IPsec 保护策略

IPsec 保护策略可以使用任何安全机制。IPsec 策略可以在以下级别应用：

• 在系统范围级别

• 在每个套接字级别

IPsec 会将系统范围的策略应用于外发数据报和传入数据报。外发数据报既可以在受保护的情况下发送，也可以在不受保护的情况下发送。如果应用了保护，则算法可能是特定的，也可能是非特定的。由于存在系统可识别的其他数据，因此可以将其他一些规则应用于外发数据报。传入数据报可以被接受或丢弃。确定丢弃还是接受传入数据报时取决于若干个条件，这些条件有时会重叠或冲突。可以通过确定首先要解析的规则来解决冲突。将自动接受通信，但是当策略项表明通信应绕过所有其他策略时除外。

可以绕过通常保护数据报的策略。您既可以在系统范围策略内指定例外，也可以在每个套接字策略中请求绕过。对于系统内的通信，将执行策略，但是不会应用实际的安全机制。相反，应用于系统内部包上的外发策略将转移到应用了那些机制的传入包。

可以使用 ipsecinit.conf 文件和 ipsecconf 命令来配置 IPsec 策略。有关详细信息和示例，请参见 ipsecconf(1M) 手册页。