拒绝服务攻击是计算机网络中最具有破坏力的一种攻击方式。它利用软件的漏洞、TCP/IP协议的缺陷和网络带宽资源的有限性,向被攻击方恶意发送许多连接请求或无用的数据包。从而大量占用受害者的系统资源和带宽资源使其无法再继续响应正常用户的请求。本文的主要内容有:1.介绍了防火墙基本概念与关键技术。对常见DoS攻击的原理和方法进行了说明,并详细介绍了SYNFlood攻击的原理与过程。2.通过对SYNDefender转发模型与网关模型对比与分析,提出了一种新的防SYNFlood攻击的模型。3.防火墙是在Netfilter基础上的二次开发,利用Linux的可加载内核技术实现。在实验中,我们采用了三台攻击机对一台Web服务器进行攻击实验,攻击所采用的软件是xdos。实验时,通过对比没有防火墙与开启防火墙时候,DoS攻击对防火墙的影响来测试我们改进后的算法防DoS攻击的效果。经测试,设计的防火墙能有效防御DoS攻击,并且运行效率比较高,达到了预期的设计目的。