随着Internet在政治、经济、文化等领域的快速发展,网络已经成为人们日常生活的一个重要组成部分。与此同时,网络安全问题也随之凸现,并成为企业网络应用所面临的主要问题,网络安全技术受到了前所未有的关注与重视。IPv6作为下一代互联网的核心协议,能够满足当前互联网飞速发展的需要。随着IP地址即将消耗殆尽,IPv4向IPv6过渡是一个必然的趋势。当前世界各国都投入巨资对IPv6技术进行研究,以求在该领域取得领先地位。对IPv6技术下的应用进行研究,也有着十分重要的理论和实用价值。IPv6强制支持IPSec,实现了基于网络层的身份认证以及完整性和机密性。防火墙主要用来保护内部网络,而IPSec主要用来保护数据在网络上传输时的安全,将两种技术相结合,更有利于保护整个网络的数据安全。但二者协同工作时,也存在冲突,防火墙需要访问报文头信息和传输层协议头信息并且可能进行修改,而IPSec对整个报文包括协议头进行加密或者认证,影响了防火墙的正常工作。为了解决IPSec与防火墙的协同工作问题,本文在IPv6的扩展头中的逐跳选项报头上定义一个端口选项,用于记录数据包的源端口和目的端口以及验证信息,并建立验证关联。通过此策略,既能使防火墙能对端口信息进行过滤,又使端口信息的完整性得以保证,实现了IPSec与防火墙两者间的协同工作。为了实现对IPv6下的数据包的内容过滤,本文采用了分布式防火墙的策略,在防火墙处对IP数据包的地址及端口进行过滤,在终端主机处对内容信息进行过滤,这样不仅节约了系统的开销,而且达到了对内容过滤的目的。为了验证该策略的可行性,搭建了实验平台,并实现了防火墙的主要功能。最后对系统从功能、性能、安全性方面进行测试和分析。