送信されるパケットの機密ラベルが、次の条件を満たしていること
宛先ホストの認可範囲内である
発信元ホストのネットワークインタフェースの認可範囲内である
パケットに CIPSO ラベルが含まれる場合は、その DOI が宛先ホストの DOI とルートの拡張メトリックの DOI と一致すること。ルートの拡張メトリックが指定されていない場合は、DOI が最初のホップのゲートウェイの DOI と一致すること
パケットに RIPSO ラベルが含まれる場合は、その RIPSO ラベルと PAF フラグが、宛先ホストおよびルートの拡張メトリックの RIPSO ラベル、PAF フラグと一致すること。ルートの拡張メトリックが指定されていない場合は、RIPSO ラベルと PAF フラグが、最初のホップのゲートウェイのものと一致すること
宛先ホストが MSIX ホストとして指定されている場合は、送信されるパケットの機密ラベルが宛先ホストの認可範囲内であり、ルートの拡張メトリックに MSIX 属性が含まれていること。ルートの拡張メトリックが指定されていない場合は、最初のホップのゲートウェイのホストタイプが MSIX として指定されており、パケットのラベルが最初のホップのゲートウェイ用に指定された認可範囲内であること
最初のホップの検査は、あるネットワークのホストから別のネットワークのホストにゲートウェイを介してメッセージが送信される場合に行われます。