对于高级的路由器设备,防范网络攻击最常用的方法是防火墙。从技术理论上讲,防火墙属于最基本的网络层安全技术,但随着网络安全技术的发展,现在的路由器防火墙已经成为一种功能先进的安全网关。防火墙在路由器上所做的就是报文过滤。报文过滤是通过匹配规则进行的,路由器设备上常规设置的过滤规则包括报文的源和目的地址及端口号,传输层的协议等。通常这些规则用ACL访问控制列表进行记录。通常情况下,使用ACL匹配报文时是线性查找。当过滤系统中规则数目很大的时候,线性查找会使系统性能变差,产生匹配时间过长的缺点。随着互联网的发展,安全需求的提高,过滤系统的规则数目只增不减,因此需要更换匹配算法加快系统速度。首先本文阐述了企业级网络的对网络安全需求,介绍了包过滤防火墙在实际中的价值,简单介绍包过滤技术和访问控制列表。提出了在包过滤防火墙存在大量规则情况下,一般路由器的线性查找存在匹配效率低下的问题。并提出更换分类算法的解决方向。研究经典的分类算法,对于不同的算法的思想进行分析,然后总结对比各种经典算法的时间复杂度,空间复杂度,更新复杂度等指标。由于ACL包过滤的规则是多维属性的,因此其需要的分类算法能够在多维的情况下有良好表现。通过比较分析出HiCut算法和RFC算法是比较适合应用在ACL包过滤上的两种算法。随后对两种算法进行了深入的研究。设计了算法的数据结构和其实现流程,并利用matlab仿真工具模拟编写了算法在实际过程中的处理过程。通过模拟仿真得出了两种算法对比与传统的线性查找在搜索时间上的巨大优势,另外总结对比两种算法在内存消耗性能和与处理时间上表现,分析两个算法的适用环境。在Linux防火墙下挂入了RFC和HiCuts算法处理函数,通过虚拟机联网测试不同匹配方法的系统吞吐量,结果证明RFC和HiCuts算法比线性匹配更具优势。最后,对本文的工作进行了总结与展望,指出了需要改进的部分和下一步的研究方向。算法的结构流程设计和实验结果对于算法在实际的路由器防火墙实现上有借鉴和指导价值。