IPsec の保護ポリシー

IPsec の保護ポリシーは、どのセキュリティー機構も使用できます。IPsec ポリシーは、次のレベルで適用できます。

• システム規模レベル

• ソケット単位レベル

IPsec は、システム共通ポリシーを出力データグラムと入力データグラムに適用します。出力データグラムは、保護付きまたは保護なしで送信されます。保護が適用されると、特定アルゴリズムか汎用アルゴリズムのどちらかになります。システムで認識されるデータがあるため、出力データグラムにはその他の規則も適用できます。入力データグラムの処理は、受理されるか拒絶されるかのどちらかです。入力データグラムの受理か拒絶を決定する基準はいくつかありますが、場合によってはその基準が重複したり競合することがあります。競合の解決に当たっては、どの規則の構文解析を最初に行うかが決定されます。ポリシーのエントリによって、そのトラフィックがすべてのほかのポリシーを省略すると指示されている場合を除いて、トラフィックは自動的に受理されます。

データグラムを保護する通常のポリシーを省略することもできます。それには、システム規模ポリシーに例外を指定するか、ソケット単位ポリシーで省略を要求します。システム内トラフィックの場合、ポリシーは実施されますが、実際のセキュリティー機構は適用されません。その代わりに、イントラシステム内パケットの出力ポリシーが、セキュリティー機能の適用された入力パケットになります。

ipsecinit.conf ファイルと ipsecconf コマンドを使用して、IPsec ポリシーを設定します。詳細と例については、ipsecconf(1M) のマニュアルページを参照してください。