随着互联网的飞速发展，网络在给用户提供大量信息的同时，也给了恶意攻击者提供了非法入侵个人和商用系统的媒介，因此保证服务器和个人桌面系统的安全成为刻不容缓的重要问题。 Linux操作系统以其开放源码、健壮性、可靠性、灵活性和类无限范围的可定制性等诸多优势在IT业界、商业服务器和个人桌面系统中得到广泛的应用。其中Linux具有的许多内置功能，使开发人员可以根据自己的需要定制其工具、行为和外观，而无需昂贵的第三方工具。而netfilter框架功能强大，并且与Linux内核完美结合，因而成为Linux系统平台下进行网络应用扩展的主要利器。 本文从防火墙基本原理出发，介绍了防火墙的概念、目的、功能和常用防火墙的分类；阐述了TCP/IP协议簇的基本原理和结构；描述了访问控制列表(ACL)的作用，IP访问控制列表的分类和其实现方法；叙述了Linux操作系统防火墙的发展、以及基于内核2.4.x的netfilter/iptables基本框架。 设计了在Linux 2.4.x内核的操作系统平台上的防火墙框架结构。同时对Linux 2.4.x内核中最流行的防火墙构建平台netfilter框架进行了详细分析，包括netfilter框架总体结构、netfilter钩子位置、iptables表的数据结构和防火墙中应用的过滤表(filter)和网络地址转换表(nat)、规则的数据结构、规则的填写和应用、数据匹配与目标等。实现了该防火墙框架的启动、停止，以及对ACL规则和NAT规则加载。