随着计算机网络的飞速发展，网络安全越来越被人们所认识和重视，在维护网络正常运行方面越来越起到举足轻重之作用，已成为当代信息社会的一个重要特征。在众多安全措施中，防火墙首当其中。本论文即从阐述防火墙对网络安全的必要性入手，引导课题的开展，并就网络安全方面，给出网络攻击的相关历史事件。 本文起笔介绍了防火墙发展的历史概要，并就防火墙目前的发展状况提出其发展前景。文章以网络安全为中心，考虑网络的各个层面，整体把握网络在应用中的安全性。在构造防火墙的过程中，阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP／IP(传输控制协议／网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看，文中总体把握包过滤防火墙的思想，深入细致地介绍了网络会话的细节，基于输入包和输出包的过滤思想，如何有选择性地开放Internet公共服务三方面重要的内容，并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明，包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上，本文是基于Redhat Linux操作系统，主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述，给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起，介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计，阐述防火墙设计的两种安全策略：默认禁止一切和默认接受一切，并对其进行相互的比较，给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明，阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙，旨在保护其网络安全并节俭网络费用，为此实现NAT共享IP，屏蔽保护子网共享防火墙外网真实IP，达到伪装保护且节俭网络费用之功效，从而减轻网络负担；构造DMZ，将保护子网与网络服务器分离，有效地解决服务器提供网络服务与子网安全保护这一对矛盾，从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点，同时为中小型企业构建和维护防火墙提供了相关的理论依据和参考。