1、IPSec、NAT、NAT-PT和防火墻在特定的應(yīng)用領(lǐng)域都是不可缺少的。IPSec保障了IP包在傳輸過程中的安全性，能夠為IP包提供數(shù)據(jù)源認證、完整性保護、加密性和抗重放攻擊等安全服務(wù)；NAT極大地緩解了IPv4地址嚴重不足的壓力，能夠使擁有一個或少量公網(wǎng)IPv4地址的單位充分地享用互聯(lián)網(wǎng)資源；NAT-PT解決了純IPv4主機與純IPv6主機之間不能互通的問題；防火墻作為內(nèi)、外網(wǎng)的隔離工具，可以有效地保障內(nèi)部網(wǎng)絡(luò)的安全性。
　　經(jīng)

2、IPSec保護的IP包穿越NAT、NAT-PT和防火墻時，不可避免的產(chǎn)生IPSec與NAT、IPSec與NAT-PT和IPSec與防火墻共存的情景。但是，它們共存時卻存在一些根本性的矛盾：IPSec的基本思想是防止中間節(jié)點對IP包進行偽造、篡改和竊聽；NAT和NAT-PT卻要轉(zhuǎn)換IP包的IP地址或端口；防火墻卻要讀取IP包的IP地址和端口等信息。
　　在IPSec與NAT的一種協(xié)同工作方案即UDP頭封裝方案的基礎(chǔ)上，本論文通過擴展

3、NAT-D載荷和ISAKMP頭，并在IP頭和AH/ESP頭之間插入UDP頭和“非 IKE標識”，分別在第三章和第四章提出了改進的UDP頭封裝和UDP_NAT_PT封裝兩類協(xié)同工作方案，前者用來解決IPSec與NAT不能協(xié)同工作的問題，后者用來解決IPSec與NAT-PT不能協(xié)同工作的問題。另外，通過在IP頭和AH/ESP頭之間插入UDP頭和“非 IKE標識”，本論文還提出了UDP_Firewall封裝方案，它用來解決IPSec與防火墻不

4、能協(xié)同工作的問題。
　　為了真實地貼近網(wǎng)絡(luò)的現(xiàn)實狀況，本論文還深入地研究了IPSec與 NAT和NAT-PT、IPSec與NAT和防火墻、IPSec與NAT-PT和防火墻三方協(xié)同工作的可能性。結(jié)果發(fā)現(xiàn)在前面幾章的基礎(chǔ)上，上述三對組合是完全能夠協(xié)同工作的。
　　由于UDP_NAT_PT封裝和UDP_Firewall封裝兩類協(xié)同工作方案都是在改進的UDP頭封裝方案的基礎(chǔ)上提出的，因此本論文只在第七章對改進的UDP頭封裝方案加以實