随着互联网在当今社会中的应用日趋广泛,信息的安全与保密显得越来越重要,网络安全产品也被人们重视起来。虚拟专用网VPN系统主要是用来在不安全的网络环境中开辟安全的隧道以用于数据传输,在网络产品的应用中占有重要的份额。自从IETF正式制定IPSec作为开放性网络层安全协议以后,IPSec被引入到VPN的创建方案中来,从此,IPSec VPN技术开始成为安全研究中的一个关键问题。传统的IPSec VPN系统简单而有效,能够满足最基本的网络安全需求,但也存在一些局限性。针对IPSec VPN实际应用中出现的问题,通过在实际工作中对IPSec VPN的理解和研究,本文重点从以下三个方面展开论述:1)对组播应用的支持。IPSec协议实质上只适用于单播安全,不适用于接收方不唯一的组播环境。鉴于IPSec协议的优良特性,希望它能应用于组播环境,我们利用通用路由封装(GRE)隧道与IPSec加密相结合的方法解决这一问题,提出在星形结构应用中可能会遇到的问题及如何解决。2)策略数据库(SPD)组织结构的改进。安全策略是IPSec体系结构的重要组成部分,它的核心问题是策略的表示和实施。其中,“表示”就是策略的定义、存储和获取,“实施”也就是策略在实际通信中的应用。对进入和外出的IP包进行处理的安全策略存放在安全策略数据库(SPD)中。因为对于要处理的每个数据报都要对其进行查询处理,所以,SPD的组织结构方式直接对整个IPSecVPN系统的效率影响很大。在实际的应用中,对SPD的查询速度要求往往很高,特别是在一个复杂的网络环境中,因为SPD的源地址、目的地址字段既可能是一个主机地址,也可能是一个子网地址,对其查询的复杂度相当的高。我们本着提高查询效率为目的,分别采用多分支Trie树和Radix树两种树型结构来实现策略数据库的组织结构,并进行各自优缺点的比较。3)策略相关性的处理。大量的内部节点各自使用的不同安全策略可能交织在一起,需要正确处理策略之间的相关性。分析了策略相关性,分析其解决方法,深入理解其如何使策略系统能在复杂的网络环境中处理大量相互影响的安全策略。另外,文章接下来为IPSec VPN网络提出了一个“策略集中存放、管理员分级管理”的安全策略服务器模型。由于VPN系统配置相对于普通用户来说比较专业,在实际应用中经常会遇到因策略不一致而导致VPN无法连接的问题。IPSecVPN系统的安全策略服务器主要是将VPN网络中的策略管理集中到一起,由网络管理员统一配置和管理,以避免可能存在的策略不一致问题。本文的意义在于使得人们对IPSec VPN有了更加清晰的认识,让IPSec VPN系统能更好的服务于网络安全事业。研究生在读期间曾在济南市得安计算机技术有限公司研发中心VPN部实习,参与多个IPSec VPN相关项目研发,为课题的撰写提供了实践基础。