3.1. IPsec 的功能 (What IPsec Does)
IPsec 为主机或网络创建了一个未保护接口和受保护接口之间的边界(见下面的图 1)。穿越边界的流量受负责 IPsec 配置的用户或管理员指定的访问控制的约束。这些控制指示数据包是否无阻碍地穿越边界,是否通过 AH 或 ESP 获得安全服务,或者是否被丢弃。
IPsec 安全服务通过选择适当的安全协议、密码算法和密码密钥在 IP 层提供。IPsec 可用于保护一个或多个"路径":(a) 一对主机之间,(b) 一对安全网关之间,或 (c) 安全网关和主机之间。符合标准的主机实现必须 (MUST) 支持 (a) 和 (c),符合标准的安全网关必须支持所有这三种连接形式,因为在某些情况下安全网关充当主机。
未保护 (Unprotected)
^ ^
| |
+-------------|-------|-------+
| +-------+ | | |
| |丢弃 |<--| V |
| |Discard| |B +--------+ |
................|y..| AH/ESP |..... IPsec 边界
| +---+ |p +--------+ |
| |IKE|<----|a ^ |
| +---+ |s | |
| +-------+ |s | |
| |丢弃 |<--| | |
| |Discard| | | |
+-------------|-------|-------+
| |
V V
受保护 (Protected)
图 1. 顶层 IPsec 处理模型
在此图中,"未保护 (unprotected)"是指也可能被描述为"黑色 (black)"或"密文 (ciphertext)"的接口。这里,"受保护 (protected)"是指也可能被描述为"红色 (red)"或"明文 (plaintext)"的接口。上面提到的受保护接口可能是内部的,例如,在 IPsec 的主机实现中,受保护接口可能链接到操作系统提供的套接字层接口。在本文档中,术语"入站 (inbound)"是指通过未保护接口进入 IPsec 实现或由实现在边界的未保护侧发出并指向受保护接口的流量。术语"出站 (outbound)"是指通过受保护接口进入实现或由实现在边界的受保护侧发出并指向未保护接口的流量。IPsec 实现可以在边界的一侧或两侧支持多个接口。
请注意 IPsec 边界两侧用于丢弃流量的设施,允许流量在没有密码保护的情况下通过边界的旁路 (BYPASS) 设施,以及将 IKE 作为受保护侧密钥和安全管理功能的引用。
IPsec 可选地支持 IP 压缩协商 [SMPT01],部分原因是当在 IPsec 内使用加密时,它会阻止较低协议层的有效压缩。