IPSec、NAT、NAT-PT和防火墙在特定的应用领域都是不可缺少的。IPSec保障了IP包在传输过程中的安全性,能够为IP包提供数据源认证、完整性保护、加密性和抗重放攻击等安全服务;NAT极大地缓解了IPv4地址严重不足的压力,能够使拥有一个或少量公网IPv4地址的单位充分地享用互联网资源;NAT-PT解决了纯IPv4主机与纯IPv6主机之间不能互通的问题;防火墙作为内、外网的隔离工具,可以有效地保障内部网络的安全性。经IPSec保护的IP包穿越NAT、NAT-PT和防火墙时,不可避免的产生IPSec与NAT、IPSec与NAT-PT和IPSec与防火墙共存的情景。但是,它们共存时却存在一些根本性的矛盾:IPSec的基本思想是防止中间节点对IP包进行伪造、篡改和窃听;NAT和NAT-PT却要转换IP包的IP地址或端口;防火墙却要读取IP包的IP地址和端口等信息。在IPSec与NAT的一种协同工作方案即UDP头封装方案的基础上,本论文通过扩展NAT-D载荷和ISAKMP头,并在IP头和AH/ESP头之间插入UDP头和“非IKE标识”,分别在第三章和第四章提出了改进的UDP头封装和UDP_NAT_PT封装两类协同工作方案,前者用来解决IPSec与NAT不能协同工作的问题,后者用来解决IPSec与NAT-PT不能协同工作的问题。另外,通过在IP头和AH/ESP头之间插入UDP头和“非IKE标识”,本论文还提出了UDP_Firewall封装方案,它用来解决IPSec与防火墙不能协同工作的问题。为了真实地贴近网络的现实状况,本论文还深入地研究了IPSec与NAT和NAT-PT、IPSec与NAT和防火墙、IPSec与NAT-PT和防火墙三方协同工作的可能性。结果发现在前面几章的基础上,上述三对组合是完全能够协同工作的。由于UDP_NAT_PT封装和UDP_Firewall封装两类协同工作方案都是在改进的UDP头封装方案的基础上提出的,因此本论文只在第七章对改进的UDP头封装方案加以实现,实验结果表明它是有效且可行的。