随着互联网应用的快速普及,网络安全和信息安全日益成为保障网上业务正常进行的关键。作为第一道安全防线,防火墙的地位显得尤为重要。防火墙位于内外网络的网关位置上,所有进出网关的数据都要经过防火墙处理,提高作为边界节点的防火墙的性能指标,使之在保证安全性的同时不成为网络传输的瓶颈,是防火墙当前的主要发展方向之一。传统的防火墙大多是基于Linux的Netfilter框架下实现的。本文对于防火墙的研究是基于TOS架构的,它比Netfilter框架更先进,更具有可扩展性。本文首先分析了防火墙的发展状况、功能和软硬件核心技术,研究了防火墙的性能指标和业界标准测试方法。然后阐述了TOS架构的功能特点、TOS防火墙的数据处理流程和安全策略匹配过程。接下来从提升性能方面考虑,重点分析了当前防火墙实现存在的不合理之处：第一,SYN代理模块处理效率较低。当防火墙受到SYN Flood攻击并达到一定规模时,会造成内存资源不足,并且连接表会被全部分配出去；第二,IDS模块的检测流程不够统一,处理效率较低；第三,当网络中的某一主机在一个时间片内对防火墙发起的新建连接很大时,防火墙的连接数可能会瞬间耗尽。针对上述不足,本文提出了相应的改进措施：第一,在SYN代理模块引入SYN Cookie机制；第二,在IDS模块增加黑白名单功能并改变统计型攻击检测流程；第三,增加最大连接数限制功能模块。最后针对改进后的防火墙进行功能、性能和抗攻击测试,从实践中证明了改进方案在一定程度上提升了防火墙的性能。