Internet的普及与发展赋予人们的快速海量信息交换的便捷,同时也给网络管理带来了的诸多令人头痛的内容安全性问题.在网络内容监控和过滤领域,目前存在以下问题:常用的系统承载平台Linux受GPL许可证协议约束、发行版本混乱、升级系统时关联性问题突出,Windows稳定性差、内核不能定制、耗费资源多;各种平台下的包捕获机制,一般只能实现"嗅探"功能,而不能"截断"网络数据包,进行直接的过滤和拦截处理;基于操作系统内核防火墙框架开发的程序模块钩子深度不够、只能处理IP队列中的数据包;基于代理的做法仅能以端口号作来判断协议类型、过多利用软中断服务导致系统效率降低.针对在网络内容监控和过滤领域存在的这些问题,该文深入剖析了FreeBSD操作系统上的Netgraph内核网络子系统的运行原理和机制;同时基于Netgraph内核系统,设计并实现了一个全新的实时网络内容过滤引擎,在引擎下面可以挂接针对不同应用协议(如HTTP,POP3,SMTP等)的过滤器.整个网络内容过滤引擎系统的设计可以分为三个层次,分别是由若干个专门设计的Netgraph结点相互连接而成的内核子系统、进行主要的数据分析处理工作的用户级过滤子系统和对应于每个过滤器的过滤规则库.该引擎具备高性能、功能强大、高性价比、灵活、模块化、易于扩展等优点.该文的研究成果可以于网络内容监控和过滤网关系统及需要实现数据包内容分析的网络防火墙系统中,对于学校、网吧、公司等对内容安全性要求较高的场所有较高的实用价值.该文中详细阐述了基于Netgraph的网络内容过滤引擎的系统总体架构、内核网络结点设计、各主要内核模块设计和Netgraph内核技术的优势,并且探讨了系统实验环境、内核数据结构、内核配置方式、用户进程处理流程以及其他的系统实现细节.