随着世界经济全球化的高速发展，计算机网络技术的进步也是日新月异。传统的以TCP/IP协议族为支撑的网络互联技术虽然成功地解决了异型计算机之间、异构网络之间的互联互通问题，但它的设计初衷及其使用环境基本未考虑此互联技术造成的安全隐患和安全漏洞。随着跨国公司业务的扩展，总部和异地分公司间通信，公司业务人员的移动办公；国家机关，各地政府部门间的安全通信等等安全网络应用的需求迫切。但IP数据包本质上是不安全的，IP头校验和仅仅对IP头计算，并不包括数据域；基于口令和IP地址的身份认证已经不能满足各种级别用户的安全需求。虚拟专用网(VPN)技术的产生和发展为以上问题的解决带来希望。但是与VPN相关的协议众多，功能和安全机制各异，因此应用效果参差不齐。本文的出发点正是为了完善VPN的身份认证功能，提高VPN通信过程中IP包的安全系数。因此，本文提出了在VPN中应用公钥基础设施PKI的解决方案，实现基于数字证书的身份认证；实施IP安全标准IPSec，使用高强度的密码认证和加密算法来保护IP通信的完整性和保密性。 本文主要以IP安全协议体系(IPSec)为基础，对VPN这一目前广泛应用的信息安全技术及其实现方案进行深入的研究。论文依次阐述了安全问题的现状、分类和对策；IPSec协议体系的组成和关键技术；VPN技术的定义、分类和协议基础；PKI原理和相关组件。然后，详细描述了基于Linux平台上利用Netfilter机制构造应用IPSec的VPN网关的方法，包括系统构成，IPSec-VPN网关的安装和配置，并利用Windows2003Sever平台实现在线申请数字证书和基于数字证书的网关身份认证。最后对该IPSec-VPN网关进行了测试，包括功能测试和应用模式测试，验证目标系统的安全性能和通信效率。