随着互联网的飞速发展，越来越多的学校、政府和企业等通过网络开展业务，进行交流。与之俱来的网络安全问题也日益严重，因此网络安全产品被人们越来越重视。人们不惜代价在网络安全方面投入资金，购买防火墙或桌面防毒系统等来阻止病毒泛滥和黑客攻击。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，是实施网络安全策略的重要组成部分，受到了用户和研发机构的青睐。 市场上的商用防火墙通常需要相当大的软硬件资金投入，这对于资金不足的学校或企业来说是不可行的。因此，采用专用的操作系统，量身定制一个性能良好、价格低廉的防火墙就显得势在必行。 Linux因其健壮性、可靠性、灵活性以及可定制性在IT业界非常受欢迎。Linux源代码开放，具有许多内置的能力，使开发人员可以根据自己的需要定制其功能、行为和外观，而无需昂贵的第三方工具。因此，本文选择Linux作为专用操作系统，深入研究了当前防火墙netfilter/iptables的实现机制，改进并实现了具有精简的内核、快速包过滤和安全便捷的web配置功能的廉价防火墙。 本文从Linux防火墙netfilter/iptables的工作原理与实现机制入手，分析总结了当前规则存储机制和规则应用过程中的不足，研究了现有配置工具的优缺点，并在此基础上做了以下工作：1.在分析了当前规则存储和应用机制的基础上，提出了将规则在物理上保持线性链表降序存储，而在逻辑上以二叉树形式存储的改进方案，并对改进方案进行了理论证明。 2.为了搭建一个快速高效的运行环境，进行了Linux系统内核精简和安全性设计。在此基础上，修改规则的数据结构，并分别修改了用户空间和内核空间实现此改进方案，提高防火墙的处理效率，而且给出了性能测试及对比。 3.在分析比较了现有的防火墙配置工具的优缺点基础上，提出了采用JavaMVC模式的web配置方案，用SSL协议保证其安全性，并用J2EE架构实现了此方案，从而可以安全方便的配置防火墙服务器。