随着计算机技术的发展和网络应用的日益普及，网络安全已成为网络化、信息化中必须解决的首要问题，针对当前网络攻击中最具代表性的典型攻击的防范方法的研究具有重大的现实意义。　　防火墙作为一种安全有效的网络安全机制，已经得到广泛认同，Netfilter是Linux下的一个防火墙框架，具有很好的扩展性。本论文在对ARP攻击和DDoS攻击中UDP Flood攻击的原理分析的基础上，以Netfilter防火墙为平台，采用“基于源IP的速率统计”和“全局速率统计”两种处理流程相结合的方案设计了抗ARP洪泛攻击系统；基于“不信任原则”、“报文合法性效验”和“MAC状态机制”三点核心原则以及过滤机制设计了抗ARP欺骗攻击系统；采用以特征匹配为核心的DDoS防御和会话检测相结合的机制设计了抗UDP FLOOD型DDoS攻击防范系统。测试结果表明，防范系统成功解决了ARP攻击造成的动态ARP表项被恶意篡改，动态ARP表被打满而无法学习新的ARP表项以及UDP FLOOD型DDoS攻击造成的系统资源耗尽问题。