随着Internet 的飞速发展,计算机网络在各个领域的广泛应用,网络安全问题也日益突出地显露出来并受到人们的广泛关注。本文首先分析了网络安全问题的现状,研究了各种网络攻击的方法,讨论了各种实现网络安全的技术。而防火墙作为最早出现的网络安全产品和使用量最大的安全产品,在保护网络安全方面起着十分重要的作用,它是保障被保护网络和外部网络之间信息传输安全性的有效手段。Linux 良好的网络性能和开放源码的特点,使越来越多的用户选择了Linux 作为防火墙的操作平台。Linux 防火墙的发展也是相当迅速的,最开始是Linux 2.0 内核的Ipfwadm,随后是2.2 内核的Ipchains,到Linux 2.4 和2.6 内核的Netfilter/Iptables 框架,防火墙的基本概念发生了很大变化,整体设计也有了较大的发展。Netfilter 框架是一个通用的、可扩展的的框架,其本身提供了包过滤(Packet Filter)、网络地址转换(NAT)功能和包处理系统。本文对netfilter 框架原理和iptables 工作过程进行了深入的研究,分析了在netfilter 框架下防火墙的设计与实现,通过iptables 和POM 库扩展命令设计了一个简单的防火墙系统,并且在内核模式下编写了一个测试模块来说明netfilter 框架的可扩展性。目的是希望通过对netiflter 的二次开发研究,在保障网络安全的前提下,尽可能降低费用,来开发较高性价比的防火墙系统。Netfilter 框架技术的进一步研究必将对推动防火墙技术的发展。