防火墙是各种技术的综合,包括过滤技术、代理技术、密码技术、认证技木以及下一代网络技术等.论文在基本的防火墙基础之上,完成包过滤防火墙的补充业务,完善通用代理防火墙,并把包过滤防火墙与入侵检测系统相结合完成分布式入侵检测检测响应(DIDRS)系统模型,讨论了防火墙一次性口令(OTP)认证,对IPsec协议进行研究探讨,最后对新一代安全操作系统利用内核模块实现防火墙进行分析.包过滤防火墙设计的关键是对过滤规则即访问控制列表的设计.普通的包过滤防火墙利用线性搜索访问控制列表的方法完成基本的访问控制功能,这样的防火墙在控制列表数量巨大时运行速度低,该文则同时结合使用线性的哈希搜索算法和快速的递归流分类RFC(recursiveflowclassification)算法,用以增强防火墙的工作效率.包过滤防火墙提供的基本功能包括:全过程的动态包过滤、双向网络地址转换、IP与MAC绑定、异常事件报警、网络流量统计、网络配置管理、防止IP欺骗、利用Web进行配置管理等.为了使防火墙增加自身的安全特性,论文设计并实现一次性口令认证.该认证方式采用挑战/应答的机制.一次性口令认证每次会话的口令不同,前一次使用的口令对后一次无效,避免了窃听或者穷举等攻击方法.为了使防火墙能够适应下一代网络的安全特性,论文对IPsec协议进行了分析和研究.最后,为了实现新一代基于安全操作系统的防火墙,对Linux内核netfilter的框架结构进行了分析,并设计基于该框架的包过滤防火墙功能与NAT功能.