论文以现有的Linux2.4内核防火墙为主要研究内容,着重论述了其软件框架、具体实现、扩展方法,在此基础上设计并部分实现了一个基于用户的状态监测防火墙原型系统.论文先结合防火墙的经典的和最新的理论成果,对防火墙及其一般性问题作了综述,包括防火墙的概念及分类、防火墙的结构、防火墙的参考模型、状态监测防火墙以及当前防火墙的主要不足.Linux的NET子系统是Linux内核防火墙的基础,因此论文给出了Linux的NET子系统的体系结构,指出Linux内核防火培在Linux的TCP/IP协议栈中的位置.接着讨论了2.2版的内核防火墙系统ipchains,的主要功能包过滤和IP地址伪装的框架实现.然后给出了2.4版内核防火墙的框架Netfilter,其要点是五个钩子(HOOKS)和三个表(IPTABLES),防火墙主要的功能模块包过滤、连接跟踪和网络地址翻译(NAT)都是基于此框架的.在对Netfilter进行逆向工程的基础上,论文阐述了Linux内核防火墙的包过滤、连接跟踪、网络地址翻译等主要功能实现方法,给出了在实现中用到的主要数据结构、主要的算法及算法分析、具体实现中的若干重要细节.并对Netfilter框架的可扩展性进行了分析,给出在其上面进行扩展的内核和应用编程按口.根据防火墙的参考模型,论文指出Netfilter欠缺一项认证功能.在参考了众多的防火墙设计后,该文提出了一个基于用户的状态监测防火墙模型,它使用Kerberos作为其认证系统.