随着政府上网、电子商务、金融电子化等不断推进,网络应用越来越广泛,企业和组织机构不断发展壮大,过去的那种大投入、高消费、低利用的网络建设方式已经不能适应企业和组织的发展需要。在这种情况下,虚拟专用网(Virtual Private Network, VPN)技术应运而生,它综合了传统数据网络的性能优点和Internet网络结构的优点,彻底改变了传统网络的建设方式,符合企业和组织发展的需求,代表了当今网络发展的最新趋势。但需要指出的是:如果在未采取安全措施的虚拟专用网上传输数据时,数据容易被监听、篡改和伪造,将会给企业和组织造成难以估量的损失。针对Internet的安全需求,因特网工程任务组(IETF)于1998年11月颁布了IP层安全标准IPSec(IP Security)。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。IPSec在网络层发挥作用,对传输的IP包进行保护和认证,它提供了在Internet这样无保护的网络中传送敏感信息的安全保证。IPSec实现多种安全服务,包括访问控制、无连接完整性、数据源验证、抗重播、机密性(加密)和有限的业务流机密性。本文首先介绍了VPN所涉及的各项安全技术,包括隧道协议、加密技术、认证技术等,然后分析了基于IPSec协议的VPN网络安全体系结构以及各组件的功能、工作方式,并在此基础上给出了一种IPSec VPN的具体实现,提出了使用协议开关表和Linux的NetFilter机制将IPSec处理嵌入IP处理中;使用哈希表实现安全关联库;使用Radix结构实现安全策略库的设计思想,并着重讨论了框架结构、关键技术。最后通过一个应用实例进行验证和测试。