随着互联网技术的发展，网络安全问题已经成为目前计算机网络发展所迫切需要解决的问题。防火墙技术是目前保障网络安全的主要手段之一。传统的边界防火墙在保证网络安全中发挥了显著的作用，但由于它对网络拓扑结构的依赖等自身特性，随着不断扩大的网络互联新形势的出现，其自身缺陷变得难以解决，如：结构上受限制、网络性能瓶颈、难以防范内部攻击以及单点故障等。传统的防火墙越来越无法满足目前网络安全的需要。分布式防火墙技术应运而生，它的基本思想在于安全策略由管理员集中制定，并通过编译机制将安全策略转换为策略文件，然后，将这些策略文件分散到各内部结点贯彻执行。这样以来，策略的实施就被转移到各内网结点中完成，安全性不再依赖于网络拓扑结构。但由于分布式防火墙自身不能提供较强的认证、加密和完整性检查等安全功能，所以仍然存在安全威胁。而这些安全问题都是IPSec所能解决的。 本文提出一种基于IPSec的分布式防火墙系统，在基于IPSec分布式防火墙模型中，首先由管理中心集中制定安全策略，然后通过IPSec协议把策略文件分发给驻留在终端桌面机上的桌面防火墙以及其它防火墙中。最后，在各防火墙上来执行这些策略。各内部结点之间也是基于IPSec进行通信的。这样以来，既能保证策略文件的安全传输，又能保证内网通信的安全。 本文通过将IPSec与分布式防火墙二者较好地融合，构筑具有安全性、高效性的分布式防火墙。