IPv6作为下一代互联网的基础协议,在互连的基础上考虑了安全的因素,IPv6利用IPSec(安全IP)实现了网络层的加密与认证,解决了现存IP协议的一些问题。但是IPSec的提出仍然替代不了传统安全设备,如防火墙和入侵检测系统,后者能够控制因管理配置不当、用户误操作、软件漏洞等造成的攻击。结合IPSec的保密认证机制与现有的安全解决方案,能够构造更加强健的安全体系。作为互连网体系结构的核心,IPv6协议的一个重要设计目标是与IPv4兼容。IPv6结点之间的通信依赖于现有IPv4网络的设施,而且IPv6结点也必不可少地要与IPv4结点通信,因此IPv6和IPv4共同存在共同运行的局面将持续相当长的时间。为了保障我国下一代互联网的信息安全,研究IPv4/IPv6过渡阶段下的新的安全体系设计是很现实的,也是非常有必要的。本文分析了IPv6协议的安全特征,包括IPv6报头字段的安全特性以及安全IP协议IPSec。结合IPv4/IPv6过渡阶段的需求,研究了过渡阶段对传统安全设备带来的挑战,在此基础上提出了防火墙和入侵检测系统的集成模型,并实现了原型系统。为了适应IPv6协议和未来高速网络的新环境,在设计过程中系统着重考虑提高整个安全体系的性能与效率,文中重点讨论了两种增强入侵检测系统性能的方案:负载均衡策略和优化分析引擎算法。考虑IPSec协议的保密认证机制,文中提出了结合防火墙和IPSec协议的几种解决方案,并针对防火墙实施认证这种比较理想的解决方案重新设计了密钥交换协议(IKE)。