随着通信网络的发展,网络安全需求也趋于多样化,能够防御来自多技术层面安全威胁的网络设备显得越来越重要。集成了虚拟专用网(Virtual Private Network,VPN)的网络防火墙是一种灵活、高效、可以实现多方位防御的网络安全设备。VPN实现有多种方式,其中IPSec(Internet Protocol Security)协议能够提供最高级别的安全性,利用IPSec构建安全VPN已成为一种趋势。 网络处理器(Network Processor,NP)兼有通用处理器的灵活性和专用集成电路的高效率,尤其是IntelRIXP2850 NP具有内嵌加解密单元,可以提供高达10Gbps的数据加解密运算,它的出现为IPSec VPN的实现提供了一个理想的平台。 本文以“VPN平台在GPRS防火墙中的集成”信息安全技术项目为背景,阐述了作者提出的在IXP2850NP上实现IPSec VPN平台与GPRS防火墙集成的方案。首先,本文通过对网络处理器和虚拟专用网技术的研究,分析了IPSec协议的体系结构、运行模式和实现方式,提出了构建VPN的具体方法。然后,论文重点阐述了方案的实现。 本文主要内容包括：网络防火墙与VPN整合的安全体系架构的研究,总体安全策略的制定,结合IXP2850 NP结构、功能特点和使用方法,对原有防火墙的软件架构的调整,模块的增加,资源的重新分配；VPN模块数掘层功能的具体实现过程,包含模块的功能设计、数据结构设计、数据包处理流程、IXP2850 NP微引擎应用开发的关键等；最后通过实验结果分析,得出本文方案比传统的实现方式处理效率更高、性能更强、功耗降低的结论。 本文方案对于实现电信级的硬件防火墙与VPN 平台集成有着重要的研究意义,对网络处理器的应用开发也有着实际的参考作用。