传统防火墙部署在网络边界,依赖网络的物理拓扑结构来保护内网的安全。但随着因特网的发展,网络拓扑结构越来越复杂,以及加密通信的出现和远程接入访问的需要,传统边界防火墙的局限性日益明显,分布式防火墙技术应运而生。分布式防火墙更符合网络安全应用发展的需要,代表了防火墙技术的研究和发展方向。本文比较了传统防火墙和分布式防火墙的优缺点,深入研究了分布式防火墙技术和SSL(Secure Socket Layer)技术的原理和研究现状。在此基础上,针对国内小型混合网络的实际需求,提出了将SSL技术用于分布式防火墙的思想,设计了一个基于SSL的分布式防火墙系统,并实现了在Windows操作系统下分布式防火墙系统服务器端的原型。由于还没有一个统一的安全策略描述语言,本文结合分布式防火墙系统的实际情况,采用巴科斯范式自定义了一个安全策略描述语言格式,并对安全策略的异常进行了初步研究。策略用于描述节点之间关键通信信息,除了包过滤规则外,还集成了简单的网络管理命令,保证了有效的策略管理和节点管理。该系统摒弃了传统防火墙使用IP地址鉴别节点身份的做法,采用X.509证书与主机名相结合的方法,在该分布式防火墙系统中建立了一个CA(Certificate Authority)中心进行认证管理,消除了伪造IP地址攻击带来的危险。同时,针对分布式防火墙系统中各节点之间通信安全得不到保障的问题,在底层采用SSL加密通道进行数据传输,并对SSL握手中身份认证的缺陷进行了改进,较好地解决了分布式防火墙系统中通信安全问题。