随着网络技术的迅猛发展,越来越多的信息通过互联网传送,信息共享已成为当今网络社会的发展趋势,然而人们在享受网络信息共享的同时,也不得不面对因互联网而滋生的一些病毒、网络攻击等非法手段带来的困扰,防火墙便应运而生。网络带宽的提高、网络应用的增多和攻击行为的多样化给防火墙提出了严峻的挑战,传统单一的包过滤、状态检测等软件防火墙已远远满足不了需求,性能的瓶颈和功能的单一成为当前网络安全面临的挑战。本文首先介绍了安全过滤系统的研究现状,分析各种安全过滤架构的利弊,就FPGA(Field-Programmable Gate Array)在网络处理上体现的高性能和灵活性,提出了基于NetFPGA的动态可配置在线过滤系统。其次简单介绍系统的整体设计框架,接着详细介绍系统每个模块的实现方法和过程,最后总结了整个设计过程并提出需要改进的地方。本文用FPGA实现包过滤和状态检测防火墙,针对传统状态检测中状态表占用空间大的情况,提出了一种新的存储状态表方法,其空间占用量远小于传统的状态检测;用FPGA实现部分snort规则,参照计算机的RISC(Reduced Instruction Set Computer)指令集思想,对snort规则进行分类统计,将规则集中常用的规则字段提取出来,设计内容检测模板,然后用硬件实现,其他的规则用软件实现。包过滤提供对数据包头部的静态过滤,状态和内容检测提供对有效载荷的动态检测,及时发现并报告网络中异常或未授权现象的系统,一动一静,相得益彰。同时提出首尾并行匹配的字符串匹配方法,实现30条规则的并行匹配,对内容检测进行加速匹配;用RAW Socket编程,实现对NetFPGA中存储的过滤规则进行远程配置。本文较系统地从软硬件实现、算法设计完成关于动态可配置在线过滤技术的研究。