随着Internet的飞速发展，网络信息安全日益受到业界的关注和重视，防火墙作为普遍使用的网络信息安全技术成为研究的热点。Linux下基于Netfilter/iptables架构的防火墙具有很多优点：如在内核空间执行防火墙代码，性能相对较高；钩子函数、模块化等使得其具有极强的扩展性等。 Linux防火墙虽然优点明显，但目前仍然面临着很多问题，一是由于网络带宽的增加及应用程序的日渐广泛，使得防火墙越来越成为制约网络的瓶颈。同时，随着网络安全需要与各种细粒度的网络控制的需求增加，防火墙的规则集规模在不断增大，这也会导致防火墙的性能下降。 本文针对上述主要问题，进行了以下几方面的研究工作： 1．分析了防火墙体系架构、发展方向等方面的内容。对Linux防火墙源代码和内核重要参数做了深入剖析；定制、配置了linux防火墙系统和内核；利用busybox软件对应用文件进行精简；同时修改了防火墙的并发连接数和和部分内核参数。得到一个体积更小、占用系统资源更少的快速、稳定、高效运行的内核。 2．给出了防火墙规则优化的方法。规则集中的规则根据关联特性一般可分为两种类型：一类是规则之间有相互依赖关系的，称为相关规则；一类则是无依赖关系的，称为无关规则，对这两类规则采取分而治之的方法。对于无关规则集，根据对每个规则匹配成功的统计数据，设计算法为每一条规则添加权重值，确定其优先级，让己经匹配成功次数较多或最后匹配成功时间较近的规则优先级更高，从而使每个通过网络的数据包需要经过匹配处理的规则数量降低。对于相关规则集，则对相关规则重新进行优化排序，删除冗余的规则，减少规则数量。 3．为了检验这些方法的有效性，利用仿真工具NS2，编写了几个函数和仿真程序，建立了仿真环境和模型，对优化后的防火墙进行了仿真实验，给出仿真结果。通过对实验数据进行分析，验证了采用优化过的防火墙，可以使网络性能得到较好的改善和提高。