随着Internet在世界范围内的迅速发展和广泛应用,IPv4正面临地址枯竭等问题。由IETF开发的IPv6协议,不但解决了旧版本的问题,而且还给IP带来了一些新特性。在应用IPv6的下一代网络中,网络信息安全问题依然严重,必将成为影响网络技术进一步发展和应用的关键因素之一。防火墙作为网络安全的重要手段,已经成为应用最广泛的网络安全解决方案。然而,传统防火墙的核心技术在应用层保护和內容监控等方面存在许多缺点。作为一种全新的防火墙技术,流过滤技术克服了传统防火墙核心技术的诸多缺陷,而且融合了它们的优点。因此,对一个基于流过滤技术且支持IPv6协议的防火墙系统进行研究是很有必要的。本文首先介绍了基于流过滤技术的IPv6防火墙的研究背景和意义,阐述了该问题的现状,然后对防火墙的功能、分类、体系结构和其它一系列主要性能指标进行了深入研究。本文重点研究了“流”的概念,以及流过滤的定义、实现原理、报文处理策略和机制等问题,并将流过滤技术与其它防火墙技术在安全性、实现原理、工作效率、和控制能力等方面进行了比较,分析得到作为一种新型的防火墙技术,流过滤技术性能十分优越。最后本文描述了流过滤的实现过程。本文的创新点和所做的工作如下:1、在研究流过滤实现的基础上,提出了基于IPv6流标识的报文分类,给出了在报文重组的过程中由于数据量过大或数据分组过多而产生问题的解决方法。2、全面论述了基于IPv6设计防火墙需要解决的问题;在采用屏蔽子网防火墙系统结构的基础上,提出了利用IPv6扩展报头解决IPSec与防火墙兼容问题的设计策略;同时对基于流过滤技术的IPv6防火墙进行了详细设计,阐述了防火墙各个功能模块的实现过程。3、构建了系统测试环境,对防火墙进行了IPv6数据包的过滤功能的实验测试。实验结果表明该防火墙基本上实现了预期的设计目标。