随着Internet的迅速发展和网络技术的不断提高，网络已成为现代社会信息交流的重要途径。Internet提供的开放性网络环境也带来许多安全隐患，网络安全问题已经越来越受到人们的关注。传统的网络安全措施还存在许多缺陷，不能完全解决网络安全问题。 IPSec的出现弥补了传统安全技术的不足，提供了更加完善的网络安全保护。IPSec在IP层上对数据包进行高强度的安全处理，提供了IP包数据源认证、数据完整性、数据机密性以及抗重播等安全服务。各种上层协议也可以直接或间接地使用在IP层提供的安全服务，因而不必分别设计和实现各自的安全机制，提高了执行效率，也降低了产生安全漏洞的可能性。IPSec协议标准作为一种很好的网络安全架构，非常值得我们学习和借鉴。我们希望通过研究IPSec协议本身和IPSec产品技术发展，最终设计出我们自主知识产权的网络安全协议和网络安全产品。 本文对IPSec架构以及IPSec协议体系的各个组件进行了简单介绍，随后针对IPSec协议的特点，分析了IPSec构建VPN的优点与难点，并提出了在网关间部署IPSecVPN的方法。选择Linux作为IPSec实现平台，对2.4版本以上内核的netfilter网络框架进行了分析研究，提出了利用netfilter中的HOOK点插入IPSec处理模块的方式。这种实现方式可以将IPSec处理模块无缝地加入到IP层中，不对内核进行修改，只进行功能上的扩充。并详细阐述了IPSec在IP层处理中的流程，对IPSec主要功能模块的实现方法进行了设计说明。 最后在Linux网关上构建了一个IPSecVPN模型，并对IPSec进行了安全性能测试。通过对所截获数据包的分析，表明数据包在传输过程中已被ESP加密，无法看到数据包中有用的内容，验证了其安全功能。