本文所论述的“基于ASIC 的防火墙系统Xwall”是基于四川南山之桥微电子有限公司自主设计的集成路由、交换、防火墙ASIC 芯片“Xwall? TS6210”进行设计开发的。是在以TS6210 为核心的硬件平台上,设计实现基于Linux 内核的专用防火墙系统。首先,在基础理论中,介绍了防火墙的基本概念、分类,对现有防火墙的技术进行了分析比较,对于TCP/IP 协议进行了简要的介绍。随后,对Xwall 系统层次结构和系统功能模块的设计进行了分析。本文围绕路由和状态检测这两个主要的功能模块的设计与实现进行分析论述。在路由模块的设计中,将对硬件路由的操作部分加入到Linux 内核路由处理中,使硬件路由表随着内核路由表进行更新;而且,为硬件路由设计实现了动态自适应功能,使硬件路由表能自动适应网络配置环境的变化。状态检测作为Xwall 的核心功能模块,是基于Linux netfilter 框架设计实现的。状态检测模块将已通过规则检查的连接/会话信息写入SESSION 表,数据包进入系统时,首先查找SESSION 表,如果命中,则直接进行转发,否则再进行规则检查;SESSION 表由硬表和软表组成,硬表作为软表的cache;为了能更好的利用硬表的资源,提高整个系统的处理效率,设计实现LRU/LMU算法对硬表和软表进行调度。通过网络设备专业测试仪器的系统测试,表明该系统实现了设计目标并具有较高的性能和稳定性。