近年来,随着计算机网络和全球信息化的不断发展,计算机及网络信息安全随之成为一个重要的问题。利用防火墙技术来增强网络安全性越来越得到人们的青睐。本文研究的这个集中控制系统环境中的防火墙的主要工作目的是对网络中的报文数据进行安全过滤,以保证带有危害性的报文不能进入主机系统;当主机受到攻击时,可以自动报警提示用户提高警惕和进行更有效的防护。本文研究的防火墙的突出之处就是在于可以通过设置的防火墙代理和远程的中心控制端通讯,以便于让远程的中心控制端很方便的集中控制网络中所有的防火墙,并且由于主要防护工作在主机端安装的防火墙上,这样就打破了传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外网而是由管理员所制定的安全规则策略来划分内外网。而且,当防火墙代理没有运行的时候,本文研究的防火墙又可以当作普通的个人防火墙来使用。防火墙对网络中报文数据的过滤主要有两种。一种是针对报文报头的过滤,如根据报文报头的端口号,来限制FTP 服务的使用等等;另外一种是针对报文内容的过滤,如过滤报文数据的一些不文明的词语。本文主要研究的是针对报文报头的过滤。为了使过滤范围可以普及到所有的网络数据封包,我在内核模式下选择了NDIS 中间驱动程序技术在底层进行防火墙的网络数据封包截获和过滤。这种技术不仅可以完全地截获网络数据包、移植性好,而且还具有许多其他的附加功能,诸如实现在不同的网络介质间进行转换, 在多个网卡间平衡包的负载等等。底层驱动程序和上层应用之间的通讯采用了动态链接库的方法,这样可使底层驱动程序的开发对上层应用程序是透明的,上层应用程序不必考虑底层驱动程序是如何实现的,只需要调用动态链接库中底层驱动程序的接口即可。这样就大大提高了系统代码的可移植性。防火墙集中控制系统中防火墙代理的加入使中心控制端不必考虑主机防火墙是如何实现的,这样大大加强了系统的可扩展性,使中心控制端可以通过不同的防火墙代理控制不同类型的防火墙。目前,防火墙技术在不断的发展,有待于我们进一步的研究。