随着互联网技术的发展，企业对互联网更加依赖，互联网也通过其便捷的通讯能力、低廉的通讯成本令企业的组织模式产生了巨大变化。现在很多企业更愿意把传统的信息交流放在互联网这个大平台上，以协同信息系统对企业内外部资源进行统一调配；同时，企业也通过互联网寻找到更多合作伙伴，更多商机，他们利用互联网与异地企业共同完成大量合作项目，创造了以往不能想象的利润。然而，来自企业内部和外部的安全威胁随时会给企业运营带来巨大的灾难，并最终影响企业的盈利能力和客户满意度，安全问题已经成为现代企业面临的最大挑战。如何保证企业内部网络的安全呢?防火墙技术应运而生。防火墙技术被称为“网络安全的第一道闸门”，其重要性是显而易见的。本文从独立防火墙和分布式防火墙两个方面对防火墙策略的配置问题进行了研究，主要内容概括如下：(1)早期的防火墙策略表示模型注意力主要集中在提高过滤速度上，很少考虑防火墙策略本身也会发生改变这一情况。比如企业网络拓扑结构发生改变，防火墙策略中的一些规则已经无效了，那么我们需要删除这些规则，然而以前的这些工具不能动态的表示更新，相反，它们需要重新构造防火墙策略表示模型。而随着网络应用的进一步深化，防火墙策略是经常可能发生变化的。如果每次改变都需要重新构造防火墙，这个代价就太大了。我们给出了一种可动态更新的防火墙策略表示—MFDT。一方面，MFDT可以进行包过滤；另一方面，MFDT可以动态反应防火墙策略的更新。针对防火墙策略的三种更新情况，我们设计了相应的算法。对于更新后的MFDT，我们设计了合并算法，它可以合并MFDT中的相同子树，从而提高过滤效率。(2)企业根据自身的安全需要对防火墙进行相应的配置，其配置结果就是防火墙策略，也就是防火墙内部的规则表。然而，在独立防火墙的策略配置过程中，可能会出现一些问题。一方面安全管理员可能在最初配置规则表的时候，出现一些错误，另一方面随着规则表中规则数目的增长，不同的规则之间发生冲突的可能性也相应增加。我们就独立防火墙在策略配置过程中容易出现的5种错误进行了分析，根据不同的错误给出了相应的解决方案，我们也给出了检测错误的两种算法。基于归纳的算法可以快速的对策略配置错误进行检测，而基于Trie的算法由于采用了Trie结构，检测效率进一步得到提升。(3)分布式防火墙中的各个独立防火墙可能来自不同的厂商，它们的配置方法可能存在着一定的差异，这就给配置这些防火墙带来了一定的困难。另外，尽管防火墙的安全策略是统一制定的，但是这种安全策略一般由自然语言表示，由于自然语言的模糊性，不同的安全管理员对策略的理解可能并非完全相同，当他们配置独立防火墙的时候也就导致了独立防火墙间的策略不一致。面对这些问题，我们提供了一个平台—FPT，在这个平台上可以对分布式防火墙的防火墙策略进行比较，找出其中不一致的地方，然后修正防火墙策略，使分布式防火墙真正能够发挥其应有的作用。我们给出了FPT的构造算法，该算法可以把一个防火墙策略转换为等价的FPT，也给出了FPT的比较算法，该算法可以比较不同策略树之间的差异，在这两点的基础上，我们给出了分布式防火墙策略的比较模型。另外，即便每个独立防火墙都正确配置，分布式防火墙策略也还可能出现配置错误和冲突，给企业带来安全隐患。我们首先从防火墙规则域的可能关系出发，推导出防火墙规则的可能关系，然后，以此为基点，详细地探讨了可能存在的策略配置错误，同时也给出了检测错误的算法。