随着互联网的广泛应用,网络安全问题越来越受到人们关注。网络安全隔离与信息交换技术已经成为当今网络最为有效的安全防御手段。传统的网络安全隔离与信息交换技术主要包括包过滤技术和代理技术。包过滤技术实现简单,网络处理性能很高,但缺乏对应用层的保护。代理技术提供对应用层的保护能力,可是网络处理性能较低,无法满足日益增长的网络用户需求。如何调节安全性能和处理性能这一不可调和的矛盾,正日益引起重视。流过滤技术应运而生,它结合了包过滤技术和代理技术的优点,以包过滤的外部形态提供对应用层的保护能力。本文对流过滤技术进行了深入的研究。论文首先对网络安全隔离与信息交换技术进行了深入研究,总结出隔离交换系统的通用体系结构,分析了包过滤技术和代理技术的特点,阐明了流过滤技术的优势。其次,深入分析了流过滤思想及现有实现方面存在的问题,在深入研究TCP/IP协议和应用层协议特点的基础上,提出流过滤技术的关键点在于:在状态检测的基础上对TCP报文进行分类处理。基于这一要点,将TCP报文分为应用相关和应用无关两大类,其中应用相关报文又分为协议数据报文和内容数据报文两类。流过滤对不同类型的报文进行不同深度的安全检查。研究了流过滤实现中的关键算法。针对状态检测,提出合法性检查和规则匹配优化的算法;针对协议数据报文的处理,提出会话状态检测算法;针对内容数据成块报文的处理,提出重组和转发的相关实现算法。最后,基于Linux的netfilter框架设计和实现了一个流过滤功能模块,并通过功能测试和性能测试验证了流过滤技术在安全性能和处理性能方面的优势。在论文的最后对下一步的研究进行了展望。