随着网络的普及和深入，分支机构众多的大型单位越来越多地在公网上进行远程办公，迫切需要一个可靠、简单、高效、灵活的防火墙网关解决方案，保证机密数据在公网上安全传输。 Linux防火墙的最新版本以Netfilter框架为基础，构建了Iptables这一强大、灵活并且具备良好扩展性的防火墙工具，在网络安全领域中发挥着越来越重要的影响。但针对不断变化的网络安全要求，Linux防火墙在应对安全事件时仍然表现出功能的局限性，因此在实际使用中有必要对其进行安全扩展，在防火墙中增加数据包认证、加解密和VPN网关等功能。 针对上述需求和传统方案的缺陷，本文以Linux2.4版本内核防火墙作为研究对象，通过分析Netfilter/Iptables框架结构和工作机制，对其扩展方法进行研究，给出利用可装载内核模块进行防火墙扩展的一般流程与方法。然后对Linux防火墙在安全VPN网关方面的扩展应用作了进一步的探讨，提出了一种基于Linux平台的、支持包过滤、数据加解密、认证功能的SESP-VPN网关系统。该系统利用Netfilter的钩子机制，对Iptables防火墙目标模块进行了加解密、认证功能的扩展，并参考IPSec中ESP协议的优点设计了自己的安全封装协议实现VPN网关功能，能有效满足机密数据在公网上安全传输的需求。文章最后从功能和性能两方面做了系统测试，总结了设计过程中遇到的主要问题及解决办法，针对SESP-VPN网关系统的不足提出了改进方向和建议。