因特网雏形ARPANET的时代发展至今，网络技术和网络应用的发展突飞猛进，安全方面的威胁逐渐成为网络技术面临的重大挑战，网络安全也成为网络技术研究领域最具挑战性和现实意义的课题之一。十几年来，防火墙作为一种有效的边界保护设备，在保障各种互联网应用的安全方面应用最为广泛。但新的网络基础设施的使用，ActiveContent等新型网络应用和新型网络计算模式的出现，对防火墙的保障能力提出了严峻的挑战，各种穿透防火墙的攻击和威胁形式层出不穷。迫使人们进一步认识防火墙的本质，认清传统防火墙技术的局限性，寻找新的技术突破。 本文重新讨论了边界防护的实质和目标，分析了传统的基于物理边界的防护技术的局限性，创新性的提出了基于虚拟边界防护的概念，讨论了跨越虚拟边界的交互行为和保护机制，以及系统中安全策略的制定和策略模型的设计。在此基础上，本文提出了一个基于虚拟边界防护的分布式防火墙系统的设计方案，讨论了在Windows平台下实现该系统涉及到的具体实现技术，在Windows2K上开发了一个能够对跨越虚拟边界的交互行为进行监控的原型系统VPM。 本文的研究重点是虚拟边界的界定和防护理论研究，以及在此基础上构建分布式防护系统所涉及到的技术实践，取得的主要成果如下：1.提出了基于虚拟边界划分的安全域的概念；考察了域间交互访问的两种基本方式：信息流和控制流；通过对它们安全性的分析，找出了文件传输和过程调用两种典型交互行为；设计了基于信息流和控制流的边界防护机制来监控域间交互行为。 2.归纳了虚拟边界防护对安全策略的设计要求，提出了多层安全策略模型，面向对象的策略定义，并给出了适应虚拟边界特点的一个策略系统设计。 3.将分布式思想引入虚拟边界防火墙，提出了基于虚拟边界防护的分布式防火墙系统的设计框架，并解决了三个关键功能的实现技术：安全标记技术、流监控技术和性能监控技术。 4.基于以上研究，实现了一个分布式虚拟边界防火墙的原型系统VPM。在VPM系统上的实验评估验证了虚拟边界防火墙对域间交互行为的监控和根据安全策略对受保护对象的访问控制的可行性。 分布式虚拟边界防火墙从本质上突破了传统防火墙的设计局限，更接近网络安全的最终目标，特别适用于虚拟边界和物理边界不重合并存在多个逻辑安全域的网络应用环境。本文对这类防火墙技术的研究希望为未来的防火墙提供有益的理论准备和实践尝试。