论文主要对协作型防火墙的包过滤和通信安全进行设计与实现.包过滤是防火墙的基本功能,通信安全是防火墙进行网络安全保护的前提条件.论文通过下面的方法,设计与实现协作型防火墙的包过滤和通信安全.1、设计一种完全分布式的防火墙体系结构;在完全分布式结构中,防火墙安装在内部网络的所有可能成为攻击源端或目的端的主机中,从而把外部和内部网络攻击统一到防火墙的周边(内部网络的主机)来防御.这种结构,为防火墙全面地和主动地防御网络攻击提供基础.2、利用防火墙的包过滤模块和协作模块的功能,在包过滤中实现对网络攻击的主动防御;在分析Windows环境的主要包过滤技术的基础上,采用代表主流技术方向的NDIS(网络驱动接口规范)中间层驱动的帧过滤技术,实现防火墙的包过滤模块.由于现有防火墙主要在网络层过滤数据包,而帧过滤在更低层面(数据链路层)过滤数据包,所以帧过滤在安全性和效率方面具有一些优势.协作模块实现攻击目的端和源端主机之间的协作,使得防火墙可以在源端主机中实施主动的安全策略.防火墙与其他网络系统之间的协作,提高了防火墙的入侵侦测能力,使得防火墙可以更及时和更准确地标识网络攻击.把包过滤模块和协作模块结合起来,可以实现对网络攻击的主动防御,更好地消除网络攻击(如拒绝服务攻击)所带来的负面的安全和通信影响.3、设计一种合符防火墙通信安全需求的IP安全(IPSec)策略,实现防火墙的通信安全;分布式结构带来了防火墙的通信安全问题.采用先进的标准化的IPSec技术,设计和实施一种合符防火墙通信安全需求的IP安全策略,如AH+ESP的传输模式,可以实现防火墙的通信安全.一般的分布式防火墙在实现防火墙的通信安全时缺乏对传统应用的保护,这种方法有效地克服了这个缺陷,具备更好的安全性和相对独立性.论文通过两个实验,验证协作型防火墙的包过滤和通信安全的实现方法的有效性.一个是利用防火墙的包过滤模块和协作模块的功能,在动态包过滤中主动防御网络攻击的实验;另一个是通过实施"AH+ESP的传输模式"的IP安全策略,实现防火墙的通信安全的实验.论文的结果,有效地实现了以下目标.1、设计一种可行的防火墙体系结构,把外部和内部网络攻击统一到防火墙的周边来防御,为全面地和主动地防御网络攻击提供基础.2、用NDIS中间层驱动的帧过滤技术,实现数据链路层的包过滤,提高包过滤的安全性和效率.3、实现攻击目的端和源端主机之间的协作、防火墙与其他网络系统之间的协作,并结合包过滤模块的功能,在包过滤中实现对网络攻击的主动防御.4、设计一种符合防火墙通信安全需求的IP安全策略(AH+ESP的传输模式),实现防火墙的通信安全.