在网络时代迅猛发展的今天,人们享受网络带来的方面快捷的同时,也面临着层出不穷的网络攻击的考验。因此,如何改进和完善防火墙系统正成为许多专家学者们研究的重点。IPv6是网络技术史上最重要的一次升级,它在现有的IPv4基础上对其基础设施发展做了进一步的改进和升级,对网络安全的发展产生了很大的推动作用。因此,人们对IPv6的安全问题进行了大量的研究,IPv6防火墙既是其中成果之一。防火墙是一种特殊编制的路由器,Linux中的IPv6防火墙是一种典型的包过滤防火墙,它采用的包过滤算法是顺序查找算法,是基于Netfilter的防火墙框架。Linux IPv6防火墙在处理小规则集时,非常高效,但是当面对大规则集时,它的效率下降明显。通过对Linux IPv6防火墙的性能测试实验,可以推出,Linux IPv6防火墙的顺序查找算法是Linux IPv6防火墙的性能瓶颈。基于以上分析,本文提出了基于HiCuts的IPv6包分类算法。IPv6包分类算法能够很好的解决顺序查找算法在处理大规则集时的效率问题。然而在性能方面却没有明显的提高,根据这种情况,本文对基于HiCuts的IPv6包分类算法进行了改进,从而提出了对新的基于HiCuts的IPv6包分类算法的改进方法,即数位提取法。通过对算法的改进,防火墙的性能得到了很大的提高。利用数位提取法来过滤防火墙,不仅解决了在处理大规则集时的效率问题,更进一步解决了防火墙的性能问题。本文不但在理论上对防火墙的算法和性能进行分析,并且实现了基于HiCuts的IPv6包分类算法及其改进算法并最终写入Linux 2.4内核中。进而在实践应用中提高和改进了Linux中IPv6防火墙的效率和性能。本文设计了一种基于改进后的HiCuts算法的Linux IPv6包过滤防火墙,并最终在Linux 2.4内核中给予实现,实际使用证明该防火墙系统运行效率较高,性能较稳定,并且费用低廉,为IPv6网络提供了一种高效的网络安全工具。