本文首先详细研究了IPSec协议族里面的封装安全载荷(EncapsulationSecurity Payload-简称ESP)和鉴别头(Authentication Header-简称AH)两种通信保护机制，以及实现安全协议的自动安全参数协商的IKE(Internet KeyExchange)协议，并对其中存在的一些问题提出修改建议。其次详细研究了VPN的关键技术。最后利用Linux的开放源代码的性质，通过系统本身Netfilter防火墙的HOOK机制，把实现的IPSec模块以注册函数的形式与系统内核进行挂接，实现了TCP／IP协议栈与IPSec的无缝整合，并经过对整合后的系统内核进行重编译，实现了一个真正的安全内核，在这个基础上提出一种在Linux环境下基于IPSec的VPN网关的方案，并对系统的部分实现在校园网平台上进行了测试和分析。