保護ポリシー機構と実施機構
IPsec では、保護ポリシー機構と実施機構を分けています。IPsec ポリシーは、次の範囲で適用できます。
-
システム規模レベル
-
ソケット単位レベル
ipsecconf(1M) コマンドは、システム規模ポリシーの設定に使用します。
IPsec は、システム規模ポリシーを入力データグラムと出力データグラムに適用します。システムで認識されるデータがあるため、出力データグラムにはその他の規則も適用できます。入力データグラムの処理は、受理されるか拒絶されるかのどちらかです。入力データグラムの受理か拒絶の決定の基準はいくつかありますが、場合によってはその基準が重複したり競合することがあります。競合の解決は、規則の構文解析の順序によって異なります。ただし、ポリシーエントリでトラフィックが他のすべてのポリシーを省略するように指定されている場合は、自動的に受理されます。出力データグラムは、保護付きまたは保護なしで送信されます。保護が適用されると、特定アルゴリズムか汎用アルゴリズムのどちらかになります。ポリシーで標準的にデータグラムを保護する場合、システム規模ポリシーの例外適用時またはソケット単位ポリシーでの省略の要求時に省略できます。
イントラシステム内トラフィックの場合、ポリシーは実施されますが、実際のセキュリティ機構は適用されません。その代わりに、イントラシステム内パケットの出力ポリシーが、セキュリティ機能の適用された入力パケットになります。
- © 2010, Oracle Corporation and/or its affiliates