IPsec 为 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

　　IPsec 能提供的安全服务包括访问控制、无连接的完整性、数据源认证、抗重播（replay）保护、保密性和有限传输流保密性在内的服务。因为这些服务均在 IP 层提供，所以任何高层协议均能使用它们。例如 TCP、UDP、ICMP、BGP 等等。

　　这些目标是通过两大传输协议：头部认证 AH、封装安全负载 ESP 和通过密钥管理过程和协议的使用来完成的。使用于任何环境中的 IPsec 协议集及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。

　　当正确的实现、使用这些机制时，它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部件产生负面的影响。这些机制也被设计成算法独立的。这一模块性允许选择不同的算法集而不影响其他部分的实现。例如：如果需要，不同的用户通讯可以采用不同的算法集。

　　定义一个缺省的标准集使全球英特网更容易交互。这些算法辅以 IPsec 传输保护和密钥管理协议的使用为系统和应用开发者采用基于 IP 层的高质量的加密的安全技术提供了途径。

IPsec：IP 层协议安全结构