Internet的迅猛发展始于20世纪90年代，随着NSFnet的建设和开发，网络节点数和用户数迅速增加。Internet也迅速向全球发展，世界上许多国家纷纷接入到Internet上，使网络上的通信量急剧增长。Internet上有丰富的信息资源，有些信息具有私密性，却遭到泄露和窃取，有些恶意信息，却又无法进行过滤。基于IPsec协议的VPN系统为通信的两端建立了一条使用加密流量的通道，这对恶意流量和涉密内容流量的检测提出了新的课题。本文对解决这一课题进行了研究，并提出了一种基于IPsec协议的代理网关系统的解决方案，并设计了一套轻量级系统，实现了对IPsec流量的监控和透明传输。　　 本文首先介绍了VPN的分类及IPsec VPN的特征和发展历程，并对Linux系统下的IPsec VPN的实现工具进行了介绍;然后详细分析了IPsec协议族的相关协议和组成部分，其中包括Internet密钥交换协议(IKE)，认证头(AH协议)，封装安全载荷（ESP协议），安全关联，安全策略;接着设计了基于IPsec协议的代理网关系统的总体框架，为系统划分功能模块，分析各模块需完成的功能和设计方案。然后，通过分析和测试影响系统性能的指标，提出了两种新的技术方案，一种为并行协议栈技术在系统中的应用，另外设计了一种新的用户空间加/解密API，并通过与基于Netlink接口的用户空间加/解密API进行对比，展示了该API接口的设计灵活性和可定制性，通过与用户空间实现加/解密算法逻辑的方式进行对比，展示了该API接口的高效性。然后，重点阐述了基于IPsec协议的代理网关系统在Linux平台下的设计和具体实现，并在实现过程中详细描述了模块中关键技术的实现方法。最后，在Linux平台下进行了仿真实验和测试，并对测试结果和性能指标进行了分析。　　 本文以实际项目需求为背景，研究和实现了一种轻量级的基于IPsec协议的VPN代理网关系统，对于企业级系统的应用具有实际意义。另外，本文在具体应用中提出的用户空间加/解密API接口，可以方便的应用于Linux平台下其他网络安全产品的开发，从而可以方便的使用内核空间中成熟的Crypto API架构，可以提高开发效率，并能够为具体的功能需求进行功能定制。