3. システム概要 (System Overview)
このセクションでは、IPsecがどのように動作するか、システムのコンポーネント、およびそれらがどのように組み合わさって上記のセキュリティサービスを提供するかについての高レベルの説明を提供します。この説明の目的は、読者が全体的なプロセス/システムを「イメージ」し、それがIP環境にどのように適合するかを理解し、後のセクションで各コンポーネントをより詳細に説明するためのコンテキストを提供することです。
IPsec実装は、ホスト内で動作するか、セキュリティゲートウェイ (Security Gateway, SG) として、または独立したデバイスとして動作し、IPトラフィックに保護を提供します。(セキュリティゲートウェイは、IPsecを実装する中間システムです。例えば、IPsecが有効になったファイアウォールまたはルーター。)これらの実装クラスの詳細については、セクション3.3で後述します。IPsecが提供する保護は、ユーザーまたはシステム管理者によって確立および維持されるセキュリティポリシーデータベース (Security Policy Database, SPD)、またはそのいずれかによって確立された制約内で動作するアプリケーションによって定義された要件に基づいています。一般に、パケットは、SPD内のエントリと照合されるIPおよび次層ヘッダー情報(「セレクター (Selectors)」、セクション4.4.1.1)に基づいて、3つの処理アクションのいずれかに選択されます。各パケットは、セレクターによって識別される適用可能なSPDポリシーに基づいて、IPsecセキュリティサービスを使用して保護 (PROTECT) されるか、破棄 (DISCARD) されるか、またはIPsec保護をバイパス (BYPASS) することが許可されます。