该文研究Linux环境下的包过滤防火墙.Netfilter是Linux包过滤防火墙的基础结构.该文对它以及它与IP层的关系进行了阐述,并对其实现进行了分析.IPtalbes是在Netfilter上实现的Linux自带的包过滤防火墙.该文对它的实现以及它实现的Filter、NAT、Mangle和连线跟踪功能进行分析.Netfilter的良好框架结构、Linux的开源性质以及LKM机制使得在其上构建某种需求的防火墙变得容易.在它们的基础上,该文对提高防火墙的功能和性能的三个关键问题做了进一步深入研究:(1)利用建立在Linux的包过滤之上的动态防火墙自动调整过滤规则抵抗外来入侵;(2)利用Linux包过滤构建了自适应防火墙以改进应用代理的性能;(3)利用Linux包过滤实现VPN以提供对传输的IP数据进行保密性、完整性,重放攻击等方面的保护.