随着互联网的发展,越来越多的行业开始通过网络开展业务。伴随而来的网络安全问题也日益严重,各种各样的网络安全产品也就应运而生。防火墙作为最早出现也是使用最广的安全产品,在实施网络安全策略中起着至关重要的作用。防火墙由于其特殊位置,其规则配置正确与否、合适与否,直接影响它的工作效率,进一步对整个网络环境造成影响。因而对防火墙的研究越来越受到人们的重视。一般防火墙的规则都是预先设定的,具有严格的优先级限制。随着网络流量特征的变化,这些规则集可能会限制防火墙的过滤效率。为了增强防火墙的自适应能力,一些学者提出了基于统计分析方法的防火墙。它的主要思想是:根据一段时间网络流量的特征,调整规则的相对次序,使匹配较多数据包的规则处于规则表的前列,使过去一段时间的数据包匹配情况在下一段时间的规则集中体现出来。规则次序的盲目调整会破坏规则之间的依赖关系,改变防火墙的安全策略。针对这种情况,本文首先定义了规则之间的各种冲突关系,并设计了一种冲突检测算法,在此基础上提出了一种不破坏规则表原始语义的规则次序调整算法。在规则次序调整中,没有考虑到与默认规则匹配的数据包。默认规则在规则表的特殊位置,使得其与数据包匹配所需的匹配次数最多。如果出现大量与默认规则匹配的数据包,防火墙性能就会有明显的降低。本文提出一种基于默认规则的防火墙优化方法,由规则的匹配概率入手,根据防火墙日志,从默认规则中分离出简单规则,分析这些规则与原有规则的关系后合并这些规则成新的规则,评价这些规则对防火墙性能的影响,选择性的将新规则加入到防火墙规则库,实现防火墙线性匹配优化。本文的实验包括了两个部分:第一个实验实现了本文提出的规则次序调整方法;第二实验实现了本文提出的基于默认规则的优化方法。通过实验结果可以看出,本文提出的优化策略在一般情况下能够有效的降低规则的平均匹配次数,提高防火墙的性能。在文章的最后,分析和总结了本文的研究成果以及存在的问题,为本文作者的进一步研究工作指明方向。