防火墙是一种保障网络安全的重要设施,但是传统防火墙功能单一并且有着很大的局限性,——依赖于"内部网是安全的"这个假设,不能抵制来自网络内部的攻击,同时对"数据驱动"的攻击方式也缺乏有效的防御手段,因此已经不能满足现在的安全需求.针对这一点,该文提出了一种新型的防火墙系统——主动式防火墙.主动式防火墙是一种以防火墙为核心、集成多种安全技术,如网络地址转换、入侵检测、安全扫描、数字签名、VPN等等,能够主动进行安全检测并防范的分布式网络安全设施.论文主要围绕三方面展开:主动式防火墙的整体设计与实现、基于IPSec的VPN的集成以及防火墙系统硬件化技术的分析与研究.网络攻击形式和手段的日益多样化,使得单一防火墙或者其它安全设备已经不再能保障内部网的安全.主动式防火墙与IDS、Scanner(此处称作安全模块)具有互动关系,一旦这些安全模块发现有安全漏洞,或者监测到网络攻击,立即通过自定义的开放接口InterSec与防火墙核心交互来更改过滤规则以做出响应.这也是称之为主动式防火墙的原因.安全模块与InterSec之间数据交互的安全性由RSA模块来保证.RSA模块实现了RSA算法,并且支持最多8096位的数字签名.同时,该系统还集成了VPN技术,这样就能确保网络间通信的安全性和可靠性.由于软件防火墙在性能方面的不足,工作的最终目标是实现一个防火墙系统.论文在最后讨论了硬件防火墙和软件防火墙之间的差别,并给出了采用嵌入式Linux系统实现硬件防火墙的思路,为今后系统的硬件化打下了基础.