由于IPv4在设计之初在资源限制上较为保守，所以现在Internet的爆炸性增长引发了网络地址不足的危机，按目前入网主机的增长速度预计到2006年左右IP地址将被耗尽；IPv6采用了128位的地址空间，彻底解决Ipv4地址不足的问题。现行网络正由IPv4逐步向IPv6过渡。 　　在通信安全性方面，Ipv6在其扩展报头中定义了认证报头(AuthenticationHeader,AH)和封装化安全净荷(EncapsulatinSecurityPayload，ESP)，从而使在IPv4中仅仅作为选项使用的IPsec协议成为IPv6的有机组成部分。IPsec的引入，使得IPv6在网络层的安全性上得到了很大的增强。 　　但是现行网络防火墙体系对于加密了的Ipv6数据包，并不能完全兼容。如何把应用了Ipsec的Ipv6和防火墙无缝结合在一起，这是国内外网络研究的热点之一，但是至今都还没有非常完善的方案提出。本文在这方面也做了一定程度的尝试。 　　本文主要对Ipv6的安全性进行研究和实践，论文分为四个部分： 　　第一部分首先介绍了Ipv6的技术原理，包括地址格式、地址分类、地址配置、服务质量、移动连接、报头简化和域名解析七个方面；然后对Ipv6的安全机制进行了分析，详细介绍了Ipsec的功能、体系结构、原理和实现的关键技术。 　　第二部分阐述本人建立Ipv6安全性研究实验床的过程。首先介绍了要搭建的实验床的拓扑结构，然后分别详细说明了在linux平台和Windows平台上如何建立实验床，并给出了实验床相关测试结果。 　　第三部分在已有实验床的基础上，针对Ipv6的安全策略Ipsec展开深入的实验和测试，在这一部分本人设计了两种实验方案：一种应用端对端的安全策略，体现Ipsec对端到端网络的保护；另一种应用网关到网关的安全策略，体现Ipsec对整个子网的保护；然后以实验事实为基础详细论述Ipsec的优越性以及它和现有防火墙体系的兼容性问题。 　　第四部分在第三部分实验结果的基础上，对于兼容性问题提出了几种Ipv6下防火墙的解决方案；然后就其中一种：在Ipv6端对端通信情况下，防火墙如何对用ESP加密的数据包进行控制过滤的方法提出自己具体的解决思路。并且在linux平台上，对Linux下的包过滤器——Netfilter进行功能扩展、设计和编程，实现了防火墙对ESP加密数据的控制。