3. 系统概述 (System Overview)
本节提供了 IPsec 工作原理、系统组件以及它们如何组合在一起以提供上述安全服务的高级描述。本描述的目标是使读者能够"描绘"整个流程/系统,了解它如何融入 IP 环境,并为本文档后面的章节提供背景,这些章节将更详细地描述每个组件。
IPsec 实现在主机中运行,作为安全网关 (Security Gateway, SG),或作为独立设备,为 IP 流量提供保护。(安全网关是实现 IPsec 的中间系统,例如,已启用 IPsec 的防火墙或路由器。)关于这些实现类别的更多详细信息将在第 3.3 节中提供。IPsec 提供的保护基于由用户或系统管理员建立和维护的安全策略数据库 (Security Policy Database, SPD) 定义的要求,或由在上述任一方建立的约束内运行的应用程序定义的要求。通常,根据与 SPD 中的条目匹配的 IP 和下一层头部信息("选择器 (Selectors)",第 4.4.1.1 节)选择数据包进行三种处理操作之一。根据选择器识别的适用 SPD 策略,每个数据包要么使用 IPsec 安全服务进行保护 (PROTECT),要么被丢弃 (DISCARD),要么允许绕过 (BYPASS) IPsec 保护。