随着人们对语音、视频等多媒体业务的需求不断增加，网络得到了迅猛的发展。学校、企业、银行、政府机关等单位都拥有了自己的局域网。这些局域网最终都通过Internet实现互联，并通过它来传递一些商业信息及其他重要数据。因此，保护局域网的安全成为一项十分重要的课题。其中，在网络入口处安装防火墙是一个极为有效的方法。 然而，与路由器、交换机不同的是，防火墙为了起到有效保护内部网络的作用，它需要对经过它的数据包进行复杂的处理，例如状态检测需要解析到传输层。因此，对防火墙的性能有着很高的要求，特别是在千兆局域网中，要求防火墙的处理速度足够快，能够实现线速转发，这对防火墙提出了很大的挑战。 面对千兆网络的安全需求，人们提出了不少的解决方案，其中主要有基于通用CPU实现、基于ASIC实现和基于网络处理器实现这三种。这些方案各有优缺点，基于通用CPU实现的防火墙实现最为简单，但是处理速度成为很大的瓶颈；基于ASIC实现的防火墙处理速度快，但灵活性差、开发周期长：而基于网络处理器实现的防火墙位于这二者之间。 本文介绍作者在研究生期间所做的关于用网络处理器实现千兆防火墙的研发工作。共分为两个部分，第一部分是网络处理器和防火墙相关的理论知识；第二部分是本人在项目过程中参与部分的详细介绍，其中重点介绍数据平面的设计与实现。论文的具体结构安排如下： 第一章介绍网络处理器的相关知识，并重点介绍IXP2400的体系结构和功能特性。 第二章介绍防火墙的概念和一些关键技术。 第三章介绍防火墙的总体设计及数据平面的实现。 第四章介绍路由CC的设计。 第五章测试。