3. Panoramica del sistema (System Overview)
Questa sezione fornisce una descrizione di alto livello del funzionamento di IPsec, dei componenti del sistema e di come si combinano per fornire i servizi di sicurezza sopra menzionati. L'obiettivo di questa descrizione è consentire al lettore di "immaginare" il processo/sistema complessivo, vedere come si inserisce nell'ambiente IP e fornire contesto per le sezioni successive di questo documento, che descrivono ciascuno dei componenti in maggior dettaglio.
Un'implementazione IPsec opera in un host, come gateway di sicurezza (Security Gateway, SG) o come dispositivo indipendente, fornendo protezione al traffico IP. (Un gateway di sicurezza è un sistema intermedio che implementa IPsec, ad esempio, un firewall o un router che è stato abilitato per IPsec.) Maggiori dettagli su queste classi di implementazioni sono forniti più avanti, nella sezione 3.3. La protezione offerta da IPsec si basa su requisiti definiti da un database delle politiche di sicurezza (Security Policy Database, SPD) stabilito e mantenuto da un utente o amministratore di sistema, o da un'applicazione che opera entro vincoli stabiliti da uno dei due sopra citati. In generale, i pacchetti vengono selezionati per una delle tre azioni di elaborazione in base alle informazioni dell'intestazione IP e del layer successivo ("Selettori", sezione 4.4.1.1) confrontate con le voci nella SPD. Ogni pacchetto viene protetto (PROTECT) utilizzando i servizi di sicurezza IPsec, scartato (DISCARD) o autorizzato a bypassare (BYPASS) la protezione IPsec, in base alle politiche SPD applicabili identificate dai selettori.