该论文主要针对网络安全中内容过滤防火墙的体系结构进行了深入的理论研究,并且结合嗅探型防黄网关系统(Sniffer Gateway Design System for firewall,SGDS)的具体设计要求,将基于netgraph机制的内容过滤体系结构应用于SGDS的网络过滤流量分析系统中.该论文首先对于网络安全技术中的重要研究课题之一:防火墙技术进行了深入的历史背景和研究内容的系统回顾,并以新的研究发展方向--内容过滤防火墙的研究作为切入点.进一步分析了内容过滤防火墙的研究概况和发展,在此基础上引申出该文的研究课题.该论文在以下几个方面进行了深入的研究,其主要贡献可概括如下:首先对FreeBSD操作系统下的netgraph机制进行了深入的研究,将netgraph 的理论基础与防火墙的实现技术进行了融合,并将netgraph的底层抓包处理机制进行了详细的论述,从技术层面上与另外两种实现方式BPF,Squid进行了比较.基于以上的分析和理论证明,我们又对目前网络中存在的各种攻击方式进行了分析和综合,在netgraph的基础上,又分析了内容过滤的一些特点,建立了基于netgraph机制的内容过滤防火墙的体系架构.该体系架构避免了数据包的阻断传递以及数据包的复制,并且坚持"底层处理"原则,以达到最佳的处理性能.另外在设计过程中采用了内核进程和用户进程处理过程分离的原则.达到系统处理模块化的效果.我们将基于netgraph机制的内容过滤防火墙体系架构成功的运用于SGDS系统中,并结合局域网在同一个网段内监控的特点,实现了系统相应的核心功能模块,SGDS系统是一个为了测试及记录网段内非法数据的嗅探型产品,我们首先分析了SGDS系统的理论设计基础和功能性设计要求,然后将基于netgraph的内容过滤防火墙体系结构运用于该系统中,以监控同一网段内的数据流量,记录并分析http协议的url地址的非法数据信息以及处理其他各种类型的攻击信息,以达到实验室测试的目的.