3. Systemüberblick (System Overview)
Dieser Abschnitt bietet eine übergeordnete Beschreibung der Funktionsweise von IPsec, der Systemkomponenten und wie sie zusammenpassen, um die oben genannten Sicherheitsdienste bereitzustellen. Das Ziel dieser Beschreibung ist es, dem Leser zu ermöglichen, sich den gesamten Prozess/das System vorzustellen, zu sehen, wie es in die IP-Umgebung passt, und Kontext für spätere Abschnitte dieses Dokuments bereitzustellen, die jede der Komponenten ausführlicher beschreiben.
Eine IPsec-Implementierung arbeitet in einem Host, als Sicherheitsgateway (Security Gateway, SG) oder als unabhängiges Gerät und bietet Schutz für IP-Verkehr. (Ein Sicherheitsgateway ist ein Zwischensystem, das IPsec implementiert, z. B. eine Firewall oder ein Router, der für IPsec aktiviert wurde.) Weitere Details zu diesen Implementierungsklassen werden später in Abschnitt 3.3 bereitgestellt. Der von IPsec gebotene Schutz basiert auf Anforderungen, die durch eine von einem Benutzer oder Systemadministrator eingerichtete und gepflegte Sicherheitsrichtliniendatenbank (Security Policy Database, SPD) oder durch eine Anwendung, die innerhalb von Einschränkungen arbeitet, die von einem der beiden oben genannten festgelegt wurden, definiert sind. Im Allgemeinen werden Pakete für eine von drei Verarbeitungsaktionen ausgewählt, basierend auf IP- und Next-Layer-Header-Informationen („Selektoren", Abschnitt 4.4.1.1), die mit Einträgen in der SPD abgeglichen werden. Jedes Paket wird entweder mit IPsec-Sicherheitsdiensten geschützt (PROTECT), verworfen (DISCARD) oder darf den IPsec-Schutz umgehen (BYPASS), basierend auf den anwendbaren SPD-Richtlinien, die durch die Selektoren identifiziert werden.