目前，包括下一代网络的计算机网络技术正在飞速发展和普及，人们对网络安全技术和网络安全产品的需求与日俱增。但是，单级的安全防范技术往往很难满足网络安全体系的实际需要和安全需求，因此，组建防火墙多级防护安全体系并和网管中心协同工作，进而组成多级立体安全体系已成为业界和用户的共识。 本文首先对当前网络安全现状进行了比较全面的概述，分析了因特网所面临的主要威胁和当前采取的主要安全措施，然后分析了当前防火墙技术的研究现状和主流防火墙产品的特点和不足，接着对防火墙相关技术进行了研究，并着重对包过滤防火墙中的 Netfilter技术进行分析，这些都将为本次设计起到理论指导作用。 针对当前安全需求和各种商业防火墙难于进行第二次开发现状，本文在深入分析研究传统防火墙技术和发展趋势的基础上，提出并实现了一种基于IPv4/IPv6可控的防火墙系统设计框架。该框架以Linux中的Netfilter框架为基础，结合采用JMX分层网络管理技术和Web Service相关技术。该系统采用B/S结构，支持双协议，具有状态包过滤功能，实现了对防火墙进行灵活的配置和集中方便的管理功能，通过对IP进行分组划分成逻辑虚拟子网，并能配置独立防火墙过滤规则，每个逻辑虚拟子网的IP数据包走不同的策略路由，从而实现虚拟防火墙的功能。策略规则分发方便，管理界面友好统一。同时，系统采用xml语言描述数据结构，使用soap作为通信协议，使用WSDL作为描述方法，只要符合Web Server技术规范的防火墙都可以方便地纳入本防火墙管理系统，从而较好地实现了系统的平台无关性、可扩展性和可管理性。 本文研究和设计的可控防火墙系统能满足多级防火墙部署需要，同时也能满足分组用户、办公用户以及防火墙试验教学的需要。本文工作已经基本完成，系统基本达到设计要求。