随着互联网的飞速发展,社会的信息化程度不断提高,计算机网络已经深入到社会的各个方面,带来了巨大的经济效益和社会效益,然而也带来不可忽视的安全风险。防火墙是一种安全有效且应用广泛的网络安全机制,但是传统的包过滤防火墙只对数据包的IP地址、协议和端口进行分析,不支持应用层协议,难以履行保护内网安全的职责;而应用代理网关防火墙难于配置,处理延迟很大,很容易成为内外部网络之间的瓶颈。因此,状态检测技术成为目前研究最广泛的防火墙技术,对每一个包的检查不仅根据规则表,更考虑了利用状态表跟踪每一个网络会话的状态,动态地打开和关闭端口,并加以会话超时的限制,能在很大程度上提高过滤安全性。Linux作为近几年迅速发展起来的易于管理、维护并可完全免费使用的操作系统,在系统的稳定性、健壮性及价格的低廉性方面都独具优势,随着Linux服务器的应用日益广泛,其安全性也越来越重要。本文开发的防火墙以保护Linux服务器的安全为目标,通过对Linux内核的深入研究,首先提出了Linux系统中状态检测技术的内核原理及用户空间实现方法,采用Netfilter的连接跟踪技术对传统包过滤做出了改进。然后从防火墙策略、总体设计、具体设计和iptables用户空间实现等几个方面来考虑,提出了较全面的防火墙设计方案,在此基础上分别实现了适用于Linux服务器SSH、FTP、DNS、Web等基本网络服务的防火墙模块,通过对包连接状态的检测而绕开其他繁琐的过滤规则,完成迅速数据流状态的分析,从而大大提高了防火墙的过滤效率,并通过测试证明其在实际应用中的有效性和可靠性,为Linux防火墙技术的下一步发展提供借鉴作用。