IPsec 能提供的安全服務(wù)集包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。因?yàn)檫@些服務(wù)均在 IP 層提供，所以任何高層協(xié)議均能使用它們，例如TCP 、 UDP 、ICMP 、 BGP 等等。

　　這些目標(biāo)是通過使用兩大傳輸安全協(xié)議，頭部認(rèn)證（AH） 和封裝安全負(fù)載 （ESP），以及密鑰治理程序和協(xié)議的使用來完成的。所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應(yīng)用程序、和/或站點(diǎn)、組織對(duì)安全和系統(tǒng)的需求來決定。

　　當(dāng)正確的實(shí)現(xiàn)、使用這些機(jī)制時(shí)，它們不應(yīng)該對(duì)不使用這些安全機(jī)制保護(hù)傳輸?shù)挠脩簟⒅鳈C(jī)和其他英特網(wǎng)部分產(chǎn)生負(fù)面的影響。這些機(jī)制也被設(shè)計(jì)成算法獨(dú)立的。這種模塊性答應(yīng)選擇不同的算法集而不影響其他部分的實(shí)現(xiàn)。例如：假如需要，不同的用戶通訊可以采用不同的算法集。

　　定義一個(gè)標(biāo)準(zhǔn)的默認(rèn)算法集可以使得全球因英特網(wǎng)更輕易協(xié)同工作。這些算法輔以 IPsec 傳輸保護(hù)和密鑰治理協(xié)議的使用為系統(tǒng)和應(yīng)用開發(fā)者部署高質(zhì)量的因特網(wǎng)層的加密的安全技術(shù)提供了途徑。

協(xié)議結(jié)構(gòu) ― IPsec：IP 網(wǎng)絡(luò)安全結(jié)構(gòu)

　　IPsec 結(jié)構(gòu)包括眾多協(xié)議和算法。這些協(xié)議之間的相互關(guān)系如下所示：

圖 2 － 5 IPsec：IP 層協(xié)議安全結(jié)構(gòu)