本文提出了一种基于FPGA的硬件防火墙的实现方案,采用了FPGA来实现千兆线速的防火墙。传统的基于X86等通用CPU的防火墙无法支撑快速增长的网络速度,无法实现线速过滤和转发。本文在采用FPGA可编程器件+通用CPU模式下,快速处理网络数据。网络数据在建立连接跟踪后,直接由FPGA实现的快速处理板直接转发,实现了网络数据的线速处理,通用CPU在操作系统支持下,完成网络数据的连接跟踪的创建、维护,对网络规则表的维护等工作。FPGA硬件板和CPU各司所长,实现快速转发的目的。本文设计了基于FPGA的硬件板的硬件规格,提出了硬件连接跟踪表的存储模式,以及规则表的存储模式和定义等;防火墙系统软件采用NetBSD操作系统,完成了硬件板的NetBSD的驱动;在软件系统完成了新建连接的建立、下发、老化等工作;在连接跟踪上完成了规则的建立、删除、修改等工作。本文完成了防火墙的实现。实现了基于连接跟踪的包过滤、地址转换(NAT),设计了连接跟踪的关键数据结构,包过滤的关键数据结构等,重用了NetBSD操作系统的路由。本文针对地址转换应用程序的穿透问题,新增了部分实现。在DoS攻击是一种比较常见的攻击网络手段,本文采用了软硬件结合的方法,不仅在软件部分做了完善,也在硬件部分采取了相应的措施,测试数据表明,对常见的Syn洪水攻击效果明显。在实践过程中,我们发现了NetBSD操作系统内核的软件缺陷,做了修正,使之更完善。经过测试分析,本方案不仅明显的优于X86方案,和基于NP方案、基于ASIC方案比较,具有灵活、可配置、易升级的优点。