随着计算机网络在政治、经济、文化、生活等诸多方面的广泛应用,网络已经成为日常工作、生活中不可缺少的重要组成部份。与此同时,网络安全问题也凸现出来,并逐渐成为网络应用所面临的重要问题,网络安全技术受到越来越广泛的重视。防火墙技术作为实现网络安全的重要方法之一,成为了网络安全技术一个重要的研究方向。与目前普遍使用的IPv4相比,IPv6作为下一带互联网的基础协议,具有很多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中的一些不足之处进行了较大的改进,其中最为显著的就是将IPsec集成到了协议内部,使IPsec不再单独存在,利用IPsec实现了网络层的加密和认证。论文围绕IPv6和防火墙技术的新特性,对基于IPv6的分布式防火墙设计与实现的关键技术进行研究,完成了以下几方面的工作:(1)分析了IPv6技术特点及IPSec机制,研究了IPv6存在的安全隐患,明确了设计、实现IPv6防火墙必需考虑的一些技术问题。(2)研究了防火墙的基本原理和实现技术,对传统网络防火墙与分布式防火墙的体系结构、工作原理进行了比较,发现了传统防火墙存在的问题和分布式防火墙的技术优势。(3)完成了一个基于IPv6的分布式防火墙系统原型(DFWS)的总体设计。DFWS在保留了传统网络边界防火墙优点同时,将防火墙功能嵌入到网络的终端。按照分布式防火墙集中管理、分散执行的思想,设计了中央管理器和域管理器来负责管理网络和制定安全策略,并将安全策略分发到整个网络上的主机防火墙和网络防火墙执行,解决了传统防火墙的效率瓶颈、内部攻击和不能抵御分布式攻击等问题。(4)基于Linux2 .4x的Netfilter功能框架,实现了基于状态检测的包过滤中央防火墙系统,包括包过滤功能模块的设计与实现、防火墙访问控制策略的设计与实现、以及中央管理器与内核模块的通信等问题。用实验进行了功能测试,结果表明防火墙实现了基于状态的包过滤功能。