虚拟专用网络(VPN,Virtual Private Network)是指以公用开放的网络(如Internet、帧中继网、ATM网络等)作为基本传输媒介,通过附加的多种技术而构建出的具有专用网络性能的逻辑网络.IPSec(IP Security)是构建VPN事实上的标准.IKE(Internet Key Exchange)是IPSec协议族中的重要协议之一,负责动态协商和管理IPSec SA(Security Association,安全关联).IPSec还提供了两个安全协议——AH(Authentication Header)协议和ESP(Encapsulation Security Payload)协议.前者主要提供数据的完整性,后者主要用来保证数据的机密性和完整性.该文首先对VPN和IPSec协议族分别进行介绍和概述.在此基础上提出了IPSec的主机实施和网关实施方案,对IKE模块进行了安全性设计,并给出了VPN通道的配置模式.然后对IPSec协议族进行了分析和评估,设计了AH和ESP的组合使用方式,指出IPSec协议族中仍然存在的问题.最后对IPSec协议和其它VPN协议进行了比较,分析了VPN需要与防火墙集成实施的原因,以及国内VPN市场的发展趋势.