Las políticas de protección de IPsec se pueden aplicar en los niveles siguientes:
Nivel del sistema
Por nivel de socket
IPsec aplica la política del sistema a los paquetes salientes y a los paquetes entrantes que coinciden con una regla de política de IPsec. La regla puede especificar un algoritmo determinado o permitir uno de varios algoritmos. Puede aplicar reglas adicionales a los paquetes salientes, dados los datos adicionales que conoce el sistema.
Los paquetes entrantes se aceptan o se descartan. La decisión de descartar o aceptar un paquete entrante se basa en varios criterios. Si los criterios se superponen o entran en conflicto, se utiliza la regla que analiza primero.
Puede especificar excepciones a una política de IPsec que, de otro modo, se aplica a la mayoría de los paquetes. Es decir, puede omitir una política de IPsec. La omisión se puede realizar en el sistema o por socket.
Para el tráfico de un sistema, incluidas las zonas en una dirección IP compartida, se aplican las políticas, pero no se aplican los mecanismos de seguridad reales. En lugar de ello, la política saliente de un paquete dentro del sistema se convierte en un paquete entrante al que se han aplicado esos mecanismos. Para las zonas de IP exclusivas, la política se aplica y se aplican los mecanismos de seguridad reales.
El archivo ipsecinit.conf y el comando ipsecconf se usan para configurar políticas de IPsec. Para obtener detalles y ejemplos, consulte la página del comando man ipsecconf(1M) y Chapter 7, Configuración de IPsec.