由于网络攻击行为的日益多样化,单一的网络安全技术已经不能满足当前的安全需求。本文介绍了一种新的分布式防火墙系统-主动式防火墙。主动式防火墙集成了网络地址转换NAT、虚拟专用网VPN、一次性口令认证OTP等技术,通过防火墙和入侵检测IDS、漏洞扫描Scanner等多种网络安全技术的联动,实现了动态防御。本文的研究工作主要分为两大部分。一是主动式防火墙系统框架的设计,包括主动式防火墙中的联动设计和基于安全增强的嵌入式Linux的硬件防火墙设计。二是安全增强的嵌入式Linux内核实现以及通用安全接口的实现。针对防火墙模块和IDS、Scanner等模块的联动,提出了一个包括联动策略接口、通用安全接口、安全信息管理等的整体框架。管理员通过联动策略接口制定系统的策略;安全信息管理主要对日志进行规格化并分析;通用安全接口保证传输数据的安全性。一旦IDS检测到入侵行为或者Scanner发现漏洞,安全信息管理通过对日志的分析后,通知防火墙修改过滤规则来主动的保护内部网络。通过对目前防火墙软硬件方案的优缺点,以及嵌入式Linux作为操作系统的优点的比较分析,提出并设计了基于Intel x86工业主板的硬件防火墙方案,实现了作为主动式防火墙平台的嵌入式Linux系统。由于嵌入式Linux在安全上的缺陷,无法满足作为防火墙平台的安全需要。在研究了现有的安全增强的Linux技术的基础上,实现了基于Linux capabilities的安全增强的嵌入式Linux系统。通过使用Linux capabilities这种强制访问控制策略,可以对文件、设备、进程等提供安全保护。