随着互联网的高速发展,针对网络的攻击层出不穷。如果单靠软件来实现网络安全保护,对于处理器来说无疑是一个很沉重的负担。越来越多的网络安全设备厂商趋向于采用FPGA芯片与CPU结合的策略。FPGA芯片负责对数据包进行模式匹配,CPU来实现控制功能。这种策略下,FPGA芯片所能达到的数据吞吐率便成了衡量网络安全设备性能的关键指标。这类FPGA芯片的核心技术是多模式匹配算法,算法的选择以及实现对芯片的数据吞吐率有着非常重要的影响。本文首先对防火墙技术进行全面的研究与分析,介绍了目前防火墙技术的特点及未来发展方向;其次,本文深入分析了目前两种主流的多模式匹配算法:Aho-Corasick算法和Wu-Manber算法的特点,对比了两种算法的性能差别,重点考虑了硬件方面的可实现性。然后融合Aho-Corasick算法的诸多改进算法中的两种,分别是基于位图压缩的改进算法和去掉failure函数的改进算法,提出了一种新的Aho-Corasick改进算法。新的改进算法不仅具有基本Aho-Corasick算法在最差情形下保持高效的特点,而且改进了模式集的存储结构,压缩了存储空间。基于改进的Aho-Corasick算法,本文设计一个基于FPGA实现的内容过滤器。文中对内容过滤器进行详细的分析与设计,并对系统进行了仿真,验证其设计的合理性与正确性,最终实现了内容过滤功能。