在简要分析英特尔奔腾处理器和Linux2.4.18核心对对称多处理器结构支持的基础上,结合常用的防火墙设计方法,设计了一个对称多处理器防火墙模型.该模型具备包过滤、状态检测和应用代理功能.分析了规则表和连接状态表的读写锁使用状况,同时设计了一些动态规则,它们是防火墙与入侵检测系统的互动接口.采用连接预分配的机制,将连接状态表的内存管理从系统内存管理中分离出来.单独进行分配和释放.同时还增强了防火墙模型的状态检测功能,采用了LRU算法对未完成连接链表进行管理,来提高系统的抗攻击能力.采用内核级代理来实现防火墙的应用代理功能,减少了进程的上下文切换,提高了该模型的性能.结合Linux系统的缓冲区管理和任务队列机制,设计了一种新型的保存内核出错信息的方法.直接使用系统的写缓冲功能,将错误信息保存到文件中,并增加了自动记录报警日志的功能,提高了模型的可维护性.从整体的网络环境和防火墙结构的观点出发,提出了相应的改进措施.对单处理器的防火墙和双处理器的防火墙进行了流量测试,表明了在高负荷的情况下,使用多处理器可以加速防火墙的数据包处理能力.建立了防火墙模型的随机Petri网模型,分析读写锁对对称多处理器防火墙的吞吐率及响应时间的影响,并提出了在实现中应该注意读写锁的设计等问题.