随着移动通信技术的快速发展,用户要求的进一步提高,国内移动网络运营商也在加紧3G网络的部署和运作。为了保证第三代移动通信系统中核心网(CN)的安全,防止外部Internet网络的攻击,以及保护移动终端用户的安全,必须在核心网络的Gn/Gp口部署第三代(3G)防火墙。本文主要关注3G核心网络中GTP(GPRS TunnellingProtocol)协议的弱点、针对GTP协议的策略和防火墙策略编译、防火墙规则异常检测、防火墙日志收集这四个问题。 3G防火墙采用基于Intel IXP2850网络处理器架构,利用IXP2850中16个微引擎对网络传输包进行过滤、传送,保证防火墙能达到高吞吐率。在XScale层,采用嵌入式操作系统MontaVista电信版4.0,能显著提高防火墙运行的稳定性和高效性。 在分析GTP包的结构、GTP控制平面各种管理信息的基础上,主要指出了GTP协议的弱点,给出了针对GTP协议的攻击及防御措施,定义了防火墙规则间的异常,给出了规则间异常的发现算法、消除算法。 论文的主要贡献包括： ■分析GTP协议,给出了针对GTP协议攻击与防御概述。 ■根据GTP协议的弱点,设计了3G防火墙针对GTP协议的策略,给出了3G防火墙针对一般数据流的策略,并给出了策略编译过程■定义了防火墙规则间的异常,给出了规则间异常的发现算法、消除算法。实现了策略冲突检测和消除算法,确保防火墙策略的正确,并对算法时间复杂度进行了分析■提出使用syslog-ng进行防火墙日志收集和转储