IPSec协议是构建VPN时使用的主要协议，同时IPSec实现大都采用了通过策略进行配置的方法。现有的IPSec实现中大多采用IETF定义IPSec框架时给出的策略描述方式，这种描述方式直接和IPSec具体安全保护功能相结合，对于熟悉IPSec的管理员是可行的。但是在应用到大型网络环境下构建VPN时，以及管理人员对IPSec协议了解不深时，这种直接通过IETF策略描述方式定义IPSec策略规则的办法，会带来很多安全策略规则之间的冲突，以及造成潜在的安全漏洞。 这时，将IPSec策略分为多个层次，使得各个层次面向的对象不同，如：高层策略面向的是管理员，其定义方式更接近人的自然思维和自然语言；低层策略面向IPSec标准或具体的IPSec实现。同时，还必须能够从高层策略到低层策略完成自动转化，这样才能为使用IPSec构建VPN应用提供更好的策略管理方式，降低管理员的工作复杂度和难度，保证安全目标的正确实施。 本文对IPSec的一个分层策略方案，即将安全策略细分为安全需求和实现策略，进行了深入研究，主要包括：给出了分层策略的形式化描述及其语义分析；对高层安全策略，即安全需求及其相关问题进行了重点讨论，给出了安全需求的一致性的定义，一致性处理的基本原则，根据这些基本原则给出了一致性处理算法，并通过一个具体实例对算法进行了说明；对从安全需求到实现策略的自动转化问题进行了简单说明；最后，结合集中式策略管理方案和IPSec的分层策略方案，给出一个IPSec/VPN策略管理系统的基本框架，并对其中的功能组件进行了说明。