VPN是从专用网络发展而来的,它利用公共网络建立私密传输通道,提供安全地端到端的数据通信。其中PPTP是第二层隧道协议,并且已经集成到Windows操作系统中,具有安全性高、成本低廉、移动性强等优点,在商业、军事、教育等领略有着广阔的应用前景。着重于安全性考虑,PPTP连接建立以后,客户端发送到网络中的所有数据包都将先发送到服务器,即使并非访问企业资源的数据包,这样增加了数据包平均传输时延。本论文针对PPTP隧道协议这一现象,提出了基于TDI过滤驱动程序过滤PPTP数据包的思想,通过提取数据包内部目的IP地址的方式,判断数据包发送目的地,最后选择性PPTP封装数据包,使非访问企业资源的数据包直接发送到外部服务器。论文的主要工作体现在以下几个方面：1.分析了PPTP封装机制,论述了Windows下拦截技术,包括用户模式和内核模式的数据包拦截技术,分析了它们的拦截原理和对PPTP数据包的拦截位置,表明TDI过滤驱动程序能够更加有效地处理PPTP数据包。2.分析了防火墙关键技术以及驱动程序开发相关技术,设计并实现了系统关键模块,包括TDI过滤驱动模块、过滤规则模块和选择性封装模块。3.基于Windows平台,以PPTP方式组建了VPN,借助于天网防火墙,验证了TDI过滤驱动程序能够提取PPTP数据包内部目的IP地址,给出了改进后的PPTP客户端的安全性分析、TDI过滤驱动程序的本身缺陷、以及本课题下一步的研究工作。