随着Internet网络的广泛应用和Intranet技术的普及，网络安全问题变得日益突出，防火墙技术是保护网络安全的重要技术。但是大多数的商用防火墙产品比较昂贵。对于一些规模较小的单位在资金不足的情况下，如何保护Intranet的安全呢? 针对上述情况，本文首先介绍了网络安全概念、网络安全的威胁，然后详细阐述了网络安全的基本策略。重点讨论了网络防火墙的体系结构、类型和功能，并对它们的性能进行分析和比较。在综合分析了不同类型防火墙优缺点的基础上，本文利用Linux作为网络的运行平台，提出了一种新的包过滤防火墙设计方法。新的包过滤防火墙除了具有传统包过滤防火墙基本功能外，记录并分析所有经过路由的IP地址，从源节点到目的节点的路由信息，使防火墙除了检查原有过滤数据外，也检查数据包所经过的路由，丢弃那些满足数据过滤规则，但经过了不安全路由策略的数据包，在一定程度上解决了IP欺骗问题。同时，利用NAT技术，使Intranet内部网隐藏在防火墙之后，通过一个IP地址来实现一个局域网的所有主机都可以访问Internet，即用一个合法IP地址实现多机上网，在进一步保护网络安全的同时，解决了IP地址短缺的问题。 为控制用户对外部网的访问，抵御来自内部网络安全的威胁，需对内部网成员进行用户认证。本文在Linux内核级防火链的基础上，进行一系列改进和功能增强，完成基于口令和IP地址相结合的用户认证访问控制系统的设计，从而实现了对内部用户的访问控制。