随着计算机网络技术的蓬勃发展,防火墙技术成为重要的网络安全保护组件。尤其是对于嵌入式设备而言,如何确保防火墙的安全性能是备受关注的课题。目前而言,网络防火墙数据包匹配算法以及防火墙策略检测算法还存在一些问题。例如,目前大部分网络防火墙中的数据包匹配算法还是基础的顺序匹配算法,不能满足大型网络防火墙下对过滤性能的较高需求。而目前的防火墙策略检测算法对于处理实际情况下的IP地址任意前缀长度的问题缺乏很好的解决方案。本文主要工作如下:第一,在防火墙匹配算法方面,提出了一种基于无关规则集的快速数据包匹配算法。目前大部分网络防火墙因为没有对原规则集进行分析重写的能力,通常通过统计分析的方法调整规则集的顺序提高匹配效率。但是这种方法没有从算法本质上改善匹配算法的效率。通过对目前主流的网络防火墙数据包匹配算法进行研究,提出了一种基于无关规则集的快速数据包匹配算法。第二,在防火墙策略分析方面,提出了结合二元分类树和位向量算法的空间划分算法用于解决冲突检测问题。做了两方面的工作。一方面是提出了朴素空间分类算法以及基于二元树的分类算法,二元树算法消除了朴素空间分类算法的分类次数过多的精度漩涡问题,也解决的对任意长度的IP地址前缀的处理难题。另一方面,研究了前沿的位向量冲突检测算法。位向量冲突检测算法是目前适用范围最广,处理效率最高的算法。第三,给出了Linux操作系统下网络防火墙安全分析的系统设计。通过分析证明了快速数据包匹配算法在匹配时间效率上具有较高的性能,是能够明显提升匹配效率的算法。对基于二元树的分类算法进行了仿真对比实验,证明了二元树分类算法在前缀类型上相对位向量算法的高效性。研究了基于位向量的冲突检测算法并与ASBV算法进行了实验仿真测试,验证了位向量冲突检测算法的优势。由此证明了基于二元树和位向量的冲突检测算法结合了两者的优势,是目前处理Linux防火墙规则检测问题的较好的技术。