随着网络技术的不断发展,硬件带宽不断地增加,界面友好的多媒体应用日益丰富,互联网逐步走进了我们的日常生活.然而,计算能力的增长远落后于带宽的增长速度,许多网络中的处理节点的软件本身也因为硬件的处理能力不断提高而被我们忽视,这就更加剧了网络服务的性能瓶颈问题.HTTP代理防火墙作为网络安全保护的基石之一,在大规模ISP和企业网络中获得了广泛应用,囿于传统的代理模型限制,往往需要高昂的硬件投资换取相对的高性能.TCP/IP协议的设计初衷情以共享和开放为宗旨,对于协议本身的安全性问题考虑不足,这种具有先天安全隐患的网络协议被简单地移植到企业和政府网络中使用,网络用户对象的改变和网络信息内容对安全性的需求的改变使安全问题成为企业和政府信息化过程中的首要问题.传统安全模型下的安全机制只能提供孤立、静态的安全保护,但互联网环境的动态特性使得该模型对安全事件无法及时地做出响应,这样的系统在面临安全事件进往往处于非常被动的局面.该论文以金知公司资助的"宽带环境下的高性能防火墙关键技术"项目中的高性能应用层代理服务和主动性防御子课题为背景,从理论角度在第二章和第三章分别对高性能主动安全模型从主动安全模型和高性能代理模型进行了研究:(1)首先对传统安全模型的发展和不足进行分析,然后对主动安全模型P2DR的体系结构、数学基础和关键技术进行了研究,对P2DR模型的集成机制——CIDF框架下的互操作的标准和IDWG工作组草案进行分析、比较和评价;(2)分析了HTTP协议规范,研究了HTTP/1.0和HTTP/1.1的不同传输机制;对传统HTTP代理模型和基于TCP Splicing模型进行了分析,得出TCP Splicing模型下可以充分利用HTTP/1.1的传输机制优化HTTP代理性能.在实践方面,论文大量使用了Linux的Netfilter框架提供的报文截获机制,该文在第四章对Linux2.4.18内核包过滤系统--Netfilter框架实现和基于Netfilter框架的内核模块扩展进行了研究和实践;第五章基于第三章HTTP代理模型的研究,设计并实现了基于TCP Splicing模型的高性能HTTP代理原型系统,对系统的吞吐量、请求处理能力和时延特性进行了性能测试和分析;第六章根据P2DR模型设计了由入侵检测、主动过滤、响应和控制策略四个模块构成的主动安全原型系统,对关键部分主动过滤模块、IDXP通信机制和IDMEF安全事件封装进行了实现,并针对jolt2服务失效攻击进行了测试.