在计算机网络和信息的安全防护方面,防火墙是最基本,也是最有效的网络安全设备,其往往是多种网络安全技术的集中体现.访问控制技术、策略管理技术、审计管理技术、认证技术、入侵检测技术、VPN等等,无不在防火墙技术上体现.该文主要研究了互动式防火墙的原理和以状态检测技术为主的复合防火墙的原理.互动式防火墙,主要是指整合系列安全产品,构架成联动一体的产品体系,实现对用户、资源和策略的统一管理,确保整体解决方案的安全一致.以状态检测技术为主的复合性防火墙,相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能.Linux具有开放源代码的巨大优势,为我们研究防火墙提供了优越的条件.该文先是剖析了网络设备的初始化工作,接着对数据包的传输和接收进行了分析,最后介绍了Netfilter的工作原理.Netfilter提供了一个抽象、通用化的包处理框架,通过在Netfilter中定义的捕捉点上注册包处理函数,可以实现状态检测防火墙的设计与实现.该文设计的状态检测防火墙,除了对TCP、UDP、ICMP进行了具体的设计外,并设计了访问控制算法进行了功能拓展.