随着下一代互联网(NGI)及高性能网络技术的发展，网络边界渐趋模糊。作为网络的“安全门户”，防火墙的作用与地位倍受关注。面对日益频繁的网络攻击行为，传统意义下的防火墙通常只能被动防御，往往导致网络安全防范的措施和效率受到影响。因此，将主动防御、深度防御等思想应用于防火墙的研究与设计具有重要意义。 目前，虚拟专用网(VPN)技术得到了广泛应用。防火墙的安全效率正在受到虚拟专用网的核心技术—隧道技术的影响。当隧道穿越防火墙时，就相当于在防火墙上“凿”出了一个“洞”。这对网络的安全有可能是灾难性的。因此，新一代防火墙应该具有对隧道及其相关技术进行监控和管理的能力。本文研究了防火墙技术、隧道技术、代理技术和基于角色的访问控制技术，重点研究了隧道代理防火墙技术，提出并设计了一个支持第二层隧道协议代理的防火墙系统。主要研究包括以下几个方面： (1) 提出了防火墙隧道代理区的概念，设计了隧道代理模型 本文提出了三种隧道代理(Tunnel Proxy)模型：自愿隧道代理模型、强制隧道代理模型和透明隧道代理模型。在提出对隧道生命周期进行管理的思路基础上，本文为防火墙增设了一个隧道代理区(Tunnel Proxy Zone，TPZ)。其基本工作原理是：所有的隧道请求都将被定向到隧道代理区，接受隧道代理系统的监督与审计。当隧道穿越防火墙时，隧道代理系统能对流经隧道的信息进行主动监控、审查和记录，并能够在需要时再现隧道的行为。为了提高防火墙的工作效率，被代理的隧道协议必须简洁、易实现。因此，本文重点研究了防火墙对第二层隧道协议(L2TP)的代理并以此实现了代理层次在OSI模型上的下移。 (2) 提出了增强第二层隧道协议安全性的方法 作为防火墙要代理的隧道协议，隧道协议自身应有较高的安全性。但L2TP存在较多的问题。本文列举了L2TP协议的安全隐患，分析了由RFC3193提出的安全解决方案存在的问题，提出并设计实现了一个与L2TP兼容、但安全性更高的增强型第二层隧道协议eL2TP(enhanced Layer Two