IPSec

来自ITwiki，开放的信息技术大百科

IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication)，确保数据的完整性；IPSEC使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSEC协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。

可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联（security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址，协议，和端口号满足一个过滤机制，那么这个数据包将要遵守关联的安全行为。