领域的两大关键技术，如能将它们实现某种程度上的结合，做到互为补充，充分发挥其对网络入侵和攻击行为的检测和防御功能，是十分有现实意义的。 端口扫描是网络入侵行为的第一步，是大规模网络攻击的前奏。课题在Netfilter防火墙框架中研究并实现了一个反TCP端口扫描系统，使防火墙在一定程度上能检测出包括隐蔽端口扫描在内的TCP端口扫描行为。此外，系统也具备检防一体的功能，即发现端口扫描行为之后能及时地采取过滤措施加以防范。本文首先介绍了TCP/IP协议的有关知识，系统地研究了端口扫描的原理、分类和隐蔽扫描技术，对现有的端口扫描检测方法和检测工具进行了分析，列举了这些方法和工具的优点，同时也指出了其存在的不尽完善之处。然后，对系统实现所涉及的Netfilter防火墙框架和Linux内核模块的相关知识做了比较深入的研究。 在研究基础上，提出并实现了工作在Netfilter内核防火墙框架中的反TCP端口扫描系统，并对其功能进行了全面的测试。对测试结果进行了分析，与现有的端口扫描检测工具进行了比较。结果说明课题实现的反TCP端口扫描系统由于综合采用了TCP标志位检测法、异常访问检测法和统计阈值检测法，具备检防一体的功能和良好的可扩展性，在网络层上实现了对被保护系统的内核级防护，是 现有端口扫描检测工具的一个有益的补充。 课题的研究对于在Netfilter防火墙中进一步实现更加丰富的入侵检测功能有一定的参考价值。