3.1. IPsecの機能 (What IPsec Does)

IPsecは、ホストまたはネットワークに対して、保護されていないインターフェースと保護されたインターフェースの間に境界を作成します(下の図1を参照)。境界を通過するトラフィックは、IPsec構成に責任を持つユーザーまたは管理者によって指定されたアクセス制御の対象となります。これらの制御は、パケットが境界を妨げられずに通過するか、AHまたはESPを介してセキュリティサービスを提供されるか、または破棄されるかを示します。

IPsecセキュリティサービスは、適切なセキュリティプロトコル、暗号アルゴリズム、および暗号鍵の選択を通じてIP層で提供されます。IPsecは、(a)ホストのペア間、(b)セキュリティゲートウェイのペア間、または(c)セキュリティゲートウェイとホストの間の1つ以上の「パス」を保護するために使用できます。準拠したホスト実装は(a)と(c)をサポートしなければならず(MUST)、準拠したセキュリティゲートウェイは、特定の状況下でセキュリティゲートウェイがホストとして機能するため、これら3つの接続形態すべてをサポートしなければなりません。

                    保護されていない (Unprotected)
                     ^       ^
                     |       |
       +-------------|-------|-------+
       | +-------+   |       |       |
       | |破棄   |<--|       V       |
       | |Discard|   |B  +--------+  |
     ................|y..| AH/ESP |..... IPsec境界
       |   +---+     |p  +--------+  |
       |   |IKE|<----|a      ^       |
       |   +---+     |s      |       |
       | +-------+   |s      |       |
       | |破棄   |<--|       |       |
       | |Discard|   |       |       |
       +-------------|-------|-------+
                     |       |
                     V       V
                     保護された (Protected)

        図1.  トップレベルIPsec処理モデル

この図では、「保護されていない (unprotected)」とは、「ブラック (black)」または「暗号文 (ciphertext)」とも表現される可能性のあるインターフェースを指します。ここで、「保護された (protected)」とは、「レッド (red)」または「平文 (plaintext)」とも表現される可能性のあるインターフェースを指します。上記の保護されたインターフェースは内部的である可能性があります。例えば、IPsecのホスト実装では、保護されたインターフェースはOSによって提供されるソケット層インターフェースにリンクする可能性があります。本文書では、「インバウンド (inbound)」という用語は、保護されていないインターフェースを介してIPsec実装に入るトラフィック、または境界の保護されていない側で実装によって発せられ、保護されたインターフェースに向けられたトラフィックを指します。「アウトバウンド (outbound)」という用語は、保護されたインターフェースを介して実装に入るトラフィック、または境界の保護された側で実装によって発せられ、保護されていないインターフェースに向けられたトラフィックを指します。IPsec実装は、境界の一方または両方で複数のインターフェースをサポートできます。

IPsec境界の両側でトラフィックを破棄するための機能、暗号保護なしでトラフィックが境界を通過できるバイパス (BYPASS) 機能、および保護された側の鍵およびセキュリティ管理機能としてのIKEへの参照に注意してください。

IPsecはオプションでIP圧縮のネゴシエーション [SMPT01] をサポートします。これは、IPsec内で暗号化が使用されると、下位プロトコル層による効果的な圧縮が妨げられるという観察に一部動機付けられています。