本文针对防火墙中透明模式和流过滤技术进行了研究与实现。 很多网络在建设初期并未考虑到安全问题，然而网络安全日益重要。防火墙是保护内网安全的最有效手段，如何在不改变网络各种配置和拓扑的情况下，方便、经济地在原有网络中接入防火墙，成为防火墙应用中面临的一大问题。防火墙按照接入方式是否透明分为透明模式和非透明模式两种，透明模式较非透明模式有诸多优点。 传统防火墙均是非透明的，近两年国内才陆续出现一些实现透明模式的防火墙产品，其实现基本是两种方案，网桥模式或ARP透明代理结合转发策略，两者都有一定弊端。鉴于此，本文从透明模式防火墙的特征和功能出发，探讨了其本质、技术实现要点及可行性方案，给出有别于上述两方案的实现：网卡置于混杂模式，保留MAC地址，IP重组、检查、转发过程一气呵成，将透明模式的实现融合在IP重建中，使得整个防火墙体系结构更加紧凑，提高了效率。 防火墙的核心技术可概括分为包过滤和应用代理，面对网络攻击日益向应用层发展，二者都显得力不从心。流过滤是防火墙技术中一个新概念，它代表了一种全新的防火墙体系结构，不但克服包过滤和应用代理的诸多缺陷，而且融合了它们的优点，提高了抗攻击性。 据调研，目前国内只有东软的产品NetEye实现了流过滤技术，但并非报道的那样对应用完全透明，仅是支持应用协议扩展而已。研究相关技术文档，以流过滤的功能实现为目的，对TCP、应用层协议以及TCP网络应用过程报文传输规律深入研究、分析，依次得出了流过滤的含义、基本实现原理和技术实现要点，找到一种对应用透明的流过滤实现方案：根据是否含应用数据、所含应用数据的种类、并结合标志位，将TCP报文分为4类；对不同种类TCP报文进行不同处理；对含有成块数据流的这类TCP报文，通过专用TCP，在维持双方TCP连接的同时，将其滞留、重组、检查，若合法再继续双方的TCP连接将其转发，整个过程透明：对其他种类TCP报文，以状态检测为主搭配该报文特点来过滤。方案的关键为专用TCP的构建，不同于通用操作系统中以RFC文档为模板的标准TCP实现。 保留MAC地址，同一数据结构下的IP报文重组、检查、转发过程一气呵成，将透明模式融合在IP重建过程中实现；在对TCP报文采取分类处理的指导思想下，通过重建专用TCP来实现流过滤；这些均为本文创新之处。最后实验结果表明本文提出的方案切实可行，基本达到预期效果。