IPsec 保护策略可以在以下级别应用:
系统范围级别
每个套接字级别
IPsec 将系统范围策略应用到与 IPsec 策略规则匹配的外发包和传入包。此规则可以指定特定算法或允许若干算法中的一个。由于存在系统可识别的其他数据,因此可以将其他规则应用于外发包。
传入包可被接受或丢弃。丢弃或接受传入包的决定根据若干条件做出。如果条件重叠或冲突,则使用首先解析的规则。
您可以为 IPsec 策略指定例外情况,使其在除例外情况以外的其他情况下应用于大多数包。也就是说,您可以绕过 IPsec 策略。绕过操作可以在系统范围级别或每个套接字级别执行。
在包含共享 IP 地址上区域的系统中,该系统内的通信将执行策略,但是不会应用实际的安全机制。相反,应用于系统内部包上的外发策略将转移到应用了那些机制的传入包。对于专用 IP 区域,则会执行策略,应用实际的安全机制。
可以使用 ipsecinit.conf 文件和 ipsecconf 命令来配置 IPsec 策略。有关详细信息和示例,请参见 ipsecconf(1M) 手册页和Chapter 7, 配置 IPsec。