本论文系统地描述了具有入侵检测功能的防火墙的实现方法，实现成果和结论。对于在防火墙层次实现网络入侵的过滤，在现存的技术手段和科学研究的基础上，已经可以比较容易地实现一些特定入侵的过滤。但到目前为止，在防火墙系统实现对入侵数据包的普遍过滤还是一个技术上的难题。本人课题的根本目的就是尝试实现一个能够普遍过滤入侵数据包的防火墙软件系统。 为了实现这个根本目的，本人探索性地提出一个分工合作的解决方案。新的防火墙系统由两个相对独立的部分组成，一部分完成数据包的过滤，一部分完成对数据包的入侵检测。这两个部分以独立的方式运行并通过适时的数据交换进行合作。这是为了避免由防火墙直接对数据包进行入侵检测，如果由防火墙直接检测数据包的入侵行为的话，会让整个系统的收发包的速度降到不可忍受的程度。这也是一直困扰想让防火墙对数据包进行全面入侵检测的软件工程师的一个难题。在课题的具体实现中，本人对现存的传统防火墙和入侵检测系统进行了改造，使其有机地结合起来共同组成了一个新的防火墙系统。经过对大量实例的分析，最后选择linux 2.4操作系统下的netfiler的IPV4协议上的实现作为传统防火墙部分的开发平台；开放源代码的小型IDS系统Snort作为组成新开发系统IDS部分的开发平台。经过一年多的反复论证，编程实践工作，最终完成了体现基本设计构想的入侵检测防火墙软件系统雏形。 新的防火墙系统具有传统防火墙不可替代的优点。一、新的防火墙对入侵检测是全面的，它对入侵检测的性能取决于组成它的IDS部分的性能；二、相对独立的可开发性，包过滤部分和入侵检测部分可以独立地开发。三、更加完整的log文件，使网络管理员更加易于对安全漏洞进行分析。尽管实现的系统还有不少漏洞，现在只处于实验室阶段，要进一步完善才能实际应用，但它基本证实了本人提出的实现方法是可行的，并为网络安全系统的设计作出了有益的探索。