无论是对企业还是个人，信息安全都日益成为被广泛关注的问题，同时网络安全产品也被重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。个人防火墙是保障桌面系统安全的一种有效手段，它可以对个人电脑与网络间相互传送的数据包进行监视，并按预先确定的标准来判断让数据包通过或者阻断，解决了那些对安全级别要求较高的个人用户在上网漫游时的后顾之忧。 Windows 2000是进行Internet商务和学习网络编程的最佳操作系统，它建立于Windows NT技术之上，在兼容方面是NT家族兼容性最好的系统(许多NT程序都是基于2000系统上开发出来的)。不过Windows2000漏洞不少，很多攻击是针对它的，因此，在Windows 2000平台下保护PC机上网的安全是一个值得研究的问题。 本文在简单的叙述了网络安全和防火墙的相关知识后，介绍了开发本文防火墙需要的理论知识，继而阐述了防火墙的总体结构及功能。本文系统从总体上可以分为三个主要模块：主程序、应用程序访问网络监控、网络数据包过滤。主程序是一个用户模式的应用程序，相当于一个用户界面接口，提供用户与防火墙之间的对话；应用程序访问网络监控模块是工作在用户模式的动态链接库，可以对应用层网络数据包进行截获，获得调用Winsock2 SPI的进程详细信息；网络数据包过滤模块是工作在操作系统内核模式的NDIS中间层驱动程序，可以对底层的数据包全部进行截获，对于用户态的数据包则可以不加关心。采用双层过滤的方法克服了单方面从用户态或核心态截获数据包的缺点，极大地提高了系统的安全性能。目前开发个人防火墙的关键在于网络数据包的拦截，所以本文重点研究了使用NDIS中间驱动程序技术和SPI技术的两个拦截模块的实现，并对这两个模块进行了安装和测试，结果表明安装和拦截成功。另外，本文对已完成的应用程序连网动作进行了测试，测试结果表明系统基本完成了应用程序连网动作过滤的要求。