该文结合IP-VPN技术,对新型防火墙在Linux操作系统上的实现进行了深入研究.新的防火墙增强了TCP/IP层的安全性,通过重新编译了Linux操作系统的内核,在其TCP/IP协议栈中添加了VPN模块,即把所有通过Internet传输或接收到的数据包,相应地进行加密、解密处理.防火墙作为整个子网VPN网关,在VPN间建立安全联盟SA,由SAD和SPD共同管理SA,负责所有受保护主机之间跨越公众网的通讯的参数配置,由IKE负责密钥的管理和传输工作.针对传统防火墙中的静态包过滤存在的问题,该文提出改进成为动态包过滤模块的思想.利用Linux操作系统强大的网络功能模块NetFilter,通过缓存比较每个连接在不同时间的状态,可以分析出该连接是否存在潜在的安全威胁;包过滤的规则中,除了最基本的规则,防火墙可以在运行中根据框架的规定,自动插入或者删除规则,从而实现了动态防火墙,大大节约防火墙宝贵的资源.在此基础上,该文完成了新型防火墙的设计并加以实现.