随着网络技术的高速发展,网络已经普及到了社会的各个方面,但是它在提供开放和共享资源的同时,也不可避免地存在着安全隐患。在网络环境中,如何有效地保障机密信息的安全传输与访问,已经成为人们日益关注的焦点。 虚拟专用网(Virtual Private Network,VPN)是在开放网络环境下向用户提供类似专用网络的信息传输框架的安全体系。VPN解决全球化企业联网的能力正使其越来越受到关注。IPSec协议已经成为开发VPN的重要标准。 本文从网络安全出发,首先介绍了虚拟专用网的基本概念及其分类,并重点分析了虚拟专用网的关键技术。然后,从整体上介绍了IPSec协议集和相关机制。包括IPSec基本协议(AH和ESP)、AH和ESP的两种模式、安全关联数据库(SAD)和安全策略数据库(SPD)、AH协议和ESP协议的比较,并较为详细地分析了IPSec的接收和发送处理过程。 接着,讨论了建立在网络层基础上的基于IPSec的网络安全访问方案,包括端到端的网络安全访问、网关到网关的网络安全访问(即虚拟专用网VPN)和主机到网关的网络安全访问(Road Warrior),还讨论了IPSec在终端主机、网关/路由器实施的设计思想。 最后,分析了Linux的网络分层结构和Netfilter机制,在这个基础上详细分析了基于Netfilter机制的IPSec VPN安全网关(IVG)各个模块的具体实现,特别详细分析了IPSec处理模块的实现,并对基于Netfilter机制的IPSec VPN安全网关(IVG)进行了初步实验测试,验证了其安全性及性能。