3. Aperçu du système (System Overview)
Cette section fournit une description de haut niveau du fonctionnement d'IPsec, des composants du système et de la manière dont ils s'assemblent pour fournir les services de sécurité mentionnés ci-dessus. L'objectif de cette description est de permettre au lecteur de "visualiser" le processus/système global, de voir comment il s'intègre dans l'environnement IP et de fournir un contexte pour les sections ultérieures de ce document, qui décrivent chacun des composants plus en détail.
Une implémentation IPsec fonctionne dans un hôte, en tant que passerelle de sécurité (Security Gateway, SG), ou en tant que dispositif indépendant, offrant une protection au trafic IP. (Une passerelle de sécurité est un système intermédiaire implémentant IPsec, par exemple, un pare-feu ou un routeur qui a été activé pour IPsec.) Plus de détails sur ces classes d'implémentations sont fournis plus tard, dans la section 3.3. La protection offerte par IPsec est basée sur des exigences définies par une base de données de politique de sécurité (Security Policy Database, SPD) établie et maintenue par un utilisateur ou un administrateur système, ou par une application fonctionnant dans les contraintes établies par l'un ou l'autre des éléments ci-dessus. En général, les paquets sont sélectionnés pour l'une des trois actions de traitement en fonction des informations d'en-tête IP et de la couche suivante (« Sélecteurs », section 4.4.1.1) correspondant aux entrées dans la SPD. Chaque paquet est soit protégé (PROTECT) à l'aide des services de sécurité IPsec, soit abandonné (DISCARD), soit autorisé à contourner (BYPASS) la protection IPsec, en fonction des politiques SPD applicables identifiées par les sélecteurs.