网络协议是进行网络通信的规则和基础。在防火墙上运行着的各种网络协议存在一些漏洞，于是被选作攻击的切入点，大多数防火墙的抗攻击能力也因此处于被动地位。所以需要有完善的协议校验机制，对通过防火墙的所有数据包进行全面检查，发现并阻止攻击，提高防火墙的抗攻击能力，改变安全防护处于被动状态的局面。本课题借鉴协议分析技术在其他网络领域中的成功应用，致力于防火墙中协议分析技术的完善和发展，将协议分析作为一个独立的子系统加以实现。该子系统提供第二层安全校验，与防火墙的状态检测技术相结合，全面地检查网络通信，也为实现防火墙和入侵检测功能的结合打下了基础。 主要研究内容如下：1.分析了TCP/IP协议及协议分析技术，总结了协议分析技术的原理和特点，设计并实现了协议分析子系统。除了对传输层协议进行分析外，还对应用层协议进行了处理，对协议进行校验，对IP分片进行重组。 2.分析了状态检测防火墙及其关键技术，总结了实现状态检测防火墙的核心技术的原理和特点，设计并实现了状态检测模块。分不同协议进行检测，对TCP进行全状态检查。 3.分析了网络数据包的截获技术，该技术是实现协议分析和状态检测的基础，选择并采用了NDIS_HOOK技术来截获网络数据包，研究并实现了数据包的拦截。