本文采取链式结构，对一个以防火墙为主体的整体的网络安全架构进行了 描述，并重点讨论了网络安全体系中的网络层安全IPSec与新型的状态检测型 防火墙的结合使用，进一步地，对其策略管理进行了探讨性的研究。 首先，从传统防火墙解决方案的不足，我们引出了对两种先进技术的讨 论：网络跟踪技术（连接跟踪技术）和状态检测技术。 网络跟踪技术实现在网络层，它为每一个网络连接建立连接跟踪项，收集 与安全有关的信息。之后，该连接上通过的所有网络包都将被跟踪。各种安全 机制，如包过滤，认证，地址转换等都在连接跟踪项中有相应的接口，通过连 按跟踪模块的网络包可以直接进入各层策略检测模块。 状态检测技术则以不同的服务区分应用类型，汲取相关的通讯和应用程 序的状态信息。根据网络通讯中的状态转换，它不断动态地更新连接跟踪表 中的状态信息，结合预定义好的规则，实现安全策略。 其次，文章介绍了运用以上两种技术的状态检测防火墙，并拓展地描绘了 以该防火墙为主体的安全体系架构。从而引出了这个架构中的另一个重要的部 分──网络层安全IPSec。对于一个完整的安全解决方案，提供端对端的安全是 必不可少的。但是，当IPSec实现在状态检测防火墙中，与连接跟踪技术结合 时，又产生了一些新的情况。 第三部分，说明了IPSec是如何适当地契合入状态检测防火墙中的。连接 跟踪项中安全关联链的使用，使得对IPSec的处理与其他安全机制保持了统 一，模块更清晰。但是，如果要充分发挥IPSec的长处，其策略管理的规范化 必将是进一步发展的趋势。 第四部分，IPSec的策略管理。文章介绍了“可信管理”的概念。这是一 个具有普遍推广意义的管理策略模式。它使用一种统一的“安全策略说明语 言”来描述应用的安全策略。可信管理机构接收应用提交的使用安全策略说明 语言书写的行为请求以及其自身策略，进行一致性检查，以确定该行为是否被 允许以及有何种限制条件。文章进一步分析了目前已经实现了的一个可信管理 系统──KeyNote。通过对其设计与实现的研究，为今后在我们的防火墙体系 中实施这种更完善的策略模式做好了前期的准备。