随着宽带网络设施的日益完善，许多高带宽的多播应用层出不穷。传统的防火墙由于缺乏对多播数据转发的支持，成为了多播应用中的阻碍。因此迫切需要一种能够按需转发多播数据流、提供过滤控制的解决方案。 本文根据防火墙所处网络位置的拓扑特征提出了基于IGMPPROXY协议和多播规则相结合方案。结合千兆防火墙的硬件特点，采取了三层软件架构，每个层面完成最适合本层硬件的功能。在IGMPPROXY协议的设计中采用了基于事件驱动的机制，将网络行为抽象成事件，再通过事件触发有限状态机的执行，不但更加清晰地描述了协议的行为并且简化了协议的实现。为了减少协议和系统其他部分的藕合度，将通过一个运行在用户空间的守护进程来完成协议的功能。守护进程即使出错退出了也不会影响系统总体的运行。多播规则实现了防火墙对多播数据流的控制功能。在设计时采用了操作接口和存储结构分开的作法，存储结构发生改变，只要维持接口的统一，其他模块不需任何变动。在实现时，选择了Linux平台，并采用了C语言作为开发工具。最后，功能和性能测试表明防火墙对多播数据的转发达到了预期的目标。