互联网已深入人类生活的各个领域，并发挥着越来越重要的作用。随着互联网的发展，网络安全问题日益成为人们关注和研究的焦点。目前，防火墙是解决网络安全问题的首选方法，它是实现信息安全性、私有性、完整性等安全保障的主要手段。但网络的迅速发展使得传统防火墙的诸多内在缺陷逐渐暴露出来，例如防外不防内，依赖网络拓扑结构等。因此人们提出了分布式防火墙(DistributedFirewall，DFW)的概念，有效弥补了传统防火墙的缺陷。 从1999年由StevenM.Bellovin首次提出至今，人们不断对分布式防火墙模型进行研究和改进，提出了基于信任管理(TrustManagement)的分布式防火墙、实现分布式入侵检测功能的分布式防火墙等新的模型和实现方法。这些方法都力图通过一定的机制确保分布式防火墙系统的可靠性，但到目前为止还没有一种方法可以实现对分布式防火墙的各个组成部分进行实时跟踪。 本文从介绍分布式防火墙的概念和模型开始，在参阅了大量国内外该领域的研究成果的基础上，详细介绍分布式防火墙的基本原理、本质特征、体系结构等基本理论问题，深入研究之后提出巡逻兵的概念。巡逻兵的任务是根据管理员指定的巡逻策略，对不同安全级别的主机进行不同频率的安全巡逻，以确保主机防火墙系统的活跃性、主机防火墙系统上安全策略的完整性，并将巡逻结果向安全巡逻服务器进行汇报，从而及时发现有问题的主机，最大限度地避免由于主机防火墙出现问题而导致的各种损失。安全巡逻服务器的主要功能是指定巡逻清单、根据巡逻规则派遣巡逻兵、收集巡逻兵的汇报信息等。本文对改进模型中的主机防火墙(HostFirewall，HFW)、控管中心(ControlManagementCenter，CMC)、安全巡逻服务器(SecurityPatrolServer，SPS)和巡逻兵进行了详细的设计，然后通过一组试验验证巡逻兵的功能和可行性。