嵌入式防火墙是在分布式防火墙基础上发展而来的,传统的采用软件实现的分布式防火墙本意是用来保护操作系统,但是攻击者能够很轻易地通过电子邮件等方式关闭防火墙,因此,采用软件实现的分布式防火墙又需要操作系统来保护,这与分布式防火墙设计的初衷相违背.嵌入式防火墙将防火墙的过滤检测部分移植到网卡中实现,从而使防火墙与被保护的主机在物理上分离开来,解决了基于软件实现的分布式防火墙的缺陷.嵌入式防火墙技术主要在嵌入式网卡中实现,嵌入式网卡不仅需要根据策略进行包的过滤检测,还要与策略服务器进行交互,实现策略的更新,这极大地增加了嵌入式网卡的代价和实现的复杂性.本文重点对嵌入式防火墙的策略交互机制部分进行了研究并尝试对其进行改进,目的是在保证安全的同时降低实现的代价.简化的方法是引入代理机制.其主要思想是:将过滤检测部分功能保留在嵌入式网卡中,而将与通信相关的策略交互部分转移到主机的代理中实现,这个实现方法可以大大降低策略交互过程的代价.为了在策略交互机制简化的同时确保通信的安全,尤其是确保安全策略加密的密钥等关键信息的安全,在实现的过程中采用SSL协议.