随着我国第一个全国性下一代互联网CNGI核心网CERNET2正式开通，IPV6下的各项应用成为学术、商业界研究的热点。作为IPV4协议下保障网络安全的重要环节—防火墙，是否适合在IPV6协议下应用以及如何应用?这是本文的中心问题。 本文作者从防火墙的功能和IPV6的安全协议—IPSEC的功能两个方面做了比较，得出了防火墙在IPV6协议下存在的必要性，并提出了一个有效结合IPSEC的防火墙设计策略。 该策略，充分利用了IPV6报文的扩展报头，设立端口选项从而使得防火墙在IPV6协议下，能对IP地址、端口号进行过滤。为了实现防火墙在IPv6下的对数据包进行内容过滤，本文在端口选项中增加了一个过滤级别的参数，终端装置的防火墙系统通过这个参数实现了数据包内容过滤。针对端口选项引入可能导致的新的不安全因素，源端口号和目的端口号很可能被篡改，使得防火墙无法有效的保护内部网络。建立一个称为Internet Security Association and Key Management Protocol(ISAKMP)验证关联(Validate Association，VA)的安全通道，以保证数据包的完整性。 为了验证该策略的可行性，本文作者搭建了IPV6实验网络并实现了防火墙系统的主要功能。文中，详细介绍了系统的架构，以及实现的包过滤的流程图和算法。最后，作者对系统的功能、性能、安全性做了实验和分析。 在实验中： 1．测试了防火墙的过滤时延，通过数学公式，计算出使用该策略实现的防火墙的网络吞吐量。 2．模拟病毒包，发送数据包，测试了防火墙抗病毒攻击能力。 通过测试实验，证明了该策略具有一定的实用价值。