自计算机诞生以来,由于其高速处理能力使得计算机得到广泛地应用,而计算机网络又把分散、孤立的计算机连接起来,使得相互间更加方便地传递信息和共享信息。互联网正在不断改变我们工作、生活、学习以及娱乐的方式,并给我们带来了极大的便利。但是,随着互联网的空前发展以及互联网技术的不断普及,私人数据、重要的企业资源以及政府机密信息被前所未有的暴露在公共网络空间中。因此,网络信息安全问题日益引起人们的重视。防火墙技术是当今网络信息安全的核心技术之一,也是抵御外部网络攻击的第一道屏障。所有要进入内网的数据必须要经过防火墙的严格检查,当数据流量非常大的时候,防火墙会成为内外网通信的瓶颈,导致网络速度变慢甚至瘫痪。因此,增强防火墙的过滤能力,提高防火墙的性能一直都是防火墙研究领域中的重要内容。传统的防火墙从检测规则冲突和调整规则排序两方面来提高防火墙性能,但效果都不是很理想。本文从优化防火墙过滤域排序这样一个新角度,依据信息增益理论构造决策树,然后根据决策树层次与防火墙过滤域排序的对应关系,确定了过滤域的最优排序。实验表明,这个最优排序确实能够显著地降低数据包与防火墙规则的元组比较的总次数,从而提高防火墙的过滤效率。