随着Internet的飞速增长，越来越多的企业和组织加入到Internet中来，人们在对Internet的依赖性增长的同时，对网络安全的需求也越来越强烈。但是以TCP／IP协议簇为基础的Internet网络，在其设计时，只考虑到了网络的连接性、开放性和兼容性，而没有考虑网络的安全性，导致IP数据包在传输过程中完全可能被伪造或篡改，信息的完整性、机密性、真实性得不到保证。IP安全协议IPSec(IP Security)的制定，则从根本上为毫无安全性可言的“IP网络”提供了安全保障。 IPSec协议是IETF安全工作组制定的一套可以用于IPv4和IPv6上的，具有互操作性的，基于密码学的安全协议．它提供的安全服务包括访问控制、无连接的完整性、数据源头的认证、防重放功能、数据保密和一定的数据流保密。IPSec通过使用两种通信安全协议来提供上述安全服务：认证头AH和封装安全载荷ESP，以及像Internet密钥交换IKE协议这样的密钥管理过程和协议来提供安全服务。IPSec是专门为IP提供安全保障的，它通过对IP数据包进行加密和认证，确保了IP数据包的机密性、完整性、真实性，从而保证整个IP网络传输的安全性。 本文通过分析TCP／IP协议簇中目前常见的网络攻击和针对这些网络攻击采用的防御技术和措施，提出从根本解决网络安全问题的技术——IPSec协议技术；认真研究了IPSec协议体系结构：IPSec的传输模式、通道模式以及跟IPSec具体实现密切相关的安全关联SA和密钥交换协议IKE等IPSec组成单元。在此基础上，讨论了建立在IP(Internet Protocol)层上的基于IPSec的网络安全访问技术，包括端到端(peer to peer)的网络安全访问、网关到网关(gateway to gateway)的网络安全访问(也就是虚拟专用网VPN)和主机到网关(peer to gateway)的网络安全访问三种安全访问模式。 在以上研究基础上，提出了基于IP层的IPSec实现的结构模型和解决方法，并在开放源码操作系统FreeBSD的内核中成功实现。通过数据监听、FTP网络服务等网络技术的测试，证明所实现的IPSec模型，可在IP层中提供数据传输的机密性、完整性和真实性；解决了IP数据报在网络中传输时的身份伪造、篡改、窃听等网络攻击问题，使网络传输安全性得到很大的提高，在实际应用当中有广泛的实用前景。