防火墙作为一种安全技术手段，已经成为网络系统普遍采用的重要的安全防护设施。但传统的边界防火墙由于拓扑结构的限制，在安全应用中逐渐暴露出其自身存在的一些问题，难以为网络提供全面的安全保障。分布式防火墙作为一种新的防火墙体系结构，可以克服传统防火墙的缺点，为网络提供更为有效的安全服务。　　 中小型企业内部的不同子网需要不同的访问控制，且一般都有远程或移动用户接入的需求。本文首先分析传统的边界式防火墙的体系结构、安全策略和主要功能，指出了传统防火墙在进行网络安全防护时存在的问题；接着介绍分布式防火墙的基本原理和现有相关技术的发展状况；然后针对中小企业混合型网络的特点，分析了其安全需求，在参阅国内外已有研究成果的基础上，设计了适合于中小企业网络环境的WatchNet分布式防火墙系统，该系统具有策略集中定制、集中存储、统一管理、安全分发的特点。　　 所设计的分布式防火墙系统系统遵循Steven M.Bellovin提出的分布式防火墙概念，同时在体系结构和功能上都进行了改进，建立了包括管理中心、代理中心和端节点的3层结构，并完成了WatchNet DFW系统的3个组件(控制中心、边界防火墙执行节点及主机防火墙执行节点)的逻辑设计。　　 论文还讨论了分布式防火墙系统中另外两个较为重要的问题——策略存储及通信安全，提出利用LDAP及其与PKI/CA的集成作为解决问题的途径。最后，论文工作根据所完成的设计方案实现了主要的系统模块。　　 本论文工作的主要技术成果包括：1.改进了体系机构，采用3级体系结构并结合进边界防火墙执行功能，扩展了分布式防火墙的网络防范层次和功能；2.采用LDAP目录库实现对策略、证书、节点信息的存储，提高了管理、查询的效率；3.控制中心和防火墙执行节点之间采用LDAP与PKI/CA的集成来执行身份认证和数据通信保密功能。