随着互联网的飞速发展,人们对互联网的安全性、可信性的要求越来越高。然而,网络安全却在不断恶化,网络攻击频繁发生。源地址欺骗是网络攻击中经常使用的重要手段之一,它利用了现有IPv4网络自身设计上的缺陷,使得攻击屡屡奏效。尤其是基于源地址欺骗的DoS/DDoS攻击,以其影响范围大,破坏性强,难于防范的特点,成为当前网络安全的主要威胁之一。IPv6在协议安全上弥补了IPv4的众多不足,特别是将IPSec作为必备协议,大大提高了IPv6自身的安全性。但是本文发现,IPSec的安全机制存在两个主要的漏洞。一方面,IPSec仅能保证端到端的安全,缺乏对网络基础设施的保护,无法在传输过程中保证数据源地址的真实性;另一方面,IPSec的加密认证机制需要消耗一定的系统资源,可能成为DoS/DDoS攻击的目标。由此可见,IPv6并没有完全解决源地址欺骗问题,真实地址仍然是IPv6安全性的重要组成部分。传统的防御源地址欺骗的方法缺乏对二层地址欺骗的防护,为了弥补这一缺陷,本文将802.1x协议运用到接入认证中,从而有效的保证了链路层地址的真实性。针对校园网的特点,本文提出了一套利用网络基础设备,将三层过滤和二层认证相结合的保证地址真实性的安全体系。最后,利用OPNET仿真软件对这一安全体系防御DoS/DDoS攻击的效果进行了仿真,仿真结果表明,利用本安全体系,可以保证网络中传输的数据的源地址的真实性,有效的防御基于源地址欺骗的DoS/DDoS攻击。