在典型的分布式防火墙模型中，由策略控制中心统一管理安全策略的制定和分发工作。随着网络规模的不断扩大，策略控制中心的负载越来越重，同时分布式防火墙规则的制定也越来越复杂，如果在策略规则的定义和分发过程中稍有不慎，就会造成策略异常，导致网络脆弱从而给全网带来安全隐患。因此，分布式防火墙策略分发和分类研究对分布式防火墙技术的发展有着重要意义。 本文首先分析研究了具有代表性的分布式防火墙系统模型的设计及实现方案，总结了分布式防火墙实现的关键技术，归纳了当前该研究领域中各种策略分发技术，同时指出了目前这些策略分发技术的缺陷以及不完善之处。然后本文提出了一个三层分布式防火墙的模型，引入汇聚防火墙的概念，通过汇聚防火墙代理主机防火墙的策略申请和证书申请以及转发策略和证书的工作，有效分担了策略控制中心的负载，解决策略分发中的链路拥塞问题，消除了系统安全性能瓶颈。同时还对汇聚防火墙的功能进行了有效扩展。在三层分布式防火墙模型的基础之上，本文制定了“推送”、“索取”和“查询”结合的策略分发机制来确保策略分发的及时性和有效性，并详细阐述了该策略分发机制的实现过程。为了在分布式异构环境下实现策略分发，本文选择XML语言来描述分布式防火墙的安全策略，并深入研究了基于SOAP协议的分布式防火墙策略分发的原理及其技术可行性。 其次，针对当前提出的基于域的策略分类思想，本文通过在KevNote模型上进行的实例分析，证明了该思想的可行性，也说明了该思想的不足之处在于用户迁移时策略管理复杂以及策略更新的困难性。文中提出了基于成员角色权限的策略分类思想，并将成员角色权限封装在属性证书中，使管理员贴近机构和人员的组织形式和资源的分布来实施策略的分类制定和管理维护，更有利于策略分发的安全性和有效性。文中详细表述了防火墙策略规则的定义、基于成员角色权限策略分类方案及添加规则算法，并给出了属性证书封装成员角色权限的实现过程。 最后，本文设计了一个基于SOAP的分布式防火墙安全策略分发系统，详细描述了策略控制中心及节点防火墙各个子功能模块，给出了该系统关键技术的实现，从而论证了在异构平台下基于SOAP的分布式防火墙策略分发方案的技术可行性。