随着移动通信技术的快速发展，国内移动网络运营商也在加紧对3G网络的部署和运作。为了保证第三代移动通信系统中核心网(CN)的安全，防止外部Internet网络的攻击，以及保护移动终端用户的安全，必须在核心网络的Gn/Gp，Gi口部署第三代(3G)防火墙。本文主要关注核心网络中传送GTP(GPRS Tunnelling Protocol)隧道管理消息的状态变迁、3G防火墙中策略的设计、管理以及匹配搜索这四个问题。 3G防火墙采用基于Intel IxP2850网络处理器架构，利用IXP2850中16个微引擎对网络传输包进行拆包、传送，保证防火墙能达到高吞吐率。在XScale层，采用嵌入式操作系统：Monta,Vista专业版5.0，能显著提高防火墙运行的稳定性和高效性。 在分析GTP包的结构、GTP控制平面各种管理信息的基础上，主要给出了GTP隧道管理信息的状态机，并说明状态防火墙该如何应用该状态机进行包状态的检测。 论文的主要贡献包括： ■分析GTP协议，设计了GTP隧道管理消息的状态机。 ■设计了3G防火墙的策略字段，解决了如何对防火墙策略进行编译，以及策略和规则在Berkeley DB嵌入式数据库中存储的问题。 ■实现了规则在内存中分布的哈希算法，以及匹配内存规则的算法流程；同时对已经搜索过的规则作LRU缓存处理，提高规则的搜索速度。 ■实现了规则管理系统的服务器端和客户端。并在测试中给出了规则搜索算法的效率分析。