虚拟专用网(Virtual Private Network)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术。其中,IPSec是IETF制定的一个IP层安全框架协议,属于网络层VPN技术,它通过在IP层上实现加密和认证等多种安全技术,极大地提高了TCP/IP协议的.安全性。使用IPSec技术可以在通信的实体之间建立一个安全的数据传输通道,保证通信数据的私有性、完整性、真实性和防重放攻击,提高了敏感信息传输的安全性。论文的主要工作包括,介绍虚拟专用网的技术背景及国内外发展现状；研究防火墙的发展演进并引出模块所依托硬件平台HSU分布式架构防火墙的介绍及基本流程分析；分析整理IPSEC理论体系,主要包括安全体系结构,两种安全协议和密钥自协商协议；基于网络安全设备对IPSEC VPN模块进行设计与实现。本文的核心是完成了一个IPSEC VPN模块的设计和实现,该模块是在分布式架构防火墙的平台下实现的,是防火墙安全性能的一个核心部分。模块软件基于分布式结构,模块主要业务在业务板进行处理,主控板进行配置管理与信息下发,接口板进行数据包分发。业务板32个硬线程根据模块软件功能分配为四种,主控板进行相关命令配置,IPSEC命令通过业务板的配置线程转到管理线程中,业务线程负责包转发,配置线程负责配置管理,老化线程负责定时器运行和密钥的更新。论文中将会对模块需求进行具体分析,给出模块软件分布式总体结构,业务处理流程,在系统中对其他模块的接口,及配置管理命令行的设计。并根据IPSEC安全体系框架对模块核心内容进行实现。实际应用中,使用IPSec软件进行加密／解密运算会占用大量的CPU资源,影响整机性能。为解决这一问题,业务板本身集成了SAE(Security Accelerate Engine)加密引擎,以硬件方式完成数据的加／解密运算,消除了软件处理IPSec协议对性能的影响,提高了防火墙工作效率。最后在本文结语中,将会对实现模块的高性能优点和值得改进之处进行分析,并对今后的研究提出希望。