互联网技术已经渗入人们生活中的方方面面，不断地改变着大家的生活。人们在享受互联网带给我们方便的同时，也不断思考着互联网的未来，思考着如何建设一个能够可持续发展、扩展性强的下一代互联网(NGI，NextGenerationInternet)。IPv4是一个极为成功的协议，可其在可扩展性方面存在不足，无法作为下一代互联网的核心协议。IPv6作为IPv4的替代者，在设计之初就考虑到了地址空间、安全性、路由聚合、移动性和服务质量等方面的需求，符合下一代互联网对于核心协议的需求。人们对此已形成共识：虽然是否采用IPv6并不是衡量下一代互联网的标准，但下一代互联网一定是构建在IPv6之上。 网络安全技术来源于网络，服务于网络，需要随着网络环境的变化而变化。防火墙作为一种主要的网络安全设备，需要做出适当的改变以适应IPv6网络环境。 本文描述了一个IPv6防火墙的原型系统——6NetSafe数据包过滤系统的设计与实现。数据包过滤系统是6NetSafe的核心，IPv6防火墙需要进行的额外改变主要是在此模块内完成。本文从业务、数据和操作三方面定义了IPv6防火墙需要进行的改变。 首先，分析了IPv6下有可能广泛部署的端对端IPSecVPN业务同传统防火墙过滤模式的兼容性问题。针对传统防火墙访问控制粒度过粗——对于IPSec数据包只能全部放行或阻塞的问题，6NetSafe中设计了用于对IPSec数据包进行控制的规则，用户能根据IPSec数据包中可见的有限信息对其进行更精细粒度的访问控制。 其次，IPv6数据包的包头同IPv4相比有较大的变化，而且IPv6数据包有可能携带一个或多个扩展报头。6NetSafe的数据包获取与解析平台能够解析IPv6数据包格式，对于带有扩展报头的数据包其链式遍历逐个扩展报头直至高层协议。 再次，防火墙静态规则的匹配本质上属于IP分类问题。目前绝大多数的IP分类算法基于路由搜索的背景设计，这些算法或不支持范围匹配或不支持多维(超过二维)的IP分类。本文对几种IPv4的分类算法在6NetSafe中的适用性进行了分析，并设计实现了一种支持范围匹配的多维IP分类(RMM，RangingMatchingMultidimensional)算法。 最后，描述了数据包过滤系统的动态状态检测模块的设计与实现。