随着计算机网络在政治、经济、文化、生活等诸多方面的广泛应用,网络已经成为日常工作、生活中不可缺少的重要组成部份。与此同时,网络安全问题也凸现出来,并逐渐成为网络应用所面临的重要问题,网络安全技术受到越来越广泛的重视。防火墙技术作为实现网络安全的重要方法之一,成为了网络安全技术一个重要的研究方向。 与目前普遍使用的IPv4相比,IPv6作为下一代互联网的基础协议,具有很多优势。IPv6解决了IP地址数量短缺的问题,对IPv4协议中的一些不足之处进行了较大的改进,其中最为显著的就是邻居发现协议和无状态地址自动配置,以及将IPSec集成到了协议内部。论文围绕IPv6和防火墙技术的新特性,对基于IPv6的分布式防火墙设计与实现的关键技术进行研究,完成了以下几方面的工作： (1)分析了IPv6技术特点及IPSec机制,研究了IPv6存在的安全隐患,并在此基础上,设计与实现了一个基于IPv6下ND协议的攻击工具,作为IPv6防火墙的测试工具。 (2)研究了防火墙的基本原理和实现技术,对传统网络防火墙与分布式防火墙的特点、体系结构进行了比较,发现了传统防火墙存在的问题和分布式防火墙的技术优势。 (3)完成了一个基于IPv6的分布式防火墙系统原型(DFWS)的总体设计。此DFWS将防火墙功能嵌入到网络的终端,对加密后的数据包进行包头和内容的过滤。按照分布式防火墙集中管理、分散执行的思想,设计了策略制定中心来负责管理网络和制定安全策略,并将安全策略分发到整个网络上的主机防火墙(策略执行者)来执行,解决了传统防火墙的效率瓶颈、内部攻击和不能抵御分布式攻击等问题。 (4)基于Linux2.6的Netfilter功能框架,实现了基于IPv6的分布式防火墙系统,包括策略执行者内核包过滤功能、策略执行者与内核模块的通信、策略制定中心与策略执行者的通信、策略制定中心的防火墙策略解析、以及策略执行者统计信息提交的同步等问题。用实验进行了功能测试,结果表明防火墙可以实现基于网络层包头和应用层内容的过滤功能。