随着信息网络化的发展，网络信息安全的概念不断被创新与实践。企业的信息网络安全自然而然地被提上日程，网络安全的目的是，为了更好地实施企事业应用，保护企事业的日常工作，就如一把大的保护伞罩在安全信息网络之上。在我国，防火墙作为一种信息安全产品，其进入市场并不是随意的，有相关的国家标准，也有相应的认证中心。国家于1999年通过了关于防火墙的相关国家标准。防火墙是一个网络的安全核心，它是设置在不同网络或网络安全区域之间的一系列部件的组合。防火墙是不同网络或网络安全区域之间信息的唯一出入口，能根据既已设定的安全策略来控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。单纯的防火墙技术，就是对网络数据流的控制处理过程，但是这种简单的处理方式已经远远不能满足日益增长的信息安全要求。 √日益膨胀的网络流量，对网络处理器性能与效率的要求日趋增高； 　　√种类繁多的网络攻击，使得内部网络的安全性更加令人担忧； 　　√普通防火墙的高级应用几乎为零，给网络管理员带来诸多不便； 　　以防火墙技术为核心的网络安全架构，旨在解决以上诸多问题，在论文中，将防火墙的概念、发展、分类与功能做一详尽地阐述，并给出了各阶段关键技术的研究与实现，所做主要工作、技术难点与创新处如下： 1、防火墙的体系结构，应该是全面面向资源的结构模块化设计，对不同对象的具体的组成资源，直接进行控制，这样极大的提高了安全性，并保证了配置的方便性。系统按纵向结构进行层次化设计，包括表示层、执行层、中心数据库、数据库操纵层、数据及意外处理控制层和应用程序层；同时，系统按横向进行了高度的功能模块化设计，这种高智能、高度模块化的设计，使得软件结构极为清晰合理，极易维护和升级，并且提供了高质量，极易获得升级服务的软件系统。 2、防火墙的数据流控制技术采用最先进的状态包过滤技术。根据状态包过滤的思路，在核心中维护一个连接链表，记录着相应连接的状态，对请求建立连接的数据包进行更细粒度的检查，检查通过后记录到状态链表中，从而对后续的或是关联的数据包只需检查其是否属于已建立的连接，不需全部进行规则匹配，经过这样的状态处理机制后不仅使安全性得到加强，同时也大大提高了包转发效率。 3、搭建高效日志处理平台，使之能够处理海量的日志。大多数防火墙使用的日志框架对于处理海量日志和高效分析日志来说是空白的，因此一般都设置另外一台单独的日志服务器，但是优化的日志处理平台可以处理2G以上的日志文件。 4、网络安全体系，应该提供可靠的检测性和防御性的工具，以使当攻击者试图攻击受防火墙设备保护的网络时，能查明和阻挡其达到上述目的的企图。本文中，采用多种攻击检测和防御技术，抵御目前网络中主要的攻击手段和技术。 5、对数据包头分析过滤，采用正则表达式的模式匹配算法，对一些高层应用进行限制。 6、防火墙高可用性(HighAvailable)的实现。在同一个网络节点使用两个配置相同的防火墙，使用直连线互通。正常情况下一个处于工作状态，为主机(Primary)，另一个处于备份状态(Second)，为从机。当主机发生意外死机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从机代替主机正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其它系统的参与，并且主防火墙恢复使用功能后，从防火墙自动将控制权交回主防火墙，保证网络更安全，更高效。 　　在对防火墙的关键技术详细分析的基础上，对防火墙的体系结构做一个宏观的设计，从硬件的设计到软件的实现，始终体现了一个安全的基本策略。作者参与研制开发的基于防火墙技术的网络安全体系架构，已经与军工以及多家大型国有企业进行合作，构建其自己的安全网络体系。文章的最后给出了产品的设计应用规划和实际应用案例。